La infraestructura PKI permite realizar operaciones criptográficas como cifrado, firma digital y no repudio de transacciones electrónicas a través de hardware, software, políticas y procedimientos de seguridad. La PKI se aplica a diferentes tipos de comercio electrónico entre empresas, consumidores y administraciones, e incluye componentes como autoridades de certificación, registro y validación de certificados digitales.

1. ESTRUCTURA PKI

2. 1. Tecnología de seguridad TIC aplicables al CE.
2. Políticas de seguridad
3. Tecnología de seguridad utilizada en el CE.
4. Protocolos de seguridad aplicables al CE.
5. Criptografía aplicable al CE.
6. Certificados digitales y firma digital
7. Aspectos jurídicos aplicables al CE.
8. Ejemplo
9. Conclusiones y Recomendaciones.
TEMARIO

3. TECNOLOGÍA DE SEGURIDAD TIC APLICABLES AL CE
(PUBLIC KEY INFRASTRUCTURE)
Es una combinación de hardware y software, políticas y procedimientos de seguridad que
permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma
digital o el no repudio de transacciones electrónicas.
 Usos de la tecnología PKI
 Autenticación de usuarios y sistemas
(login)
 Identificación del interlocutor
 Cifrado de datos digitales
 Firmado digital de datos
(documentos, software, etc.)
 Asegurar las comunicaciones
 Garantía de no repudio (negar que
cierta transacción tuvo lugar)

4. Fuente: http://www.monografias.com/trabajos15/comercio-electronico/comercio-electronico.shtml#ixzz2g6p5eFNu
 "Business to business" (entre empresas)
 "Business to consumers" (Entre empresa y consumidor)
 "Consumers to consumers" (Entre consumidor y consumidor)
 "Consumers to administrations" (Entre consumidor y administración)
 "Business to administrations" (Entre empresa y administración)
NEGOCIOS DE COMERCIO ELECTRÓNICO A LOS QUE SE
APLICA LA TECNOLOGÍA PKI

5. COMPONENTES PKI
Autoridad de
Certificación
Emite y revoca certificados.
Brinda legitimidad a la relación entre
una clave pública y la identidad de un
usuario o servicio.
Autoridad de
Registro
Verifica el enlace entre los
certificados y la identidad de
sus titulares.
Repositorios
Almacenan la información
relativa a las PKI.
Autoridad de
Validación
Comprueba la validez de los
certificados digitales.
Autoridad de
Sellado de tiempo
Firma documentos para probar
que existían antes de un
determinado instante de tiempo.
MAPA CONCEPTUAL

6.  La seguridad en la infraestructura PKI depende en parte de cómo se guarden las claves
privadas.
 Controles de seguridad de información en los repositorios.
 Conjunto de reglas que se aplican a cada uno de los certificados según su nivel de
usuario.
 Políticas de Seguridad a Nivel de Comunicaciones. Mejor Tecnología que respalde nuestra
seguridad. Reforzar y garantizar el uso de dispositivos móviles
 Políticas de Calidad que validen la ejecución de procesos, principalmente garantía de no
repudio.
 Criptografía de clave privada o simétricos yƒ Criptografía de clave pública o asimétricos.
POLITICAS DE SEGURIDAD

7. TECNOLOGÍA DE SEGURIDAD UTILIZADA EN EL CE.
 Existen dispositivos especiales denominados tokens de seguridad IPASS
(asociada a Cisco) para facilitar la seguridad de la clave privada.
 Tarjetas Ekey de Coordenadas, muy utilizada actualmente en los Bancos.
 Incorporar medidas biométricas, como la verificación de huella dactilar, que
permiten aumentar la confiabilidad.

8. POLÍTICAS DE SEGURIDAD: MAPA CONCEPTUAL

9. PROTOCOLOS DE SEGURIDAD APLICABLES AL CE.
 PKIX (IETF).
 PKCS (RSA).
 Secure Socket Layer (SSL) & Transport Layer Security
(TLS).
 Secure Electronic Transactions (SET).
 X509, X500
 IPSec.
 MIME Security

10. La criptografía abarca el uso de mensajes encubiertos, códigos y cifras. Mediante el uso de
Métodos, y combinaciones propias conforme a sistemas predeterminados.
CRIPTOGRAFÍA APLICABLE AL CE
CRIPTOGRAFIA PKI
Simétrica Asimétrica
.
1 Clave compartida
2 Claves
Clave Pública y Clave
Privada.

11. CERTIFICADOS DIGITALES Y FIRMA DIGITAL
Existen diferentes tipos de certificado digital, en función de la información que contiene cada uno
y a nombre de quién se emite el certificado:
Certificado personal, que acredita la identidad del titular.
Certificado de pertenencia a empresa, que además de la identidad del titular acredita su
vinculación con la entidad para la que trabaja.
Certificado de representante, que además de la pertenencia a empresa acredita también los
poderes de representación que el titular tiene sobre la misma.
Certificado de persona jurídica, que identifica una empresa o sociedad como tal a la hora de
realizar trámites ante las administraciones o instituciones.
Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de
certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de...,
etc.).
Además, existen otros tipos de certificado digital utilizados en entornos más técnicos:
Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante
terceros el intercambio de información con los usuarios.
Certificado de firma de código, para garantizar la autoría y la no modificación del código de
aplicaciones informáticas.

12. Estructura Certificado
Integración Certificados y
Protocolos de PKI

13. FLUJO DE CRIPTOGRAFIA Y CERTIFICADOS EN EL CE

14. Aspectos jurídicos aplicables al CE.
 Ley de Telecomunicaciones
 Ley sobre Mensajes de Datos y Firmas Electrónicas
 Ley especial contra los delitos informáticos
 Ley General de Bancos y otras Instituciones Financieras
 Ley de Cajas de Valores
 Ley de Licitaciones
 Ley Orgánica de Ciencia y Tecnología

15. Ejemplo
Sector Público: Sistema
Quipux, Administración de
Documentos, Autorizaciones
de compras y gestión
Otro Ejemplo seria Correo del
Ecuador
Sector Privado:
Bancos, gestión de
Compra, Venta, y Pago
de Servicios

16. CONCLUSIONES Y RECOMENDACIONES.
 El Comercio Electrónico nace como una alternativa de reducción de costos y un mejor
desempeño empresarial.
 Garantiza una disponibilidad las 24 horas del día, desde cualquier parte del mundo
 Todo certificado válido, ha de ser emitido por una Autoridad de certificación reconocida, que
garantiza la validez de la asociación entre el tenedor del certificado y el certificado en sí.
 Las comunicaciones con seguridad PKI no requieren del intercambio de ningún tipo de clave
secreta para su establecimiento, por lo que se consideran muy seguras si se siguen las
políticas de seguridad pertinentes
 Se necesitan crear entidades que validad, renuevan y revocan, certificados digitales a nivel
local
Desventajas:
 Elimina el contacto directo y por ende el conocimiento de la empresa y el cliente; así como
también crea desconfianza en cuanto a la seguridad del sistema.
 Aun las transacciones tienen un alto porcentaje de riesgo, fraude o alteración de datos
personales.