Las transacciones financieras instantáneas o pagos instantáneos, como también se les conoce, desempeñarán un papel clave en la aceleración de la economía. Una de las razones que inciden directamente en el desarrollo del comercio en general es la falta de agilidad en las transacciones.
A pesar de los avances tecnológicos que se han producido hasta la fecha, aún nos queda mucho por mejorar.
Con el nuevo método de pago, bautizado por el Banco Central de Brasil como PIX, el principal objetivo de la transferencia electrónica es realizar transacciones financieras, como una transferencia entre cuentas, en menos de diez segundos, a cualquier hora, todos los días de la semana.
Sin embargo, la inmediatez de este nuevo método de pago, a pesar de sus numerosas ventajas, plantea un problema: si los pagos instantáneos se realizan en tiempo real, en un corto espacio de tiempo, ¿no es también susceptible de maniobras fraudulentas y ciberataques?
Para reducir estos riesgos, el banco central brasileño ha definido unos requisitos de seguridad fundamentales para garantizar la protección de las transacciones y los datos de los usuarios.
Y una vez más, el uso de la tecnología será clave para que adoptemos transacciones financieras instantáneas de forma segura y eficiente, impulsando la transformación de los medios de pago.
El gran reto de las transacciones financieras instantáneas
En el marco del desarrollo de soluciones de pago instantáneo, los bancos se enfrentan a una creciente complejidad en la lucha contra las transacciones financieras fraudulentas.
La rapidez de las transacciones exige una gestión antifraude totalmente automatizada, sin opciones de revisión manual. El reto es la protección al tiempo que se mantiene el ritmo de los cambiantes requisitos de cumplimiento.
Según el Banco Central, a través de las especificaciones técnicas y de negocio del PIX, el ecosistema de transacciones financieras instantáneas debe diseñarse y desarrollarse teniendo en cuenta las buenas prácticas de seguridad.
Para ello habrá que garantizar la privacidad y protección de los datos de los usuarios.
Sobre la base de este contexto, deberán cumplirse los siguientes requisitos de seguridad del ecosistema determinados por el OC:
Cifrado y autenticación mutua en la comunicación
Cada Proveedor de Servicios de Pago (PSP) debe conectarse al PIX exclusivamente a través del protocolo HTTP utilizando el cifrado TLS.
Debe haber autenticación mutua al establecer la conexión, es decir, tanto el cliente como el servidor deben presentar certificados digitales para autenticarse.
Firma digital de los mensajes intercambiados durante los pagos instantáneos
Todos los mensajes transmitidos por el PIX deben estar firmados digitalmente por el remitente. El receptor verificará la firma digital de cada mensaje para garantizar su integridad y el no repudio.
Además, las firmas deben aparecer en la cabecera de aplicación comercial (BAH) de los mensajes ISO 20022, y el estándar adoptado es XMLDSig, que utiliza el algoritmo RSA-SHA256 para la firma.
Uso y gestión de certificados digitales
Tanto para el cifrado de las comunicaciones como para la firma digital, deben utilizarse certificados ICP-Brasil en el estándar SPB.
La activación de un nuevo certificado para una institución financiera que haga uso de transacciones financieras instantáneas se realizará mediante el envío de un archivo específico en el Sistema de Transferencia de Archivos (STA).
Una vez que el certificado haya sido validado por el organismo de certificación, se activará automáticamente.
|
Mantenimiento de los registros de seguridad
Todos los participantes en el ecosistema PIX deben mantener registros de seguridad para registrar todos los mensajes enviados y recibidos, permitiendo la auditoría de los mensajes intercambiados.
Los registros deben contener referencias temporales que identifiquen cuándo se firmaron los mensajes. Además, también deben registrarse los certificados utilizados y la identificación de los algoritmos empleados para verificar la firma de los mensajes.
Aunque la esencia de la protección de los pagos instantáneos reside en el cifrado de datos como solución para proteger la información relativa a las transacciones PIX, las empresas pueden encontrarse con el reto del coste y la complejidad de implantar el cifrado.
Esto incluye la gestión de certificados y firmas digitales, así como módulos de seguridad de hardware para proteger las operaciones criptográficas.
De hecho, el empeoramiento del panorama de las amenazas, combinado con la agresiva adopción de la nube y la evolución de la normativa sobre privacidad, han planteado nuevos retos relacionados con el cifrado, el acceso privilegiado y las transacciones financieras a las instituciones financieras que pretenden hacer evolucionar el sector.
Además, a muchas organizaciones les gustaría implantar más ampliamente la seguridad de los datos, pero a menudo se muestran cautelosas debido a la preocupación por los requisitos, la complejidad, el coste y la dotación de personal, sobre todo en lo que respecta al cifrado y la gestión de claves.
La tecnología HSM está diseñada para prácticas de seguridad y requisitos normativos
Cuando se trata de transacciones financieras instantáneas, la seguridad es una de las cuestiones más importantes. Los bancos y las instituciones financieras pueden sufrir pérdidas financieras considerables en caso de fraude.
Se necesitan soluciones de protección fiables y flexibles integradas en los sistemas de pago.
Un módulo de seguridad de hardware (HSM) es un dispositivo físico que proporciona seguridad adicional para los datos sensibles.
Este tipo de dispositivo se utiliza para suministrar claves criptográficas para funciones críticas como el cifrado, el descifrado y la autenticación para el uso de aplicaciones, identidades y bases de datos.
Por ejemplo, las empresas pueden utilizar un HSM para proteger secretos comerciales de gran valor. Esto garantiza que sólo las personas autorizadas puedan acceder al HSM para completar una transacción de clave de cifrado.
En el contexto aplicado de las transacciones financieras instantáneas, se recomienda el HSM para que las instituciones financieras lleven a cabo el proceso de gestión adecuado (generación, custodia, activación y revocación) de sus certificados digitales utilizados dentro del PIX.
Las soluciones HSM son útiles para las empresas que necesitan gestionar derechos digitales o una infraestructura de clave pública.
Estos sistemas pueden utilizarse para proporcionar altos niveles de seguridad a los productos que lo necesiten, sobre todo para garantizar el cumplimiento de la normativa.
Las ventajas directas del HSM aplicado a las transacciones financieras instantáneas
Son muchas las ventajas de utilizar un HSM, estos sistemas suelen estar diseñados para cumplir estrictas normas gubernamentales y reglamentarias, como el PIX del Banco Central.
Suelen contar con sólidos controles de acceso y modelos de privilegios basados en funciones, hardware específicamente diseñado para operaciones criptográficas y resistencia a la manipulación física, y opciones de API flexibles para el acceso.
Utilizar un HSM es la forma más segura de almacenar claves criptográficas y gestionar su ciclo de vida. Su aplicabilidad es ahora una práctica estándar para cualquier organización altamente regulada que emplee, por ejemplo, servicios en la nube.
Es probable que los proveedores de servicios en la nube que no ofrezcan estas herramientas y capacidades pierdan clientes de los sectores público, financiero y sanitario, que exigen controles de protección estrictos para todos los materiales clave.
Para contribuir al proceso de transformación y ayudar en la implantación de sistemas de transacciones financieras instantáneas, Eval dispone de soluciones de firma y certificados digitales, como el E-VALCryptoCOMPE .
Tecnología desarrollada para proporcionar Firma Digital de alto rendimiento, o incluso el EVALCryptoSPB que hoy sirve para la firma digital de los mensajes intercambiados por el Sistema Financiero Nacional. Para afrontar este reto, su empresa puede contar con la ayuda de Eval.
Por último, es necesario elegir un HSM de calidad y para ello Eval comercializa Luna de Thales, líder mundial en HSM.
Acerca de Eval
A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital, e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.