Sistemas de pago en el comercio electronico equipo 7

1,688 views

Published on

Sistemas de Pago

Published in: Travel, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,688
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
57
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sistemas de pago en el comercio electronico equipo 7

  1. 1. Equipo 7 Página 1
  2. 2. INDICE Introducción……………………………………………………………..………………………….…3 Sistemas de pago para el comercio electrónico…………………………………………………...4 Pago con tarjeta TPV Virtual…………………………………………………………..…...4 Pago con Tarjeta de Crédito………………………………………………………….….…5 E-Cash…………………………………………………..…………………..………….……6 Millicent……………………………………………………………………………….……....7 Cybercash…………………………………………………………………………………….8 Seguridad Para El Comercio Electrónico……………………………………………………………8 Amenazas de seguridad para el comercio electrónico……………………………………………..9 Implementación de condiciones de seguridad para el comercio electrónico…………………….9 Criptografía y autentificación………………………………………………………………..9 Criptografía……………………………………………………………………………………9 Autentificación……………………………………………………………………………….10 Seguridad interna………………………………………………………………….………..10 Protocolos de Seguridad…………………………………………………………………………….11 Protocolo SSL……………………………………………………………………………….11 Protocolo SET……………………………………………………………………………….12 Firma digital……………………………………………………………………………………………13 Referencias…………………………………………………………………………………………….14 Equipo 7 Página 2
  3. 3. INTRODUCCION Uno de los servicios que cada día cobra más importancia y que promete un cambio radical para las empresas es el comercio electrónico en Internet, pero tradicionalmente las empresas relacionadas con el turismo sólo han empleado la red para darse a conocer y ofertar sus productos. La razón esencial es la desconfianza que existe sobre la seguridad de las transacciones llevadas a cabo en la red. La criptografía de clave pública proporciona servicios adecuados para garantizar la seguridad de esas transacciones. Equipo 7 Página 3
  4. 4. SISTEMAS DE PAGO PARA EL COMERCIO ELECTRÓNICO Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta dentro del comercio electrónico. El comercio electrónico por Internet se ofrece como un nuevo canal de distribución sencillo, económico y con alcance mundial las 24 horas del día todos los días del año, y esto sin los gastos y limitaciones de una tienda clásica: personal, local, horario, infraestructura, etc. Los principales retos que presentan los EPS (sistemas de pago electrónicos) en Internet son:  Pago con tarjeta TPV Virtual  Pago directo con tarjeta  Dinero electrónico o e-cash  Cybercash  Millicent  Otras formas de pago Pago con tarjeta TPV Virtual Los TPV (Terminal Punto de Venta) son los contratos normales que se establecen entre un comerciante y la entidad financiera con la que trabaje habitualmente para poder aceptar el pago con tarjeta de los clientes. Todos los usuarios de tarjetas conocemos este sistema. El comerciante dispone de una pequeña máquina, comunicada con la pasarela de pago por vía telefónica, por la que pasa la banda magnética de nuestra tarjeta y recibe la autorización para la venta tras comprobarse la validez de la tarjeta y la disponibilidad de fondos asociados a la misma. El TPV Virtual es el sistema más seguro para la utilización de las tarjetas de crédito en Internet. Este sistema no solo garantiza que los datos de la tarjeta viajarán, encriptados, directamente del comprador al banco intermediario sino que además, no serán conocidos en ningún momento por el vendedor. Las entidades bancarias son siempre más fiables en la protección de los datos de sus clientes. El sistema es igualmentetransparente y ágil para el comprador. Equipo 7 Página 4
  5. 5. Pago con Tarjeta de Crédito La opción más utilizada por los comercios electrónicos es sin duda el cobro a través de una tarjeta de crédito. En Internet para poder cobrar de esta forma es necesario instalar una plataforma segura de pago (gateway de pago) que le permita al comerciante electrónico verificar, y luego debitar de la tarjeta de crédito del cliente, un determinado importe en forma segura. Debido al costo elevado de este sistema, surgieron empresas denominadas Merchant banks, que nos facilitan esta plataforma cobrándonos una comisión por transacción y en algunos casos, además se cobra un mantenimiento mensual y el setup. Entre ellas, podemos mencionar a:  Vantage Service  Internet Secure Inc.  World Pay  Cybercash (tiene una serie de productos para resolver el pago online y offline, aunque orientados al mercado de los EEUU)  Geomerchant Equipo 7 Página 5
  6. 6. E-Cash eCash constituye es un sistema de pago que emula las propiedades de los pagos realizados en efectivo, como conservar el anonimato del comprador. eCash es un sistema de pago basado en software que permite a sus usuarios enviar dinero electrónico en pago de las compras realizadas, desde cualquier ordenador a cualquier otro ordenador, utilizando cualquier red de comunicación de datos, incluyendo Internet. Para usar eCash, tanto el comprador como el vendedor necesitan antes tener una cuenta abierta en alguno de los bancos que emiten dinero electrónico eCash. Una vez que se posee la cuenta bancaria, cada banco instruirá a sus clientes acerca de los pasos que deben seguir para obtener una cuenta de dinero electrónico. El propio banco le facilita gratuitamente el software de cartera, junto con un identificador de la cuenta y una contraseña. En eCash el dinero aparece representado en forma de cupones criptográficos que pueden ser retirados de cuentas bancarias, ingresados en cuenta, o transferidos entre distintas personas (como el dinero normal). El usuario puede almacenar tanto dinero electrónico (cupones) en su cartera como dinero disponga en la cuenta bancaria. A partir del momento en que su cartera tiene efectivo, puede utilizarlo para pagar servicios o productos o incluso para transferirlo a otros usuarios sin necesidad de mediar una relación comercial de compra-venta. Un rasgo fundamental de eCash es que preserva el anonimato de la persona que paga con él, gracias a una firma digital ciega. La responsabilidad de "acuñar" dinero electrónico recae sobre el usuario, cuyo software de cartera se encarga de generar para cada moneda que se desea acuñar un número de serie aleatorio, suficientemente largo para que la probabilidad de repetición tienda a cero. En sí mismo, este número de serie que representa una moneda no posee valor monetario alguno, por lo que requiere la firma del banco, confiriéndole su valor nominal. Sin embargo, si se gasta esta moneda respaldada por la firma del banco, éste sería capaz de seguir su pista precisamente porque fue firmada por él. Bastaría con que registrase su número de serie y cuando algún comerciante acudiera al banco para hacer efectivo el pago que recibió en moneda electrónica, podría saber en qué se gastó y por quién. Para evitarlo, antes de enviar la moneda para que la firme el banco, se multiplica el número de serie por un factor, conocido como factor ciego, cuyo cometido es disfrazar el verdadero número de serie del Equipo 7 Página 6
  7. 7. dinero. Ahora sí, el usuario firma el nuevo número (el resultado de multiplicar el número aleatorio original por el factor ciego) y se lo envía al banco. El banco examina la firma digital para asegurarse de la identidad del cliente. En este punto, se le asigna el valor a la moneda acuñada por el usuario. Si éste solicitó una moneda de cien pesetas, el banco la firmará con la firma que posee para monedas de cien pesetas. Si el usuario acuñó una moneda de quinientas pesetas, entonces el banco utilizará su firma para monedas de quinientas pesetas, etc. Al mismo tiempo, el banco retirará una cantidad equivalente de la cuenta que el usuario posee con él. Cuando el usuario recibe la moneda firmada por el banco, verifica la autenticidad de la firma y extrae el número de serie original dividiendo por el factor ciego. De esta forma, ahora posee una moneda firmada por el banco, pero cuyo número de serie desconoce el banco. Puede gastarla sin problemas, y cuando el receptor de la moneda acuda con la moneda al banco a hacerla efectiva, éste no será capaz de relacionarla con el usuario, ya que firmó un número de serie distinto, preservándose así la privacidad. Millicent Millicent es un protocolo ligero y seguro para el comercio electrónico a través de Internet. Está diseñado para apoyar las compras que cuestan menos de un centavo. Se basa en la validación descentralizada de dinero electrónico en el servidor del proveedor sin ninguna comunicación adicional, cifrado caro, o el tratamiento en línea. Las innovaciones clave de Millicent son el uso de intermediarios y de los vales. Corredores de hacerse cargo de la gestión de cuentas, facturación, mantenimiento de la conexión, y el establecimiento de cuentas con los proveedores. Scrip es de dinero digital que sólo es válido para un proveedor específico. El proveedor local valida la alforja para evitar el fraude de los clientes, tales como el gasto doble. Equipo 7 Página 7
  8. 8. CyberCash Constituye un mecanismo de pago muy similar a SET, que ofrece a los comerciantes una solución rápida y segura para procesar los pagos con tarjeta de crédito a través de Internet. Al igual que en SET, el usuario necesita utilizar un software de cartera que reside permanentemente en su máquina, como en el caso de Microsoft Wallet o de carteras propietarias de casas de medios de pago o bancos, o bien residen en el servidor de CyberCash, como la cartera de InstaBuy. Por su parte, el comerciante necesita instalar un software en su servidor, Merchant Connection Kit (MCK), parte del sistema global llamado CashRegister 3 Service, que puede adquirirse registrándose en CyberCash e incluye guiones, plantillas y bibliotecas para que los servidores de los comerciantes se conecten al servidor de CyberCash. De esta forma, el comerciante no necesita adquirir un sistema de back-office para el procesamiento de las operaciones de venta con tarjeta, puesto que es el servidor de CyberCash, y no el del comerciante, el que gestiona con el banco todas las complejas operaciones de pago. Desde el punto de vista del cliente, esta estrategia le concede mayor seguridad, al implicar que su número de tarjeta nunca llega a ser conocido por el comerciante, sino solamente por el servidor de CyberCash y, por supuesto, por los bancos participantes. Seguridad Para El Comercio Electronico Un sistema es seguro si se puede confiar en él y se comporta de acuerdo a lo esperado. La seguridad se basa en conceptos como la confianza y el acuerdo. La seguridad es un conjunto de soluciones técnicas, métodos, planes, etc. con el objetivo de que la información que trata nuestro sistema informático sea protegida. Lo más importante es establecer un plan de seguridad en el cual se definan las necesidades y objetivos en cuestiones de seguridad. El término seguridad es muy amplio y comprende distintos aspectos: • Confidencialidad: la información sólo puede ser accedida por aquel que esté autorizado. • Integridad: La información no puede ser eliminada o modificada sin permiso. •Disponibilidad: La información tiene que estar disponible siempre que sea necesario, evitando por tanto, ataques externos que puedan reducir esta disponibilidad o incluso una caída del servicio. Equipo 7 Página 8
  9. 9. •Consistencia: Hay que asegurar que las operaciones que se realizan sobre la información se comporten de acuerdo a lo esperado. Esto implica que los programas realicen correctamente las tareas encomendadas. • Control: Es importante regular y controlar el acceso a la información de la empresa. Amenazas de seguridad para el comercio electrónico Unas de las preguntas que debemos hacernos a la hora de diseñar y analizar un sistema son:  ¿qué quiero proteger?  ¿quién podría entrar en mi sistema?  ¿y cómo? También hay que identificar los posibles riesgos: virus informáticos, intrusos en la red (hackers), empleados malintencionados, pérdidas de backups, etc. Implementación de condiciones de seguridad para el comercio electrónico Criptografía y autentificación Como elementos indispensables para implementar un sistema seguro está la criptografía y los mecanismos de autentificación. La criptografía es una disciplina muy antigua cuyo objeto es la de ocultar la información a personas no deseadas. La base de la criptografía ha sido el cifrado de textos. Criptografía El cifrado es el proceso por el que un texto es transformado en otro texto cifrado usando una función matemática (también denominado algoritmo de encriptación) y una clave. El descifrado es el proceso inverso. El objetivo de la criptografía se puede resumir en asegurar la:  Confidencialidad: el mensaje no puede ser leído por personas no autorizadas.  Integridad: el mensaje no puede ser alterado sin autorización.  Autentificación: se puede verificar que el mensaje ha sido enviado por una persona, y recibido por otra.  No repudio: significa que después de haber enviado un mensaje, no se puede negar que el mensaje no es tuyo. Equipo 7 Página 9
  10. 10. El cifrado es necesario entre otras funciones para: • Proteger la información almacenada en un ordenador • Proteger la información transmitida desde un ordenador a otro. • Asegurar la integridad de un fichero. El cifrado también tiene sus límites ya que no puede prevenir el borrado de información, el acceso al documento antes de su cifrado, por lo que un plan de seguridad no se puede basar simplemente en el cifrado de la información. No todas las formas de cifrado tienen la misma seguridad. Hay cifrados muy simples que son fáciles de romper (se denomina romper un cifrado a la obtención del mensaje cifrado o la clave) y otros muchos más complejos que requieren de técnicas muy complejas para su descifrado. Hay que comentar que no existen mecanismos de cifrado totalmente seguros, ya que con un ordenador lo suficientemente potente (o muchos a la vez) y el tiempo necesario (años o siglos) siempre será posible romper el cifrado. Por lo tanto, el objetivo de la criptografía es obtener mecanismos de cifrado que sean lo suficientemente complejos para evitar su descifrado usando la tecnología actual. Hay dos tipos básicos de algoritmos de encriptación: • Clave secreta (o clave simétrica): utiliza la misma clave para cifrar y descifrar un mensaje. Estos métodos de cifrado se usan principalmente para proteger información que se almacena en un disco duro o para transmisión de datos entre ordenadores. El algoritmo de encriptación más usado de este tipo es el DES (Data Encryption Standard) que usa una clave de 56-bits. Un mensaje cifrado con este algoritmo es bastante seguro aunque ya puede ser descifrado con máquinas muy potentes en menos de un día, por lo que su uso está restringido a ámbitos civiles. Otros algoritmos común- mente usados son el RC2, RC4, RC5 e IDEA. La mayoría de estos algoritmos tienen patente, aunque su uso público está permitido. • Clave pública (o clave asimétrica): que utiliza una clave pública para cifrar el mensaje y una clave privada para descifrarlo. De esta forma cualquiera puede cifrar un mensaje pero sólo quien tenga la clave privada puede descifrarlo. Esto sirve para poder enviar un mensaje a un determinado destino sin que otro pueda descifrarlo. El objeto de estos métodos es el de asegurar la integridad y Equipo 7 Página 10
  11. 11. la autentificación del origen de los datos (por ejemplo, usando firmas digitales). RSA es el algoritmo de encriptación más conocido de clave pública. RSA utiliza una clave pública que es usada para cifrar el mensaje y una clave privada que es empleada para descifrar el mensaje. Seguridad interna En la seguridad interna (o centralizada) se pueden engoblar todos los mecanismos que aseguran el sistema frente a riesgos procedentes del interior de una organización o empresa. Muchos de estos mecanismos sirven también para afrontar riesgos procedentes del exterior. Autentificación Hay que asegurar que cualquier persona que entre en nuestro sistema informático esté autorizado y sólo pueda acceder a la información permitida en función de su cargo o función. La forma habitual de autorizar a una persona es por medio de un identificador de usuario y una clave, y asociando a este usuario una serie de permisos. Por ello, es de vital importancia que estos usuarios y sus claves sean custodiados de forma adecuada. De nada vale implantar un sistema informático de alta seguridad si los usuarios y claves son fácilmente accesibles. Protocolos de seguridad Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y actividades programadas que cumplen con un objetivo especifico y que usan esquemas de seguridad criptográfica. El ejemplo más común es SSL (Secure Sockets Layer) que vemos integrado en el Browser de Netscape y hace su aparición cuando el candado de la barra de herramientas se cierra y también sí la dirección de Internet cambia de http a https, otro ejemplo es PGP que es un protocolo libre ampliamente usado de intercambio de correo electrónico seguro, uno más es el conocido y muy publicitado SET que es un protocolo que permite dar seguridad en las transacciones por Internet usando tarjeta de crédito, IPsec que proporciona seguridad en la conexión de Internet a un nivel más bajo. Equipo 7 Página 11
  12. 12. Protocolo SSL SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar con su banco las compras. El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura (al menos en España, debido a que los navegadores utilizan 40 bits de longitud de clave, protección muy fácil de romper). SSL deja de lado demasiados aspectos para considerarse la solución definitiva:  Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.  No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.  Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento o que ésta no haya sido aprobada. Son demasiados problemas e incertidumbres como para dejar las cosas como están. Se hacía necesaria la existencia de un protocolo específico para el pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por el que se creó SET. Protocolo SET El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas Equipo 7 Página 12
  13. 13. criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc. Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no termina de implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone mejor adaptado? En primer lugar, su despliegue está siendo muy lento. Exige software especial, tanto para el comprador (aplicación de monedero electrónico) como para el comerciante (aplicación POST o terminal de punto de venta), que se está desarrollando con lentitud. En segundo lugar, aunque varios productos cumplan con el estándar SET, esto no significa necesariamente que sean compatibles. Este es un problema que exige mayores esfuerzos de coordinación y más pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son también su talón de Aquiles: la autenticación de todas las partes exige rígidas jerarquías de certificación, ya que tanto los clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que resultan engorrosos, cuando no esotéricos, para la mayoría de los usuarios. En definitiva, SET es un elefante de gran tamaño y fuerza, pero de movimientos extraordinariamente pesados. SSL es una liebre que le ha tomado la delantera hace años. No es tan perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más: ¡el usuario de a pie no tiene que hacer nada! Entretanto, mientras SET llega a la meta o muere por el camino, eso sí, no olvide pagar todas sus compras usando SSL. Firma digital La firma digital es un mecanismo utilizado para asegurar la integridad del mensaje y la autenticación del emisor. Este método consiste en la obtención de un valor hash (concepto explicado más adelante) del mensaje y su posterior encriptación con la clave privada del emisor. En recepción se desencripta el hash con la clave pública del emisor y se compara con otro valor hash obtenido en recepción de forma independiente a partir del mensaje recibido. La firma digital permite soportar el no repudio, característica esencial en entornos de comercio electrónico, ya que la verificación de la firma garantiza que ésta sólo puede haber sido generada por el poseedor de la clave privada; o sea, su usuario legítimo. Equipo 7 Página 13
  14. 14. Equipo 7 Página 14
  15. 15. Referencias “Departamento de Tratamiento de la Información y Codificación” Seguridad en el comercio electrónico. (1999) Recuperado de http://www.iec.csic.es/criptonomicon/susurros/susurros08.html “Wikipedia” Firma Ditigal (2010). Recuperado el 23 may 2010 De. http://es.wikipedia.org/wiki/Firma_digital “Google Docs” Metodos de cifrado y criptografia para Marketing (2010). Recuperado de http://docs.google.com/viewer?a=v&q=cache:2au7o23h7eEJ:www.acta.es/index.php%3Foption% 3Dcom_jdownloads%26Itemid%3D19%26task%3Dfinish%26cid%3D329%26catid%3D15+Metodos +de+cifrado+y+criptografia+para+Marketing&hl=es&gl=mx&pid=bl&srcid=ADGEESg6nQP5uvpdILG ijmO9Lc1EO66f49HrSfu4dViWIkVzDWtzl_dtAjGTJJ8vc7BFVj- RXyS55Fc4t7dqBTo1IrNir2DHri3pSpMkFTW474o_m- 5QUC5KTbmyMLj9d0WKcts7Up46&sig=AHIEtbTAlG27fQmB-4zFSPRdeaFyb_Xd6g Equipo 7 Página 15

×