ciberseguridad en la banca

PKI: Un paso más para la ciberseguridad de la banca

Robustez para las transacciones electrónicas y el Internet de los Pagos (IoP)

Parte del éxito de la banca digital reside en la implementación de robustas soluciones de seguridad que protejan, en todo momento, los pagos y las transacciones.

Desde Realsec by Utimaco, hemos hablado sobre como el cifrado proporcionado por un HSM o módulo hardware de seguridad es el mejor aliado para la protección de los datos del cliente en estos procesos.

En esta ocasión, vamos a tratar porque una PKI (PKI, Public Key Infrastructure o Infraestructura de Clave Pública) es esencial para sumar un plus de confianza en los intercambios de información en una sociedad cada vez más digital y en la que la banca está muy presente; al tiempo que proporciona certeza a la identidad digital sin comprometer los datos de sus clientes, empleados, servidores, sistemas internos, así como para la implementación de certificados de dispositivo desplegados para cajeros automáticos, entre otros.  

A su vez, todos estos públicos del banco tienen la seguridad de que es el banco y no un suplantador quien se comunica y comparte información con ellos, puesto que los sistemas del banco (y opcionalmente también los usuarios) disponen de certificados electrónicos y de las correspondientes claves privadas, con lo que el banco refuerza la confianza en las comunicaciones y transacciones de datos en los medios digitales tanto con sus clientes como en sus propios sistemas.

Con la implementación de una estructura de tecnología de clave pública estamos reforzando el acceso seguro, la integridad y autenticidad de los datos a la vez que podemos verificar a gran escala la identidad digital de personas, sistemas y dispositivos y, por lo tanto, estamos creando entornos más confiables para las firmas digitales y transacciones electrónicas.

¿De qué se compone una PKI?

La PKI se conforma como una arquitectura de seguridad basada en software y hardware que proporciona identificación y autenticación seguras, confidencialidad, no repudio e integridad de los datos.  Sobre esto además puede leer el siguiente post de nuestro blog: ¿Qué es una PKI y para qué sirve?  Aunque la PKI es escalable y podemos adaptarla según los servicios requeridos, es importante destacar que una PKI básica se compone típicamente de una CA o Autoridad de Certificación y una Autoridad de Registro o RA. La CA es el elemento principal, cuyos roles son Autoridad de Certificación Raíz y la Autoridad de Certificación Subordinada. Su misión consiste en generar los Certificados Digitales.

pki

La Autoridad de Registro es el punto de acceso de los usuarios finales a la Autoridad de Certificación. Siendo a su vez, el instrumento en el que se generan o validan las solicitudes de certificación y las solicitudes de revocación.

Además, los módulos de seguridad o HSMs serán los responsables de gestionar las claves de privadas de las CAs.

En una segunda fase y con el objetivo de implementar un sistema PKI más completo, podemos incorporar una Autoridad de Validación o VA y una Autoridad de Sellado de Tiempo o TSA

Por su parte, con la Autoridad de Validación podemos proporcionar “en todo momento” el estado de revocación actualizado de un certificado y en algunos casos aligerar el tráfico de red como consecuencia de la descarga repetitiva de las listas de certificados revocados.

A su vez, es aconsejable añadir a esta suite, una Autoridad de Sellado de Tiempo o TSA que otorga certeza y evidencia el instante (horario exacto) en el que se realizó la firma digital a través del sello de tiempo o tiempo o Time Stamping.

También sobre todo lo aquí señalado, puede encontrar información más detallada en el post de nuestro blog ¿Qué es una Infraestructura de Clave Pública o PKI?

Internet de los Pagos & PKI

Actualmente, ya nadie duda de que el Internet de las Cosas o IoT está presente en numerosas facetas de nuestro día a día: hogares conectados, pagos a través de monedero electrónico …, pero al mismo tiempo se erige como un atractivo blanco para los ciberdelicuentes y es aquí donde las empresas fabricantes y/o usuarias no deben escatimar en la protección de los entornos IoT.

El Internet de los Pagos es el Internet de las Cosas aplicado al desarrollo de la Banca digital inteligente y es en este escenario donde PKI es la responsable de construir un ecosistema IoT de confianza basado en comunicaciones y transferencia segura de datos.

Tanto los nuevos modelos digitales financieros (Fintech, neobancos…) como la banca tradicional son conscientes que el desarrollo exitoso de estos pagos va ligado a la seguridad robustas de sus sistemas y es aquí donde la PKI se convierte en una aliada tecnológica imprescindible para la securización IoT, dotando de certificados digitales con claves seguras a cada uno de los dispositivos de la red de Internet de los Pagos, logrando así una identidad en línea tanto de las personas como de los objetos o dispositivos.

ciberseguridad en la banca

Los dispositivos IoT dependen principalmente de certificados digitales para su identificación y autenticación, siendo el Internet de las Cosas la tecnología emergente de mayor crecimiento en la actualidad que impulsa el despliegue y aplicación de PKI.

Por lo tanto, si queremos alta seguridad y más en entornos tan críticos como los pagos, una PKI es clave dentro de las estrategias de ciberseguridad del sector financiero como catalizador de las aplicaciones centrales del negocio.

Fdo. Pablo Juan Mejía

Director general Realsec by Utimaco

Sin comentarios

Envia un comentario

Comment
Nombre
Email
Sitio Web