diseminación de información lecciones para evitar la

Anuncio
www.infosol.com.mx
DISEMINACIÓN DE INFORMACIÓN
LECCIONES PARA EVITAR LA VIOLACIÓN DE DATOS
Lo más relevante

Los ladrones de identidad pueden traspasar hasta el firewall más ágil, por esta razón es momento de
comenzar la partida y asegurar los datos.
Las importantes violaciones de datos a minoristas publicadas recientemente, justo en medio de la temporada
de compras navideñas, muestran que la construcción de una fosa cibernética alrededor de las empresas no es
suficiente. Los datos en sí tienen que ser asegurados, añadiendo una capa potente de seguridad que pueda
derrotar a la mayoría de los intentos por monetizar los datos robados.
Los ladrones de identidad pueden traspasar hasta el firewall más ágil de un minorista. Le pasa a las agencias
gubernamentales más seguras. Así que no es sorpresa que les pueda suceder a los comerciantes aun
siguiendo las pautas PCI (Payment Card Industry). Así que es el momento de comenzar la partida y asegurar
los datos.
PCI ha adoptado el concepto de "Encriptación Punto por Punto" y "Tokenización" para bloquear los datos en sí.
Es un concepto simple -cifrar los datos antes de que cualquier software pueda leerlos y no los guarde en el
sistema del comerciante-.
¿Por qué tienen éxito los ladrones de identidad?
Una manera en que los ladrones de identidad han tenido éxito es mediante la búsqueda de formas inteligentes
de traspasar un firewall, por ejemplo, el robo de credenciales bona fide y sembrando malware que intercepte y
almacene los datos del tarjetahabiente para después subir los datos robados, venciendo así el cifrado de datos
de las tarjetas. Por lo tanto, este ejemplo es un recuerdo de la evolución de la seguridad Wi-Fi. Originalmente,
los datos a través de Wi-Fi eran enviados sin encriptar. Los ladrones comenzaron a “rastrear” y a registrar los
datos tratando de cerrar la brecha; inicialmente, mediante la encriptación de datos, pero sin asegurar las claves
de cifrado que deben intercambiarse para facilitar la comunicación (WEP). Ese incumplimiento finalmente se
cerró en la siguiente ronda de normas de seguridad (WPA / 2), donde se adoptó la criptografía fuerte y el
intercambios de claves cifradas.
¿Cómo trabaja la encriptación Point to Point?
PCI está siguiendo un enfoque similar al de la seguridad de datos Wi-Fi. PCI primero recomienda que los datos
del tarjetahabiente queden encriptados, antes de que cualquier software pueda leerlos. Los datos cifrados se
envían como de costumbre a la puerta de enlace del comerciante o al procesador de pago "solución P2PE",
que es el procesador de puerta de enlace que desencripta los datos del titular de la tarjeta antes de enviarlos a
través de una conexión segura a las redes de tarjetas (Visa, MasterCard, Discover, American Express). Al igual
que en la analogía Wi-Fi, el lector de tarjetas PCI recomienda utilizar TDES (Triple Data Encryption Algorithm)
fuertes o criptografía AES (Advanced Encryption Standard) -WPA / 2 utiliza AES- y las tareas del "proveedor de
soluciones" P2PE para administrar las claves de cifrado, como lo hacen hoy en día para los dispositivos de
entrada de PIN.
Soluciones Integrales en Comunicación
Tel.: 5560 1000; Fax: 5560 1064
www.infosol.com.mx
¿EMV no resolverá el problema?
EMV (Europay, MasterCard and Visa) va a ayudar, pero no va a resolver por completo el problema. Los
ladrones de identidad se dirigen a los comerciantes de Estados Unidos, ya que pueden obtener beneficios
económicos de los datos robados de dos maneras: a través de la creación tarjetas duplicadas para su uso en el
comercio minorista y utilizando los datos para realizar compras de comercio electrónico en línea. EMV
autentifica la tarjeta en el punto de interacción, eliminando la posibilidad de poder duplicar la tarjeta para que no
pueda convertirse en una fuente de ingresos para los ladrones de identidad. La capacidad de duplicar
fácilmente las tarjetas estadounidenses crea un sesgo para atacar el comercio de Estados Unidos. Una vez
que EMV sea utilizado ampliamente en Estados Unidos, este sesgo será eliminado. Sin embargo, EMV no
elimina la necesidad de pasar datos del titular de la tarjeta de nuevo en el sistema de pago. Así que la
necesidad de proteger los datos todavía existirá.
¿Cómo es que las llaves de encriptación brindan seguridad?
PCI recomienda que las claves de cifrado queden inyectadas en una instalación segura y certificada por un
proveedor de servicios PCI, lo cual permitirá que se descarguen las claves de manera segura desde el
proveedor del servicio P2PE. PCI también recomienda que esas llaves se "roten" cada año, para reducir el
riesgo de que los ladrones de identidad obtengan las claves de cifrado. Un método aprobado y más seguro es
utilizar la gestión de claves DUKPT (Derived Unique Key Per Transaction). Con DUKPT, el lector de tarjetas
calcula una clave de cifrado única para cada transacción de pago para que no sea necesaria la rotación de
claves anualmente.
##
Acerca de Honeywell
Honeywell (www.honeywell.com) empresa líder en fabricación y tecnología diversificada, incluida en las Fortune
100, sirviendo a clientes de todo el mundo con productos y servicios aeroespaciales; tecnología controlada para
edificios, hogares y fabricas; productos automotrices; turbocompresores; y materiales de alto rendimiento.
Establecida en Morris, Nueva Jersey; las acciones de Honeywell se mueven en las bolsas de valores de Nueva
York, Londres y Chicago. Para más información visita www.honeywellnow.com.
Honeywell Scanning & Mobility (HSM) es líder en la fabricación de hardware de alto rendimiento para la recolección
de datos basados en imágenes y tecnología láser, que incluyen computadoras portátiles resistentes y escáneres
de códigos de barras, soluciones de RFID, flujo de trabajo con capacidad de voz y soluciones de impresión. Con
una de las carteras de productos más amplias en la industria de identificación automática y recolección de datos,
HSM ofrece hardware para la recolección de datos a empresas minoristas, de atención de la salud, centros de
distribución, entrega directa en tiendas, servicio en campo, transporte y de logística que buscan mejorar las
operaciones y el servicio al cliente. Además, HSM ofrece soluciones profesionales, de servicios y de software
avanzado que ayudan a los clientes a administrar eficazmente sus datos y sus activos. Los productos HSM se
venden en todo el mundo a través de una red de socios distribuidores y revendedores. Para obtener más
información sobre Honeywell Scanning & Mobility visita www.honeywellaidc.com.
Contacto:
InfoSol
[email protected]
5560-1000
Soluciones Integrales en Comunicación
Tel.: 5560 1000; Fax: 5560 1064
Descargar