La especificación SET describe una forma segura de realizar transacciones comerciales en Internet mediante el uso de protocolos de seguridad que permiten utilizar la infraestructura existente de pagos con tarjeta de crédito de forma segura. SET proporciona confidencialidad, integridad y autenticación para las transacciones mediante el uso de cifrado, firmas digitales y certificados. Las principales transacciones SET son la petición de compra, la autorización de pago y el cobro de la operación.
2. Especificación SET
• Describir una forma segura de transacciones
comerciales seguras por Internet
• Conocer los requisitos y aspectos claves contenidos
en la especificación SET
• Analizar el concepto de firma Dual y su aplicación
al comercio electrónico
• Estudiar las transacciones SET más comunes:
Petición de compra, autorización de pago, cobro de
la operación
Objetivos:
3. • Requisitos y aspectos clave de la
especificación SET
• Concepto de Firma Dual
• Transacciones SET
– Petición de Compra
– Autorización de pago
– Cobro de la operación
Índice:
Especificación SET
4. ¿Qué es SET
(Secure Electronic Transaction)?
• Es una especificación de seguridad diseñada para
proteger las transacciones comerciales con tarjetas
de crédito
• No es un sistema de pago
• Es un conjunto de protocolos de seguridad que
permiten a los usuarios utilizar la infraestructura
existente de pago con tarjeta en una red abierta
como es Internet de forma segura
• Un gran número de entidades financieras y de
Internet apoyan su desarrollo
5. REQUISITOS SET
• Proporcionar confidencialidad en el pago
• Asegurar la integridad de todos los datos transmitidos
• Asegura que el cliente de una transacción es el legitimo
usuario de una cuanta asociada
• Proporciona autenticación de que un comerciante puede
aceptar transacciones con tarjeta
• Asegurar el uso de las mejores técnicas criptográficas
• Crear un protocolo que no dependa de mecanismos de
seguridad de nivel de transporte
• Facilitar y animar la interoperatividad entre
proveedores de software y de red
6. ASPECTOS CLAVES DE SET
• Confidencialidad de la Información
– El comerciante no tiene acceso al número de la
tarjeta de crédito
– La información va cifrada con DES
• Integridad de los datos
– Firmas digitales RSA y códigos Hash
• Autenticación de la cuenta del cliente y de los
comerciantes
– Certificados Digitales X.509v3
7. PARTICIPANTES SET
• El cliente (Cardholder)
• El comerciante (Merchant)
• La institución emisora de la tarjeta
(issuer)
• El Banco (Acquirer-Payment Gateway)
• La autoridad de Certificación (CA,
Certification Authority)
8. RESUMEN SECUENCIA
EVENTOS SET
• Un cliente abre una cuenta y obtiene una
tarjeta de crédito
• El cliente recibe un certificado digital
• Los comerciantes tienen sus propios certificados
• Un cliente hace un pedido
• El comerciante es verificado
• Se envía la orden y el pago
• El comerciante pide autorización de pago
• El comerciante confirma la orden y proporciona
los servicios
• El comerciante cobra sus servicios al banco
9. FIRMA DUAL
IT: Información
Transacción
HIT
H
H E
H
IP: Información
del Pago
HIP
HP FIRMA DUAL
Cliente
Pr
K
( ) ( )
( )
[ ]
IM
H
IP
H
H
E
FD
Cliente
Pr
K
=
HIP: Hash IP
HIT: Hash IT
HP: Hash Pedido
11. VERIFICACIÓN FIRMA DUAL
ENTIDAD BANCARIA
FIRMA DUAL
HIT: Hash IT (Información Transacción)
HP: Hash en Pedido
IP: Información
del Pago
HIT
D
Cliente
Pu
K
HP
HP
COMPARAR
H
H
12. TRANSACCIONES SET (I)
Petición de compra
(Purchase Request)
Autorización de pago
(Payment authoritation)
Cobro por el Comerciante
(Payment Capture)
..........
16. MENSAJE DE RESPUESTA
INICIO PETICIÓN
Msj.“Respuesta Inicio Petición”
Comerciante ->Cliente
+
+
FIRMA
E
e
Comerciant
Pr
K
H
R RESPUESTA
IdT, N1, N2,..
RESPUESTA
[ ]
)
spuesta
(Re
H
K
spuesta
Re
Firma e
Comerciant
Pr
+
=
18. Msj. “Petición de Compra”
Cliente->Comerciante
IP+FD+HIT
IT: Información
Transferencia
+
+
+
FIRMA DUAL
+
+
ENVOLTURA
DIGITAL 1
HIP
MENSAJE DE PETICIÓN DE COMPRA
IP: Información
del Pago
FIRMA DUAL
+
HIT
+
E
1
S
K
E
Banco
2
Pu
K
HIP: Hash IP
HIT: Hash IT
1
S
K
19. Msj. “Petición de Compra”
Verificaciones del Comerciante
IP+FD+HIT
IT: Información
Transferencia
+
+
+
FIRMA DUAL
+
+
ENVOLTURA
DIGITAL
HIP
INFORMACIÓN
PARA EL BANCO
H
H
HIM
HP
D
Cliente
Pu
K
HP
COMPARAR
MENSAJE DE PETICIÓN DE COMPRA
VERIFICACIÓN CERTIFICADO
1
S
K
20. Msj. “Respuesta Petición Compra”
Comerciante ->Cliente
[ ]
)
Compra
_
Pet
_
s
(Re
H
K
Compra
_
Pet
_
s
Re
Firma e
Comerciant
Pr
+
=
FIRMA
+
E
e
Comerciant
Pr
K
H
IdT, N1, ..
RES. PET. COMPRA
H RES. PET. COMPRA
MENSAJE DE RESPUESTA DE
PETICIÓN DE COMPRA
21. Msj. “Respuesta Petición Compra”
Verificaciones en el Cliente
FIRMA
+
MENSAJE DE RESPUESTA DE
PETICIÓN DE COMPRA
[ ]
)
Compra
_
Pet
_
s
(Re
H
K
Compra
_
Pet
_
s
Re
Firma e
Comerciant
Pr
+
=
D e
Comerciant
Pu
K
H
H RES. PET. COMPRA H RES. PET. COMPRA
VERIFICACIÓN FIRMA
VERIFICACIÓN CERTIFICADO
22. AUTORIZACIÓN DE PAGO
PETICIÓN DE AUTORIZACIÓN BANCO
PROCESA
PETICIÓN
AUTORIZACIÓN
COMERCIANTE
PIDE
AUTORIZACIÓN
RESPUESTA DE AUTORIZACIÓN
BANCO
COMERCIANTE
COMERCIANTE
PROCESA
RESPONDE
23. Msj. “Petición de Autorización”
Comerciante ->Banco
+
+
+
FIRMA
E ENVOLTURA
DIGITAL 2
2
S
K
E
Banco
2
Pu
K
MENSAJE DE PETICIÓN DE AUTORIZACIÓN
+
+
2
S
K
IP+FD+HIT
+
ENVOLTURA
DIGITAL 1
1
S
K
E
e
Comerciant
Pr
K
H
IdT,Inf Transac., ..
PET. AUTORIZACIÓN
H PET. AUTORIZACIÓN
[ ]
)
Aut
_
Pet
(
H
K
Aut
_
Pet
Firma e
Comerciant
Pr
+
=
24. Msj. “Petición de Autorización”
Verificaciones en el Banco
IP+FD+RIM
+
+
+
+
ENVOLTURA
DIGITAL 2
+
+
MENSAJE DE PETICIÓN DE AUTORIZACIÓN
VERIFICACIÓN CERTIFICADOS
IP: Información
del Pago
FIRMA DUAL
HIT
D
1
s
K
Cliente
Pu
K
HP
HP
COMPARAR
FIRMA
D
ENVOLTURA
DIGITAL 1
H
D
2
s
K
D
Banco
2
Pr
K
D
e
Comerciant
1
Pu
K
Banco
2
Pr
K
2
S
K
VERIFICACIÓN FIRMA
1
S
K
25. Msj. “Respuesta de Autorización”
Banco ->Comerciante
+
+
ENVOLTURA
DIGITAL 3
E
FIRMA
3
S
K
MSJ. DE RESPUESTA DE AUTORIZACIÓN
+
ENVOLTURA
DIGITAL 4
FIRMA
4
S
K
Banco
Pu
K 2
e
Comerciant
2
Pu
K
TOKEN
AUTORI.
3
S
K
4
S
K
E
H
AUTORIZACIÓN_PAGO
H. RES. AUTORI. PAGO
Banco
1
Pr
K
E
H
TOKEN_PAGO
H. TOKEN_PAGO
Banco
1
Pr
K
E
E
E
26. +
+
ENVOLTURA
DIGITAL 3
MENSAJE DE RESPUESTA DE AUTORIZACIÓN
+
ENVOLTURA
DIGITAL 4
VERIFICACIÓN CERTIFICADO
FIRMA
3
S
K
D
e
Comerciant
2
Pr
K
D
Banco
1
Pu
K
TOKEN
AUTORI.
3
S
K
4
S
K
Msj. “Respuesta de Autorización”
Verificaciones del Comerciante
VERIFICACIÓN FIRMA
27. COBRO DE LA OPERACIÓN
PETICIÓN DE COBRO BANCO
PROCESA
PETICIÓN
DE COBRO
COMERCIANTE
SOLICITA EL
COBRO
RESPUESTA DE PET. COBRO
BANCO
COMERCIANTE
COMERCIANTE
RECIBE
RESPUESTA
28. Msj. “Petición de Cobro”
Comerciante->Banco
MENSAJE DE PETICIÓN DE COBRO
FIRMA
E
5
S
K
E
Banco
2
Pu
K
+
+
ENVOLTURA
DIGITAL 5
+
ENVOLTURA
DIGITAL 4
TOKEN
PET. COBRO
+
+
5
S
K
4
S
K
e
Comerciant
1
Pr
K
E
H
PET_COBRO
H. PET_COBRO
29. MENSAJE DE PETICIÓN DE COBRO
+
+
ENVOLTURA
DIGITAL 5
+
ENVOLTURA
DIGITAL 4
TOKEN
PET. COBRO
+
+
FIRMA
5
S
K
D
Banco
2
Pr
K
D
e
Comerciant
1
Pu
K
PETICIÓN_COBRO
4
S
K
D
Banco
2
Pr
K
D TOKEN
VERIFICACIÓN CERTIFICADO
VERIFICACIÓN CERTIFICADO
COMPARAR
DATOS
5
S
K
4
S
K
Msj. “Petición de Cobro”
Verificaciones Banco
VERIFICACIÓN FIRMA
30. Msj. “Respuesta Petición de Cobro”
Banco -> Comerciante
MENSAJE DE RESPUESTA
DE PETICIÓN DE COBRO
FIRMA
E
6
S
K
E
e
Comerciant
2
Pu
K
+
ENVOLTURA
DIGITAL 6
RES_PET_COBRO
+
6
S
K
Banco
1
Pr
K
E
H
RES_PET_COBRO
H. RES_PET_COBRO
31. MENSAJE DE PETICIÓN DE COBRO
+
ENVOLTURA
DIGITAL 6
RES_PET_COBRO
+
VERIFICACIÓN CERTIFICADO
FIRMA
6
S
K
D
e
Comerciant
2
Pr
K
D
Banco
1
Pu
K
6
S
K
Msj. “Respuesta Petición de Cobro
Verificaciones Comerciante
VERIFICACIÓN FIRMA