Rafael Lourenco
Tu lista de seguridad de datos de e-commerce para 2020
Para proteger tu negocio de los hackers y el robo de datos y para mantener la confianza del cliente por la que has trabajado arduamente, asegúrate de que tu empresa siga estas 10 mejores prácticas de seguridad de datos.
Los datos de e-commerce de tu tienda son muy valiosos y no solo para tu negocio. A medida que más comerciantes almacenan datos y crean perfiles de sus clientes para ofrecer mejoras en la experiencia del cliente, como compras omnicanal sin interrupciones, los cyberdelincuentes están tomando nota.
Para proteger tu negocio de los hackers y el robo de datos y para mantener la confianza del cliente por la que has trabajado arduamente, es importante asegurarte de que tu empresa siga las mejores prácticas de seguridad de datos.
Incluso si cuentas con un programa de seguridad de datos, es aconsejable revisarlo periódicamente para asegurarte de mantenerte al día con los cambios de la industria y la evolución de las amenazas de seguridad. Estos pasos son una buen forma de comenzar.
Revisa el presupuesto de seguridad de tu empresa.
Muchos comerciantes se centran en soluciones de prevención de fraude, lo cual es crítico, porque el fraude de tarjeta no presente y de adquisición de cuenta tienen un gran impacto financiero en los vendedores de e-commerce. Sin embargo, también debe haber espacio en tu presupuesto de seguridad para la protección de datos. Una sola violación de solo unos pocos miles de registros de clientes podría dañar significativamente tu reputación y erosionar tu base de clientes. Una violación también podría costarte hasta el 4% de tu facturación global si la Regulación General de Protección de Datos (GDRP por sus siglas en inglés) de la Unión Europea aplica en tu negocio o a cualquiera de tus clientes.
Evalúa tus prácticas de cifrado.
Las tiendas en línea saben que tener un certificado SSL (de capas de sockets seguros) y una transmisión cifrada de datos de pago es imprescindible para mantener el cumplimiento de PCI (Industria de Tarjeta de Pago) y la capacidad de aceptar pagos con tarjeta. Sin embargo, ese no es el único lugar en tu negocio donde el cifrado es obligatorio.
Todos los datos confidenciales, especialmente los datos de clientes cubiertos por la GDPR, la nueva Ley de Privacidad del Consumidor de California o la ley de privacidad HIPAA en Estados Unidos, deben cifrarse para su almacenamiento. Si almacenas estos datos en la nube en lugar de en las instalaciones, no asumas que el cifrado que ofrece tu servicio en la nube es lo suficientemente robusto por sí solo. American Express recomienda implementar herramientas de cifrado más potentes que las que se incluyen con muchos servicios en la nube. (También deberás asegurarte de que tu almacenamiento en la nube esté configurado correctamente para evitar la entrada de intrusos).
Refina tu enfoque de recopilación de datos.
No recopiles más datos de los que necesitas para servir a tus clientes y no guardes datos más tiempo del necesario. Cuando hay menos que almacenar, hay potencialmente menos que perder. Programa revisiones periódicas de tus datos recopilados y solo guarda lo que necesitas. Destruye o elimina por completo lo que ya no usas.
Evalúa la seguridad de tus datos físicos.
¿Qué tan fácil sería para un empleado o visitante salir de tus oficinas con una computadora portátil o dispositivo de almacenamiento externo con los datos de tus clientes? ¿Tus empleados mantienen sus computadoras portátiles y teléfonos seguros en todo momento cuando están fuera de la oficina?
Las infracciones de datos físicos son poco frecuentes y comprenden solo el 4% de los ataques, según el Informe de investigaciones de violación de datos de Verizon de 2019. Pero cuando suceden, la pérdida de datos resultante puede generar mala publicidad, daños a la marca y sanciones.
Mientras te concentras en la seguridad física, descubre qué dispositivos están conectados a tu red. Una lista completa y actualizada puede ayudarte a ti y a tu equipo de TI a ver quién está utilizando tu red, con o sin tu autorización, ahora y en el futuro.
Restringe el acceso a datos y segmenta tu sistema.
No todos en tu empresa necesitan acceso a todos tus datos. Darles a los empleados y proveedores acceso solo a los datos que necesitan para hacer su trabajo reduce el riesgo de que los hackers accedan a los datos de tus clientes a través del phishing por correo electrónico y los ataques de adquisición de cuentas.
Segmentar tu red puede reducir el riesgo de comprometer los datos. Separa los datos de tus clientes de cualquier otro sistema dentro de tu red que no necesite acceso a esos datos. Por ejemplo, si los hackers entran en el sistema de administración de tu edificio (el sistema que controla el aire acondicionado, alarmas y cámaras), pueden pivotar y acceder a las bases de datos de tus clientes si tu red no está segmentada. Aunque no es un requisito de PCI-DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago), PCI recomienda la segmentación y dice que puede reducir el alcance de PCI DSS si se hace correctamente.
Solicita contraseñas seguras y limita los intentos de ingreso de datos.
Configura tu acceso de cliente, empleado y proveedor para requerir una contraseña segura. Las contraseñas simples son un riesgo común porque los hackers pueden adivinar o descifrar fácilmente el uso de bots que pueden probar combinaciones hasta que encuentren una coincidencia. Una contraseña más larga que incluya caracteres especiales, letras y números hace que adivinar sea prácticamente imposible y puede hacer que el descifrado tome tanto tiempo que los delincuentes pasen a objetivos más fáciles.
Otra forma de reducir los robos a través de los inicios de sesión de la cuenta es limitar el número de intentos de inicio de sesión que un usuario puede hacer antes de que se bloquee el sistema. Esto evita adivinar o descifrar contraseñas. Del mismo modo, si el proceso de pago de tu tienda en línea todavía no limita los intentos de ingreso de datos de la tarjeta, agregar esa característica puede reducir tu exposición al fraude en las pruebas de tarjeta.
Manten tu software parcheado y actualizado.
"Cada vez que se revela una vulnerabilid o se lanza una actualización o parche del sistema, un hacker ve una oportunidad", advierten los autores del informe Verizon DBIR 2019. Para evitar que tu empresa brinde esa oportunidad a los piratas informáticos, es prioritario parchear las vulnerabilidades del software y mantener tu software actualizado.
Fortalece tu protección contra el malware.
Las herramientas de seguridad del sitio web que escanean continuamente tu sitio en busca de malware pueden evitar una serie de problemas, incluidos los ataques de formjacking en los que se roban los datos del cliente a medida que ingresan a tu sitio, independientemente de la protección SSL. Aunque los skimmers han perseguido sitios importantes como Ticketmaster y British Airways, también se dirigen a comerciantes más pequeños y vulnerables. De los 40 sitios que se sabe que están infectados por el grupo de skimming organizado Magecart este año, parece que hay varios minoristas de pequeñas empresas.
La protección contra el malware para el sistema de correo electrónico de tu empresa también es importante. El compromiso de correo electrónico comercial (BEC), un tipo de phishing dirigido en el que se hacen pasar por ejecutivos, proveedores y clientes de la compañía, representó la mitad de todas las pérdidas de delitos informáticos de Estados Unidos. En 2019, según el FBI. En un ataque BEC, los estafadores pueden hacerse pasar por un ejecutivo y solicitar que un empleado realice una transferencia bancaria "urgente" a un proveedor con un número de banco en particular. O pueden dirigirse al departamento de nómina con una solicitud para redirigir el depósito directo de un ejecutivo a una cuenta "nueva".
El correo electrónico también es un vector para otros tipos de ataques cibernéticos, incluido el ransomware que puede bloquearte de las bases de datos de tu empresa y detener tu negocio. Aunque los ataques de ransomware suelen ser noticia cuando golpean a las agencias gubernamentales, es una amenaza creciente para las empresas de todo tipo. En 2019, aproximadamente el 40% de las PYMES de la Unión Europea dijeron que habían sido víctimas de ataques de ransomware, la mayoría de las veces debido a correos electrónicos de phishing.
Verifica tus tasas de contracargo.
Los datos mal asegurados pueden llevar a fraudes con tarjeta no presente y de asignación de cuenta que resultan en costosos contracargos. Monitorear tu tasa de contracargo puede ayudar a detectar patrones de fraude emergentes y mantener tus tasas de procesamiento de pagos lo más bajas posible.
Si ves una avalancha de contracargos relacionados con el fraude en pedidos que se filtraron por tus controles antifraude (o si recibes una ola de quejas sobre la desaparición de puntos de lealtad de clientes), es posible que los delincuentes se hayan apoderado de las cuentas de los clientes de tu tienda y hayan usado sus datos almacenados para cometer fraude. También es posible que hayan extraído los datos del cliente para crear nuevas cuentas en otros lugares.
Si esto sucede, es importante trabajar estrechamente con tus clientes para resolver el problema. Para detectarlo antes, considera agregar análisis de pedidos grupales a tu programa antifraude para detectar rápidamente las tendencias que indican un fraude sofisticado.
Construye un plan de respuesta de violación de datos.
Después de todos estos consejos para mantener a los malos actores fuera de tus sistemas, puede parecer extraño recomendar que planees una infracción. Sin embargo, un plan escrito puede ayudarte a limitar el daño en caso de incumplimiento al ayudarte a decidir qué hacer con los equipos y sistemas infectados, a quién llamar para pedir ayuda y a quién contactar para informar el incidente.
Seguir un plan también puede limitar tu responsabilidad ayudándote a cumplir con los requisitos legales y los plazos para la presentación de informes de incumplimiento. Por ejemplo, el RGPD requiere que las entidades informen sobre la exposición de datos del cliente dentro de las 72 horas posteriores a su descubrimiento.
Trabajar en todos los pasos de esta lista de verificación puede llevarte un tiempo, pero la seguridad cibernética es un proceso continuo. Una vez que hayas identificado las áreas en las que tu empresa puede mejorar y hayas realizado esas mejoras, sigue revisando tus prácticas de protección de datos para mantenerte al día con el panorama de amenazas en constante evolución. Hacerlo te ayudará a mantener la confianza de tus clientes y a que tu negocio se mantenga saludable.