Formas de Pago y Seguridad

MECANISMOS DE PAGO Y

ASPECTOS DE SEGURIDAD

Sistemas De Pago Por Internet

Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta dentro del comercio electrónico.

Como ejemplos de sistemas de pago electrónico nos encontramos• TPV-virtual.• Los sistemas de monedero electrónico • Banca electrónica del usuario.

Pago con tarjeta TPV Virtual

Los contratos TPV (Terminal Punto de Venta) son los contratos normales que se establecen entre un comerciante y la entidad financiera con la que trabaje habitualmente para poder aceptar el pago con tarjeta de los clientes. El TPV Virtual es el sistema más seguro para la utilización de las tarjetas de crédito en Internet. Este sistema no solo garantiza que los datos de la tarjeta viajarán, encriptados, directamente del comprador al banco intermediario sino que además, no serán conocidos en ningún momento por el vendedor.

Datos pedido

Paso 1

El cliente visita la tienda virtual y selecciona los productos que desea adquirir.

Pasos para la compra por TPV

Datos transacción

Paso 2

La tienda virtual envía al banco o caja los datos de la transacción: identificación e importe.

Datos tarjeta

Paso 3

El banco o caja solicita del cliente su conformidad y los datos de la tarjeta con la que va a pagar.

Paso 4

El banco o caja consulta la validez de los datos de la tarjeta del cliente.

Paso 5

El banco o caja comunica a la tienda virtual y al cliente la conformidad para la operación.

Esa comunicación actúa como justificante y recibo.

Las cuentas son cargadas y abonadas.

1

2

3

4

5

Pago directo con tarjeta

El comprador comunica al vendedor los datos de su tarjeta y el vendedor toma nota de estos datos y se los comunica al banco. La única diferencia con el uso tradicional es aquí que esas comunicaciones se realizan a través de Internet.

1 El ordenador del comprador envía los datos de su tarjeta.2 El ordenador del comerciante envía los datos de la tarjeta al ordenador de su banco.3 El ordenador del banco comprueba que los datos de la tarjeta sean correctos.4 El ordenador del banco comunica al ordenador del comerciante que la transacción puede ser aceptada.5 El ordenador del comerciante comunica al del cliente que la transacción ha sido aceptada y dispone el envío de la mercancía.6 El comerciante envía la orden de cargo-abono con los datos de la transacción al banco.7 y 8 El banco ordena los abonos y cargos correspondientes.

Dinero electrónico o e-cash

Dinero Electrónico (Anónimo e Identificado):

El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). A todos los efectos se definirá el dinero electrónico como aquel dinero creado, cambiado y gastado de forma electrónica. Este dinero tiene un equivalente directo en el mundo real: la moneda.

El dinero electrónico puede clasificarse en 2 tipos:

Dinero on-line:

Exige interactuar con el banco (vía módem, red o banca electrónica) para llevar a cabo el pago de una transacción con una tercera parte (comercio o tienda online).

Dinero offline:

Se dispone del dinero en el propio ordenador, y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet.

Seguridad Para El Comercio Electrónico

La seguridad en el comercio electrónico y específicamente en las transacciones comerciales es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a través del cual toda la información confidencial es encriptada y viaja de forma segura, esto brinda confianza tanto a proveedores como a compradores

al realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales (nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.

Amenazas de seguridad para el comercio electrónico

Se entiende por amenaza a una acción o condición del entorno de redes (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación en la seguridad (confidencialidad, integridad, disponibilidad o uso legitimo)

Tipos de amenazas

Las amenazas a la seguridad de los sistemas de comercio

electrónico pueden ser clasificadas como internas y externas.

LA AMENAZA INTERNA es la que tiene más probabilidad de ocurrir, es la más difícil de combatir o controlar y sin embargo es la que más se pasa por alto. Este tipo de amenazas es difícil de combatir ya que muy pocos sistemas brindan protección contra acciones maliciosas ejecutadas por usuarios que estén autorizados en el sistema. Es por esto que la mejor manera de combatir esta amenaza es con una combinación de políticas de seguridad estrictas y un esquema de acceso a información privilegiada que solo le permita el acceso a aquellas personas que deban tenerlo.

LA AMENAZA EXTERNA: Tanto los ejecutivos de las compañías como los administradores de los sistemas sienten un temor especial a los intrusos desconocidos que estando fuera de las barreras de la organización puedan tener acceso a información privilegiada. Parte de esta preocupación está bien fundada, ya que la Internet le da a los comerciantes la posibilidad de llegar a los consumidores potenciales en cualquier parte del mundo, pero al mismo tiempo permite que todos los usuarios mal intencionados, hackers y espías corporativos en todo el mundo puedan tener acceso a la información de la compañía.

Tipos de amenazas

Protocolos de seguridad SSL y SET

SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator.

Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular).

• Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.

• No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.

• Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento o que ésta no haya sido aprobada.

Desventajas

Protocolos de seguridad SSL y SET

El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape.

Ventajas

• Autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente).

Ventajas

• Confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra.

• Gestión del pago, gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

• La criptografía es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos.

Métodos de cifrado y criptografía

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.El texto plano que está encriptado o cifrado se llama criptograma

Métodos de cifrado y criptografía

Las técnicas de cifrado consisten en manipular la información para intentar conseguir:

• Confidencialidad: que sólo pueda acceder a la información su legítimo destinatario.

• Autentificación: que tanto el emisor como el receptor puedan confirmar la identidad de la otra parte.

• Integridad: que la información no pueda ser alterada sin ser esto detectado.

• Cifrado simétrico: utilizan una única clave compartida. (privadas)

• Cifrado asimétrico: utilizan claves públicas y privadas.

• Funciones hash: asocian un número a un documento.

• Cifrado híbrido: combina cifrado simétrico, cifrado asimétrico y funciones hash.

Métodos Criptográficos

Mecanismos de certificación y firma digital

¿Qué es un certificado digital?

Un certificado digital de identidad es un documento con diversos datos, entre otros:

• Entidad del titular (DN de LDAP)• Su clave pública para la comunicación• CA que firma el certificado• La firma en sí

Autoridades de Certificación

La Autoridad de Certificación es un ente u organismo que, de acuerdo con unas políticas y algoritmos, certificará -por ejemplo- claves públicas de usuarios o servidores.

• El formato será el de un fichero digital intransferible y no modificable.

• Si se modifica la firma que contiene ya no será validable (sólo la CA que lo firmó puede generar dicha firma).

• Esta identidad nos hace funcionar con gente que ha dado su confianza a dicha CA.

• Resuelve el problema de autenticación.

• Presentación del certificado y habilidad para comunicarse en base a la clave privada correspondiente.

• Permite comunicaciones seguras .

Características:

La firma digital hace referencia, en la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos, a un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

Firma Digital

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital.

Firma Digital

PROPIEDADES:

• Personal• Infalsificable• Fácil de autenticar• No repudio• Fácil de generar• ¡Aún más segura que la manuscrita!

Firmas digitalesEsquema de firma, siempre hay dos partes:

• Algoritmo de firma: Cómo crearla• Algoritmo de verificación: Cómo validar

una firma recibida

Firma Digital

Formas de Pago y Seguridad

Education

Transcript of Formas de Pago y Seguridad