Hace años que la idea de comercio online no solo tomó auge, sino que se afianzó al ofrecer una alternativa de compra y venta más directa y menos estresante que el modelo tradicional basado en tiendas físicas.
Si bien es mucho más práctico que coger tapones y destinar tiempo que quizás no tenemos para ir a una tienda, el comercio online tiene también sus desventajas, siendo quizás la mayor el hecho de que por esta vía abundan los fraudes y el robo de información sensible.
Es un tema que cada cierto tiempo encierra una lección de seguridad tanto para empresas como para clientes, y en este punto es importante conocer un poco del funcionamiento y los lineamientos básicos de seguridad que aplican a este asunto del comercio electrónico, donde la responsabilidad recae sobre cada una de las partes.
Para quienes se inician en comercio electrónico, uno de los pasos más vitales es familiarizarse con PCI-DSS 3.2 (Payment Card Industry Data Security Standard), el estándar de seguridad de datos de la industria de tarjetas de pago. Este es un conjunto de requerimientos que rigen la forma en que las organizaciones administran la información de las tarjetas en el proceso de pago, así como otros datos e información del tarjetahabiente.
Es importante destacar que el cumplir con los requerimientos de PCI-DSS no sólo se trata de pasar una auditoría anualmente; sino que ha pasado a ser una verdadera urgencia en materia de protección de los datos e información de clientes, e incluso para evitar incurrir en multas que podrían en algunos casos convertirse en el cese de sus operaciones. Héctor Guillermo Martínez, presidente de GM Security Technologies.
Manejo de la seguridad en comercio online
A nadie le gusta la idea de realizar una compra online y luego enterarse de que sus datos quedaron comprometidos por un descuido del comercio. Partiendo de este hecho, bien podría decirse que el principal deber aquí es defender los derechos del cliente a través de la debida protección de sus datos.
Aparte de la necesaria implementación de un sistema de seguridad, cifrado de datos sensibles y políticas de retención y eliminación de información, el adiestramiento y concientización de los colaboradores que manejan estos datos es fundamental para ofrecer la protección adecuada.
El comercio online debe asimismo estar en guardia ante amenazas externas. El uso de firewalls en cada conexión y cada dispositivo, tener la posibilidad de bloquear conexiones que no sean de confianza y limitar las funciones de un servidor son pasos necesarios en este punto. Todos los componentes en el ecosistema deben de protegerse contra virus y malwares, actualizando las medidas regularmente.
Las empresas deben protegerse también contra amenazas internas, restringiendo el acceso a los datos solo responsables del área y hasta el nivel que necesitan para realizar las funciones. Además, se deben monitorear todas las cuentas de usuarios establecidas, incluyendo a proveedores y terceros, particularmente las de administradores. Las cuentas deben ser desactivadas luego de varios intentos de acceso fallidos o inmediatamente después de que se culmine la necesidad de haberlas otorgado.
La implementación de sistemas de log, monitoreo y auditoría para todos los dispositivos y componentes en el ecosistema, con alertas que faciliten la investigación y resolución de actividades sospechosas, facilita dar respuesta ante incidentes. El registro debe incluir todas las acciones de administrador, intentos de inicio de sesión, cambios en cuenta y pausas en la pista de auditoría.
Los sistemas en un comercio electrónico deben ser permanentemente sometidos a pruebas de penetración internas y externas, corrigiendo y volviendo a probar cualquier riesgo explotable encontrado, implementando herramientas de detección de cambios que alerten al personal sobre cualquier modificación no autorizada de archivos y componentes en los sistemas críticos y comparando sus archivos al menos semanalmente.