Determinando el universo de Auditoria en sistemas de comercio electrónico

Determinando el universo de Auditoria en

sistemas de comercio electrónico

Carlos G. Masi

CISA, CISM

Carlos G. Masi

Auditor Interno

. Especializado en

assurance de TI. Desde 1996 que trabajo

en esto.

Bancard S.A.

Casa Matriz en

Asunción, Paraguay

Introducción

El auditor deberá determinar una estrategia y un universo de auditoría con

foco en los riesgos y controles de este tipo de negocio

Agenda

!"

!

#$%&'&(&$%&)*(&*+,)*)-)%&./)*(&*.&(-,)*(&*0/1,"*

2"

!

3/*0&4)0&'56/*(&+*/7(-%,4"*

8"

!

9:;.,*&)%/<+&'&4*&+*7$-6&4),*(&*7$/*/7(-%,4=/*>*

?"

!

@4-$'-0/+&)*A,'/+*0,-$%)*0/4/*/7(-%,4&)"*

B"

!

C$*'D&'E+-)%*<F)-',*/*)&4*%&$-(,*&$*'7&$%/"*

G"

!

:,$'+7)-,$&)"*

Antecedentes de los medios de pago

antigua Grecia

480 aC

70-80 dC

antigua Roma

primeras

estructuras monetarias

•! cobro de intereses sobre depósitos y préstamos

siglo XII

cheque

siglo XVII

papel moneda

1891

traveller’s

check

Antecedentes de los medios de pago

1950

1951

Franklin National Bank New York

1° emitir TC a

no clientes

₁₉₅₈

₁₉₆₆

₁₉₇₀

1ra. tarjeta emitida fuera de EEUU

Antecedentes de los medios de pago

1968

1er. ATM en red Dallas, EEUU

1978

1984

POS

1992

1º emitir tarj. chip Carte Bancaire Francia

1979

Michael Aldrich presenta la venta

Antecedentes de los medios de pago

1995

2010

2012

aprox. 2000 millones TC

30 millones de comercios

2009

aprox. 15 millones

La perspectiva del auditor

•

_!

Procesos de eCommerce forman parte del ciclo de ingresos y

egresos de una organización, por lo que deben ser auditados

en forma adecuada.

•

!

Las consideraciones del auditor son:

•

!

Identificación de las partes que realizan la

transacción

(autenticación)

•

!

Quién carga los datos clave de la

transacción, como contratos, precios,

descuentos

(autorización)

•

!

Integridad

de órdenes de compras,

pagos, remisiones, confirmaciones.

•

!

Seguridad

de la información y de los

datos transmitidos y procesados.

•

!

Alcance del control gerencial sobre el

proceso

•

!

Cómo se gestionan los

riesgos

del

negocio.

La perspectiva del auditor

•

_!

Los

controles de seguridad

incluyen:

•

!

Encriptación de las comunicaciones y mecanismos de

autenticación de usuarios.

•

!

Cumplimiento con regulaciones de la industria, contratos,

acuerdos de niveles de servicio

(SLA)

y estatus de privacidad.

•

!

Documentación adecuada de acuerdos comerciales, incluyendo

los términos de las transacciones y los métodos de autorización y

autenticación.

•

!

Capacidad planificada de los sistemas para prevenir ausencias de

servicio, inactividad

(downtime)

y resistir ataques de malware.

•

!

Mecanismos de seguridad de la información a lo largo de todo el

ciclo de vida de la transacción

(end-to-end)

incluyendo proveedores

La perspectiva del auditor

POS

ATM

Débitos

Automáticos

IVR

eCommerce

Internet

eCommerce

mobile

Mail Order

Phone Order

Banco

Facturador

Incoming

Outgoing

Cajas registradoras

•

_!

Arquitecturas del Comercio Electrónico

–

_!

2 capas

–

_!

3 capas

–

_!

Múltiples capas

La perspectiva del auditor

browser

web server

application server

Db

Db

Db

capa de presentación

adm. de contenidos

y conexiones

lógica del negocio

datos de cliente, productos,

¿Cómo establecer el alcance de una auditoría ?

•

!

Las

implicancias

para los auditores incluyen:

•

!

Las transacciones de eComm eliminan la evidencia documental en

papel, por ej. documentación interna y externa, que son la base

para muchos procedimientos de pruebas sustantivas y pruebas de

control.

•

!

Los procesos rediseñados para eComm pueden haber eliminado

incluso los equivalentes electrónicos de los documentos en papel.

•

!

Ej.

un POS transmite la información del vendedor/cobrador al

procesador/facturador, Las órdenes de compra, facturas y resportes

de recepción son reemplazados por:

•

!

Un contrato a largo plazo que establece tarifas, tipos de

transacciones, condiciones de procesamiento.

•

!

Programas informáticos que procesan las operaciones en un

servidor de producción remoto (tercerizado)

•

!

Los pagos se realizan por medio de transferencias electrónicas

de fondos directamente a las cuentas de cada parte que

interviene en el ciclo de vida de la transacción.

¿Cómo establecer el alcance de una auditoría ?

•

!

Para establecer el alcance de la auditoría, el auditor debe

comprender los procesos del ciclo del negocio a ser auditado

que dependen de eCommerce en forma total/parcial.

•

!

Documentar el flujo del proceso

teniendo una visión holística de las

funciones del negocio.

•

!

Definir el ciclo de la vida de la

transacción que origina y da vida al

proceso.

•

!

Identificar todas les entidades

internas y/o externas que

intervienen.

•

!

Desarrollar una estrategia y un

enfoque de auditoría basados en los

riesgos del proceso.

•

!

Desarrollar los programas de trabajo

correspondientes.

Focal points para el auditor

Focal points para el auditor

Focal points para el auditor

Focal points para el auditor

Focal points para el auditor

•

_!

Protección de datos confidenciales en transacciones con tarjetas de

crédito.

Focal points para el auditor

•

!

Protección de datos confidenciales en transacciones con tarjetas de

crédito.

Tipo de dato Elemento de dato

Storage

permitido

Protección

requerida

Mask

requerido

Datos del

cardholder

Primary Account Number

(PAN)

Si

Si

Si

Nombre

Si

Si

No

Codigo servicio

Si

Si

No

Fecha expiración

Si

Si

No

Datos de la

autenticación

Track completo

No

CVV

No

Un checklist básico a ser tenido en

cuenta

1 ¿Qué tipo de procesos de eCommerce posee la organización? Por ej: Home Banking, Intranets, red de cobranzas, Switch, etc.

2 ¿Qué tan críticos son los productos y servicios de

eCommerce para los objetivos y estrategias del negocio?

3 ¿Cuál es la estructura organizacional responsable por estos procesos?

4 Se cuenta con un sitio web : a)!Informativo

b)!Interactivo c)!Transaccional

5 El sitio web se encuentra alojado en: a)!La organización

b)!Un proveedor

c)!Un procesador tercerizado (Third Party Procesor)

6 ¿Los sistemas de eCommerce fueron desarrollados internamente o adquiridos externamente?

7 Describir todos los servicios, procesos y actividades de eCommerce realizados por la organización

Un checklist básico a ser tenido en

cuenta

8 ¿Hasta qué punto la seguridad de las redes/aplicaciones de eCommerce se son testeades y monitoreadas?

9 La Política de Seguridad de la Información ¿ha sido adaptada para contemplar los riesgos y controles vinculados a los procesos de eCommerce?

10 Verificar que todas las conexiones externas de eCommerce se encuentran protegidas mediante dispositivos firewall (actualizados)

11 Las conexiones que transmiten datos de eCommerce ¿estan protegidas mediante encriptación ?

12 ¿Hasta que punto las aplicaciones de eCommerce están sujetas a PenTest para prevenir vulnerabilidades como por ej. SQL Injection ?

13 ¿Qué tipo de controles de acceso han sido implementados para prevenir el acceso no autorizado a las aplicaciones y datos de eCommerce?

14 ¿Hasta qué punto el Plan de Continuidad del Negocio contempla los riesgos asociados a las aplicaciones de eCommerce?

Conclusiones

•

!

Actualmente la mayoría de las organizaciones (públicas y

privadas) poseen algún tipo de proceso/función del negocio del

tipo eCommerce.

•

!

Deben ser auditados en forma adecuada.

•

_!

La auditoría de los procesos eCommerce debe ser realizada por

especialistas, en algunos casos podrán ser contratados

especialmente para este efecto.

•

!

El alcance del trabajo es definido por el auditor líder responsable

por la auditoría general de la organización.

¡Muchas Gracias

por su atención!