¿Cómo puedo integrar los pagos electrónicos de Adyen de forma segura?
Protege tu negocio de los atacantes en línea
Actores (personas u organizaciones) con intenciones maliciosas pueden dirigirse a tu empresa mediante ataques en línea. Dependiendo de cómo integres Adyen en tus servicios, hay medidas de seguridad adicionales que podrías considerar para proteger la confidencialidad, integridad y disponibilidad de los datos de tu empresa y de tus clientes.
Cómo podrías verte afectado
Los atacantes podrían intentar falsificar o robar las credenciales de inicio de sesión para acceder a tu entorno (de administrador). Algunas técnicas conocidas son forzar contraseñas débiles o explotar una autenticación de administrador débil o rota. El phishing u otros trucos de la llamada ingeniería social son comunes y consisten en engañar a una persona de tu empresa para que dé acceso a información confidencial.
Si los atacantes obtienen un acceso no autorizado a tus páginas, pueden extraer los datos de las tarjetas. Un atacante potencial puede realizar ataques de scripting entre sitios de diferentes maneras.
- Redirigiendo un pago a una página fraudulenta para que los datos de pago introducidos se envíen a los atacantes antes de que el proceso de pago continúe en la página legítima.
- Colocando las llamadas superposiciones u overlays en la parte superior de tu página de pagos real y recogiendo los datos de la tarjeta antes de que se realice el pago real.
- Manipulando la página con código malicioso, por ejemplo, a través de los llamados capturadores de pulsaciones o keyloggers, para recoger los datos de la tarjeta a medida que el comprador los introduce.
Cómo reducir el riesgo de vulnerabilidad
La aplicación de medidas de seguridad básicas puede reducir los riesgos de forma significativa. Debes gestionar adecuadamente las cuentas de usuario, los sistemas y el ciclo de vida de desarrollo de tu plataforma.
Gestión de cuentas de usuario
- Sustituye los nombres de usuario y las contraseñas que el proveedor ha proporcionado.
- Utiliza contraseñas fuertes para evitar ataques de fuerza bruta. Utiliza contraseñas largas que contengan letras mayúsculas y minúsculas, números y caracteres especiales.
- Evita las cuentas que comparten credenciales entre varias personas.
- Haz que se aplique la autenticación multifactor (MFA), especialmente cuando se inicie la sesión en dispositivos de acceso público.
Gestión de sistemas
- Mantén los sistemas y el software actualizados con los últimos parches de seguridad.
- Lee e implementa las recomendaciones de seguridad proporcionadas por tu proveedor de comercio electrónico o sitios web.
- Revisa la actividad de los administradores y usuarios con regularidad para detectar actividades inusuales causadas por un posible atacante.
Gestión del ciclo de vida del desarrollo
- Ten en cuenta las mejores prácticas de seguridad en las fases de diseño, desarrollo y pruebas de tu ciclo de vida de desarrollo.
- Revisa los cambios en tus páginas de pago, así como el código fuente relacionado. Asegúrate de establecer una supervisión continua para detectar y responder a los cambios inesperados.
- Gestiona los riesgos de la cadena de suministro para identificar, gestionar y prevenir los ataques a través de terceros proveedores.
- Asegúrate de que los recursos por parte del cliente en tus páginas se cargan desde dominios autorizados. Dichos recursos pueden ser bibliotecas de javascript, CSS, chatbots, analíticas, etc.
- No generes URL de Pay by Link en sistemas de acceso público. Es mejor validar automáticamente la parte del host de la URL antes de enviarla a tu cliente.
- Implementa el intercambio de recursos entre orígenes y la integridad de los subrecursos. Consulta nuestros recursos de desarrollo para obtener más información al respecto.
- Implementa la Política de seguridad de contenido (CSP) para evitar, entre otras cosas, los ataques de scripting entre sitios. Las CSP se pueden implementar agregando el encabezado HTTP de la Política de Seguridad de Contenido en tu servidor web y configurándolo para que solo acepte recursos de fuentes de confianza. Utiliza únicamente las siguientes directivas: Adyen, Amazon Pay, PayPal y Google Pay.
Más información
Hay muchos marcos públicos y otras directrices que pueden ayudarte a proteger tu empresa. Naturalmente, no solo mediante la aplicación de prácticas de codificación seguras, sino también mediante la evaluación continua de tus medidas de seguridad con la ayuda de marcos de madurez. Recomendamos los siguientes recursos para saber más:
¿Te sirvió de ayuda este artículo?
La guía de seguridad de la integración
Sigue las prácticas recomendadas para reducir los riesgos de seguridad.
Ver la guía de seguridad de la integración