Milio implementa una serie de controles técnicos y funcionales para garantizar la validación, seguridad y trazabilidad de los datos de las tarjetas desde el momento del enrolamiento hasta la ejecución de transacciones. Estos controles se ejercen a través de diversos mecanismos internos, diseñados bajo estándares PCI DSS y buenas prácticas del sector financiero.
1. Tokenización y captura segura
- Se genera un token temporal asociado a una sesión segura para permitir operaciones como el enrolamiento de tarjetas o pagos.
- Los datos sensibles se capturan en el cliente y se transmiten de forma cifrada, sin exponerlos a los sistemas del comercio.
- Se valida el formato de la tarjeta localmente (algoritmo de Luhn, longitud) y se bloquean tarjetas inválidas.
2. Validación de BIN y metadatos de la tarjeta
- Se extrae información del BIN como tipo y marca de la tarjeta, país y banco emisor, y soporte para DCC.
- Esta validación permite controlar el uso de tarjetas restringidas y categorizar el riesgo.
3. Verificación mediante autorización
- Se ejecuta una autorización contra la red adquirente.
- Se valida el CVV, la fecha de expiración y la disponibilidad de fondos.
- Se monitorean códigos de respuesta para activar alertas ante patrones inusuales de error o fraude.
4. Validación de identidad (3D Secure)
- Se inicia el proceso de autenticación del titular mediante protocolo 3D Secure.
- Se valida la identidad del usuario mediante OTP, biometría o challenge, según el emisor.
- Se mejora la seguridad del enrolamiento y se reducen los contracargos.
- Se recopila información como si el emisor asume la responsabilidad del fraude.
5. Controles ejercidos sobre los datos de tarjeta (PAN, Nombre, Expiración)
- La tarjeta viaja cifrada desde el frontend al backend (cifrado de extremo a extremo).
- El backend solo recibe los datos de la tarjeta en formato cifrado; nunca en texto claro.
- El backend enruta los datos cifrados a una función Lambda especializada sin desencriptarlos.
- La Lambda especializada desencripta los datos usando AWS KMS (clave dedicada con control de acceso y logging).
Validaciones realizadas:
- PAN: longitud, formato, algoritmo Luhn.
- Fecha de expiración: formato correcto y vigencia.
- Nombre del titular: si aplica, validación contra servicios de procesadores.
Durante el enrolamiento:
- Se ejecuta una validación activa usando un microcargo de $0, para confirmar que la tarjeta existe, está activa y es válida para recibir fondos.
- Se consulta información del emisor mediante análisis del BIN (nombre del banco, país de emisión, tipo de tarjeta).
- Los datos se almacenan cifrados nuevamente o se tokenizan antes de persistir.
- El PAN completo nunca vuelve al backend general una vez enrolado.
Durante una transacción:
- Un servicio seguro y aislado accede al PAN cifrado, lo desencripta con KMS y realiza la transacción directamente con la red de pagos.
- El backend general solo recibe la respuesta del intento de pago (aprobado/rechazado), sin exposición de los datos sensibles.
- Todos los accesos a datos sensibles están registrados y controlados por roles con privilegios mínimos.
- Ningún dato de tarjeta se expone en logs, excepciones, headers o respuestas de API.
- Se cumplen principios de segmentación, aislamiento de funciones críticas y rotación de llaves (según configuración de KMS).
6. Seguridad de la transmisión y cifrado
- Toda la información transmitida entre el cliente, el SDK y los servicios de Milio viaja cifrada (TLS 1.2 o superior).
- Internamente, se utilizan mecanismos de cifrado simétrico y asimétrico para proteger los datos sensibles.
Conclusión
Milio ha desarrollado un ecosistema robusto de validaciones para garantizar que cada tarjeta enrolada y cada transacción procesada cumpla con los estándares de seguridad, integridad y trazabilidad requeridos por la industria. Estos controles permiten a los comercios reducir riesgos operativos, mejorar la experiencia del usuario y cumplir con normativas como PCI DSS.