Seguridad para el pagador que usa khipu

khipu opera con altos estándares de seguridad, asegurando no solo las transferencias de dinero, sino también la seguridad de las operaciones y los datos privados de cada usuario.

En esta página se presentan los elementos de seguridad más importantes de khipu. No pretende ser un resumen, por lo que no evitamos los temas y términos técnicos, ya que preferimos entregar toda la información que pueda ser útil para el pagador y explicar por qué y cómo khipu es un sistema seguro, en el que puedes confiar para hacer tus pagos.

Con khipu usas tu propio terminal de pagos.

Terminal de pagos

El terminal de pagos de khipu es un navegador web especialmente diseñado y desarrollado para realizar pagos electrónicos: valida que se esté usando las páginas correctas de los bancos en cada etapa del proceso, genera comprobantes de pago firmados electrónicamente, es reconocido por los principales antivirus del mundo y se instala solamente desde las fuentes oficiales de cada sistema operativo.

El sistema khipu funciona con un terminal de pagos: una aplicación que puede instalarse y operarse en el mismo dispositivo del usuario (en un computador personal o en un teléfono celular), o bien, desde el mismo sitio web khipu.com.

Por otro lado, tanto las transacciones como los servicios complementarios se ejecutan en servidores propios y exclusivos de khipu.

La aplicación no envía a khipu ni las contraseñas ni las segundas contraseñas ni los dígitos de tarjetas matriciales o del digipass: estos datos solo se utilizan en la aplicación o en los servidores del banco.

Lo que hace el terminal de pagos es automatizar el proceso de transferencia de fondos, presentando al usuario una interfaz que solo le pregunta sus datos de identificación y seguridad necesarios para autorizar al destinatario y el monto de la transferencia.

Luego, el terminal informa los datos de la transferencia para hacer la conciliación del pago (es decir, que el monto y destinatario de la transferencia correspondan al cobro) y la emisión del comprobante de pago correspondiente.

Elementos más relevantes

Ante el banco del pagador, el terminal de pagos de khipu es un navegador web más, como Internet Explorer, Chrome, Firefox o cualquier otro. En cualquier caso, se trata de un software que toma el control de la interfaz y media entre el usuario y el servidor del banco.

  • Uso de protocolo HTTPS.
    El terminal de pagos, como navegador web, está montado sobre WebKit, el mismo framework de navegación que usan Google Chrome y Safari de Apple, entre otros. Así, todos los elementos de seguridad, en particular la implementación del protocolo HTTPS, están dados por esta implementación.
    HTTPS es un protocolo de comunicaciones seguro, lo que significa que los datos que se transfieren pueden ser leídos solamente por las partes que están participando de la comunicación. Así, cuando khipu navega por páginas que utilizan este protocolo, en la barra de URL se muestra un candado cerrado de color verde. Algunos bancos permiten el uso de HTTPS solo a partir de la página en que los usuarios ingresas su RUT y contraseña, por lo que en algunos casos, khipu muestra dicho candado abierto en la primera página. Luego, desde la segunda página, siempre se utiliza el protocolo HTTPS.
    El nivel de encriptación que usa khipu es el que los bancos tienen definido como estándat y el nivel de cifrado asociado a cada página es el mismo que usan los navegadores multipropósito –como Internet Explorer, Google Chrome, Firefox, Safari o cualquier otro navegador que use Web Kit. Esto cambia para cada banco.
  • Mantención de rutas de navegación.
    khipu sólo navega por direcciones web conocidas, previamente configuradas para cada uno de los bancos con lo que khipu opera, esto con el objetivo de garantizar el procedimiento se desarrolle correctamente, evitando que personas o software malicioso desvíe los procedimientos.
    Cuando el usuario activa el terminal de pagos de khipu para procesar un pago, el primer paso es descargar desde el servidor de khipu la ruta de navegación que corresponde al banco que se vaya a utilizar, garantizando así que el procedimiento se desarrolle correctamente.
    Esta configuración es implementada por el personal de ingeniería de khipu: el usuario no tiene acceso a una interfaz que le permita hacer que el terminal de pagos de khipu navegue por una dirección distinta a una de las que están configuradas.
    Complementariamente, el sistema está preparado para gestionar la posibilidad de que el terminal de pagos encuentre una página que no logre reconocer o en la que no tenga una acción configurada. Ante esta situación, el sistema envía dicha página, junto con otros datos de la navegación del usuario, sin incluir sus contraseñas, al servidor de khipu. De esta forma se inicia un proceso de reconfiguración de la ruta de navegación del banco que el usuario estaba utilizando para pagar.
    Solo con el fin de configurar y mantener rutas de navegación, khipu podrá recibir y almacenar páginas de un banco a las que haya llegado algún usuario en condiciones no configuradas en el sistema. Esto ocurre en menos del 1% de los casos. Los datos de estas páginas no se utilizarán para hacer campañas, estadísticas o ningún otro tipo de análisis diferente al de mantener adecuadamente configuradas las rutas de navegación de los bancos.
  • Administración de contraseñas y datos privados.
    khipu protege con el máximo celo la privacidad de las credenciales bancarias de los usuarios (es decir, sus claves y segundas claves), manteniéndolas siempre en el ámbito privado de cada usuario. khipu no guarda ninguna contraseña de ningún usuario para ingresar a una cuenta bancaria o a realizar alguna transferencia. Las credenciales bancarias no pasan por los servidores de khipu, sino que son enviadas directamente desde el dispositivo del usuario al servidor del sitio web del banco. Es decir, para khipu es imposible guardar las credenciales privadas que los usuarios usan para ingresar a sus cuentas bancarias ni aquellas que utilizan para realizar una transferencias (nombre de usuario –RUT, contraseña, segunda contraseña, dígitos de tarjetas matriciales o digipass, etcétera).
    Asimismo, khipu mantiene toda la información personal de sus usuarios bajo absoluta reserva, salvo aquella la relacionada con operaciones de cobro, la que es comunicada al destinatario que el cobrador indique, haciéndose pública en caso de que el cobro fuera genérico o tenga un enlace de cobro de uso público.
    Por su parte, los usuarios son responsables de mantener todas sus contraseñas en secreto. Cabe indicar que khipu no tiene ninguna responsabilidad por cualquier eventual interferencia de troyanos, spyware o software malicioso que un usuario tenga en su dispositivo particular.
  • Verificación de las operaciones.
    khipu verifica todas las transferencias que se realizan. Lo hace en su propia cuenta corriente y emite un comprobante de pago en formato PDF firmado electrónicamente, cada vez que se satisface que una transferencia es confirmada.
    Adicionalmente, los usuarios que estén registrados en khipu, podrán acceder y descargar sus comprobantes en el sitio web khipu.com.
  • La identidad del cobrador está asegurada.
    A diferencia de cómo operan las transferencias electrónicas tradicionales, cuando solo se valida que un RUT corresponda a un número de cuenta, khipu siempre conoce con certeza la identidad de quien es el receptor de los dineros, evitando fraudes por suplantación de identidad.
    Un usuario cobrador siempre estará registrado en khipu y su identidad no puede ser ni editada ni modificada: todos sus datos son provistos por el banco al momento de registrar la cuenta corriente que recepciona los fondos
    El uso de nombres de fantasía para una empresa es aceptado, previa solicitud por escrito del cobrador, lo que es además revisado caso a caso por el área jurídica de khipu.
  • Protección jurídica.
    Desde un punto de vista legal, el usuario pagador entrega un mandato a khipu. Esto significa que los representantes legales de khipu tienen responsabilidad penal ante el pagador, es decir, los usuarios están protegidos por el mayor nivel de responsabilidad posible en Chile.
    Si quieres conocer los detalles de este mandato, puede revisar el Contrato del pagador.

Seguridad comparada.

Si comparamos las características de seguridad de khipu con las distintas alternativas que existen en Chile para pagar, es relevante destacar los siguientes aspectos.

Primero, el pago en línea khipu es más seguro que las otras opciones, porque

  • es un navegador web de propósito particular, es decir, que está diseñado y desarrollado para un objetivo único y específico: las transacciones bancarias;
  • conoce las direcciones web correctas de cada página de cada banco habilitado, lo que reduce la posibilidad de errores y minimiza el riesgo de estafas y phising;
  • entrega comprobantes de pago firmados electrónicamente; y
  • opera con mandatos legales tanto para el pagador como para el cobrador.

Segundo, los pagos presenciales con khipu son más seguro que las otras opciones porque

  • usa elementos de seguridad dinámicos (segundas contraseñas, digipass o coordenadas de una tarjeta matricial), mientras que los medios de pago presenciales usan solamente contraseñas y otros datos fijos –como la misma tarjeta bancaria, los que tienen un alto riesgo de ser clonados; y una vez copiados pueden reutilizarse para otros pagos presenciales e incluso, para retirar fondos desde cajeros automáticos;
  • además, de todos los puntos del pago en línea.

Seguridad contra el phising.

khipu protege a los usuarios contra el phising, hoy la mayor amenaza de fraudes en Internet. Estos fraudes consisten en engañar a las personas y robar sus datos de seguridad.

Al usar el terminal de pagos de khipu, los usuarios están protegidos contra este tipo de fraude porque khipu conoce y usa la dirección correcta de cada banco configurado.

Esta característica de seguridad es única de khipu: uno es posible que un navegador de propósito general (como Internet Explorer Google Chrome o Safari) conozca las direcciones de las páginas de los bancos y limite la navegación solo por estas direcciones. Los navegadores deben permitir la navegación por cualquier página.

Sin embargo, si es posible engañar a un usuario para que instale un falso khipu, por lo que siempre debe instalarse el terminal de pagos desde una de las fuentes oficiales.

Asimismo, otra amenaza de seguridad ante la que hay que estar alerta son los troyanos. Estos son software maliciosos que engañan a los usuarios para robarle su información confidencial.

Por eso es muy importante instalar khipu desde fuentes validadas.

Por favor, visita nuestra página Descarga khipu para obtener más detalles y descargar el terminal de pagos en tu computador o teléfono.

Instalación segura del terminal de pagos.

khipu es una aplicación que descargas en tu computador o teléfono y funciona como terminal de pagos, es decir, te permitirá hacer el pago directamente desde tu equipo.

Puedes descargarlo en este mismo sitio web, en la página Descarga khipu, o bien, desde la App Store de Apple (tanto para iPhones como para iPads) o si usas Android, en Google Play.

Estas son las únicas opciones segura de descarga. El sitio web de khipu cuenta con un certificado SSL con validación extendida y todas las páginas se navegan usando protocolo HTTPS; no está permitida la navegación sin seguridad en khipu. El certificado de validación extendida permite el uso de HTTPS y además, produce un cambio de comportamiento del navegador para que muestre el nombre "khipu SpA" en verde, antes de la dirección de la página web correspondiente.