Facebooktwitterlinkedin

Uno de los grandes retos del eCommerce es vencer la inseguridad de los consumidores. En los últimos años las ventas online se han incrementado exponencialmente de forma especial durante los meses del confinamiento, pero al mismo tiempo que se avanza en la tecnología para realizar compras más seguras, los ciberdelincuentes encuentran nuevas vías para lanzar amenazas a la seguridad.

Para entender más cómo se pueden minimizar esos riesgos, entrevistamos a Raúl Mejía, VP Internacional Operations en GM Sectec, una empresa que cuenta con más de 50 años de trayectoria y experiencia como empresas líder en el ámbito de la tecnología de la información, manejo de riesgos en medios de pago y seguridad de datos.

Entrevista con Raúl Mejía, VP Internacional Operations GM Sectec

Sabemos que tras el confinamiento se ha impulsado el eCommerce en el mundo entero. Hablando de México, de acuerdo con el último estudio de la AMVO ha crecido un 81% a comparación de 2019, mientras que 2 de cada 10 empresas registran incrementos del 300% en su volumen de negocios. Esta rápida adopción por el comercio online ¿tiene alguna implicación para la seguridad de las transacciones?

En efecto, los clientes hacen cada vez más compras y adquieren servicios en línea. Ante este escenario, desde hace tiempo el comercio electrónico se ha vuelto un sector más apetecible para los ciberdelincuentes. Existen diversos riesgos en la seguridad de la información, y tanto las empresas que brindan estos servicios, como los clientes que acceden son responsables de minimizar estos riesgos.

¿Qué riesgos implican?

Existen diversos riesgos que afrontan las empresas y clientes que usan el comercio electrónico, como el robo de identidad virtual (phising), falsificación de datos o páginas web (spoofing, pharming) o malware por mencionar algunos. Por eso es importante se adopten estrategias y herramientas sofisticadas para evitar el fraude en línea y contrarrestar estas amenazas. Una de las estrategias más efectivas para reducir el fraude en línea es el cumplimiento de estándares de seguridad como es PCI DSS.

Seguridad, métodos de pago e información: los motivadores para comprar en línea (AMVO)

¿Cuáles son las normas actuales en relación con los estándares de seguridad para las transacciones vía online en el país?

Desde Noviembre del 2018 la Comisión Nacional Bancaria y de Valores de México (CNBV), emitió en el Capítulo X de la Circular Única de Bancos (CUB) 316, las normas relativas a la seguridad en la transmisión y custodia de la información sensitiva de los datos del tarjetahabiente, tanto en medios físicos como electrónicos, con el propósito de proteger la confidencialidad e integridad de los clientes mediante diversos lineamientos que deben ser cumplidos por todos los participantes en el proceso de aceptación de tarjetas, incluidos los comercios pequeños o definidos como de nivel 4.

¿Qué es el estándar PCI DSS? ¿A qué se refiere?

Es un estándar de seguridad internacional publicado por el consejo de PCI SSC y abalado por las principales marcas de tarjetas, orientado a la definición de controles para la protección de la información sensible de las tarjetas de crédito y débito durante su procesamiento, almacenamiento y/o transmisión. Actualmente, se encuentra en la versión 3.2.1.

¿Cuáles son los controles y prácticas de ciberseguridad que se deben implementar bajo este estándar?

El estándar PCI DSS establece 12 requerimientos fundamentales para los comercios:

  • 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
  • 2: No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  • 3: Proteger los datos almacenados del titular de la tarjeta.
  • 4: Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
  • 5: Utilizar y actualizar regularmente el software antivirus.
  • 6: Desarrollar y mantener sistemas y aplicaciones seguros.
  • 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad comercial de la empresa.
  • 8: Asignar una identificación única a cada persona con acceso a la computadora.
  • 9: Restringir el acceso físico a los datos del titular de la tarjeta.
  • 10: Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
  • 11: Probar regularmente los sistemas y procesos de seguridad.
  • 12: Mantener una política que aborde la seguridad de la información.

¿Cuáles serían las recomendaciones para las entidades bancarias a la hora de implementar un programa de gestión de riesgos para comercios?

A la hora de implementar un programa de gestión de riesgos para comercios, el banco adquirente debe tener en cuenta los siguientes elementos:

  • Animar a sus comercios de Nivel 4 a utilizar tecnologías de pago que desvaloricen y desensibilicen los datos de las tarjetas de pago. Las tecnologías de pago seguras incluyen EMV, soluciones validadas de cifrado punto a punto (P2PE) que figuran en el sitio web del PCI SSC y productos de tokenización.
  • Incentivar a los comercios de nivel 4 a utilizar los últimos dispositivos de seguridad de transacciones con PIN (PTS) aprobados por la PCI (actualmente la versión 5.x). Los comercios que implementen nuevos dispositivos de pago deben utilizar únicamente dispositivos aprobados PCI PTS en sus entornos de pago.
  • Asegurarse de que sus comercios de nivel 4 utilicen únicamente proveedores de servicios que cumplan con PCI DSS y que han completado con éxito una evaluación in situ realizada por una QSA aprobada por el PCI SSC.
  • Validar que los comercios de nivel 4 utilicen aplicaciones de pago que cumplan con la Norma de Seguridad de Datos de Aplicaciones de Pago del Sector de las Tarjetas (PCI PA- DSS), según corresponda.
  • Recomendar a sus comercios de Nivel 4 que utilicen un Integrador y Revendedor Cualificado (QIR) que figure en el sitio web del PCI SSC cuando implementen o den soporte a una aplicación de pago que cumpla con la PCI PA-DSS.
  • Animar a sus comercios de nivel 4 de alto riesgo a que contraten a una QSA aprobado por el PCI SSC o a que utilicen un asesor de seguridad interno (ISA) cuando evalúen su cumplimiento de la PCI DSS.

Para tener un poco más de contexto, cuéntanos sobre GM Sectec, sus principales fortalezas, cuál es su oferta de valor.

GM Security Technologies (GMST) ha crecido hasta convertirse en la principal organización en el mercado de la ciberseguridad del Caribe y América Latina. GMST es una empresa global con nueve oficinas en toda América Latina, los Estados Unidos, Europa y Australia; más de 3000 empleados; 50 000 clientes en 38 países.

GM Sectec, ofrece soluciones y servicios innovadores en ciberseguridad, gobernabilidad y cumplimiento, enfocados en gestionar el riesgo digital. Sus soluciones están diseñadas para detectar ataques avanzados y responder a ellos de manera efectiva, reduciendo así el riesgo del negocio, el fraude y el cibercrimen.

¿Cuáles son los planes de crecimiento o mejoras a futuro de GM Sectec, digamos, en los próximos 5 años?

Continuar nuestra expansión internacional con enfoque en Europa y agregar productos de valor agregado para nuestros clientes en el mercado de servicios administrados de seguridad.

¿Cuentan con una estrategia de marketing online? ¿Qué les ha funcionado más y qué les ha funcionado menos?

Si, definitivamente el incremento el awareness de la marca a través de una estrategia digital como lo son webinars y presencia en las redes sociales nos ha apoyado para que más empresas nos conozcan. Considero que en general todo lo que hemos invertido en marketing online nos ha funcionado.

¿Cómo crees que evolucionará el mundo digital y específicamente el eCommerce en México?

Es un hecho que tanto las empresas como los consumidores van a tener mayor participación en el mundo digital. Las empresas están vendiendo y ofreciendo sus productos y servicios de manera online y los consumidores buscan la comodidad, practicidad y rapidez de comprar a través sitios web. Por lo anterior las empresas deberán de invertir más tanto en estrategias de awareness digital para que su marca tenga un mayor alcance en el target potencial, así como invertir en herramientas sofisticadas para evitar el fraude en línea.

¿Y en relación con la seguridad en los pagos digitales? ¿Cuál será el próximo paso por tomar en el país?

Considero que al haber impulsado e implementado la CNBV en el Capítulo X en la CUB en el artículo 316 Bis 10 ha sido un gran avance en México en materia de protección, confidencialidad e integridad de los datos del tarjetahabiente. Será importante que se siga promoviendo el cumplimiento y la implementación de estándares de seguridad como PCI DSS en las empresas.

Cuestionario rápido

¿Cuál es la primera red social que abres en el día?

Telegram

¿iOS o Android?

iOS

¿App o web?

App

¿En qué eCommerce y hace cuánto has hecho tu última compra online?

Amazon, ayer

¿Y qué era?

Unos skechers

¿Último libro leído? (valen ebooks)

Unshakeable de Tony Robbins

Recomiéndanos una serie de ficción.

Biohackers

¿Qué web has conocido últimamente que te haya sorprendido para bien?

GM Sectec

¿Qué es lo que más te gusta hacer que no tenga nada que ver con lo digital?

Pasar tiempo con mi familia.

Hilemos una cadena mágica: ¿A qué conocido tuyo (de otra empresa) crees que deberíamos entrevistar? ¿Por qué? 

Víctor Chapela, por ser un líder y emprendedor de empresas de tecnología y ciber seguridad en nuestro país.

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram