SlideShare una empresa de Scribd logo

Manual procedimientos seguridad dentro de las plataformas de comercio elec…

M
Marco Almeida Haro

Manual procedimientos seguridad dentro de las plataformas de comercio electrónico

Tecnología
1 de 6
Descargar para leer sin conexión
Página 1 de 6    MANUAL DE PROCEDIMIENTOS EN EL ENVIO RECEPCION DE  INFORMACION EN EL ENTORNO DE COMERCIO ELECTRONICO    INTRODUCCION.‐    El avance de la tecnología específicamente en cuanto a los equipos  de procesamiento de datos, comunicaciones y software han facilitado la  dinamia  de  los  procesos  comerciales  en  el  mundo,  por  lo  tanto  en  la  actualidad  es  muy  “fácil”  la  realización  de  transacciones  de  todo  tipo  efectuando la compra y venta de bienes y servicios en la WEB.    Este “devenir” de la tecnología nos ha llevado inclusive al manejo  de  lo  que  conocemos  como  redes  sociales,  portales  de  compra,  foros  electrónicos,  etc.,  llegando  hasta  la  realización  de  transacciones  financieras y gubernamentales.    Todo este tipo de tecnologías y su correspondiente gestión requiere  de  medidas  de  seguridad  acordes  al  nivel  de  fiabilidad  que  les  corresponde.    Lastimosamente, este mismo avance de la tecnología permite que  la  “delincuencia  virtual”  aplique  el  refrán:  “Creada  la  ley,  creada  la  trampa”, por lo cual, el uso de cualquier tecnología “abierta” al mundo  electrónico debe ir acompañada de procedimientos para la aplicación de  las seguridades  pertinentes.  ALCANCE.‐    El  presente  documento  pretende  determinar  los  procedimientos  generales de seguridad en el envío – recepción de información dentro de  los esquemas de comercio electrónico.    El manual a continuación describe de forma general, las medidas de  seguridad en el envío – recepción de información aplicando principalmente  las técnicas de encriptación, certificados y firmas digitales.       
Página 2 de 6    1. SEÑALAMIENTOS GENERALES.‐      Tomando  en  consideración  que  los  aspectos  de  seguridad  son  “un  todo”,  es  importante determinar de forma general algunos factores clave a ser tomados en cuenta  al momento de implementar cualquier tipo de portal, más aun reflexionando que en la  WEB, toda interactuación implica envío y recepción de información     1.1  SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐    a. Se debe asegurar que la infraestructura de IT en la que se alojará el portal cumpla  con  todos  los  requerimientos  de  seguridad  física  y  se  disponga  de  un  manual  de  contingencias  incluyendo  toda  la  infraestructura  para  disponer  de  un  “sitio”  de  respaldo operativo de forma inmediata    b. Certificar que disponga de todas las medidas de seguridad necesarias para su óptima  disponibilidad  y  eficiencia:  Servidores  de  respaldo,  gestión  de  respaldos  de  información, sistemas alternos de energía, sistemas ininterrumpidos de energía, etc.     c. Que implemente todas las medidas preventivas y correctivas para repeler cualquier  ataque  a  dicha  seguridad  como:  Hackers  ‐  Crackers,  virus  informáticos,  pishing,  troyanos,  redireccionadores,  malware,  Clickjacking,  backdoors,  spyware,  adware,  greyware, etc. Para el efecto se debe mantener permanentemente implementados  y actualizados: Firewalls físicos y lógicos,  actualizados los sistemas operativos, bases  de  datos,  firewalls,  herramientas  antivirus  en  perfecto  estado  de  funcionamiento  incluyendo todas las actualizaciones de seguridad (parches)    d. Certificar que cubra todos y más eficientes estándares necesarios para asegurar el  envío  y  recepción  de  todo  tipo  de  información,  temas  tratados  con  más  detalle  adelante.    e. Mantener  políticas  de  gestión  de  identificación  y  claves  de  acceso,  las  cuales  determinen  medidas  para  su  correcta  confección,  verificación  y  uso,  como  por  ejemplo:  Forma, tamaño y características de identificadores de usuario y password  sólidos, vencimiento de passwords, métodos de identificación de ordenadores en la  red, etc.    f. Asegurarse  que  el  portal  mantenga  todas  las  seguridades  necesarias  para  el  almacenamiento y confidencialidad de la información de clientes, proveedores y en  general de todas las entidades involucradas, en especial: La información de personal,  financiera, claves, etc.     g. Asegurar  que  la  infraestructura  de  procesamiento  soportará  el  volumen  de  transaccionalidad necesaria    h. Asegurarse  que  la  infraestructura  de  comunicaciones  soportará  el  volumen  de  transaccionalidad  necesaria  de  forma  hermética,  segura  y  con  buen  tiempo  de  respuesta 
Página 3 de 6      i. Soporte de forma óptima todos los controles, protocolos, estándares y metodologías   necesarias para validar transacciones financieras electrónicas, evitando así todo tipo  de malware asociado como: Suplantación, Carding, Skimming, pishing, etc.    j. Se  debe  certificar  que  la  entidad  que  se  conecta  o  accede  a  los  servicios  WEB  o  portales  sean  reales  en  cuanto  a  que  procedan  de  quien  dicen  proceder  y  sean  conexiones seguras por ejemplo mediante la aplicación de certificados públicos SSL    k. Que el portal o servicios web cuenten y cumplan con normativas o estándares para  el intercambio electrónico de datos.    l. Finalmente, aunque no menos importante es: Analizar, considerar e implementar las  consideraciones  y  disposiciones  legales  aplicables  a  los  ambientes  internet  y  de  comercio electrónico.    1.2  SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN  DE INFORMACION.‐    De forma más específica los procedimientos de seguridad que se deben observar en el  proceso de interactuación (envío y recepción de información)     Asegurarse  que  la  gestión  del  acceso  e  interactuación  con  cualquier  tipo  de  portal  cumpla con todos los estándares de seguridad modernos como por ejemplo:    a. Que utilice excelentes y más avanzados: Procedimientos, aplicaciones, estándares,  protocolos para la encriptación de la información tanto dentro de la infraestructura  como aquella transmitida entre las diferentes entidades interactuantes.     b. En cuanto a las comunicaciones llegar a cumplir con las especificaciones del nivel “A”  requeridas  por  la  Unión  Internacional  de  Telecomunicaciones  (ITU)  las  cuales  abarcan  además  de  los  controles  de  acceso  a  sistemas,  archivos,    información  confidencial, etc., todos los componentes de las redes y equipos de la red como su  identificación y etiquetamiento.    c. Que el site y la infraestructura utilizada tanto por el “dueño” del portal como de sus  interactuantes  contemple  protocolos  de  seguridad    para  la  transferencia  de  hipertexto  en  las  redes  (HTTPS)  y  protocolos  criptográficos  de  tipo  SSL  y  más  actualizados  como  el  TLS  (transport  layer  security)  los  cuales  proporcionarán  autentificación, confidencialidad, características de no rechazo y de forma general,  seguridad  en  los  extremos  de  las  comunicaciones  en  la  internet  (WEB  server,  browser). De preferencia se sugiere utilizar exploradores que tenga control sobre las  infracciones de seguridad a estos protocolos (The beast) como son el caso de Mozilla  y Google Chrome, los cuales han considerado en su software librerías NSS para mitigar  ataques de tipo. A efectos de implementar HTTPS, se debe obtener un certificado de  clave pública para el servidor WEB firmado por una entidad certificadora.   
Página 4 de 6      1.3    RECOMENDACIONES  EN  LA  IMPLEMENACION  DE  METODOLOGIAS  DE  ENCRIPTACION.‐    a. De  forma  general  y  cuando  se  realizan  procesos  de  encriptación  de  información  internas  y  de  traslado  de  información  externa,  aunque  más  orientadas  al  campo  privado,  se  debería  analizar  el  uso  de  aplicaciones  para  la  implementación  de  los  mejores y más modernos algoritmos de encriptación. Vale la pena recalcar que la  NIST  (EU)  realizó  una  trabajo  interinstitucional  que  culminó  en  el  año  2000  para  elegir  los mejores algoritmos, dando como resultado:  MARS: 13 votos, RC6: 23 votos, RIJNDAEL: 86 votos, SERPENT: 59 votos, TWOFISH: 31 votos  b. Nuestra recomendación personal sobre los algoritmos de encriptación es utilizar la  normativa de Advanced Encryption Standard (NIST AES) establecidas por la National  Institute of Standards and Technology la cual utiliza el algoritmo de cifrado Rijndael  c. Adicionalmente  para  la  implementación  de  mensajería  y  correos  electrónicos  se  recomienda utilizar aplicaciones que integren la mayor cantidad de estándares para  identificar  firmas  y  cifrado,  por  ejemplo  herramientas  de  correo  que  soporte  el  estándar S/MIME, SHA‐1 o SHA‐512 las cuales otorgan mayor cobertura y seguridad  respectivamente.    1.4        RECOMENDACIONES  EN  LA  IMPLEMENTACION  DE  CERTIFICADOS  Y  FIRMAS  DIGITALES.‐      Es muy importante establecer mecanismos de autentificación de los usuarios de internet  y el envío – recepción de información y de documentos electrónicos (firmas electrónicas), para  lo cual se realizan las siguientes recomendaciones:  a. La  utilización  de  certificados  digitales  para  claves  públicas  avalados  por  autoridades  de  certificación  (AC)  privadas  reconocidas  como:  VeriSign,  DigiCert,  Thawte  y  GeoTrust,  u,  oficiales para el caso de integración Goverment to Consumer o Goverment to Business    b. Que  la  entidad  certificadore  proporcione  una  Declaración  de  Prácticas  de  Certificación  mediante  la  cual  indique  claramente  sus  políticas  y  prácticas  relativas  a  la  seguridad  y  mantenimiento de los certificados, la responsabilidades de la CA respecto a los sistemas que  emplean sus certificados y las obligaciones de los subscriptores respecto de la misma    c. Para la emisión de certificados digitales y su aplicación en firmas digitales se recomienda  firmemente utilizar los servicios de autoridades de certificación que apliquen para el efecto   los  estándares  de  la  Unión  Internacional  de  las  telecomunicaciones  y/o  las  ISO/IEC  (International  Standards  Organization  /  International  Electrotechnical  Commission)  y  específicamente  el  formato  estándar  para  certificados  de  claves  públicas  y  validación  de  rutas  de  certificación  (Publik  Key  Infraestructure)  PKIX.509  desarrollado  por  la  Internet  Engineering Task Force    d. Por  supuesto,  se  recomienda  diseñar  un  procedimiento  para  resguardo  de  las  claves  de  certificados  digitales  y/o  firmas  digitales,  el  cual  al  menos  determine  las  normas  de  “resguardo” de las mismas, en especial el no tener dichas claves al alcance del internet, sin 
Página 5 de 6    alojarlas en equipos conectados al mismo o al menos, mantener los token a salvo y/o a su  vez cifrarlas tomando en consideración las recomendaciones anteriormente detalladas.     e. Monitorear  permanentemente  las  listas  de  anulación  de  certificados  (Certification  Revocation Lists o CRL) con el objeto de verificar si algún certificado ha vencido o han sido  comprometida(s) las claves públicas y privadas del emisor (Autoridad Certificadora) como  de la persona o sujeto usuario.    f. Como alternativa en línea, para el control de listas de revocación  se recomienda utilizar  Online Certificate Status Protocol (OCSP), el cual es un método para determinar el estado  de revocación de un certificado digital X.509     g. En cuanto al envío recepción de mensajes y/o documentos como facturas, pedidos, etc. se  recomienda  verificar  su  autenticidad,  integridad  y  no  repudio  mediante  el  uso  de  tecnologías que apliquen los conceptos de firmas digitales, cuyos algoritmos de generación  y  verificación  de  firmas  sean  de  última  tecnología,  cubran  los  estándares  de  la  Union  Internacional  de  las  telecomunicaciones  y/o  las  ISO/IEC  (International  Standards  Organization / International Electrotechnical Commission) y garanticen el cumplimiento de:    Que las firmas sean únicas: Ser generadas únicamente por el firmante   Que  las  firmas  no  se  puedan  falsificar.  Este  factor  depende  de  todas  las  recomendaciones anteriormente detalladas respecto de las CA.   La firmas deben ser fácilmente verificables   Las firmas deben ser innegables, es decir: El firmante no puede negar su propia firma.     h. Para efecto de las firmas electrónicas, de preferencia se recomienda que la metodología o  la Entidad certificadora pueda extender los algoritmos de firma digital con un algoritmo de  actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente  mientras la clave pública permanece siendo la misma.    i. En cuanto a las transacciones financieras, está claro para nosotros que dichas instituciones  suelen  disponer  de  metodologías  muy  seguras  y  robustas  para  la  realización  de  sus  transacciones y  su correspondiente  encriptación,  por  lo que  recomendamos  observar  los  requerimientos de dichas entidades para los casos de integración de nuestros sistemas con  los  bancos  y  tarjetas  de  crédito  con  el  objeto  de  realizar  pagos,  cobros  o  cualquier  transacción monetaria. En especial tomar en consideración los estándares SET  ya que este  protocolo ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y  los bancos, emisor y adquiriente).    j. En  cuanto  a  la  validación  de  transacciones  financieras,  en  la  actualidad  existen  intermediarios que proveen el servicio de pago/cobro por bienes y servicios cuya alternativa  de  uso  en  nuestros  portales  se  debe  analizar  su  conveniencia  ya  que  aún  no  se  ha  demostrado su completa seguridad, tales son los casos de: Paypal (intermediario de pagos),  Google Wallet (aplicación de google mediante geo localización de dispositivos móviles)    k. Adicionalmente, recomendamos utilizar navegadores y aplicaciones de correo electrónico y  mensajería en  general, de buen  nivel, los cuales tengan  la  mayor  cantidad de  elementos  incorporados para poder utilizar los certificados de firma electrónica       
Página 6 de 6    2. CONCLUSIONES Y RECOMENDACIONES FINALES:      Los procedimientos y recomendaciones anteriormente citados son una guía general  para los cuidados que se deben advertir en la gestión de herramientas en la WEB para el envío  y recepción de información por diferentes medios, sin embargo, la recomendación final y  concluyente es que se debe analizar y planificar la seguridad de la infraestructura IT como un  todo, y, considerar dentro de esta infra estructura la información que fluye entre las entidades  relacionadas por intermedio del uso de internet, aplicando siempre tecnologías de punta,  comprobadas, validadas y certificadas, así como monitorear permanentemente las medidas de  seguridad implantadas 

Recomendados

Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCNOrestes Febles
 
Introduccion
IntroduccionIntroduccion
IntroduccionOrestes Febles
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseFrancisco Medina
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADNOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADINTELIX INGENIERIA - Rosario Argentina
 
La seguridad no es un juego, el futbol si
La seguridad no es un juego, el futbol siLa seguridad no es un juego, el futbol si
La seguridad no es un juego, el futbol siINTELIX INGENIERIA - Rosario Argentina
 

Recomendados

Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCNOrestes Febles
 
Introduccion
IntroduccionIntroduccion
IntroduccionOrestes Febles
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseFrancisco Medina
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADNOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADINTELIX INGENIERIA - Rosario Argentina
 
La seguridad no es un juego, el futbol si
La seguridad no es un juego, el futbol siLa seguridad no es un juego, el futbol si
La seguridad no es un juego, el futbol siINTELIX INGENIERIA - Rosario Argentina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetFrancisco Medina
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaPaulettemayte
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoWilliamBeltran007
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRVíctor Hernández
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Voip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreVoip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreINTELIX INGENIERIA - Rosario Argentina
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1Luis Fernando Aguas Bucheli
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1Luis Fernando Aguas Bucheli
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónTensor
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1Luis Fernando Aguas Bucheli
 
Seguridad en la nube
Seguridad en la nubeSeguridad en la nube
Seguridad en la nubeAllan Blanco
 
Protegiendo los archivos confidenciales de tu empresa
Protegiendo los archivos confidenciales de tu empresaProtegiendo los archivos confidenciales de tu empresa
Protegiendo los archivos confidenciales de tu empresaHushapp by Syneidis
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. NormasLuis Fernando Aguas Bucheli
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioSantiago Toribio Ayuga
 
Arp secure 2019
Arp secure 2019Arp secure 2019
Arp secure 2019Carlos Rodriguez Morales
 
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...Gonzalo Espinosa
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-CriptografíaFrancisco Medina
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática Steed10
 
Presentación twitter
Presentación twitterPresentación twitter
Presentación twitterviviana vargas
 
Pracial#3 de informatica
Pracial#3 de informaticaPracial#3 de informatica
Pracial#3 de informaticamigdonio Pérez Martínez
 

Más contenido relacionado

La actualidad más candente

Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetFrancisco Medina
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaPaulettemayte
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoWilliamBeltran007
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRVíctor Hernández
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónTensor
 
Seguridad en la nube
Seguridad en la nubeSeguridad en la nube
Seguridad en la nubeAllan Blanco
 
Protegiendo los archivos confidenciales de tu empresa
Protegiendo los archivos confidenciales de tu empresaProtegiendo los archivos confidenciales de tu empresa
Protegiendo los archivos confidenciales de tu empresaHushapp by Syneidis
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioSantiago Toribio Ayuga
 
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...Gonzalo Espinosa
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática Steed10
 

La actualidad más candente (20)

Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científico
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Voip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreVoip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1
 
Seguridad en la nube
Seguridad en la nubeSeguridad en la nube
Seguridad en la nube
 
Protegiendo los archivos confidenciales de tu empresa
Protegiendo los archivos confidenciales de tu empresaProtegiendo los archivos confidenciales de tu empresa
Protegiendo los archivos confidenciales de tu empresa
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribio
 
Arp secure 2019
Arp secure 2019Arp secure 2019
Arp secure 2019
 
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
La línea fina entre la Seguridad, la Protección de activos y la Cibersegurida...
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática
 

Destacado

Manual instalacion uso_dropbox
Manual instalacion uso_dropboxManual instalacion uso_dropbox
Manual instalacion uso_dropboxSAINTSAURIO
 
Anaílisis de las relaciones economicas del peru con los pases del asia oriental
Anaílisis de las relaciones economicas del peru con los pases del asia orientalAnaílisis de las relaciones economicas del peru con los pases del asia oriental
Anaílisis de las relaciones economicas del peru con los pases del asia orientalCarlos Alberto Aquino Rodriguez
 
Impuestos en las transferencias electronicas de fondos
Impuestos en las transferencias electronicas de fondosImpuestos en las transferencias electronicas de fondos
Impuestos en las transferencias electronicas de fondosVALYTO28
 
material de fármaco botánica kcj
material de fármaco botánica kcjmaterial de fármaco botánica kcj
material de fármaco botánica kcjLuis Cruz Polanco
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetmariorafa96
 
Ley 1620 del 15 de marzo de 2013
Ley 1620 del 15 de marzo de 2013Ley 1620 del 15 de marzo de 2013
Ley 1620 del 15 de marzo de 2013Wilber Ardila
 

Destacado (20)

Presentación twitter
Presentación twitterPresentación twitter
Presentación twitter
 
Pracial#3 de informatica
Pracial#3 de informaticaPracial#3 de informatica
Pracial#3 de informatica
 
Cuestionario 1
Cuestionario 1Cuestionario 1
Cuestionario 1
 
Manual instalacion uso_dropbox
Manual instalacion uso_dropboxManual instalacion uso_dropbox
Manual instalacion uso_dropbox
 
Anaílisis de las relaciones economicas del peru con los pases del asia oriental
Anaílisis de las relaciones economicas del peru con los pases del asia orientalAnaílisis de las relaciones economicas del peru con los pases del asia oriental
Anaílisis de las relaciones economicas del peru con los pases del asia oriental
 
Twitter
TwitterTwitter
Twitter
 
6 pronomb.tem
6 pronomb.tem6 pronomb.tem
6 pronomb.tem
 
Impuestos en las transferencias electronicas de fondos
Impuestos en las transferencias electronicas de fondosImpuestos en las transferencias electronicas de fondos
Impuestos en las transferencias electronicas de fondos
 
Casos de co y hcn
Casos de co y hcnCasos de co y hcn
Casos de co y hcn
 
Articulo javier programaciones
Articulo javier programacionesArticulo javier programaciones
Articulo javier programaciones
 
Auxiliar de talento humano
Auxiliar de talento humanoAuxiliar de talento humano
Auxiliar de talento humano
 
Insertar una imagen
Insertar una imagenInsertar una imagen
Insertar una imagen
 
material de fármaco botánica kcj
material de fármaco botánica kcjmaterial de fármaco botánica kcj
material de fármaco botánica kcj
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Ley 1620 del 15 de marzo de 2013
Ley 1620 del 15 de marzo de 2013Ley 1620 del 15 de marzo de 2013
Ley 1620 del 15 de marzo de 2013
 
Danny victor anara canahuiri
Danny victor anara canahuiriDanny victor anara canahuiri
Danny victor anara canahuiri
 
áRea de educación física 1c
áRea de educación física 1cáRea de educación física 1c
áRea de educación física 1c
 
La economia peruana en el 2016 y su proyección al 2017
La economia peruana en el 2016 y su proyección al 2017La economia peruana en el 2016 y su proyección al 2017
La economia peruana en el 2016 y su proyección al 2017
 
San13401
San13401San13401
San13401
 
1 palabr.tem
1 palabr.tem1 palabr.tem
1 palabr.tem
 

Similar a Manual procedimientos seguridad dentro de las plataformas de comercio elec…

Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Christian C
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Cisco Service Provider Mobility
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoCristhian Criollo
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-españolisidro luna beltran
 
Actividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixActividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixpazminojuancarlos
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Miguel A. Amutio
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 

Similar a Manual procedimientos seguridad dentro de las plataformas de comercio elec… (20)

Actividad 7
Actividad 7Actividad 7
Actividad 7
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Problemas de seguridad_acceso_remoto
Problemas de seguridad_acceso_remotoProblemas de seguridad_acceso_remoto
Problemas de seguridad_acceso_remoto
 
Pasantías
Pasantías Pasantías
Pasantías
 
Presentación1
Presentación1Presentación1
Presentación1
 
Actividad n7
Actividad n7Actividad n7
Actividad n7
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Isaca journal marzo 2013
Isaca journal marzo 2013Isaca journal marzo 2013
Isaca journal marzo 2013
 
Articulo grupo 201014_42
Articulo grupo 201014_42Articulo grupo 201014_42
Articulo grupo 201014_42
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-español
 
Actividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixActividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ix
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 

Último

ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (20)

ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

Manual procedimientos seguridad dentro de las plataformas de comercio elec…

  • 1. Página 1 de 6    MANUAL DE PROCEDIMIENTOS EN EL ENVIO RECEPCION DE  INFORMACION EN EL ENTORNO DE COMERCIO ELECTRONICO    INTRODUCCION.‐    El avance de la tecnología específicamente en cuanto a los equipos  de procesamiento de datos, comunicaciones y software han facilitado la  dinamia  de  los  procesos  comerciales  en  el  mundo,  por  lo  tanto  en  la  actualidad  es  muy  “fácil”  la  realización  de  transacciones  de  todo  tipo  efectuando la compra y venta de bienes y servicios en la WEB.    Este “devenir” de la tecnología nos ha llevado inclusive al manejo  de  lo  que  conocemos  como  redes  sociales,  portales  de  compra,  foros  electrónicos,  etc.,  llegando  hasta  la  realización  de  transacciones  financieras y gubernamentales.    Todo este tipo de tecnologías y su correspondiente gestión requiere  de  medidas  de  seguridad  acordes  al  nivel  de  fiabilidad  que  les  corresponde.    Lastimosamente, este mismo avance de la tecnología permite que  la  “delincuencia  virtual”  aplique  el  refrán:  “Creada  la  ley,  creada  la  trampa”, por lo cual, el uso de cualquier tecnología “abierta” al mundo  electrónico debe ir acompañada de procedimientos para la aplicación de  las seguridades  pertinentes.  ALCANCE.‐    El  presente  documento  pretende  determinar  los  procedimientos  generales de seguridad en el envío – recepción de información dentro de  los esquemas de comercio electrónico.    El manual a continuación describe de forma general, las medidas de  seguridad en el envío – recepción de información aplicando principalmente  las técnicas de encriptación, certificados y firmas digitales.       
  • 2. Página 2 de 6    1. SEÑALAMIENTOS GENERALES.‐      Tomando  en  consideración  que  los  aspectos  de  seguridad  son  “un  todo”,  es  importante determinar de forma general algunos factores clave a ser tomados en cuenta  al momento de implementar cualquier tipo de portal, más aun reflexionando que en la  WEB, toda interactuación implica envío y recepción de información     1.1  SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐    a. Se debe asegurar que la infraestructura de IT en la que se alojará el portal cumpla  con  todos  los  requerimientos  de  seguridad  física  y  se  disponga  de  un  manual  de  contingencias  incluyendo  toda  la  infraestructura  para  disponer  de  un  “sitio”  de  respaldo operativo de forma inmediata    b. Certificar que disponga de todas las medidas de seguridad necesarias para su óptima  disponibilidad  y  eficiencia:  Servidores  de  respaldo,  gestión  de  respaldos  de  información, sistemas alternos de energía, sistemas ininterrumpidos de energía, etc.     c. Que implemente todas las medidas preventivas y correctivas para repeler cualquier  ataque  a  dicha  seguridad  como:  Hackers  ‐  Crackers,  virus  informáticos,  pishing,  troyanos,  redireccionadores,  malware,  Clickjacking,  backdoors,  spyware,  adware,  greyware, etc. Para el efecto se debe mantener permanentemente implementados  y actualizados: Firewalls físicos y lógicos,  actualizados los sistemas operativos, bases  de  datos,  firewalls,  herramientas  antivirus  en  perfecto  estado  de  funcionamiento  incluyendo todas las actualizaciones de seguridad (parches)    d. Certificar que cubra todos y más eficientes estándares necesarios para asegurar el  envío  y  recepción  de  todo  tipo  de  información,  temas  tratados  con  más  detalle  adelante.    e. Mantener  políticas  de  gestión  de  identificación  y  claves  de  acceso,  las  cuales  determinen  medidas  para  su  correcta  confección,  verificación  y  uso,  como  por  ejemplo:  Forma, tamaño y características de identificadores de usuario y password  sólidos, vencimiento de passwords, métodos de identificación de ordenadores en la  red, etc.    f. Asegurarse  que  el  portal  mantenga  todas  las  seguridades  necesarias  para  el  almacenamiento y confidencialidad de la información de clientes, proveedores y en  general de todas las entidades involucradas, en especial: La información de personal,  financiera, claves, etc.     g. Asegurar  que  la  infraestructura  de  procesamiento  soportará  el  volumen  de  transaccionalidad necesaria    h. Asegurarse  que  la  infraestructura  de  comunicaciones  soportará  el  volumen  de  transaccionalidad  necesaria  de  forma  hermética,  segura  y  con  buen  tiempo  de  respuesta 
  • 3. Página 3 de 6      i. Soporte de forma óptima todos los controles, protocolos, estándares y metodologías   necesarias para validar transacciones financieras electrónicas, evitando así todo tipo  de malware asociado como: Suplantación, Carding, Skimming, pishing, etc.    j. Se  debe  certificar  que  la  entidad  que  se  conecta  o  accede  a  los  servicios  WEB  o  portales  sean  reales  en  cuanto  a  que  procedan  de  quien  dicen  proceder  y  sean  conexiones seguras por ejemplo mediante la aplicación de certificados públicos SSL    k. Que el portal o servicios web cuenten y cumplan con normativas o estándares para  el intercambio electrónico de datos.    l. Finalmente, aunque no menos importante es: Analizar, considerar e implementar las  consideraciones  y  disposiciones  legales  aplicables  a  los  ambientes  internet  y  de  comercio electrónico.    1.2  SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN  DE INFORMACION.‐    De forma más específica los procedimientos de seguridad que se deben observar en el  proceso de interactuación (envío y recepción de información)     Asegurarse  que  la  gestión  del  acceso  e  interactuación  con  cualquier  tipo  de  portal  cumpla con todos los estándares de seguridad modernos como por ejemplo:    a. Que utilice excelentes y más avanzados: Procedimientos, aplicaciones, estándares,  protocolos para la encriptación de la información tanto dentro de la infraestructura  como aquella transmitida entre las diferentes entidades interactuantes.     b. En cuanto a las comunicaciones llegar a cumplir con las especificaciones del nivel “A”  requeridas  por  la  Unión  Internacional  de  Telecomunicaciones  (ITU)  las  cuales  abarcan  además  de  los  controles  de  acceso  a  sistemas,  archivos,    información  confidencial, etc., todos los componentes de las redes y equipos de la red como su  identificación y etiquetamiento.    c. Que el site y la infraestructura utilizada tanto por el “dueño” del portal como de sus  interactuantes  contemple  protocolos  de  seguridad    para  la  transferencia  de  hipertexto  en  las  redes  (HTTPS)  y  protocolos  criptográficos  de  tipo  SSL  y  más  actualizados  como  el  TLS  (transport  layer  security)  los  cuales  proporcionarán  autentificación, confidencialidad, características de no rechazo y de forma general,  seguridad  en  los  extremos  de  las  comunicaciones  en  la  internet  (WEB  server,  browser). De preferencia se sugiere utilizar exploradores que tenga control sobre las  infracciones de seguridad a estos protocolos (The beast) como son el caso de Mozilla  y Google Chrome, los cuales han considerado en su software librerías NSS para mitigar  ataques de tipo. A efectos de implementar HTTPS, se debe obtener un certificado de  clave pública para el servidor WEB firmado por una entidad certificadora.   
  • 4. Página 4 de 6      1.3    RECOMENDACIONES  EN  LA  IMPLEMENACION  DE  METODOLOGIAS  DE  ENCRIPTACION.‐    a. De  forma  general  y  cuando  se  realizan  procesos  de  encriptación  de  información  internas  y  de  traslado  de  información  externa,  aunque  más  orientadas  al  campo  privado,  se  debería  analizar  el  uso  de  aplicaciones  para  la  implementación  de  los  mejores y más modernos algoritmos de encriptación. Vale la pena recalcar que la  NIST  (EU)  realizó  una  trabajo  interinstitucional  que  culminó  en  el  año  2000  para  elegir  los mejores algoritmos, dando como resultado:  MARS: 13 votos, RC6: 23 votos, RIJNDAEL: 86 votos, SERPENT: 59 votos, TWOFISH: 31 votos  b. Nuestra recomendación personal sobre los algoritmos de encriptación es utilizar la  normativa de Advanced Encryption Standard (NIST AES) establecidas por la National  Institute of Standards and Technology la cual utiliza el algoritmo de cifrado Rijndael  c. Adicionalmente  para  la  implementación  de  mensajería  y  correos  electrónicos  se  recomienda utilizar aplicaciones que integren la mayor cantidad de estándares para  identificar  firmas  y  cifrado,  por  ejemplo  herramientas  de  correo  que  soporte  el  estándar S/MIME, SHA‐1 o SHA‐512 las cuales otorgan mayor cobertura y seguridad  respectivamente.    1.4        RECOMENDACIONES  EN  LA  IMPLEMENTACION  DE  CERTIFICADOS  Y  FIRMAS  DIGITALES.‐      Es muy importante establecer mecanismos de autentificación de los usuarios de internet  y el envío – recepción de información y de documentos electrónicos (firmas electrónicas), para  lo cual se realizan las siguientes recomendaciones:  a. La  utilización  de  certificados  digitales  para  claves  públicas  avalados  por  autoridades  de  certificación  (AC)  privadas  reconocidas  como:  VeriSign,  DigiCert,  Thawte  y  GeoTrust,  u,  oficiales para el caso de integración Goverment to Consumer o Goverment to Business    b. Que  la  entidad  certificadore  proporcione  una  Declaración  de  Prácticas  de  Certificación  mediante  la  cual  indique  claramente  sus  políticas  y  prácticas  relativas  a  la  seguridad  y  mantenimiento de los certificados, la responsabilidades de la CA respecto a los sistemas que  emplean sus certificados y las obligaciones de los subscriptores respecto de la misma    c. Para la emisión de certificados digitales y su aplicación en firmas digitales se recomienda  firmemente utilizar los servicios de autoridades de certificación que apliquen para el efecto   los  estándares  de  la  Unión  Internacional  de  las  telecomunicaciones  y/o  las  ISO/IEC  (International  Standards  Organization  /  International  Electrotechnical  Commission)  y  específicamente  el  formato  estándar  para  certificados  de  claves  públicas  y  validación  de  rutas  de  certificación  (Publik  Key  Infraestructure)  PKIX.509  desarrollado  por  la  Internet  Engineering Task Force    d. Por  supuesto,  se  recomienda  diseñar  un  procedimiento  para  resguardo  de  las  claves  de  certificados  digitales  y/o  firmas  digitales,  el  cual  al  menos  determine  las  normas  de  “resguardo” de las mismas, en especial el no tener dichas claves al alcance del internet, sin 
  • 5. Página 5 de 6    alojarlas en equipos conectados al mismo o al menos, mantener los token a salvo y/o a su  vez cifrarlas tomando en consideración las recomendaciones anteriormente detalladas.     e. Monitorear  permanentemente  las  listas  de  anulación  de  certificados  (Certification  Revocation Lists o CRL) con el objeto de verificar si algún certificado ha vencido o han sido  comprometida(s) las claves públicas y privadas del emisor (Autoridad Certificadora) como  de la persona o sujeto usuario.    f. Como alternativa en línea, para el control de listas de revocación  se recomienda utilizar  Online Certificate Status Protocol (OCSP), el cual es un método para determinar el estado  de revocación de un certificado digital X.509     g. En cuanto al envío recepción de mensajes y/o documentos como facturas, pedidos, etc. se  recomienda  verificar  su  autenticidad,  integridad  y  no  repudio  mediante  el  uso  de  tecnologías que apliquen los conceptos de firmas digitales, cuyos algoritmos de generación  y  verificación  de  firmas  sean  de  última  tecnología,  cubran  los  estándares  de  la  Union  Internacional  de  las  telecomunicaciones  y/o  las  ISO/IEC  (International  Standards  Organization / International Electrotechnical Commission) y garanticen el cumplimiento de:    Que las firmas sean únicas: Ser generadas únicamente por el firmante   Que  las  firmas  no  se  puedan  falsificar.  Este  factor  depende  de  todas  las  recomendaciones anteriormente detalladas respecto de las CA.   La firmas deben ser fácilmente verificables   Las firmas deben ser innegables, es decir: El firmante no puede negar su propia firma.     h. Para efecto de las firmas electrónicas, de preferencia se recomienda que la metodología o  la Entidad certificadora pueda extender los algoritmos de firma digital con un algoritmo de  actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente  mientras la clave pública permanece siendo la misma.    i. En cuanto a las transacciones financieras, está claro para nosotros que dichas instituciones  suelen  disponer  de  metodologías  muy  seguras  y  robustas  para  la  realización  de  sus  transacciones y  su correspondiente  encriptación,  por  lo que  recomendamos  observar  los  requerimientos de dichas entidades para los casos de integración de nuestros sistemas con  los  bancos  y  tarjetas  de  crédito  con  el  objeto  de  realizar  pagos,  cobros  o  cualquier  transacción monetaria. En especial tomar en consideración los estándares SET  ya que este  protocolo ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y  los bancos, emisor y adquiriente).    j. En  cuanto  a  la  validación  de  transacciones  financieras,  en  la  actualidad  existen  intermediarios que proveen el servicio de pago/cobro por bienes y servicios cuya alternativa  de  uso  en  nuestros  portales  se  debe  analizar  su  conveniencia  ya  que  aún  no  se  ha  demostrado su completa seguridad, tales son los casos de: Paypal (intermediario de pagos),  Google Wallet (aplicación de google mediante geo localización de dispositivos móviles)    k. Adicionalmente, recomendamos utilizar navegadores y aplicaciones de correo electrónico y  mensajería en  general, de buen  nivel, los cuales tengan  la  mayor  cantidad de  elementos  incorporados para poder utilizar los certificados de firma electrónica       
  • 6. Página 6 de 6    2. CONCLUSIONES Y RECOMENDACIONES FINALES:      Los procedimientos y recomendaciones anteriormente citados son una guía general  para los cuidados que se deben advertir en la gestión de herramientas en la WEB para el envío  y recepción de información por diferentes medios, sin embargo, la recomendación final y  concluyente es que se debe analizar y planificar la seguridad de la infraestructura IT como un  todo, y, considerar dentro de esta infra estructura la información que fluye entre las entidades  relacionadas por intermedio del uso de internet, aplicando siempre tecnologías de punta,  comprobadas, validadas y certificadas, así como monitorear permanentemente las medidas de  seguridad implantadas