Pagos Online seguros, presente y futuro.

O pago por internet é o máis utilizado polas novas xeracións e cada vez máis pola poboación en xeral. O futuro de compras e transaccións de todo tipo perfílase online sendo xa unha realidade en crecemento constante. É obrigado por tanto ir desenvolvendo unha contorna o máis seguro posible para o consumidor.

PRESENTE: Pago con tarxeta, pasarelas de pago seguras.

Na actualidade son varias as medidas de seguridade que debe achegar unha pasarela de pago, analizaremos os requisitos que debe cumprir:

-Normativa PCI DSS ( Payment Card Industry Data Security Standard)

Establece un estándar de seguridade a nivel mundial onde se recollen un conxunto de requisitos técnicos e operativos para protexer a información sensible dos titulares das tarxetas .es obrigatorio para todas as empresas que aceptan, procesan ou transmiten os datos dos titulares das tarxetas ( CHD) ou datos de autenticación confidenciais( SAD).

Inclúe 12 requisitos:

1. Instalar e manter unha configuración de devasa (firewall) para protexer os datos dos propietarios de tarxetas.

2. Non utilizar contrasinais de sistemas e outros parámetros de seguridade provistos polos provedores.

3. Protexer os datos almacenados dos propietarios de tarxetas.

4. Cifrar a transmisión dos datos do titular da tarxeta nas redes públicas abertas

5. Usar e actualizar con regularidade os programas ou software antivirus.

6. Desenvolver e manter sistemas e aplicacións seguras.

7. Restrinxir o acceso aos datos tomando como base a necesidade de saber que teña a empresa.

8. Asignar unha identificación única a cada persoa que teña acceso aos compoñentes do sistema.

9. Restrinxir o acceso físico aos datos dos propietarios de tarxetas.

10. Rastrexar o acceso aos recursos da rede e datos dos propietarios de tarxetas.

11. Probar regularmente os sistemas e procesos de seguridade.

12. Manter unha política que aborde a seguridade da información para todo o persoal.

 - TOKENIZAR a información sensible.

A tokenización consiste en substituír o número PAN das tarxetas de crédito e débito por unha serie de números xerados aleatoriamente ( token) que non teñen significado algún nin son reversibles. Os díxitos da tarxeta mantéñense seguros ao manexar tokens no canto de información real de pago.

O funcionamento podemos resumilo en tres fases:

Aprovisionamento (o cliente xa posúe un token vinculado ao seu PAN)

Validación (o token é enviado á rede de tarxetas de créditos para procesar a transacción e esta rede destokenizar o token, obtén o PAN que envía ao banco do dono da tarxeta e recibe unha validación por parte desa entidade financeira).

Autorización unha vez recibida a validación da transacción a rede retokenizar o PAN e envía a autorización ao vendedor.

-Protocolo 3D secure.

Está pensado para evitar as fraudes con tarxeta en operacións nas que non existe unha presenza real da tarxeta.

Consiste nunha tecnoloxía antifraude de encriptación. No momento do pago garante que o usuario se identifique e acredítese como titular da tarxeta coa que vai pagar a compra mediante a introdución dun dato adicional. A comprobación realízase mediante unha conexión directa do cliente co seu banco. Será a entidade bancaria a encargada de autenticar a identidade (lexitimidade) do comprador reclamándolle esa información extra complementaria; PIN ou contrasinal, código vía SMS, clave xerada por un token ou unha app móbil, código de coordenadas, data de nacemento ou outro dato persoal.

Chegados a este punto onde xa coñecemos as distintas medidas de seguridade que debe achegar unha pasarela de pago falaremos en concreto dunha delas, Redsys, que é o centro neurálxico da maior parte das transaccións de pago que ocorren en España, entre elas as de Inversa a través de Paymático ( conta segregada de custodia de diñeiro).

Para facernos unha idea algúns dos seus socios son:

Abanca, Banco Bilbao Biscaia, Banca March, Banco Sabadell, Banco Mediolanum, Banco Santander, Bankia, Bankinter, Barclays, Caixa Rural Galega etc…

Redsys ofrece solucións baseadas en redirixir á páxina de pago aloxada nos seus servidores seguros. A través da súa pasarela de pagos online ofrece unha Ferramenta de Control de Risco que permite crear regras con parámetros combinables. O seu servizo de prevención activa da fraude utiliza unha rede neuronal que aprende e modela o seu comportamento coa experiencia acumulada día a día. Redsys ademais utiliza cando é necesario un segundo nivel de seguridade( a Autenticación 3D Secure) e un servizo de Tokenización .

Redsys é un Provedor de Procesamento pero son as entidades financeiras, como propietarias das tarxetas que emiten as que se encargan de autorizar ou denegar operacións, de realizar os cargos e retrocesiones nas súas contas e de todos os aspectos relacionados coa súa xestión. A entidade coa que se asinou o contrato a través do seu central de medios de pago encargarase de revisar, investigar e dar solución aos problemas expostos co uso da devandita tarxeta.

FUTURO: O móbil substitúe ás tarxetas.

[[IMAXE_2]]

O pasado 14 de Setembro entrou en vigor a nova directiva de servizos de pago coñecida como PSD2 aprobada pola Autoridade Bancaria Europea para mellorar a seguridade nos pagos online , obrigará a que os provedores esixan polo menos dous elementos para verificar a identidade do comprador( dobre autenticación).

Así mesmo, os novos estándares técnicos obrigarán aos bancos para crear plataformas de comunicación para garantir o acceso de terceiras partes, en particular das empresas de finanzas tecnolóxicas ( fintech) aos datos bancarios dos seus clientes de forma fácil e segura.

Aqueles negocios online que non conten cun sistema de autenticación reforzada nos seus pagos deberán adaptar a pasarela de pago á nova directiva.

Con todo no noso país o Banco de España concedeu unha moratoria e a norma entrará en vigor máis adiante.

Actualmente conviven dúas formas de pago, a tradicional mediante tarxeta e os pagos realizados co móbil, pero debúxase un futuro onde as tarxetas quizais xa non sexan necesarias xa que grazas ao acceso directo ás contas dos usuarios que os bancos deberán proporcionar a terceiros, o cliente poderá autorizar expresamente calquera comercio (desde os de gran tamaño, ata os máis modestos) a cobrarlle a súa compra de forma inmediata e sen utilizar a tarxeta, coma se fose unha simple transferencia. O móbil será imprescindible neste proceso