Por: Alejandro Gómez Bucio, Dana Paola Valle Arroyo y José Antonio Alcalá López
Los sistemas de pago de hoy se enfrentan a una realidad nueva y en constante cambio a medida que el aumento de la regulación y el fraude han transformado su negocio. Como resultado, los métodos de pago autorizados, como POS, ATM, comercio electrónico, sistemas de billetera electrónica, deben estar más enfocados en las reglas relacionadas con la realización de una transacción y tener parámetros perfectamente definidos que determinen la cancelación de la autorización de una transacción. Las autorizaciones inesperadas pueden traer consecuencias catastróficas para las instituciones financieras y terminar en la pérdida de millones de dólares para bancos o switches bancarios.
Una revisión de las mejores prácticas de código seguro requiere una revisión de los errores lógicos con una inspección meticulosa de cada paso del código durante la validación y el enrutamiento de una transacción. Esto requiere de un equipo con experiencia en este tipo de procesos, conocimiento tanto del lenguaje TAL como de los sistemas de pago (BASE24, Connex), y, por supuesto, experiencia en la identificación de vulnerabilidades en entornos que permitan la identificación proactiva de ataques, así correcciones de brechas de seguridad en corto y largo plazo.
El equipo de Metabase Q | Ocelot creó esta guía para sentar un precedente y presentar las bases para establecer mejores prácticas de programación, específicamente en el lenguaje TAL, que se ejecuta en sistemas EFT, como BASE24 y Connex.
Los errores de código seguro presentados en esta guía son el resultado de un análisis exhaustivo realizado en el sistema BASE24, que ha sido modificado por proveedores externos distintos al propietario del software (ACI Worldwide). En muchas ocasiones, el sistema es modificado por diferentes proveedores a lo largo de los años sin seguir ningún estándar específico, guiado solo por la experiencia personal, la practicidad o la rapidez, y, en ocasiones, sin reconocer las reglas del lenguaje TAL o de la transaccionalidad que establece el propio sistema BASE24.
En esta guía, encontrará:
Errores clasificados en categorías según el tipo de impacto y criticidad.
Recomendaciones para evitar estos errores.
Diagramas para una mejor comprensión del esquema modular que maneja BASE24 y de los módulos que podrían presentar la vulnerabilidad.
Diagrama de gestión de memoria dentro del código escrito en TAL.