Encriptación y firma digital en SAP BCM

Los últimos ataques a nivel mundial han puesto al descubierto la vulnerabilidad de los sistemas. Su repercusión mediática ha permitido concienciarnos de la necesidad de proteger la información y, en el marco de la tesorería de pagos, de la necesidad de proteger los ficheros que recogen una base de información muy sensible y susceptible de ser sustraída y manipulada. Asegurar dicha información puede realizarse mediante la encriptación y firma digital de los ficheros de pago generados como resultado del proceso de aprobación en SAP BCM.

¿Qué es la encriptación?

La etimología de encriptar nos remite a la expresión inglesa to encrypt, a su vez derivada del vocablo griego enkrýptein (que puede traducirse como “ocultar”). La acción de encriptar consiste en copiar un mensaje utilizando una clave.

Encriptar, en definitiva, consiste en cifrar: es decir, en transcribir un texto en signos (letras, números, etc.) de acuerdo con una determinada clave. De este modo es posible proteger su contenido.

La encriptación va ligada a la comunicación, constituyendo una herramienta de protección de información. Se puede transformar un texto con una clave de cifrado, volviéndolo incomprensible a quienes no disponen de la clave de descifrado, solo accesible a los agentes que quiere el emisor.

No es algo nuevo, el hombre siempre ha querido mantener la privacidad de los mensajes. Contar con una buena encriptación ha sido clave en la historia del mundo moderno, permitiendo incluso decantar la balanza en la segunda guerra mundial hacia los aliados gracias al descifrado de Turing sobre la máquina Enigma del ejército alemán, con la que cifraban las comunicaciones.

Firma Digital

Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora de dicho mensaje (autentificación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el emisor (integridad).

La firma digital se basa en el uso de dos claves: la pública (que se podrá difundir sin ningún problema a todas las personas que necesiten mandar algo cifrado) y la privada (que no debe de ser revelada nunca).

Mediante la firma digital se crea un algoritmo “hashing” basado en los datos que se encuentran dentro del fichero usando la clave privada del cliente (en este caso la empresa). El banco luego descifra el algoritmo “hash” utilizando la clave pública de la empresa. Por lo tanto, no será posible que el banco intente descifrar un archivo que ha sido alterado usando la clave pública de la empresa, sabríamos que existe un posible problema con el fichero y podríamos notificarlo a la misma. La firma digital garantiza que el fichero permanece inalterado en todo el proceso de envío, desde que sale de SAP BCM hasta que se recibe en el banco colaborador.

Otro propósito de este sistema es también el de poder firmar documentos, certificando que el emisor es quien dice ser, firmando con la clave privada y verificando la identidad con la pública.

Su importancia en la conectividad con bancos

Con respecto a la firma digital se considera importante que una empresa la aplique en su modelo de conectividad bancaria. Agregando la firma al conjunto de archivos (ficheros de pago) antes de su liberación y envío al Service Bureau o al producto correspondiente de SWIFT (Alliance Lite 2) o Editran, para que lo cargue luego en la red de mensajería financiera que corresponda, se garantiza su integridad.

Las redes de mensajería garantizan la integridad de la información, ya que se encuentra encriptada, por lo tanto, una vez que un fichero se encuentra dentro de estos canales, podemos estar seguros de que llegará de forma segura a la entidad financiera.

Sin embargo, antes de que el fichero llegue a estas redes existen elementos de riesgo, de hecho tantos como emplazamientos tenga el fichero durante el proceso de comunicación entre el servidor donde se genere el fichero de pagos y las comunicaciones que se produzcan, ya que el fichero permanece “abierto” desde que se envía desde la empresa y se carga en la red para ser enviado al banco.

Cuando el fichero se encuentra en el directorio del Service Bureau o producto de la red de mensajería financiera responsable de la conexión (entre el tiempo que se envía de SAP BCM y se carga en la red) ni la empresa pagadora ni el banco pueden estar seguros de que el fichero no haya sido alterado de manera fraudulenta o accidental.

Sin la firma digital el banco no dispone de mecanismo alguno que le permita autentificar la procedencia y la posible manipulación de los datos contenidos, por lo tanto procesará el archivo sin ningún tipo de responsabilidad.

ConVistaEncriptación y firma digital en SAP BCM
read more

Segurización del modelo de comunicación bancaria en SAP

No comments

La solución de Comunicación Bancaria de SAP BCM es una pieza central del procesamiento de pagos/extractos, lo que conlleva la inclusión de un conjunto de aplicaciones interrelacionadas, dotando de un mayor grado de complejidad al mapa de sistemas de una empresa.

Son varios los factores objeto de análisis en el marco de segurización de un modelo de comunicación. Algunos por ser de aplicación general no dejan de ser menos importantes:

  1. Correcta segregación de roles y funciones en el marco de actualización de datos maestros de terceros y poderes societarios.
  2. Inclusión de un doble factor de verificación del proceso de firma de la cadena de aprobación. No limitarlo única y exclusivamente a la introducción de usuario y password de SAP.
  3. Auditar y configurar un proceso de doble verificación sobre las modificaciones realizadas desde IT en el marco de los cuadernos bancarios.
  4. Limitar el acceso a directorios de carpetas que contienen los ficheros de pago, garantizando la privacidad de información sensible.
  5. Segurizar los ficheros de pago durante su permanencia temporal en directorios de carpetas y durante los procesos de comunicación del pago previos a la llegada a la red de mensajería.

No hace mucho tiempo atrás las razones que justificaban la implantación de un modelo de comunicación bancaria eran primordialmente de carácter operativo. Se debía fundamentalmente al establecimiento de un sistema que permitiera la conectividad directa entre las aplicaciones corporativas, responsables de la tesorería de pago y cobro, y las entidades bancarias con el fin de automatizar dichos procesos.

SAP BCM

Los pilares básicos sobre los que se sustentaba esta decisión eran cuatro:

  • Automatización y racionalización del mapa bancario mediante la utilización de una plataforma única para las trasmisiones de intercambios de ficheros.
  • Solución escalable de forma rápida y sencilla. Colaboradores locales o extranjeros.
  • Reducción de costes de mantenimiento, homogeneizando y automatizando los procesos de firma independientes a productos específicos de e-banking.
  • Aprovechamiento de la movilidad para la realización del proceso de autorización de los pagos sin necesidad de firma física. De esta manera se reducen los retrasos en la firma por ausencia física de los responsables y se monitorizan todos los pagos realizados.

Con independencia del modelo de conectividad, BCM + Service Bureau o BCM + Red Financiera (EDITRAN/SWIFT), los beneficios esperados en términos de eficiencia operativa, automatización y eliminación del tratamiento manual en el intercambio de información, suponían factores que de forma implícita garantizaban la mejora en la seguridad del circuito de pago. Si bien en ciertas ocasiones había cierta preocupación por la integridad de la información intercambiada, esta se limitaba al último eslabón de la cadena de comunicación Red-Banco.

Con la llegada de la automatización, la responsabilidad de la información intercambiada entre empresa y banco ha ido pasando paulatinamente de los departamentos de Tesorería al equipo de IT, más concienciado en la necesidad de segurización de procesos y el intercambio de información.

SAP facilita a través del módulo de integración de procesos SAP PI, una funcionalidad que permite el cifrado a través de PGP sin necesidad de recurrir a proveedores externos, ni ampliar el abanico de integraciones con otros aplicativos no SAP.

PGP en SAP

PGP es el acrónimo de Pretty Good Privacy (Privacidad Bastante Buena), un programa desarrollado por Phil Zimmermann que sirve para cifrar contenido, acceder a él mediante una clave pública y firmar documentos digitalmente para autentificarlos. PGP constituye una herramienta imprescindible para el cifrado de toda clase de archivos, y a pesar de sus más de 20 años de vida, sigue siendo una tecnología de cifrado de las más seguras.

Para aquellas empresas que ya utilizan el mediador de procesos de SAP el salto hacia la digitalización y encriptación de la información está al alcance de la mano en unos tiempos de implementación muy reducidos.

También es necesario destacar que algunos bancos comienzan a realizar estas peticiones en el marco de la nueva normativa reguladora PSD2, que entrará en vigor a partir de enero 2018 y que exigirá a los bancos seguridad adicional en los ficheros de pagos recibidos de los clientes.

De modo que lo que a día de hoy constituye una iniciativa propia de las empresas en el marco de seguridad puede convertirse en un futuro a corto plazo en un requerimiento de regulación normativa y legal.

ConVistaSegurización del modelo de comunicación bancaria en SAP
read more