Administración del Riesgo Latinoamérica, Mayo 2017

Luis Reza

LOS RETOS DE LA SEGURIDAD EN LOS PAGOS ELECTRÓNICOS

Limitación de Responsabilidad

This presentation is furnished to you solely in your capacity as a customer of Visa Inc. and/or a participant in the

Visa payments system. By accepting this presentation, you acknowledge that the information contained herein

(the “Information”) is confidential and subject to the confidentiality restrictions contained in Visa’s operating

regulations and/or other confidentiality agreements, which limit your use of the Information. You agree to keep

the Information confidential and not to use the Information for any purpose other than in your capacity as a

customer of Visa Inc. or as a participant in the Visa payments system. The Information may only be disseminated

within your organization on a need-to-know basis to enable your participation in the Visa payments system.

Please be advised that the Information may constitute material non public information under U.S. federal

securities laws and that purchasing or selling securities of Visa Inc. while being aware of material non public

information would constitute a violation of applicable U.S. federal securities laws

6/7/2017 Administración del Riesgo Visa 2

Notice of confidentiality

This presentation is furnished to you solely in your capacity as a customer of Visa Inc. and/or a participant in the

Visa payments system. By accepting this presentation, you acknowledge that the information contained herein

(the “Information”) is confidential and subject to the confidentiality restrictions contained in Visa’s operating

regulations and/or other confidentiality agreements, which limit your use of the Information. You agree to keep

the Information confidential and not to use the Information for any purpose other than in your capacity as a

customer of Visa Inc. or as a participant in the Visa payments system. The Information may only be disseminated

within your organization on a need-to-know basis to enable your participation in the Visa payments system.

Please be advised that the Information may constitute material non public information under U.S. federal

securities laws and that purchasing or selling securities of Visa Inc. while being aware of material non public

information would constitute a violation of applicable U.S. federal securities laws

6/7/2017 Administración del Riesgo Visa 3

46/7/2017 Administración del Riesgo Visa

Proteger el crecimiento en los Pagos Electrónicos requiere un balance entre conveniencia y seguridad

Nuevas tecnologías y herramientas para reducir el Riesgo

Visa tiene un enfoque integral de

seguridad basado en múltiples

niveles de tecnología, análisis de

información y mejores prácticas

de seguridad que ayudan a

proteger los medios digitales de

pago y reducir el fraude

Innovación Digital

6/7/2017 Administración del Riesgo Visa 5

Eliminar la

Información

sensible

Invertir en

Inteligencia de

información

Dar mejor

control a los

clientes

66/7/2017 Administración del Riesgo Visa

Proteger los sistemas

de Información

“Proteger el

Ecosistema de Pagos

Nuestro enfoque de múltiples niveles deSeguridad esta fundamentado en cuatro pilares:

Nuevas tecnologías y herramientas para reducir el Riesgo

EMV Chip 3D Secure 2.0 Autenticación Basada en

análisis de Riesgo

Tokenization

6/7/2017 Administración del Riesgo Visa 7

Geolocalización

Mejorar la Experiencia del Cliente

6/7/2017 Administración del Riesgo Visa 8

Alertas de Transacciones Mensaje Texto –Email

Aplicaciones para control de sus transacciones

Dar mejor control a los clientes

9Administración del Riesgo Visa6/7/2017

Riesgos con tarjeta presente

Datos estáticos: Información de validación del cliente siempre es la misma

Número de la

cuenta de tarjeta

Nombre del

tarjetahabiente

Fecha de

ExpiraciónCódigo

de

Servício

CVV

4 0 0 0 1 2 3 4 5 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 1 0 1 ^ 2 1 7 ^…

Datos de la banda

magnética123

10Administración del Riesgo Visa6/7/2017

Controlar los Riesgos con tarjeta presente

Datos Dinámicos: eliminan el Riesgo de compromiso de información y fraude posterior al cliente

Chip EMV

Criptograma

(DINÁMICO)

1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 94 0 0 0 1 2 3 4 1 5 7 4 3 0 1 75 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^ ^…

4000 1234 5678 9010

CARDHOLDER NAME12/12

2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 82 3 4 2 7 8 9 1

Número de la

cuenta de tarjeta

Nombre del

tarjetahabiente

Fecha de

ExpiraciónCódigo

de

Servício

CVV

Datosdinámicos

del chip

11Administración del Riesgo Visa6/7/2017

Controlar los Riesgos con tarjeta presente

Datos Dinámicos: eliminan el Riesgo de compromiso de información y fraude posterior al cliente

1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 94 0 0 0 1 2 3 4 1 5 7 4 3 0 1 75 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^ ^…

4000 1234 5678 9010

CARDHOLDER NAME12/12

2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 89 8 0 1 5 9 0 2

Criptograma

(DINÁMICO)Número de la

cuenta de tarjeta

Nombre del

tarjetahabiente

Fecha de

ExpiraciónCódigo

de

Servício

CVV

Datosdinámicos

del chip

Chip EMV

12Administración del Riesgo Visa6/7/2017

Controlar los Riesgos con tarjeta presente

Datos Dinámicos: eliminan el Riesgo de compromiso de información y fraude posterior al cliente

1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 94 0 0 0 1 2 3 4 1 5 7 4 3 0 1 75 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^ ^…2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 88 7 2 6 9 1 4 9

Criptograma

(DINÁMICO)Número de la

cuenta de tarjeta

Nombre del

tarjetahabiente

Fecha de

ExpiraciónCódigo

de

Servício

CVV

Datosdinámicos

del chip

Chip EMV

13Administración del Riesgo Visa6/7/2017

Controlar los Riesgos con tarjeta presente

Datos Dinámicos: Convergencia EMV + Tokens

Token Name Expiry Service code

Different iCVV

^4000 1234 5678 9123 4 0 3 2 5 8 1 0 4 2 7 ^ - - - - - - - ^ 0 1 2 0 1 2 ^ 2 0 1 ^ 4 1 70 0 6 5

Card number Name Expiry Service code

CVV

4 0 0 0 1 2 3 4 5 6 7 ^ J O H N D O E ^ 0 1 2 0 1 2^ 1 0 1^ 2 1 7 ^…

Card number Name Expiry iCVV

4 0 3 4 5 6 7 9 1 2 3 ^ J O H N D O E^ 0 1 2 0 1 2 ^ 2 0 1 ^ 3 8 6 ^4000 1234 5678 9123 0 0 1 2

Service code

Cryptogram(DYNAMIC)

1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 7 ^…2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 85 8 3 6 8 1 2 7

Cryptogram(DYNAMIC)

1 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 7 ^…2 4 8 0 1 8 0 31 5 1 8 7 3 2 83 1 0 2 8 2 9 18 2 1 8 4 3 8 49 1 0 6 3 1 4 28 5 6 3 8 6 0 91 5 7 4 3 0 1 72 4 8 0 1 8 0 34 3 1 2 3 6 8 93 6 7 9 4 5 1 03 4 9 1 5 2 3 87 3 2 5 6 0 0 3

14Administración del Riesgo Visa6/7/2017

Riesgos con tarjeta no presente

Botnet, programas de computo para controlar computadoras servidores infectados de forma remota

Merchant

JoseMiami

LeandroBrazil

Fraudster

AnaLos Angeles

Computadoras infectadas toman

control de otras computadoras para enviar compras con Tarjetas

fraudulentas de forma masiva

Brute force attack

15Administración del Riesgo Visa6/7/2017

Mitigar los Riesgos con tarjeta no presente

Ciclo de una Transacción Segura en Comercio Electrónico

Prevención de fraude

del Emisor (puntaje de

riesgo basado en

histórico de

transacciones,

monitoreo de

velocidad, perfil de

riesgo, etc.)

Autorización

Basada en Riesgo

Emisor envía Alertas

a cliente para

certificar transacción

(email, SMS,

aplicación móvil del

emisor, etc.)

Comprobaciones

Postventa

Prevención de fraude del Comercio/ Adquirente(geolocalización IP, identificación de dispositivos, credenciales de usuario, monitoreo de velocidad, etc.)

Análisis

Preventa

Emisor utiliza los datos disponibles en la solicitud para decidir si autenticar al consumidor... y, en su caso, hacerlo sin fricción (OTP, etc.)

Autenticación

Basada en Riesgo

Migrar hacia la autenticación selectiva basada en modelo de riesgo

Eliminar la autenticación estática

Administración del Riesgo Latinoamérica, Mayo 2017

Luis Reza

LOS RETOS DE LA SEGURIDAD EN LOS PAGOS ELECTRÓNICOS

GRACIAS