Este documento describe varios mecanismos de pago electrónico y aspectos de seguridad para el comercio electrónico, incluyendo sistemas de pago como TPV virtual, dinero electrónico y tarjetas de crédito, así como protocolos de seguridad como SSL y SET y métodos de cifrado y firmas digitales.

1. MECANISMOS DE PAGO Y ASPECTOS DE SEGURIDAD

2. Sistemas De Pago Por Internet Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta dentro del comercio electrónico.Como ejemplos de sistemas de pago electrónico nos encontramosTPV-virtual.

3. Los sistemas de monedero electrónico

4. Banca electrónica del usuario.Pago con tarjeta TPV VirtualLos contratos TPV (Terminal Punto de Venta) son los contratos normales que se establecen entre un comerciante y la entidad financiera con la que trabaje habitualmente para poder aceptar el pago con tarjeta de los clientes. El TPV Virtual es el sistema más seguro para la utilización de las tarjetas de crédito en Internet. Este sistema no solo garantiza que los datos de la tarjeta viajarán, encriptados, directamente del comprador al banco intermediario sino que además, no serán conocidos en ningún momento por el vendedor.

5. Pasos para la compra por TPVPaso 1El cliente visita la tienda virtual y selecciona los productos que desea adquirir.Datos pedido

6. Datos transacciónPaso 2La tienda virtual envía al banco o caja los datos de la transacción: identificación e importe.

7. Paso 3El banco o caja solicita del cliente su conformidad y los datos de la tarjeta con la que va a pagar.Datos tarjeta

8. Paso 4El banco o caja consulta la validez de los datos de la tarjeta del cliente.

9. Paso 5El banco o caja comunica a la tienda virtual y al cliente la conformidad para la operación. Esa comunicación actúa como justificante y recibo.Las cuentas son cargadas y abonadas.

10. 24531

11. Pago directo con tarjeta El comprador comunica al vendedor los datos de su tarjeta y el vendedor toma nota de estos datos y se los comunica al banco. La única diferencia con el uso tradicional es aquí que esas comunicaciones se realizan a través de Internet.

12. 1 El ordenador del comprador envía los datos de su tarjeta.2 El ordenador del comerciante envía los datos de la tarjeta al ordenador de su banco.3 El ordenador del banco comprueba que los datos de la tarjeta sean correctos.4 El ordenador del banco comunica al ordenador del comerciante que la transacción puede ser aceptada.5 El ordenador del comerciante comunica al del cliente que la transacción ha sido aceptada y dispone el envío de la mercancía.6 El comerciante envía la orden de cargo-abono con los datos de la transacción al banco.7 y 8 El banco ordena los abonos y cargos correspondientes.

13. Dinero electrónico o e-cash Dinero Electrónico (Anónimo e Identificado):El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). A todos los efectos se definirá el dinero electrónico como aquel dinero creado, cambiado y gastado de forma electrónica. Este dinero tiene un equivalente directo en el mundo real: la moneda.

14. El dinero electrónico puede clasificarse en 2 tipos:Dinero on-line:Exige interactuar con el banco (vía módem, red o banca electrónica) para llevar a cabo el pago de una transacción con una tercera parte (comercio o tienda online). Dinero offline:Se dispone del dinero en el propio ordenador, y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet.

15. Seguridad Para El Comercio Electrónico La seguridad en el comercio electrónico y específicamente en las transacciones comerciales es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a través del cual toda la información confidencial es encriptada y viaja de forma segura, esto brinda confianza tanto a proveedores como a compradoresal realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales (nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.

16. Amenazas de seguridad para el comercio electrónico Se entiende por amenaza a una acción o condición del entorno de redes (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación en la seguridad (confidencialidad, integridad, disponibilidad o uso legitimo)

17. Tipos de amenazasLas amenazas a la seguridad de los sistemas de comercio electrónico pueden ser clasificadas como internas y externas. LA AMENAZA INTERNA es la que tiene más probabilidad de ocurrir, es la más difícil de combatir o controlar y sin embargo es la que más se pasa por alto. Este tipo de amenazas es difícil de combatir ya que muy pocos sistemas brindan protección contra acciones maliciosas ejecutadas por usuarios que estén autorizados en el sistema. Es por esto que la mejor manera de combatir esta amenaza es con una combinación de políticas de seguridad estrictas y un esquema de acceso a información privilegiada que solo le permita el acceso a aquellas personas que deban tenerlo.

18. Tipos de amenazas LA AMENAZA EXTERNA: Tanto los ejecutivos de las compañías como los administradores de los sistemas sienten un temor especial a los intrusos desconocidos que estando fuera de las barreras de la organización puedan tener acceso a información privilegiada. Parte de esta preocupación está bien fundada, ya que la Internet le da a los comerciantes la posibilidad de llegar a los consumidores potenciales en cualquier parte del mundo, pero al mismo tiempo permite que todos los usuarios mal intencionados, hackers y espías corporativos en todo el mundo puedan tener acceso a la información de la compañía.

19. Protocolos de seguridad SSL y SET SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator.Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular).

20. DesventajasSólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.

21. No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.

22. Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento o que ésta no haya sido aprobada. Protocolos de seguridad SSL y SET El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape.VentajasAutenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente).VentajasConfidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra.

23. Gestión del pago, gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc. Métodos de cifrado y criptografía La criptografía es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos.Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.El texto plano que está encriptado o cifrado se llama criptograma

24. Métodos de cifrado y criptografía Las técnicas de cifrado consisten en manipular la información para intentar conseguir:Confidencialidad: que sólo pueda acceder a la información su legítimo destinatario.

25. Autentificación: que tanto el emisor como el receptor puedan confirmar la identidad de la otra parte.

26. Integridad: que la información no pueda ser alterada sin ser esto detectado.Métodos CriptográficosCifrado simétrico: utilizan una única clave compartida. (privadas)Cifrado asimétrico: utilizan claves públicas y privadas.Funciones hash:asocian un número a un documento.Cifrado híbrido:combina cifrado simétrico, cifrado asimétrico y funciones hash.

27. Mecanismos de certificación y firma digital ¿Qué es un certificado digital?Un certificado digital de identidad es un documento con diversos datos, entre otros:Entidad del titular (DN de LDAP)

28. Su clave pública para la comunicación

29. CA que firma el certificado

30. La firma en síAutoridades de CertificaciónLa Autoridad de Certificación es un ente u organismo que, de acuerdo con unas políticas y algoritmos, certificará -por ejemplo- claves públicas de usuarios o servidores.