El documento presenta una introducción al comercio electrónico, definiéndolo como el uso de tecnologías de la información para realizar compras y ventas. Explica las ventajas y amenazas a la seguridad, como el phishing y skimming. Detalla la legislación aplicable y organismos competentes, además de opciones de seguridad como certificados digitales. Finalmente, concluye que el comercio electrónico ha crecido exponencialmente aunque también los delitos, por lo que se requiere regularlo y mejorar la seguridad.

1. MANUAL DE SEGURIDAD EN EL COMERCIO ELECTRONICO SEGURCOM Pedro Padierna Sánchez Francisco Javier Collado Gutiérrez

2. I N D I C E 0. INTRODUCCIÓN. 1. ¿QUÉ ES EL COMERCIO ELECTRÓNICO? 2. LEGISLACIÓN APLICABLE. 3. AMENAZAS A LA SEGURIDAD. PRINCIPALES DELITOS INFORMÁTICOS. – “SKIMMING” – “ PHISHING”– VIOLACIÓN DE LA INTIMIDAD – PROPIEDAD INTELECTUAL – 4. FIRMA ELECTRÓNICA. 5. OPCIONES DE SEGURIDAD. 6. ORGANISMOS COMPETENTES. 7. CONCLUSIONES. 8. PREGUNTAS ABIERTAS.

3. INTRODUCCION El acceso a las nuevas tecnologías ha propiciado como consecuencia natural el desarrollo del comercio electrónico. Como en toda actividad surgen ventajas y peligros. VENTAJAS -GLOBALIZACION -MAYOR ACCESO CLIENTES -REDUCCION DE COSTES -COMODIDAD -REDUCCION DE ALMACENAJE -REDUCCION DE INVENTARIOS -ACCESO A GAMA MAYOR DE PRODUCTOS En este escenario se enmarca este “MANUAL DE SEGURIDAD EN EL COMERCIO ELECTRONICO” PELIGROS -FORMA DE PAGO -INTANGIBILIDAD -PRIVACIDAD Y SEGURIDAD -POSTVENTA Y, SOBRE TODO -APARICION DE NUEVAS ACTIVIDADES DELICITIVAS

4. El Comercio Electrónico * El comercio electrónico se puede definir como una metodología moderna para hacer negocios que detecta la necesidad de las empresas, comerciante y consumidores de reducir costes, así como mejorar la calidad de los bienes y servicios, además de acortar el tiempo de entrega de los mismos. * Es la aplicación de la avanzada tecnología de información para incrementar la eficacia de las relaciones empresariales entre socios comerciales. * La disponibilidad de una visión empresarial apoyada por la avanzada tecnología de la información para mejorar la eficiencia y la eficacia dentro del proceso comercial. * El uso de las tecnologías informáticas para realizar la compra y venta de bienes y servicios. Origen y evolución histórica 1995 Países G7-G8 crean un Mercado Global 1989 Aparece un nuevo servicio, WWW, World Wide Web, la telaraña global . Mediados de 1980, a través de la tv, surgió una nueva forma de venta, llamada venta directa, concretada mediante teléfono y con pagos mediante tarjeta de crédito .

5. Ventajas del Comercio Electrónico Ventajas para las empresas √ Mejoras en la distribución. √ Comunicaciones comerciales por vía electrónica. √ Beneficios operacionales. Ventajas para los clientes ● Permite el acceso a más información. ● Facilita la investigación y comparación de mercados. ● Abarata los costes y precios.

6. Legislación aplicable Comercio Electrónico 1. Esta Directiva tiene la finalidad de garantizar un elevado nivel de integración jurídica comunitaria con objeto de establecer un auténtico espacio sin fronteras interiores en el ámbito de los servicios de la Sociedad de la Información. 2. Esta Ley se aplica a todas las actividades que se realicen por medios electrónicos y que tengan un carácter comercial o persigan un fin económico. [http://www.lssi.es] 3. Esta Ley modifica la Ley de Comercio Electrónico y Servicios de la Sociedad de Información como consecuencia de los cambios realizados por la Unión Europea . 3.Ley 32/2003 General de Telecomunicaciones sobre comunicaciones electrónicas. 2.Ley 34/2002 sobre comercio electrónico y servicios de la sociedad de información. 1.Directiva Europea 30/2001 sobre comercio electrónico y Servicios de la Sociedad de Información. Comercio Electrónico

7. Legislación sobre Seguridad en el Comercio Electrónico 1. Esta Ley ha sido fundamental para proteger la intimidad de las personas y evitar el comercio con las bases de datos con contenidos de información personal. 2. Regula la contratación telefónica o electrónica e indica los derechos esenciales de los consumidores en el ámbito de la comunicación telefónica o electrónica. 3. Clasifica los delitos informáticos en cuatro grupos: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y los sistemas informáticos. Delitos informáticos. Delitos relacionados con el contenido. Delitos relacionados contra la propiedad intelectual. Seguridad en el Comercio Electrónico Ley Orgánica de Protección de Datos de Carácter Personal de España. 2. Real Decreto 1906/1999 sobre Condiciones Generales de la Contratación por vía Electrónica o telefónica. 3. Convenio sobre la Ciberdelincuencia de 1 de Noviembre de 2001.

8. AMENAZAS A LA SEGURIDAD SKIMMING El skimming es un procedimiento que consiste en colocar un lector-grabador de bandas magnéticas sobre el lector original del cajero automático. Una pequeña cámara de video camuflada bajo un soporte de folletos o similar graba el PIN. Cómo evitarlo Comprobar que los objetos cercanos al cajero no esconden minicámaras ocultas. Asegurarse que el cajero presenta un aspecto habitual. Cubrir el teclado al introducir el número secreto. Si se identifica algún dispositivo externo no manipularlo.

9. AMENAZAS A LA SEGURIDAD PHISHING El phishing es una modalidad de estafa diseñada con la finalidad de robar la identidad de una persona. El delito consiste en obtener información tal como números de tarjetas de crédito, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraudes se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. Estimado cliente, ¡Es muy importante y obligatorio leer! Posiblemente Usted notó que la semana pasada nuestro sitio www.xxxxxxxx.es funcionaba inestable y se observaban frecuentes intermitencias. Hemos renovado nuestras instalaciones bancarias y ahora el problema está resuelto. Pero para activar un sistema nuevo de protección de los datos y una capacidad de trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles completos de la cuenta para que podamos renovar nuestra base de los clientes y comprobar la capacidad de trabajo de nuestro nuevo sistema de protección de datos. Si Usted no active su cuenta bancaria durante 5 días, las posibilidades complementarias de la defensa de seguridad no serán establecidas en su cuenta. Ejemplo de phishing

10. Firma Electrónica ORGANISMOS CERTIFICADORES Firma electrónica: Ley 59/2003 - Es un conjunto de datos que identifican a un determinado usuario. De la misma forma que lo hace la firma manuscrita. La validez de estos datos los determina un certificado electrónico. -Este certificado esta validado a modo de “Notario electrónico” , por los organismos certificadores SI NO DOCUMENTO FIRMA ELECTRONICA CODIFICACION DE DOCUMENTO CODIFICACION DE FIRMA ELECTRONICA DOC ENCRIPTADO CON FIRMA ELECTRONICA DESENCRIPTADO POR EL RECEPTOR CODIGO DOC Y CODIGO FIRMA (PARTE PUBLICA) COINCIDEN DOCUMENTO CORRECTAMENTE FIRMADO (AUTENTICO) DOCUMENTO INCORRECTAMENTE FIRMADO (FALSO)

11. 1.- USO DE TECNOLOGIA SSL 2.- TECNOLOGIA SET 3.-CERTIFICADO DIGITAL 4.-PAYPAL 5.- SEGURIDAD INFORMATICA 5.1.-ANTIVIRUS 5.2.-FIREWALLS 5.3.- ANTISPYWARES Opciones de Seguridad Secure Socket Layer. Protocolos que garantizan la autenticación y privacidad mediante criptografía Secure Electronic Transaction. Garantiza la seguridad en el uso de tarjetas de crédito CERTIFICACION DE QUIEN SE DICE SER POR MEDIO DE ORGANISMOS CERTIFICADORES SISTEMA DE PAGO POR INTERNET. -GESTION DE TRANSACCIONES ECONÓMICAS ASEGURADAS. NO ASI LA CIRCULACION DE MERCANCIAS CONSEJOS: -USAR SOFTWARE ORIGINAL -REVISAR LOS ELEMENTOS EXTERIORES -NO BAJAR SOFTWARE DE INTERNET SIN VERIFICAR QUE ESTAN LIBRES DE VIRUS -NO ABRIR CORREOS DESCONOCIDOS -UTILIZAR COPIAS DE SEGURIDAD -INSTALAR UN BUEN ANTIVIRUS

12. Opciones de Seguridad CERTIFICADO DIGITAL , CERTIFICA QUE UNA PERSONA FÍSICA O JURIDICA ES QUIEN DICE SER Datos que certifica: Datos personales y/o fiscales Claves publicas y privadas de usuario Protocolos de verificación Numero de certificado Validez verificación y expiración o revocación ORGANISMO CERTIFICADOR ESTOS DATOS SON CORRECTOS

13. Organismos Competentes FUNCIONES: -VELAR POR EL CUMPLIMIENTO DE LEGISLACION -DICTAR INSTRUCCIONES -EMITIR AUTORIZACIONES -ATENDER RECLAMACIONES -REQUERIR ADOPCION DE MEDIDAS REFERENTE TRATAMEINTO DE DATOS -EJERCER POTESTAD SANCIONADORA SEGUN LEY 15/1999 -INFORMAR DE LOS DESARROLLOS DE LA LEY -COOPERACION INTERNACIONAL EN MATERIA DE PROTECCION DE DATOS -VELAR POR EL CUMPLIMIENTO DE LA LEY EN LA RECOGIDA DE DATOS ESTADISTICOS -OTRAS QUE LE ATRIBUYA LA LEY FUNCIONES: -ORGANO COLEGIADO ADSCRITO AL MINISTERIO DE ADMINISTRACIONES PUBLICAS. -PREPARACION ELABORACION, DESARROLLO Y APLICACIÓN DE LA POLITICA DEL GOBIERNO EN MATERIA DE TECNOLOGIAS DE LA INFORMACION -IMPULSAR LA ADMINISTRACION ELECTRONICA EN LA ADMON GRAL. DEL ESTADO -RD 589/2005 DE 20 MAYO FUNCIONES: -UNIDAD CREADA PARA INVESTIGAR LOS PRESUNTOS DELITOS QUE UTILIZAN PARA SU COMISION INTERNET O NUEVAS TECNOLOGIAS GRUPO DE DELITOS TELEMATICOS DE LA GUARDIA CIVIL. UNIDAD CENTRAL OPERATIVA. -RECIBIR Y TRAMITAR DENUNCIAS RELATIVAS A INTERNET U OTRAS TECNOLOGIAS DE CARÁCTER TELEMATICO FUNCIONES: -MINISTERIO DE HACIENDA -CONTROL DE LAS TRANSACCIONES ELECTRONICAS A EFECTOS FISCALES. -ELABORACION DE NORMAS FISCALES A TRAVES DE LA REAL CASA DE LA MONEDA, EFECTUAR FUNCIONES DE ORGANISMO CERTIFICADOR

14. Organismos Competentes HACER CLICK SOBRE EL ICONO -A través de estos enlaces se presentan algunos de los Organismos competentes con más relevancia. Mención especial merece la pagina de denuncias por presuntos delitos informáticos y el manual sobre firma electrónica de la “Real Casa de la Moneda”

15. CONCLUSIONES Hemos definido el comercio electrónico de varias formas, como resumen podemos decir que es el uso de las tecnologías informáticas para realizar la compra y venta de bienes y servicios, sencilla definición de un fenómeno que se ha colado de puntillas en nuestras vidas y que actualmente alcanza un nivel de expansión importantísimo. Cosas que hoy en día consideramos habituales eran impensables hace pocos años en este tipo de comercio: reservar un hotel, comprar un ordenador, un coche, un teléfono móvil, matricularse en una universidad, utilizar nuestra cuenta bancaria, pedir un préstamo, comprar acciones en cualquier bolsa mundial, etc. El abanico de posibilidades es prácticamente infinito. Solamente en una página como Ebay existen 150 millones de artículos expuestos; el establecimiento más grande imaginado está muy lejos de estas cifras y todo esto sin movernos de nuestra casa. Aunque, por desgracia, paralelamente al incremento de este comercio se han incrementado los delitos, los fraudes y las trampas y todos los países han tenido que hacer un gran esfuerzo a la hora de intentar regular jurídicamente este tipo de actividad. Todos debemos, por tanto, a la vez que aprovechamos las sinergias derivadas de este gran mercado luchar por conseguir una máxima transparencia y seguridad en el mismo así como dotarlo de las herramientas que permitan cada vez mejorarlo; sirva por eso, este manual, como un tímido intento de conseguirlo.

16. PREGUNTAS ABIERTAS 1. ¿Somos conscientes de los riesgos de las transacciones económicas en el comercio electrónico? 2. ¿Es suficiente la legislación existente para proteger a los comerciantes y compradores en red? 3. ¿Es eficiente la labor de los organismos competentes actuales?