Ciberseguridad y protección de PI
4.2.1 ¿Cómo puede una empresa garantizar la seguridad durante las transacciones internacionales?
La seguridad es fundamental para cualquier actividad en línea y el comercio electrónico es un entorno específico, donde se comparte y almacena una gran cantidad de datos. Sin embargo, no sólo se trata de proteger los datos empresariales, sino también los datos confidenciales de los clientes, lo que permitirá una navegación segura y pagos seguros, y que son sólo algunos ejemplos. Al considerar la internacionalización, pueden ser necesarias más medidas y también estarán vinculadas a las normas y condiciones de los mercados a los que se dirigirá una empresa.
Para cualquier negocio que prevé comenzar a vender en línea, las medidas de seguridad son críticas. Cualquier información que está en línea es propensa al ciberataque. Aunque una empresa puede introducir nuevas medidas una vez que se ataca un sistema, que será efectivo a partir de ese momento, los datos almacenados previamente seguirán expuestos a un riesgo. Por ello, la implementación de medidas de seguridad es una necesidad, que también debería implicar medidas de control regulares y precisas, incluyendo actualizaciones regulares de software y navegadores para poder detectar cualquier ciberataque antes de que cause algún daño.
La seguridad en línea se asocia muy a menudo con los pagos en línea, que en realidad es el caso. En este sentido, la transmisión cifrada (codificada) de datos entre el consumidor y el vendedor, especialmente los datos de la tarjeta de crédito es un requisito previo. Esto también debe incluir la capacidad de confirmar tanto quién es el vendedor como el comprador. Sin embargo, antes de proporcionar pagos en línea a los clientes, hay otras medidas que son necesarias implementar. Estas comienzan con la protección de la propia red(es) de la empresa, especialmente la protección del servidor de ataques de terceros, tanto desde el exterior (Internet) o desde el interior (de la LAN), y la protección del servidor de personas no autorizadas que acceden a los datos del cliente sin su consentimiento. Otras medidas básicas de seguridad incluyen certificados SSL y sellos de seguridad.
Un certificado SSL enlaza el nombre de dominio, nombre de servidor o nombre de host con la identidad organizativa (p.ej. nombre de la empresa) y su ubicación. Es el primer paso para documentar que un sitio de comercio electrónico está protegido. El propósito de su implementación es asegurar conexiones desde un servidor web a un navegador, específicamente para asegurar transacciones de tarjetas de crédito, transferencia de datos, inicios de sesión y navegación en redes sociales. Un sitio de comercio electrónico que tiene un certificado SSL tendrá un candado o barra verde junto al protocolo HTTPS en la barra de direcciones, anteriormente http (’s’ en https significa seguro).
Los sellos de seguridad (también conocidos como sellos de confianza) documentan la adherencia de una tienda electrónica a una política de privacidad, cuando se realizó el último análisis de seguridad (p.ej. para malware o virus) y si el sitio web es seguro. Hay dos tipos de sellos de seguridad, la verificación del servidor y la verificación del sitio. El primero escaneará el servidor anfitrión para la eliminación de cualquier peligro potencial. El segundo protegerá a los usuarios de la inserción de scripts no deseados en las páginas vistas (cross site scripting) y la manipulación de los datos de usuario, que pueden anular transacciones o la destrucción de datos (inyección SQL). Un sitio de comercio electrónico que tiene un sello de confianza tendrá una insignia o un mensaje ‘asegurado’ / ‘verificado’ (p.ej. Norton Secured) en su página, pero también en muchos casos en la barra de direcciones, y su legitimidad se puede comprobar haciendo clic en este icono para ir a la página que verifica la autenticidad de ese sello. Otra indicación de que el sitio está asegurado es el nombre verde del protector en la barra de direcciones del navegador.
Los pagos en línea son especialmente vulnerables a los ciberataques y el fraude y el problema seguirá aumentando debido a la creciente popularidad de las compras en línea y a través de móviles. Los ciberdelincuentes roban información sensible y las transacciones sin presencia de tarjeta (CNP) son un objetivo enorme para ellos. Los consumidores prefieren usar tarjetas de crédito (o tarjetas en general) para transacciones en línea. El Banco Central Europeo estima que las transacciones CNP representan más del 60 % del fraude con tarjetas. Otros ejemplos comunes de fraude en línea en el comercio electrónico son:
Fraude de identidad mercantil: cuando un ciberdelincuente establece una cuenta mercantil que es similar a la de un negocio legítimo, para seguidamente hacer cargos en tarjetas de crédito robadas antes de que titular de la tarjeta real se da cuenta de lo que ha sucedido.
Robo de tarjeta: cuando un estafador obtiene información de una tarjeta de crédito que pueda ser utilizada para hacer una compra, como el número de tarjeta, fecha de vencimiento y CVV/ CVC.
Robo de identidad del cliente: cuando un ciberdelincuente obtiene detalles clave de información de identificación personal que luego se utilizan para hacer una compra.
Prueba de tarjetas: cuando un estafador usa tarjetas robadas para hacer compras frecuentes de bajo valor.
Interceptación de paquetes: cuando un estafador utiliza una tarjeta robada para comprar artículos físicos y luego interceptar o redirigir el paquete durante la entrega.
Phishing: cuando un ciberdelincuente intenta adquirir datos sensibles, como un nombre de usuario, contraseña, detalles de la tarjeta de crédito, etc., relacionados con correos electrónicos o sitios web.
Falsa Demanda de Reembolso: Cuando un (falso) titular de la tarjeta presenta una devolución en lugar de intentar obtener un reembolso, por lo que un cliente (falso) quiere recuperar dinero de una compra legítima.
Redirección maliciosa: cuando un cibercriminal redirige a un sitio infectado.
Pagejacking: cuando los ciberdelincuentes atacan sitios web y redirigen a los clientes a páginas no confiables.
Otros ciberataques que pueden ser más fáciles de detectar y eliminar incluyen los siguientes:
Malvertising: cuando campañas publicitarias falsas (caracterizadas por errores ortográficos, producto incorrecto, etc.) se difunden, infectando páginas web.
Ventanas emergentes sospechosas: cuando aparecen mensajes falsos en la pantalla, descargando malware en el ordenador una vez que se hace clic en ellos.
Difamación: cuando un cibercriminal reemplaza el contenido de un sitio con su nombre, logotipo e/o imágenes ideológicas.
Algunas de las medidas adicionales que deben aplicarse para proteger contra los tipos de fraude mencionados anteriormente y garantizar la seguridad de las transacciones incluyen el certificado PCI DSS (Payment Card Industry Data Security Standard), una medida de seguridad que se ha creado para aumentar el nivel de seguridad de los usuarios de tarjetas y reducir el fraude de tarjetas de crédito; el Servicio de Verificación de Direcciones (CVV) para verificar si un comprador es el propietario de la tarjeta mediante la verificación de la dirección de facturación del titular de la tarjeta, y el valor de verificación de la tarjeta (CVV), también conocido como el código de seguridad de la tarjeta (CSC) para verificar que el comprador tiene la tarjeta en su posesión – los dos últimos se aplican sólo a las transacciones con tarjeta de crédito y AVS no aplica a todos los países. 3D Secure es una capa de seguridad adicional para las transacciones de tarjetas de crédito y débito en línea que añade un paso de autenticación para los clientes que realizan compras en línea.
Además, el seguimiento de direcciones IP, números de tarjeta y otros elementos que pueden estar asociados con transacciones que parecen ser fraudulentas, son medidas de seguridad importantes. Los negocios electrónicos también deben asegurarse de proporcionar información sobre los tipos de cambio internacionales y que toda la información se proporciona en el idioma hablado por el mercado objetivo. Dependiendo del país al que se dirijan, pueden ser necesarias diferentes medidas de seguridad, y la decisión de si una empresa decide aplicarlas o no repercutirá también en la capacidad de la empresa para llegar a un nuevo mercado.
Aparte de las soluciones básicas de protección contra el fraude mencionadas anteriormente, también existen en el mercado herramientas más avanzadas, cada una de las cuales ofrece un conjunto de controles de prevención y detección del fraude plenamente integrados antes de procesar una transacción o una solicitud de verificación. Deben elegirse en función del tipo de sitio de comercio electrónico, el tamaño del negocio, el número de clientes y el potencial para llegar a nuevos mercados.
4.2.2 Protección PI y RGPD
La Propiedad Intelectual (PI) se refiere a varios aspectos de la creatividad en la mente de individuos y grupos y está protegida por la ley. También es la propiedad de un producto o servicio en particular, lo que lo convierte en un componente importante del comercio electrónico, donde descripciones de productos / servicios, imágenes, videos u otros datos se comparten. Como el comercio a través de Internet debe ser protegido, el uso de sistemas de seguridad tecnológica y leyes de propiedad intelectual deben ser igualmente tratados, o de lo contrario la PI puede ser robada. Ejemplos de propiedad intelectual son las patentes, las marcas registradas, los derechos de autor y los secretos comerciales. El comercio electrónico y las empresas en línea se basan en licencias de productos o patentes, también marcas comerciales, que si no están protegidas pueden causar daño a la empresa. Por lo tanto, la PI está estrechamente conectada con cualquier dato sensible y seguridad y esto se relaciona con el RGPD.
RGPD significa Reglamento General de Protección de Datos en virtud del cual la recopilación de datos personales se rige por el consentimiento del consumidor de que está de acuerdo en que sus datos se recopilan y almacenan. Esto significa que no es posible recopilar, almacenar y utilizar datos sin el permiso de un cliente. El Reglamento General de Protección de Datos (RGPD), de 14 de abril de 2016, adoptado el 25 de mayo de 2018, fue diseñado para proteger a los ciudadanos de la UE. El Reglamento introduce limitaciones tanto para la recopilación como para el uso de los datos, explica la protección de datos y la privacidad de los datos y limita el uso de los datos sin alienación del cliente.
La protección de los datos personales y sensibles es obligatoria, así como la distinción entre ellos, ya que pueden ser necesarios diferentes niveles de protección. Los datos personales, además de los nombres, direcciones o datos de cuentas bancarias, son cookies y las direcciones IP y los datos biométricos se clasificarán como datos sensibles. Un sitio de comercio electrónico entrará en contacto con una gran cantidad de datos personales y sensibles, por lo tanto, las medidas de seguridad deben introducirse desde el mismo momento en que una empresa tiene un visitante en la página web (especialmente si el sitio está utilizando cookies, ya ha recogido datos del visitante, o cuando se inscriben en un boletín electrónico) y durante su conversión para convertirse en cliente (creación de una cuenta, realización de una compra, introducción de datos). En cualquier caso, las empresas están obligadas a explicar a los clientes por qué están pidiendo sus datos y que son responsables de proteger los datos de los clientes. Esta información también debe estar disponible para que los clientes la consulten en cualquier momento (p. ej., en la política de privacidad o en cualquier otro lugar del sitio web que sea fácil de encontrar).
La digitalización facilita la recopilación de datos, pero con la introducción del RGPD la cantidad de datos recopilados disminuye significativamente, ya que los clientes son más cuidadosos con la información que comparten en línea. Las empresas también están empezando a entender que no necesitan recopilar tantos datos de los clientes, además de construir la confianza de aquellos clientes que piensan que las empresas están aprovechando sus datos y no necesariamente protegiéndolos. En el comercio electrónico, la recopilación y el almacenamiento de datos no son necesarios para completar un pedido, pero pueden ser vitales para el propósito de otras actividades, p.ej., analizar el comportamiento en línea del consumidor o su suscripción a un boletín electrónico. En cualquier caso, el consumidor siempre debe confirmar que está de acuerdo con que el sitio web / proveedor de comercio electrónico recoja sus datos, lo cual es de aplicación bajo el RGPD.
La Estrategia del Mercado Único Digital de la UE (lanzada en mayo de 2015) tiene como objetivo apoyar la seguridad del comercio electrónico y garantizar las actividades en línea de los consumidores, y por tanto la protección de sus derechos en línea. Las principales propuestas de esta estrategia incluyen los servicios de pago y la prohibición del geobloqueo, entre otros. En términos de pago, la Directiva sobre servicios de pago (Reglamento (UE) 2015/2366) se creó para aumentar los derechos de los consumidores, garantizar pagos seguros y más rápidos, describir los derechos de reembolso, proporcionar información clara sobre los métodos de pago y promover los pagos a través de móviles. Como respuesta al geobloqueo, el Reglamento 2018/302 de 28 de febrero de 2018, adoptado el 3 de diciembre de 2018, pone fin al geobloqueo, facilitando las actividades de comercio electrónico (venta y compra fuera del país de residencia) y aumentando las ventas dentro de la UE. El geobloqueo impuso limitaciones no sólo a los consumidores y las empresas, sino también a las economías. Por otra parte, los consumidores recibieron protección adicional en abril de 2018 por las propuestas de un Nuevo Trato para los Consumidores que obliga a los mercados en línea a informar a los consumidores si están comprando a un comerciante o un individuo, si su resultado de búsqueda es prepagado por un comerciante y en qué condiciones, así como permitir a los consumidores cancelar un contrato de compra de servicios digitales en un plazo de 14 días. Se espera que en enero de 2021 entren en vigor nuevas normas del IVA para las ventas en línea de bienes y servicios, que simplificarán las normas del IVA para las ventas y también combatirán el fraude fiscal. La UE está introduciendo periódicamente nuevas normas para la protección de los derechos de los consumidores en línea y mejorando el rendimiento del comercio electrónico. Puede encontrarse más información al respecto en las páginas de ‘Shaping Europe’s digital future policies’ de la Comisión Europea (Comisión Europea, 2020).