Manual procedimientos seguridad dentro de las plataformas de comercio elec…
1. Página 1 de 6
MANUAL DE PROCEDIMIENTOS EN EL ENVIO RECEPCION DE
INFORMACION EN EL ENTORNO DE COMERCIO ELECTRONICO
INTRODUCCION.‐
El avance de la tecnología específicamente en cuanto a los equipos
de procesamiento de datos, comunicaciones y software han facilitado la
dinamia de los procesos comerciales en el mundo, por lo tanto en la
actualidad es muy “fácil” la realización de transacciones de todo tipo
efectuando la compra y venta de bienes y servicios en la WEB.
Este “devenir” de la tecnología nos ha llevado inclusive al manejo
de lo que conocemos como redes sociales, portales de compra, foros
electrónicos, etc., llegando hasta la realización de transacciones
financieras y gubernamentales.
Todo este tipo de tecnologías y su correspondiente gestión requiere
de medidas de seguridad acordes al nivel de fiabilidad que les
corresponde.
Lastimosamente, este mismo avance de la tecnología permite que
la “delincuencia virtual” aplique el refrán: “Creada la ley, creada la
trampa”, por lo cual, el uso de cualquier tecnología “abierta” al mundo
electrónico debe ir acompañada de procedimientos para la aplicación de
las seguridades pertinentes.
ALCANCE.‐
El presente documento pretende determinar los procedimientos
generales de seguridad en el envío – recepción de información dentro de
los esquemas de comercio electrónico.
El manual a continuación describe de forma general, las medidas de
seguridad en el envío – recepción de información aplicando principalmente
las técnicas de encriptación, certificados y firmas digitales.
2. Página 2 de 6
1. SEÑALAMIENTOS GENERALES.‐
Tomando en consideración que los aspectos de seguridad son “un todo”, es
importante determinar de forma general algunos factores clave a ser tomados en cuenta
al momento de implementar cualquier tipo de portal, más aun reflexionando que en la
WEB, toda interactuación implica envío y recepción de información
1.1 SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐
a. Se debe asegurar que la infraestructura de IT en la que se alojará el portal cumpla
con todos los requerimientos de seguridad física y se disponga de un manual de
contingencias incluyendo toda la infraestructura para disponer de un “sitio” de
respaldo operativo de forma inmediata
b. Certificar que disponga de todas las medidas de seguridad necesarias para su óptima
disponibilidad y eficiencia: Servidores de respaldo, gestión de respaldos de
información, sistemas alternos de energía, sistemas ininterrumpidos de energía, etc.
c. Que implemente todas las medidas preventivas y correctivas para repeler cualquier
ataque a dicha seguridad como: Hackers ‐ Crackers, virus informáticos, pishing,
troyanos, redireccionadores, malware, Clickjacking, backdoors, spyware, adware,
greyware, etc. Para el efecto se debe mantener permanentemente implementados
y actualizados: Firewalls físicos y lógicos, actualizados los sistemas operativos, bases
de datos, firewalls, herramientas antivirus en perfecto estado de funcionamiento
incluyendo todas las actualizaciones de seguridad (parches)
d. Certificar que cubra todos y más eficientes estándares necesarios para asegurar el
envío y recepción de todo tipo de información, temas tratados con más detalle
adelante.
e. Mantener políticas de gestión de identificación y claves de acceso, las cuales
determinen medidas para su correcta confección, verificación y uso, como por
ejemplo: Forma, tamaño y características de identificadores de usuario y password
sólidos, vencimiento de passwords, métodos de identificación de ordenadores en la
red, etc.
f. Asegurarse que el portal mantenga todas las seguridades necesarias para el
almacenamiento y confidencialidad de la información de clientes, proveedores y en
general de todas las entidades involucradas, en especial: La información de personal,
financiera, claves, etc.
g. Asegurar que la infraestructura de procesamiento soportará el volumen de
transaccionalidad necesaria
h. Asegurarse que la infraestructura de comunicaciones soportará el volumen de
transaccionalidad necesaria de forma hermética, segura y con buen tiempo de
respuesta
3. Página 3 de 6
i. Soporte de forma óptima todos los controles, protocolos, estándares y metodologías
necesarias para validar transacciones financieras electrónicas, evitando así todo tipo
de malware asociado como: Suplantación, Carding, Skimming, pishing, etc.
j. Se debe certificar que la entidad que se conecta o accede a los servicios WEB o
portales sean reales en cuanto a que procedan de quien dicen proceder y sean
conexiones seguras por ejemplo mediante la aplicación de certificados públicos SSL
k. Que el portal o servicios web cuenten y cumplan con normativas o estándares para
el intercambio electrónico de datos.
l. Finalmente, aunque no menos importante es: Analizar, considerar e implementar las
consideraciones y disposiciones legales aplicables a los ambientes internet y de
comercio electrónico.
1.2 SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN
DE INFORMACION.‐
De forma más específica los procedimientos de seguridad que se deben observar en el
proceso de interactuación (envío y recepción de información)
Asegurarse que la gestión del acceso e interactuación con cualquier tipo de portal
cumpla con todos los estándares de seguridad modernos como por ejemplo:
a. Que utilice excelentes y más avanzados: Procedimientos, aplicaciones, estándares,
protocolos para la encriptación de la información tanto dentro de la infraestructura
como aquella transmitida entre las diferentes entidades interactuantes.
b. En cuanto a las comunicaciones llegar a cumplir con las especificaciones del nivel “A”
requeridas por la Unión Internacional de Telecomunicaciones (ITU) las cuales
abarcan además de los controles de acceso a sistemas, archivos, información
confidencial, etc., todos los componentes de las redes y equipos de la red como su
identificación y etiquetamiento.
c. Que el site y la infraestructura utilizada tanto por el “dueño” del portal como de sus
interactuantes contemple protocolos de seguridad para la transferencia de
hipertexto en las redes (HTTPS) y protocolos criptográficos de tipo SSL y más
actualizados como el TLS (transport layer security) los cuales proporcionarán
autentificación, confidencialidad, características de no rechazo y de forma general,
seguridad en los extremos de las comunicaciones en la internet (WEB server,
browser). De preferencia se sugiere utilizar exploradores que tenga control sobre las
infracciones de seguridad a estos protocolos (The beast) como son el caso de Mozilla
y Google Chrome, los cuales han considerado en su software librerías NSS para mitigar
ataques de tipo. A efectos de implementar HTTPS, se debe obtener un certificado de
clave pública para el servidor WEB firmado por una entidad certificadora.
4. Página 4 de 6
1.3 RECOMENDACIONES EN LA IMPLEMENACION DE METODOLOGIAS DE
ENCRIPTACION.‐
a. De forma general y cuando se realizan procesos de encriptación de información
internas y de traslado de información externa, aunque más orientadas al campo
privado, se debería analizar el uso de aplicaciones para la implementación de los
mejores y más modernos algoritmos de encriptación. Vale la pena recalcar que la
NIST (EU) realizó una trabajo interinstitucional que culminó en el año 2000 para
elegir los mejores algoritmos, dando como resultado: MARS: 13 votos, RC6: 23
votos, RIJNDAEL: 86 votos, SERPENT: 59 votos, TWOFISH: 31 votos
b. Nuestra recomendación personal sobre los algoritmos de encriptación es utilizar la
normativa de Advanced Encryption Standard (NIST AES) establecidas por la National
Institute of Standards and Technology la cual utiliza el algoritmo de cifrado Rijndael
c. Adicionalmente para la implementación de mensajería y correos electrónicos se
recomienda utilizar aplicaciones que integren la mayor cantidad de estándares para
identificar firmas y cifrado, por ejemplo herramientas de correo que soporte el
estándar S/MIME, SHA‐1 o SHA‐512 las cuales otorgan mayor cobertura y seguridad
respectivamente.
1.4 RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS
DIGITALES.‐
Es muy importante establecer mecanismos de autentificación de los usuarios de internet
y el envío – recepción de información y de documentos electrónicos (firmas electrónicas), para
lo cual se realizan las siguientes recomendaciones:
a. La utilización de certificados digitales para claves públicas avalados por autoridades de
certificación (AC) privadas reconocidas como: VeriSign, DigiCert, Thawte y GeoTrust, u,
oficiales para el caso de integración Goverment to Consumer o Goverment to Business
b. Que la entidad certificadore proporcione una Declaración de Prácticas de Certificación
mediante la cual indique claramente sus políticas y prácticas relativas a la seguridad y
mantenimiento de los certificados, la responsabilidades de la CA respecto a los sistemas que
emplean sus certificados y las obligaciones de los subscriptores respecto de la misma
c. Para la emisión de certificados digitales y su aplicación en firmas digitales se recomienda
firmemente utilizar los servicios de autoridades de certificación que apliquen para el efecto
los estándares de la Unión Internacional de las telecomunicaciones y/o las ISO/IEC
(International Standards Organization / International Electrotechnical Commission) y
específicamente el formato estándar para certificados de claves públicas y validación de
rutas de certificación (Publik Key Infraestructure) PKIX.509 desarrollado por la Internet
Engineering Task Force
d. Por supuesto, se recomienda diseñar un procedimiento para resguardo de las claves de
certificados digitales y/o firmas digitales, el cual al menos determine las normas de
“resguardo” de las mismas, en especial el no tener dichas claves al alcance del internet, sin
5. Página 5 de 6
alojarlas en equipos conectados al mismo o al menos, mantener los token a salvo y/o a su
vez cifrarlas tomando en consideración las recomendaciones anteriormente detalladas.
e. Monitorear permanentemente las listas de anulación de certificados (Certification
Revocation Lists o CRL) con el objeto de verificar si algún certificado ha vencido o han sido
comprometida(s) las claves públicas y privadas del emisor (Autoridad Certificadora) como
de la persona o sujeto usuario.
f. Como alternativa en línea, para el control de listas de revocación se recomienda utilizar
Online Certificate Status Protocol (OCSP), el cual es un método para determinar el estado
de revocación de un certificado digital X.509
g. En cuanto al envío recepción de mensajes y/o documentos como facturas, pedidos, etc. se
recomienda verificar su autenticidad, integridad y no repudio mediante el uso de
tecnologías que apliquen los conceptos de firmas digitales, cuyos algoritmos de generación
y verificación de firmas sean de última tecnología, cubran los estándares de la Union
Internacional de las telecomunicaciones y/o las ISO/IEC (International Standards
Organization / International Electrotechnical Commission) y garanticen el cumplimiento de:
Que las firmas sean únicas: Ser generadas únicamente por el firmante
Que las firmas no se puedan falsificar. Este factor depende de todas las
recomendaciones anteriormente detalladas respecto de las CA.
La firmas deben ser fácilmente verificables
Las firmas deben ser innegables, es decir: El firmante no puede negar su propia firma.
h. Para efecto de las firmas electrónicas, de preferencia se recomienda que la metodología o
la Entidad certificadora pueda extender los algoritmos de firma digital con un algoritmo de
actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente
mientras la clave pública permanece siendo la misma.
i. En cuanto a las transacciones financieras, está claro para nosotros que dichas instituciones
suelen disponer de metodologías muy seguras y robustas para la realización de sus
transacciones y su correspondiente encriptación, por lo que recomendamos observar los
requerimientos de dichas entidades para los casos de integración de nuestros sistemas con
los bancos y tarjetas de crédito con el objeto de realizar pagos, cobros o cualquier
transacción monetaria. En especial tomar en consideración los estándares SET ya que este
protocolo ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y
los bancos, emisor y adquiriente).
j. En cuanto a la validación de transacciones financieras, en la actualidad existen
intermediarios que proveen el servicio de pago/cobro por bienes y servicios cuya alternativa
de uso en nuestros portales se debe analizar su conveniencia ya que aún no se ha
demostrado su completa seguridad, tales son los casos de: Paypal (intermediario de pagos),
Google Wallet (aplicación de google mediante geo localización de dispositivos móviles)
k. Adicionalmente, recomendamos utilizar navegadores y aplicaciones de correo electrónico y
mensajería en general, de buen nivel, los cuales tengan la mayor cantidad de elementos
incorporados para poder utilizar los certificados de firma electrónica
6. Página 6 de 6
2. CONCLUSIONES Y RECOMENDACIONES FINALES:
Los procedimientos y recomendaciones anteriormente citados son una guía general
para los cuidados que se deben advertir en la gestión de herramientas en la WEB para el envío
y recepción de información por diferentes medios, sin embargo, la recomendación final y
concluyente es que se debe analizar y planificar la seguridad de la infraestructura IT como un
todo, y, considerar dentro de esta infra estructura la información que fluye entre las entidades
relacionadas por intermedio del uso de internet, aplicando siempre tecnologías de punta,
comprobadas, validadas y certificadas, así como monitorear permanentemente las medidas de
seguridad implantadas