Seguridad de pagos por Internet: recomendaciones del Banco Central Europeo

El Banco Central Europeo emitió hace ya unos meses una serie de recomendaciones sobre la seguridad de los pagos por Internet que están en mi opinión bastante bien enfocadas. El propósito de estas recomendaciones es establecer un nivel de seguridad mínimo en los pagos minoristas por Internet en el ámbito del Espacio Económico Europeo.

La idea es que la aplicación de las recomendaciones por parte de los proveedores de servicios de pagos ayude a reducir el fraude y al mismo tiempo a aumentar la confianza de los usuarios en los pagos por Internet. En este artículo vamos a tratar de resumir los aspectos esenciales de las mencionadas recomendaciones.

Alcance de las recomendaciones

Las recomendaciones aplican a todos los proveedores de servicios de pagos por Internet (entidades financieras, procesadores de tarjetas,…) así como a las empresas que ofrecen (por ejemplo a comercios online) servicios técnicos de integración de sistemas de pagos por Internet.

Se aplican a todo pago por Internet que use tarjetas financieras, transferencias online, movimientos de monederos electrónicos y órdenes de domiciliación de pagos (direct debits). Quedan excluidas expresamente las contrataciones electrónicas, operaciones de broker, órdenes de pago emitidas por teléfono, correo o SMS, pagos por móvil que no se lleven a cabo a través del navegador de Internet, transacciones de pago que se llevan a cabo a través de líneas de comunicaciones dedicadas y pagos realizados con tarjetas prepago anónimas.

Principios Básicos

Las recomendaciones se articulan alrededor de tres categorías:

• Realización recurrente de análisis de riesgos, para asegurar que las medidas de seguridad establecidas por los responsables siguen siendo eficaces y se adaptan a los nuevos escenarios de ataque llevados a cabo por las redes de defraudadores.

• Uso de mecanismos de autenticación fuerte, tanto a la hora de ordenar pagos como a la hora de acceder a los datos sensibles, cuyo acceso o manipulación pueda favorecer la realización de fraude. Los mecanismos de autenticación fuerte son aquellos que combinan dos o más de los siguientes elementos: algo que el cliente conoce (ej: contraseña), algo que el cliente tiene (ej: teléfono, token, tarjeta de coordenadas) o algo que el cliente es (ej: huella biométrica).

• Establecimiento de mecanismos de monitorización de transacciones que permitan detectar y bloquear proactivamente operaciones fraudulentas.

• Realización de programas de concienciación, formación y comunicación de los usuarios en materias relacionadas con la seguridad de las transacciones online, ayudándoles a usar los servicios de Internet de manera segura y eficiente.

A continuación voy a resumir los que son a mi juicio los aspectos más relevantes del documento:

Medidas Generales de Control

• Los proveedores de servicios de pagos deberán llevar a cabo revisiones periódicas del grado de adecuación de las medidas de seguridad implementadas para dar respuesta a los escenarios de riesgo reales o potenciales. Especialmente este ejercicio de análisis de riesgos deberá realizarse tras la ocurrencia de incidentes, antes de que se lleven a cabo cambios en la infraestructura y los procedimientos y ante la aparición de nuevas amenazas identificadas. Acciones correctoras deberán aprobarse e implementarse para mantener la efectividad del marco de control cuando se identifiquen debilidades.

• Los proveedores de servicios de pagos deberán implantar procedimientos que aseguren la fortificación y gestión de vulnerabilidades de los sistemas críticos de procesamiento. Así mismo, implantarán medidas de control adecuadas para restringir el acceso a la información y a los sistemas al menor número de personas imprescindible, de acuerdo al principio de “mínimo privilegio” y “necesidad de saber”. Además, deberán establecerse medidas de segregación de funciones y responsabilidades entre los entornos de desarrollo, pruebas y producción de los sistemas de pagos.

• Las medidas de seguridad de los sistemas de pago por Internet, deberán ser verificadas con la supervisión del personal de riesgos de la entidad, para asegurar su robustez y eficacia. Todos los cambios en los sistemas de pagos deberán ser realizados de acuerdo con un procedimiento formal de gestión de cambios que asegure que todos los cambios son planeados, testados, documentados y aprobados. En relación con los los niveles de amenaza percibidos, los sistemas deberán ser verificados periódicamente para asegurar su resistencia a los ataques típicos.

Información Inicial a Clientes

• Antes de empezar a operar, al cliente hay que proporcionarle información para que pueda hacer un uso seguro del servicio. Dicha información hace referencia a los requisitos de seguridad (ej: firewall, antivirus) de los dispositivos que vayan a ser usados por el cliente (ej: tablet, ordenador…) para operar; recomendaciones sobre cómo preservar la confidencialidad de las credenciales de acceso de usuario; descripción paso a paso de los procedimientos para ordenar y autorizar pagos e indicaciones sobre cómo proceder en caso de que se produzca un fraude y/o el robo de las credenciales de acceso del cliente.

• En el contrato de prestación de servicios, se le debe dar información clara al cliente sobre las responsabilidades que asume en el uso seguro del servicio y en la protección de sus credenciales de acceso y autorización de operaciones. Además, se le debe informar al cliente de que la entidad puede bloquear o demorar determinadas operaciones de pago, en caso de que la entidad alberge sospechas de fraude.

Autenticación Fuerte

Los mecanismos de autenticación fuerte son aquellos que combinan dos o más de los siguientes elementos: algo que el cliente conoce (ej: contraseña), algo que el cliente tiene (ej: teléfono, token, tarjeta de coordenadas) o algo que el cliente es (ej: rasgo biométrico como la huella digital o la huella vocálica). Los elementos deben ser mutuamente independientes y al menos uno de ellos debería ser no reusable, no replicable y no susceptible de ser robado vía Internet (por ejemplo, una contraseña de un solo uso específica para un pago y generada por un software generador de tokens).

• El proveedor de servicios de pago debe requerir una autenticación fuerte para la autorización de pagos del cliente por Internet ; no obstante, puede ser considerado otro tipo de autenticación en aquellos casos en que se tengan garantías de que la operación de pago es confiable; por ejemplo, porque el beneficiario del pago figura en una lista blanca de confianza del cliente ordenante, porque la cuenta beneficiaria del pago es del propio ordenante, porque los importes de las operaciones sean bajos o porque el pago se lleve a cabo entre cuentas del mismo proveedor de servicios de pago y esté justificado por un análisis de riesgos de la transacción.

• El acceso y la modificación de datos sensibles por parte del cliente requiere a su vez la autenticación mediante mecanismos de autenticación fuerte. Se entiende por datos sensibles, aquellos cuyo acceso y/o modificación no autorizada puede facilitar la comisión de un fraude (por ejemplo, la inclusión de un número de cuenta en la lista blanca de cuentas confiables por el cliente o la modificación del teléfono móvil donde se reciben los avisos de operación al cliente).

• Todas las tarjetas financieras emitidas por parte de los proveedores de servicios de pago deben ser capaces de soportar la autenticación fuerte. Así mismo, los mecanismos usados para aceptar tarjetas financieras de terceros, en el ámbito del comercio online, deben estar preparados para permitir la autenticación fuerte por parte de la entidad emisora de la tarjeta. En aquellas operaciones que sean identificadas como de bajo riesgo por medio de un análisis de la transacción, se podrán contemplar mecanismos de autenticación alternativos a la autenticación fuerte.

• Los proveedores de soluciones de monedero electrónico, deben asegurarse que cuando un cliente da de alta un número de tarjeta financiera en el monedero electrónico, esto se haga tras una autenticación fuerte por parte del emisor de la tarjeta.

• Los proveedores de soluciones de monedero electrónico, deben requerir un nivel de autenticación fuerte a los clientes cuando acceden a sus servicios de monedero electrónico o cuando realizan pagos mediante este sistema. En aquellas operaciones que sean identificadas como de bajo riesgo por medio de un análisis de la transacción, se podrán contemplar mecanismos de autenticación alternativos a la autenticación fuerte.

• Los proveedores de servicios de pagos deberán establecer mecanismos de autenticación mutua con los comercios electrónicos de cara al intercambio de información en el contexto de pagos.

• Los comercios online deberán soportar la autenticación fuerte del titular de la tarjeta por parte del emisor de la misma, en las transacciones de pago con tarjeta en Internet.

• La autenticación fuerte debería incluir elementos que asocien dicha autenticación a datos específicos de la operación como importe y/o beneficiario.

Proceso de registro de clientes y de provisión y envío de herramientas y/o software de autenticación al cliente

• Deben establecerse procedimientos seguros para la entrega a clientes de las credenciales de acceso y todo dispositivo y/o software que se use para realizar el pago. El software distribuido por Internet deberá ir firmado digitalmente por el proveedor de servicios de pago, de modo que permita al usuario verificar la autenticidad del mismo y asegurarse de que no está manipulado fraudulentamente.

Monitorización de Transacciones

La monitorización de transacciones está orientada a la detección, prevención y bloqueo de transacciones fraudulentas de pago. La monitorización de transacciones debe ser llevada a cabo antes de la autorización final de la operación. Todas aquellas operaciones que sean identificadas como de alto riesgo o sospechosas deberán ser revisadas y evaluadas cuidadosamente.

• Tales sistemas de monitorización deben basarse por ejemplo en el uso de listas blancas y/o negras (por ejemplo, de cuentas confiables, de cuentas usadas en operaciones de fraude o de tarjetas financieras denunciadas como robadas…) y deben monitorizar patrones de comportamiento anómalo por parte del usuario o del dispositivo usado; por ejemplo, cambios en la dirección IP del dispositivo o en la ubicación geográfica del mismo, tipología de comercios o importes distintos a los usuales del cliente. Los sistemas de monitorización deberán ser capaces además de identificar indicios de infección por malware en la sesión y de escenarios de fraude típicos.

• Los proveedores de servicios de pago que procesen transacciones de comercios electrónicos con tarjetas de otros emisores, deberán establecer mecanismos para monitorizar la actividad de los comercios online que usen sus servicios.

• En aquellos casos en los que se deba retener una operación de pago para proceder a su análisis y verificación (cuando es considerada sospechosa o anómala), el proveedor de servicios de pago deberá asegurarse de que el periodo de tiempo de demora se reduzca al mínimo imprescindible.

Protección de la información sensible

• Los procesadores de servicios de pago deberán establecer los mecanismos técnicos necesarios para asegurar que la información sensible del pago está protegida contra accesos o manipulación no autorizados, tanto en la información almacenada en base de datos como en la transmisión de la misma, usando para ello mecanismos de encriptación reconocidos.

• Los procesadores de servicios de pago que presten servicio a comercios online, deberán recomendarles a estos que no almacenen, procesen o transmitan en sus sistemas información sensible relacionada con los pagos. En caso de que los comercios decidan esta opción, se les deberá requerir contractualmente por parte del proveedor de servicios que establezcan las medidas de seguridad apropiadas y que verifiquen periódicamente su eficacia. En caso de que se evidencie que el comercio no aplica las medidas de seguridad requeridas deberá finalizarse el contrato de prestación.

Concienciación, formación y comunicación a clientes

Los procesadores de servicios de pago deberán proporcionar asistencia y guía a los clientes con respecto al uso seguro de los mecanismos de pago. Además, deberán usar medios de comunicación con los clientes que posibiliten que los clientes puedan validar la autenticidad de las comunicaciones recibidas.

• Los procesadores de servicios de pago establecerán mecanismos para que los clientes puedan reportar pagos fraudulentos o la ocurrencia de actividades anómalas y/o sospechosas.

• Los procesadores de servicios de pago llevarán a cabo acciones de concienciación de clientes para que estos protejan convenientemente sus credenciales de acceso (ej. contraseñas, pines, tokens), gestionen convenientemente la seguridad de los dispositivos usados (ej: instalación de parches de seguridad, firewall y antivirus en el ordenador), consideren los riesgos asociados con la descarga por Internet de contenidos (ej: software de origen desconocido, archivos multimedia…)y conozcan los fraudes típicos.

• Los procesadores de servicios de pago deben establecer límites por defecto en cuanto a los importes de las operaciones de pago por Internet y deben proporcionar a los clientes la capacidad de reducir aún más esos límites (importes máximos de pago o importes máximos por el acumulado de varias operaciones).

• Los procesadores de servicios de pago deben establecer mecanismos de notificación a los clientes (mediante SMS, o llamadas de teléfono), alertándoles de la ocurrencia de operaciones de riesgo potencial.

• Los procesadores de servicios de pago deben proporcionar a los clientes información actualizada y a tiempo que les permita verificar la realización y el estado de los pagos realizados por Internet.

Damos por finalizado aquí este resumen. El documento original completo del Banco Central Europeo puede ser descargado desde su página web. Un fuerte abrazo y gracias por la atención.

Artículos relacionados

Ayudas para la elección de una estrategia efectiva de prevención del fraude online

Escenarios de robo de credenciales y fraude online

E-Commerce y Fraude Online: Guía para Emprendedeores