2. Tecnología de seguridad TIC aplicables
al CE
Tecnología Componente CE
Firewall Se utiliza en todos los componentes dado que es importante proteger el acceso a elementos
restringidos de agentes externos
VPN Es común utilizarlo en B2B para poder tener una conexión seguro utilizando canales público
(INTERNET) para compartir la información. Un ejemplo bastente práctico es cuando un banco
se conecta (o conectaba dadas las nuevas leyes) a las centrales de crédito para revisar el
historial crediticio de un usuario
802.1x Se puede usar cuando un empleado (un vendedor por ejemplo) quiere acceder al sistema
comercial de la empresa cuando está visitando un cliente para verificar stocks .
https/ssl Se podría tomar como la tecnología más utilizada para comercio electrónico, sobre todo para
transmitir datos confidenciales del cliente (como números de tarjetas de crédito)
3. Políticas de seguridad
Empresarial
Interno
Acceso a la información
Datos sensibles
(como tarjetas de
crédito) deben estar
cifrados
Datos como
contraseñas deben
usar hash en lugar de
ser cifradas de forma
reversible
Acceso debe generar
trazas de auditoria
Toda transmisión de
datos debe ser
cifrada
Copias de seguridad
Deben ser
etiquetadas y
auditadas
Solo personal
autorizado puede
acceder a esta
información
Leyes y reglamentos
Deben respetarse y
aplicarse
correctamente
Externo
El acceso debe ser
seguro (aplicando
técnicas como
ssl/https)
Se debe usar
certificados digitales
para que el cliente
puda verificar la
legitimidad de la
empresa
Se debe utilizar
autenticación de 2 o
3 factores para
validar la identidad
de los clientes
4. Protocolos de seguridad
• SSL/HTTPS: Permite comunicación segura a través de un canal inseguro
verificando la identidad de los participantes a través de certificados
digitales y cifrando la información por medio de cifrado asimétrico.
• PGP: Utiliza criptografía híbrida(simétrica y asimétrica) para proteger
información enviada a través de internet usando cifrado de claves públicas
y ayuda a validar la autenticidad de la información a través de firmas
digitales.
• SET: Creado por MasterCard y VISA para realizar transacciones seguras, usa
SSL y firmas electrónicas, validad la identidad del dueño de la tarjeta de
crédito, no permite ver al vendedor los detalles de la tarjeta, no permite
ver al banco los detalles de la compra, de esta forma trata de evitar que
alguno de los actores logre realizar tramites fraudulentos.
5. Criptografía aplicable al CE
INFO
CRYPTO
INFO
Cifrado
Simétrico
ClaveCompartida
INFO
CRYPTO
INFO
Descifrado
Simétrico
Sujeto A
Sujeto B
INFO
CRYPTO
INFO
CRYPTO
INFO
INFO
Cifrado
Asimétrico
Descifrado
Asimétrico
LlavePúblicaB
LlavePrivadaB
Sujeto A
Sujeto B
INFO
HASH
DIGEST
AES, DES, 3DES, TEA Diffie-Hellan, RSA, DSA MD5, SHA1
Se busca asegurar autenticación, confidencialidad, integridad, no repudiación
6. Certificados Digitales y Firmas Digitales
• Firma Digital: Mecanismo para comprobar autenticación de origen, no
repudio y no modificación de un mensaje.
• Certificado Digital: Documento firmado digitalmente para identificación de
un ente, está conformado por:
• Llave pública
• Información del dueño
• Información del emisor
• Periodo de validez
• Identificador único
• Firma digital del emisor
• Autoridad Certificadora: Ente que respalda la validez (o invalidez) de un
certificado digital.
7. Aspectos Jurídicos aplicables al CE
• Legislatura internacional para importar/exportar cifrado: Algunos
países tienen restricciones ya sea para importar o exportar
información o tecnología para cifrado.
• Ley de comercio electrónico, firmas electrónicas y mensajes de datos:
Da lineamientos de reconocimiento jurídico de datos digitales y da
garantías de confidencialidad y reserva de datos además de la
protección de los mismos.
• CENUDMI: Trata de normar el comercio electrónico a nivel
internacional.
8. Conclusiones y Recomendaciones
• La seguridad es un aspecto fundamental en el comercio
electrónico, ya que, se depende mucho de la confianza entre las
partes dado que por lo general no existe una interacción física entre
las mismas.
• El uso y cumplimiento de estándares de seguridad pueden ayudar a
garantizar el buen cumplimiento de un sistema de comercio
electrónico.
• Se debe verificar, comprobar, ejecutar y validar los requerimientos
tanto de sistemas como jurídicos para poder llevar a buen término un
sistema de comercio electrónico seguro.