Tema 6

Tema 6:
Comercio electrnico y seguridad.
1. Introduccin al comercio electrnico

2. Modelos de comercio electrnico
3. Medios de pago en el modelo B2C
4. Protocolo SSL
5. Protocolo SET
6. Protocolo 3-D Secure
7. Garantas contractuales
IST - 2006 Comercio electrnico y Seguridad 1

Introduccin
? Comercio electrnico: cualquier forma de transaccin
comercial realizada a travs de medios electrnicos.
? Compra-venta de productos y servicios a travs de Internet.
? No consiste slo en trasladar el modelo tradicional a la
red. Pasa por redisear:
? La estrategia de mercado.
? Suministro y distribucin
? Los sistemas de informacin de la empresa:
?Crear pginas web.
?Catlogos electrnicos.
? Una aplicacin web accesible a travs de Internet
automatiza el proceso de compra y venta.

Ventajas frente al comercio tradicional

? Incremento potencial de clientes y ventas.
? No se necesitan aos para crear una empresa con mbito
internacional.
? Incremento en la eficacia.
? Proceso de compra y venta automatizado.
? Reduccin de costes.
? Los costes de interaccin no son tan elevados.
? El acceso a la informacin no es caro ni restringido.

Clasificacin
? Comercio entre consumidores (C2C)
? Los consumidores se venden cosas entre s directamente.
?http://www.ebay.com
? Comercio consumidor-empresa (C2B)
? Los consumidores se ponen en contacto con la empresa para
ofertar sus precios a la hora de comprar productos.
?http://www.priceline.com
? Comercio empresa-consumidor (B2C)
? La empresa vende directamente al consumidor.
?http://www.amazon.com
? Comercio entre empresas (B2B)
? Intercambios comerciales entre empresas.
?http://www.B2BToday.com
? Comercio promulgado por la administracin (A2B/C/A)
Datos sobre el comercio exterior
electrnico
? Vivimos en un mercado global (abierto y competitivo) donde el e-commerce
supera los 2,2 billones de dlares anuales de facturacin.
? Internet est registrando un considerable aumento del valor de sus
transacciones tanto B2B (expansin) como B2C (relanzamiento).
? El B2B alcanzar el 22% del total del Comercio Europeo entre empresas
en el 2006, segn Forrester Research.
? Lderes: Escandinavia, Alemania, Reino Unido y Francia.
? La UE ya tiene ms internautas que EE. UU. (186 Mill, frente a 183), segn
n-economa.
? En la UE se navega ms rpido que en EE.UU., Espaa incluida (segn
Nielsen/Net Ratings Inc.)
? Espaa en penltimo lugar del ranking de tasa de penetracin en los
hogares en la UE (escasas perspectivas para el B2C). Slo tenamos 7,9
millones de internautas (junio2003).
? En toda la UE, la firma electrnica otorgar el mismo valor legal a los
documentos intercambiados en formato electrnico (intervenido ante
notario)

Modelo B2C (I)

? Venta directa al consumidor.
? Requiere infraestructura ubicua de bajo coste.
? Elementos a tener en cuenta:
? Medio de pago, aspectos de seguridad, proteccin de los datos,
forma de envo, garanta, devoluciones, etc.
? Tienda virtual: El cliente compra a travs de una
aplicacin web.
? Incorpora:
?Catlogo electrnico.
?Carrito de la compra.
?Elementos de seguridad y pasarelas de pago o TPV Virtual
?La aplicacin se comunica con el sitio web del banco
?Enva el nmero de la tarjeta de crdito encrptado.
?El banco comprueba la validez y realiza el cobro.
?El banco le comunica a la aplicacin si ha tenido xito.
Modelo B2C (II)

? Ventajas:
? El cobro se realiza al instante.
?El cliente puede encontrarse fsicamente en cualquier lugar.
? Seguridad:
?Para el cliente: usando por ejemplo pasarelas de pago o SET
?Para el vendedor: el banco verifica la autenticidad y los fondos.
? Otras ventajas para el cliente: comodidad, informacin, ahorro de
costes, de tiempo, comparar precios, comprar productos no
habituales, etc.
? Desventajas
? Las comisiones cobradas por los bancos son altas.
? Costes de envo.
? Desconfianza del cliente:
?En los medios de pago.
?En el producto que compra: no se ve ni se toca.
B2C en Espaa (I)

AECE:
? 2004. El comercio en Internet genero un volumen de 1837 millones de euros.
? 307.2 millones de m s que el ao pasado. Lo que supone un incremento del 20% en la cifra total
de negocio.

B2C en Espaa (II)

? INTERNAUTAS COMPRADORES.

B2C en Espaa (III)
Qu han comprado?

B2C en Espaa (IV)

? Cmo han pagado?

B2C en Espaa (V)

? Por qu compra en Internet?

B2C en Espaa (VI)

? Por qu no compra en Internet?

B2C en Espaa (VII)

? De qu depende que en futuro realice ms compras?

Modelo B2B (I)

? Comercio electrnico entre empresas:
? Aumenta en complejidad.
? Es un mercado ms atractivo para las empresas.
? El volumen de negocio es mayor.
? Elementos a tener en cuenta:
? Informacin sobre los productos, Negociacin de precios,
Aprovisionamiento, Pagos, Facturas, etc.
? Mercados:
? Horizontales:
?Conecta empresas de todos los sectores.
?Comprar, vender, subastar cualquier producto.
?Ej: http://www.opciona.com
? Verticales (siguiente transparencia)
Modelo B2B (II)

? Mercados B2B Verticales.
? Centrados en un sector.
? Ofrecen servicios como peticin de ofertas, concursos,
licitaciones, etc.
? La informacin es confidencial.
? Ej: http://www.consumalia.com
?La empresa compradora realiza su peticin.
?Los proveedores son notificados por email.
?Los proveedores realizan su oferta.
?La empresa compradora adjudica su oferta e informa a los
proveedores.
?Consumalia simplifica las gestiones de compra y venta.
?Cobra una cuota anual que factura al proveedor.

B2B en Espaa (I)

? Grado de implantacin en 2003
No
93,2%
S
6,8%
? Conocimiento sectorial
? El 7,6 % de las empresas conocen a otras empresas del sector que
estn realizando B2B
NS/NC
14,1%
S
No 7,6%
78,3%

B2B en Espaa (II)

? Valoracin (1 a 5) del motivo por el que no realizan comercio B2B
0 5
No lo han solicitado, ni clientes, ni proveedores 3,11
Desconocimiento 3,05
Nuestros productos/ servicios no lo permiten 2,97
No se utiliza en el sector 2,93
Falta de personal adecuado 2,8
Desconfianza. Falta de seguridad en el sistema 2,76
Elevado coste de desarrollo y mantenimiento 2,7
Falta de beneficios tangibles para nuestra empresa 2,67
Complejidad en el proceso comercial (compra-venta) 2,64
Dificultades tcnicas de integracin 2,6
Est en proyecto 2,01
Depende de la matriz 1,73

B2B en Espaa (III)

? Sector de actividad (%) de las empresas que comercio B2B
TOTAL
B: 137
Comercio al por menor 16,3
Otras actividades empresariales 13,0
Construccin 11,6
Hostelera 9,4
Comercio al por mayor 9,3
Actividades anexas a los transportes 6,4
Actividades inmobiliarias 6,2
Venta mantenim. y reparacin vehculos motor 5,9
Transporte terrestre 4,9
Actividades informticas 4,6
Activ, Aux. a la intermediacin financiera 2,3
Fabricacin productos metlicos 2,0
Educacin 1,5
Actividades sanitarias 1,1
Actividades diversas de servicios personales 1.0
Edicin artes grficas 0,8
Fabricacin productos minerales no metlicos 0,8
Actividades recreativas 0,7
Ind. Productos alimenticios y bebidas 0,6
Alquiler maquin. Y equipo sin operario 0,6
Actividades asociativas 0,6
Industria textil 0,2
Industria de la construccin de maquinaria 0,2
Fabricacin de muebles 0,1
Industria de la confeccin -
Industria de la madera -

B2B en Espaa (IV)

? Beneficios obtenidos por las empresas que utilizan B2B
0 10 20 30 40 50 60
Ahorro de costes 52,7
Reduccin tiempo
aprovisionamiento
52,5
Mejora del servicio

al cliente
45
Optimizacin de
los procesos
44,1
Mejora de la
competitividad
39,8
Automatizacin de
los procesos
39
Reduccin de
stocks
15,7
Ampliar clientes/
mercado
1,4
Otros 3,2
NS/NC 4

Modelo A2B/C/A
? A2A: Administracin a Administracin ( e-goverment).
Modelo dirigido por organizaciones gubernamentales .
? Ms restrictivos debidos a regulaciones gubernamentales.
? A2B: Administracin a Empresas.
? Publicacin de disposiciones administrativas, pago de
impuestos y tasas va Internet, cotizaciones SS., informacin de
subvenciones, tramites para la creacin de empresas, etc.
? Ej.: http://www.administracion.es
? A2C: Administracin al consumidor.
? Ventanilla nica electrnica.
? Empleo pblico, consulta de trmites legales, pago de
impuestos, alta de padrn, certificados, etc.
? Ej.: http://www.seg-social.es
Crear empresas en Internet

? Obtener un certificado de seccin de denominaciones
del Registro Mercantil Central (http://www.rmc.es)
? Crear una aplicacin web y alojarla en un servidor.
? Servidor propio alojado en la propia empresa.
? Housing: servidor propio alojado en una empresa proveedora
de servicio.
? Hosting: servidor compartido por varias empresas (mejor
precio).
? Registrar un dominio:
? Registro oficial en Espaa (.es): http://www.nic.es
? Registro oficial en EEUU (.com, .org, .net, etc.):
http://www.icann.org
? Bsqueda de ayudas:
? http://www.ayudas.net
Publicidad en Internet
? Como viene ocurriendo desde finales de 2003 Internet es uno de
los medios que mantiene un ritmo de crecimiento ms fuerte
(previsin de incremento respecto a 2004: 20,3%),
? Los ingresos por publicidad son altos, pero debe ir bien dirigida.
? Recoger y memorizar los gustos y hbitos del usuario. Cmo?
?Ficheros de log: registra la fecha, direccin IP, pginas visitadas, etc.
?Cookies: registra informacin sobre las pginas visitadas en ese
servidor, incluso en otros servidores (www.dobleclick.net)
?Web bugs: grfico peque o y transparente oculto en las pginas web.
Actan como micrfonos ocultos. Recogen los hbitos de navegacin.
? Formas de publicitar:
? Banners, layers, flash, pop-up windows , etc.

Sistemas de pago(I)
? Tarjetas de crdito/dbito
? Es el medio ms popular
? Visa / MasterCard protegen al cliente
? El banco carga un porcentaje de la venta al comercio
? Dinero electrnico
? Annimo (comprador)
? Sin costes para el comercio
? Transferencias electrnicas
? Son bastante comunes.
? Mueven directamente el dinero de la cuenta del cliente a la del
comercio.
? Con costes para el cliente.
? Otros medios (clsicos)
? Contra reembolso, domiciliacin, cheques, etc.
Sistemas de pago(II)

Tarjetas de crdito
Internet
Propietario Comercio
tarjeta virtual
Lnea
Factura y telefnica
pago
Red privada
de pago
Banco emisor Banco del
de la Tarjeta comerciante

Seguridad en el pago con tarjetas

? Estos medios de pago pueden plantear problemas de
seguridad:
? Ataques pasivos: escucha del trfico.
? Ataques activos: suplantacin del usuario o del comercio,
alteracin de los mensajes, modificacin de la informacin en el
servidor, etc.
? Para evitar estos problemas y ganar la confianza del
comprador se usa:
? Criptografa.
? Autentificacin de usuarios.
? Firmas digitales.
? Certificados digitales.

Protocolos seguros para tarjetas (I)
? SSL y TSL
? Seguridad con claves pblicas
? El sistema ms utilizado
? SET
? Autentifica todas las partes con certificados
? Aceptacin muy lenta
? 3-D Secure
? Autentificacin del usuario sin certificados
? Expansin rpida

Protocolos seguros para tarjetas (II)

4. Protocolo SSL
SSL y TSL
? SSL (Secure Sockets Layer) y TSL (Transport Secure
Layer) son protocolos de propsito general para
establecer conexiones seguras.
? No son protocolos de pgo
? SSL es original de Netscape (1994).
?Ultima versin: SSLv3
? El grupo TLS se form dentro del IETF.
?La primera versin de TLS puede verse como SSLv3.1
?Es el protocolo de seguridad HTTP Capa de Aplicacin
ms utilizado actualmente SSL Capa de Seguridad

?Es capaz de asegurar cualquier TCP Capa de Transporte
protocolo de la capa de aplicacin
IP Capa de Red
que trabaje sobre TCP:
?HTTPS, SFTP, SSH, etc. Red Fsica
HTTPS
4. Protocolo SSL
SSL y el comercio electrnico

? Permite al usuario sin un certificado enviar eficientemente los datos
de la tarjeta de crdito
Canal seguro
Internet
tarjeta virtual
Lnea
Factura y telefnica
pago
Red privada
de pago
4. Protocolo SSL
Servicios
? SSL cifra los datos sirvindose de:
? Criptografa de clave privada (simtrica)
?Posibilidades: DES, 3DES, RC2, RC4 o IDEA
?Para el intercambio de datos.
? Criptografa de clave pblica (asimtrica): RSA o Diffie-Hellman
?En los certificados digitales y en el cifrado de la clave de
sesin.
? SSL autentifica al servidor
? Utilizando certificados digitales X.509 v3.
? Opcionalmente, tambin puede certificar al cliente.
? SSL asegura la integridad de los datos
? A travs de cdigos de autentificacin de mensajes (MAC) que
utilizan algoritmos de resumen digital (hash)
?Posibilidades: MD5 o SHA-1
4. Protocolo SSL
Sesiones SSL
? Concepto de sesin en SSL:

? Asociacin entre cliente y servidor.
? Cada sesin tiene sus parmetros de seguridad, compartidos
entre varias comunicaciones (no varan durante la sesin).
?Identificador de sesin, certificados X.509v3 del par, mtodo
de compresin, algoritmos de cifrado, clave maestra, es
reanudable, etc.

4. Protocolo SSL
Arquitectura SSL
? SSL es un conjunto de Protocolos distribuidos en dos
niveles:
? En el nivel inferior se sita el Protocolo Record:
?Encargado de fragmentar y cifrar los paquetes.
? En el nivel superior: Handshake, Change Cipher Spec y Alert.
?Gestionan los intercambios SSL

4. Protocolo SSL
Protocolo Record
? Proporciona dos servicios a las conexiones SSL:
? Confidencialidad: Encriptacin simtrica.
? Integridad: Cdigo de autentificacin de mensajes (MAC)
? Divide los datos en varios fragmentos a los que aplica las
siguientes operaciones:
Datos de la aplicacin
Fragmentados
Comprimidos
Aadida MAC
Encriptados
Con cabecera SSL

4. Protocolo SSL
Partes en el nivel superior

? Protocolo para el intercambio de las especificaciones
del cifrado (Change cipher spec.).
? Es el ms simple.
? Protocolo de Alerta (Alert).
? Utilizando para el intercambio de mensajes especiales (notificar
avisos o errores).
? Protocolo de negociado (Handshake).
? Es la parte ms compleja del protocolo SSL
? Permite al servidor y al cliente autentificarse el uno al otro.
? Negocia el algoritmo de encriptacin, los algoritmos MAC y las
claves de encriptacin que luego se utilizarn en el p. Record
? Se utiliza antes de transmitir cualquier dato de la aplicacin
(mensajes HTTP)
4. Protocolo SSL
Protocolo Handshake (I)

Cliente Servidor
Clien t_ Fase 1:
h ello
Establecimiento de las capacidades,
_ hello versin del protocolo, ID sesin,
Serve r suite de cifrado, n aleatorios
ica te
Certif han ge
er _ ke y_ exc Fase 2:
Serv equ es
t El servidor enva su certificado,
ca te_r
Cert ifi intercambio de clave, solicitud de
_ don e
r_ hello certificado. Tb. Seala el final.
Serve
Ce rtif
Tiempo
Clien t ic ate Fase 3:

_ke y_ El cliente enva su certificado, el
exc han
C ertif ge intercambio de clave, y puede que
ic ate_ v
erif y la verificacin de su certificado.
C han g
e_ cip
her _s p
ec
Fin ish
ed Fase 4:
Intercambio de suite de cifrado y
ec
er_s p
e_ cip h
finalizacin del protocolo
C han g ed
Fin ish

4. Protocolo SSL
Protocolo Handshake (II)

? Fase 1: Establecimiento de las capacidades de
seguridad.
? Comienza el intercambio el cliente, enviando Client_hello:
?Versin SSL del cliente, lista de algoritmos criptogrficos, lista
de mtodos de compresin, etc.
? El cliente espera Server_hello.
?Versin SSL del servidor, algoritmo de cifrado elegido por el
servidor, algoritmo de compresin elegido por el servidor, etc.
? Fase 2: Autentificacin del servidor e intercambio de
claves.
? El servidor enva su certificado X.509v3 y otros datos
? Por ltimo, Server_hello_done para indicar el final de la fase.

4. Protocolo SSL
Protocolo Handshake (III)

? Fase 3: Autentificacin de cliente e intercambio de claves.
? El cliente comprueba la validez del certificado y los parmetros
enviados en la fase 1.
? Enva Client_key_exchange: la clave simtrica (cifrada)
? Fase 4: Finalizacin
? El cliente enva un mensaje Change_cipher_spec.
? Luego enva un mensaje finished utilizando los nuevos algoritmos
y claves.
?Confirma que el intercambio de claves y los procesos de
autentificacin fueron satisfactorios.
? En respuesta el servidor enva su propio mensaje
Change_cipher_spec y finished
? La negociacin se ha completado y las partes pueden comenzar a
intercambiar datos en el nivel de la aplicacin
4. Protocolo SSL
TSL (Transport Secure Layer)

? Iniciativa de la IETF para construir una versin estndar
de SSL: Propuesta como RFC 2246.
? Utiliza el mismo formato para la cabecera de los
paquetes que SSL.
? Es muy similar a SSLv3, pero difiere en:
? Nmero de versin.
? En el cdigo de autentificacin del mensaje (MAC).
? En la funcin pseudo aleatoria.
? En los cdigos de alerta
? En la lista de algoritmos de cifrado.
? En los tipos de certificado del cliente.
? En los mensajes de verificacin del certificado y de finalizacin.
? En algunas partes del algoritmo criptogrfico.

4. Protocolo SSL
Puntos dbiles
? SSL provee confidencialidad en el pago electrnico.
? Garantiza la creacin de un canal seguro entre cliente y servidor.
? Sin embargo, presenta algunas carencias y problemas:
? Slo protege transacciones entre dos puntos, sin embargo una
operacin de pago involucra tambin al menos a un banco.
? No protege al comprador frente al vendedor. Este obtiene
informacin de la tarjeta que podra utilizar ilcitamente.
? No hay autentificacin de tarjetas: cualquier persona con acceso
al n de una tarjeta podra realizar una transaccin.
?El comercio asume la responsabilidad en caso de disputa por uso
indebido.
? No hay recibos: cualquier reclamacin queda a la buena voluntad
del vendedor.

5. Protocolo SET
Introduccin
? Protocolo de pago electrnico SET (Secure Electronic
Transactions):
? Desarrollado por varias entidades de crdito y empresas
informticas:
?MasterCard, Visa, IBM, Microsoft, Netscape, RSA, Terisa y
Verisign.
? Es actualmente uno de los modos ms seguros de realizar
transacciones con tarjetas de crdito a travs de Internet.
?A diferencia de SSL, fue diseado expresamente para el
comercio electrnico.
?No es un sistema de pago. Es un conjunto de protocolos y
formatos estndar.

5. Protocolo SET
Servicios que ofrece SET (I)

? Utiliza los mejores algoritmos de seguridad para
proteger a todas las partes legtimas.
? No dependen de los mecanismos de seguridad de las capas
inferiores, ni evitan su uso.
? Son independientes de la plataforma software y hardware.
? Sin embargo, cliente y comercio necesitan un software
especfico y certificados proporcionados por el banco.
? Transmite de forma confidencial la informacin.
? La informacin de la tarjeta del titular as como del pago viajan
de forma segura por la red (cifrado RSA y DES).
? Cada tipo de informacin slo es accesible por los implicados.
?El comerciante no accede a la informacin de la tarjeta.
?El banco no accede a la informacin de la compra.

5. Protocolo SET
Servicios que ofrece SET (II)
? Asegura la integridad de los datos.

? Los contenidos del pago (informacin de la tarjeta y del pedido)
no puede ser alterados (SHA-1).
? Reduce las disputas y el repudio
? Autentifica que el consumidor est legitimado para el
uso de la tarjeta de crdito.
? Autentifica al usuario con certificados digitales X.509 v3
? Verifica la disponibilidad de crdito.
? Autentifica que el comerciante es quien dice ser y
acepta transacciones con tarjetas.
? Utiliza para ello certificados digitales X.509 v3

5. Protocolo SET
Participantes
Internet
tarjeta virtual
Autoridad
Certificadora Internet
Red privada Red privada

de pago de pago
Pasarela

5. Protocolo SET
Secuencia de eventos
? Secuencia de pasos necesarios para realizar una
transaccin:
? El comprador abre una cuenta en el banco emisor.
? Obtiene una tarjeta de crdito.
? Recibe un certificado X.509v3 firmado por el banco.
? Recibe el software cliente.
? El vendedor posee su propio certificado y software.
? El comprador realiza un pedido.
? Se verifica el comercio.
? Se envan la orden de compra y la de pago.
? El vendedor solicita la autorizacin del pago.
? El vendedor confirma la orden de compra.
? El vendedor suministra los productos o servicios.
? El vendedor solicita el pago.

5. Protocolo SET
Firma Dual (I)

? Informacin en una transaccin SET
? Privada entre el consumidor y el comercio
?Orden de compra.
? Privada entre el consumidor y el banco
?Informacin de pago (nmero de la tarjeta).
? SET ofrece una proteccin extra manteniendo esas
informaciones separadas. Sin embargo, deben estar
asociadas para resolver posibles disputas.
? SET incluye ambas informaciones en una sola transaccin
firmada mediante una firma dual.
? Es una innovacin importante introducida por SET.
? Resulta de la concatenacin de los compendios de ambas
informaciones firmada con la clave privada del consumidor.

5. Protocolo SET
Firma Dual (II)
Banco
PI Hash
PIMD
?? Hash POMD Encrip Firma Dual

tacin
OIMD
Clave pblica
cliente
Clave privada
cliente
OI Hash
Comercio

5. Protocolo SET
Proceso del pago: solicitud de compra

? El proceso de pago consta de: solicitud de compra +
autorizacin de pago + captura de pago.
? Solicitud de compra (comprador):
? El comprador solicita los certificados pblicos al vendedor.
? Crea el mensaje de solicitud de compra donde se incluye:
?Informacin sobre la compra:
?Dirigida al comercio
?Firma dual + OI + PIMD, encriptado con la clave p blica del
comercio
?Informacin sobre el pago
?Lo recibe el comercio y lo reenva a la pasarela.
?Firma dual + PI + OIMD, encriptado con la clave p blica de la
pasarela
?SET no proporciona al comercio el nmero de la tarjeta.
?Certificado del comprador (con su clave pblica)

5. Protocolo SET
Proceso del pago: autorizacin de pago

? El vendedor confirma con la pasarela de pago que
recibir el pago.
? El vendedor enva a la pasarela:
?Informacin sobre el pago recibida del cliente.
?Informacin relativa a la autorizacin.
?Un identificador de la transaccin firmado con la clave privada
del vendedor y cifrado DES.
?Certificados del comprador y del vendedor.
? La pasarela:
?Verifica los certificados.
?Descifra la orden de pago.
?Solicita y recibe una autorizacin del banco emisor.
?Enva al vendedor informacin relativa a la autorizacin y un
bono de captura.

5. Protocolo SET
Proceso del pago: captura de pago

? Para el cobro del dinero, el vendedor enva a la
pasarela la captura de pago.
? El vendedor genera, firma, cifra y enva un mensaje de solicitud
de captura.
?Incluye: cantidad a cobrar, identificador de la transaccin y
el bono de captura.
? La pasarela:
?Descifra la solicitud de compra y verifica el bono de captura.
?Crea una solicitud de liquidacin con el banco emisor.
?Notifica al vendedor la realizacin del pago.

5. Protocolo SET
Ventajas / desventajas
? Principales ventajas de SET:
? Asegura la confidencialidad de la informacin de pago en todos
los estados de la transaccin.
? Evita que el comercio acceda a los datos de la tarjeta.
? Evita que el banco acceda a la informacin de los productos
comprados.
? Desventajas:
? Es muy costoso para el cliente y para el comercio
? Excesivamente rgido y complejo (especificacin: 600 hojas).
?Es mucho ms complejo que SSL/TSL
? El cliente necesita un software especial, adems de un
certificado que lo identifique
?El cliente slo puede realizar compras desde el PC donde
est instalado el software con su certificado.
? Los mecanismos de encriptacin usados son muy lentos.
Introduccin
? SSL/TSL no verifica la identidad del cliente.
? SET no ha logrado una gran implementacin
? En 2001 Visa y MasterCard introducen 3-D Secure
? Es un protocolo de pago ms sencillo y flexible

? Emplea SSL/TSL para la transmisin segura de la informacin a
travs de Internet.
? El cliente no necesita ningn software especial
?El servidor tan slo un plug-in
? Autentifica al usuario sin un certificado
?Requiere del usuario, en tiempo real, una contrasea
proporcionada por el banco y no por el comercio
? El banco confirma la identidad del usuario al comercio
Beneficios del uso de 3-D secure

? Para los bancos (emisor y del comerciante)
? Evita el uso fraudulento de tarjetas por terceros
? Aumenta el nmero de ventas (mayor confianza del cliente)
? Decrece el nmero de disputas
? Para el propietario de la tarjeta
? Fcil de usar
? No necesita software especial
? Aumenta la confidencialidad de los datos de la tarjeta
? Evita el uso fraudulento de la tarjeta por terceros
? Para el comercio
? Fcil de integrar. Necesita slo un plug-in
? Aumenta las ventas
? Recibe al instante y a travs de Internet la confirmacin del banco
? Reduce el fraude y las disputas
Modelo 3-D (3 Dominios)
Internet
Propietario comercio
tarjeta
Pasarela de
pago 4B
Red privada
Banco emisor Banco comercio
Dominio emisor Domino interoperabilidad Dominio b. comercio

Proceso del pago (I)

1. Visita la pgina del comercio
Plug-in Comercio
Cliente SSL Pasarela Plug-in Banco
SSL
2. El Plug-in comprueba la participacin
del banco emisor con la pasarela 4B
3. La pasarela 4B
comprueba la participacin
de la tarjeta con el b. emisor
Pasarela 4B
SSL
Servidor
Control Acceso
3-D Secure Red privada Pasarela
de pago
B. Emisor B. Comercio
Proceso del pago (II)

6. El Plug-in redireccina al
navegador del cliente al Servidor del
Control de Acceso.
Plug-in Comercio
SSL
5. Localizacin del Servidor del Control
de Acceso del banco emisor
4. El b. emisor confirma la
participacin de la tarjeta
Pasarela 4B
SSL
Servidor
Control Acceso
de pago
Proceso del pago (III)
Plug-in Comercio
Cliente Pasarela Plug-in Banco
7. El Control de acceso
solicita usuario y contrasea
8. El cliente se identifica
SSL
Pasarela 4B
9. El Control de Acceso
valida los datos, firma la
respuesta y redirecciona al
navegador al Plug-in
Pasarela del comercio
Servidor
Control Acceso
de pago
Proceso del pago (IV)

14. El comercio confirma la
transaccin y emite el recibo al cliente
Plug-in Comercio
10. El comercio
enva los datos
de la
transaccin a
su banco SSL
Pasarela 4B
13. El banco
responde al
comercio
11. El banco del comercio solicita la autorizacin de
la operacin
Servidor
Control Acceso
de pago
12. El banco emisor confirma la autorizacin
Seguridad
? Confirma los datos de la tarjeta antes de comenzar el
proceso
? Comprueba que el usuario de la tarjeta sea su legtimo
dueo
? Contrasea
? Establece una comunicacin segura entre todas las
partes
? Usando SSL en Internet y una red privada de pago
?Asegura la autenticidad del comerciante, de los bancos y de
la pasarela de pago 4B
?Asegura la confidencialidad de la comunicacin y de los
datos del propietario de la tarjeta
?Asegura la integridad de los datos y el no repudio.
Ejemplo (I)
? El proceso comienza cuando el cliente desea realizar la compra

Ejemplo (II)
? Aparece una ventana de Verified by Visa

Ejemplo (III)
? La ventana permite la introduccin de la contrasea.

Ejemplo (IV)
? El cliente es devuelto al portal del comerciante.

7. Garantas Contractuales
Certificados Digitales
? Los certificados digitales permiten comprobar la identidad de una

persona o comercio a travs de Internet.
? Para que un certificado sea vlido tiene que ir firmado por una
Entidad de Certificacin.
? Las Entidades de Certificacin permiten que el usuario pueda
comprobar la autenticidad y validez de un certificado.
? La Entidad de Certificacin ms conocida se llama VeriSign.
www.verisign.com
? En Espaa las ms importantes son: FNMT (Fbrica Nacional de
Moneda y Timbre), y ACE (Agencia de Certificacin Electrnica).
? Cuando una pgina web contiene un certificado, el navegador nos
mostrar un mensaje, pudiendo comprobar su validez mediante la
Entidad de Certificacin.

FIRMA ELECTRNICA (I)
?El 11/12/03 se promulg la Ley de Firma

Electrnica.
?Complementa al Real Decreto de 1999.
? Desde entonces se vienen admitiendo
Declaraciones de la Renta (IRPF) y algunos
impuestos de Comercio Exterior (DUA,
Intrastat) mediante firma electrnica.
?La Ley viene a clarificar y simplificar conceptos
(firma electrnica reconocida).
?Entidades certificadoras (ms garantas).

FIRMA ELECTRNICA (II)

CARNET ELECTRNICO
? Experiencia piloto: segundo semestre 2005.

? Despus, en 6 meses, la experiencia piloto se
extender al resto del pas.
? Hacia mediados finales del 2006 los DNI nuevos
sern digitales.
? Aunque algunas declaraciones hablan tambin del
2007, parece que ser una realidad total en el
2008
? Desde entonces, se espera renovar una media de
6,5 millones de DNI al ao.
? El DNI electrnico incorporar un chip y permitir la
identificacin del usuario a travs de internet: firma
electrnica avanzada.

Tema 6

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema 6

Uploaded by

Copyright:

Available Formats

Tema 6:

Comercio electrnico y seguridad.

1. Introduccin al comercio electrnico

IST - 2006 Comercio electrnico y Seguridad 1

IST - 2006 Comercio electrnico y Seguridad 2

Ventajas frente al comercio tradicional

IST - 2006 Comercio electrnico y Seguridad 3

IST - 2006 Comercio electrnico y Seguridad 5

Modelo B2C (I)

Modelo B2C (II)

B2C en Espaa (I)

IST - 2006 Comercio electrnico y Seguridad 8

B2C en Espaa (II)

IST - 2006 Comercio electrnico y Seguridad 9

B2C en Espaa (III)

IST - 2006 Comercio electrnico y Seguridad 10

B2C en Espaa (IV)

IST - 2006 Comercio electrnico y Seguridad 11

B2C en Espaa (V)

IST - 2006 Comercio electrnico y Seguridad 12

B2C en Espaa (VI)

IST - 2006 Comercio electrnico y Seguridad 13

B2C en Espaa (VII)

IST - 2006 Comercio electrnico y Seguridad 14

Modelo B2B (I)

Modelo B2B (II)

IST - 2006 Comercio electrnico y Seguridad 16

B2B en Espaa (I)

IST - 2006 Comercio electrnico y Seguridad 17

B2B en Espaa (II)

No lo han solicitado, ni clientes, ni proveedores 3,11

Nuestros productos/ servicios no lo permiten 2,97

No se utiliza en el sector 2,93

Falta de personal adecuado 2,8

Desconfianza. Falta de seguridad en el sistema 2,76

Elevado coste de desarrollo y mantenimiento 2,7

Falta de beneficios tangibles para nuestra empresa 2,67

Complejidad en el proceso comercial (compra-venta) 2,64

Dificultades tcnicas de integracin 2,6

Est en proyecto 2,01

Depende de la matriz 1,73

IST - 2006 Comercio electrnico y Seguridad 18

B2B en Espaa (III)

IST - 2006 Comercio electrnico y Seguridad 19

B2B en Espaa (IV)

Ahorro de costes 52,7

Mejora del servicio

IST - 2006 Comercio electrnico y Seguridad 20

Crear empresas en Internet

IST - 2006 Comercio electrnico y Seguridad 23

IST - 2006 Comercio electrnico y Seguridad 25

IST - 2006 Comercio electrnico y Seguridad 26

Seguridad en el pago con tarjetas

IST - 2006 Comercio electrnico y Seguridad 27

Protocolos seguros para tarjetas (I)

IST - 2006 Comercio electrnico y Seguridad 28

Protocolos seguros para tarjetas (II)

IST - 2006 Comercio electrnico y Seguridad 29

?Es el protocolo de seguridad HTTP Capa de Aplicacin

ms utilizado actualmente SSL Capa de Seguridad

SSL y el comercio electrnico

? Concepto de sesin en SSL:

IST - 2006 Comercio electrnico y Seguridad 33