Professional Documents
Culture Documents
Introduccin
? Comercio electrnico: cualquier forma de transaccin
comercial realizada a travs de medios electrnicos.
? Compra-venta de productos y servicios a travs de Internet.
? No consiste slo en trasladar el modelo tradicional a la
red. Pasa por redisear:
? La estrategia de mercado.
? Suministro y distribucin
? Los sistemas de informacin de la empresa:
?Crear pginas web.
?Catlogos electrnicos.
? Una aplicacin web accesible a travs de Internet
automatiza el proceso de compra y venta.
Clasificacin
? Comercio entre consumidores (C2C)
? Los consumidores se venden cosas entre s directamente.
?http://www.ebay.com
? Comercio consumidor-empresa (C2B)
? Los consumidores se ponen en contacto con la empresa para
ofertar sus precios a la hora de comprar productos.
?http://www.priceline.com
? Comercio empresa-consumidor (B2C)
? La empresa vende directamente al consumidor.
?http://www.amazon.com
? Comercio entre empresas (B2B)
? Intercambios comerciales entre empresas.
?http://www.B2BToday.com
? Comercio promulgado por la administracin (A2B/C/A)
IST - 2006 Comercio electrnico y Seguridad 4
2. Modelos de comercio electrnico
Datos sobre el comercio exterior
electrnico
? Vivimos en un mercado global (abierto y competitivo) donde el e-commerce
supera los 2,2 billones de dlares anuales de facturacin.
? Internet est registrando un considerable aumento del valor de sus
transacciones tanto B2B (expansin) como B2C (relanzamiento).
? El B2B alcanzar el 22% del total del Comercio Europeo entre empresas
en el 2006, segn Forrester Research.
? Lderes: Escandinavia, Alemania, Reino Unido y Francia.
? La UE ya tiene ms internautas que EE. UU. (186 Mill, frente a 183), segn
n-economa.
? En la UE se navega ms rpido que en EE.UU., Espaa incluida (segn
Nielsen/Net Ratings Inc.)
? Espaa en penltimo lugar del ranking de tasa de penetracin en los
hogares en la UE (escasas perspectivas para el B2C). Slo tenamos 7,9
millones de internautas (junio2003).
? En toda la UE, la firma electrnica otorgar el mismo valor legal a los
documentos intercambiados en formato electrnico (intervenido ante
notario)
Qu han comprado?
No
93,2%
S
6,8%
? Conocimiento sectorial
? El 7,6 % de las empresas conocen a otras empresas del sector que
estn realizando B2B
NS/NC
14,1%
S
No 7,6%
78,3%
Desconocimiento 3,05
Reduccin tiempo
aprovisionamiento
52,5
Optimizacin de
los procesos
44,1
Mejora de la
competitividad
39,8
Automatizacin de
los procesos
39
Reduccin de
stocks
15,7
Ampliar clientes/
mercado
1,4
Otros 3,2
NS/NC 4
Modelo A2B/C/A
? A2A: Administracin a Administracin ( e-goverment).
Modelo dirigido por organizaciones gubernamentales .
? Ms restrictivos debidos a regulaciones gubernamentales.
? A2B: Administracin a Empresas.
? Publicacin de disposiciones administrativas, pago de
impuestos y tasas va Internet, cotizaciones SS., informacin de
subvenciones, tramites para la creacin de empresas, etc.
? Ej.: http://www.administracion.es
? A2C: Administracin al consumidor.
? Ventanilla nica electrnica.
? Empleo pblico, consulta de trmites legales, pago de
impuestos, alta de padrn, certificados, etc.
? Ej.: http://www.seg-social.es
IST - 2006 Comercio electrnico y Seguridad 21
2. Modelos de comercio electrnico
Publicidad en Internet
? Como viene ocurriendo desde finales de 2003 Internet es uno de
los medios que mantiene un ritmo de crecimiento ms fuerte
(previsin de incremento respecto a 2004: 20,3%),
? Los ingresos por publicidad son altos, pero debe ir bien dirigida.
? Recoger y memorizar los gustos y hbitos del usuario. Cmo?
?Ficheros de log: registra la fecha, direccin IP, pginas visitadas, etc.
?Cookies: registra informacin sobre las pginas visitadas en ese
servidor, incluso en otros servidores (www.dobleclick.net)
?Web bugs: grfico peque o y transparente oculto en las pginas web.
Actan como micrfonos ocultos. Recogen los hbitos de navegacin.
? Formas de publicitar:
? Banners, layers, flash, pop-up windows , etc.
Sistemas de pago(I)
? Tarjetas de crdito/dbito
? Es el medio ms popular
? Visa / MasterCard protegen al cliente
? El banco carga un porcentaje de la venta al comercio
? Dinero electrnico
? Annimo (comprador)
? Sin costes para el comercio
? Transferencias electrnicas
? Son bastante comunes.
? Mueven directamente el dinero de la cuenta del cliente a la del
comercio.
? Con costes para el cliente.
? Otros medios (clsicos)
? Contra reembolso, domiciliacin, cheques, etc.
IST - 2006 Comercio electrnico y Seguridad 24
3. Medios de pago en el modelo B2C
Sistemas de pago(II)
Tarjetas de crdito
Internet
Propietario Comercio
tarjeta virtual
Lnea
Factura y telefnica
pago
Red privada
de pago
Banco emisor Banco del
de la Tarjeta comerciante
? SSL y TSL
? Seguridad con claves pblicas
? El sistema ms utilizado
? SET
? Autentifica todas las partes con certificados
? Aceptacin muy lenta
? 3-D Secure
? Autentificacin del usuario sin certificados
? Expansin rpida
SSL y TSL
? SSL (Secure Sockets Layer) y TSL (Transport Secure
Layer) son protocolos de propsito general para
establecer conexiones seguras.
? No son protocolos de pgo
? SSL es original de Netscape (1994).
?Ultima versin: SSLv3
? El grupo TLS se form dentro del IETF.
?La primera versin de TLS puede verse como SSLv3.1
HTTPS
IST - 2006 Comercio electrnico y Seguridad 30
4. Protocolo SSL
Canal seguro
Internet
Propietario Comercio
tarjeta virtual
Lnea
Factura y telefnica
pago
Red privada
de pago
Banco emisor Banco del
de la Tarjeta comerciante
IST - 2006 Comercio electrnico y Seguridad 31
4. Protocolo SSL
Servicios
? SSL cifra los datos sirvindose de:
? Criptografa de clave privada (simtrica)
?Posibilidades: DES, 3DES, RC2, RC4 o IDEA
?Para el intercambio de datos.
? Criptografa de clave pblica (asimtrica): RSA o Diffie-Hellman
?En los certificados digitales y en el cifrado de la clave de
sesin.
? SSL autentifica al servidor
? Utilizando certificados digitales X.509 v3.
? Opcionalmente, tambin puede certificar al cliente.
? SSL asegura la integridad de los datos
? A travs de cdigos de autentificacin de mensajes (MAC) que
utilizan algoritmos de resumen digital (hash)
?Posibilidades: MD5 o SHA-1
IST - 2006 Comercio electrnico y Seguridad 32
4. Protocolo SSL
Sesiones SSL
Arquitectura SSL
? SSL es un conjunto de Protocolos distribuidos en dos
niveles:
? En el nivel inferior se sita el Protocolo Record:
?Encargado de fragmentar y cifrar los paquetes.
? En el nivel superior: Handshake, Change Cipher Spec y Alert.
?Gestionan los intercambios SSL
Protocolo Record
? Proporciona dos servicios a las conexiones SSL:
? Confidencialidad: Encriptacin simtrica.
? Integridad: Cdigo de autentificacin de mensajes (MAC)
? Divide los datos en varios fragmentos a los que aplica las
siguientes operaciones:
Datos de la aplicacin
Fragmentados
Comprimidos
Aadida MAC
Encriptados
Clien t_ Fase 1:
h ello
Establecimiento de las capacidades,
_ hello versin del protocolo, ID sesin,
Serve r suite de cifrado, n aleatorios
ica te
Certif han ge
er _ ke y_ exc Fase 2:
Serv equ es
t El servidor enva su certificado,
ca te_r
Cert ifi intercambio de clave, solicitud de
_ don e
r_ hello certificado. Tb. Seala el final.
Serve
Ce rtif
Tiempo
C han g
e_ cip
her _s p
ec
Fin ish
ed Fase 4:
Intercambio de suite de cifrado y
ec
er_s p
e_ cip h
finalizacin del protocolo
C han g ed
Fin ish
Puntos dbiles
? SSL provee confidencialidad en el pago electrnico.
? Garantiza la creacin de un canal seguro entre cliente y servidor.
? Sin embargo, presenta algunas carencias y problemas:
? Slo protege transacciones entre dos puntos, sin embargo una
operacin de pago involucra tambin al menos a un banco.
? No protege al comprador frente al vendedor. Este obtiene
informacin de la tarjeta que podra utilizar ilcitamente.
? No hay autentificacin de tarjetas: cualquier persona con acceso
al n de una tarjeta podra realizar una transaccin.
?El comercio asume la responsabilidad en caso de disputa por uso
indebido.
? No hay recibos: cualquier reclamacin queda a la buena voluntad
del vendedor.
Introduccin
? Protocolo de pago electrnico SET (Secure Electronic
Transactions):
? Desarrollado por varias entidades de crdito y empresas
informticas:
?MasterCard, Visa, IBM, Microsoft, Netscape, RSA, Terisa y
Verisign.
? Es actualmente uno de los modos ms seguros de realizar
transacciones con tarjetas de crdito a travs de Internet.
?A diferencia de SSL, fue diseado expresamente para el
comercio electrnico.
?No es un sistema de pago. Es un conjunto de protocolos y
formatos estndar.
Participantes
Internet
Propietario Comercio
tarjeta virtual
Autoridad
Certificadora Internet
Secuencia de eventos
? Secuencia de pasos necesarios para realizar una
transaccin:
? El comprador abre una cuenta en el banco emisor.
? Obtiene una tarjeta de crdito.
? Recibe un certificado X.509v3 firmado por el banco.
? Recibe el software cliente.
? El vendedor posee su propio certificado y software.
? El comprador realiza un pedido.
? Se verifica el comercio.
? Se envan la orden de compra y la de pago.
? El vendedor solicita la autorizacin del pago.
? El vendedor confirma la orden de compra.
? El vendedor suministra los productos o servicios.
? El vendedor solicita el pago.
Banco
PI Hash
PIMD
Clave privada
cliente
OI Hash
Comercio
Ventajas / desventajas
? Principales ventajas de SET:
? Asegura la confidencialidad de la informacin de pago en todos
los estados de la transaccin.
? Evita que el comercio acceda a los datos de la tarjeta.
? Evita que el banco acceda a la informacin de los productos
comprados.
? Desventajas:
? Es muy costoso para el cliente y para el comercio
? Excesivamente rgido y complejo (especificacin: 600 hojas).
?Es mucho ms complejo que SSL/TSL
? El cliente necesita un software especial, adems de un
certificado que lo identifique
?El cliente slo puede realizar compras desde el PC donde
est instalado el software con su certificado.
? Los mecanismos de encriptacin usados son muy lentos.
IST - 2006 Comercio electrnico y Seguridad 52
6. Protocolo 3-D Secure
Introduccin
? SSL/TSL no verifica la identidad del cliente.
? SET no ha logrado una gran implementacin
? En 2001 Visa y MasterCard introducen 3-D Secure
Internet
Propietario comercio
tarjeta
Pasarela de
pago 4B
Red privada
Banco emisor Banco comercio
Servidor
Control Acceso
3-D Secure Red privada Pasarela
de pago
B. Emisor B. Comercio
IST - 2006 Comercio electrnico y Seguridad 56
6. Protocolo 3-D Secure
4. El b. emisor confirma la
participacin de la tarjeta
Pasarela 4B
SSL
Servidor
Control Acceso
3-D Secure Red privada Pasarela
de pago
B. Emisor B. Comercio
IST - 2006 Comercio electrnico y Seguridad 57
6. Protocolo 3-D Secure
Plug-in Comercio
Cliente Pasarela Plug-in Banco
7. El Control de acceso
solicita usuario y contrasea
8. El cliente se identifica
SSL
Pasarela 4B
9. El Control de Acceso
valida los datos, firma la
respuesta y redirecciona al
navegador al Plug-in
Pasarela del comercio
Servidor
Control Acceso
3-D Secure Red privada Pasarela
de pago
B. Emisor B. Comercio
IST - 2006 Comercio electrnico y Seguridad 58
6. Protocolo 3-D Secure
10. El comercio
enva los datos
de la
transaccin a
su banco SSL
Pasarela 4B
13. El banco
responde al
comercio
11. El banco del comercio solicita la autorizacin de
la operacin
Servidor
Control Acceso
3-D Secure Red privada Pasarela
de pago
B. Emisor B. Comercio
12. El banco emisor confirma la autorizacin
IST - 2006 Comercio electrnico y Seguridad 59
6. Protocolo 3-D Secure
Seguridad
? Confirma los datos de la tarjeta antes de comenzar el
proceso
? Comprueba que el usuario de la tarjeta sea su legtimo
dueo
? Contrasea
? Establece una comunicacin segura entre todas las
partes
? Usando SSL en Internet y una red privada de pago
?Asegura la autenticidad del comerciante, de los bancos y de
la pasarela de pago 4B
?Asegura la confidencialidad de la comunicacin y de los
datos del propietario de la tarjeta
?Asegura la integridad de los datos y el no repudio.
IST - 2006 Comercio electrnico y Seguridad 60
6. Protocolo 3-D Secure
Ejemplo (I)
? El proceso comienza cuando el cliente desea realizar la compra
Ejemplo (II)
? Aparece una ventana de Verified by Visa
Ejemplo (III)
? La ventana permite la introduccin de la contrasea.
Ejemplo (IV)
? El cliente es devuelto al portal del comerciante.
Certificados Digitales
CARNET ELECTRNICO