Saltar al contenido

¿Suben los números de ventas? Ahora es el momento de reducir el riesgo de fraude con tarjetas de crédito

Por Rob Bertke, vicepresidente senior de investigación y desarrollo, Sage Payment Solutions

Según un informe del 13 de marzo del Departamento de Comercio de EE.UU., las ventas al por menor aumentaron un 1,1 por ciento en febrero, a 421,4 mil millones de dólares, marcando el mayor aumento en el espacio de venta al por menor desde el pasado septiembre. Las elevadas cifras de ventas significan transacciones adicionales de tarjetas de crédito y, como resultado, un mayor riesgo de fraude.

¿Suben los números de ventas? Ahora es el momento de reducir el riesgo de fraude con tarjetas de crédito
¿Suben los números de ventas? Ahora es el momento de reducir el riesgo de fraude con tarjetas de crédito

Un informe reciente de Javelin Strategy & Research encontró que el fraude con tarjetas de crédito ha aumentado en un alarmante 87% desde 2010 y representa una pérdida total acumulada de aproximadamente 6.000 millones de dólares. A pesar de las crecientes pruebas de esta creciente epidemia, las pérdidas como resultado del fraude con tarjetas de crédito han seguido siendo el proverbial elefante en la sala de muchos negocios.

Es necesario que las organizaciones aumenten su conciencia de esta creciente amenaza y de las medidas bastante sencillas que pueden adoptar para prepararse. A continuación se ofrecen cinco consejos para que las empresas de todos los tamaños los tengan en cuenta al navegar por el clima económico en 2013 y en adelante:

1. Ocúpate inmediatamente de cualquier brecha. Es crítico entender que incluso si se toman todas las medidas cautelosas y conservadoras y se instala la mejor seguridad de procesamiento de pagos, todavía puede ocurrir una brecha. Si ocurre, debe tener registros detallados de ventas de tarjetas de crédito para referirse a ellos como un medio de volver sobre sus pasos. Esto ayudará a determinar cuándo y dónde tuvo lugar la infracción y a mitigar las posibles pérdidas adicionales. Además, una evaluación adecuada del ataque inicial puede, en última instancia, proporcionar un rastro que permita volver a la fuente de la violación.

2. Mantener el cumplimiento de la industria de tarjetas de pago (PCI). No sólo va en contra de las regulaciones de las marcas de tarjetas si no se cumple con la PCI al aceptar tarjetas de crédito o débito, sino que también es una necesidad absoluta en el clima económico actual. Asegúrese de que la seguridad de su software de procesamiento de pagos esté actualizada y que esté certificado por el Estándar de Seguridad de Datos de Aplicaciones de Pago (PA-DSS) y que su negocio reciba su certificación del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).

La certificación PCI proporciona un nivel de confianza y seguridad de que un procesador ha permitido y aprobado un sólido conjunto de prácticas óptimas para garantizar la seguridad de la información que se procesa cuando se realizan pagos con tarjeta de crédito. No hay una bala de plata aquí. Usted tiene la responsabilidad de proteger la información de la tarjeta de crédito de su cliente, al igual que debería proteger todos los datos de sus clientes.

La profundidad de la auditoría requerida dependerá del volumen y los sistemas de su empresa, pero una auditoría PCI completa ofrecerá un cuadro de mando en todo el entorno de pagos de su empresa, incluyendo todas las aplicaciones de back-office conectadas, lo que le permitirá realizar cambios críticos antes de que los agujeros de seguridad sean expuestos por los ladrones.

3. Usar una encriptación de extremo a extremo para todos los datos sensibles. La encriptación de extremo a extremo (E2EE) se reduce esencialmente a la codificación de los datos enviados de un dispositivo a otro. Comienza con los dispositivos de captura de pagos y llega hasta la transacción que se autoriza. La tecnología E2EE evita que los datos de la cuenta de la tarjeta sean robados electrónicamente y disminuye el costo y el impacto de que su negocio obtenga la certificación PCI. Los dispositivos móviles de pago, los terminales de tarjetas de crédito, las aplicaciones de software y los portales de pago en línea de una empresa necesitan una funcionalidad de encriptación incorporada al transmitir la información del cliente. Su empresa debe seleccionar un proveedor de pagos con conocimientos técnicos. Busque un socio que sea compatible con la tecnología E2EE. Necesitará equilibrar el costo con el producto y el servicio aquí. El uso de un proveedor de bajo costo podría ser a expensas de la funcionalidad limitada del producto, los posibles agujeros de seguridad y los niveles más bajos de servicio al cliente.

4. Evitar la manipulación. 5. Asegurarse de que todos los empleados encargados de la responsabilidad de aceptar las tarjetas de crédito y débito de los clientes tengan un entendimiento práctico del aspecto y la funcionalidad del equipo de procesamiento de pagos que están utilizando. Los estafadores a menudo tratan de manipular el equipo de procesamiento de pagos de un negocio en un esfuerzo por robar la información de la tarjeta de crédito. El equipo alterado suele consistir en una pequeña pieza de hardware conectada físicamente a la propia terminal. Un empleado atento que sepa qué buscar debería ser capaz de identificar fácilmente un accesorio adicional al dispositivo o un software que funcione de forma extraña.

5. Abstenerse de almacenar números de tarjetas de crédito. Para evitar uno de los mayores riesgos de cumplimiento de la PCI, debe hacer todo lo que esté en su mano para no almacenar números de tarjetas de crédito. Busque un proveedor de pagos cuya plataforma esté diseñada para que la información de las tarjetas de crédito nunca se almacene en el sitio de su empresa o en su software empresarial. Su proveedor debería ser capaz de procesar la transacción y luego almacenar la información de la tarjeta de sus clientes en una «bóveda» segura en la Nube. Deberían proporcionarle una identificación encriptada, de modo que cuando quiera hacer otra transacción para ese mismo cliente, su software pueda pasarle al proveedor de pagos la identificación encriptada para que su empresa nunca entre en contacto con los datos almacenados de la tarjeta de crédito.

Es razonable tener un nivel saludable de optimismo económico, pero es fundamental tomar las precauciones necesarias para proteger los activos y la seguridad de su empresa. Aplique estos consejos para asegurarse de que los estafadores de tarjetas de crédito no tengan la oportunidad de robar los frutos de su trabajo.

Sobre el autor:

Rob Bertke es vicepresidente senior de investigación y desarrollo en Sage Payment Solutions, una división de Sage North America. Bertke ha estado en la industria de los pagos comerciales y el comercio electrónico de empresa a empresa durante quince años. En 1995, ayudó al Wachovia Bank a lanzar sus primeros productos de tarjetas comerciales creando una solución tecnológica para la codificación del libro mayor de transacciones de tarjetas (GL) y la presentación de informes de información de gestión. Dejó Wachovia en 1997 para unirse al equipo de Consultoría Técnica de American Express, donde fue miembro del comité ANSI X12 que desarrollaba transacciones de intercambio electrónico de datos (EDI) específicas para tarjetas y actuó como gerente de producto y consultor técnico para iniciativas clave de comercio electrónico.