Adiós caja registradora, bienvenido Point of Sale (PoS)

Posted on 01/21/2014, by Agustín Palomo
Adiós caja registradora, bienvenido Point of Sale (PoS)

En primer lugar, contextualicemos el ámbito al que hacemos referencia en este post. Cuando hablamos de punto de venta, lo entendemos como el conjunto de elementos que forman parte de un comercio, entendiendo éstos como elementos orientados a la prestación del servicio al cliente, como un terminal punto de venta (TPV), una báscula electrónica, un dispositivo para verificación de precios, etiquetas de tinta electrónica, programas de fidelización, big data, tendencias de compras, mapas de calor, cámaras de refrigeración, etc. En definitiva hablamos del “internet de las cosas en el comercio” o comercio 2.0, en el que todos los elementos están interconectados y disponen de interfaces digitales.

Miremos incluso un poco más allá. El comercio 2.0 estará condicionado por la explosión del Internet de las Cosas. Cualquier producto estará conectado a la red, cualquier elemento tendrá una dirección IP, los comercios serán capaces de recopilar grandes cantidades de información de un sensor e intercambiar datos entre sí, mediante interfaces M2M (machine to machine).

De esta forma, ya en el ámbito de este post, cuando hablamos de Punto de Venta, debemos entenderlo como una figura global, que abarca desde las tareas realizadas en la tienda tradicional hasta las realizadas contra las sedes centrales de las compañías de distribución y retail.

Las cajas registradoras analógicas han pasado a mejor vida, incorporándose nuevas funcionalidades en los comercios que mejoran la experiencia del cliente y facilitan la gestión del punto de venta, frontoffice, y del backoffice.

Si bien resultan evidentes las mejoras operativas que la digitalización del comercio ha introducido, no es menos cierto que esta digitalización introduce factores que deben tenerse presentes. ¿Se está dejando a un lado la seguridad en relación a la transmisión, el almacenamiento y el procesamiento de la información gestionada por todos estos dispositivos?.

Los diversos sistemas están conectados entre sí en el propio comercio, también con el backoffice de los servicios centrales, incluso en internet, con tecnologías como M2M que permiten a diferentes dispositivos compartir información a través de la red. Estos flujos de información que se producen de forma semi-automatizada representan un volumen de información relevante para el comercio. Sirva como ejemplo, en el sector ganadero, la cantidad de información que una res es capaz de generar. La start-up alemana Sparked utiliza sensores en el ganado vacuno que permite al granjero conocer en tiempo real si una vaca está preñada o enferma. De esta forma, una es capaz de generar en torno a 200 MB de información anual; imaginemos pues el volumen que puede llegar a generar los productos de un comercio: los que tienen mayor nivel de rotación, tendencias de compras de los consumidores realizados con las tarjetas de fidelización, datos de tarjeta de crédito en los TPVs, definición de surtido con sus márgenes, promociones, etc. La explosión de la información es clara en este sector.. Los riesgos de seguridad asociados, también.

Analicemos por tanto los principales riesgos a los que cualquier empresa que dispone de un punto de venta se enfrenta, con indiferencia de su tamaño o sector.

Dificultad para aplicar políticas de seguridad

El propio funcionamiento de estas empresas, en muchas ocasiones con multitud de puntos de venta, con una superficie de venta considerable y con sistemas de información altamente heterogéneos, hace que la aplicación de políticas robustas de seguridad se convierta en muchos casos en una labor utópica. El simple mantenimiento de las actualizaciones de seguridad del parque de sistemas de información al día es una tarea harto complicada, bien por la falta de control de forma centralizada o bien por la situación en la que se encuentran, sobre todo, los pequeños comercios. En este último caso, es común encontrar comercios, que no actualizan sus sistemas desde su puesta en funcionamiento. El lógico desconocimiento de los comerciantes hace además que estos deleguen en su proveedor de confianza la securización de sus puntos de venta, en muchos casos con configuraciones por defecto que ofrecen un escaso nivel de seguridad.

Insuficiente securización de las comunicaciones

El creciente nivel de interconectividad en los comercios así como de dispositivos conectados, con protocolos públicos y propietarios a través de red cableada, inalámbrica, infra-roja, radioenlace e incluso vía bluetooth, hace que cada vez sea más sencillo encontrar redes tanto a disposición de clientes como para el propio funcionamiento del comercio. La securización y adecuada segmentación de las redes es un punto fundamental para garantizar que la información en tránsito anteriormente indicada no se vea comprometida, así como para garantizar el correcto funcionamiento de los dispositivos conectados. Es habitual encontrar que el sistema que controla el estado de las cámaras frigoríficas o la actualización de las etiquetas de precios electrónicos es perfectamente accesible al estar interconectado con el resto de sistemas a través de redes inseguras.

El factor humano

Otro de los factores que deben tenerse en cuenta es la alta rotación del personal en estos negocios, lo que exige redoblar los esfuerzos para lograr una gestión de accesos adecuada y granular, dificultando en la medida de lo posible, potenciales fugas de información sensible. Se podrían enumerar medidas de seguridad como por ejemplo el control del uso descontrolado de USB u otros dispositivos de almacenamiento en la línea de caja y el backoffice del comercio, que facilitan el robo de información y que son una puerta a potenciales ataques de malware.

Los retos del cumplimiento normativo

No vamos a entrar a analizar los requisitos de la familia PCI. Estas normas, puede que por desconocimiento o porque no sea habitual publicitar las incidencias de seguridad, es poco conocida y es muy habitual encontrar comercios que no cumplen o desconocen su necesidad de cumplimiento. Recordemos que los participantes en el proceso de almacenar, procesar o transmitir datos de tarjetas son responsables de cumplir con PCI-DSS.

Pero es aún más preocupante encontrar empresas confiadas en su cumplimiento por la utilización de un software que cumpla PA-DSS, nada más lejos de la realidad, pues las aplicaciones están en última instancia implantadas en entornos que deben cumplir con PCI-DSS.

Los sistemas de fidelización, la segmentación de clientes, las campañas publicitarias y promocionales y el fenómeno del big data son elementos con los que los comercios bregan en su día a día. Esta captación de datos de consumidores ponen de manifiesto la necesidad adicional de abordar el cumplimiento LOPD. Recabar la información de sus clientes descontroladamente o no contar en los sistemas con las medidas exigidas por el RD 1720/2007 pueden hacer que las empresas tengan que hacer frente a importantes sanciones por incumplimiento.

Por todo ello, resulta evidente que la información es un activo de alto valor para el comercio, que sin lugar a dudas debemos proteger adecuadamente para mantener el nivel de productividad y competitividad necesario en la actual situación socioeconómica.

En próximos post profundizaremos en las medidas de seguridad a implementar en los comercios para ayudar a mejorar el nivel de madurez afrontando los riesgos mencionados.