Lec 07

Copyright Computer Aided Elearning, S.A.
1
Medios de pago y seguridad

1. FORMAS DE PAGO EN INTERNET
l acto de comprar y pagar se ha convertido en un acto
rutinario. Quizs no somos plenamente conscientes de este
hecho pero, comprar se ha convertido en una actividad necesaria,
imprescindible e incluso en algunos casos una forma de pasar el rato.
Como es lgico este desarrollo de la actividad econmica no
hubiese sido posible si no hubiese habido una evolucin de los medios
de pago.
Pagar es ahora ms sencillo que nunca.
La expansin de la actividad econmica, el aumento exponencial
del nmero de transacciones y su diversidad han provocado la aparicin
de nuevos instrumentos financieros adaptables a las ms sofisticadas
necesidades.
La aparicin de Internet como una nueva va de comunicacin
comercial ha supuesto un paso ms en esta lnea y la adaptacin de los
medios de pago preexistentes a este entorno.
Vamos a hacer un poco de historia y vamos a ver la evolucin del
comprador en la red.
En los inicios de Internet el futuro comprador utilizaba Internet
para buscar el producto que luego se diriga al establecimiento
comercial a concretar la venta.

E

2 SE PERMITE EL USO DE ESTE MANUAL NICAMENTE A LOS ALUMNOS DE ESTE CURSO
Ms tarde con la expansin del comercio electrnico comenzaron a
realizarse las primeras ventas a distancia que podan ser pagadas en el
momento de la recepcin del pedido, o mediante transferencias bancarias.
Empezaron los primeros pagos con tarjeta de crdito. El cliente
enviaba generalmente va e-mail, el nmero de su tarjeta, la fecha de
vencimiento y sus datos personales.
El sistema era muy inseguro ya que los datos viajaban a travs de
una red abierta y eran susceptibles de ser interceptados por cualquier
persona que poda usarlos de forma fraudulenta.
El incremento de las reclamaciones por parte de los titulares de las
tarjetas por ventas cargadas a sus cuentas que no haban sido realizadas
por stos pusieron de manifiesto la importancia de idear nuevos
mecanismos de seguridad para los pagos en Internet y dieron lugar al
nacimiento de nuevos medios electrnicos de pago como terminales
punto de venta electrnico, dinero electrnico, etc.
No obstante, hoy en da sigue existiendo cierta desconfianza y
reticencia a entregar los datos bancarios en Internet.
Cree usted que esta justificada esta desconfianza?
Es cierto que entregar unos datos bancarios en un medio como
Internet tiene sus riesgos, pero tambin es cierto que cuando usted paga
su factura en un restaurante con tarjeta, el camarero se lleva la tarjeta y
durante un espacio de tiempo esta est fuera de su alcance. Y claro
quin le dice a usted que nadie ha copiado los datos de su tarjeta?
En realidad no existe un medio de pago ideal.
Como medios de pago en el comercio electrnico se utilizan
medios tradicionales y medios propios de Internet:
Pago diferido: el llamado contrareembolso, consiste en realizar el
pago del producto en el momento de recibirlo.
Transferencia: consiste en realizar el pago previo mediante este
sistema bancario. Posteriormente, tras verificar la transaccin, el
vendedor remitir el producto al cliente.
Domiciliacin: cargan en la cuenta una cantidad estipulada.
Suele emplearse para suscripciones a revistas o peridicos.
Tarjetas de dbito y de crdito: para el comprador supone el pago
al momento de realizar la transaccin (dbito) o a posteriori, con o
sin devengo de intereses (crdito).
Para el vendedor, suponen un cobro rpido, a cambio de una
comisin que le descuenta el banco.

Copyright Computer Aided Elearning, S.A. 3
Tarjetas chip o inteligentes (smart card): tarjetas con un chip con
memoria. Antes de comprar es preciso cargarlas con dinero a
travs de un cajero automtico. Tras realizar esta operacin
funcionan como si contuvieran dinero en efectivo (cash).
Este tipo de tarjetas son ideales para realizar micropagos, tanto en
el comercio del mundo fsico como en el virtual. Su utilizacin en
el comercio electrnico requiere de un dispositivo conectado al
ordenador que permita su lectura y actualizacin al realizar
transacciones por la red.
Cybercash: sistema de realizacin de transacciones en Internet
mediante el uso de tarjetas de crdito. Una vez realizada la
compra, el comprador enva sus datos cifrados al vendedor. Este
aade sus propios datos que lo identifican y solicita autorizacin a
CyberCash. A partir de aqu, CyberCash se comunica con la red
tradicional de medios de pago, y una vez obtenida la autorizacin
de la transaccin, se la pasa al comercio.
First Virtual: sistema de pagos operado por First USA y EDS,
basado en el mantenimiento de cuentas virtuales de clientes que se
liquidan peridicamente contra tarjetas de crdito.
DigiCash: sistema de pagos parecido al de la tarjeta chip, pero el
dinero virtual que se ha adquirido previamente en un banco, en
lugar de almacenarse en un chip, se guarda en el disco duro del
ordenador.
Banca on line: acceso a los sitios web de las entidades bancarias
para realizar distintas operaciones con nuestra cuenta bancaria:
conocer los saldos, realizar transferencias, etc.
Caractersticas de los medios de pago en I nternet.
Facilidad de uso.
Universalidad. Que sea un medio aceptado en todas partes.
Liquidez. Que el que reciba el pago pueda utilizarlo
inmediatamente.
Fraccionamiento, que pueda ser dividido en cntimos para hacer
pagos exactos.
Que sirva para pagar cantidades pequeas o grandes.
Intimidad, que no deje rastro de quin lo ha usado ni para qu, que
nadie se entere de lo que compramos o de cunto gastamos.
Seguridad de que no me lo van a robar.
Seguridad de que en caso de robo no podrn valerse del medio de
pago.
Seguridad de que en caso de robo y utilizacin del medio de pago,
no vamos a tener que pagar lo que compren.

Garanta de que el dinero lo recibe nuestro acreedor y no otra
persona.
Acreditacin del pago.
Que no tenga costes de transaccin; que no haya intermediarios
entre el vendedor y el comprador que se queden parte de lo
pagado.
Todas las opciones que hemos presentado en el cuadro anterior
formaran parte del medio de pago ideal pero le garantizamos que no
existe ninguno que cumpla todas esas caractersticas.
Las monedas, los billetes, los cheques, las tarjetas de plstico,
todos los medios tienen algn inconveniente e incumplen alguno de los
requisitos que hemos enumerado.
Por tanto es necesario disponer de varios medios de pago y en funcin
del tipo de pago que tengamos que realizar optaremos por uno u otro.
Del mismo modo en Internet no existe una forma de pago que sea
perfecta y dependiendo de lo que vayamos a comprar utilizaremos uno u
otro.
En cualquier caso, siendo el ciberespacio un territorio recin
descubierto y con tantas perspectivas de utilizacin comercial, es natural
que estn surgiendo nuevos medios de pago diseados especficamente
para Internet.
Aunque algunos que parecan ser muy prometedores hayan sido
rechazados por los usuarios y quedado obsoletos rpidamente.
El uso de tarjetas en I nternet.
Actualmente las tarjetas son el medio de pago ms utilizado en
Internet y las razones, por lo que esto es as, parecen bastante obvias:

Su uso est muy extendido.
Hoy en da existen millones de poseedores de tarjetas de crdito
que utilizan esta forma de pago de manera habitual y las empresas
comerciales estn acostumbradas a recibir frecuentemente pagos
con tarjeta.
Se aceptan pagos por cantidades pequeas o grandes.
Se pueden pagar desde cantidades muy pequeas a grandes,
siempre y cuando no se rebase el lmite de la tarjeta.
Sirven para hacer pagos internacionales.
No importa en que pas se realice la compra. Comprador y
vendedor recibirn su respectivo cargo y abono en sus respectivas
monedas nacionales.
Facilidad de uso.
Es un sistema fcil de usar, aceptado universalmente, muy lquido,
fraccionable, incorruptible, seguro, puede realizarse el pago con
intimidad y a la vez deja huella de forma que a travs del
sistema bancario el comprador puede demostrar que ha hecho el
pago y saber en qu cuenta se ha hecho el abono.
Seguridad.
Para encriptar los datos de las tarjetas mientras circulan a travs
de Internet se utiliza el sistema de encriptacin SSL que, como
hemos visto, es un sistema avanzado, que combina encriptacin
simtrica y asimtrica, cmodo, transparente para los usuarios y,
sobre todo, que est incorporado de serie a todos los
navegadores de Internet, el Internet Explorer y cualquier otro.

2. SISTEMA DIRECTO DE USO DE TARJETA
sicamente existen dos formas de utilizar las tarjetas a travs
de Internet: enviando los datos a la tienda virtual, o utilizando
los servicios de una entidad financiera, banco o caja de ahorro.
La utilizacin de los servicios de una entidad financiera, banco o
caja de ahorro tiene un pequeo coste, un porcentaje de la transaccin
determinado por el contrato TPVV (Terminal Punto de Venta Virtual).
El envo de los datos de la tarjeta directamente del comprador a la
tienda virtual requiere garantas adicionales sobre la proteccin que sta
les dar en su almacenamiento.
B


Pagar con tarjeta en Internet es similar a pagar con tarjeta en
cualquier establecimiento, lo nico que cambia es la forma de establecer
las comunicaciones. El comprador comunica al vendedor los datos de su
tarjeta, y este los comunica al banco.
Cuando usted adquiere un producto en internet usted enva los
datos de su tarjeta mediante su ordenador, a travs de su conexin a
Internet, al ordenador del comerciante, que a su vez los enva al banco.
El ordenador del banco comprueba que los datos de la tarjeta sean
correctos y en caso afirmativo comunica al ordenador del comerciante
que la transaccin ha sido aceptada.
Por ltimo el ordenador del comerciante comunica al del cliente
que la transaccin ha sido aceptada y dispone el envo de la mercanca.
Y como habr visto en el esquema que le hemos mostrado todas
estas comunicaciones se realizan a travs de Internet.
Una vez finalizado este proceso el comerciante enviar la orden de
cargo-abono con los datos de la transaccin al banco y este ordenar los
abonos y cargos correspondientes.
Como habr podido comprobar los datos de la tarjeta realizan su
viaje a travs de Internet.
Pero al realizar este proceso pueden darse una serie de inconvenientes:
Un hacker puede escanear la transmisin.
El vendedor puede hacer un uso fraudulento de los datos.
El vendedor no dispone de las medidas necesarias para garantizar
la proteccin de los datos de los clientes.

Los navegadores actuales permiten que los datos viajen
codificados con muy alta seguridad mediante SSL o SHTTP.
El punto dbil en la seguridad de este sistema no est en la
transmisin de los datos sino en el almacenamiento de los datos por el
vendedor. No slo porque el vendedor pueda hacer un uso fraudulento
de esos datos sino porque puede no disponer de las medidas necesarias
para garantizar la proteccin de los datos de sus clientes.
Cajeros virtuales.
En el mundo real los contratos terminal punto de venta son los que se
establecen entre un comerciante y la entidad financiera con la que trabaje
habitualmente para poder aceptar el pago con tarjeta de los clientes.
Para ello el comerciante dispone de una pequea mquina,
comunicada con la pasarela de pago por va telefnica, por la que pasa
la banda magntica de la tarjeta, y recibe la autorizacin por parte del
banco tras comprobar ste la validez de la tarjeta y la disponibilidad de
fondos asociados a la misma.
Este sistema ha sido adaptado a Internet y se le conoce como
terminal punto de venta virtual o cajero virtual y es sin duda el sistema
ms seguro para la utilizacin de las tarjetas de crdito en Internet.
El comprador accede a una pgina web, que ya no est alojada en
el servidor del vendedor sino en el del propio banco que es un servidor
con seguridad tipo shttp o SSL. En ese formulario consta el importe
total de la operacin y se identifica al vendedor.
El comprador introduce en el formulario del banco los datos de su
tarjeta de crdito.
Este sistema no solo garantiza que los datos de la tarjeta viajarn,
encriptados, directamente del comprador al banco intermediario sino
que adems, no sern conocidos en ningn momento por el vendedor.
Las entidades bancarias son siempre ms fiables en la proteccin
de los datos de sus clientes. El sistema es igualmente transparente y gil
para el comprador.
En una tienda virtual se ofrece un catlogo de productos y un
formulario de pedidos que puede tener la forma de un carro de compra y
que informa al comprador de los productos que ha solicitado, de su
precio y del importe total de la compra.
Adems de permitirle modificar su compra e iniciar el
procedimiento de pago.

El software del terminal punto de venta virtual, proporcionado por
el banco, realiza las siguientes operaciones:
Genera un identificador que es especfico de esa transaccin.
Archiva para el vendedor los datos del pedido: la lista de productos y
la forma y direccin para el envo, junto con el identificador.
Enva al banco los datos esenciales de la transaccin: la identidad
del vendedor, el identificador de la transaccin y su importe.
El banco comprueba la validez de la tarjeta, realiza los cargos y
abonos correspondientes y comunica al vendedor que la transaccin
correspondiente al identificador es vlida.
Por ltimo el vendedor procede al envo de la compra.
El sistema virtual de terminal punto de venta es el que ofrece ms
seguridad en internet ya que los datos de la tarjeta de crdito del
comprador son transmitidos directamente al banco.
Los bancos son entidades conocidas por los usuarios de Internet e
inspiran ms confianza que una tienda virtual desconocida.
Con este sistema el intermediario bancario no slo facilita la
transaccin sino que adems ofrece su propia garanta de credibilidad.
Vamos a ver por pasos el proceso de venta a travs de una tienda
virtual.
Paso 1.
El comprador visita las pginas web de la tienda virtual. Va
seleccionando los productos que desea y aadindolos al carro de
compra virtual.
Una vez que concluye su compra, inicia el proceso de pago
pulsando el botn correspondiente.
Paso 2.
El paquete de programas CGI proporcionados por el banco e
incorporados a la tienda virtual realiza las siguientes operaciones:
Genera un identificador que es especfico de esa transaccin.
Archiva para el vendedor los datos del pedido: la lista de
productos y la forma y direccin para el envo, junto con el
identificador.
Enva al banco los datos esenciales de la transaccin: la identidad
del vendedor, el identificador de la transaccin y su importe.

Paso 3.
En la pantalla del comprador aparece un formulario web que ya no
est alojado en el servidor del vendedor sino en el del banco, que es un
servidor con seguridad tipo shttp o SSL.
En ese formulario consta el importe total de la operacin y se
identifica al vendedor. El comprador introduce en el formulario del banco
los datos de su tarjeta de crdito. Los datos viajan encriptados al banco.
Paso 4.
El banco comprueba la validez de la tarjeta. Una vez comprobado,
realiza los cargos y abonos correspondientes y comunica al vendedor
que la transaccin correspondiente al identificador es vlida.
Paso 5.
El vendedor procede al envo de la compra.

Otros tipos de tarjeta que tambin podramos destacar son:
Servicios de telebanco.
La tarjeta de identificacin en los servicios de telebanco permite a
su titular acceder a los fondos de su cuenta en una entidad,
mediante un cdigo de identificacin personal o cualquier otra
prueba similar de identidad.
El cliente puede acceder a los servicios bancarios durante las
veinticuatro horas del da desde cualquier parte, bien mediante
una llamada telefnica al nmero indicado por el banco o bien
mediante la conexin a Internet a travs de las correspondientes
claves de acceso suministradas de antemano por la institucin.

Tarjetas virtuales.
En realidad se trata de una tarjeta prepago. Se pueden solicitar a
cualquier entidad financiera que ofrezca el servicio y se pueden
cargar con dinero a travs de un servicio de telebanco, o bien, desde
un cajero automtico con cargo a una tarjeta de crdito o debito.
Cuando solicitamos una tarjeta de este tipo se nos asigna un
nmero y una clave.
Tarjetas monedero (en ingles electronic wallet o e-wallet).
Las tarjetas monedero, tambin conocidas como tarjetas chip o
inteligentes permiten realizar transacciones de forma muy sencilla.
Para utilizarlas como medio de pago en Internet se necesita un
lector de tarjetas conectado al ordenador y, obviamente que la
tienda virtual permita esta modalidad de pago.
En realidad son unas tarjetas prepago que se cargan en los cajeros
automticos o de forma on-line.
Mediante este sistema se pueden hacer los pagos sin enviar el
nmero de tarjeta y el coste de la transaccin es nulo.

3. SEGURIDAD EN LAS TRANSACCIONES
ualquier sistema de comercio electrnico debera garantizar al
menos las siguientes caractersticas:
Confidencialidad: slo los participantes en la transaccin deben
tener acceso a los datos.
Integridad: el sistema debe garantizar que los datos enviados no
son modificados.
Autenticacin: todos los participantes deben de estar
perfectamente identificados para evitar el fraude. Para ello se
utilizarn firmas o certificados digitales.
No repudio: el sistema debe generar recibos que impidan que
alguno de los participantes en la transaccin niegue haber
participado en ella.
Autenticacin.
Seguro que muchas veces ha estado tentado de comprar algn
artculo en Internet y que muchas veces se ha echado atrs en el
ltimo momento porque siempre le han asaltado las mismas
dudas.
C

Qu garantas tengo de recibir el producto?
Cmo puedo acreditar el pago?
Cmo se puede probar mi identidad en transacciones electrnicas?
Cmo demuestra su identidad la empresa vendedora?
La autenticacin consiste en asegurar que las personas que
intervienen en el proceso de comunicacin son las que dicen ser.
Para ello nos podemos valer como en este caso de un nmero de
tarjeta y una contrasea, e incluso utilizar firmas o certificados digitales.
Firmas digitales.
En la actualidad se sigue utilizando la firma manuscrita para
certificar el reconocimiento, conformidad o acuerdo de voluntades sobre
un documento.
Pese a que puede ser falsificada esta tiene un gran reconocimiento
legal ya que tiene peculiaridades que la hacen fcil de realizar,
comprobar y de vincular a quin la realiza.
La firma digital funciona en documentos electrnicos como una
firma manuscrita en un documento impreso.
La firma es una parte de la informacin infalsificable que identifica
a la persona que lo envi y puede demostrar que est de acuerdo con el
documento en el que puso su firma.

El receptor del mensaje digital puede verificar que el mensaje ha
sido originado por la persona cuya firma se encuentra aadida y que el
mensaje no ha sido alterado, de forma maliciosa o accidental, desde que
fuera firmado.

Para garantizar la autenticidad de la firma y la integridad de los
datos dentro del mundo virtual utilizamos la criptologa.
La criptologa se define como aquella ciencia que estudia la
ocultacin, disimulacin o cifrado de la informacin, as como el diseo
de sistemas que realicen dichas funciones.
Clave simtrica.
Las claves para cifrar y descifrar son idnticas, o fcilmente
calculables una a partir de la otra.
Un ejemplo sera el algoritmo de cifrado de Csar.
La criptologa se define como aquella ciencia que estudia la
ocultacin, disimulacin o cifrado de la informacin, as como el diseo
de sistemas que realicen dichas funciones.
El algoritmo de cifrado de Csar, llamado as porque era el usado
por Julio Csar para la trasmisin de sus mensajes secretos. Para
encriptar el texto se sustituye cada letra por la que est tres posiciones
ms adelante en el orden alfabtico.
|_texto plano_| -> clave -> |_texto cifrado_| -> clave -> |_texto plano_|

A -> D
B -> E
C -> F
.....
X -> A
Y -> B
Z -> C
C E S A R -->> F H V D U (suponiendo un alfabeto sin la letra )
Clave asimtrica o de clave pblica.
Si las claves para cifrar y descifrar son diferentes y una de ellas es
imposible de calcular por derivacin de la otra.
Al contrario de los sistemas de encriptacin simtrica donde
emisor y receptor de la informacin deben compartir la misma clave, en
un sistema de encriptacin asimtrica no es necesario ya que cada
usuario dispone de dos claves, una pblica que debe revelar o publicar
para que los dems puedan comunicarse con l, y una privada que debe
mantener en secreto.
De esta forma cuando un usuario desea mandar un mensaje
protegido, cifra el mensaje con la clave pblica del destinatario para que
slo este, que es el nico conocedor de la clave secreta pueda descifrar
el mensaje.
Problemas de un sistema de encriptacin asimtrica:
Como s que la clave pblica del destinatario es la que dice ser y
no es la de otra persona que me engaa para poder leer el mensaje?
No resulta demasiado endeble para el sistema de encriptacin
asimtrica confiar en que el individuo velar diligentemente en la
administracin de su clave secreta?
Para solucionar este problema surgen las autoridades de
certificacin. Una autoridad de certificacin es esa tercera parte fiable
que acredita la ligazn entre una determinada clave y su propietario real.
Actuara como una especie de notario electrnico que extiende un
certificado de claves, el cual est firmado con su propia clave, para as
garantizar la autenticidad de dicha informacin.
Los certificados, son registros electrnicos que atestiguan que una
clave pblica pertenece a determinado individuo o entidad.

Permiten verificar que una clave pblica pertenece a una
determinada persona, evitando que alguien utilice una clave falsa para
suplantar la personalidad de otro.
La confianza de los usuarios en ella es fundamental para el buen
funcionamiento del servicio.
Ha habido problemas de estas caractersticas en Estados Unidos, y
de ah que se estn implementando soluciones como:
Listas de revocacin de certificados por extravo o robo de claves
privadas.
Periodos de validez.
Identificacin mediante tarjetas inteligentes.
Biometra. Identificacin mediante alguna caracterstica del
cuerpo humano: iris del ojo, huellas dactilares, etc.
Autenticacin / algoritmos de comprensin hash.
Adems de los sistemas de encriptacin simtrica y asimtrica
existen otros algoritmos de compresin necesarios para conseguir que la
firma digital tenga los mismos efectos que la manuscrita.
Se trata de los algoritmos de compresin hash que se aplican sobre
un determinado texto en cuestin, por ejemplo el contrato on-line.
Estos algoritmos encriptan el texto de manera que no puede ser
descifrado ni tan siquiera por la persona que lo encript.
De esta manera no es posible cambiar ni una sola coma del
documento al volver a aplicar la funcin hash obtendramos otro resultado.
Por este motivo tambin se conoce a estos algoritmos como
algoritmos de huella digital.
Por ejemplo, supongamos que Emisor desea enviar un mensaje
firmado a Receptor.
Primero crea un mensaje comprimido utilizando una funcin
numrica (hashing) sobre el mensaje.
S cualquier parte de este mensaje es modificado, la funcin
numrica devuelve en la desencriptacin un resultado distinto.
Despus, Emisor encripta el mensaje numrico con su clave
privada.
Dicho mensaje encriptado es la firma digital del mensaje.

Emisor enva tanto el mensaje como la firma digital.
Cuando Receptor los recibe, desencripta la firma utilizando la
clave pblica de Emisor y descodifica el mensaje.
Para verificar la integridad del mensaje, Receptor utiliza la misma
funcin numrica utilizada por Emisor y compara el resultado con el
que le envi aquella.
Si son idnticos, Receptor se habr asegurado de que el mensaje
proviene verdaderamente de Emisor y que no ha sido modificado
desde que fuera firmado.
Si el mensaje numrico es diferente, el mensaje fue originado por
alguien distinto de Emisor o fue modificado desde que fue
firmado.
Observe que utilizar una firma digital no encripta el texto del
mensaje. En caso que Emisor quiera asegurar la privacidad de ste, debe
encriptarlo utilizando la clave pblica de Receptor.
De esta forma, slo Receptor puede leer el mensaje al
desencriptarlo utilizando su clave privada.
Certificados digitales.
Los Certificados Digitales hacen posible que usted pueda probar su
identidad en transacciones electrnicas, de forma anloga a como se
identificara personalmente con un documento de identidad con
fotografa.
Con un Certificado Digital, puede asegurar a amigos, socios
comerciales y servicios en lnea, que la informacin electrnica que
reciben proviene de usted y es autntica.
Qu es un Certificado Digital?
Los Certificados Digitales son nuestro documento de identidad
virtual.
Como usuario de un Certificado Digital, usted posee una pareja de
claves: la clave privada y la clave pblica.
La clave privada estar bajo su custodia y no la dar a conocer a
nadie ms.
La clave pblica ser conocida por todos los usuarios.
La pareja de claves pblica/privada son complementarias: lo que
cifra una nicamente puede ser descifrado por la otra y viceversa.

Un Certificado Digital tpico contiene:
La Clave Pblica del propietario.
El nombre del propietario.
Fecha de vencimiento de la clave pblica.
El nombre del emisor (la Autoridad de Certificacin (CA) que
emite el Certificado Digital).
El nmero de serie del Certificado Digital.
La Firma Digital del emisor.
Cmo confiar en el Certificado Digital de otra persona?
Para que usted confe en la validez de un Certificado tendr que
estar seguro de que pertenece realmente al usuario indicado en el
Certificado.
La manera de poder confiar es mediante una tercera parte en la que
usted s confa. Esta tercera parte, la autoridad de certificacin, da fe de
la fiabilidad del emisor y verifica las identidades de cada uno de sus
usuarios.
En conclusin, usted puede confiar en el Certificado de un usuario si
dicho Certificado est avalado por una tercera parte en la que s confa.
Para qu se utilizan los Certificados Digitales?
Los Certificados Digitales pueden utilizarse para una gran variedad
de transacciones electrnicas como correo electrnico, comercio
electrnico, trabajo en grupo y transferencia de fondos electrnicos.
El hecho de utilizar certificados digitales posibilita la identificacin
de una persona de manera que no pueda ser suplantada por otra.
Igualmente, un servidor seguro debe tener un Certificado Digital
para asegurar que el servidor est administrado por la organizacin que
dice poseerlo y para asegurar que el contenido que ofrece es autntico.
Cmo funciona un Certificado Digital?
Un Certificado Digital contiene informacin encriptada mediante
un par de claves, pblica y privada, de los datos de identificacin de los
usuarios.
Instalado en un navegador web, el Certificado Digital funciona
como una credencial electrnica que el sitio web puede verificar,
permitiendo, tras el uso de una contrasea, el acceso a informacin o
servicios restringidos a usuarios autorizados.

Protocolos.
Para garantizar la confidencialidad de los mensajes, ya que un
tercero ajeno puede pinchar las comunicaciones y obtener todo lo que
nuestro correo reciba o enve.
Se utilizan los protocolos de seguridad:
SSL
El protocolo SSL (Secure Sockets Layer) es un sistema diseado
por Netscape Communications Corporation.
Proporciona sus servicios de seguridad cifrando los datos
intercambiados entre el servidor y el cliente con un algoritmo de
cifrado simtrico y cifrando la clave de sesin mediante un
algoritmo de cifrado de clave pblica.
La forma de establecer las comunicaciones entre una mquina
cliente y un servidor es la siguiente:
La fase Hola, usada para ponerse de acuerdo sobre el conjunto de
algoritmos para mantener la intimidad y para la autenticacin.
La fase de intercambio de claves, en la que intercambia
informacin sobre las claves, de modo que al final ambas partes
comparten una clave maestra.
La fase de produccin de clave de sesin, que ser la usada para
cifrar los datos intercambiados.
La fase de verificacin del servidor, presente slo cuando se usa
RSA como algoritmo de intercambio de claves, y sirve para que el
cliente autentique al servidor.
La fase de autenticacin del cliente, en la que el servidor solicita
al cliente un certificado X.509 (si es necesaria la autenticacin de
cliente).
Por ltimo, la fase de fin, que indica que ya se puede comenzar la
sesin segura.
SET
Cuando realizamos una compra por Internet y efectuamos el pago
con una tarjeta electrnica tenemos, en principio tres posibilidades:
Enviar los datos de la tarjeta en un mensaje.
Utilizar el protocolo SSL.
Usar el protocolo SET.

El protocolo SET funciona mediante el cifrado del mensaje, el uso
de la firma electrnica y los certificados digitales, todas las partes
intervinientes en el proceso deben estar certificadas, lo cual implica la
intervencin de un prestador de servicios de certificacin.
Cuando se realiza un pago utilizando este protocolo, los datos de la
tarjeta son redirigidos a una pasarela de pagos (Gateway) con la finalidad
de obtener la correspondiente autorizacin o rechazo de la transaccin.
Para poder comprar con este protocolo es necesario instalarse un
software suministrado generalmente por la entidad emisora de la tarjeta,
un certificado digital SET y un monedero digital.
Certificado digital SET.
Es emitido por la misma entidad emisora de la tarjeta y asegura la
legitimidad en el uso de la misma, si se tiene ms de una tarjeta
electrnica, se requiere un certificado distinto para cada una.
Igualmente el vendedor necesitar un certificado digital diferente
para cada marca de tarjeta que quiera aceptar, el uso de estos
certificados proporcionan al comprador la misma seguridad que cuando
paga con tarjeta en el establecimiento fsico.
Monedero digital.
El monedero digital denominado Wallet, funciona en sentido
similar a una cartera fsica almacenando las diferentes tarjetas
electrnicas que posee el comprador y su identificacin personal.
Una vez que el mensaje ha sido cifrado, el comprador enva el
pedido, el comerciante lo recibe y comprueba su veracidad, remite la
orden a la pasarela de pagos, quien no tendr acceso al contenido del
pedido pero s a los datos bancarios necesarios para autorizar o denegar
la operacin, sta a su vez solicita la respuesta de la autorizacin a la
respectiva entidad financiera (banco emisor o banco adquirente),
enviando la respuesta al comerciante.
De esta manera se dice que la seguridad en la transaccin es
absoluta ya que mediante el sistema de certificados se garantiza la
autenticidad de las partes mientras que el uso de la firma electrnica
aporta las garantas de integridad y no repudio mensaje.
El protocolo de seguridad ms utilizado es el SSL.
El protocolo de seguridad SET es sin duda el sistema ms seguro.
Pero esto juega en su contra ya que para garantizar la seguridad necesita
comprobar los distintos certificados digitales y sus jerarquas en cada
comunicacin, por lo que su procedimiento de actuacin se vuelve lento.

De otro lado, los clientes deben darse previamente de alta en el
sistema, solicitando la instalacin del Wallet y la conexin con el
proveedor de servicios de certificacin para la correspondiente emisin
de las claves, lo cual conlleva plazos entre una y dos semanas.

4. OTROS MEDIOS DE PAGO
PayPal.
Es un sistema de pago que le permite tanto pagar sus compras
como cobrar sus ventas en Internet.
Mediante PayPal podr acceder a un mercado potencial de ms de
175 Millones de usuarios que ya disponen de una cuenta de este tipo en
el mundo, aceptando pagos de 190 pases y en 19 divisas.
Bsicamente, funciona como un intermediario entre comprador y
vendedor por lo que en ningn momento se comparte la informacin
financiera. Los vendedores no vern los nmeros de su tarjeta de crdito
ni de su cuenta bancaria.
Para comprar o vender por Internet mediante PayPal primero
tendr que registrar una cuenta PayPal.
El proceso de registro es gratuito y slo se cobran comisiones en
cuentas Premier y Business que reciben un pago o dinero.

Veamos los tipos de cuentas disponibles en PayPal.
Cuenta Personal pensada para compradores. Podr realizar pagos
de forma gratuita y recibir pagos con ciertas limitaciones.
Cuenta Premier pensada para vendedores. Puede recibir los pagos
de sus ventas en Internet, incluidos los de tarjetas, con unas
comisiones reducidas. Adems, podr realizar pagos de forma
gratuita.
Cuenta Business creada para empresas. Puede recibir los pagos de
sus ventas en Internet, incluidos los de tarjetas, con reducidas
comisiones. Adems, podr realizar pagos de forma gratuita.
PayPal dispone de dos tipos de pagos:
Pago estndar.
Basado en tecnologa HTML es la opcin ms simple para
empezar a vender por Internet. Mediante Pago estndar, puede
transformar fcilmente su sitio Web en una tienda en Internet.
Puede vender artculos sin utilizar un carro de la compra,
incorporando un botn de compra por cada artculo.
Si por el contrario ya tiene un carro de la compra, podr aadir un
botn de pago PayPal al carro.
Tambin cuenta con una funcin de gestin de inventario, con la
que podr establecer alertas cuando el stock est cerca de agotarse.
Pago exprs.
Es una solucin revolucionaria basada en tecnologa API.
El comprador no tendr que rellenar formularios de compra en su
sitio Web.
PayPal le enviar directamente los datos de contacto del cliente,
que ya estn almacenados en PayPal.
De esta manera, el nmero de usuarios que completan una compra
es un 40% superior a la media de la industria.
Adems, con Pago exprs el usuario finaliza la compra en su sitio
Web, permitindole realizar acciones de venta cruzada.
Ventajas del uso de PayPal:
Rpido: PayPal permite enviar pagos en Internet al instante con
una cuenta bancaria, una tarjeta de crdito o cualquier otra fuente.

Fcil: Podr realizar pagos de forma segura con slo pulsar un
botn.
Adems con PayPal, no tendr que volver a molestarse en indicar
la informacin de la tarjeta de crdito cada vez que realice una
compra.
Seguro: En ningn momento comparte la informacin financiera,
ya que los vendedores no ven los nmeros de su tarjeta de crdito
ni de su cuenta bancaria.
Adems, un equipo de prevencin de fraudes cualificado le ayuda
a combatir los delitos antes de que se produzcan.
Global: PayPal es una entidad de confianza en todo el mundo,
gracias a sus ms de 100 millones de cuentas y a su constante
crecimiento.
PayPal es aceptado por cientos de miles de empresas de todo el
mundo.
Gratuito: Pague compras o enve dinero de forma gratuita a
cualquier persona que disponga de una direccin de correo
electrnico en 190 pases y regiones.
SafetyPay
Es otro sistema seguro para pagos electrnicos que permite a los
clientes de los bancos afiliados realizar compras on-line a travs de su
banca electrnica.
SafetyPay elimina el riesgo de fraude y robo de identidad para
comercios y consumidores, ya que el pago se realiza a travs del banco,
sin necesidad de tarjetas de crdito.
Bsicamente SafetyPay opera como una cmara de compensacin,
aadindole valor a todas las partes involucradas: bancos, comercios y
clientes.
Para comprar o vender por Internet mediante SafetyPay slo tendr
que ser cliente de uno de los bancos asociados a este medio de pago.
Adems, en la pgina web dispone de un enlace que le mostrar la
relacin de comercios de todo el mundo que disponen de este medio de
pago.
Ventajas del uso de SafetyPay:
Seguro: Todas las transacciones con SafetyPay utilizan
encriptacin SSL de 128 bits, usando las ltimas tecnologas de
seguridad.

Fcil: Slo tiene que ser cliente de uno de los bancos asociados
para realizar compras con este medio. No necesita registrarse en la
web de SafetyPay.
Si desea afiliarse como comercio, slo tiene que contactar con
SafetyPay rellenando un sencillo formulario.
No existen cuotas de afiliacin y slo se cobran comisiones por la
transaccin realizada.
El proceso de implantacin en una tienda on-line es muy sencillo
y se realiza en unas horas.
Algunos de los carros de la compra soportados por SafetyPay son:
Drupal, Prestashop, Joomla, Virtuemart, Magento, Xcart, Oscommerce,
etc.
SafetyPay est ampliamente extendido tanto en Estados Unidos,
Mxico y Latinoamrica. En Espaa el uso de este medio de pago es
an reducido aunque cada vez son ms las entidades colaboradores y los
comercios que se afilian a este medio de pago.
Allopass
Dispone de uno de los sistemas ms seguros ya que el proceso de
pago se realiza mediante telefona mvil.
Allopass est asociada con los operadores de telefona para
permitirle comprar contenido en lnea simplemente llamando o
enviando un SMS a un nmero.
Es ideal para comprar cualquier contenido digital o servicio a un
precio bsico de 3 e inferior: suscripciones de pago u opciones para
juegos en lnea, msica, fotos o sitios basados en vdeo, archivos de
prensa, etc.
Para el comerciante, Allopass supone un gran suplemento de
PayPal y de Google Checkout para el micropago de contenidos
digitales, juegos y descargas.
No es necesaria ninguna suscripcin ni hay costes de mantenimiento.
Es un sistema de pago global con amplia cobertura geogrfica.
Adems, existen programas de afiliacin donde los comerciantes
pueden obtener ganancias suplementarias y publicitar sus tiendas
virtuales.

5. EL DNI ELECTRNICO
lo largo de su vida, el Documento Nacional de Identidad
(DNI) ha ido evolucionado con el fin de aumentar no slo la
seguridad del documento sino tambin ampliar su mbito de aplicacin.
Con la llegada de Internet se ha hecho necesario adecuar los
mecanismos de acreditacin de la personalidad a la nueva realidad y se
hace necesario disponer de un instrumento eficaz que traslade al mundo
digital las mismas certezas con las que operamos cada da en el mundo
fsico.
Estas certezas son:
Acreditar electrnicamente y de forma que no admita duda la
identidad de la persona.
Firmar digitalmente documentos electrnicos, otorgndoles una
validez jurdica equivalente a la que les proporciona la firma
manuscrita.
Para responder a estas nuevas necesidades nace el Documento
Nacional de Identidad electrnico (DNIe), cuya principal novedad es
que incorpora un pequeo chip, capaz de guardar de forma segura
informacin y de procesarla internamente.
El DNI electrnico permite acceder a nuevos servicios que
ampliarn nuestra capacidad de actuar a distancia con las
Administraciones Pblicas, con las empresas y con otros ciudadanos.

A

El DNI electrnico nos permitir:
Realizar compras firmadas a travs de Internet.
Hacer trmites completos con las Administraciones Pblicas a
cualquier hora y sin tener que desplazarse ni hacer colas.
Realizar transacciones seguras con entidades bancarias.
Utilizar de forma segura nuestro ordenador personal.
Participar en una conversacin por Internet con la certeza de que
nuestro interlocutor es quien dice ser.

Caractersticas
El DNI electrnico dispone de un chip donde se almacenan los
datos del titular de forma segura.
Adems, el DNI electrnico est fabricado con policarbonato, un
material muy resistente que permite grabar los datos impresos con lser
por lo que es prcticamente imposible de falsificar.
Entre los datos que se almacenan en el chip estn:
Datos de filiacin del titular.
Imagen digitalizada del titular.
Imagen digitalizada de su firma manuscrita.
Plantilla de la impresin dactilar.
Certificados de autenticacin y de firma.
Certificado electrnico de la entidad emisora.
Claves de cada certificado electrnico.
Entre otras medidas de seguridad el DNI electrnico presenta
distintos hologramas que son imgenes tridimensionales a todo color,
grabadas mediante un proceso especial de rayos lser.
Tambin dispone de un kinegrama. El kinegrama es una
caracterstica desarrollada por la compaa suiza Kinegram.
Como el holograma, consiste en una estructura de difraccin
microscpica. La imagen, no es tridimensional como en el holograma,
sino que al moverla muestra animaciones grficas.
En cuanto a los certificados, el DNI electrnico dispone de
Certificados X509v3 de ciudadano (autenticacin y firma) y claves
privadas asociadas, que se generarn e insertarn durante el proceso de
expedicin del DNI electrnico.

Los certificados se componen de:
Certificado de autenticacin: El Ciudadano podr, a travs de su
Certificado de Autenticacin, certificar su identidad frente a
terceros, demostrando la posesin y el acceso a la clave privada
asociada a dicho certificado y que acredita su identidad.
El certificado de firma electrnica reconocida: Permitir realizar y
firmar acciones y asumir compromisos de forma electrnica,
pudindose comprobar la integridad de los documentos firmados
por el ciudadano haciendo uso de los instrumentos de firma
incluidos en l.
Marco legal
El marco legal bsico del DNI electrnico se apoya en las
siguientes directivas y leyes:
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de
13 de por la que se establece un marco comunitario para la firma
electrnica.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de los
Datos.
Ley 59/2003, de 19 de diciembre, de Firma Electrnica.
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula
documento nacional de identidad y sus certificados de firma
electrnica (modificado por Real Decreto 1586/2009, de 16 de
octubre).
Uso del DNI electrnico
Para utilizar del DNI electrnico es necesario disponer de un lector
de tarjetas y del software necesario que nos permita el acceso al chip y,
por tanto, la utilizacin de los certificados contenidos en l.
En cuanto a los elementos software se debe disponer de:
Alguno de los siguientes sistemas operativos:
Microsoft Windows (XP, Vista, Windows 7)
Linux / Unix
Mac Os X
El DNI electrnico es compatible con los siguientes navegadores:
Microsoft Internet Explorer
Mozilla Firefox

Para poder usar adecuadamente el DNI electrnico el equipo es
necesario tener instaladas unas piezas de software denominadas
mdulos criptogrficos.
En un entorno Microsoft Windows, el equipo debe tener instalado
un servicio que se denomina Cryptographic Service Provider (CSP).
En los entornos UNIX / Linux o MAC podemos utilizar el DNI
electrnico a travs de un mdulo criptogrfico denominado PKCS#11.
Para configurar correctamente el lector de tarjetas con los
requisitos exigidos por el DNIe es fundamental seguir las instrucciones
del fabricante del dispositivo.
En algunos casos, ser necesario instalar un driver especfico que
vara en funcin del modelo de lector y del sistema operativo que utilice.
Tambin requiere de una serie de elementos hardware:
Un Ordenador personal.
Un lector de tarjetas inteligentes que cumpla el estndar ISO-
7816. Existen distintos tipos: integrados en el teclado, externos
(conectados va USB) o bien a travs de una interfaz PCMCIA
(para ordenadores porttiles).
Para elegir un lector que sean compatible con el DNI electrnico,
verifique que, al menos:
Cumpla el estndar ISO 7816 (1, 2 y 3).
Soporta tarjetas asncronas basadas en protocolos T=0 y T=1.
Soporta velocidades de comunicacin mnimas de 9.600 bps.
Soporta los estndares:
API PC/SC (Personal Computer/Smart Card)
CSP (Cryptographic Service Provider, Microsoft)
API PKCS#11 (Normalmente usado en Mac y Linux)
Tal y como recoge la Declaracin de Prcticas de Certificacin del
DNI electrnico, los certificados electrnicos podrn utilizarse:
Como medio de Autenticacin de la Identidad: El Certificado de
Autenticacin (Digital Signature) asegura que la comunicacin
electrnica se realiza con la persona que dice que es. El titular
podr, a travs de su certificado, acreditar su identidad frente a
cualquiera, ya que se encuentra en posesin del certificado de
identidad y de la clave privada asociada al mismo.

Como medio de firma electrnica de documentos: Mediante la
utilizacin del Certificado de Firma (nonRepudition), el receptor
de un mensaje firmado electrnicamente puede verificar la
autenticidad de esa firma, pudiendo de esta forma demostrar la
identidad del firmante sin que ste pueda repudiarlo.
Como medio de certificacin de Integridad de un documento:
Permite comprobar que el documento no ha sido modificado por
ningn agente externo a la comunicacin. La garanta de la
integridad del documento se lleva a cabo mediante la utilizacin
de funciones resumen (hash), utilizadas en combinacin con la
firma electrnica.
Servicio al ciudadano
El DNI electrnico dispone de un Servicio de Atencin al
Ciudadano, con las siguientes caractersticas:
Prestado de forma permanente (24 horas al da, 365 das al ao).
De mbito universal (para todo tipo de usuarios).
De modo integral (atiende cualquier tipo de incidencia del DNI
electrnico).
De forma nica (sirve a todas las Autoridades de Validacin).
El Servicio de Atencin al Ciudadano es prestado por la Fbrica
Nacional de Moneda y Timbre.


Lec 07

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Lec 07

Caricato da

Copyright:

Formati disponibili

Copyright Computer Aided Elearning, S.A.

Potrebbero piacerti anche