Tema 6 - Departament d'Informàticainformatica.uv.es/iiguia/IST/Tema6.pdf · ? ... los medios que mantiene un ritmo de crecimiento más fuerte (previsión de ...Mueven directamente

IST - 2006 Comercio electrónico y Seguridad 1

Tema 6: Comercio electrónico y seguridad.

1. Introducción al comercio electrónico2. Modelos de comercio electrónico3. Medios de pago en el modelo B2C4. Protocolo SSL5. Protocolo SET6. Protocolo 3-D Secure7. Garantías contractuales


1. Introducción al comercio electrónico

Introducción

? Comercio electrónico: cualquier forma de transacción comercial realizada a través de medios electrónicos.?Compra-venta de productos y servicios a través de Internet.

? No consiste sólo en trasladar el modelo tradicional a la red. Pasa por rediseñar:? La estrategia de mercado.? Suministro y distribución? Los sistemas de información de la empresa:?Crear páginas web.?Catálogos electrónicos.

? Una aplicación web accesible a través de Internet automatiza el proceso de compra y venta.


1. Introducción al comercio electrónico

Ventajas frente al comercio tradicional

? Incremento potencial de clientes y ventas.?No se necesitan años para crear una empresa con ámbito

internacional.

? Incremento en la eficacia.? Proceso de compra y venta automatizado.

? Reducción de costes.? Los costes de interacción no son tan elevados.? El acceso a la información no es caro ni restringido.


2. Modelos de comercio electrónico

Clasificación

? Comercio entre consumidores (C2C)? Los consumidores se venden cosas entre sí directamente.?http://www.ebay.com

? Comercio consumidor-empresa (C2B)? Los consumidores se ponen en contacto con la empresa para

ofertar sus precios a la hora de comprar productos.?http://www.priceline.com

? Comercio empresa-consumidor (B2C)? La empresa vende directamente al consumidor.?http://www.amazon.com

? Comercio entre empresas (B2B)? Intercambios comerciales entre empresas.?http://www.B2BToday.com

? Comercio promulgado por la administración (A2B/C/A)



Datos sobre el comercio exterior electrónico

? Vivimos en un mercado global (abierto y competitivo) donde el e-commercesupera los 2,2 billones de dólares anuales de facturación.

? Internet está registrando un considerable aumento del valor de sus transacciones tanto B2B (expansión) como B2C (relanzamiento).

? El B2B alcanzará el 22% del total del Comercio Europeo entre empresas en el 2006, según Forrester Research.

? Líderes: Escandinavia, Alemania, Reino Unido y Francia.? La UE ya tiene más internautas que EE. UU. (186 Mill, frente a 183), según

n-economía. ? En la UE se navega más rápido que en EE.UU., España incluida (según

Nielsen/Net Ratings Inc.)? España en penúltimo lugar del ranking de tasa de penetración en los

hogares en la UE (escasas perspectivas para el B2C). Sólo teníamos 7,9 millones de internautas (junio2003).

? En toda la UE, la firma electrónica otorgará el mismo valor legal a los documentos intercambiados en formato electrónico (intervenido ante notario)



Modelo B2C (I)? Venta directa al consumidor.?Requiere infraestructura ubicua de bajo coste.

? Elementos a tener en cuenta:?Medio de pago, aspectos de seguridad, protección de los datos,

forma de envío, garantía, devoluciones, etc.

? Tienda virtual: El cliente compra a través de una aplicación web. ? Incorpora:?Catálogo electrónico.?Carrito de la compra.?Elementos de seguridad y pasarelas de pago o TPV Virtual?La aplicación se comunica con el sitio web del banco?Envía el número de la tarjeta de crédito encríptado.?El banco comprueba la validez y realiza el cobro.?El banco le comunica a la aplicación si ha tenido éxito.



Modelo B2C (II)? Ventajas:? El cobro se realiza al instante.?El cliente puede encontrarse físicamente en cualquier lugar.

? Seguridad:?Para el cliente: usando por ejemplo pasarelas de pago o SET?Para el vendedor: el banco verifica la autenticidad y los fondos.

?Otras ventajas para el cliente: comodidad, información, ahorro de costes, de tiempo, comparar precios, comprar productos no habituales, etc.

? Desventajas? Las comisiones cobradas por los bancos son altas.?Costes de envío.?Desconfianza del cliente:?En los medios de pago.?En el producto que compra: no se ve ni se toca.



B2C en España (I)AECE:

? 2004. El comercio en Internet genero un volumen de 1837 millones de euros. ? 307.2 millones de € más que el año pasado. Lo que supone un incremento del 20% en la cifra total

de negocio.



B2C en España (II)? INTERNAUTAS COMPRADORES.



B2C en España (III)

¿Qué han comprado?



B2C en España (IV)? ¿Cómo han pagado?



B2C en España (V)

? ¿Por qué compra en Internet?



B2C en España (VI)? ¿Por qué no compra en Internet?



B2C en España (VII)

? ¿De qué depende que en futuro realice más compras?



Modelo B2B (I)

? Comercio electrónico entre empresas:? Aumenta en complejidad.

? Es un mercado más atractivo para las empresas.? El volumen de negocio es mayor.

? Elementos a tener en cuenta:? Información sobre los productos, Negociación de precios,

Aprovisionamiento, Pagos, Facturas, etc.

?Mercados:?Horizontales:?Conecta empresas de todos los sectores.?Comprar, vender, subastar cualquier producto.?Ej: http://www.opciona.com

? Verticales (siguiente transparencia)



Modelo B2B (II)

?Mercados B2B Verticales.?Centrados en un sector.?Ofrecen servicios como petición de ofertas, concursos,

licitaciones, etc.? La información es confidencial.? Ej: http://www.consumalia.com?La empresa compradora realiza su petición.?Los proveedores son notificados por email.?Los proveedores realizan su oferta.?La empresa compradora adjudica su oferta e informa a los

proveedores.?Consumalia simplifica las gestiones de compra y venta.?Cobra una cuota anual que factura al proveedor.



B2B en España (I)

? Grado de implantación en 2003

? Conocimiento sectorial? El 7,6 % de las empresas conocen a otras empresas del sector que

están realizando B2B

Sí7,6%No

78,3%

NS/NC14,1%

Sí6,8%

No93,2%



B2B en España (II)

? Valoración (1 a 5) del motivo por el que no realizan comercio B2B

3 , 1 1

3 , 0 5

2 , 9 7

2 , 9 3

2,8

2 , 7 6

2 , 7

2 , 6 7

2 , 6 4

2,6

2 , 0 1

1 , 7 3

0 5

N o l o h a n s o l i c i t a d o , n i c l i e n t e s , n i p r o v e e d o r e s

D e s c o n o c i m i e n t o

N u e s t r o s p r o d u c t o s / s e r v i c i o s n o l o p e r m i t e n

N o s e u t i l i z a e n e l s e c t o r

F a l t a d e p e r s o n a l a d e c u a d o

D e s c o n f i a n z a . F a l t a d e s e g u r i d a d e n e l s i s t e m a

E l e v a d o c o s t e d e d e s a r r o l l o y m a n t e n i m i e n t o

F a l t a d e b e n e f i c i o s t a n g i b l e s p a r a n u e s t r a e m p r e s a

C o m p l e j i d a d e n e l p r o c e s o c o m e r c i a l ( c o m p r a - v e n t a )

D i f i c u l t a d e s t é c n i c a s d e i n t e g r a c i ó n

E s t á e n p r o y e c t o

D e p e n d e d e l a m a t r i z



B2B en España (III)

? Sector de actividad (%) de las empresas que comercio B2B TOTAL

B: 137 Comercio al por menor 16,3 Otras actividades empresariales 13,0 Construcción 11,6 Hostelería 9,4 Comercio al por mayor 9,3 Actividades anexas a los transportes 6,4 Actividades inmobiliarias 6,2 Venta mantenim. y reparación vehículos motor 5,9 Transporte terrestre 4,9 Actividades informáticas 4,6 Activ, Aux. a la intermediación financiera 2,3 Fabricación productos metálicos 2,0 Educación 1,5 Actividades sanitarias 1,1 Actividades diversas de servicios personales 1.0 Edición artes gráficas 0,8 Fabricación productos minerales no metálicos 0,8 Actividades recreativas 0,7 Ind. Productos alimenticios y bebidas 0,6 Alquiler maquin. Y equipo sin operario 0,6 Actividades asociativas 0,6 Industria textil 0,2 Industria de la construcción de maquinaria 0,2 Fabricación de muebles 0,1 Industria de la confección - Industria de la madera -



B2B en España (IV)

? Beneficios obtenidos por las empresas que utilizan B2B

52,7

52,5

45

44,1

39,8

39

15,7

1,4

3,2

4

0 10 20 30 40 50 60

Ahorro de costes

Reducción tiempoaprovisionamiento

Mejora del servicioal cliente

Optimización delos procesos

Mejora de lacompetitividad

Automatización delos procesos

Reducción destocks

Ampliar clientes/mercado

Otros

NS/NC



Modelo A2B/C/A

? A2A: Administración a Administración ( e-goverment). Modelo dirigido por organizaciones gubernamentales .?Más restrictivos debidos a regulaciones gubernamentales.

? A2B: Administración a Empresas.? Publicación de disposiciones administrativas, pago de

impuestos y tasas vía Internet, cotizaciones SS., información de subvenciones, tramites para la creación de empresas, etc.

? Ej.: http://www.administracion.es

? A2C: Administración al consumidor.? Ventanilla única electrónica.? Empleo público, consulta de trámites legales, pago de

impuestos, alta de padrón, certificados, etc.? Ej.: http://www.seg-social.es



Crear empresas en Internet

?Obtener un certificado de sección de denominaciones del Registro Mercantil Central (http://www.rmc.es)

? Crear una aplicación web y alojarla en un servidor.? Servidor propio alojado en la propia empresa.?Housing: servidor propio alojado en una empresa proveedora

de servicio.?Hosting: servidor compartido por varias empresas (mejor

precio).

? Registrar un dominio:?Registro oficial en España (.es): http://www.nic.es?Registro oficial en EEUU (.com, .org, .net, etc.):

http://www.icann.org

? Búsqueda de ayudas:? http://www.ayudas.net



Publicidad en Internet

?Como viene ocurriendo desde finales de 2003 Internet es uno de los medios que mantiene un ritmo de crecimiento más fuerte (previsión de incremento respecto a 2004: 20,3%),

? Los ingresos por publicidad son altos, pero debe ir bien dirigida.? Recoger y memorizar los gustos y hábitos del usuario. ¿Cómo??Ficheros de log: registra la fecha, dirección IP, páginas visitadas, etc.?Cookies: registra información sobre las páginas visitadas en ese

servidor, incluso en otros servidores (www.dobleclick.net)?Web bugs: gráfico pequeño y transparente oculto en las páginas web.

Actúan como micrófonos ocultos. Recogen los hábitos de navegación.

? Formas de publicitar:? Banners, layers, flash, pop-up windows, etc.


3. Medios de pago en el modelo B2C

Sistemas de pago(I)

? Tarjetas de crédito/débito? Es el medio más popular? Visa / MasterCard protegen al cliente? El banco carga un porcentaje de la venta al comercio

? Dinero electrónico? Anónimo (comprador)? Sin costes para el comercio

? Transferencias electrónicas? Son bastante comunes.?Mueven directamente el dinero de la cuenta del cliente a la del

comercio.?Con costes para el cliente.

?Otros medios (clásicos)?Contra reembolso, domiciliación, cheques, etc.



Sistemas de pago(II)



Tarjetas de crédito

Internet

Factura y pago

Propietario tarjeta

Banco del comerciante

Banco emisor de la Tarjeta

Comercio virtual

Red privada de pago

Línea telefónica



Seguridad en el pago con tarjetas

? Estos medios de pago pueden plantear problemas de seguridad:? Ataques pasivos: escucha del tráfico.? Ataques activos: suplantación del usuario o del comercio,

alteración de los mensajes, modificación de la información en el servidor, etc.

? Para evitar estos problemas y ganar la confianza del comprador se usa:?Criptografía.? Autentificación de usuarios.? Firmas digitales.?Certificados digitales.



Protocolos seguros para tarjetas (I)

? SSL y TSL? Seguridad con claves públicas? El sistema más utilizado

? SET? Autentifica todas las partes con certificados? Aceptación muy lenta

? 3-D Secure? Autentificación del usuario sin certificados? Expansión rápida



Protocolos seguros para tarjetas (II)


4. Protocolo SSL

SSL y TSL? SSL (Secure Sockets Layer) y TSL (Transport Secure

Layer) son protocolos de propósito general para establecer conexiones seguras.?No son protocolos de págo? SSL es original de Netscape (1994).?Ultima versión: SSLv3

? El grupo TLS se formó dentro del IETF.?La primera versión de TLS puede verse como SSLv3.1

SSL Capa de Seguridad

TCP Capa de Transporte

IP Capa de Red

Red Física

HTTP Capa de Aplicación

HTTPS

?Es el protocolo de seguridad más utilizado actualmente ?Es capaz de asegurar cualquier protocolo de la capa de aplicación que trabaje sobre TCP:?HTTPS, SFTP, SSH, etc.


InternetCanal seguro

4. Protocolo SSL

SSL y el comercio electrónico

? Permite al usuario sin un certificado enviar eficientemente los datos de la tarjeta de crédito

Factura y pago

Propietario tarjeta


Banco emisor de la Tarjeta

Comercio virtual

Red privada de pago

Línea telefónica


4. Protocolo SSL

Servicios

? SSL cifra los datos sirviéndose de:?Criptografía de clave privada (simétrica)?Posibilidades: DES, 3DES, RC2, RC4 o IDEA?Para el intercambio de datos.

?Criptografía de clave pública (asimétrica): RSA o Diffie-Hellman?En los certificados digitales y en el cifrado de la clave de

sesión.

? SSL autentifica al servidor?Utilizando certificados digitales X.509 v3.?Opcionalmente, también puede certificar al cliente.

? SSL asegura la integridad de los datos? A través de códigos de autentificación de mensajes (MAC) que

utilizan algoritmos de resumen digital (hash)?Posibilidades: MD5 o SHA-1


4. Protocolo SSL

Sesiones SSL

? Concepto de sesión en SSL:? Asociación entre cliente y servidor.?Cada sesión tiene sus parámetros de seguridad, compartidos

entre varias comunicaciones (no varían durante la sesión).?Identificador de sesión, certificados X.509v3 del par, método

de compresión, algoritmos de cifrado, clave maestra, es reanudable, etc.


4. Protocolo SSL

Arquitectura SSL

? SSL es un conjunto de Protocolos distribuidos en dos niveles:? En el nivel inferior se sitúa el Protocolo Record: ?Encargado de fragmentar y cifrar los paquetes.

? En el nivel superior: Handshake, Change Cipher Spec y Alert.?Gestionan los intercambios SSL


4. Protocolo SSL

Protocolo Record

? Proporciona dos servicios a las conexiones SSL:?Confidencialidad: Encriptación simétrica.? Integridad: Código de autentificación de mensajes (MAC)

? Divide los datos en varios fragmentos a los que aplica las siguientes operaciones:

Datos de la aplicación

Fragmentados

Comprimidos

Añadida MAC

Encriptados

Con cabecera SSL


? Protocolo para el intercambio de las especificaciones del cifrado (Change cipher spec.).? Es el más simple.

? Protocolo de Alerta (Alert).?Utilizando para el intercambio de mensajes especiales (notificar

avisos o errores).

? Protocolo de negociado (Handshake).? Es la parte más compleja del protocolo SSL? Permite al servidor y al cliente autentificarse el uno al otro.?Negocia el algoritmo de encriptación, los algoritmos MAC y las

claves de encriptación que luego se utilizarán en el p. Record? Se utiliza antes de transmitir cualquier dato de la aplicación

(mensajes HTTP)

4. Protocolo SSL

Partes en el nivel superior


4. Protocolo SSL

Protocolo Handshake (I)Cliente Servidor

Tie

mpo

Client_hello

Server_hello

Certificate

Server_key_exchange

Certificate_request

Server_hello_done

CertificateClient_key_exchange Certificate_verify

Change_cipher_spec Finished

Change_cipher_spec

Finished

Fase 1: Establecimiento de las capacidades, versión del protocolo, ID sesión, suite de cifrado, nº aleatorios

Fase 2: El servidor envía su certificado, intercambio de clave, solicitud de certificado. Tb. Señala el final.

Fase 3: El cliente envía su certificado, el intercambio de clave, y puede que la verificación de su certificado.

Fase 4: Intercambio de suite de cifrado y finalización del protocolo


4. Protocolo SSL

Protocolo Handshake (II)

? Fase 1: Establecimiento de las capacidades de seguridad.?Comienza el intercambio el cliente, enviando “Client_hello”:?Versión SSL del cliente, lista de algoritmos criptográficos, lista

de métodos de compresión, etc.? El cliente espera “Server_hello”.?Versión SSL del servidor, algoritmo de cifrado elegido por el

servidor, algoritmo de compresión elegido por el servidor, etc.

? Fase 2: Autentificación del servidor e intercambio de claves.? El servidor envía su certificado X.509v3 y otros datos? Por último, “Server_hello_done” para indicar el final de la fase.


4. Protocolo SSL

Protocolo Handshake (III)

? Fase 3: Autentificación de cliente e intercambio de claves.? El cliente comprueba la validez del certificado y los parámetros

enviados en la fase 1.? Envía “Client_key_exchange”: la clave simétrica (cifrada)

? Fase 4: Finalización? El cliente envía un mensaje “Change_cipher_spec”.? Luego envía un mensaje “finished” utilizando los nuevos algoritmos

y claves.?Confirma que el intercambio de claves y los procesos de

autentificación fueron satisfactorios.? En respuesta el servidor envía su propio mensaje

“Change_cipher_spec” y “finished”? La negociación se ha completado y las partes pueden comenzar a

intercambiar datos en el nivel de la aplicación


4. Protocolo SSL

TSL (Transport Secure Layer)

? Iniciativa de la IETF para construir una versión estándar de SSL: Propuesta como RFC 2246.

? Utiliza el mismo formato para la cabecera de los paquetes que SSL.

? Es muy similar a SSLv3, pero difiere en:?Número de versión.? En el código de autentificación del mensaje (MAC).? En la función pseudo aleatoria.? En los códigos de alerta? En la lista de algoritmos de cifrado.? En los tipos de certificado del cliente.? En los mensajes de verificación del certificado y de finalización.? En algunas partes del algoritmo criptográfico.


4. Protocolo SSL

Puntos débiles

? SSL provee confidencialidad en el pago electrónico.?Garantiza la creación de un canal seguro entre cliente y servidor.

? Sin embargo, presenta algunas carencias y problemas:? Sólo protege transacciones entre dos puntos, sin embargo una

operación de pago involucra también al menos a un banco.?No protege al comprador frente al vendedor. Este obtiene

información de la tarjeta que podría utilizar ilícitamente.?No hay autentificación de tarjetas: cualquier persona con acceso

al nº de una tarjeta podría realizar una transacción.?El comercio asume la responsabilidad en caso de disputa por uso

indebido.

?No hay recibos: cualquier reclamación queda a la buena voluntad del vendedor.


5. Protocolo SET

Introducción

? Protocolo de pago electrónico SET (Secure ElectronicTransactions):?Desarrollado por varias entidades de crédito y empresas

informáticas:?MasterCard, Visa, IBM, Microsoft, Netscape, RSA, Terisa y

Verisign.? Es actualmente uno de los modos más seguros de realizar

transacciones con tarjetas de crédito a través de Internet.?A diferencia de SSL, fue diseñado expresamente para el

comercio electrónico.?No es un sistema de pago. Es un conjunto de protocolos y

formatos estándar.


5. Protocolo SET

Servicios que ofrece SET (I)

? Utiliza los mejores algoritmos de seguridad para proteger a todas las partes legítimas.?No dependen de los mecanismos de seguridad de las capas

inferiores, ni evitan su uso.? Son independientes de la plataforma software y hardware.? Sin embargo, cliente y comercio necesitan un software

específico y certificados proporcionados por el banco.

? Transmite de forma confidencial la información.? La información de la tarjeta del titular así como del pago viajan

de forma segura por la red (cifrado RSA y DES).?Cada tipo de información sólo es accesible por los implicados.?El comerciante no accede a la información de la tarjeta.?El banco no accede a la información de la compra.


5. Protocolo SET

Servicios que ofrece SET (II)

? Asegura la integridad de los datos.? Los contenidos del pago (información de la tarjeta y del pedido)

no puede ser alterados (SHA-1).?Reduce las disputas y el repudio

? Autentifica que el consumidor está legitimado para el uso de la tarjeta de crédito.? Autentifica al usuario con certificados digitales X.509 v3? Verifica la disponibilidad de crédito.

? Autentifica que el comerciante es quien dice ser y acepta transacciones con tarjetas.?Utiliza para ello certificados digitales X.509 v3


5. Protocolo SET

Participantes

Internet

Internet

Autoridad Certificadora

Propietario tarjeta


PasarelaBanco emisor de la Tarjeta

Comercio virtual

Red privada de pago

Red privada de pago


5. Protocolo SET

Secuencia de eventos

? Secuencia de pasos necesarios para realizar una transacción:? El comprador abre una cuenta en el banco emisor.? Obtiene una tarjeta de crédito.? Recibe un certificado X.509v3 firmado por el banco.? Recibe el software cliente.

? El vendedor posee su propio certificado y software.? El comprador realiza un pedido.? Se verifica el comercio.? Se envían la orden de compra y la de pago.? El vendedor solicita la autorización del pago.? El vendedor confirma la orden de compra.? El vendedor suministra los productos o servicios.? El vendedor solicita el pago.


5. Protocolo SET

Firma Dual (I)

? Información en una transacción SET? Privada entre el consumidor y el comercio?Orden de compra.

? Privada entre el consumidor y el banco?Información de pago (número de la tarjeta).

? SET ofrece una protección extra manteniendo esas informaciones separadas. Sin embargo, deben estar asociadas para resolver posibles disputas.? SET incluye ambas informaciones en una sola transacción

firmada mediante una firma dual.? Es una innovación importante introducida por SET.?Resulta de la concatenación de los compendios de ambas

informaciones firmada con la clave privada del consumidor.


5. Protocolo SET

Firma Dual (II)

PIMD

OIMD

? ? Hash POMD Encriptación

Clave privadacliente

Firma Dual

Comercio

BancoPI

OI Hash

Hash

Clave públicacliente


5. Protocolo SET

Proceso del pago: solicitud de compra? El proceso de pago consta de: solicitud de compra +

autorización de pago + captura de pago.? Solicitud de compra (comprador):? El comprador solicita los certificados públicos al vendedor.?Crea el mensaje de solicitud de compra donde se incluye:?Información sobre la compra: ?Dirigida al comercio?Firma dual + OI + PIMD, encriptado con la clave pública del

comercio?Información sobre el pago?Lo recibe el comercio y lo reenvía a la pasarela.?Firma dual + PI + OIMD, encriptado con la clave pública de la

pasarela?SET no proporciona al comercio el número de la tarjeta.

?Certificado del comprador (con su clave pública)


5. Protocolo SET

Proceso del pago: autorización de pago

? El vendedor confirma con la pasarela de pago que recibirá el pago.? El vendedor envía a la pasarela:?Información sobre el pago recibida del cliente.?Información relativa a la autorización.?Un identificador de la transacción firmado con la clave privada

del vendedor y cifrado DES.?Certificados del comprador y del vendedor.

? La pasarela:?Verifica los certificados.?Descifra la orden de pago.?Solicita y recibe una autorización del banco emisor.?Envía al vendedor información relativa a la autorización y un

bono de captura.


5. Protocolo SET

Proceso del pago: captura de pago

? Para el cobro del dinero, el vendedor envía a la pasarela la captura de pago.? El vendedor genera, firma, cifra y envía un mensaje de solicitud

de captura.?Incluye: cantidad a cobrar, identificador de la transacción y

el bono de captura.? La pasarela:?Descifra la solicitud de compra y verifica el bono de captura.?Crea una solicitud de liquidación con el banco emisor.?Notifica al vendedor la realización del pago.


5. Protocolo SET

Ventajas / desventajas

? Principales ventajas de SET:? Asegura la confidencialidad de la información de pago en todos

los estados de la transacción.? Evita que el comercio acceda a los datos de la tarjeta.? Evita que el banco acceda a la información de los productos

comprados.

? Desventajas:? Es muy costoso para el cliente y para el comercio? Excesivamente rígido y complejo (especificación: 600 hojas).?Es mucho más complejo que SSL/TSL

? El cliente necesita un software especial, además de un certificado que lo identifique?El cliente sólo puede realizar compras desde el PC donde

esté instalado el software con su certificado.? Los mecanismos de encriptación usados son muy lentos.


6. Protocolo 3-D Secure

Introducción

? SSL/TSL no verifica la identidad del cliente.? SET no ha logrado una gran implementación? En 2001 Visa y MasterCard introducen 3-D Secure

? Es un protocolo de pago más sencillo y flexible? Emplea SSL/TSL para la transmisión segura de la información a

través de Internet.? El cliente no necesita ningún software especial?El servidor tan sólo un plug-in

? Autentifica al usuario sin un certificado?Requiere del usuario, en tiempo real, una contraseña

proporcionada por el banco y no por el comercio? El banco confirma la identidad del usuario al comercio



Beneficios del uso de 3-D secure? Para los bancos (emisor y del comerciante)? Evita el uso fraudulento de tarjetas por terceros? Aumenta el número de ventas (mayor confianza del cliente)?Decrece el número de disputas

? Para el propietario de la tarjeta? Fácil de usar?No necesita software especial? Aumenta la confidencialidad de los datos de la tarjeta? Evita el uso fraudulento de la tarjeta por terceros

? Para el comercio? Fácil de integrar. Necesita sólo un plug-in? Aumenta las ventas?Recibe al instante y a través de Internet la confirmación del banco?Reduce el fraude y las disputas



Modelo 3-D (3 Dominios)

comercio

Dominio emisor

Propietariotarjeta

Pasarela depago 4B

Domino interoperabilidad Dominio b. comercio

Banco emisor

Internet

Banco comercio

Red privada



Proceso del pago (I)

ClienteComercio

Plug-in Banco

Plug-inPasarela

B. Emisor

ServidorControl Acceso

3-D Secure

B. Comercio

Pasarela

Pasarela 4B

1. Visita la página del comercio

2. El Plug-in comprueba la participacióndel banco emisor con la pasarela 4B

3. La pasarela 4B comprueba la participación

de la tarjeta con el b. emisor

Red privada de pago

SSLSSL

SSL



Proceso del pago (II)

ClienteComercio

Plug-in Banco

B. Emisor


3-D Secure

B. Comercio

Pasarela

Pasarela 4B

Red privada de pago

6. El Plug-in redireccióna al navegador del cliente al Servidor del

Control de Acceso.

5. Localización del Servidor del Control de Acceso del banco emisor

4. El b. emisor confirma la participación de la tarjeta

SSLSSL

ComercioPlug-in Banco

Plug-inPasarela

SSL



Proceso del pago (III)

ClienteComercio

Plug-in Banco

B. Emisor


3-D Secure

B. Comercio

Pasarela

Pasarela 4B

Red privada de pago

7. El Control de accesosolicita usuario y contraseña

8. El cliente se identifica

9. El Control de Accesovalida los datos, firma la

respuesta y redirecciona al navegador al Plug-in

Pasarela del comercio

SSL

Plug-inPasarela



Proceso del pago (IV)

ClienteComercio

Plug-in Banco

B. Emisor


3-D Secure

B. Comercio

Pasarela

Pasarela 4B

Red privada de pago

14. El comercio confirma la transacción y emite el recibo al cliente

10. El comercioenvía los datos

de la transacción a

su banco

12. El banco emisor confirma la autorización

13. El bancoresponde al

comercio11. El banco del comercio solicita la autorización de

la operación

SSL

SSL

Plug-inPasarela



Seguridad

? Confirma los datos de la tarjeta antes de comenzar el proceso

? Comprueba que el usuario de la tarjeta sea su legítimo dueño?Contraseña

? Establece una comunicación segura entre todas las partes?Usando SSL en Internet y una red privada de pago?Asegura la autenticidad del comerciante, de los bancos y de

la pasarela de pago 4B?Asegura la confidencialidad de la comunicación y de los

datos del propietario de la tarjeta?Asegura la integridad de los datos y el no repudio.



Ejemplo (I)

? El proceso comienza cuando el cliente desea realizar la compra



Ejemplo (II)

? Aparece una ventana de “Verified by Visa”



Ejemplo (III)

? La ventana permite la introducción de la contraseña.



Ejemplo (IV)

? El cliente es devuelto al portal del comerciante.


7. Garantías Contractuales

Certificados Digitales

? Los certificados digitales permiten comprobar la identidad de unapersona o comercio a través de Internet.? Para que un certificado sea válido tiene que ir firmado por unaEntidad de Certificación.? Las Entidades de Certificación permiten que el usuario puedacomprobar la autenticidad y validez de un certificado.? La Entidad de Certificación más conocida se llama VeriSign.www.verisign.com? En España las más importantes son: FNMT (Fábrica Nacional deMoneda y Timbre), y ACE (Agencia de Certificación Electrónica).? Cuando una página web contiene un certificado, el navegador nosmostrará un mensaje, pudiendo comprobar su validez mediante laEntidad de Certificación.



FIRMA ELECTRÓNICA (I)

?El 11/12/03 se promulgó la Ley de Firma Electrónica.?Complementa al Real Decreto de 1999.? Desde entonces se vienen admitiendo

Declaraciones de la Renta (IRPF) y algunos impuestos de Comercio Exterior (DUA, Intrastat…) mediante firma electrónica.?La Ley viene a clarificar y simplificar conceptos

(“firma electrónica reconocida”).?Entidades certificadoras (más garantías).



FIRMA ELECTRÓNICA (II)



CARNET ELECTRÓNICO

?Experiencia piloto: segundo semestre 2005.?Después, en 6 meses, la experiencia piloto se

extenderá al resto del país.?Hacia mediados – finales del 2006 los DNI nuevos

serán digitales.?Aunque algunas declaraciones hablan también del

2007, parece que será una realidad total en el 2008…

?Desde entonces, se espera renovar una media de 6,5 millones de DNI al año.

?El DNI electrónico incorporará un chip y permitirá la identificación del usuario a través de internet: firma electrónica avanzada.

Documents

Tema 6 - Departament d'Informàticainformatica.uv.es/iiguia/IST/Tema6.pdf · ? ... los medios que mantiene un ritmo de crecimiento más fuerte (previsión de ...Mueven directamente