En 2018, hubo más de 600 filtraciones de datos que pusieron la información de los clientes en riesgo. Y los estudios muestran que entre el 43% y el 60% de los ataques cibernéticos se dirigen a los pequeños y medianos negocios.
Hay una serie de medidas de seguridad de datos que los pequeños negocios deberían poner en práctica para protegerse (y proteger la información de los clientes) contra los ataques. Una de ellas es trabajar con socios y usar productos que utilicen el cifrado de extremo a extremo (E2EE, por sus siglas en inglés).
Comercio electrónico de Square
¿Qué es el cifrado de extremo a extremo?
El cifrado de extremo a extremo es una línea segura de comunicación que bloquea el acceso de terceros a los datos transferidos. Cuando los datos se transfieren en línea, solo el remitente y el destinatario pueden descifrarlos con una clave. De este modo, el E2EE puede ayudar a mitigar el riesgo y proteger la información sensible al bloquear el acceso de terceros a los datos del usuario cuando se transfieren de una fuente a otra.
Entonces ¿cómo funciona el E2EE?
A nivel básico, el cifrado comienza con la criptografía. La criptografía, que es el arte de escribir códigos, se utiliza para generar códigos que mantienen la información cifrada.
Para transferir los datos, el emisor utiliza una clave de cifrado que codifica la información. Solo un destinatario con la clave correspondiente puede descifrar los datos. Hay dos tipos de clave disponibles: cifrado asimétrico y simétrico.
Veamos esto en términos de pago. Cuando un consumidor utiliza una tarjeta de crédito en un negocio, los datos de esa tarjeta se cifran tan pronto como ingresan al sistema de pago en un punto de venta. Permanecen cifrados hasta que llegan al procesador o adquirente y luego se descifran.
¿Qué es el cifrado asimétrico y el simétrico?
El cifrado simétrico, la forma de cifrado más convencional, utiliza la misma clave para codificar y descodificar la información.
El cifrado asimétrico utiliza dos claves para desbloquear la información cifrada. Esta es una versión de cifrado más nueva y compleja, con una clave pública y otra privada. La clave pública es, de hecho, pública, para que cualquiera pueda utilizarla para enviar un mensaje, pero la clave privada la tiene el propietario para protegerla.
¿Cuáles son los beneficios y los desafíos del E2EE?
Una ventaja del cifrado de extremo a extremo es que se trata de una medida de seguridad que está integrada en tu hardware y software. No tienes que pensar en ello. Tus datos están protegidos y nadie puede acceder a ellos salvo el destinatario previsto.
Pero hay desafíos que vienen con el E2EE. Principalmente, aunque protege la información que se transmite de un destinatario a otro, no protege los puntos finales.
Por ejemplo, tu correo electrónico utiliza un cifrado de extremo a extremo para enviar los mensajes, pero eso no impide que un actor malintencionado intente acceder al punto final: tu bandeja de entrada.
Square no solo cifra los pagos con E2EE, sino que también utiliza la autenticación de dos factores para proteger las cuentas de los propietarios de negocios.
¿Qué otros métodos hay para mantener tus datos a salvo?
Más allá del E2EE, hay otros tipos de cifrado de datos:
-
El Nivel de conectores seguros (SSL, por sus siglas en inglés) es la versión más moderna de Seguridad de la capa de transporte (TLS, por sus siglas en inglés), y es el estándar para proteger los datos en la web. Verás las URL que comienzan con https:// en vez de http://. La “s” adicional se refiere a “secure” (segura). Esta capa de seguridad ayuda a proteger tu negocio a un nivel muy elevado en tu sitio web, y también demuestra a los clientes que los estás protegiendo.
-
Tokenización significa que reemplazas un elemento de datos sensible por un equivalente no sensible, denominado token. El token no tiene ningún significado ni valor, solo ayuda a localizar los datos sensibles. Esto ayuda a mantener tu negocio a salvo porque es más difícil para los piratas informáticos definir el token, dado que no tiene ningún significado ni valor.
-
Un esquema de cifrado integrado de curva elíptica (ECIES) es un sistema que deriva independientemente una clave de cifrado masiva y una clave MAC (código de autenticación de mensajes) a partir de un “secreto común”. Los datos se cifran bajo un cifrado simétrico. A continuación, el cifrado se realiza bajo una clave MAC.
¿Por qué necesitas mantener tus datos a salvo?
La seguridad de los datos es fundamental para proteger la información privada de tus clientes, como contraseñas, información de tarjetas de débito o crédito, direcciones de correo o fechas de nacimiento. Las medidas de seguridad de datos (como el uso de productos y servicios que utilizan el cifrado) mitigan el riesgo de una filtración.
Un estudio realizado por la U.S. National Cyber Security Alliance reveló que el 60% de los pequeños negocios que sufren un ataque cibernético abandonan el negocio en los seis meses siguientes a la filtración. Las dificultades financieras son a menudo la consecuencia de una filtración de datos: se necesita dinero para recuperarse, pero también, a menudo, los clientes tardan en volver.
Cómo proporciona Square el cifrado de extremo a extremo
Contar con el software correcto es el primer y más importante paso a la hora de proteger los datos de tus clientes.
Square dispone de un software propio para asegurar los datos cada vez que se realiza un pago en tu tienda.
Para proteger a los titulares de una cuenta de Square y sus clientes, toda la información ingresada por nuestros clientes se cifra y se envía a nuestros servidores de forma segura. Square también ofrece seguridad física y de redes, aplicaciones web y de clientes, y seguridad organizativa.
Estos son algunos de los aspectos más destacados de las ofertas de Square:
- Cifrado total: Square realiza el cifrado de datos dentro del lector de tarjetas en el momento de deslizarlas. Los datos sensibles se cifran con métodos estándar del sector cuando se almacenan en el disco o se transmiten por redes públicas.
- Transferencia de datos segura: En la transferencia de datos solo se utilizan protocolos criptográficos y formatos de mensajes estándar y bien revisados (como SSL y PGP). Las actualizaciones y los parches de seguridad se instalan en los servidores y equipos de forma oportuna.
- Cumplimiento de PCI: Los sistemas de procesamiento de tarjetas cumplen la norma de seguridad de datos PCI (PCI-DSS), nivel 1. Los números de tarjeta, los datos de banda magnética y los códigos de seguridad no se almacenan en los dispositivos de los clientes de Square.
- Control de datos: El acceso a los datos sensibles, incluidos los datos de las aplicaciones y las claves criptográficas, está estrictamente controlado en función de la necesidad de conocimiento. La autenticación de dos factores y los controles de contraseñas fuertes son necesarios para el acceso administrativo a los sistemas.
- Preparación: Se han preparado planes detallados de respuesta a incidentes para garantizar la protección adecuada de los datos en caso de emergencia.