Pagos Online Seguros, presente y futuro.
El pago por internet es el más utilizado por las nuevas generaciones y cada vez más por la población en general. El futuro de compras y transacciones de todo tipo se perfila online siendo ya una realidad en crecimiento constante. Es obligado por tanto ir desarrollando un entorno lo más seguro posible para el consumidor.
PRESENTE: Pago con tarjeta, pasarelas de pago seguras.
En la actualidad son varias las medidas de seguridad que debe aportar una pasarela de pago, analizaremos los requisitos que debe cumplir:
-Normativa PCI DSS ( Payment Card Industry Data Security Standard)
Establece un estándar de seguridad a nivel mundial donde se recogen un conjunto de requisitos técnicos y operativos para proteger la información sensible de los titulares de las tarjetas .Es obligatorio para todas las empresas que aceptan, procesan o transmiten los datos de los titulares de las tarjetas (CHD) o datos de autentificación confidenciales(SAD).
Incluye 12 requisitos:
1. Instalar y mantener una configuración de cortafuegos (firewall) para proteger los datos de los propietarios de tarjetas.
2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores.
3. Proteger los datos almacenados de los propietarios de tarjetas.
4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
5. Usar y actualizar con regularidad los programas o software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguras.
7. Restringir el acceso a los datos tomando como base la necesidad de saber que tenga la empresa.
8. Asignar una identificación única a cada persona que tenga acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos de los propietarios de tarjetas.
10. Rastrear el acceso a los recursos de la red y datos de los propietarios de tarjetas.
11. Probar regularmente los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información para todo el personal.
-TOKENIZAR la información sensible.
La tokenización consiste en sustituir el número PAN de las tarjetas de crédito y débito por una serie de números generados aleatoriamente (token) que no tienen significado alguno ni son reversibles. Los dígitos de la tarjeta se mantienen seguros al manejar tokens en vez de información real de pago.
El funcionamiento podemos resumirlo en tres fases:
*Aprovisionamiento (el cliente ya posee un token vinculado a su PAN)
*Validación (el token es enviado a la red de tarjetas de créditos para procesar la transacción y esta red destokenizar el token, obtiene el PAN que envía al banco del dueño de la tarjeta y recibe una validación por parte de esa entidad financiera).
*Autorización una vez recibida la validación de la transacción la red retokenizar el PAN y envía la autorización al vendedor.
-Protocolo 3D secure.
Está pensado para evitar los fraudes con tarjeta en operaciones en las que no existe una presencia real de la tarjeta.
Consiste en una tecnología antifraude de encriptación. En el momento del pago garantiza que el usuario se identifique y se acredite como titular de la tarjeta con la que va a pagar la compra mediante la introducción de un dato adicional. La comprobación se realiza mediante una conexión directa del cliente con su banco. Será la entidad bancaria la encargada de autentificar la identidad (legitimidad) del comprador reclamándole esa información extra complementaria; PIN o contraseña, código vía SMS, clave generada por un token o una app móvil, código de coordenadas, fecha de nacimiento u otro dato personal.
Llegados a este punto donde ya conocemos las distintas medidas de seguridad que debe aportar una pasarela de pago hablaremos en concreto de una de ellas, Redsys, que es el centro neurálgico de la mayor parte de las transacciones de pago que ocurren en España, entre ellas las de Inversa a través de Paymático ( cuenta segregada de custodia de dinero).
Para hacernos una idea algunos de sus socios son:
Abanca, Banco Bilbao Vizcaya, Banca March, Banco Sabadell, Banco Mediolanum, Banco Santander, Bankia, Bankinter, Barclays, Caixa Rural Galega etc…
Redsys ofrece soluciones basadas en redirigir a la página de pago alojada en sus servidores seguros. A través de su pasarela de pagos online ofrece una Herramienta de Control de Riesgo que permite crear reglas con parámetros combinables. Su servicio de prevención activa del fraude utiliza una red neuronal que aprende y modela su comportamiento con la experiencia acumulada día a día. Redsys además utiliza cuando es necesario un segundo nivel de seguridad( la Autenticación 3D Secure) y un servicio de Tokenización .
Redsys es un Proveedor de Procesamiento pero son las entidades financieras, como propietarias de las tarjetas que emiten las que se encargan de autorizar o denegar operaciones, de realizar los cargos y retrocesiones en sus cuentas y de todos los aspectos relacionados con su gestión. La entidad con la que se haya firmado el contrato a través de su central de medios de pago se encargará de revisar, investigar y dar solución a los problemas planteados con el uso de dicha tarjeta.
FUTURO: El móvil sustituye a las tarjetas.
El pasado 14 de Septiembre entró en vigor la nueva directiva de servicios de pago conocida como PSD2 aprobada por la Autoridad Bancaria Europea para mejorar la seguridad en los pagos online , obligará a que los proveedores exijan al menos dos elementos para verificar la identidad del comprador( doble autentificación).
Asimismo, los nuevos estándares técnicos obligarán a los bancos a crear plataformas de comunicación para garantizar el acceso de terceras partes, en particular de las empresas de finanzas tecnológicas (fintech) a los datos bancarios de sus clientes de forma fácil y segura.
Aquellos negocios online que no cuenten con un sistema de autentificación reforzada en sus pagos deberán adaptar la pasarela de pago a la nueva directiva.
Sin embargo en nuestro país el Banco de España ha concedido una moratoria y la norma entrará en vigor más adelante.
Actualmente conviven dos formas de pago, la tradicional mediante tarjeta y los pagos realizados con el móvil, pero se dibuja un futuro en donde las tarjetas quizás ya no sean necesarias ya que gracias al acceso directo a las cuentas de los usuarios que los bancos deberán proporcionar a terceros, el cliente podrá autorizar expresamente cualquier comercio (desde los de gran tamaño, hasta los más modestos) a cobrarle su compra de forma inmediata y sin utilizar la tarjeta, como si fuera una simple transferencia. El móvil será imprescindible en este proceso.
