El Centro Nacional de Excelencia en Ciberseguridad National (NCCoE) está solicitando comentarios públicos sobre un proyecto dirigido a reducir el fraude en el sector minorista en Estados Unidos. El incremento que se ha producido en el fraude que afecta a los comerciantes minoristas europeos desde que se implementó hace una década la tecnología EMV chip-y-PIN (CNP) ha constituido un elemento catalizador de este proyecto.

La meta es reducir el riesgo en las transacciones de comercio electrónico mediante el empleo de la autenticación multifactor utilizando la analítica web existente y el cálculo contextual de riesgo.

Del informe “Autenticación multifactor para comercio electrónico”:

El proceso del proyecto incluye identificar las partes interesadas y sistemas que participan en las transacciones CNP (tarjeta no presente), definir las interacciones entre las partes interesadas y los sistemas de los comerciantes minoristas, identificar tecnologías de seguridad mitigantes, y finalmente ofrecer un ejemplo de implementación.

Este caso de uso ayudará a los comerciantes a implementar mecanismos más fuertes de identificación (métodos para garantizar que el usuario de la tarjeta está autorizado por el dueño de la tarjeta para utilizarla) para transacciones de comercio electrónico en escenarios CNP (tarjeta no presente), usando productos de fuente abierta basados en estándares, disponibles en el mercado.

Pero es posible que los comerciantes no estén motivados respecto a la implementación de mecanismos de autenticación multifactor para transacciones en que la tarjeta no está presente, debido a una “reticencia en hacer que la experiencia de compra sea demasiado engorrosa para los consumidores, lo que pudiera provocar que se fueran hacia otro sitio de comercio electrónico de un competidor en procura de los artículos deseados”, observa Bill Newhouse, ingeniero senior de seguridad en NCCoE y coautor del informe sobre el proyecto.

Se aceptan comentarios del público hasta junio 3. “El NCCoE ha de valorar cada comentario con vistas a aceptar o rechazar la afirmación, corrección o esclarecimiento que se ofrece”, dice Newhouse. “Los comentarios pueden también ayudar a verificar que el proyecto es de interés y amerita seguir adelante”.

El proyecto contribuirá en la elaboración de una Guía Práctica de Ciberseguridad de NIST para el público, que defina los pasos a seguir por los compradores que se identifican y autentifican durante las transacciones de comercio electrónico. “La Guía Práctica demuestra que existen tecnologías que pueden formar parte y combinarse en una arquitectura técnica que implemente estándares que tengan como resultado una mayor seguridad cibernética”, señala Newhouse. Además, incluirá información extraida de un proyecto separado sobre aseguramiento de datos sensibles del consumidor.