Comercio Electrónico

PAGOS Y SEGURIDAD EN EL PAGOS Y SEGURIDAD EN EL COMERCIO ELECTRONICO COMERCIO ELECTRONICO

LENIN LEMOS PONCELENIN LEMOS PONCE

RICARDO MORAN VERARICARDO MORAN VERA

RITA CABRERA SARMIENTORITA CABRERA SARMIENTO

Organizó docente Ing. Nelson Tarazona MéndezCurso de Tecnologías de la Información

Corporación Universitaria Americana.

OBJETIVOSOBJETIVOS

Definir el comercio electrónico (ecommerce) como el mejor marco de negocios a través de redes electrónicas.

Conocer los distintos sistemas de seguridad de que disponen las compañías en la actualidad.

CONTENIDOCONTENIDO

COMERCIO ELECTRONICO.

SEGURIDAD EN EL WEB.

COMERCIOCOMERCIO

ELECTRONICOELECTRONICO

COMERCIO ELECTRONICOCOMERCIO ELECTRONICO

¿QUÉ ES EL COMERCIO ELECTRONICO?

TIPOS DE COMERCIO ELECTRONICO.

SISTEMAS DE PAGOS DIGITALES.

SISTEMAS DE PAGOS BASADOS EN INTERNET.

PROTOCOLO PARA TRANSACCIONES ELECTRONICAS SEGURAS (SET).

PROBLEMAS QUE SE SUSCITAN CON EL E-COMMERCE.

CONSIDERACIONES LEGALES - CIVILES

Es cualquier forma de transacción comercial basada en la transmisión de datos sobre redes de comunicación. No se limita a comprar y vender, sino a todos los aspectos mercantiles como publicidad, relaciones con los trabajadores, contabilidad, búsqueda de información sobre productos o proveedores, etc.

¿QUÉ ES EL COMERCIO ELECTRONICO?QUÉ ES EL COMERCIO ELECTRONICO?

Las empresas, aunque estén físicamente alejadas de sus clientes y proveedores, pueden tener una mejor comunicación y accesibilidad a todas las acciones comerciales. Bajo la denominación de comercio electrónico se incluye tanto el comercio indirecto o pedido electrónico de bienes tangibles como el directo o entrega en línea de bienes intangibles.

¿QUÉ ES EL COMERCIO ELECTRONICO?QUÉ ES EL COMERCIO ELECTRONICO?

¿QUÉ ES ELCOMERCIO ELECTRONICO?¿QUÉ ES ELCOMERCIO ELECTRONICO?

La aparición del comercio electrónico obliga a replantear cuestiones del comercio tradicional, surgiendo nuevos problemas, como:

La validez legal de las transacciones y contratos sin papel.

El control de las transacciones internacionales, incluido el cobro de impuestos.

La protección de los derechos de propiedad intelectual.

¿QUÉ ES ELCOMERCIO ELECTRONICO?¿QUÉ ES ELCOMERCIO ELECTRONICO?

El fraude. El uso abusivo de los datos personales.

Hasta otros provocados por: La falta de seguridad de las transacciones y medios de pago electrónicos. La falta de estándares consolidados. La congestión de Internet. La proliferación de aplicaciones y protocolos incompatibles.

TIPOS DE COMERCIO ELECTRONICOTIPOS DE COMERCIO ELECTRONICO

Comercio entre empresas “Business to Business” (B2B).

Comercio entre consumidores “Consumer to Consumer”

(C2C).

Negocios entre empresas y consumidores “Business to

Consumer” (B2C).

Comercio entre amigos “Pear to Pear” (P2P).

Negocios entre empresas y empleados “Business to

employee” (B2E).

Comercio entre gobiernos “Goverment to Goverment” (G2G).

SISTEMAS DE PAGOS DIGITALESSISTEMAS DE PAGOS DIGITALES

TARJETAS DE CREDITO

Una transacción común de tarjeta de crédito involucra a 5 partes:

El cliente.El comerciante.El banco del cliente.El banco del comerciante o banco adquiriente.La red interbancaria.


TARJETAS DE CREDITO

Una transacción ordinaria con tarjetas de crédito consta de 10 pasos:

1) El cliente entrega su tarjeta de crédito al comerciante.2) El comerciante pide autorización al banco

adquiriente.3) La red interbancaria envía un mensaje del banco

adquiriente al banco del consumidor pidiendo autorización.

4) El banco del cliente envía una respuesta al banco adquiriente.


TARJETAS DE CREDITO

5) El banco adquiriente notifica al comerciante que el cargo ha sido aprobado.

6) El comerciante llena la orden del cliente.7) El comerciante presenta cierta cantidad de cargos al

banco adquiriente.8) El banco adquiriente envía cada solicitud de pago al

banco del cliente.9) El banco del cliente debita de la cuenta del cliente.10) El banco adquiriente hace un crédito a la cuenta del

comerciante.

TARJETAS DE CREDITOTARJETAS DE CREDITOUSOS DE TARJETAS DE CREDITO EN INTERNET

Las tarjetas de crédito fueron una opción obvia para los primeros sistemas de pago basados en Internet.

Existen 3 técnicas distintas para aceptar números de tarjetas de crédito junto con transacciones iniciadas a través del web:

1) Fuera de línea (Off line).2) En línea con encriptación.3) En línea sin encriptación.

SISTEMAS DE PAGO BASADOS EN INTERNETSISTEMAS DE PAGO BASADOS EN INTERNET

TIPOS DE SISTEMAS DE PAGO

Anónimos: es matemáticamente imposible que un comerciante o banco averiguen la identidad del consumidor.

Privados: el comerciante no conoce la identidad del consumidor, pero le es posible averiguarla a través de la organización que opera el sistema de pagos.

Identificatorios: Los sistemas de pago pueden identificar al consumidor ante el comerciante en todos los casos, como por ejemplo las tarjetas de crédito convencionales.


DIGICASH.Es un sistema de pagos electrónicos que se basa en un sistema de prendas digitales llamadas monedas digitales.

VIRTUAL PIN. No necesita de un programa especial para que el consumidor pueda realizar compras. Los pagos son autorizados mediante correo electrónico.PIN virtuales típicos son “COMPRA VIRTUAL”, “SU PIN VIRTUAL”, “GASTA MI DINERO”.


CYBERCASH / CYBER COIN.CyberCash es un sistema basado en tecnología de llave pública que permite usar tarjetas de crédito convencionales a través del World Wide Web. CyberCoin es una adaptación de la misma tecnología para realizar transacciones de pequeño monto.

Para utilizar CyberCash, el consumidor debe descargar un programa especial del sitio web. Al programa se le llama billetera CyberCash, y mantiene una base de datos de las tarjetas de crédito y otros instrumentos de pago del usuario.

SISTEMAS DE PAGO DIGITALESSISTEMAS DE PAGO DIGITALES

TARJETAS INTELIGENTES.Las tarjetas inteligentes son idénticas a las de crédito, excepto que almacenan información en chips de microprocesadores en vez de bandas magnéticas.

Pueden almacenar una cantidad de información mucho mayor que las tarjetas de banda magnéticas.

Las tarjetas inteligentes pueden protegerse mediante una clave de acceso.

Las tarjetas inteligentes pueden ejecutar motores de encriptación RSA.

PROTOCOLO PARA TRANSACCIONES PROTOCOLO PARA TRANSACCIONES ELECTRONICAS SEGURAS (SET)ELECTRONICAS SEGURAS (SET)

SET (Secure Electronics Transaction) es el protocolo para Transacciones Electrónicas Seguras para enviar información de pagos hechos con tarjetas a través de Internet. Sus metas son:

Permitir la transmisión confidencial.Autenticar a las partes involucradas.Asegurar la integridad de las instrucciones de pago por bienes y servicios.Autentificar la identidad del tarjeta habiente y del comerciante entre sí.


SET utiliza encriptación para brindar confidencialidad en la comunicación, y firmas digitales para autenticación. Con SET, se pide a los comerciantes certificados digitales emitidos por sus bancos adquirientes, para los consumidores es opcional. SET permite incluir información privada entre el consumidor y el comerciante y entre el consumidor y el banco en una sola transacción firmada mediante una estructura criptográfica conocida como firma dual.


El campo del comerciante se encripta con la llave pública del comerciante; de la misma forma, el campo del banco se encripta con la llave pública del banco. La firma dual permite tanto al comerciante como al banco leer y validar su firma en la mitad de la solicitud de compra sin tener que desencriptar el campo de la otra parte.

PROBLEMAS QUE SE SUSCITAN CON EL ECOMMERCE

Problemas legales de las direcciones IP y DNS.Propiedad intelectual e industrial.Ley Orgánica de Regulación del Tratamiento automatizado de datos de carácter personal.Dinero Electrónico.Derecho de las telecomunicaciones.Efecto aldea global.Seguridad y valor probatorio del documento electrónico.

CONSIDERACIONES LEGALES-CIVILES

Propiedad Intelectual.

La Ley de Derechos de Autor.

Infracción de Derecho de Autor.

Piratería de Software y la SPA.

Warez.

La Ley de patentes.

SEGURIDAD EN EL WEB

SEGURIDAD EN EL WEB

CRIPTOGRAFIA.

ENCRIPTACION Y DESENCRIPTACION.

ALGORITMOS Y FUNCIONES CRIPTOGRAFICAS.

TIPOS DE VULNERABILIDADES.

LA CRIPTOGRAFIA Y LA SEGURIDAD EN EL WEB.

LOS SISTEMAS ACTUALES DE ENCRIPTACION.

COMPARACION ENTRE LOS SISTEMAS ACTUALES.

La criptografía es un conjunto de técnicas empleadas para conservar segura la información.

CRIPTOGRAFIACRIPTOGRAFIA

Por ejemplo, he aquí un mensaje que tal vez debe enviar:

“ S S L i s a c r i p t o g r a f i c p r o t o c o l.”

“ * - - ! ’ $ 5 * * * * * * + - ¡ d . . = ¡ * [ _ : ; ° ! ” # $ % # $ ”

Este podría ser el mensaje una vez encriptado:

Aún mejor mediante la criptografía es posible volver a convertir este mensaje cifrado en el comprensible mensaje original.

ENCRIPTACIONENCRIPTACION

Algoritmode

encriptación

Encriptación

LLAVE

Proceso mediante el cual el mensaje llano se transforma en un mensaje cifrado mediante una función compleja y una llave de codificación especial.

Proceso de Encriptación.

DESENCRIPTACIONDESENCRIPTACION

Proceso inverso, en el cual el texto cifrado se convierte nuevamente en el texto llano original mediante una función compleja y una llave de desencriptación.

Proceso de Desencriptación.

Algoritmode

encriptación

Desencriptación

L

LAVE

ALGORITMOS Y FUNCIONES ALGORITMOS Y FUNCIONES CRIPTOGRAFICASCRIPTOGRAFICAS

Algoritmos de llaves simétricas o de llaves privadas.

Algoritmos de llave pública.

Criptosistemas Híbridos Público/Privado.

Funciones de compendio de mensajes.

ALGORITMOS DE LLAVES ALGORITMOS DE LLAVES SIMETRICASSIMETRICAS

En este tipo de algoritmos se utiliza la misma llave para encriptar y desencriptar el mensaje. Son muy rápidos. El problema con este tipo de sistemas es el número de llaves que es necesario administrar.

Entre los más comunes tenemos:

DES (Data Encription Standard)

DESX

Triple-DES

Blowfish (Pez Globo)

ALGORITMOS DE LLAVES ALGORITMOS DE LLAVES SIMETRICASSIMETRICAS

IDEA (International Data Encription Algoritmh)

RC2 (Código de Rivest 2)

RC4.

RC5.

ALGORITMOS DE LLAVES PUBLICASALGORITMOS DE LLAVES PUBLICAS

En este tipo de algoritmos se utiliza una llave para encriptar el mensaje y otra para desencriptarlo.

La llave de encriptación se conoce como llave pública, mientras que la llave de desencriptación se conoce como llave privada o secreta. Entre los más comunes tenemos:

Intercambio de llaves Diffie-Helman.

RSA. (Rivest Shamir Adleman)

EL GAMAL.

DSS. (Digital Signature Estándar)

CRIPTOSISTEMAS HIBRIDOS CRIPTOSISTEMAS HIBRIDOS PUBLICO/PRIVADO PUBLICO/PRIVADO

La criptografía de llave pública se puede utilizar en conjunción con la criptografía de llave privada para obtener los beneficios de ambos, es decir; las ventajas de seguridad de los sistemas de llave pública y las ventajas de velocidad de los sistemas de llave privada.

En estos sistemas, la criptografía de llave pública, más lenta, se utiliza para intercambiar una llave de sesión, que se usa entonces como base para un algoritmo de llaves simétricas.

FUNCIONES DE COMPENDIO FUNCIONES DE COMPENDIO DE MENSAJESDE MENSAJES

Una función de compendio de mensajes (message digest) genera un patrón de bits único para una entrada específica.

Las funciones de compendio de mensajes transforman la información contenida en un archivo pequeño o grande, a un sólo número, típicamente de entre 128 y 256 bits.

El valor del compendio se calcula de modo que encontrar una entrada que genere en forma exacta un compendio específico no sea factible computacionalmente.

FUNCIONES DE COMPENDIO DE MENSAJESFUNCIONES DE COMPENDIO DE MENSAJES

FUNCION DE COMPENDIO DEMENSAJES

Compendio de mensajesde 128 bits.

Compendio de mensajesde 128 bits.

La función de compendio demensajes crea un compendio único

por cada documento único.Documento 1

Documento 2

Función de compendio de mensajes


HMAC (Hashed Message Autenthication Code).

MD2 (Message Digest #2).

MD4

MD5

SHA (Secure Hash Algorithm).

SHA1

Entre las funciones más importantes tenemos:


Analizemos el siguiente ejemplo con el algoritmo MD5

MD5 (Hay $1500 en la caja azu ) =d9261e7d6d1ee9c039076ab02cda6629

MD5 (Hay $1500 en la caja azul ) =b8f3aa09ccdec76bce9001f1043ceefa

MD5 (Hay $1500 en la caja azul. ) =f1348485f7619f3017c641af3268cda

MD5 (Hay $1500 en la caja azul! ) =062dc60d4db7b2fc6130389e8bba6254

FIRMAS DIGITALESFIRMAS DIGITALES

Las firmas digitales funcionan de manera inversa al proceso de cifrado normal. La firma digital utiliza la llave privada en algunos bloques de datos y el receptor descifra esos datos con la llave pública que está disponible y es conocida.

PROCESO DE FIRMA DIGITAL.

Un usuario aplica una función de transformación del código al mensaje, la cual lo reduce a un tamaño de 128 bits. El compendio resultante del mensaje se cifra con la clave privada del usuario y este proceso crea la firma digital.

AUTORIDADES EMISORAS DE CERTIFICADOSAUTORIDADES EMISORAS DE CERTIFICADOS

Siempre existe la posibilidad de un fraude en cualquier infraestructura de llave pública. Con el uso de las firmas digitales, se puede estar seguro de que alguien firmó el documento, pero se necesita un tercero para asegurarse de que la firma es legítima. Ese es el papel de la AUTORIDAD EMISORA DE CERTIFICADOS (CA): asegurar que esa persona es quien dice ser.

La llave pública, una pieza única de identificación de usuario, y una identificación particular de la CA forman el certificado sin firma.

La CA firma la información de la siguiente manera: la CA transforma el código del certificado sin firma, luego toma el código transformado y lo cifra junto con su clave privada, al final adjunta esta firma al certificado original para crear el certificado.

TIPOS DE VULNERABILIDADESTIPOS DE VULNERABILIDADES

INTERRUPCION: el ataque ocasiona que un recurso del sistema deje de estar disponible.

INTERSECCION: el atacante produce la captura no autorizada de la información en el medio de transmisión.

FALSIFICACION: el ataque produce que una entidad no autorizada inserte mensajes falsos en el sistema.

MODIFICACION: no solo se da el acceso no autorizado a un recurso sino también la capacidad de manipularlo.

LA CRIPTOGRAFIA Y LA SEGURIDAD EN LA CRIPTOGRAFIA Y LA SEGURIDAD EN EL WEBEL WEB

Existen cuatro palabras claves que se utilizan para describir todas las funciones que tiene la encriptación en los sistemas de información modernos. Estas funciones son:

CONFIDENCIALIDAD.

AUTENTICACION.

INTEGRIDAD.

NO REPUDIACION.

LA CRIPTOGRAFIA Y LA SEGURIDAD EN LA CRIPTOGRAFIA Y LA SEGURIDAD EN EL WEBEL WEB

CONFIDENCIALIDAD.- La encriptación se utiliza para ocultar la información enviada a través de Internet y almacenarla en servidores, de forma que cualquiera que intente interceptarlas no pueda tener acceso al contenido de los datos.

AUTENTICACION.- Las firmas digitales sirven para identificar al autor de un mensaje; las personas que reciben el mensaje pueden comprobar la identidad de quien lo firmó.

INTEGRIDAD.- Para verificar que un mensaje no ha sido modificado en tránsito.

NO REPUDIACION.- Mediante la encriptación se crean recibos de forma que el autor de un mensaje no pueda negar falsamente su envío.

LOS SISTEMAS ACTUALES DE ENCRIPTACIONLOS SISTEMAS ACTUALES DE ENCRIPTACION

Los sistemas criptográficos se componen de protocolos de red utilizados para proporcionar confidencialidad, autenticación, integridad y no repudiación en un ambiente de red. Algunos sistemas populares son:

PGP

SSL

PCT

S-HTTP

SET y Cyber Cash

DNSSEC

Ipsec e IPv6

Kerberos.

SSH


PGPPGP (Pretty Good Privacy). Privacía bastante segura, es un sistema completo para la protección de correo electrónico y archivos. También es un conjunto de estándares que describen los formatos de los mensajes encriptados, llaves y firmas digitales.

SSLSSL (Secure Sockets Layer). El Nivel de Conexiones Seguras, es un protocolo criptográfico de propósito general para asegurar canales de comunicación bidireccionales.

SSL ofrece confidencialidad mediante algoritmos de encriptación especificados por el usuario; integridad, mediante funciones Hash criptográficas especificadas por el usuario, y no repudiación, mediante mensajes firmados criptográficamente.


PCTPCT (Private Comunications Technology). Tecnología de Comunicaciones Seguras, es un protocolo de seguridad de nivel de transporte similar a SSL. Fue desarrollado en respuesta a los problemas asociados a SSL 2.0.

S-HTTPS-HTTP es un sistema para firmar y encriptar información enviada mediante el protocolo HTTP del Web.

SETSET (Secure Electronic Transactions). Transacciones Electrónicas Seguras, es un protocolo criptográfico diseñado para envío de números de tarjetas de crédito por Internet.


Cyber cashCyber Cash (Ciber efectivo) es un protocolo de pagos electrónicos de propósito similar al de SET.

DNSSECDNSSEC (Domain Name System Security). El estándar de seguridad del Sistema de Nombres de Dominios crea una infraestructura paralela de llaves públicas sobre el sistema de DNS. A cada dominio del DNS se le asigna una llave pública .

IPsec e IPv6IPsec es un protocolo criptográfico diseñado para proporcionar confidencialidad de principio a fin. IPv6 incluye Ipsec.


KERBEROSKerberos se basa en códigos simétricos y en secretos compartidos entre el servidor de Kerberos y cada usuario, quien tiene su propia clave de acceso.

Para operar un sistema con Kerberos, cada sitio debe tener un servidor de Kerberos que se encuentre físicamente seguro.

SSHSSH (secure shell) es el interprete de comandos seguros. Proporciona operaciones protegidas de terminal virtual (Telnet) y transferencia de archivos (ftp).

COMPARACION ENTRE LOS SISTEMAS ACTUALESCOMPARACION ENTRE LOS SISTEMAS ACTUALES

Sistema ¿Qué es? Algoritmos Proporciona

PGP Aplicación para encriptar correo electrónico.

IDEA, RSA, MD5 Confidencialidad, autenticación, integridad, no repudiación.

SSL Protocolo para encriptar transmisiones TCP/IP.

RSA, RCZ, RC4, MD5, y otros.

Confidencialidad, autenticación, integridad, no repudiación.

PCT Protocolo para encriptar transmisiones TCP/IP.

RSA, MD5, RCZ, RC4, y otros.

Confidencialidad, autenticación, integridad, no repudiación.

S-http Protocolo para encriptar peticiones y respuestas http.

RSA, DES, Y otros. Confidencialidad, autenticación, integridad, no repudiación;

SET y CyberCash Protocolos para el envío de instrucciones de pago seguras a través de Internet.

RSA, MD5, RC2. Confidencialidad de números de tarjeta de crédito, integridad de todo el mensaje, autenticación del cliente y proveedor; no repudiación de las transacciones.

DNSSEC Seguridad del sistema de Nombres de Dominios.

RSA, MD5. Autenticación, integridad.

IPsec e IPv6 Protocolo de bajo nivel para encriptar paquetes IP.

Diffie-Helmann y otros. Confidencialidad (opcional), autenticación, integridad.

Kerberos Servicio de seguridad de red para asegurar aplicaciones de más alto nivel.

DES. Confidencialidad, autenticación.

SSH Terminal remota encriptada.

RSA, Diffie-Helmann, DES, Triple-DES, Blowfish.

Confidencialidad, autenticación.

SITUACION ACTUAL DEL E-COMMERCE EN EL ECUADOR

LEY DE REGULACION DEL COMERCIO LEY DE REGULACION DEL COMERCIO ELECTRONICO ELECTRONICO

CERTIFICADOS DE FIRMA ELCTRÓNICA.- Especifica los requisitos de certificados, duración, extinción y revocación de los certificados de firma electrónica, suspensión y reconocimiento de certificados de firma electrónica.

ENTIDADES DE CERTIFICACIÓN DE INFORMACIÓN.- Abarca las obligaciones, responsabilidades, protección de datos, terminación y cesación de actividades.

ORGANISMOS DE PROMOCIÓN DE LOS SERVICIOS ELECTRÓNICOS Y DE REGULACIÓN Y CONTROL DE LAS ENTIDADES DE CERTIFICACIÓN ACREDITADAS.- Detalla los organismos encargados de la administración, sanciones, infracciones y funciones de tales organismos.



TÍTULO III

DE LOS SERVICIOS ELECTRÓNICOS.- Indica que las actividades electrónicas que se realicen a través de redes de datos se someterán a los requisitos y solemnidades en la ley que las rija.

DE LA CONTRATACIÓN ELECTRÓNICA Y TELEMÁTICA.- Enfoca la validez de los contratos, recepción, aceptación y jurisdicción de los contratos electrónicos.

DE LOS DERECHOS DE LOS USUARIOS O CONSUMIDORES DE SERVICIOS ELECTRÓNICOS.- Señala la protección al usuario y la reserva para el envío o la recepción de la información.

DE LOS INTRUMENTOS PÚBLICOS.- Reconoce la validez jurídica de los instrumentos públicos, y el tipo de notificación de controversias.



TÍTULO IV

DE LA PRUEBA Y NOTIFICACIONES ELECTRÓNICAS.- Se considera a los mensajes, firmas y documentos electrónicos medios de prueba válida, presunción de firmas electrónicas, pruebas como tal y valoración de las pruebas presentadas.

TÍTULO V

DE LAS INFRACCIONES INFORMÁTICAS.- Reseña el Fraude Informático, Daños Informáticos, Falsedad Informática, Intrusión Indebida a los Sistemas Informáticos, Recopilación de Información No Autorizada, Violaciones del Derecho de la Privacidad y el Robo Electrónico.

CONCLUSIONES Y RECOMENDACIONES

Con el comercio electrónico y los negocios dirigidos a través de Internet que aumentan cada vez más, es necesario establecer un ambiente seguro de comunicación.

Las distintas infraestructuras de redes y los diferentes requisitos organizacionales de seguridad exigidos por estos negocios necesitarán diversos tipos de arquitecturas VPNs.

Las VPNs satisfacen las más estrictas necesidades de seguridad; son rápidas y sencillas. Las personas se acostumbrarán cada vez más a Internet y exigirán que sus paquetes lleguen cifrados e íntegros.

CONCLUSIONES Y RECOMENDACIONES

La velocidad de esta información dependerá de su conducto de ancho de banda de Internet y de los diversos ISP que deba atravesar para llegar a ella.

Por todo esto es necesario desarrollar de manera responsable esta poderosa herramienta de seguridad, o cualquier otra que nos dé las garantías que necesitamos, si queremos desenvolvernos de manera eficiente en el mundo del comercio global.

MUCHAS GRACIAS MUCHAS GRACIAS POR SU ATENCIONPOR SU ATENCION

Comercio Electrónico

Internet

Transcript of Comercio Electrónico