sistemas de pago en el comercio electronico equipo 7
DESCRIPTION
Sistemas de PagoTRANSCRIPT
Equipo 7 Página 1
Equipo 7 Página 2
INDICE
Introducción……………………………………………………………..………………………….…3
Sistemas de pago para el comercio electrónico…………………………………………………...4
Pago con tarjeta TPV Virtual…………………………………………………………..…...4
Pago con Tarjeta de Crédito………………………………………………………….….…5
E-Cash…………………………………………………..…………………..………….……6
Millicent……………………………………………………………………………….……....7
Cybercash…………………………………………………………………………………….8
Seguridad Para El Comercio Electrónico……………………………………………………………8
Amenazas de seguridad para el comercio electrónico……………………………………………..9
Implementación de condiciones de seguridad para el comercio electrónico…………………….9
Criptografía y autentificación………………………………………………………………..9
Criptografía……………………………………………………………………………………9
Autentificación……………………………………………………………………………….10
Seguridad interna………………………………………………………………….………..10
Protocolos de Seguridad…………………………………………………………………………….11
Protocolo SSL……………………………………………………………………………….11
Protocolo SET……………………………………………………………………………….12
Firma digital……………………………………………………………………………………………13
Referencias…………………………………………………………………………………………….14
Equipo 7 Página 3
INTRODUCCION
Uno de los servicios que cada día cobra más importancia y que promete un cambio radical para las
empresas es el comercio electrónico en Internet, pero tradicionalmente las empresas relacionadas
con el turismo sólo han empleado la red para darse a conocer y ofertar sus productos. La razón
esencial es la desconfianza que existe sobre la seguridad de las transacciones llevadas a cabo en la
red. La criptografía de clave pública proporciona servicios adecuados para garantizar la seguridad de
esas transacciones.
Equipo 7 Página 4
SISTEMAS DE PAGO PARA EL COMERCIO ELECTRÓNICO
Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en
una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta
dentro del comercio electrónico.
El comercio electrónico por Internet se ofrece como un nuevo canal de distribución sencillo,
económico y con alcance mundial las 24 horas del día todos los días del año, y esto sin los gastos y
limitaciones de una tienda clásica: personal, local, horario, infraestructura, etc. Los principales retos
que presentan los EPS (sistemas de pago electrónicos) en Internet son:
Pago con tarjeta TPV Virtual
Pago directo con tarjeta
Dinero electrónico o e-cash
Cybercash
Millicent
Otras formas de pago
Pago con tarjeta TPV Virtual
Los TPV (Terminal Punto de Venta) son los contratos normales que se establecen entre un
comerciante y la entidad financiera con la que trabaje habitualmente para poder aceptar el pago con
tarjeta de los clientes. Todos los usuarios de tarjetas conocemos este sistema. El comerciante
dispone de una pequeña máquina, comunicada con la pasarela de pago por vía telefónica, por la
que pasa la banda magnética de nuestra tarjeta y recibe la autorización para la venta tras
comprobarse la validez de la tarjeta y la disponibilidad de fondos asociados a la misma.
El TPV Virtual es el sistema más seguro para la utilización de las tarjetas de crédito en Internet. Este
sistema no solo garantiza que los datos de la tarjeta viajarán, encriptados, directamente del
comprador al banco intermediario sino que además, no serán conocidos en ningún momento por el
vendedor. Las entidades bancarias son siempre más fiables en la protección de los datos de sus
clientes. El sistema es igualmentetransparente y ágil para el comprador.
Equipo 7 Página 5
Pago con Tarjeta de Crédito
La opción más utilizada por los comercios electrónicos es sin duda el cobro a través de una tarjeta
de crédito.
En Internet para poder cobrar de esta forma es necesario instalar una plataforma segura de pago
(gateway de pago) que le permita al comerciante electrónico verificar, y luego debitar de la tarjeta de
crédito del cliente, un determinado importe en forma segura.
Debido al costo elevado de este sistema, surgieron empresas denominadas Merchant banks, que
nos facilitan esta plataforma cobrándonos una comisión por transacción y en algunos casos, además
se cobra un mantenimiento mensual y el setup. Entre ellas, podemos mencionar a:
Vantage Service
Internet Secure Inc.
World Pay
Cybercash (tiene una serie de productos para resolver el pago online y offline, aunque
orientados al mercado de los EEUU)
Geomerchant
Equipo 7 Página 6
E-Cash
eCash constituye es un sistema de pago que emula las propiedades de los pagos realizados en
efectivo, como conservar el anonimato del comprador. eCash es un sistema de pago basado en
software que permite a sus usuarios enviar dinero electrónico en pago de las compras realizadas,
desde cualquier ordenador a cualquier otro ordenador, utilizando cualquier red de comunicación de
datos, incluyendo Internet.
Para usar eCash, tanto el comprador como el vendedor necesitan antes tener una cuenta abierta en
alguno de los bancos que emiten dinero electrónico eCash. Una vez que se posee la cuenta
bancaria, cada banco instruirá a sus clientes acerca de los pasos que deben seguir para obtener una
cuenta de dinero electrónico. El propio banco le facilita gratuitamente el software de cartera, junto
con un identificador de la cuenta y una contraseña.
En eCash el dinero aparece representado en forma de cupones criptográficos que pueden ser
retirados de cuentas bancarias, ingresados en cuenta, o transferidos entre distintas personas (como
el dinero normal). El usuario puede almacenar tanto dinero electrónico (cupones) en su cartera como
dinero disponga en la cuenta bancaria. A partir del momento en que su cartera tiene efectivo, puede
utilizarlo para pagar servicios o productos o incluso para transferirlo a otros usuarios sin necesidad
de mediar una relación comercial de compra-venta. Un rasgo fundamental de eCash es que
preserva el anonimato de la persona que paga con él, gracias a una firma digital ciega.
La responsabilidad de "acuñar" dinero electrónico recae sobre el usuario, cuyo software de cartera
se encarga de generar para cada moneda que se desea acuñar un número de serie aleatorio,
suficientemente largo para que la probabilidad de repetición tienda a cero. En sí mismo, este número
de serie que representa una moneda no posee valor monetario alguno, por lo que requiere la firma
del banco, confiriéndole su valor nominal. Sin embargo, si se gasta esta moneda respaldada por la
firma del banco, éste sería capaz de seguir su pista precisamente porque fue firmada por él. Bastaría
con que registrase su número de serie y cuando algún comerciante acudiera al banco para hacer
efectivo el pago que recibió en moneda electrónica, podría saber en qué se gastó y por quién. Para
evitarlo, antes de enviar la moneda para que la firme el banco, se multiplica el número de serie por
un factor, conocido como factor ciego, cuyo cometido es disfrazar el verdadero número de serie del
Equipo 7 Página 7
dinero. Ahora sí, el usuario firma el nuevo número (el resultado de multiplicar el número aleatorio
original por el factor ciego) y se lo envía al banco.
El banco examina la firma digital para asegurarse de la identidad del cliente. En este punto, se le
asigna el valor a la moneda acuñada por el usuario. Si éste solicitó una moneda de cien pesetas, el
banco la firmará con la firma que posee para monedas de cien pesetas. Si el usuario acuñó una
moneda de quinientas pesetas, entonces el banco utilizará su firma para monedas de quinientas
pesetas, etc. Al mismo tiempo, el banco retirará una cantidad equivalente de la cuenta que el usuario
posee con él. Cuando el usuario recibe la moneda firmada por el banco, verifica la autenticidad de la
firma y extrae el número de serie original dividiendo por el factor ciego. De esta forma, ahora posee
una moneda firmada por el banco, pero cuyo número de serie desconoce el banco. Puede gastarla
sin problemas, y cuando el receptor de la moneda acuda con la moneda al banco a hacerla efectiva,
éste no será capaz de relacionarla con el usuario, ya que firmó un número de serie distinto,
preservándose así la privacidad.
Millicent
Millicent es un protocolo ligero y seguro para el comercio electrónico a través de Internet. Está
diseñado para apoyar las compras que cuestan menos de un centavo. Se basa en la validación
descentralizada de dinero electrónico en el servidor del proveedor sin ninguna comunicación
adicional, cifrado caro, o el tratamiento en línea.
Las innovaciones clave de Millicent son el uso de intermediarios y de los vales. Corredores de
hacerse cargo de la gestión de cuentas, facturación, mantenimiento de la conexión, y el
establecimiento de cuentas con los proveedores. Scrip es de dinero digital que sólo es válido para un
proveedor específico. El proveedor local valida la alforja para evitar el fraude de los clientes, tales
como el gasto doble.
Equipo 7 Página 8
CyberCash
Constituye un mecanismo de pago muy similar a SET, que ofrece a los comerciantes una solución
rápida y segura para procesar los pagos con tarjeta de crédito a través de Internet.
Al igual que en SET, el usuario necesita utilizar un software de cartera que reside permanentemente
en su máquina, como en el caso de Microsoft Wallet o de carteras propietarias de casas de medios
de pago o bancos, o bien residen en el servidor de CyberCash, como la cartera de InstaBuy. Por su
parte, el comerciante necesita instalar un software en su servidor, Merchant Connection Kit (MCK),
parte del sistema global llamado CashRegister 3 Service, que puede adquirirse registrándose en
CyberCash e incluye guiones, plantillas y bibliotecas para que los servidores de los comerciantes se
conecten al servidor de CyberCash. De esta forma, el comerciante no necesita adquirir un sistema
de back-office para el procesamiento de las operaciones de venta con tarjeta, puesto que es el
servidor de CyberCash, y no el del comerciante, el que gestiona con el banco todas las complejas
operaciones de pago.
Desde el punto de vista del cliente, esta estrategia le concede mayor seguridad, al implicar que su
número de tarjeta nunca llega a ser conocido por el comerciante, sino solamente por el servidor de
CyberCash y, por supuesto, por los bancos participantes.
Seguridad Para El Comercio Electronico
Un sistema es seguro si se puede confiar en él y se comporta de acuerdo a lo esperado. La
seguridad se basa en conceptos como la confianza y el acuerdo. La seguridad es un conjunto de
soluciones técnicas, métodos, planes, etc. con el objetivo de que la información que trata nuestro
sistema informático sea protegida. Lo más importante es establecer un plan de seguridad en el cual
se definan las necesidades y objetivos en cuestiones de seguridad.
El término seguridad es muy amplio y comprende distintos aspectos:
• Confidencialidad: la información sólo puede ser accedida por aquel que esté autorizado.
• Integridad: La información no puede ser eliminada o modificada sin permiso.
•Disponibilidad: La información tiene que estar disponible siempre que sea necesario, evitando por
tanto, ataques externos que puedan reducir esta disponibilidad o incluso una caída del servicio.
Equipo 7 Página 9
•Consistencia: Hay que asegurar que las operaciones que se realizan sobre la información se
comporten de acuerdo a lo esperado. Esto implica que los programas realicen correctamente las
tareas encomendadas.
• Control: Es importante regular y controlar el acceso a la información de la empresa.
Amenazas de seguridad para el comercio electrónico
Unas de las preguntas que debemos hacernos a la hora de diseñar y analizar un sistema son:
¿qué quiero proteger?
¿quién podría entrar en mi sistema?
¿y cómo?
También hay que identificar los posibles riesgos: virus informáticos, intrusos en la red (hackers),
empleados malintencionados, pérdidas de backups, etc.
Implementación de condiciones de seguridad para el comercio electrónico
Criptografía y autentificación
Como elementos indispensables para implementar un sistema seguro está la criptografía y los
mecanismos de autentificación. La criptografía es una disciplina muy antigua cuyo objeto es la de
ocultar la información a personas no deseadas. La base de la criptografía ha sido el cifrado de
textos.
Criptografía
El cifrado es el proceso por el que un texto es transformado en otro texto cifrado usando una función
matemática (también denominado algoritmo de encriptación) y una clave. El descifrado es el proceso
inverso. El objetivo de la criptografía se puede resumir en asegurar la:
Confidencialidad: el mensaje no puede ser leído por personas no autorizadas.
Integridad: el mensaje no puede ser alterado sin autorización.
Autentificación: se puede verificar que el mensaje ha sido enviado por una persona, y
recibido por otra.
No repudio: significa que después de haber enviado un mensaje, no se puede negar que el
mensaje no es tuyo.
Equipo 7 Página 10
El cifrado es necesario entre otras funciones para:
• Proteger la información almacenada en un ordenador
• Proteger la información transmitida desde un ordenador a otro.
• Asegurar la integridad de un fichero.
El cifrado también tiene sus límites ya que no puede prevenir el borrado de información, el acceso al
documento antes de su cifrado, por lo que un plan de seguridad no se puede basar simplemente en
el cifrado de la información.
No todas las formas de cifrado tienen la misma seguridad. Hay cifrados muy simples que son fáciles
de romper (se denomina romper un cifrado a la obtención del mensaje cifrado o la clave) y otros
muchos más complejos que requieren de técnicas muy complejas para su descifrado. Hay que
comentar que no existen mecanismos de cifrado totalmente seguros, ya que con un ordenador lo
suficientemente potente (o muchos a la vez) y el tiempo necesario (años o siglos) siempre será
posible romper el cifrado. Por lo tanto, el objetivo de la criptografía es obtener mecanismos de
cifrado que sean lo suficientemente complejos para evitar su descifrado usando la tecnología actual.
Hay dos tipos básicos de algoritmos de encriptación:
• Clave secreta (o clave simétrica): utiliza la misma clave para cifrar y descifrar un mensaje. Estos
métodos de cifrado se usan principalmente para proteger información que se almacena en un disco
duro o para transmisión de datos entre ordenadores. El algoritmo de encriptación más usado de este
tipo es el DES (Data Encryption Standard) que usa una clave de 56-bits. Un mensaje cifrado con
este algoritmo es bastante seguro aunque ya puede ser descifrado con máquinas muy potentes en
menos de un día, por lo que su uso está restringido a ámbitos civiles. Otros algoritmos común-
mente usados son el RC2, RC4, RC5 e IDEA. La mayoría de estos algoritmos tienen patente,
aunque su uso público está permitido.
• Clave pública (o clave asimétrica): que utiliza una clave pública para cifrar el mensaje y una
clave privada para descifrarlo. De esta forma cualquiera puede cifrar un mensaje pero sólo quien
tenga la clave privada puede descifrarlo. Esto sirve para poder enviar un mensaje a un determinado
destino sin que otro pueda descifrarlo. El objeto de estos métodos es el de asegurar la integridad y
Equipo 7 Página 11
la autentificación del origen de los datos (por ejemplo, usando firmas digitales). RSA es el algoritmo
de encriptación más conocido de clave pública. RSA utiliza una clave pública que es usada para
cifrar el mensaje y una clave privada que es empleada para descifrar el mensaje.
Seguridad interna
En la seguridad interna (o centralizada) se pueden engoblar todos los mecanismos que aseguran el
sistema frente a riesgos procedentes del interior de una organización o empresa. Muchos de estos
mecanismos sirven también para afrontar riesgos procedentes del exterior.
Autentificación
Hay que asegurar que cualquier persona que entre en nuestro sistema informático esté autorizado y
sólo pueda acceder a la información permitida en función de su cargo o función. La forma habitual de
autorizar a una persona es por medio de un identificador de usuario y una clave, y asociando a este
usuario una serie de permisos. Por ello, es de vital importancia que estos usuarios y sus claves sean
custodiados de forma adecuada. De nada vale implantar un sistema informático de alta seguridad si
los usuarios y claves son fácilmente accesibles.
Protocolos de seguridad
Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y
actividades programadas que cumplen con un objetivo especifico y que usan esquemas de
seguridad criptográfica.
El ejemplo más común es SSL (Secure Sockets Layer) que vemos integrado en el Browser de
Netscape y hace su aparición cuando el candado de la barra de herramientas se cierra y también sí
la dirección de Internet cambia de http a https, otro ejemplo es PGP que es un protocolo libre
ampliamente usado de intercambio de correo electrónico seguro, uno más es el conocido y muy
publicitado SET que es un protocolo que permite dar seguridad en las transacciones por Internet
usando tarjeta de crédito, IPsec que proporciona seguridad en la conexión de Internet a un nivel más
bajo.
Equipo 7 Página 12
Protocolo SSL
SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones
seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión
del Navigator. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores
web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un
formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como
para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de
crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de
capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro
para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar
con su banco las compras. El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque
práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura
(al menos en España, debido a que los navegadores utilizan 40 bits de longitud de clave, protección
muy fácil de romper). SSL deja de lado demasiados aspectos para considerarse la solución
definitiva:
Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del
comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como
mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.
No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su
tarjeta.
Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento
o que ésta no haya sido aprobada.
Son demasiados problemas e incertidumbres como para dejar las cosas como están. Se hacía
necesaria la existencia de un protocolo específico para el pago, que superase todos los
inconvenientes y limitaciones anteriores, motivo por el que se creó SET.
Protocolo SET
El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard,
con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape. La
gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente,
el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas
Equipo 7 Página 13
criptográficas robustas, que impiden que el comerciante acceda a la información de pago
(eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos
(previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET
gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del
comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.
Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no termina de
implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone mejor adaptado? En primer
lugar, su despliegue está siendo muy lento. Exige software especial, tanto para el comprador
(aplicación de monedero electrónico) como para el comerciante (aplicación POST o terminal de
punto de venta), que se está desarrollando con lentitud. En segundo lugar, aunque varios productos
cumplan con el estándar SET, esto no significa necesariamente que sean compatibles. Este es un
problema que exige mayores esfuerzos de coordinación y más pruebas a escala mundial para
asegurar la interoperabilidad. Sus puntos fuertes son también su talón de Aquiles: la autenticación
de todas las partes exige rígidas jerarquías de certificación, ya que tanto los clientes como
comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que
resultan engorrosos, cuando no esotéricos, para la mayoría de los usuarios.
En definitiva, SET es un elefante de gran tamaño y fuerza, pero de movimientos extraordinariamente
pesados. SSL es una liebre que le ha tomado la delantera hace años. No es tan perfecto, no ofrece
su seguridad ni sus garantías, pero funciona. Y lo que es más: ¡el usuario de a pie no tiene que
hacer nada! Entretanto, mientras SET llega a la meta o muere por el camino, eso sí, no olvide pagar
todas sus compras usando SSL.
Firma digital
La firma digital es un mecanismo utilizado para asegurar la integridad del mensaje y la autenticación
del emisor. Este método consiste en la obtención de un valor hash (concepto explicado más
adelante) del mensaje y su posterior encriptación con la clave privada del emisor. En recepción se
desencripta el hash con la clave pública del emisor y se compara con otro valor hash obtenido en
recepción de forma independiente a partir del mensaje recibido.
La firma digital permite soportar el no repudio, característica esencial en entornos
de comercio electrónico, ya que la verificación de la firma garantiza que ésta sólo puede haber sido
generada por el poseedor de la clave privada; o sea, su usuario legítimo.
Equipo 7 Página 14
Equipo 7 Página 15
Referencias
“Departamento de Tratamiento de la Información y Codificación”
Seguridad en el comercio electrónico. (1999) Recuperado de
http://www.iec.csic.es/criptonomicon/susurros/susurros08.html
“Wikipedia”
Firma Ditigal (2010). Recuperado el 23 may 2010 De. http://es.wikipedia.org/wiki/Firma_digital
“Google Docs”
Metodos de cifrado y criptografia para Marketing (2010). Recuperado de
http://docs.google.com/viewer?a=v&q=cache:2au7o23h7eEJ:www.acta.es/index.php%3Foption%
3Dcom_jdownloads%26Itemid%3D19%26task%3Dfinish%26cid%3D329%26catid%3D15+Metodos
+de+cifrado+y+criptografia+para+Marketing&hl=es&gl=mx&pid=bl&srcid=ADGEESg6nQP5uvpdILG
ijmO9Lc1EO66f49HrSfu4dViWIkVzDWtzl_dtAjGTJJ8vc7BFVj-
RXyS55Fc4t7dqBTo1IrNir2DHri3pSpMkFTW474o_m-
5QUC5KTbmyMLj9d0WKcts7Up46&sig=AHIEtbTAlG27fQmB-4zFSPRdeaFyb_Xd6g