Su sistema de punto de venta es sin duda una de las piezas de hardware más importantes que posee su empresa. Pero los delincuentes pueden utilizar su punto de venta y/o plataformas de pago en línea para robar información confidencial sobre sus clientes y su negocio. Entonces, ¿cuáles son las mejores prácticas para mantener seguro su punto de venta?
Antes de llegar allí, veamos lo que alguna vez fue una de las formas más comunes en que los delincuentes atacaron un sistema POS: el hurto.
¿Qué es el skimming de tarjetas en Puerto Rico?
El skimming ocurre cuando los estafadores instalan ilegalmente dispositivos dentro de lectores de tarjetas de crédito para extraer información de la banda magnética. En la mayoría de los casos, los consumidores no pueden ver ni reconocer que se ha colocado un dispositivo adicional dentro del lector de tarjetas.
El skimming solo puede funcionar en un POS no supervisado. Los objetivos comunes de los skimmers incluyen los surtidores de las gasolineras y los cajeros automáticos. Estas ubicaciones sin personal ni supervisión pueden convertirse en lugares fáciles para que los estafadores instalen sus lectores de tarjetas, incluso si hay cámaras de seguridad cerca.
Hay varias formas en que los delincuentes pueden obtener información. Colocan una fina capa encima del teclado para capturar los PIN. Una superposición dentro de la ranura de inserción puede capturar datos en la banda magnética. Incluso pueden usar pequeñas cámaras colocadas cerca del teclado para registrar los movimientos de sus dedos.
¿Qué hacen los skimmers con los datos de las tarjetas?
A menudo, los skimmers esperan cerca, recopilando datos que se les transmiten desde el dispositivo de skimmer. Es posible que recurran al skimmer para recopilar información de la tarjeta, pero la forma remota de recopilar información es más segura (para ellos, por supuesto).
Una vez que tengan los datos de la tarjeta, pueden utilizarlos para fabricar tarjetas falsas. Pueden utilizar la información de la tarjeta en línea. O podrían ver la información de la tarjeta en la web oscura (y no se llama oscura por la decoración). FICO estima que solo en 2022, 161,000 tarjetas se vieron comprometidas por skimmers, lo que costó a empresas y consumidores mil millones de dólares en pérdidas.
El desnatado de tarjetas funciona mejor con tarjetas que tienen bandas magnéticas. Estas tiras almacenan información estática como el número de tarjeta, la fecha de vencimiento, el código de seguridad y el PIN. Debido a que los datos son estáticos, no hay nada que pueda impedir que sean capturados y utilizados.
Los pagos con chip y sin contacto son las mejores soluciones en Puerto Rico
Por eso, nuestro primer consejo para prevenir el fraude en los puntos de venta es fomentar los pagos sin contacto o al menos con chips EMV. Debido a que las bandas magnéticas son una gran responsabilidad, Mastercard comenzará a eliminarlas gradualmente en 2024. Para 2033, ninguna tarjeta Mastercard las tendrá. Otras empresas como Visa, Amex y Discover están haciendo lo mismo.
Las últimas tarjetas se basarán en la tecnología de chip EMV o en la tecnología RFID sin contacto. Ambas tecnologías utilizan cifrado para traducir la información de pago en cadenas de código aleatorias. Los códigos deben descifrarse utilizando claves específicas que sólo están en posesión de las redes de tarjetas.
Además, cada transacción genera un código diferente, lo que hace que el hurto sea inútil. El skimming solo funciona con información estática que se puede replicar y utilizar nuevamente. Si la información de pago cambia cada vez, es inútil para los delincuentes.
La tecnología RFID que anima los pagos sin contacto utiliza comunicación por ondas de radio para conectar la tarjeta de plástico al POS. La información sólo se intercambia a unos pocos centímetros del terminal, lo que también elimina eficazmente los intentos externos de acceder a la información.
Luego están los pagos por teléfono móvil. Los clientes pueden almacenar información de tarjetas de crédito en carteras digitales. En el punto de venta, acceder a la información de esta tarjeta puede activar un chip NFC (comunicación de campo cercano) dentro del teléfono para enviar y recibir ondas de radio. Al igual que las tarjetas sin contacto, el teléfono en sí se convierte en una pieza de hardware para realizar pagos.
Consejo de mejores prácticas de POS n.º 1: Utilice el hardware de POS más actualizado
Las tecnologías NFC, RFID y EMV son el futuro cercano de la industria de las tarjetas de pago. Estas tecnologías hacen un trabajo significativamente mejor a la hora de proteger los datos de los dueños de tarjetas que las tarjetas de banda magnética tradicionales. Es por eso que nuestro primer consejo sobre mejores prácticas para los sistemas POS es utilizar los dispositivos POS más actualizados, aquellos que faciliten los pagos sin contacto.
Hasta que desaparezcan las bandas magnéticas, puedes animar a tus clientes a utilizar pagos sin contacto con carteles. Coloque carteles claros con letras grandes cerca de la caja registradora, informándoles que pueden usar carteras móviles y tarjetas sin contacto para pagar. Algunos beneficios adicionales incluyen tiempos de transacción mucho más cortos que los de deslizamientos e inserciones de chips.
Una última palabra sobre este tema: asegúrese de que su procesador de pagos pueda arrendar o prestar su hardware. Alternativamente, si se lo venden directamente, asegúrese de que puedan volver a comprarlo o cambiarlo a medida que cambie el hardware. No querrás quedarte con un hardware POS anticuado que no funciona con la última y más segura tecnología de pago.
Consejo de mejores prácticas para POS n.º 2: No deje su POS desatendido
Esto parece una obviedad, pero te sorprendería la frecuencia con la que los empleados se alejan de una terminal activa. Es posible que necesiten ir al baño. Un cliente puede tener una pregunta. Es posible que vean a la persona que les gusta afuera de la tienda, en el centro comercial.
Cualquiera que sea el motivo, un terminal POS desatendido es susceptible de que alguien intente acceder. Los sistemas POS desatendidos no son sólo una amenaza en entornos minoristas. También pueden resultar problemáticos en los restaurantes.
Los restaurantes son conocidos desde hace mucho tiempo por presentar un riesgo de fraude con tarjetas de crédito porque se retira la tarjeta al comensal durante varios minutos. Además, cuando la sala está ocupada, los servidores pueden entrar y salir de la terminal sin iniciar ni cerrar sesión.
Los terminales POS expuestos no sólo son susceptibles a los extraños. También son susceptibles a los iniciados… es decir, a sus compañeros de trabajo. Bloquear los terminales POS cuando están desatendidos también puede evitar el robo de los empleados. Echemos un vistazo a algunas formas comunes de robo por parte de empleados.
Formas comunes de robo, fraude y manipulación de puntos de venta por parte de empleados en Puerto Rico
Manipulación del vacío
A veces un empleado manipula los vacíos. Esto significa que anulan una compra legítima en la caja registradora. Pero en la práctica, entregan el producto o servicio al cliente y se embolsan ellos mismos el reembolso.
Si se hace en efectivo, la diferencia se notará al final del día cuando se concilien las cajas. Pero si el reembolso se envía a una tarjeta, puede ser más difícil notarlo.
Abuso de descuento
En el abuso de descuentos, los empleados utilizan su descuento de empleados para amigos, familiares y novios, de ahí el apodo de “ofertas especiales”. Se sabe que algunas empresas, como la tienda de comestibles regional del Medio Oeste, Hyvee, cancelan programas de descuentos para empleados cuando descubren que los empleados están abusando de ellos.
Robo de alimentos en Puerto Rico
El robo de alimentos es otra práctica similar al abuso de descuentos. En el robo de alimentos, los empleados harán algo como tomar una comida completa y en su lugar tomar un refrigerio. Este tipo de robo también puede ocurrir en entornos minoristas y es muy difícil de rastrear si el POS no está integrado con algún tipo de software de gestión de recursos o inventario.
Procesamiento de ventas
Este tipo de robo también se denomina procesamiento de ventas. Puede ocurrir cuando un comerciante le cobra a alguien por un artículo menos costoso pero le da uno más caro, como cobrarle por un hielo natural y servirle una cerveza artesanal (lo siento, Natty Ice Bros, simplemente no está en ese nivel).
Procesamiento falso
En un procesamiento falso, un empleado ni siquiera se molestará en realizar una transacción a través del POS. Este es un problema potencial en negocios con mucho dinero en efectivo, como camiones de comida o bares. El empleado “marcará” una compra, tomará el efectivo y se lo embolsará. Una forma de abordar este tipo de problema es exigir que cada transacción DEBE pasar por el POS, incluso el efectivo.
Consejo de mejores prácticas de POS n.º 3: Supervisar la actividad y utilizar integraciones
La solución a muchos de estos problemas de seguridad del POS es no sólo evitar dejar el POS desatendido sino también monitorear la actividad del POS con vigilancia. Puede utilizar cámaras enfocadas en el propio terminal, pero también hay software que puede rastrear la actividad dentro del programa, permitiéndole observar lo que han hecho los empleados en la pantalla.
Las integraciones también pueden ayudar a prevenir algunos de estos problemas, como se mencionó. Cuando su POS esté integrado con el software de inventario, sabrá que los camareros cobran por latas de Natural Ice y en su lugar sirven vasos de Fin du Monde. Cuando su POS esté integrado con su software de contabilidad o inventario, verá que le están ofreciendo excelentes ofertas delante de sus narices.
Consejo de mejores prácticas de POS n.º 4: Crear políticas y procedimientos
La forma en que responda a estos patrones queda a su discreción. Para algunos empleadores, esto sería una advertencia. Para otros, podría ser un despido inmediato. La creación de un manual para empleados sobre los comportamientos esperados puede no disuadir a los empleados sin escrúpulos de caer en viejos patrones.
Sin embargo, cubrirá sus bases y le permitirá despedir al empleado por violaciones graves de la política de la empresa. Parte de este manual del empleado detalla los procedimientos para usar el POS.
Por ejemplo, puede especificar que los empleados deben cerrar sesión en el POS o bloquearlo cuando se alejan. Incluso si ese empleado en particular no hiciera ninguna de las cosas mencionadas anteriormente, puede evitar que otro empleado menos escrupuloso las haga.
Consejo de mejores prácticas para POS n.º 5: Esté atento a estos patrones sospechosos
Ahora que hemos detallado algunos de los delitos comunes cometidos por los empleados en el punto de venta, veamos algunos patrones a los que debería estar atento.
Reembolsos en Puerto Rico
Consulta todos los reembolsos. Compruébalos en persona si es posible. Si no es posible, utiliza videovigilancia para comprobarlos más tarde. Vea si un cliente realmente está allí, si tiene un recibo y si está ofreciendo una tarjeta de crédito o aceptando un reembolso en efectivo.
Esto puede parecer fastidioso, pero cierra la puerta al fraude relacionado con los reembolsos. Y si recibe demasiados reembolsos para monitorear, es posible que deba hacer algunas preguntas sobre su negocio fuera del procesamiento de pagos.
Descuentos y obsequios
Supervise los descuentos y obsequios. En los restaurantes, los camareros pueden ofrecer aperitivos gratuitos o descuentos en mesas grandes para obtener una propina mayor. Puede permitir a sus empleados cierta discreción para emitir descuentos o incluso ofrecer cosas gratis a clientes o comensales. Pero debe monitorear esto cuidadosamente para asegurarse de que no se esté abusando de estos privilegios.
Nulos y no ventas
Esté atento a los huecos. A veces se producen vacíos, por ejemplo, cuando un cliente realmente se marcha y deja un artículo. Pero si los vacíos se producen con frecuencia, y sobre todo si no están corroborados por pruebas en vídeo, algo está pasando, y no es 7up.
De manera similar, debes estar atento a que no haya ventas. Ninguna venta brinda la oportunidad a un empleado de abrir la caja registradora y tomar efectivo o agregar efectivo (tal vez para encubrir un robo anterior). Revise el video y vea si realmente están haciendo cambios para un cliente. Incluso podría considerar tener una política de no cambios sin una transacción.
En algunas empresas con mucho efectivo, este tipo de póliza (no podemos abrir la caja registradora sin realizar una venta) puede ayudar a evitar el crimen. Esto es especialmente cierto cuando va acompañado de carteles que indican que sus cajeros no llevan más de $100 en efectivo en un momento dado.
Tamaños, brechas y tiempos de las transacciones en Puerto Rico
Monitorear el tamaño de las transacciones. Los tamaños de las transacciones varían a lo largo del día. Si ve transacciones de menor tamaño en un momento en el que deberían ser más grandes, esto es una señal de que se está abusando de los descuentos. Un empleado también podría estar registrando una transacción más cara, cobrando un pago menor y embolsillandose la diferencia.
Las transacciones largas son otra señal de alerta, especialmente si su negocio no es un bar. Si bien las pestañas abiertas son más comunes en este entorno, una transacción minorista no debería tomar más de 5 minutos. Si está abriendo muchas transacciones largas, es posible que esté sucediendo algo turbio durante este tiempo.
Otra prueba irrefutable son las brechas en las transacciones. Esto se refiere a una brecha entre la cantidad de transacciones que se esperaría en un período de tiempo determinado y la cantidad que ocurre.
Por ejemplo, si espera realizar 100 transacciones durante la Happy Hour, pero solo ve 50, debe revisar el video del bar o restaurante. Es cierto que podría ser que el negocio vaya lento. Pero también podría ser que se esté produciendo algún robo en el punto de venta.
Múltiples reembolsos
Los reembolsos múltiples a la misma tarjeta de crédito son sospechosos. Algunos compradores están constantemente indecisos y cambian de opinión. Esto sucede a veces con compras de estilo de vida, como programas de dieta.
Pero en la mayoría de los entornos, no debería ver múltiples reembolsos emitidos al mismo número de tarjeta. Esto probablemente significa que se trata de un fraude.
Informes basados en excepciones
En conclusión, hay varios patrones a los que debes estar atento. Pero no hay manera de que puedas ver imágenes de vigilancia todo el día, incluso si tienes muchas palomitas de maíz y bocadillos.
También resulta imposible a medida que su negocio se expande a varios registros o varias ubicaciones físicas diferentes. Dicho esto, ¿cuáles son las mejores prácticas en POS para evitar el robo por parte de los empleados?
Lo que necesita es un software de procesamiento de pagos que pueda analizar tendencias y emitir un informe de fraude. Este tipo de software se denomina informes basados en excepciones y es una de las últimas tendencias en prevención de pérdidas. Buscará todos los patrones mencionados anteriormente, llamando su atención sobre patrones generales e incluso transacciones específicas.
Consejo de mejores prácticas para POS n.º 6: Cumpla con PCI
Visa, Mastercard y otras redes de tarjetas se han unido para crear Estándares de seguridad de datos de la industria de tarjetas de pago o PCI DSS. Estas son 12 mejores prácticas que las empresas deben seguir en términos de recopilación y almacenamiento de información de pago. Las empresas deben completar una auditoría anual para asegurarse de que cumplen con las reglas.
De hecho, las mejores prácticas para mantener su POS seguro están prácticamente todas descritas en el PCI DSS. Algunos de ellos, sin embargo, no son rentables para las PYMES (pequeñas y medianas empresas). Una auditoría PCI, por ejemplo, puede comenzar en $15,000.
Para la mayoría de los dueños de pequeñas y medianas empresas, la mejor manera de manejar los datos de los clientes de acuerdo con PCI DSS es subcontratándolos a su procesador de pagos. Sin embargo, todavía hay algunas cosas que la empresa tendrá que hacer, que describiremos a medida que sigamos analizando las prácticas para proteger su sistema POS.
Consejo de mejores prácticas de POS n.º 7: Proteja su wifi, software y hardware
Algunos sistemas POS pueden funcionar fuera de redes inalámbricas. Sin embargo, a la mayoría de las empresas les resulta imposible funcionar sin wifi. Una práctica importante de POS para la privacidad de las tarjetas de crédito es proteger su conexión a Internet: su hardware, redes y acceso a servicios basados en la nube.
Muchas piezas de hardware vienen con contraseñas predeterminadas. Esto es algo prohibido para la seguridad de la red. También querrás evitar usar la misma contraseña para todos los dispositivos conectados y todos los programas de software que utilices.
También debe evitar que todos los empleados utilicen la misma contraseña. Darle a cada empleado una contraseña diferente puede ayudar a rastrear el origen del fraude o robo cuando ocurre. Puede guardar una hoja maestra de contraseñas en un lugar físicamente seguro.
Hablando de eso, debes evitar mostrar contraseñas, incluso contraseñas wifi, en lugares públicos. Y definitivamente debería tener una red separada para que la utilicen sus clientes.
Querrá tener capas de seguridad y acceso. No hay ninguna razón por la que todos los empleados deban tener acceso a la información más confidencial. Una forma de evitar el acceso no deseado a los santuarios internos de su red es tener autenticación de dos factores.
Con 2FA, no se puede acceder a ciertos puntos de datos a menos que se envíe un código por mensaje de texto a su teléfono o se inserte un token físico (como una tarjeta) en un lector.
Wifi es la puerta trasera a los datos confidenciales en Puerto Rico
Es importante proteger su red wifi porque puede convertirse en una puerta trasera para que los delincuentes accedan a su POS y otras piezas de hardware y software conectadas. Los ciberdelincuentes son conocidos por utilizar vías de ataque secundarias.
Por ejemplo, la infame filtración de datos de Target de 2013 no se produjo porque los delincuentes atacaron directamente a Target. Enviaron un correo electrónico de phishing a un contratista externo de HVAC que tenía acceso a los sistemas internos de Target.
Su punto de entrada no tenía absolutamente nada que ver con los números de tarjetas de crédito de los clientes, pero una vez dentro, se dirigieron hasta allí y extrajeron los datos de la tarjeta.
Consejo de mejores prácticas de POS n.º 8: Capacite a sus empleados
Esto nos lleva a nuestro punto final: capacite a sus empleados sobre cómo mantener seguro el sistema POS y cómo evitar el cibercrimen en general. Las pequeñas empresas tienen la tasa más alta de correos electrónicos tipo caballo de Troya, 1 de cada 32. ¿Saben sus empleados cómo es un correo electrónico sospechoso? Direcciones de correo electrónico extrañas, sintaxis extraña y formato deficiente son algunas señales de alerta.
Los delincuentes son cada vez más expertos en utilizar correos electrónicos de phishing para instalar malware o ransomware. Pero puede capacitar a sus empleados para que reconozcan el fraude y creen políticas sobre qué hacer en respuesta. Por ejemplo, puede tener una política de que todos los correos electrónicos que soliciten un reembolso se reenvíen a usted o a un gerente.
Asegúrese de contar con políticas y procedimientos implementados para acceder al POS y otros sistemas confidenciales. El acceso a estos dispositivos debe registrarse. Esto se puede hacer con una hoja de registro o se puede hacer digitalmente, por ejemplo, si cada empleado tiene una identificación y contraseña únicas para acceder al POS o al sistema en cuestión. También se deben documentar los motivos de los reembolsos y otras transacciones fuera de lo común.
En un sentido relacionado, es una buena idea crear una política para transacciones sospechosas o transacciones para ciertos artículos. Esto puede eliminar algunas devoluciones de cargo por fraude real. Por ejemplo, si sospecha de un determinado cliente, puede solicitar una identificación para verificar que la tarjeta que porta sea realmente suya.
Mejores prácticas de POS en Puerto Rico: Resumen
El punto de venta es una arteria vital para tu negocio. Este es el punto en el que los bienes y servicios se convierten en flujo de caja. Pero también es el lugar donde pueden ocurrir robos y fraudes. Sin embargo, con algunas mejores prácticas de POS, se puede reducir la probabilidad de que ocurra este robo y fraude.
Su socio en esta prevención es su procesador de pagos. Ellos son quienes pueden proporcionar informes basados en excepciones, firewalls, procedimientos de inicio de sesión, integraciones y otras soluciones que protegen y agilizan su negocio.
También pueden aliviar la carga del cumplimiento de PCI. Si tiene preguntas sobre cómo mantener seguro su POS, llámenos o contáctenos a continuación para ponernos en contacto.