Adquirentes: ¿Cuál es el historial de seguridad de su socio de tecnología de pagos?
Escucha este artículo.
Nadie quiere que se le relacione con una filtración de datos, y mucho menos un banco adquirente o un procesador de pagos. Aun así, el sector financiero se encuentra cada vez más a menudo en el punto de mira. Por ejemplo, el informe de Sophos State of Ransomware in Financial Services 2023 reveló que la tasa de ransomware en el sector financiero era del 64%, frente al 55% del año pasado. Además, la tasa casi se ha duplicado desde 2021. La investigación de Sophos también confirmó que las instituciones financieras están contraatacando con soluciones de seguridad de pago, realizando importantes inversiones en protección de endpoints, soluciones de confianza cero, detección de amenazas 24/7 y otras tecnologías. Aun así, los actores de amenazas siguen encontrando su camino con esquemas de phishing y correo electrónico y explotan las vulnerabilidades.
Dónde encuentran vulnerabilidades los actores de amenazas
Aunque las empresas adquirentes trabajan duro para crear una ciberseguridad férrea en su ecosistema de TI, necesitan hacer más. También es fundamental tener en cuenta la tecnología de pago de sus socios. Los atacantes han conseguido entrar en los sistemas y robar datos aprovechando las vulnerabilidades de los dispositivos de pago. The Register informó en 2022 de que los autores de las amenazas utilizaron dos tipos de malware de punto de venta para infectar terminales de pago y robar datos de más de 167.000 cuentas de tarjetas de crédito. Unos años antes, los hackers desplegaron malware en los terminales de pago de los mostradores y surtidores de combustible de una tienda de conveniencia para robar datos de tarjetas de crédito, lo que afectó a unos 34 millones de cuentas de consumidores.
Ataques de esta naturaleza subrayan la importancia de asociarse con empresas de tecnología de pago que den prioridad a la seguridad en el diseño de dispositivos y el desarrollo de plataformas. Los adquirentes que se asocian con empresas que comercializan dispositivos con vulnerabilidades pueden propiciar ciberataques y violaciones de datos. En caso de que se produzcan, los dispositivos que aparezcan en su sitio web serán un lastre para la reputación de su empresa.
¿Cómo evaluar la postura de seguridad de la tecnología de pago de un socio?
Trabajar con un socio de tecnología de pago que cuente con la certificación del sector de tarjetas de pago (PCI) es un hecho. El estándar de seguridad de datos PCI (PCI DSS) incluye requisitos técnicos para los dispositivos, la infraestructura y los sistemas implicados en el procesamiento de las transacciones de pago. Debe empezar a investigar a un socio asegurándose de que la empresa y sus productos específicos están incluidos en la lista de dispositivos PIN Transaction Security (PTS) aprobados por la PCI.
Sin embargo, las entidades adquirentes deben hacer más para garantizar que los dispositivos de pago que permiten utilizar a los comerciantes ofrecen el máximo grado de seguridad. Las entidades adquirentes deben investigar el enfoque de la empresa de tecnología de pago y obtener las respuestas que necesitan para asegurarse de que sus socios cuentan con una estrategia eficaz.
Ingenico, por ejemplo, adopta un enfoque equilibrado de la seguridad. Nuestra estrategia consiste en limitar la huella de los datos dentro de una red, reduciendo la superficie de ataque. A continuación, nos centramos en crear múltiples capas para proteger los datos de los titulares de tarjetas, incluido el cifrado de punto a punto (P2PE), que protege los datos en tránsito desde el terminal de pago a su sistema y a las marcas de tarjetas. Sustituye los datos de la tarjeta legibles por el ser humano por un criptograma, que sólo puede descifrarse con una clave. La tokenización también ayuda a proteger los datos del titular de la tarjeta. Sustituye la información legible del titular de la tarjeta por un código generado aleatoriamente que los comercios pueden utilizar para "recordar" la información de la cuenta de los clientes para su comodidad en futuras compras. Pero no pone en peligro los datos si un ciberdelincuente accede al entorno informático del comercio. Un enfoque por capas ayuda a proteger los datos, ya que si las amenazas acceden a un sistema, no encontrarán nada rentable que robar o por lo que pedir un rescate.
Otra forma de asegurarse de que su socio de tecnología de pagos tiene un buen historial de seguridad es actuar con la diligencia debida e investigar a la empresa. Busque en Internet, lea los titulares y familiarícese con las violaciones de datos e investigaciones anteriores. Si encuentra señales de alarma, investigue más a fondo para tomar las mejores decisiones para los comerciantes a los que presta servicio y para su empresa.
Más información
Una empresa de tecnología de pagos que se comercialice eficazmente no garantiza que sea un socio que le ayudará a mantener seguros los datos de los titulares de tarjetas. Aborde las asociaciones con circunspección.
Para obtener más información sobre el enfoque de Ingenico con respecto a la seguridad de los pagos, nuestro enfoque equilibrado para mantener seguros los datos de los titulares de tarjetas y nuestra estrategia de seguridad para el desarrollo de productos, póngase en contacto con nosotros.