Administración del Riesgo Latinoamérica, Mayo 2017 Luis Reza LOS RETOS DE LA SEGURIDAD EN LOS PAGOS ELECTRÓNICOS
Administración del Riesgo Latinoamérica, Mayo 2017
Luis Reza
LOS RETOS DE LA SEGURIDAD EN LOS PAGOS ELECTRÓNICOS
Limitación de Responsabilidad
This presentation is furnished to you solely in your capacity as a customer of Visa Inc. and/or a participant in the
Visa payments system. By accepting this presentation, you acknowledge that the information contained herein
(the “Information”) is confidential and subject to the confidentiality restrictions contained in Visa’s operating
regulations and/or other confidentiality agreements, which limit your use of the Information. You agree to keep
the Information confidential and not to use the Information for any purpose other than in your capacity as a
customer of Visa Inc. or as a participant in the Visa payments system. The Information may only be disseminated
within your organization on a need-to-know basis to enable your participation in the Visa payments system.
Please be advised that the Information may constitute material non public information under U.S. federal
securities laws and that purchasing or selling securities of Visa Inc. while being aware of material non public
information would constitute a violation of applicable U.S. federal securities laws
6/7/2017 Administración del Riesgo Visa 2
Notice of confidentiality
This presentation is furnished to you solely in your capacity as a customer of Visa Inc. and/or a participant in the
Visa payments system. By accepting this presentation, you acknowledge that the information contained herein
(the “Information”) is confidential and subject to the confidentiality restrictions contained in Visa’s operating
regulations and/or other confidentiality agreements, which limit your use of the Information. You agree to keep
the Information confidential and not to use the Information for any purpose other than in your capacity as a
customer of Visa Inc. or as a participant in the Visa payments system. The Information may only be disseminated
within your organization on a need-to-know basis to enable your participation in the Visa payments system.
Please be advised that the Information may constitute material non public information under U.S. federal
securities laws and that purchasing or selling securities of Visa Inc. while being aware of material non public
information would constitute a violation of applicable U.S. federal securities laws
6/7/2017 Administración del Riesgo Visa 3
46/7/2017 Administración del Riesgo Visa
Proteger el crecimiento en los Pagos Electrónicos requiere un balance entre conveniencia y seguridad
Nuevas tecnologías y herramientas para reducir el Riesgo
Visa tiene un enfoque integral de
seguridad basado en múltiples
niveles de tecnología, análisis de
información y mejores prácticas
de seguridad que ayudan a
proteger los medios digitales de
pago y reducir el fraude
Innovación Digital
6/7/2017 Administración del Riesgo Visa 5
Eliminar la
Información
sensible
Invertir en
Inteligencia de
información
Dar mejor
control a los
clientes
66/7/2017 Administración del Riesgo Visa
Proteger los sistemas
de Información
“Proteger el
Ecosistema de Pagos
Nuestro enfoque de múltiples niveles deSeguridad esta fundamentado en cuatro pilares:
Nuevas tecnologías y herramientas para reducir el Riesgo
EMV Chip 3D Secure 2.0 Autenticación Basada en
análisis de Riesgo
Tokenization
6/7/2017 Administración del Riesgo Visa 7
Geolocalización
Mejorar la Experiencia del Cliente
6/7/2017 Administración del Riesgo Visa 8
Alertas de Transacciones Mensaje Texto –Email
Aplicaciones para control de sus transacciones
Dar mejor control a los clientes
9Administración del Riesgo Visa6/7/2017
Riesgos con tarjeta presente
Datos estáticos: Información de validación del cliente siempre es la misma
Número de la
cuenta de tarjeta
Nombre del
tarjetahabiente
Fecha de
ExpiraciónCódigo
de
Servício
CVV
4 0 0 0 1 2 3 4 5 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 1 0 1 ^ 2 1 7 ^…
Datos de la banda
magnética123
10Administración del Riesgo Visa6/7/2017
Controlar los Riesgos con tarjeta presente
Datos Dinámicos: eliminan el Riesgo de compromiso de información y fraude posterior al cliente
Chip EMV
Criptograma
(DINÁMICO)
1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 94 0 0 0 1 2 3 4 1 5 7 4 3 0 1 75 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^ ^…
4000 1234 5678 9010
CARDHOLDER NAME12/12
2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 82 3 4 2 7 8 9 1
Número de la
cuenta de tarjeta
Nombre del
tarjetahabiente
Fecha de
ExpiraciónCódigo
de
Servício
CVV
Datosdinámicos
del chip
11Administración del Riesgo Visa6/7/2017
Controlar los Riesgos con tarjeta presente
Datos Dinámicos: eliminan el Riesgo de compromiso de información y fraude posterior al cliente
1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 94 0 0 0 1 2 3 4 1 5 7 4 3 0 1 75 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^ ^…
4000 1234 5678 9010
CARDHOLDER NAME12/12
2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 89 8 0 1 5 9 0 2
Criptograma
(DINÁMICO)Número de la
cuenta de tarjeta
Nombre del
tarjetahabiente
Fecha de
ExpiraciónCódigo
de
Servício
CVV
Datosdinámicos
del chip
Chip EMV
12Administración del Riesgo Visa6/7/2017
Controlar los Riesgos con tarjeta presente
Datos Dinámicos: eliminan el Riesgo de compromiso de información y fraude posterior al cliente
1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 94 0 0 0 1 2 3 4 1 5 7 4 3 0 1 75 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^ ^…2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 88 7 2 6 9 1 4 9
Criptograma
(DINÁMICO)Número de la
cuenta de tarjeta
Nombre del
tarjetahabiente
Fecha de
ExpiraciónCódigo
de
Servício
CVV
Datosdinámicos
del chip
Chip EMV
13Administración del Riesgo Visa6/7/2017
Controlar los Riesgos con tarjeta presente
Datos Dinámicos: Convergencia EMV + Tokens
Token Name Expiry Service code
Different iCVV
^4000 1234 5678 9123 4 0 3 2 5 8 1 0 4 2 7 ^ - - - - - - - ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 4 1 70 0 6 5
Card number Name Expiry Service code
CVV
4 0 0 0 1 2 3 4 5 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2^ 1 0 1^ 2 1 7 ^…
Card number Name Expiry iCVV
4 0 3 4 5 6 7 9 1 2 3 ^ J O H N D O E^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^4000 1234 5678 9123 0 0 1 2
Service code
Cryptogram(DYNAMIC)
1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 7 ^…2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 85 8 3 6 8 1 2 7
Cryptogram(DYNAMIC)
1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 7 ^…2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 87 3 2 5 6 0 0 3
14Administración del Riesgo Visa6/7/2017
Riesgos con tarjeta no presente
Botnet, programas de computo para controlar computadoras servidores infectados de forma remota
Merchant
JoseMiami
LeandroBrazil
Fraudster
AnaLos Angeles
Computadoras infectadas toman
control de otras computadoras para enviar compras con Tarjetas
fraudulentas de forma masiva
Brute force attack
15Administración del Riesgo Visa6/7/2017
Mitigar los Riesgos con tarjeta no presente
Ciclo de una Transacción Segura en Comercio Electrónico
Prevención de fraude
del Emisor (puntaje de
riesgo basado en
histórico de
transacciones,
monitoreo de
velocidad, perfil de
riesgo, etc.)
Autorización
Basada en Riesgo
Emisor envía Alertas
a cliente para
certificar transacción
(email, SMS,
aplicación móvil del
emisor, etc.)
Comprobaciones
Postventa
Prevención de fraude del Comercio/ Adquirente(geolocalización IP, identificación de dispositivos, credenciales de usuario, monitoreo de velocidad, etc.)
Análisis
Preventa
Emisor utiliza los datos disponibles en la solicitud para decidir si autenticar al consumidor... y, en su caso, hacerlo sin fricción (OTP, etc.)
Autenticación
Basada en Riesgo
Migrar hacia la autenticación selectiva basada en modelo de riesgo
Eliminar la autenticación estática
Administración del Riesgo Latinoamérica, Mayo 2017
Luis Reza
LOS RETOS DE LA SEGURIDAD EN LOS PAGOS ELECTRÓNICOS
GRACIAS