E-commerce

E-commerce

Contamos con amplia experiencia en el análisis de e-commerce, tanto a nivel aplicativo como a nivel procesos. Conocemos con precisión los puntos vulnerables en plataformas de comercio electrónico de toda índole. Nuestros informes permiten, no solo solucionar errores en la programación de las plataformas, sino también, en caso de ser necesario, re plantear los procesos involucrados en la actividad. Tenemos como objetivo, brindar información de calidad con respecto a la situación de su e-commerce frente a la seguridad, para facilitar la toma de decisiones.

Análisis de procesos:

  • Registración
  • Publicación
  • Compra
  • Venta
  • Búsquedas
  • Calificación
  • Interacción comprador-vendedor
  • Flujos de recuperación de passwords

 

Algunas de las vulnerabilidades mas comunes utilizadas en el robo de información financiera son:

  • SQL Injection
  • Cross-Site Scripting
  • Path Traversal
  • Robo de sesiones

 

Para establecer un nivel mínimo de seguridad, la Industria de Tarjetas de Pago establece 12 requisitos para el cumplimiento que caen en uno de los seis grupos llamados objetivos de control. Los objetivos de control consisten en:

  • Construir y mantener una red segura
  • Proteger los datos de los titulares de tarjetas
  • Mantener un programa de gestión de vulnerabilidades
  • Implementar fuertes medidas de control de acceso
  • Controlar regularmente y testear las redes
  • Mantener una política de seguridad de la información

Las empresas que no cumplan con los estándares PCI DSS corren el riesgo de perder la capacidad de procesar pagos con tarjeta de crédito y pueden quedar sujetas a auditorias y multas.

 

Compliance en aplicaciones Web

Como muchos sitios web son impulsados por las aplicaciones web, y la capa de aplicación es el punto débil para los atacantes, las Normas de Seguridad de Datos PCI abordan específicamente cómo proteger las aplicaciones web.

En lo que se conoce como requisito 6.6, a los propietarios de sitios web que procesan tarjetas de crédito se dan dos opciones para el cumplimiento. La opción uno requiere una revisión de código que debe ser hecha por un empleado interno o una fuente tercerizada de confianza, y debe consistir en uno de estos cuatro métodos:

  • Revisión manual del código fuente de la aplicación
  • El uso adecuado de herramientas automatizadas de análisis de código fuente.
  • Evaluación manual de la vulnerabilidad de seguridad de aplicaciones web
  • El uso adecuado de herramientas de evaluación de la de seguridad de aplicaciones web.