¿Pagos móviles como un Control de Seguridad?

Pregunte a cualquier comerciante y él/ella dirá que aceptar con tarjetas de créditos trae su propio conjunto de desafíos de seguridad. No solo existen aquellos (fairly prescriptive) requerimientos provenientes de los Estándares de Seguridad de Datos de la Industria de Pagos con Tarjetas (PCI DSS) de los cuales hay que preocuparse, sino que al ser un profesional de la seguridad en un contexto comercial también se incluye una serie de otras cosas de las cuales estar preocupado. Estas incluyen anticiparse a las potenciales transacciones fraudulentas, mantenerse al tanto de donde son almacenados los datos de los tarjeta-habientes y las rutas por la cuales transitan los datos al interior del entorno del comercio, asegurando la apropiada delimitación entre el ambiente de datos del tarjeta-habiente (CDE, por siglas en ingles) y otros ambientes, evaluando es estado de la seguridad y cumplimiento de los proveedores de servicio, y numerosos otros temas.

El punto es, los pagos pueden ser un reto desde el punto de vista de la seguridad. Ya que nadie cuenta con un presupuesto ilimitado, la responsabilidad recae en los profesionales de la seguridad de encontrar formas creativas para enfrentar esos desafíos de manera consciente del presupuesto y se centrados en la eficiencia. El ser creativo en este contexto significa a veces, buscar maneras aparentemente poco ortodoxas para exprimir hasta la última gota de la utilidad de las oportunidades que se presentan, para avanzar sobre los intereses de seguridad, garantizando al mismo tiempo que estas oportunidades tengan el mínimo impacto en las operaciones comerciales.

Lo crea o no, la aceptación de pagos móviles puede ser una de esas vías. Al entender cómo funcionan los pagos móviles bajo la capa—y buscando formas creativas de convertir esto en una ventaja desde el punto de vista de seguridad—las partes interesadas pueden potencialmente tomar algunas medidas para avanzar con sus programas de seguridad, mientras que, al mismo tiempo, proporcionar una valioso servicio a los clientes.

¿Porque los pagos moviles?

Francamente, esta afirmación puede sonar loca para muchos profesionales. Por ejemplo, la Encuesta del 2015 sobre Pagos Móvil de ISACA encontró que el 87 por ciento de los 900 profesionales de la seguridad encuestados esperaba ver un aumento en las violaciones en los datos de pagos móviles en el próximo año. Alrededor de la mitad (47 por ciento) indicó que los pagos móviles no son seguros, y sólo el 23 por ciento respondió que los pagos móviles son seguros para mantener la información personal protegida. Así que, claramente, decir que la profesión considera los pagos móviles con cierto escepticismo, es un eufemismo.

Dicho esto, vale la pena considerar las alternativas a los pagos móviles. Considere por un momento las vías para el fraude y el abuso de los clientes disponibles cada vez que presenta su tarjeta para iniciar una transacción con tarjeta-presente. Cada vez que la tarjeta está fuera de la billetera del titular de la tarjeta, existe la posibilidad de que se pierda o sea robada. Existe la posibilidad de la interceptación a través del punto de venta (es decir, a través de un skimmer), la oportunidad para el robo a través del almacenamiento lógico en el punto de venta (POS) mismo, la posibilidad de sniffing de la red entre el POS y en cualquiera que sea el sistemas que maneje el detalle de los pago antes del procesamiento de los pagos en el back-end, etc. En todos y cada paso a lo largo de ese camino, las cosas podrían salir mal en una gran forma.

Ahora, compare eso con un escenario de pagos móviles como Android Pay, Samsung Pay o Apple Pay. Bajo esos modelos, el número de cuenta primario (PAN) está protegido por medio de tokenización (tokenization) del pago, las transacciones son autenticadas utilizando criptografía fuerte, y hay mecanismos para atenuar o incluso eliminar muchos de los escenarios de fraude que uno podría encontrar en un contexto tradicional de tarjeta-presente. Por otra parte, existe una sólida unión entre el titular de la tarjeta y la transacción de pago misma, a través del requisito de autenticación suplementario (biométrica o número personal de identificación [PIN]) antes del pago pueda ser iniciado.

Nadie está diciendo que los pagos móviles tienen universalmente las propiedades de seguridad más robustas en cada caso de uso existente, sino que simplemente se sugiere que puede haber ventajas en muchas situaciones relativas a una transacción tradicional con tarjeta-presente. Entendiendo que este es el caso, la aceptación de pagos móviles puede entonces avanzar desde un ser un reto a una oportunidad.

La Reducción del Riesgo en la práctica

Con esto en mente, ¿cuáles son algunas formas en que los pagos móviles pueden ser aprovechados por los profesionales de seguridad para ganar terreno en este campo? La primera área es entender las propiedades de seguridad que los pagos móviles tienen y los posibles beneficios/inconvenientes que surgen como consecuencia, tal como se ha indicado aquí. Pero no se quiere decir que para esto uno tenga que leer las especificaciones de ingeniería o algo similar, pero si le incumbe a los profesionales de seguridad el entender los conceptos de alto nivel, ya que en última instancia, ellos tomaran decisiones de riesgo respecto. El reciente documento (white paper) de ISACA, ¿Es el móvil el ganador en la Seguridad de Pagos?, esboza la propuesta de valor del negocio (y, sí, la seguridad) y describe algunos controles que pueden ayudar a los profesionales de seguridad en el terreno de mitigar algunos de los posibles riesgos.

Como el documento lo explica en más detalle, una de las principales ventajas de los pagos móviles usando tokenización del pago es que el PAN(número de cuenta primario) no se almacena realmente en el dispositivo móvil o es transmitido al comerciante. Incluso si se ve comprometida la red de comerciante, el PAN no es comprometido, lo que reduce el riesgo de robo o fraude.

Este es un buen punto de partida, pero existe una forma adicional en que los pagos móviles pueden entregar valor a los programas de seguridad, incluso más allá de esto: En concreto, ya que el despliegue de la aceptación de pagos móviles requiere una actualización en tándem de los POS y las tiendas minoristas, esta actualización puede ser una buena oportunidad para revisar esas tiendas minoristas y al mismo tiempo dar una mirada más amplia a las contramedidas de seguridad implementadas (ya que, como cualquier comerciante lo puede decir, las tiendas minoristas son a menudo el punto en donde se producen los retos concretos).

Una revisión sistemática en conjunto de las medidas de seguridad implementadas para las tiendas minoristas, tanto en lo referente a los POS como a la tienda de forma más general, tiene una serie de beneficios. Tenga en cuenta que para completar la documentación requerida en el marco del programa de PCI DSS (un informe sobre el cumplimiento [RoC – Report of Compliance] para los comerciantes más grandes o un cuestionario de autoevaluación [SAQ – Self-Assessment Questionneire] para los más pequeños), un subconjunto de estos lugares estaría probablemente bajo investigación potencialmente de todas formas. En concreto, dado que las tiendas minoristas que participan en una operación de pago casi siempre serán parte de la CDE, casi siempre estarán incluidas en una revisión. Esto significa que el presupuesto empleado para la actualización del POS podría potencialmente servir a dos propósitos, tanto para mejorar el POS (y potencialmente mitigar ciertas áreas de riesgo ya existentes), así como para la creación de una oportunidad más amplia para examinar otras áreas potenciales de preocupación en las propias tiendas minoristas.

La puesta en marcha de aceptación de pagos móviles es sin duda un desafío y lleva consigo una inquietud comprensible, ya que la tecnología en sí es relativamente nueva. Sin embargo, esto también presenta una oportunidad para los profesionales experimentados que saben qué buscar y puedan, al igual que los expertos en judo, revertir la situación en su favor.