Boletín Medios de Pago Noviembre 2018
Novedades  Novedades     Destacamos  Destacamos

El PCI SSC ha creado un grupo de trabajo de Asesores Ejecutivos Globales y cuenta con Internet Security Auditors como uno de sus 20 miembros

Como ya vimos hace algunas semanas en nuestro blog, el PCI SSC ha creado el "Global Executive Assessor Roundtable" y ha confiado en Internet Security Auditors, que será representada por su socio, Miguel Ángel Domínguez, para formar parte de dicho grupo durante 2 años.

El objetivo de este grupo es que el PCI SSC reciba recomendaciones y feedback por parte de estos asesores y permitirá establecer un canal de comunicación entre los principales líderes de los servicios de pago.

En la web del PCI SSC podemos ver las organizaciones del grupo de trabajo.

   

Consejos PCI DSS, consejos básicos del PCI SSC para pequeños comercios

El Council ha desarrollado un programa para ayudar a los pequeños comercios a cumplir con el estándar PCI DSS; este programa se denomina "Payment data security essentials" (dentro de este programa se incluye la herramienta Data Security Evaluation Tool).

Lo podemos revisar en el artículo: Cumplimiento PCI DSS, consejos básicos del PCI SSC para pequeños comercios.

PCI Security Standards Council actualiza el estándar PIN Security

El estándar PCI PIN Security Requirements es la norma que cubre las necesidades de seguridad en cualquier transacción que incluya el PIN. Los requerimientos han sido reorganizado y se han establecido una serie de deadlines para el uso claves fijas 3DES para el cifrado del PIN. David Acosta lo explica en nuestro blog. Además, el Council está desarrollando un nuevo programa para asesores PIN (PIN Assessor Program) que comenzará en 2019.

El detalle de la noticia en la web del PCI SSC.

   

Breve introducción al estándar PCI 3D-Secure (PCI 3DS)

Tras la publicación del nuevo estándar en octubre de 2017, vemos una breve introducción sobre el alcance y requerimientos del mismo.

Este estándar aplica a las transacciones online que utilizan el protocolo 3D-Secure, aumentando la protección contra el fraude ya que el comercio no tendrá acceso a la información de dicha transacción.

Nueva herramienta del PCI SSC para la evaluación de pequeños comercios

El PCI SSC ha desarrollado, dentro de su programa "PCI Data Security Essentials Resources for Small Merchants" una herramienta que ayudará a los pequeños comercios a identificar sus canales de pago y los principales riesgos y controles que les afectan.

La herramienta, Data Security Evaluation Tool, se presenta para que sea utilizada por los comercios para que hagan una evaluación de su entorno, a través de cuestionarios y en un lenguaje sencillo, intentando alejarse de términos técnicos.

Antes de completar el cuestionario, se indica que los comercios deben hacerlo con ayuda de su adquiriente y que la herramienta no se utiliza para comunicar el estado de cumplimiento al Council o al banco.

Análisis detallado en el blog de PCI Hispano.

   

Rol de la International Trade Administration en el marco Privacy Shield

Privacy Shield es un framework creado para sustituir el derogado Safe Harbor y busca facilitar el intercambio de datos de carácter personal entre la Unión Europea y Estados Unidos.

Este marco es administrado por la International Trade Administration (ITA), que forma parte del Departamento de Comercio de Estados Unidos.

En este artículo, se nos presentan las principales actividades de la ITA.

Analisis de Incidentes  Análisis de Incidentes
British Airways

El 6 de septiembre British Airways confirmó que había sufrido una fuga de datos que afectaba a 380.000 clientes. La información robada incluía información personal, así como datos financieros.

Esta fuga afectó tanto a su página web como a la aplicación móvil entre los días 21 de agosto y 5 de septiembre.

La fuga se dio cuando se inyectaron scripts en el servicio de compras online, que redirigían la información a un servidor atacante a la vez que se mantenía el servicio intacto, dificultando el descubrimiento del ataque. Es una técnica similar a la que se utilizó en ticketmaster el pasado mes de julio.

Más información en la web de British Airways.

Dixons Carphone

Hace unos meses, la empresa inglesa informó de una brecha en sus sistemas que afectaba a algo más de 1 millón de datos personales de clientes, y que se había intentado acceder a 5.900.000 datos de tarjetas, de las cuales 105.000 fueron expuestas.

El pasado mes de julio, tras continuar con la investigación, la Organización informó que datos de hasta 10.000.000 de personas podrían haberse visto afectados, no así sus datos de tarjeta.

Parece ser que los 105.000 datos de tarjeta afectados no estaban protegidos mediante cifrado y eran tarjetas que no tenían protección de chip, como sí pasaba con el resto de tarjetas. El incidente aún se encuentra en investigación.

Se puede consultar el comunicado de la Organización desde este enlace.

Ticketmaster

La rama inglesa (con servicio en toda europa) de Ticketmaster informó el pasado 23 de junio de una brecha en su seguridad que afectaba a 40.000 usuarios, incluyendo sus datos personales, así como sus datos de tarjeta.

En este caso, un proveedor de desarrollo de Ticketmaster, Inbenta, fue vulnerado, incluyendo un script similar al que veíamos en British Airways (de hecho se sospecha que los atacantes son los mismos).

Se puede consultar el comunicado de la Organización desde este enlace.

Government Payment Service Inc.

La Organización que se encarga de gestionar los pagos de las agencias del gobierno de Estados Unidos puede haber sufrido una brecha de seguridad según el investigador Brian Krebs (krebsonsecurity). No hay confirmación por parte de la Organización, quienes indican que hay una amenaza potencial.

Esta brecha podría afectar a más de 14.000.000 de usuarios, incluyendo datos personales y datos de tarjetas desde el año 2012. No se ha confirmado que atacantes maliciosos hayan accedido a la información.

Tendencias  Tendencias

Nuevos ataques "Wiretapping" según el Servicio Secreto de Estados Unidos

El servicio secreto de Estados Unidos ha avisado a las instituciones financieras de una nueva forma de ataque skimming en cajeros.

El ataque empieza realizando un agujero en el cajero, que luego es cubierto con una placa metálica o pegatina con el logo del banco en cuestión.

Los atacantes introducirán el dispositivo de skimming en dicho orificio y lo juntarán al lector interno a través de un imán.

El ataque se completa mediante la inclusión de una cámara o sustituyendo el teclado para obtener el PIN.

 

¿Amazon Bank?

Desde hace algún tiempo se viene hablando que los grandes "retailers" (Amazon, Apple e incluso Google) piensan en enfocarse a los servicios financieros; esto es a un hecho. Tomando el ejemplo de Amazon, hace ya varios meses que la Organización ha incluido servicios financieros en su plataforma de la mano de Amazon Cash o líneas de crédito.

De esta forma ¿cuál es el siguiente paso? Mucho se está especulando a este respecto, pero todo hace pensar que es cuestión de tiempo que se incluyan servicios de cuentas de ahorro o similar. Esto además viene motivado por estudios que indican que los usuarios confían más en este tipo de empresas que en sus propios bancos.

 

Flavors of fast

Una de las principales tendencias en los servicios de pago es la dinamización y la mejora en las comunicaciones, permitiendo el pago instantáneo. Aplicaciones como Bizum (impulsada por la banca española), Rapid Transfer o similar, y otras Fintech facilitan la integración de este tipo de pagos (o transferencias) también avalado por nuevas regulaciones como PSD2.

La Organización Fidelity National Information Services, dedicada a proveer servicios financieros a nivel mundial, ha publicado un informe donde se evalúa el crecimiento de este tipo de servicios, así como regulaciones o sistemas que ayudan a la integración de los pagos instantáneos.

           

Inquietud ante el "Buy Button" de Visa y Mastercard

Visa y Mastercard anunciaron el pasado abril que barajaban fusionar sus soluciones de pago (Visa Checkout y Masterpass) respectivamente para adoptar un nuevo "Buy Button" para realizar compras "en un click" y que se adecuase al marco "EMVCo's Secure Remote Commerce".

Su idea es competir contra Paypal, ApplePay y soluciones similares, que copan gran parte del mercado.

No obstante, esta idea ha generado mucho ruido y son varias las organizaciones (Walmart, Target, Home Depot, etc.) quienes se oponen y buscan el apoyo de regulaciones, ya que esta solución evitaría a las empresas poder redirigir las transacciones de débito a través de otras redes con menos sobrecostes.

 

Pago con código QR

Probablemente pagar a través de códigos QR es el mecanismo de pago que más crecimiento ha tenido en el último año, principalmente de la mano de China e India, donde actores como AliPay y WeChat Pay se pueden ver en casi todos los comercios, que muchas veces no aceptan pago con tarjeta en cambio.

Esta tecnología, está ya implantada en algunos países como los mencionados, pero aún está en fase de crecimiento en Estados Unidos y Europa, donde ya se ven varias soluciones que permiten el uso de esta tecnología.

 

Los pagos en el Internet de las cosas

IoT, wereables... Se calcula (Gartner) que para 2020 habrá más de 20.000 millones de dispositivos IoT conectados a la red, incluyendo coches, relojes, neveras, etc.

Muchos de estos dispositivos serán capaces de realizar compras a través de Internet.

Para ello, Visa ha desarrollado su programa "Visa Ready", que busca certificar y securizar la experiencia de pagos a través de estos dispositivos.

Se puede consultar el programa desde la la web de visa.

Internet Security Auditors
C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Spain) | Telf.: +34 93 305 13 18
C. Arequipa, 1. 28043 Madrid (Spain) | Telf.: +34 91 763 40 47
Calle 90 # 12-28. 110221 Bogotá D.C. (Colombia) | Telf.: +57 (1) 638 68 88

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC" by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com