Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Día Mundial de la CiberSeguridad en tu eCommerce

Día Mundial de la CiberSeguridad en tu eCommerce

Hoy, 30 de Noviembre, es el Día Mundial de la CiberSeguridad.

Si tienes un eCommerce desde aquí hoy nos plantemos  ¿Qué podemos hacer para cuidar para que la seguridad de los datos de nuestros clientes no se vea comprometida?

 Ciberseguridad eCommerce

Ciberseguridad eccomerce

Dentro del amplio abanico de amenazas al que nos enfrentamos a diario unos de los más extendidos es el fraude y robo de identidad a través del eCommerce.

 

Fuente imagen CC0 Public Domain: pixelcreatures

Con el agravante de que este año, de acuerdo a las previsiones de todos los expertos, las ventas online durante la campaña navideña llegará a niveles sin precedentes, alcanzando el 25-30% de las ventas totales. Con ese volumen de personas utilizando sus ordenadores y dispositivos móviles para hacer sus compras y regalos navideños, es lógico esperar que el nivel de fraude aumente también.

Si poseemos una tienda online, del tamaño que sea, asegurar las compras y los datos de nuestros clientes debería ser objetivo prioritario para nosotros.

¿Qué podemos hacer para cuidar para que la seguridad de los datos de nuestros clientes no se vea comprometida?

Utilizar el método de procesamiento de pago adecuado y seguro. 

Los medios de procesamiento de pago, aunque lo pueda parecer, no son todos iguales. No todos son igual de seguros ni están indicados en todos los sectores. Incluso en sectores de alto riesgo hay medios que no prestan servicio o lo hacen mediante el pago de comisiones adicionales que debemos considerar.

Del mismo modo, y especialmente si nos encontramos en sectores de alto riesgo, como pueden ser los servicios de citas o los juegos de azar, necesitaremos un método de procesamiento de pago con capacidad suficiente de detección de fraude, con lo que a menudo la elección es más compleja.

Para que esa elección sea más precisa, repasaremos brevemente algunos conceptos necesarios que debemos tener claros a la hora de tomar la decisión adecuada:

Pasarela de Pago

Una pasarela de pago se define como un proveedor de servicios de aplicaciones de comercio electrónico que autoriza los pagos de tarjetas de crédito en transacciones comerciales, bien sea en tienda física u online. Es decir, una red que conecta los terminales de punto de venta (TPV) de los comercios (del tipo que sean) con las redes de las entidades financieras.

Visa, MasterCard o Paypal son métodos o instrumentos de pago conocidos que no está de más ofrecer a nuestros clientes en el entorno de pagos global.

Ciberseguridad eCommerce

Ciberseguridad pagos online

Sin embargo, si buscas un servicio integral seguro, lo recomendable es la contratación de una pasarela de pagos que no sólo puedan integrar dichos medios de pago habituales e internacionalmente utilizados, sino que los tengas accesibles a tu negocio y, sobre todo verificar que tienen certificación por cumplir las normas PCI DSS en el máximo nivel actual posible (Payment Card Industry Data Security Standard).

Fuente imagen  CC0 Public Domain geralt

Me encuentro a menudo con entidades que gestionan pasarelas de pago, incluso mediante subcontratación, que no están realmente certificadas con PCI DSS o que lo están en niveles muy inferiores a lo que exige la seguridad en los pagos actuales.

Actualmente, mi recomendación sería Sipay, ya que se muestra como la primera pasarela de pago europea certificada  en la nueva versión PCI DSS 3.1.

A ver si me explico mejor. Paypal o PayTPV son  métodos de pago que intermedian entre el comercio y el consumidor complementarios a los pagos con tarjeta y todo ello integrable mediante una pasarela de pagos implementada en el eCommerce.

Paypal tiene como ventaja que trata muy bien al consumidor (por eso disponerla para nuestros clientes es importante); pero mantiene una política de costes y servicio para el comercio bastante elevada (más al menos que las comisiones de las tarjetas de crédito o débito bancarias) y, lo más importante, no sustituye a las tarjetas de crédito o débito con las que habitualmente hacemos nuestras compras online.

Por su parte, PayTPV es también intermediario en los pagos, no una pasarela de pagos certificada como tal, prestando los servicios de intermediación a través de terceros y ofreciendo servicios de comercio electrónico sólo en España.

Estos métodos de pago son complementarios con nuestro servicio de pasarela de pagos que, a su vez, puede incluirlos o integrarlos dándoles conexión, interactuando con un sistema único integrado con nuestra pasarela de pagos.

Las pasarelas de pago, además, suelen proveer de servicios adicionales como la gestión de transacciones o elaboración de informes.

Cabe distinguir las Pasarelas de Alto Riesgo, especialmente indicadas para transacciones en sectores que tratan datos sensibles.

ACH (Automated Clearing House).

Es un sistema de pagos electrónicos entre instituciones financieras pertenecientes a un sistema bancario, a través de una cámara de compensación. Los pagos electrónicos son entre todos los bancos del sistema, a diferencia de los pagos electrónicos usados por los bancos a través de sistemas propios en los que sólo se pueden hacer pagos entre cuentas del mismo banco. Las transacciones se ejecutan por lotes (batch) bajo un horario predeterminado.

Transacciones Tarjeta Presente / Tarjeta No Presente.

En una compra “tradicional” en una tienda física, la tarjeta de crédito está siempre presente. En esos casos las tasas cobradas por los procesadores de transacciones (Emisoras de tarjetas de pago, Visa, MasterCard, por ejemplo) son menores al considerarse un nivel de riesgo de fraude menor.

En los casos en los que la tarjeta no está presente (caso del comercio online)  las comisiones son mayores al ser mayores las posibilidades de fraude. Una correcta revisión de las tarifas de las pasarelas/métodos de pago en función de nuestras necesidades asegurará que la elección sea correcta.

En todo caso, si tienes dudas, estamos para asesorarte entre las opciones disponibles y a medida para el tipo de negocio online y público objetivo.

Establecer límites mínimos de compra.

Generalmente asociamos el fraude a través de las tarjetas de crédito a operaciones de grandes cifras. Sin embargo la mayoría de las operaciones fraudulentas son de pequeña cuantía. Es más, muchos cibercriminales hacen pequeños cargos (inferiores a 10€) para chequear los números de las tarjetas que han sustraído.

Establecer una cuantía mínima en el pago de las transacciones online puede ayudar a reducir el riesgo de que se produzcan operaciones fraudulentas en nuestro e-commerce.

Otra medida interesante sería solicitar confirmación de los detalles de la operación por otro canal (mail, teléfono, fax).

Uso de Tecnologías de Verificación.

La verificación de direcciones permite a los procesadores de tarjetas de crédito comparar la dirección indicada en la transacción con la dirección que aparece en la cuenta de la tarjeta de crédito. Si hay discrepancias, la transacción se marca con una alerta; no se rechaza automáticamente, pero se señala para que se pueda llevar a cabo una investigación más profunda si es necesario.

Además de la verificación de direcciones, también se debe insistir en que el procesador de pagos requiera el Card Verification Value (CVV) para todas las transacciones. Ese código de tres o cuatro dígitos impreso en la parte posterior de la tarjeta de crédito, no puede, por ley, ser almacenado por los establecimientos, es decir, los compradores tienen que introducirlo manualmente para cada compra, con lo que constituye una medida adicional de seguridad ya que supone que el usuario tenga físicamente la tarjeta en su poder.

Si además de ésto, la pasarela de pagos que contratemos integra el tratamiento del pago con la entidad bancaria del usuario online mediante la gestión redireccionada a la web de su entidada bancaria, el nivel de seguridad ofrecido es todavía mayor, al precisarse generalmente que el usuario disponga no sólo de la tarjeta bancaria (datos de número de tarjeta,  fecha de caducidad y CVV) sino también de una tarjeta de coordendadas para la realización de transacciones online.

Además, la mayoría de los servicios de pago online a través de cuentas bancarias dispone de otro factor de autenticación a través de la emisión de un código específico para cada transacción que se envía al dispositivo móvil del usuario en cada operación justo tras haber completado el resto de registros necesarios para verificar el pago de la compra, con lo que se están intensificando las medidas de seguridad contra el fraude online.

Histórico de compras mantenido y registrado.

Es inevitable que en algún momento podamos ser víctimas de un ataque de cibedelincuentes. Por ello es vital que llevemos un control absoluto de las compras de cada cliente. Un cliente que utiliza diferentes tarjetas de crédito para cada compra, que cambia constantemente de direcciones y número de teléfono o que hace peticiones inusuales en el sentido que sea debe hacernos saltar la voz de alarma. Y eso solo lo conseguiremos con un adecuado registro de todas las operaciones comerciales, correctamente tabuladas.

No olvidemos además que debemos también guardar con alto nivel de seguridad la información que almacenamos sobre las compras online en nuestro sitio.

Aprendamos a identificar los posibles puntos sospechosos.

Generalmente las transacciones fraudulentas comparten ciertas características que nos deben poner en alerta: pedidos inusualmente grandes o pequeños, con direcciones inconsistentes (por ejemplo grandes pedidos al por mayor con una dirección de entrega en un domicilio particular), direcciones internacionales si nuestro mercado es local, pedidos extraños o con direcciones  descaradamente falsas.

Esto no quiere decir que cualquier cliente con dos direcciones de envío vaya a ser un estafador, pero debe servir para estar alerta. En ese sentido, la IP desde donde se hace el pedido nos ayudará de manera fehaciente a comprobar si nos están mintiendo a la hora de hacernos el pedido.

Como los ciberdelitos son cada vez más sofisticados, los indicios de fraude son cada vez menos evidentes. Sin embargo, cuánto más sepamos sobre cómo se produce el fraude y qué medidas podemos tomar, más a salvo podremos estar y con más efectividad podremos proteger nuestro negocio y la información de nuestros clientes.

¿Te he aportado algo de luz sobre este tema? En cualquier caso, por aquí me tienes para ayudarte.

By | 2017-04-17T21:01:59+00:00 noviembre 30th, 2015|Blog, Derecho Digital, Seguridad|2 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

2 Comments

  1. Alberto 07/12/2015 at 9:18 am - Reply

    Como siempre, duda resuelta!. Buen trabajo Susana, excelente análisis.

    • Susana 07/12/2015 at 10:15 am - Reply

      Muchas gracias Alberto! Un placer poder aportar. Abrazo!

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.