Tres formas de gestionar los riesgos de seguridad de los puntos de venta en el ámbito de las tecnologías de la información para el comercio minorista

Octubre 31, 2019
John Emmitt
Venta al por menor

Hoy en día, las organizaciones están dando prioridad a la seguridad, dado el aumento de la frecuencia de los ciberataques. Y el sector minorista no es una excepción.

Entre las vulneraciones más publicitadas en el sector minorista cabe citar la de Target, cuyos registros de 40 millones de clientes fueron robados en 2013, y el mismo ataque comprometió otros 70 millones de registros.

En 2018, las cadenas de grandes almacenes Saks Fifth Avenue y Lord & Taylor sufrieron mala prensa debido a una brecha que expuso detalles de 5 millones de tarjetas de pago de clientes. Los clientes en línea de otro minorista popular, Macy's, fueron víctimas de una filtración de datos que duró casi dos meses y, como resultado, el minorista se enfrentó a una demanda colectiva por parte de sus clientes. 

También en 2018, British Airways sufrió una filtración de datos que afectó a unos 380.000 clientes que utilizaban su sitio web y su aplicación móvil. Según un artículo de activereach.net, "los datos de las tarjetas de pago de los clientes fueron violados, pero los datos comprometidos no incluían detalles de viajes o pasaportes."

En este blog, analizaremos algunas formas de gestionar los riesgos de seguridad asociados a uno de los principales puntos de riesgo del sector minorista: los terminales de punto de venta (TPV). 

Aunque las tiendas minoristas no pueden funcionar sin terminales de punto de venta (TPV), estos suponen un gran riesgo para la seguridad, ya que están constantemente conectados a Internet, no siempre cumplen las normas de seguridad informática y son utilizados por múltiples usuarios para actualizar los terminales. 

A continuación se presentan tres formas en que las empresas minoristas pueden mantener la seguridad de sus terminales de punto de venta y evitar filtraciones de datos relacionadas con información confidencial de tarjetas de crédito. 

1. Endurecer las políticas de software y seguridad para evitar ataques de malware en los puntos de venta 

El malware de POS está diseñado específicamente para terminales de punto de venta y se utiliza para robar datos de tarjetas de pago de clientes durante transacciones en tiendas minoristas.  

Cuando se realiza una venta, el comerciante suele almacenar los datos de la tarjeta de pago en un sistema al realizar el cargo. Estos datos se cifran en el sistema, que es el punto final. Sin embargo, hay una fracción de segundo, mientras se procesa el pago y los datos aún no están cifrados, en la que los piratas informáticos atacan y roban los datos. 

Este ataque es posible gracias a la instalación de malware en el dispositivo final. Las empresas minoristas suelen estar plagadas de sistemas heredados a los que resulta difícil aplicar parches y que, por lo tanto, son blancos fáciles para los ataques de malware. Para evitar el malware, los minoristas deben: 

  • Mantener actualizados sus terminales de punto de venta y servidores con parches periódicos.
  • Evite que los terminales de punto de venta accedan a Internet
  • Implementar medidas de seguridad básicas, como cortafuegos y software antivirus/antimalware (AV/AM), en todos los dispositivos finales

2. Invertir en formación sobre concienciación en materia de seguridad para los empleados 

Proteja sus datos minimizando los errores humanos. Es fundamental que los minoristas formen a sus profesionales de TI y al resto de empleados en las mejores prácticas de seguridad, como los controles de acceso, la complejidad de las contraseñas y la identificación de dispositivos no autorizados en los terminales de punto de venta. La formación también debe abarcar los procedimientos adecuados para responder ante actividades sospechosas. 

3. Cumplimiento de la normativa PCI 

La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) garantiza la protección de los datos de las tarjetas de pago mediante políticas como:

  • Restricción del acceso a los datos de los titulares de tarjetas por necesidad de conocimiento de la empresa
  • Identificación y autenticación del acceso a los componentes del sistema
  • Restricción del acceso físico a los sistemas de datos de los titulares de tarjetas
  • Obligación de autenticación multifactor (MFA) para todos los accesos administrativos que no sean de consola.
  • Y más

El cumplimiento de la norma PCI, por sí solo, puede que no garantice una seguridad informática total. Sin embargo, los minoristas pueden aprovechar este cumplimiento, ir más allá de los requisitos mínimos y adoptar las mejores prácticas de ciberseguridad para maximizar la protección del ciclo de vida de los pagos. 

Para obtener más información sobre cómo superar los retos a los que se enfrentan los profesionales de TI del sector minorista, descargue nuestro eBook Cómo superar 7 retos informáticos difíciles en el sector minorista.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías