www.infosol.com.mx DISEMINACIÓN DE INFORMACIÓN LECCIONES PARA EVITAR LA VIOLACIÓN DE DATOS Lo más relevante Los ladrones de identidad pueden traspasar hasta el firewall más ágil, por esta razón es momento de comenzar la partida y asegurar los datos. Las importantes violaciones de datos a minoristas publicadas recientemente, justo en medio de la temporada de compras navideñas, muestran que la construcción de una fosa cibernética alrededor de las empresas no es suficiente. Los datos en sí tienen que ser asegurados, añadiendo una capa potente de seguridad que pueda derrotar a la mayoría de los intentos por monetizar los datos robados. Los ladrones de identidad pueden traspasar hasta el firewall más ágil de un minorista. Le pasa a las agencias gubernamentales más seguras. Así que no es sorpresa que les pueda suceder a los comerciantes aun siguiendo las pautas PCI (Payment Card Industry). Así que es el momento de comenzar la partida y asegurar los datos. PCI ha adoptado el concepto de "Encriptación Punto por Punto" y "Tokenización" para bloquear los datos en sí. Es un concepto simple -cifrar los datos antes de que cualquier software pueda leerlos y no los guarde en el sistema del comerciante-. ¿Por qué tienen éxito los ladrones de identidad? Una manera en que los ladrones de identidad han tenido éxito es mediante la búsqueda de formas inteligentes de traspasar un firewall, por ejemplo, el robo de credenciales bona fide y sembrando malware que intercepte y almacene los datos del tarjetahabiente para después subir los datos robados, venciendo así el cifrado de datos de las tarjetas. Por lo tanto, este ejemplo es un recuerdo de la evolución de la seguridad Wi-Fi. Originalmente, los datos a través de Wi-Fi eran enviados sin encriptar. Los ladrones comenzaron a “rastrear” y a registrar los datos tratando de cerrar la brecha; inicialmente, mediante la encriptación de datos, pero sin asegurar las claves de cifrado que deben intercambiarse para facilitar la comunicación (WEP). Ese incumplimiento finalmente se cerró en la siguiente ronda de normas de seguridad (WPA / 2), donde se adoptó la criptografía fuerte y el intercambios de claves cifradas. ¿Cómo trabaja la encriptación Point to Point? PCI está siguiendo un enfoque similar al de la seguridad de datos Wi-Fi. PCI primero recomienda que los datos del tarjetahabiente queden encriptados, antes de que cualquier software pueda leerlos. Los datos cifrados se envían como de costumbre a la puerta de enlace del comerciante o al procesador de pago "solución P2PE", que es el procesador de puerta de enlace que desencripta los datos del titular de la tarjeta antes de enviarlos a través de una conexión segura a las redes de tarjetas (Visa, MasterCard, Discover, American Express). Al igual que en la analogía Wi-Fi, el lector de tarjetas PCI recomienda utilizar TDES (Triple Data Encryption Algorithm) fuertes o criptografía AES (Advanced Encryption Standard) -WPA / 2 utiliza AES- y las tareas del "proveedor de soluciones" P2PE para administrar las claves de cifrado, como lo hacen hoy en día para los dispositivos de entrada de PIN. Soluciones Integrales en Comunicación Tel.: 5560 1000; Fax: 5560 1064 www.infosol.com.mx ¿EMV no resolverá el problema? EMV (Europay, MasterCard and Visa) va a ayudar, pero no va a resolver por completo el problema. Los ladrones de identidad se dirigen a los comerciantes de Estados Unidos, ya que pueden obtener beneficios económicos de los datos robados de dos maneras: a través de la creación tarjetas duplicadas para su uso en el comercio minorista y utilizando los datos para realizar compras de comercio electrónico en línea. EMV autentifica la tarjeta en el punto de interacción, eliminando la posibilidad de poder duplicar la tarjeta para que no pueda convertirse en una fuente de ingresos para los ladrones de identidad. La capacidad de duplicar fácilmente las tarjetas estadounidenses crea un sesgo para atacar el comercio de Estados Unidos. Una vez que EMV sea utilizado ampliamente en Estados Unidos, este sesgo será eliminado. Sin embargo, EMV no elimina la necesidad de pasar datos del titular de la tarjeta de nuevo en el sistema de pago. Así que la necesidad de proteger los datos todavía existirá. ¿Cómo es que las llaves de encriptación brindan seguridad? PCI recomienda que las claves de cifrado queden inyectadas en una instalación segura y certificada por un proveedor de servicios PCI, lo cual permitirá que se descarguen las claves de manera segura desde el proveedor del servicio P2PE. PCI también recomienda que esas llaves se "roten" cada año, para reducir el riesgo de que los ladrones de identidad obtengan las claves de cifrado. Un método aprobado y más seguro es utilizar la gestión de claves DUKPT (Derived Unique Key Per Transaction). Con DUKPT, el lector de tarjetas calcula una clave de cifrado única para cada transacción de pago para que no sea necesaria la rotación de claves anualmente. ## Acerca de Honeywell Honeywell (www.honeywell.com) empresa líder en fabricación y tecnología diversificada, incluida en las Fortune 100, sirviendo a clientes de todo el mundo con productos y servicios aeroespaciales; tecnología controlada para edificios, hogares y fabricas; productos automotrices; turbocompresores; y materiales de alto rendimiento. Establecida en Morris, Nueva Jersey; las acciones de Honeywell se mueven en las bolsas de valores de Nueva York, Londres y Chicago. Para más información visita www.honeywellnow.com. Honeywell Scanning & Mobility (HSM) es líder en la fabricación de hardware de alto rendimiento para la recolección de datos basados en imágenes y tecnología láser, que incluyen computadoras portátiles resistentes y escáneres de códigos de barras, soluciones de RFID, flujo de trabajo con capacidad de voz y soluciones de impresión. Con una de las carteras de productos más amplias en la industria de identificación automática y recolección de datos, HSM ofrece hardware para la recolección de datos a empresas minoristas, de atención de la salud, centros de distribución, entrega directa en tiendas, servicio en campo, transporte y de logística que buscan mejorar las operaciones y el servicio al cliente. Además, HSM ofrece soluciones profesionales, de servicios y de software avanzado que ayudan a los clientes a administrar eficazmente sus datos y sus activos. Los productos HSM se venden en todo el mundo a través de una red de socios distribuidores y revendedores. Para obtener más información sobre Honeywell Scanning & Mobility visita www.honeywellaidc.com. Contacto: InfoSol [email protected] 5560-1000 Soluciones Integrales en Comunicación Tel.: 5560 1000; Fax: 5560 1064