Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Por ello los vendedores estn desarrollando grandes esfuerzos para garantizar la
confidencialidad del pago y la imposibilidad de suplantacin futura mediante la
implantacin de mtodos que asocien varios sistemas de seguridad entre s, por
ejemplo, una tarjeta de crdito con el mvil personal, o una tarjeta bancaria con claves
especficas para cada una de las personas.
Pgina 6
Realmente siempre es el banco de cada una de las partes el que realiza la transaccin
econmica. Son los TPV respectivos los que se ponen en contacto para realizar la
operacin, por dos motivos: seguridad y fiscalidad.
As, cuando hablamos de los aspectos de seguridad del comercio electrnico debemos
tener en cuenta los elementos esquematizados en el siguiente cuadro:
Proteccin de comunicaciones
F Criptografa simtrica
Sustitucin
Permutacin
Esteganografa
Mixtos
F Funciones Hash.
F Criptografa asimtrica.
F Firmas digitales.
F Certificados electrnicos.
F Sistemas de encriptacin.
PGP.
SET.
F SSL.
Medios de pago
F Tarjetas.
F Cajeros virtuales
F Tarjetas-monedero.
F Monederos virtuales.
F Pagos telefnicos.
F Pagos con Mvil
F Cheques electrnicos.
F Cobro por servicios web
Proteccin de datos
F Cortafuegos o Firewalls.
F Antivirus.
F Reglas de seguridad e Integridad.
F Autentificacin.
Pgina 7
Para el comercio electrnico los sistemas de pago deben cumplir cinco requisitos
bsicos:
Pgina 9
Fuente: www.discoweb.com
Son tarjetas prepago, que contienen un fondo de pago materializado en un chip que
tienen incorporado y en el que se almacenan elementos o unidades de valor
previamente aadidas con cargo a nuestra propia cuenta bancaria. El importe siempre
es determinado, pudiendo su propietario ir gastando hasta que se agota.
Pgina 10
Las tarjetas monedero son tiles para los micropagos, es decir, pagos de pequeas
cantidades. Realmente es como si tuviramos un monedero real, sin necesidad de
llevar dinero fsico. No se trata de una tarjeta tradicional de plstico y con banda
magntica, por lo que slo puede ser usada a travs de aquellos canales que no
requieran una presencia fsica, como Internet. Brinda la posibilidad de recargar el
saldo mediante la red de cajeros automticos.
Pgina 11
Los monederos virtuales son programas de ordenador que actan de forma similar a
los monederos electrnicos antes citados. Estn asociados a una tarjeta de crdito
(con cargo a la que se recarga) y a un certificado digital, situado en la mquina desde
la que se realiza la compra. La ventaja adicional con respecto a los pagos con tarjeta
es que se adaptan a pagos de muy pequeo importe.
MONEDERO VIRTUAL
Paso 8
Paso 4
Paso 3
Cuenta del
cliente
Cuenta del
vendedor
Internet
Internet
Paso 7
Paso 2
Paso 6
Paso 1
Paso 5
Pgina 12
f)
Pgina 13
Imagen del TPV virtual del sitio web del Corte Ingls. Fuente: www.elcorteingles.es
Un Mdulo de Pago (TPV Virtual) tramita la autorizacin de los pagos con tarjetas de
manera on line, utilizando el Servidor Seguro del Banco (SSB), que preserva la
confidencialidad de los datos de la tarjeta. Para dicha autorizacin de la operacin se
tendrn en cuenta los siguientes datos, que se verificarn previamente a la concesin
de la autorizacin: el nmero que consta en la Tarjeta (PAN), la fecha de caducidad y
el importe.
Pgina 14
Para vincular el TPV virtual con el sitio web de la tienda virtual, hay que efectuar unos
pequeos cambios en el website que permitirn el pago de manera segura, explicados
en un documento que se brinda al comercio y que contiene todo tipo de informacin
relativa tanto a la transaccin como al cdigo fuente del programa a situar en el web
del comercio (para los sistemas operativos ms comunes), adems de contar con el
soporte tcnico de personal especializado en la integracin del TPV.
Pgina 15
Las ventajas del TPV virtual son, por un lado, posibilitar al comerciante el manejo de
transacciones comerciales con tarjetas en tiempo real, obteniendo la respuesta
(autorizacin o denegacin) para el comercio y para el cliente. Adems, brinda al
comercio un mecanismo amplio para aceptar las ms importantes tarjetas de crdito
en circulacin, as como conocer el estado de las operaciones.
Por otro lado, al usuario final comprador le asegura que nadie pueda usar sus datos de
forma fraudulenta, ya que ste garantiza la informacin sobre la tarjeta viaja oculta.
Pgina 16
El telfono mvil surge, de esta manera, como una solucin al pago on-line de
pequeas cantidades o micropagos, teniendo en cuenta que de otra forma los bancos
aplican una cantidad mnima a cada transaccin on line. Adems, el usuario no tiene
que introducir ningn dato relativo a sus medios de pago en Internet, autoriza cada
transaccin mediante la introduccin de su nmero secreto personal, y no requiere
contar con un software especial en su ordenador.
Pgina 17
Pgina 19
El usuario generalmente utiliza su medio de pago por defecto, con lo cual solamente
introduciendo su NIP, y automticamente llega la confirmacin al telfono mvil
indicando que la compra se ha realizado en forma correcta, como vemos a
continuacin.
Pgina 20
Existe otro formato de pago con mvil que esta siendo implantado por las entidades
financieras, ya que los mtodos tipo Mobipay no han tenido demasiado xito. El
mtodo consiste en asociar nuestra tarjeta con nuestro mvil, de forma que siempre
que realicemos una compra, en cualquier tienda virtual, debamos enviar un mensaje
desde nuestro mvil con la clave de acceso de la tarjeta. El funcionamiento es el
siguiente:
Pgina 21
Fuente:www.epagado.com
Otra forma de pago con email consiste en hacer que un tercero sea el que pague por
nosotros. Existen sistemas, como Paypal, que permiten pagar a travs de ellos, y de
esta forma solo tenemos que introducir nuestro nmero de tarjeta o cuenta en un solo
sitio, ya que Paypal se encarga de pagar a la tienda y de cobrarnos a nosotros. Lo
nico que debemos hacer es abrir una cuenta en Paypal, que no es un banco, ya que
no almacena nuestro dinero, pero si acta como tal a la hora de realizar una compra.
Si decidimos pagar a travs de Paypal solo tendremos que suministrar nuestra clave
de usuario e indicar a quien realizamos el pago.
Pgina 22
Desde el punto de vista del comercio estos sistemas conllevan la ventaja de que la
transaccin no es repudiable, el cliente no puede decir que no ha hecho la transaccin,
puesto que en estos casos el cliente se ha autenticado mediante la introduccin de
algn tipo de PIN. Esto es una ventaja con respecto al pago en Internet con tarjeta de
crdito, pues en este ltimo caso una persona que conoce el nmero de tarjeta y fecha
de caducidad de otra puede llegar a usarla para comprar por Internet, y ese tipo de
fraude repercute, finalmente y de manera negativa, en el comercio electrnico.
www.paypal.es
Pgina 23
Fuente: www.quesos.com
Pgina 24
As mismo, este mecanismo ha sido pensado para brindar tanto a tiendas como a
consumidores mayor agilidad y seguridad no solamente en los pagos por Internet, sino
tambin para pagar con mvil en las mquinas de vending y en las tiendas fsicas.
El sector de la telefona mvil es el medio que ha tenido mayor crecimiento por su alta
penetracin entre la poblacin como por ofrecer la posibilidad de pagar tanto a
distancia como fsicamente. Este sistema de pago se ha implantado como un
mecanismo seguro, ya que identifica al titular de la compra a travs del mvil y
confirma cada transaccin mediante un nmero secreto dependiente de su tarjeta y de
su banco, no de la tienda virtual.
a) Con cuentas de valor aadido. Son los nmeros de telfono que generan
un ingreso para el que recibe la llamada, con cargo al que la inicia. En
Espaa son los nmeros que empiezan en 803, 806 y 807. La forma ms
sencilla de utilizar esta posibilidad es proteger la pgina de Internet cuyo
acceso quiere cobrarse mediante una clave. Para conseguir la clave el
usuario tiene que hacer la llamada telefnica de valor aadido.
Pgina 25
Fuente:entumovil.net
b)
Pgina 26
Uno de los ms graves inconvenientes de estos sistemas es que su coste debe ser
repartido con tres intermediarios: la compaa telefnica, el proveedor del servicio y el
banco. Algunas de las empresas que ofrecen estos servicios son Micropagos, sepomo
y softonic.
Fuente: http://www.sepomo.com/es/bienvenida.php
Pgina 27
Las entidades financieras brindan a los nodos B2B una plataforma de pagos que
soporta el cierre de las transacciones de pago o cobro en lnea a travs de tarjeta de
crdito, domiciliacin, adeudo en cuenta, transferencia, etc. En este tipo de
transacciones B2B, no es imperativo que las partes sean clientes de la entidad
bancaria, slo es necesario que lo sea el intermediario principal (marketplace o
mercado B2B).
No obstante, y a pesar de que los mecanismos de pago on line ya estn dispuestos y
los beneficios de su uso son claros, actualmente en Espaa los pagos en el comercio
electrnico Business to Business son incipientes y la canalizacin de las transacciones
habituales entre compaas a travs de Internet est siendo un proceso ms lento de
lo que las perspectivas de los expertos vaticinaban, ya que los marketplaces se utilizan
ms para negociar e informar que para concluir operaciones, que siguen cerrndose
econmicamente off line.
Datos UE y EEUU.
Pgina 29
Pgina 31
Componentes bsicos de
las transacciones en una red abierta
Cliente
Factor
de
posible
Inseguridad
F Acceso de
personas no
autorizadas a
un puesto de
trabajo.
F Ejecucin de
programas
malignos, con
intencin de
generar daos.
Comunicaciones
Servidor
Pgina 32
Pgina 33
es decir, establecer la
Aspectos de Seguridad
Frente a destruccin
Frente a intrusos
Integridad
Privacidad
No repudio
Autenticidad
Confidencialidad
Cifrado
Confianza
Fedatarios
Pgina 34
a) Los mtodos de cifrado simtrico: usan una misma clave secreta para
cifrar y descifrar. Son muy poco utilizados por sus inconvenientes.
Pgina 35
La parte codificada con una clave privada necesita su correspondiente clave pblica
para ser desencriptada. Al revs, lo que se ha codificado con la clave pblica
solamente puede ser desencriptado con la clave privada.
Las claves privadas deben ser conocidas nicamente por su propietario, mientras que
la correspondiente clave pblica puede ser dada a todo el mundo. Si queremos enviar
un mensaje de forma que slo l destinatario pueda entenderlo, debemos codificarlo
con la clave pblica del equipo que enva. El receptor utilizar su clave privada, que
solo l tiene, para poder leerlo. Pero otra posible utilidad del sistema es garantizar la
identidad del remitente. Si enviamos un mensaje codificado con la clave privada, el
receptor necesitar la clave pblica del remitente para descifrarlo. Es posible combinar
ambos: El remitente puede enviar al receptor un mensaje codificado dos veces, con la
clave privada del remitente y con la clave pblica del receptor. As se consigue
garantizar la identidad del emisor y del receptor.
Pgina 36
El proceso ser ms seguro cuanto mayor sea el tamao de los nmeros primos
utilizados. Los protocolos modernos de encriptacin, tales como SET y PGP, utilizan
claves generadas con nmeros primos de un tamao tal que los hace completamente
inexpugnables.
Pgina 37
Para saber si la conexin es segura y si est siendo cifrada, debemos ver en la pgina
Web los siguientes elementos:
F Debe aparecer un candado cerrado en la barra de estado del navegador.
F Debe poner en la barra de direcciones https:// en lugar de http://.
En la figura anterior se muestra como ejemplo una compra en el sitio web de El Corte
Ingls, en la que pueden apreciarse estos dos elementos identificativos de una
conexin segura.3
Haciendo doble clic con el botn izquierdo del ratn sobre el candado que aparece en
la barra de estado podemos consultar el tipo de cifrado que se est empleando as
como la autoridad de certificacin que emiti el certificado para esa tienda.
Extrado de www.elcorteingles.es.
Pgina 38
a) Versin.
b) Nmero de serie.
c) Identificador del algoritmo empleado para la firma digital.
d) Nombre del certificador (el que emite el certificado).
e) Perodo de validez.
f) Nombre del sujeto.
g) Clave pblica del sujeto.
h) Identificador nico de certificador.
i) Identificador nico de sujeto.
j) Extensiones.
k) Firma digital de todo lo anterior generada por el certificador.
Hay otros tipos estndar de certificado que se estn desarrollando y que permiten
incluir ms campos. Por ejemplo, las entidades bancarias estn trabajando en
certificados para empresas cliente que contenga informacin sobre su liquidez, nivel
de operativa, rango de riesgo, para que de esta forma un sistema experto pueda
evaluar operaciones sin intervencin humana.
Los certificados emitidos por una Autoridad de Certificacin son, de esta manera,
verdaderos elementos cruciales para crear la confianza en Internet.
Pgina 40
Los clientes y los comercios deben contar con este certificado digital a fin de
manifestar a su posible interlocutor cul es su identidad. Ante cualquier inquietud se
puede solicitar a la organizacin emisora del certificado que verifique la informacin
que aparece en el mismo.
Pgina 41
Las funciones de una Autoridad de Certificacin deben ser entonces, entre otras, las
siguientes:
Los nmeros de serie de los certificados revocados (junto a sus respectivas fechas
efectivas de revocacin) son publicados (firmados) por la Autoridad de Certificacin
emisora, de forma peridica, mediante las denominadas listas de revocacin.
Principales Autoridades de
Certificacin en Espaa
http://www.ace.es
http://www.camerfirma.com
http://www.feste.com
http://www.cert.fnmt.es/certifi.htm
http://www.ipsca.es
http://www.verisign.com
Pgina 42
Certificado de
pertenencia a
empresa
Certificado de
representante
Certificado de
persona
jurdica
Certificado
para factura
electrnica
Certificado de
servidor
Pgina 43
Certificado de
apoderado
Certificado de
sello de
empresa
Pgina 44
El algoritmo que se utiliza para obtener el resumen del mensaje debe cumplir la
propiedad de que cualquier modificacin del mensaje original, por pequea que sea,
d lugar a un resumen diferente. Si el resumen es diferente el mensaje es falso y no
proviene del emisor original.
Por lo tanto, la firma electrnica vincula el texto con su autor, garantizando al mismo
tiempo que no ha sido alterado y que ha sido generado verdaderamente por su autor.
Permite entonces comprobar la identidad del remitente, la integridad del documento, la
autora y autentificacin del mismo, preservando simultneamente la confidencialidad.
Pgina 45
Pgina 46
El usuario tan solo tiene que escribir el mensaje e indicar su(s) destinatario(s) en la
forma habitual. En el momento de enviarlo tendr la opcin de incluir una firma digital o
de enviarlo codificado. En este ltimo caso se necesitar disponer de la clave pblica
del destinatario que puede ser buscada en cualquier servidor de claves de PGP, con la
seguridad de que solo lo recibir esa persona o el ordenador que tiene esa clave
nica.
Pgina 47
Pgina 48
El protocolo de seguridad SSL (Secure Sockets Layers) fue creado por Marc
Andreessen, el diseador de Mosaic y Netscape. SHTTP se desarroll ms tarde, con
las mismas caractersticas. Actualmente todos los navegadores de Internet estn
preparados para comunicarse con estos protocolos y, en especial, con SSL a travs
del protocolo https.
Pgina 50
La tienda virtual que acepte pagos mediante estos sistemas debe tener instalado un
software de servidor seguro SSL. Este software puede obtenerlo en entidades como
VerySing.
Cuando el usuario accede con su navegador a una tienda virtual con SSL se inicia
automticamente una fase de reconocimiento. El servidor enva su clave pblica y
certificacin. El navegador cliente recibe estos datos y se prepara para la
comunicacin con sistema de seguridad.
El usuario, de una forma totalmente transparente, introduce sus datos y pulsa el botn
para enviarlos. En ningn momento el usuario recibe ninguna indicacin diferente a las
habituales.
El navegador codifica estos datos mediante una clave simtrica. La funcin resumen
de los datos y la clave simtrica son codificadas con la clave pblica que acaba de
recibir del vendedor. El resultado de estas operaciones es enviado al vendedor. De
esa forma, los datos introducidos por el usuario viajan a travs de Internet encriptados,
de tal forma que nicamente la tienda virtual podra desencriptarlos.
Los sistemas SSL y SHTTP tienen la gran ventaja de la absoluta transparencia para el
usuario, que no necesita ningn tipo de software instalado ni conocimientos previos
sobre el tema. Queda garantizada plenamente la identidad del vendedor y que slo l
recibir los datos. En cambio, presentan un grave inconveniente: no se puede
garantizar la identidad del comprador, por lo que puede producirse el repudio de la
transaccin.
Pgina 51
Pgina 52
Las AC, a su vez, estn certificadas por una autoridad superior, formndose as una
jerarqua de autoridades de certificacin SET. La jerarqua est formada por la raz
(SET Root CA) que ha emitido certificados solo a unas pocas autoridades de nivel
superior llamadas SET Brands, entre las que estn las siguientes: American Express
Company, Cyber-COMM, JCB Company Limited, Maestro, MasterCard International,
Nippon Shinpan Company Limited, PBS International A/S/Dankort, y Visa International.
Estas autoridades de nivel superior, a su vez, acreditan AC de nivel inferior y
directamente a los comerciantes (merchants) y compradores propietarios de tarjetas.
Obsrvese que estas certificaciones tienen un coste, y que los bancos deben pagar un
precio a esas AC para, a su vez, poder revender certificaciones SET a sus clientes.
Pgina 53