Este documento describe varios mecanismos de pago electrónico y aspectos de seguridad para el comercio electrónico, incluyendo sistemas de pago como TPV virtual, dinero electrónico y tarjetas de crédito, así como protocolos de seguridad como SSL y SET y métodos de cifrado y firmas digitales.

1. MECANISMOS DE PAGO Y ASPECTOS DE SEGURIDAD

3. Los sistemas de monedero electrónico

5. Pasos para la compra por TPV Paso 1 El cliente visita la tienda virtual y selecciona los productos que desea adquirir. Datos pedido

6. Datos transacción Paso 2 La tienda virtual envía al banco o caja los datos de la transacción: identificación e importe.

7. Paso 3 El banco o caja solicita del cliente su conformidad y los datos de la tarjeta con la que va a pagar. Datos tarjeta

8. Paso 4 El banco o caja consulta la validez de los datos de la tarjeta del cliente.

9. Paso 5 El banco o caja comunica a la tienda virtual y al cliente la conformidad para la operación. Esa comunicación actúa como justificante y recibo. Las cuentas son cargadas y abonadas.

10. 2 4 5 3 1

11. Pago directo con tarjeta El comprador comunica al vendedor los datos de su tarjeta y el vendedor toma nota de estos datos y se los comunica al banco. La única diferencia con el uso tradicional es aquí que esas comunicaciones se realizan a través de Internet.

12. 1 El ordenador del comprador envía los datos de su tarjeta.2 El ordenador del comerciante envía los datos de la tarjeta al ordenador de su banco.3 El ordenador del banco comprueba que los datos de la tarjeta sean correctos.4 El ordenador del banco comunica al ordenador del comerciante que la transacción puede ser aceptada.5 El ordenador del comerciante comunica al del cliente que la transacción ha sido aceptada y dispone el envío de la mercancía.6 El comerciante envía la orden de cargo-abono con los datos de la transacción al banco.7 y 8 El banco ordena los abonos y cargos correspondientes.

13. Dinero electrónico o e-cash Dinero Electrónico (Anónimo e Identificado): El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). A todos los efectos se definirá el dinero electrónico como aquel dinero creado, cambiado y gastado de forma electrónica. Este dinero tiene un equivalente directo en el mundo real: la moneda.

14. El dinero electrónico puede clasificarse en 2 tipos: Dinero on-line: Exige interactuar con el banco (vía módem, red o banca electrónica) para llevar a cabo el pago de una transacción con una tercera parte (comercio o tienda online). Dinero offline: Se dispone del dinero en el propio ordenador, y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet.

15. Seguridad Para El Comercio Electrónico La seguridad en el comercio electrónico y específicamente en las transacciones comerciales es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a través del cual toda la información confidencial es encriptada y viaja de forma segura, esto brinda confianza tanto a proveedores como a compradores al realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales (nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.

16. Amenazas de seguridad para el comercio electrónico Se entiende por amenaza a una acción o condición del entorno de redes (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación en la seguridad (confidencialidad, integridad, disponibilidad o uso legitimo)

17. Tipos de amenazas Las amenazas a la seguridad de los sistemas de comercio electrónico pueden ser clasificadas como internas y externas. LA AMENAZA INTERNA es la que tiene más probabilidad de ocurrir, es la más difícil de combatir o controlar y sin embargo es la que más se pasa por alto. Este tipo de amenazas es difícil de combatir ya que muy pocos sistemas brindan protección contra acciones maliciosas ejecutadas por usuarios que estén autorizados en el sistema. Es por esto que la mejor manera de combatir esta amenaza es con una combinación de políticas de seguridad estrictas y un esquema de acceso a información privilegiada que solo le permita el acceso a aquellas personas que deban tenerlo.

18. Tipos de amenazas LA AMENAZA EXTERNA: Tanto los ejecutivos de las compañías como los administradores de los sistemas sienten un temor especial a los intrusos desconocidos que estando fuera de las barreras de la organización puedan tener acceso a información privilegiada. Parte de esta preocupación está bien fundada, ya que la Internet le da a los comerciantes la posibilidad de llegar a los consumidores potenciales en cualquier parte del mundo, pero al mismo tiempo permite que todos los usuarios mal intencionados, hackers y espías corporativos en todo el mundo puedan tener acceso a la información de la compañía.

19. Protocolos de seguridad SSL y SET SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular).

21. No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.

25. Autentificación: que tanto el emisor como el receptor puedan confirmar la identidad de la otra parte.

28. Su clave pública para la comunicación

29. CA que firma el certificado

32. Si se modifica la firma que contiene ya no será validable (sólo la CA que lo firmó puede generar dicha firma).

33. Esta identidad nos hace funcionar con gente que ha dado su confianza a dicha CA.

34. Resuelve el problema de autenticación.

35. Presentación del certificado y habilidad para comunicarse en base a la clave privada correspondiente.

38. Infalsificable

39. Fácil de autenticar

40. No repudio

41. Fácil de generar

43. Algoritmo de verificación: Cómo validar una firma recibida