El pasado mes de enero, el PCI SSC publicó una versión actualizada del suplemento informativo de mejores prácticas para el aseguramiento del comercio electrónico (“Information Supplement: Best Practices for Securing E-commerce“). Este documento entra a remplazar al “Information Supplement:PCI DSS E-commerce Guidelines” publicado en enero de 2013. Esta nueva guía contiene gran cantidad de recomendaciones del grupo de trabajo “Securing e-Commerce Special Interest Group” del PCI SSC que han surgido a raíz de los cambios tecnológicos y normativos que se han presentado en estos últimos 4 años, tiempo prudencial que se ha tomado el Council para realizar esta nueva publicación orientada a la protección de transacciones no presenciales (“card not-present” – CNP).

Una de las principales razones por las cuales se publicó esta nueva guía es debido al incremento que han tenido los fraudes y robos de datos de tarjetas de pago a través de canales transaccionales no presenciales. A pesar que se han optimizado los controles para minimizar los riesgos en estos canales, los niveles de fraude han seguido incrementándose paulatinamente, en contraposición a los canales presenciales, cuyo fraude ha descendido gracias a la aplicación de controles de seguridad en el punto de venta (“point-of-sale”) provistos por la masificación de chips EMV, el uso de tokenización, los controles de protección del PIN y los requerimientos de estándares como P2PE (Point-to-Point Encryption).

A continuación se hace un análisis de los puntos más importantes de este nuevo suplemento informativo:

Análisis de las implementaciones de comercio electrónico

Con el fin de “oficializar” dentro del Council las descripciones de integración de pagos en comercio electrónico publicadas por VISA en septiembre de 2014 y realizar una serie de aclaraciones respecto a la relación entre cada método de integración y su Cuestionario de Auto-Evaluación (SAQ) vinculado, en este suplemento informativo se realiza un análisis detallado del proceso de integración, el impacto en el comercio y diferentes recomendaciones de seguridad en función del riesgo asumido al usar una redirección, un iFrame, Direct Post, Javascript o APIs, finalizando con una interesante tabla en donde se comparar las ventajas y desventajas de cada método desde la perspectiva de usabilidad, personalización, riesgo, contacto con datos de tarjeta y cumplimiento con PCI DSS:

Finalmente, se presenta una tabla en donde se puede analizar en términos de coste-beneficio la implementacion de cada método de integración vs. la cantidad y dificultad de implementación de controles de PCI DSS:

Por otro lado, se analizan los posibles puntos de confluencia entre los canales de pago de comercio electrónico y otros canales para finalmente describir el proceso de identificación del alcance de cumplimiento (“scoping”) y recomendaciones adicionales para la identificación de fraude,  tokenización, encriptación y almacenamiento temporal de datos de tarjetas y contenido de terceros en formularios de pago.

Recomendaciones en el uso y selección de certificados de clave pública

Mediante el uso de criptografía asimétrica y el par de claves pública y privada, se puede garantizar una seguridad punto a punto entre un browser y un servidor web, por ejemplo. La implementación de protocolos como TLS (“Transport Layer Security“) facilitan la adopción de estos controles de seguridad, que son estandarizados en el Requisito 4 de PCI DSS (“Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas”) y permiten la protección tanto de los datos de tarjetas de pago transmitidos a través de redes públicas abiertas como de las credenciales de autenticación.

No obstante, para que la seguridad provista por estos mecanismos sea efectiva se requiere del uso de algunas recomendaciones, que se enumeran en este apartado de la guía de aseguramiento de comercio electrónico:

  • Selección de una Autoridad de Certificación (“Certification Authority” – CA) confiable
  • Selección de un tipo apropiado de certificado de clave pública
  • Tipos de certificados (“domain validated”  -DV, “organization validated” – OV y “extended validation” – EV) y sus riesgos relacionados

  • Configuraciones de TLS 1.2 con base en los criterios del documento “NIST Special Publication 800-57 Part 1 Revision 4, Recommendation for Key Management”
  • Preguntas y respuestas de comercios respecto al uso de los diferentes tipos de certificados y opciones de migración a TLS

Directrices para determinar la seguridad de las soluciones de comercio electrónico

En esta sección se ofrecen varias recomendaciones a los comercios en la selección de sus proveedores de servicio y soluciones de comercio electrónico, con el fin de minimizar el potencial riesgo de fraude en sus transacciones.

Dentro de dichas recomendaciones se encuentran:

Casos de estudio de soluciones de comercio electrónico

Para explicar los conceptos explicados a lo largo del suplemento informativo, al final del documento se incluyen a modo de ejemplo cuatro casos de estudio, cada uno con un método de integración de pagos distinto y – obviamente – diferentes niveles de riesgo y de cumplimiento con PCI DSS con el uso de Cuestionarios de Auto-Evaluación:

  1. Caso de estudio con redirección completamente externalizada (uso de SAQ A)
  2. Caso de estudio con uso de iFrame completamente externalizado (uso de SAQ A)
  3. Caso de estudio con uso de un formulario generado mediante Javascript parcialmente externalizado (uso de SAQ A-EP)
  4. Caso de estudio con API gestionada por el comercio (uso de SAQ D)

Mejores prácticas y recomendaciones de seguridad en comercio electrónico

Finalmente, el PCI SSC lista diferentes recomendaciones generales a tener en cuenta para desplegar controles de seguridad en entornos de comercio electrónico:

  • Conozca la ubicación de todos los datos de tarjeta de pago en su entorno, mediante el uso de inventarios y diagramas de red y de flujo de datos
  • Si no necesita datos de tarjeta de pago, no los almacene
  • Evalúe los riesgos asociados con la selección de tecnologías de comercio electrónico
  • Identifique los riesgos en el acceso remoto de proveedores de servicio al entorno del comercio
  • Realice Escaneos ASV al entorno del comercio
  • Realice Pruebas de penetración al entorno del comercio
  • Implemente las recomendaciones generales para el aseguramiento de entornos de comercio electrónico
  • Ejecute formaciones periódicas en seguridad de la información a todos los empleados y clientes finales

Con este documento, el Council pretende aclarar las múltiples dudas acerca del uso de los controles de cada SAQ conforme con la implementación de los diferentes tipos de integración para la realización de pagos y dar soporte para la elaboración de una estrategia general de seguridad en plataformas de comercio electrónico.

Recuerda que si tienes dudas o comentarios relacionados con este nuevo documento, puedes dejarnos un comentario en este artículo, contactárnos a través de las redes sociales o dejar tu pregunta en el foro.