Fecha de publicación: 15 de abril de 2024
Colaboradores: Josh Schneider, Ian Smalley
La seguridad de las transacciones, también conocida como seguridad de pagos, se refiere a una categoría de prácticas, protocolos, herramientas y otras medidas de seguridad empleadas durante y después de las transacciones comerciales para proteger la información confidencial y garantizar la transferencia segura de los datos de los clientes.
Si bien las transacciones en línea plantean desafíos únicos para la seguridad de las transacciones, son fundamentales para las empresas tanto en línea como fuera de línea para generar confianza en los consumidores, mitigar el fraude y mantener el cumplimiento normativo.
Al coincidir con el auge acelerado del comercio electrónico y las transacciones en línea, la seguridad de las transacciones se convirtió en una preocupación importante para cualquier empresa que maneje pagos y la transferencia de activos valiosos, como las instituciones financieras, las casas de bolsa de criptomonedas y las tiendas minoristas. Otros casos de uso incluyen los mercados de videojuegos en línea, los métodos de pago alternativos como ApplePay y Venmo, y cualquier servicio responsable de procesar documentos legales confidenciales (como servicios de declaración de impuestos en línea o varias oficinas gubernamentales oficiales).
Para evitar pérdidas financieras que resulten de transacciones fraudulentas y proporcionar una experiencia de usuario confiable para los clientes que compartan sus datos personales, las medidas comunes de seguridad de transacciones incluyen el cifrado de datos moderno avanzado, la autenticación multifactor (MFA) y las firmas digitales. Estos protocolos de seguridad mitigan el riesgo de fraude en los pagos y el robo de datos de los clientes como resultado de una violación de seguridad, por la cual muchas empresas podrían ser legalmente responsables, dependiendo de su jurisdicción.
Si bien la mayoría de las medidas de seguridad de las transacciones se implementan durante la transacción en sí, la seguridad de las transacciones también se extiende a las políticas comerciales internas que rigen el tratamiento de cualquier dato confidencial de la transacción almacenado por una organización o empresa, como números de tarjetas de crédito y números de cuenta. Para los profesionales de ciberseguridad que invierten en seguridad de bases de datos, la seguridad de las transacciones significa no solo monitorear las transacciones en línea en tiempo real para detectar actividades sospechosas y transacciones no autorizadas, sino también identificar y mitigar de manera proactiva cualquier vulnerabilidad de seguridad interna. Los proveedores de servicios de sistemas de seguridad de transacciones modernos a menudo incorporan una funcionalidad de notificación personalizable y otra automatización para facilitar las transacciones seguras a escala.
La evolución de la IA está cambiando la forma en que definimos y realizamos el trabajo, así como la forma en que apoyamos a las personas que lo realizan. Descubra cómo los líderes de RR. HH. están liderando el camino y aplicando IA para impulsar la transformación de RR. HH. y talento.
Suscríbase al boletín de IBM
Las amenazas a la seguridad de las transacciones a menudo se entrelazan o contribuyen a amenazas de ciberseguridad más amplias. La siguiente es una breve lista de algunas de las amenazas de seguridad de las transacciones más frecuentes.
Las estafas de phishing, en las que los delincuentes cibernéticos utilizan mensajes fraudulentos para manipular objetivos y que revelen información confidencial, representan una amenaza tanto para los clientes como para las empresas. Las estafas de phishing a menudo se dirigen a los consumidores en un intento de robar directamente la información de su tarjeta de crédito para utilizarla en transacciones fraudulentas. También pueden dirigirse a negocios en un intento de robar información de pago de clientes de forma masiva.
Mientras que las transacciones en persona suelen requerir una tarjeta de crédito física, las realizadas por Internet o por teléfono suelen requerir únicamente un número de tarjeta de crédito. Esta laguna puede abrir las transacciones en línea o por teléfono al fraude de tarjeta no presente, en el que los estafadores emplean números robados para realizar transacciones fraudulentas. Si bien es posible que un cliente aún conserve su tarjeta de crédito física, es posible que no sepa por completo que los datos de su tarjeta fueron robados.
Otro riesgo que plantea el phishing es el fraude de apropiación de cuentas. Los estafadores pueden emplear phishing u otros medios para aprovechar el acceso no autorizado a la cuenta bancaria o de compras en línea de un consumidor y proceder a realizar compras no autorizadas.
Las estafas BEC también son una consecuencia común de los esquemas de phishing exitosos. Cuando un delincuente cibernético obtiene acceso a una cuenta de correo electrónico empresarial comprometida, puede hacerse pasar por un empleado o proveedor autorizado e intentar solicitar una transferencia bancaria fraudulenta.
Otro riesgo que resulta de los ataques de phishing exitosos es el fraude de identidad sintética (SIF, por sus siglas en inglés), un tipo de fraude en el que los estafadores emplean una combinación de información de identificación personal (PII, por sus siglas en inglés) real robada para crear identidades fabricadas para diversas actividades fraudulentas, como esquemas de incumplimiento de pago en los que un estafador compra un producto a crédito o a plazos sin intención de realizar pagos futuros.
Es una forma bien conocida de ataque cibernético, durante un ataque de intermediario (MITM, por sus siglas en inglés), un hacker se posicionará clandestinamente entre dos partes que creen que tienen una conexión privada. El atacante puede intentar manipular los datos transferidos o simplemente espiar para robar cualquier información de pago privada que se podría compartir.
Con el avance continuo de las nuevas tecnologías, así como las estrategias de ataque en constante evolución de los delincuentes cibernéticos, los expertos trabajan constantemente para mejorar la seguridad de las transacciones a través de todos los vectores disponibles. Los siguientes son algunos de los métodos más comunes para reforzar la seguridad de las transacciones:
Las empresas y los clientes confían en el cifrado de datos para proteger la información confidencial durante y después de las transacciones. Los estándares de cifrado más comunes, como Secure Sockets Layer (SSL) y Transport Layer Security (TLS), se emplean con frecuencia durante las transacciones en línea para evitar accesos no autorizados, manipulaciones y robos.
La tokenización es un proceso que reemplaza los datos confidenciales de los clientes, como los números de tarjetas de crédito, con tokens únicos que no se pueden usar para realizar transacciones fraudulentas ni realizar ingeniería inversa de la información de pago original. Luego, estos tokens se utilizan para hacer referencia a la información de pago original, que se almacena en una bóveda de tokens segura. La tokenización reduce el riesgo asociado con las filtraciones de datos y simplifica el cumplimiento normativo, ya que los tokens en sí son inútiles, incluso si caen en las manos equivocadas.
Como forma fundamental de seguridad de las transacciones, las prácticas de autenticación son anteriores a la era del Internet. Mientras que en el pasado un comerciante podía solicitar una identificación con fotografía antes de aceptar un cheque personal, las medidas modernas de autenticación digital aumentaron en sofisticación. La autenticación de factor único (SFA, por sus siglas en inglés) requiere una forma de identificación, como una contraseña o un pin; la autenticación de dos factores (2FA, por sus siglas en inglés) requiere formas adicionales de identificación, como un código de acceso único enviado a un dispositivo registrado o correo electrónico. Otros métodos de autenticación estándar incluyen requerir un valor de verificación de tarjeta (CVV, por sus siglas en inglés) para pagos con tarjeta de crédito y autenticación biométrica (como reconocimiento facial o escaneo de huellas digitales).
Las puertas de enlace de pago seguras son una parte crucial para establecer una seguridad de las transacciones sólida y generar y mantener la confianza del cliente. Estas puertas de enlace permiten el procesamiento de transacciones entre el cliente, la empresa y el procesador de pagos o el banco adquirente. Las puertas de enlace de pago seguras a menudo combinan varias técnicas de seguridad de transacciones, incluido el cifrado, la tokenización y la autenticación, para garantizar la seguridad de los datos.
La Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) (enlace externo a ibm.com) es un conjunto de normas de seguridad de transacciones desarrolladas por Payment Card Industry Security Standard Council (PCI SSC), un foro mundial de partes interesadas de la industria de pagos.
Desarrollada para impulsar la adopción de normas y recursos de seguridad de datos para pagos seguros en todo el mundo, el cumplimiento de PCI DSS ayuda a las empresas a cumplir con los requisitos normativos mientras mantienen seguros los datos de los clientes.
Para cumplir con la PCI DSS, las empresas deben hacer lo siguiente:
- Construir y mantener una red y sistemas seguros: Instale y mantenga una configuración de cortafuegos para proteger los datos de los titulares de tarjetas. Evite emplear los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Proteger los datos del titular de la tarjeta: Cifre la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
- Mantener un programa de gestión de vulnerabilidades: Desarrolle y mantenga sistemas y aplicaciones seguros y proteja todos los sistemas contra malware con software o programas antivirus actualizados regularmente.
- Implementar medidas estables de control de acceso: Identifique y autentique el acceso a los componentes del sistema. Restrinja el acceso físico e interno a los datos de titulares de las tarjetas según los requisitos de necesidad de saber basados en el negocio.
- Monitorear y poner a prueba las redes con regularidad: Realice un seguimiento y monitoree todo el acceso a los recursos de la red y a los datos de los titulares de tarjetas con pruebas periódicas de los sistemas y procesos de seguridad.
- Mantener una política de seguridad de la información: Mantenga una política que aborde la seguridad de la información para todo el personal.
IBM® CICS Transaction Server, a menudo llamado CICS, es una plataforma de servidor de aplicaciones de lenguaje mixto potente y de clase mundial que se utiliza para alojar sus aplicaciones empresariales transaccionales en una arquitectura híbrida.
Utilice un sistema operativo altamente seguro y escalable para ejecutar aplicaciones de importancia fundamental. IBM z/OS es un sistema operativo (SO) para mainframes IBM Z, adecuado para una operación continua y de gran volumen con alta seguridad y estabilidad. Con IBM z/OS, puede impulsar la transformación empresarial y acelerar la innovación.
Acelere y alcance objetivos de negocio con IBM® Consulting. Le ayudamos a implementar una modernización de aplicaciones especialmente diseñada, que simplifica la gestión de la tecnología y reduce los costos mediante la integración y la puesta en marcha de tecnologías emergentes en sus principales procesos empresariales y estrategias de plataforma.
Proteja a sus usuarios, activos y datos gestionando y evitando fraudes antes de que ocurran. IBM® Security ayuda a simplificar sus esfuerzos de prevención de fraude y a establecer la confianza en la identidad digital que proporciona autenticación continua y sin fricciones durante todo el recorrido del usuario, creando una experiencia positiva para este.
La gestión de transacciones es un proceso integral de sistemas de gestión de bases de datos (DBMS) durante el cual el software de gestión de transacciones supervisa, coordina y ejecuta cualquier intento de transacción determinado.
Un sistema de procesamiento de transacciones (TPS, por sus siglas en inglés) es un tipo de software de procesamiento de información de gestión de datos que se emplea durante una transacción comercial para gestionar la recopilación y recuperación de datos tanto del cliente como de la empresa.
La autenticación multifactor (MFA) es un método de verificación de identidad en el que un usuario debe proporcionar al menos 2 pruebas, como su contraseña y un código de acceso temporal, para probar su identidad.
La seguridad de la base de datos se refiere a la gama de herramientas, controles y medidas diseñadas para establecer y preservar la confidencialidad, integridad y disponibilidad de la base de datos. La confidencialidad es el elemento que se ve comprometido en la mayoría de las filtraciones de datos.
Una filtración de datos es cualquier incidente de seguridad en el que partes no autorizadas obtienen acceso a datos o información confidencial, incluidos datos personales (números de seguridad social, números de cuentas bancarias, datos de atención médica) o datos corporativos (registros de datos de clientes, propiedad intelectual e información financiera).
La ciberseguridad se refiere a cualquier tecnología, medida o práctica para prevenir ciberataques o mitigar su impacto.