Este documento proporciona recomendaciones sobre procedimientos de seguridad para el comercio electrónico. Recomienda medidas como el uso de infraestructura segura con respaldo, cifrado avanzado como AES y PGP, y certificados digitales emitidos por autoridades de certificación reconocidas para autenticar transacciones de forma segura. El objetivo es establecer las mejores prácticas de seguridad para proteger la información transmitida electrónicamente.

1. Página 1 de 6
Contents
MANUAL DE PROCEDIMIENTOS COMERCIO ELECTRÓNICO............................................................2
INTRODUCCIÓN.‐ ..........................................................................................................................2
ALCANCE.‐ .................................................................................................................................3
SEÑALAMIENTOS GENERALES.‐ .....................................................................................................4
SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐ ..............................................4
SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN DE
INFORMACION.‐ ....................................................................................................................5
RECOMENDACIONES EN LA IMPLEMENTACIÓN DE METODOLOGÍAS DE CIFRADO.‐
..............................................................................................................................................5
RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS DIGITALES.‐
..............................................................................................................................................6

2. Página 2 de 6
MANUAL DE PROCEDIMIENTOS COMERCIO ELECTRÓNICO
INTRODUCCIÓN.‐
El avance en la tecnología a nivel de equipos en procesamiento de
datos, comunicaciones y software se ha facilitado el dinamismo de los
procesos comercialización alrededor del mundo, y por esto en el
presente es “sencillo” la realización de transacciones de diferentes tipos
para efectuar la compra y venta de bienes y servicios en la WEB.
Este avance de la tecnología ha llevado al manejo de redes sociales,
sitio de compras, foros, aprovisionamiento, y realizar transacciones
financieras y gubernamentales.
Todo esto requiere de medidas de seguridad acordes al nivel de
fiabilidad que les necesitan.
Sin esto se está a riesgo de ciber ataques y robo de información,
fraudes electrónicos, etc., se necesita medidas para contrarrestar todo
esto.

3. Página 3 de 6
ALCANCE.‐
El presente documento ayudará a determinar los procedimientos
generales de seguridad para el envío – recepción de información en
comercio electrónico.
El manual a continuación describe de forma general, las medidas de
seguridad, las técnicas de encriptación, certificados y firmas digitales.

4. Página 4 de 6
SEÑALAMIENTOS GENERALES.‐
SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐
a. Se debe asegurar que la infraestructura de TI en la que se alojará el portal cumpla
con todos los requerimientos seguridad y disponer de un “sitio” de recuperación de
desastres de forma inmediata
b. Certificar que disponga de todas las medidas de seguridad necesarias para su óptima
disponibilidad y eficiencia: Servidores de respaldo, procedimiento de respaldos de
información, sistemas alternos de energía.
c. Que implemente todas las medidas preventivas y correctivas para repeler cualquier
ataque al perímetro de servidores como firewalls, IPS.
d. Certificar que cubra todos estándares i n te rn a ci o nal e s necesarios para
asegurar el envío y recepción de todo tipo de información, temas tratados con más
detalle adelante.
e. Mantener políticas de gestión de identificación y claves de acceso, cifrados para que
no sean víctimas de ataques de MTM.
f. Asegurarse que la infraestructura de comunicaciones soportará el volumen de
transaccionalidad necesaria de forma hermética, segura y con buen tiempo de
respuesta.

5. Página 5 de 6
i. Soporte de forma óptima todos los controles, para evitar Suplantación, Carding,
Skimming, pishing, etc.
j. Se debe contar con certificados digitales emitidos para una Entidad Certificadora
internacional real para que toda transacción sea verificada con esta entidad.
k. Que el portal o servicios web cuenten y cumplan con normativas o estándares para
el intercambio electrónico de datos.
l. Finalmente, aunque no menos importante es: Analizar, considerar e implementar las
consideraciones y disposiciones legales aplicables a los ambientes internet y de
comercio electrónico.
SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN DE
INFORMACION.‐
a. Que utilice los más avanzados: Procedimientos, aplicaciones, estándares, protocolos
para el cifrado de información en el envio y recepción.
b. El sitio y los interactuantes contemple protocolos de seguridad para la
transferencia de hipertexto en las redes (HTTPS) y protocolos cifrados de
comunicación tipo SSL y TLS (transport layer security) los cuales proporcionarán
autentificación, confidencialidad, características de no rechazo y de forma general,
seguridad en los extremos de las comunicaciones en la internet (WEB server,
browser).
RECOMENDACIONES EN LA IMPLEMENTACIÓN DE METODOLOGÍAS DE
CIFRADO.‐
a. De forma general y cuando se realizan procesos de cifrado de información internas y
de traslado de información externa usando la mas avanzada y la mejor técnica de
cifrado.
b. Nuestra recomendación personal sobre los algoritmos de encriptación es utilizar la
normativa de Advanced Encryption Standard (NIST AES).
b. Adicionalmente para la implementación de mensajería y correos electrónicos usar
las técnicas de cifrado de correo electrónico y contenido con PGP.

6. Página 6 de 6
RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS
DIGITALES.‐
a. Usar (CA) privadas reconocidas como: VeriSign (Symantec), DigiCert, Thawte y GeoTrust, u,
oficiales para el caso de integración Goverment to Consumer o Goverment to Business
b. Para la emisión de certificados digitales y su aplicación en firmas digitales se recomienda
firmemente utilizar los servicios de autoridades de certificación que apliquen para el efecto
los estándares de la Unión Internacional de las telecomunicaciones y/o las ISO/IEC
(International Standards Organization / International Electrotechnical Commission) y
específicamente el formato estándar para certificados de claves públicas y validación de
rutas de certificación (Publik Key Infraestructure) PKIX.509 desarrollado por la Internet
Engineering Task Force.
c. Como alternativa en línea, para el control de listas de revocación se recomienda utilizar
Online Certificate Status Protocol (OCSP), el cual es un método para determinar el estado
de revocación de un certificado digital X.509
d. Para efecto de las firmas electrónicas, de preferencia se recomienda que la metodología o
la Entidad certificadora pueda extender los algoritmos de firma digital con un algoritmo de
actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente
mientras la clave pública permanece siendo la misma.
e. En cuanto a la validación de transacciones financieras, en la actualidad existen
intermediarios que proveen el servicio de pago/cobro por bienes y servicios cuya alternativa
de uso en nuestros portales se debe analizar su conveniencia ya que aún no se ha
demostrado su completa seguridad, tales son los casos de: Paypal (intermediario de pagos),
Google Wallet (aplicación de google mediante geo localización de dispositivos móviles)
f. Adicionalmente, recomendamos utilizar navegadores y aplicaciones de correo electrónico y
mensajería en general, de buen nivel, los cuales tengan la mayor cantidad de elementos
incorporados para poder utilizar los certificados de firma electrónica

7. Página 7 de 6
1. . CONCLUSIONES Y RECOMENDACIONES FINALES:
Los procedimientos y recomendaciones anteriormente citados son una guía general
para los cuidados que se deben advertir en la gestión de herramientas en la WEB para el envío
y recepción de información por diferentes medios.
Tomarlos en cuenta para seguir siempre estos lineamientos y no aprobar nada si no esta
basado en los procedimientos anteriormente descritos.