1 / 48

Octubre 2007

Plataformas de Seguridad y Medios de Pago. Octubre 2007. Situación del Comercio Electrónico. Banda Ancha , América Latina y el Caribe fueron la tercera región de mayor crecimiento en las conexiones de banda ancha en los últimos tres años, y totalizó 8,2 millones

dolan
Télécharger la présentation

Octubre 2007

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Plataformas de Seguridad y Medios de Pago Octubre 2007

  2. Situación del Comercio Electrónico

  3. Banda Ancha, América Latina y el Caribe fueron la tercera región de mayorcrecimiento en las conexiones de banda ancha en los últimos tres años, y totalizó 8,2 millones Medios de Pago Electrónico,La tarjeta de crédito es el medio preferido en la región, con el 90% de las transacciones. Fuente: América Economía Situación del Comercio Electrónico en Latinoamérica Usos Habituales de Internet

  4. Situación del Comercio Electrónico en Latinoamérica Formas de Pago más Utilizadas Pagos por Internet en LAC • El 83% prefiere la tarjeta de crédito • El 9% prefiere la transferencia bancaria • El 6% paga en efectivo.

  5. Situación del Comercio Electrónico en Latinoamérica Concentración del Comercio • La forma de pago preferida en la Red en la región es con tarjeta de crédito. • Viajes y Retail son los sectores más activos. Fuente: América Economía 2006

  6. Situación del Comercio Electrónico en Latinoamérica Tendencias de Crecimiento • 2005, Volumen de E-Commerce: US$ 2.100 millones • Creció un 67%, versus el año anterior. • 2006, Se creció cerca de 50% para superar el los USD $3.000 millones. • Las proyecciones indican que el volumen superará los USD 11.000 millones en el 2010”.

  7. La pasarela de pago constituye la última etapa de la tienda virtual. Mediante la contratación de una pasarela de pago con tarjeta de crédito, los clientes podrán realizar comprar en la tienda virtual. Es ideal que esta trabaje en servidor seguro SSL con VISA, MASTERCARD, AMERICAN EXPRESS y la mayor cantidad de marcas posibles. Plataforma de Pagos en línea Sistemas de Pago Electrónico Pasarela de Pagos

  8. Plataforma de Pagos en línea

  9. Plataforma de Pagos en línea Plug- In El Plug-in integra de manera segura la página Web de compra del comercio con la plataforma AMS utilizando Triple-DES y RSA para proteger la información que viajará por la conexión Web. El Plug-in está disponible en varios lenguajes de programación Web (Vg.: Java, .Net, ASP, PHP, Pearl (2006-2S). Cuando un tarjeta habiente, en cualquier lugar del mundo, presiona el botón “Comprar” en la página Web del comercio invoca al Plug-In que a su vez encripta la información del tarjeta habiente y de las compras realizadas.

  10. Plataforma de Pagos en línea POSVirtual El Plug-in se conecta con el V-POS que es el módulo de captura de información de pago del comercio, que recibe y procesa los datos sensibles del tarjeta habiente y dependiendo del tipo de tarjeta y los requerimientos del emisor, comercio y adquirente inicia los flujos de autenticación y autorización.

  11. Plataforma de Pagos en línea Si la tarjeta está protegida por los programas Verified by VISA o SecureCode el V-POS inicia el flujo de autenticación conectándolo con el MPI integrado a la plataforma esperando la interacción con el tarjeta habiente.

  12. Plataforma de Pagos en línea MPIMerchant Plug-In El protocolo 3-D Secure requiere la interacción de un conjunto de servidores seguros (ACS por el lado emisor, MPI por el lado adquirente y otros del dominio de interoperabilidad) cuyo fin es autenticar al tarjeta habiente, brindando seguridad a los participantes de la autenticidad de la transacción.

  13. Plataforma de Pagos en línea El ACS del emisor solicita la Autenticación al tarjetahabiente. En caso que el tarjetahabiente no esté enrolado, el ACS puede iniciar un proceso de Enrolamiento, ADC: Activación Durante la Compra.

  14. Plataforma de Pagos en línea Flujo de trabajo STPServicio Transaccional de Pagos Una vez culminado el proceso el V-POS retoma el control y redirige el flujo hacia el STP que es el módulo de la pasarela de pagos responsable de validar las transacciones en base a las reglas de negocio configuradas para el Adquirente y/o Comercio, así como de armar los mensajes financieros.

  15. Plataforma de Pagos en línea SwitchServicio Manejador de Transacciones El siguiente paso en el flujo transaccional es controlado por el SMT, módulo encargado de intercambiar los mensajes financieros con la Procesadora designada por el Adquirente y que se encuentra definida mediante un proceso administrativo preliminar.

  16. Plataforma de Pagos en línea PTAProcesadora Transaccional El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, etc.) según los esquemas convenidos con cada una (VAP, MIP, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea.

  17. Plataforma de Pagos en línea PTAProcesadora Transaccional ALIGNET El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, Amex, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea al V-POS. El comercio informa al Tarjetahabiente.

  18. Plataforma de Pagos en línea SACSistema Administrador de Autenticaciones El módulo de consultas SAC permite realizar búsquedas de operaciones de autenticación tanto por los códigos del comercio como por el número de pedido o el número de la tarjeta (ó el Bin del emisor) con que fue realizada la operación, llegando al nivel más bajo de detalle.

  19. Plataforma de Pagos en línea MóduloAdministrador de Trx. El V- Admin, o Virtual Admin, permite definir las políticas administrativas y gestionar la plataforma AMS mediante la definición de bines, usuarios, comercios y malls; planes y cuotas; filtrar y buscar transacciones; definir y gestionar lotes; entre otros.

  20. Plataforma de Pagos en línea GATGenerador de Archivos de Pago A su vez, el GAT está encargado de armar/recolectar lotes liquidados según el horario configurado para cada Comercio y así generar su archivo de liquidación (TC57), el cuál posteriormente será recogido y procesado por el Adquirente.

  21. Plataforma de Pagos en línea HSMHardware Security Module HSM es un dispositivo criptográfico de última generación que funciona como soporte automático de seguridad encriptando la información en los ámbitos interno y externo de la plataforma (ni aún los operadores y administradores tienen acceso a la información).

  22. Plataforma de Pagos en línea / Módulo Administrativo

  23. Plataforma de Pagos en línea / Módulo Administrativo

  24. Plataforma de Pagos en línea / Módulo Administrativo

  25. Plataforma de Pagos en línea / Módulo Administrativo

  26. Seguridad y Riesgo

  27. Aspectos de Seguridad Los aspectos de seguridad a considerarse para participar en comercio electrónico son los siguientes: Confidencialidad, evitar la exposición innecesaria de la información sensible. Autenticación, validar la autenticidad de los participantes Integridad, garantizar la inalterabilidad de la información. No repudio, asegurar la aceptación de responsabilidades de los integrantes del proceso.

  28. Aspectos de Seguridad Confidencialidad / Autenticación / Integridad / No Repudio / Seguridad Comercio Banco Llave simétrica Llave simétrica PAN PAN Código detransacción Código detransacción Número de Intento Número de Intento 3DES DatosCifrados 3DES Carácter de Relleno Carácter de Relleno Firma RSA Firma RSA Firma Verificada Llave privada para firmar como el comercio Llave pública para validar la firma del comercio Firma digital datos

  29. Phishing.- Intento de adquirir información sensible, como passwords y detalles de tarjetas de credito fingiendo ser una persona o empresa confiable mediante una comunicación electrónica (canales web e e-mail) Ataques.-Transmisión de data válida maliciosamebte repetida. Pharming.- Redirección automática de un website a otro website (maligno) modificando la configuración de la pc atacada con archivos (malwares) o atacando la infraestructura del DNS. Spyware.- Software malicioso que recolecta información personal del usuario sin su consentimiento (troyanos, gusanos, virus, keyloggers, etc) Rootkit.- Software que intenta correr procesos, archivos o data del sistema operativo usado por spywares para evitar su detección. Man-in-the-middle (MITM).- Ataque en donde el atacante puede leer, insertar y modificar a voluntad mensajes entre dos partes sin que ninguna lo sepa. Riesgos por Fraude Electrónico Amenazas Online

  30. Prevención del Riesgo

  31. 31 de Enero del 2002 visa, mediante una Carta a los Miembros hace de conocimiento que se hará el Cambio de responsabilidad desde abril 2003. • Lanzamiento del Programa de Pagos Autenticados Visa, • Introducción de una nueva tecnología de autenticación para transacciones de comercio electrónico denominada 3-D Secure, y el Traslado de Derechos de Contracargo (“Chargeback Rights Shift”) • Mastercard adoptó el programa en Octubre 2002 • A partir de junio 2005 rige reglamento de contacargos intra-regional • Desde Nov 2006 rige el cambio Global de responsabilidad. • Utiliza los mismos principios de Visa Riesgos por Fraude Electrónico / Reglamentos Operativos Programas Internacionales 3D Secure Verified by Visa MasterCard SecureCode

  32. Seguridad y Riesgo Autenticación de compra (1) El TH decide pagar con tarjeta

  33. La Solución para emisores Verifika ACS - Autenticación de compra (2) Autenticación: El TH sólo ingresa su clave de 3-D Secure

  34. La Solución para emisores Verifika ACS - Autenticación de compra (3) Confirmación: La transacción fue autenticada y autorizada

  35. Riesgo por Fraude Electrónico / Medidas y Herramientas

  36. Monitoreo de Fraudes

  37. Minimiza el fraude de tarjetas de crédito contra los comercios Los comercios en Internet son responsables de prevenir el fraude en su sitio Las verificaciones tradicionales AVS son inefectivas. 3D es un nivel inicial De manera efectiva valida identidad 150+ verificaciones correlacionadas Control de fraude a <1% Uso de inteligencia artificial y agrega transacciones de cientos de comercios y millones de transacciones Asociado y mejorado por Visa Ciclo cerrado de retroalimentación de Visa y validación del modelo Visión expandida de ambas, transacciones físicas y transacciones con tarjeta no presente Modelos de comercios Monitores de Fruades Herramientas de Monitoreo de Fraudes

  38. Monitores de Fruades Herramientas de prevención de Fraudes Decision Manager • Puntuación • Códigos Aceptar AFS ReglasdeNegocio Activo Pasivo Gestiónde Casos Orden • Comercio • Global Velocidad Revisión Decisión LibreríaA Medida • Negativo • Positivo Listas Rechazar Suite de Reportes

  39. Familarícese con el comportamiento de sus clientes Modifique la configuración por default basado en el conocimiento del perfil de su clientela No asuma el comportamiento de sus clientes Determine un nivel aceptable de riesgo para cada producto que Ud. estará ofreciendo Después de determinar un valor aceptable de riesgo para cada producto, de acuerdo con sus prácticas de negocios, Ud. Podrá desear ajustar su score_threshold Calcule sus costos de fraude Monitoree su data y ajústela convenientemente Monitores de Fruades Recomendaciones Básicas

  40. Herramientas de Autenticación

  41. Herramientas de Autenticación One Time Password

  42. Token de autenticación o token criptográfico Dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Los tokens electrónicos tienen un tamaño pequeño y son normalmente diseñados para atarlos a un llavero. Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN. Existen más de una clase de token de autenticación, tenemos los bien conocidos generadores de contraseñas dinámicas "OTP" y la que comúnmente denominamos tokens USB, los cuales no solo permiten almacenar passwords y certificados, sino que permiten llevar la identidad digital de la persona. Herramientas de Autenticación Tokens

  43. Token de autenticación movil. Solución de Seguridad Robusta y Accesible con amplia distribución. Concebido para sustituir los actuales dispositivos de hardware y tarjetas existentes en el mercado. Ofrece la misma facilidad y el mismo nivel de seguridad Para ser ejecutado en los celulares y PDAs remotos de los usuarios finales de las instituciones, con bajo costo y gran facilidad de distribución. Puede ser utilizado como mecanismo adicional de seguridad en aplicaciones de Banking (Internet Banking, retiros en ATMs, etc.) así como en aplicaciones genéricas de comercio electrónico que requieren señas de una única utilización - One Time Passwords. Disponibles para las tecnologías BREW (CDMA), J2ME (GSM/CMDA), WindowsMobile (GSM/CDMA), JavaCard y SIM Browsing, el ES Mobile Token es ideal para su distribución entre los usuarios finales - over the air (OTA) o a través del SIM Cards - utilizando cualesquiera de las Operadoras de Telefonía Móvil del país y aumentando significativamente la seguridad de sus aplicativos remotos. Técnicas en Criptografía de última generación. Herramientas de Autenticación Mobile Token o Token Celular

  44. Herramientas de Autenticación Beneficios

  45. Autenticación.- Proceso de validación de la identidad de un usuario final para asegurar que es quien dice ser. El método mas común es usando un nombre y un password, pero... Herramientas de Autenticación Conceptos de Seguridad Digital .....aun por tan fuerte que sea el password, este puede ser robado y ser usado sin aviso al legítimo propietario.

  46. Password Biomertrico Utiliza el patrón de conducta de tipeo sobre el teclado para identificar al usuario. Cada persona posee su propia y única cadencia de tipeo sobre las teclas teclado. Posee un 99,7 por ciento de efectividad. La biometría es una solución de fácil aplicación, menor costo y alta seguridad. Opera a partir de la captura y comparación de un patrón de conducta del usuario sobre el teclado, garantizando su funcionamiento simultáneo y complementario a otros desarrollos destinados a la seguridad informática y sin modificar los hábitos del usuario. No conlleva la instalación de hardware adicional sobre los existentes, de modo que su implementación no implica costos adicionales. Herramientas de Autenticación Seguridad Biométrica

  47. Herramientas de Autenticación Seguridad Biométrica

  48. Muchas Gracias

More Related