Publicado: 15 de abril de 2024
Colaboradores: Josh Schneider, Ian Smalley
La seguridad de las transacciones, también conocida como seguridad de pagos, se refiere a una categoría de prácticas, protocolos, herramientas y otras medidas de seguridad utilizadas durante y después de las transacciones comerciales para proteger la información confidencial y garantizar la transferencia segura de los datos de los clientes.
Si bien las transacciones en línea plantean desafíos únicos para la seguridad de las transacciones, son cruciales para las empresas tanto en línea como fuera de línea para generar confianza en el consumidor, mitigar el fraude y mantener el cumplimiento normativo.
En paralelo al auge acelerado del comercio electrónico y las transacciones en línea, la seguridad de las transacciones se ha convertido en una de las principales preocupaciones de cualquier empresa que gestione pagos y transferencias de activos valiosos, como entidades financieras, intercambios de criptomonedas y minoristas. Otros casos de uso incluyen los mercados de juegos en línea, métodos de pago alternativos como ApplePay y Venmo y cualquier servicio responsable de procesar documentos legales sensibles (como los servicios de declaración de impuestos en línea o diversas oficinas oficiales del gobierno).
Para evitar las pérdidas financieras derivadas de transacciones fraudulentas y ofrecer una experiencia de usuario de confianza a los clientes que comparten sus datos personales, entre las medidas de seguridad de las transacciones más comunes se incluyen el cifrado de datos moderno y avanzado, la autenticación multifactor (MFA) y las firmas digitales. Estos protocolos de seguridad mitigan el riesgo de fraude en los pagos y de robo de datos de los clientes como consecuencia de una violación de seguridad, de la que muchas empresas podrían ser legalmente responsables según su jurisdicción.
Aunque la mayoría de las medidas de seguridad de las transacciones se aplican durante la propia transacción, la seguridad de las transacciones también se extiende a las políticas empresariales internas que rigen el tratamiento de cualquier dato sensible de las transacciones almacenado por una organización o empresa, como los números de las tarjetas de crédito y los números de cuenta. Para los profesionales de la ciberseguridad que invierten en la seguridad de las bases de datos, la seguridad de las transacciones no solo supone monitorizar las transacciones en línea en tiempo real para detectar actividades sospechosas y transacciones no autorizadas, sino también identificar y mitigar de manera proactiva cualquier vulnerabilidad de seguridad interna. Los proveedores de servicios de sistemas de seguridad de transacciones modernos suelen incorporar una funcionalidad de notificación personalizable y otras automatizaciones para facilitar las transacciones seguras a escala.
La evolución de la IA está cambiando la forma en la que definimos y realizamos el trabajo, así como la forma en que apoyamos a las personas que lo realizan. Descubra cómo los líderes de RR. HH. están liderando el camino y aplicando la IA para impulsar la transformación de los RR. HH. y el talento.
Suscríbase al boletín de IBM
Las amenazas a la seguridad de las transacciones a menudo se cruzan o contribuyen a amenazas de ciberseguridad más amplias. La siguiente es una breve lista de algunas de las amenazas más frecuentes para la seguridad de las transacciones.
Las estafas de phishing, en las que los ciberdelincuentes utilizan mensajes fraudulentos para manipular a los objetivos con el fin de que revelen información sensible, suponen una amenaza tanto para los clientes como para las empresas. Las estafas de phishing suelen dirigirse a los consumidores en un intento de robar directamente la información de sus tarjetas de crédito para utilizarla en transacciones fraudulentas. También pueden dirigirse a las empresas en un intento de robar la información de pago de los clientes de forma masiva.
Si bien las transacciones en persona generalmente requieren una tarjeta de crédito física, las transacciones realizadas en línea o por teléfono a menudo solo requieren un número de tarjeta de crédito. Esta laguna legal puede abrir las transacciones en línea o por teléfono al fraude con tarjeta no presente, en el que los estafadores utilizan números robados para realizar transacciones fraudulentas. Aunque el cliente conserve su tarjeta de crédito física, es posible que ignore por completo que los datos de su tarjeta han sido robados.
Otro riesgo que plantea el phishing es el fraude de apropiación de cuentas. Los estafadores pueden utilizar phishing u otros medios para apoderarse del acceso no autorizado a la cuenta bancaria o de compras en línea de un consumidor y proceder a realizar compras no autorizadas.
Las estafas BEC también son una consecuencia común de los esquemas de phishing exitosos. Cuando un ciberdelincuente obtiene acceso a una cuenta de correo electrónico empresarial comprometida, puede hacerse pasar por un empleado o proveedor autorizado e intentar solicitar una transferencia bancaria fraudulenta.
Otro riesgo derivado del éxito de los ataques de phishing, el SIF es un tipo de fraude en el que los estafadores utilizan una combinación de información de identificación personal (PII) real y robada para crear identidades fabricadas para diversas actividades fraudulentas, como esquemas de impago en los que un estafador compra un producto a crédito o a plazos sin intención de realizar pagos futuros.
En un ataque MITM, una forma famosa de ciberataque, un hacker se sitúa subrepticiamente entre dos partes que creen tener una conexión privada. El atacante puede intentar manipular sus datos transferidos o simplemente espiar para robar cualquier información privada de pago que pueda ser compartida.
Con el continuo avance de las nuevas tecnologías, así como las estrategias de ataque en constante evolución de los ciberdelincuentes, los expertos trabajan constantemente para mejorar la seguridad de las transacciones a través de todos los vectores disponibles. Los siguientes son algunos de los métodos más comunes para reforzar la seguridad de las transacciones:
La columna vertebral de la protección de los datos, las empresas y los clientes confían en el cifrado de datos para proteger la información confidencial durante y después de las transacciones. Los estándares de cifrado de uso común, como Secure Sockets Layer (SSL) y Transport Layer Security (TLS), se utilizan con frecuencia durante las transacciones en línea para evitar el acceso no autorizado, la manipulación y el robo.
La tokenización es un proceso que reemplaza los datos confidenciales de los clientes, como los números de tarjetas de crédito, con tokens únicos que no se pueden usar para realizar transacciones fraudulentas ni realizar ingeniería inversa de la información de pago original. Estos tokens se utilizan para hacer referencia a la información de pago original, que se almacena en una bóveda de tokens segura. La tokenización reduce el riesgo asociado a las vulneraciones de datos y simplifica el cumplimiento normativo, ya que los tokens ellos mismos son inútiles incluso si caen en las manos equivocadas.
Como forma fundamental de seguridad de las transacciones, las prácticas de autenticación son muy anteriores a la era de Internet. Mientras que antes un comerciante podía pedir una identificación con foto antes de aceptar un cheque personal, las modernas medidas de autenticación digital son cada vez más sofisticadas. La autenticación de un solo factor (SFA) requiere una forma de identificación, como una contraseña o un pin; la autenticación de dos factores (2FA) requiere formas adicionales de identificación, como una contraseña de un solo uso enviada a un dispositivo registrado o a un correo electrónico. Otros métodos de autenticación estándar incluyen la exigencia de un valor de verificación de tarjeta (CVV) para los pagos con tarjeta de crédito y la autenticación biométrica (como el reconocimiento facial o el escaneo de huellas dactilares).
Las pasarelas de pago seguras son cruciales para garantizar la seguridad de las transacciones y generar y mantener la confianza de los clientes. Estas pasarelas permiten el procesamiento de transacciones entre el cliente, la empresa y el procesador de pagos o el banco adquirente. Las pasarelas de pago seguras suelen combinar varias técnicas de seguridad de las transacciones, como el cifrado, la tokenización y la autenticación, para garantizar la seguridad de los datos.
Norma de seguridad de datos de la industria de las tarjetas de pago (PCI DSS) (enlace externo a ibm.com) es un conjunto de estándares de seguridad de transacciones desarrollados por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), un foro global de partes interesadas de la industria de pagos.
Desarrollado para impulsar la adopción de estándares y recursos de seguridad de datos para pagos seguros en todo el mundo, el cumplimiento de PCI DSS ayuda a las empresas a cumplir con los requisitos de la normativa al tiempo que mantiene seguros los datos de los clientes.
Para cumplir con el PCI DSS, las empresas deben hacer lo siguiente:
- Creer y mantener una red y sistemas seguros: instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas. Evite el uso de valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Proteger los datos del titular de la tarjeta: cifrar la transmisión de los datos del titular de la tarjeta a través de redes públicas abiertas.
- Mantener un programa de gestión de vulnerabilidades: desarrollar y mantener sistemas y aplicaciones seguros y proteger todos los sistemas contra el malware con programas o programas antivirus que se actualicen periódicamente.
- Implementar fuertes medidas de control de acceso: identificar y autenticar el acceso a los componentes del sistema. Restrinja el acceso físico a los datos de los titulares de tarjetas y restrinja el acceso interno a los datos de los titulares de tarjetas mediante requisitos de necesidad de conocer basados en la empresa
- Monitorizar y probar las redes con regularidad: rastrear y monitorizar todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas con pruebas periódicas de los sistemas y procesos de seguridad.
- Mantener una política de seguridad de la información: mantener una política que aborde la seguridad de la información para todo el personal.
IBM CICS Transaction Server, a menudo llamado CICS, es una plataforma de servidor de aplicaciones de lenguaje mixto de lenguaje mixto de primera clase que se utiliza para alojar sus aplicaciones empresariales transaccionales en una arquitectura híbrida.
Sistema operativo altamente seguro y escalable para ejecutar aplicaciones de misión crítica. IBM z/OS es un sistema operativo (SO) para mainframe IBM Z, adecuado para operaciones continuas y de gran volumen con gran seguridad y estabilidad. Con IBM z/OS, puede impulsar la transformación empresarial y acelerar la innovación.
Acelere y logre sus objetivos empresariales con IBM Consulting. Le ayudamos a ofrecer una modernización de aplicaciones específica que simplifique la gestión de la tecnología y reduzca los costes, mediante la integración y puesta en marcha de tecnologías emergentes en sus procesos empresariales básicos y estrategias de plataforma.
Proteja a sus usuarios, activos y datos gestionando y evitando el fraude antes de que se produzca. IBM Security ayuda a simplificar sus esfuerzos de prevención del fraude y a establecer una confianza en la identidad digital que proporciona una autenticación continua y sin fricciones a lo largo del usuario, creando una experiencia de usuario positiva.
La gestión de transacciones es un proceso integral de los sistemas de gestión de bases de datos (SGBD) durante el cual el software de gestión de transacciones supervisa, coordina y ejecuta cualquier intento de transacción.
Un sistema de procesamiento de transacciones (TPS) es un tipo de software de procesamiento de información de gestión de datos que se utiliza durante una transacción comercial para administrar la recopilación y recuperación de datos comerciales y de clientes.
La autenticación multifactor (AMF) es un método de verificación de identidad en el que un usuario debe aportar al menos 2 pruebas, como su contraseña y un código de acceso temporal, para demostrar su identidad.
La seguridad de las bases de datos se refiere a la gama de herramientas, controles y medidas diseñados para establecer y preservar la confidencialidad, integridad y disponibilidad de las bases de datos. La confidencialidad es el elemento que se ve comprometido en la mayoría de las vulneraciones de datos.
Una vulneración de datos es cualquier incidente de seguridad en el que partes no autorizadas acceden a información sensible o confidencial, incluidos datos personales (números de la Seguridad Social, números de cuentas bancarias, datos sanitarios) o datos empresariales (registros de datos de clientes, propiedad intelectual, información financiera).
Por ciberseguridad se entiende cualquier tecnología, medida o práctica para prevenir ciberataques o mitigar su impacto.