1. Condiciones necesarias para la seguridad en el comercio electrónico
Seguridad física
la protección de todos los elementos desde el punto de vista de posibles desastres
naturales como incendios, terremotos o inundaciones, así como también de otras
amenazas externas como puede ser robo, problemas en el sistema eléctrico, etc.
Seguridad Lógica
se encarga de proteger todo lo relacionado con el software y/o la información
contenida en los equipos. Complementa la seguridad física con antivirus,
encriptación de información, y otros mecanismos para la protección y privacidad
de los usuarios de la red.
REQUISITOS PARA MANTENER LA SEGURIDAD
Autentificación.
Consiste en verificar la identidad de los agentes participantes en una comunicación
o intercambio de información.
Confidencialidad.
Permite mantener en secreto la información y que sólo los usuarios autorizados
puedan manipularla.
Integridad.
Esta capacidad de la seguridad evita que la información emitida sea modificada por
una persona ajena a la transmisión. Se consigue mediante el uso de firmas digitales.
No repudio.
Comprobar que los participantes en la transmisión de información realmente han
participado en ella.
SEGURIDAD EN E-COMMERCE
La encriptación es el conjunto de técnicas que intentan hacer inaccesible la
información a personas no autorizadas. Con la encriptación la información
transferida solo es accesible por las partes que intervienen (comprador, vendedor
y sus dos bancos).
Certificados de autenticidad: como se ha visto la integridad de los datos y la
autenticidad de quien envía los mensajes es garantizada por la firma electrónica.
Las claves públicas deben ser intercambiadas mediante canales seguros, a través
de los certificados de autenticidad, emitidos por las Autoridades Certificadoras.
Autentificación. Certificado digital.
2. Firmas electrónicas: las relaciones matemáticas entre la clave pública y la privada
del algoritmo asimétrico utilizado para enviar un mensaje, sellama firma
electrónica (digital signatures).
El certificado digital es un archivo electrónico que contiene los datos de
identificación personal del emisor, su clave pública y la firma privada del propio
prestador de la certificación. Sólo para el titular del certificado, su clave privada.
Autentificación. Firma digital
La firma digital, evita que la transacción sea alterada por terceras personas sin
saberlo. El certificado digital, que es emitido por un tercero, garantiza la identidad
de las partes.
La firma digital se define como una secuencia de datos electrónicos que se
obtienen como consecuencia de aplicar a un mensaje determinado un algoritmo
de cifrado asimétrico.
Criptografía
Es la ciencia que trata del enmascaramiento de la comunicación de modo que sólo
resulte inteligible para la persona que posee la clave, o método para averiguar el
significado oculto, mediante el criptoanálisis de un texto aparentemente
incoherente.
Criptografía simétrica: utiliza el alfabeto para traducir un texto plano en un texto
cifrado, el encriptado informático se realiza mediante bits.
Cifrado en flujo (stream): el cifrado se realiza por bits y se basa en claves
muy largas. Cada bit del texto sin formato se correlaciona con un bit en el
flujo de claves, de tal forma que se crea un carácter cifrado.
Cifrado de bloques: en este algoritmo los bits que se han de cifrar se
agrupan en bloques de longitud fija, que se corresponden con otros
diferentes. Resulta un cifrado de longitud fija.
Criptografía asimétrica: permite establecer una conexión segura entre dos
partes, autentificando mutuamente a las partes y permitiendo el traspaso de
información entre los dos.
Los certificados digitales permiten comprobar la autenticidad de las claves
públicas de los interlocutores.
La firma digital se utiliza para identificar inequívocamente al emisor de un
mensaje encriptado.
Cifrado público: se puede difundir sin problemas, a todas las personas que
necesiten mandarle alguna información cifrada.
VPN: Red Privada Virtual en español, la cual asegura una conexión encriptada y
anónima, manteniendo oculto el IP.
3. Protocolo HTTPS
Es un protocolo de comunicación de Internet que protege la integridad y la
confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio.
Los certificados SSL: encaminados a garantizar la autentificación,
confidencialidad e integridad de los datos transmitidos a través de Internet
por medio del protocolo TLS (Transport Layer Security). Para conseguirlo,
el navegador cifrará esos datos.
Las características de SSL son:
o Protege el envío de datos de compra
o Autentifica al comercio, no al cliente
o Fácil de implementar y de bajo coste
o El comercio recibe los datos de pago
El protocolo SET (Secure Electronic Transaction): se trata de un
conjunto de especificaciones orientadas a asegurar la confidencialidad e
integridad de la información que se transmite cuando se realiza un pago,
aunque requiere de la instalación de un software, tanto por parte del
vendedor como del comprador.
o Proporcionar la autentificación necesaria.
o Garantizar la confidencialidad de la información sensible.
o Preservar la integridad de la información.
o Definir los algoritmos criptográficos y protocolos necesarios para los
servicios anteriores.
Certificados de seguridad
Los certificados de seguridad son sellos emitidos por empresas denominadas
entidades certificadoras de seguridad. Estas entidades conceden su certificado
después de comprobar el correcto funcionamiento del proceso de encriptación y los
datos de la empresa solicitante.
Los sellos de certificaciones de seguridad más significativos son:
Verisign
Thawte
Entrust
Bureau Veritas