Cobrar y Pagar por Internet

 
 
 
Cobrar y Pagar por Internet - Comercio Electronico
  
  Metodos online de cobro y pago por internet

Metodos tradicionales de Pago y Cobro

Cuenta Bancaria en USA 

Cuenta Bancaria en Suiza

Subastas Online

Publicaciones (ebanking - ecommerce, etc)

Intercambio Links

Contactese

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Metodos online de cobro y pago por internet - Metodos tradicionales de Pago y Cobro - Cuenta Bancaria en USA - Subastas Online - Publicaciones - Intercambio Links - Contactese

Ecommerce 

Introducción

El presente trabajo va a tratar sobre el comercio electrónico enfocándonos en sus riesgos, controles y seguridad. Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones a través de Internet y otras tecnologías digitales. Se ha escuchado decir que el comercio electrónico ha cambiado la forma de hacer negocios. Hoy en día el comercio electrónico es un mecanismo aceptado para hacer negocios. Es usado para entregar productos y servicios a clientes alrededor del mundo. También es utilizado para automatizar procesos de trabajo como ser: - Búsqueda de productos - Pedidos de presupuestos - Consultas de clientes - Pagos electrónicos - Soporte al cliente El comercio electrónico también cambio la forma en que se realizan las transacciones de negocio. Uno puede realizar compras en línea de innumerable cantidad de bienes y servicios. Pagar las compras con tarjeta de débito, tarjeta de crédito o dinero electrónico. Operar con bancos a través de Internet también es posible. Los clientes pueden pagar las cuentas, transferir dinero e incluso monitorear sus inversiones en línea. Cuentas bancarias, tarjetas prepagas de crédito se pueden abrir online. El dinero se puede depositar electrónicamente y mover fondos alrededor del mundo con tan solo un "click". También se dice que un cliente esta a solo un "click" de distancia del próximo negocio. El comercio electrónico es resultado de negocios globalizados. Con el advenimiento de Internet y el correo electrónico ahora la información puede estar disponible literalmente alrededor del mundo en cuestión de segundos. Las transacciones de negocios pueden ahora provenir de clientes de cualquier parte del mundo. Los clientes pueden comprar bienes y servicios en cualquier momento del día, cualquier día de la semana, y en cualquier zona horaria. Los clientes pueden conocer; las líneas de productos y servicios que brinda una organización, la descripción del producto, precios e información de entrega. En vez de enviar miles de catálogos a clientes alrededor del mundo, aplicaciones de negocios a través de Internet pueden reenviar los catálogos electrónicamente al cliente o hacer que el cliente baje los mismos de la red. Se pueden buscar nuevos clientes y expandir el mercado en nuevos países. Los costos incrementales del comercio electrónico están bajando. La velocidad ha aumentado drásticamente. Los costos de marketing son más bajos. Mientras el comercio electrónico es considerado nuevo, en realidad existe desde décadas atrás en otras modalidades como ser su precursor el "intercambio electrónico de datos" (en su sigla de ingles EDI). No obstante con todo el auge de estar en la red de redes, muchas organizaciones toman atajos. Como resultado los controles que se requieren no se cumplen. Hay muchas amenazas; "Hackers" pueden atacar la organización a su voluntad. Sus ataques pueden hacer caer o discontinuar la marcha del negocio creando denegaciones de servicio. Ellos pueden plantar virus y programas troyanos que pueden debilitar el sitio entero de comercio electrónico. (Un programa troyano es un programa que contiene código no autorizado, el cual puede activarse ante un evento específico para causar los efectos que se hayan buscado). Pueden llegar a obtener información súper sensible como ser claves de acceso de los clientes, incluso información de tarjetas de crédito. Todo esto puede causar serios problemas financieros, fraudes o divulgamiento de información no autorizada. Como se puede ver el comercio electrónico global tiene tanto riesgos como beneficios. Es relativamente fácil y el costo beneficio es conveniente, para cualquier negocio, establecer un sitio global de comercio electrónico, sin embargo hay serios asuntos sobre la seguridad que se deben tratar. Hay riesgos específicos y una serie de controles estructurados para mitigarlos.

 

Amenazas especÍficas al comercio electrónico

Según el informe Nº 6 es necesario identificar los riesgos del sistema, para luego proponer la realización de un análisis de cómo cada riesgo está cubierto por un control diseñado al efecto. La lista de amenazas y/o riesgos que puede llegar a tener un sitio de comercio electrónico es larga. Algunos posibles ataques son: - Accesos no autorizados mediante ataques de piratas informáticos. - Accesos por fuerza bruta. Si bien las claves deberían contener caracteres especiales, alfanuméricos y ser de una longitud de una cierta cantidad mínima de caracteres, muchas claves se pueden descifrar por fuerza bruta en cuestión de horas a algunos días con un computador de alta performance. Es por eso que se requieren tomar ciertas medidas adicionales para evitar estos ataques. - Cesación de la operatoria normal de las operaciones de la empresa debido a ataques de denegación de servicio. La instalación adecuada y configuración de "corta fuegos" (firewall), buenas técnicas contra fallas y respuestas ante incidentes , y procedimientos y planes de contingencia ayudan a reducir el impacto de los ataques de denegaciones de servicio. - Los virus, bombas de tiempo (virus que se activan en una determinada fecha u hora determinada), y troyanos (programa que son alojados directamente en las computadoras por piratas informáticos para lograr acceso a la computadora, datos y archivos en el momento que deseen) son otros riesgos serios para vulnerar el sitio de comercio electrónico. - Fallas en el aplicativo del sitio de comercio electrónico o del sistema operativo. Si son inesperadas y no concurrente generalmente se requiere que se reinicie el sistema para su inmediata solución. También pueden ser concurrentes debido a una mala programación o por haber sido la aplicación puesta en producción sin las debidas pruebas exhaustivas. Se recomienda tener controles y gestión ante cambios y no poner en producción los cambios antes que se hayan hecho las pruebas necesarias. - Fallas en los sistemas operativos que pueden ser explotadas por los piratas informáticos. Para prevenirlas se recomienda estar actualizado con los últimos parches de seguridad en el sistema operativo junto con otras medidas de seguridad. - Fallas en el hardware también pueden causar que el comercio electrónico no este operativo. Aquí la solución es que haya redundancia de hardware y programas de mantenimiento de los equipos. - Errores provenientes de los técnicos de nuestro proveedor, puede generar una discontinuidad de la operatoria por mas tiempo del que tendría que haber sido necesario. Es conveniente hacer seguimiento de los tiempos de resolución y además de los técnicos que han participado en la solución y detección de problemas. - Errores humanos pueden comprometer la continuidad del comercio electrónico. Simplemente si no cuenta con un lugar adecuado los equipos que sostienen el sitio de comercio electrónico, un cable suelto puede generar la caída del sistema. Se recomienda cableado estructurado. - Fallas en el proveedor de servicios de Internet o en la red pueden generar la caída del sitio de comercio electrónico. Se recomienda tener la posibilidad de re rutar por otro proveedor de servicio. - Por ultimo un sabotaje puede causar una caída al sitio de comercio electrónico. Algunas veces piratas informáticos, empleados descontentos, o competidores de la industria pueden intentar alterar o destruir el sitio de comercio electrónico. La mejor prevención es asegurar razonablemente el sitio de comercio electrónico (nada es 100% seguro). La puesta a prueba de la vulnerabilidad del sitio debería ser realizada periódicamente. Muchas cosas pueden afectar la performance y continuidad de la operatividad del sitio de comercio electrónico, por eso es imperativo que haya controles que aseguren el sitio para que sea tanto físicamente como lógicamente seguro.

Seguridad del comercio electrónico

La seguridad en la Web es un conjunto de procedimientos, prácticas y tecnologías para proteger a los servidores y usuarios de la Web contra el comportamiento inesperado. El comercio electrónico puede comprender el uso de intercambio electrónico de datos (EDI), correo electrónico y transacciones en línea a través de redes públicas como Internet. El comercio electrónico es vulnerable a diversas amenazas relativas a redes, que pueden tener como resultado actividades fraudulentas, disputas contractuales y divulgación o modificación de información. Se deben aplicar servicios de seguridad que son controles y medidas de resguardo para proteger al comercio electrónico de dichas amenazas. Respecto a la seguridad se deben identificar los siguientes aspectos, que es donde debe aplicarse Controles Internos: - Autenticación y identificación: Hay un servicio de seguridad que diferencia a los usuarios y verifica que ellos son lo que claman ser? Qué nivel de confianza recíproca deben requerir el cliente y comerciante con respecto a la identidad alegada por cada uno de ellos? Típicamente las claves son usadas, pero hay métodos mas fuertes que verifican lo que uno tiene por ejemplo mediante un objeto físico (en ingles llamados "token security" dispositivo de hardware que autoriza el acceso a la red, usualmente una "tarjeta inteligente") o verifican quien uno es (por ejemplo biométricas) y no solo por lo que uno sabe (ejemplo clave de acceso o PIN - Numero de Identificación Personal) - Autorización: Determina que privilegios de acceso un usuario requiere dentro de un sistema. El acceso puede ser a los datos, sistema operativo, funciones transaccionales o procesales. El acceso debe ser provisto por el administrador que conoce el sistema antes que el acceso sea permitido. Por ejemplo, usuarios autorizados solo pueden acceder a la información que requieran para sus trabajos. También aquí se responde preguntas como: Quién está autorizado a fijar precios, emitir o firmar los documentos comerciales clave? Cómo conoce este punto el otro participante de la transacción? - Autenticidad: es un servicio de seguridad que valida una transacción y une la transacción registrándola a una persona o entidad. También llamado "no repudio", la autenticidad asegura que una persona no puede iniciar disputas sobre una transacción. Esto es especialmente útil para las formas contractuales y asuntos legales. - Procesos de oferta y contratación: Cuáles son los requerimientos de confidencialidad, integridad y prueba de envío y recepción de documentos clave y de no repudio de contratos? - Información sobre fijación de precios: Qué nivel de confianza puede depositarse en la integridad del listado de precios publicado y en la confidencialidad de los acuerdos relativas a descuentos? - Controles en la integridad del sistema: Se debe asegurar que los sistemas no hayan sido alterados o modificados por accesos no autorizados. Por ejemplo: en las transacciones de compra; Cómo es la confidencialidad e integridad de los datos suministrados con respecto a órdenes, pagos y direcciones de entrega, y confirmación de recepción? - Verificación: Qué grado de verificación es apropiado para constatar la información de pago suministrada por el cliente? - Cierre de la transacción: Cuál es forma de pago más adecuada para evitar fraudes? - Formalidades de respaldo: Los acuerdos de comercio electrónico entre partes, deben ser respaldados por un acuerdo documentado que comprometa a las mismas a respetar los términos y condiciones acordados, incluyendo los detalles de autorización mencionados anteriormente. Los sistemas públicos de transacciones deben dar a conocer a sus clientes sus términos y condiciones comerciales. Deben tenerse en cuenta las obligaciones y derechos establecidos en la Ley de Habeas Data. - Confidencialidad y encriptación: Qué protección se requiere para mantener la confidencialidad e integridad de la información sobre órdenes de compra? Hay servicios que aseguren los datos mientras estos son almacenados o en transito desde una maquina a otra? Existe una amplia gama de productos de encriptación, la organización debe elegir la que mejor se adapta a su aplicación en desarrollo. - Completitud: Qué protección se requiere para mantener la controles para evitar la pérdida o duplicación de transacciones? - Responsabilidad: Quién asume el riesgo de eventuales transacciones fraudulenta? - Monitoreo y auditoria: El sistema guarda los registros históricos de una transacción? Los "logs" de auditoria consisten en "logs" de sistemas operativos, "logs" de las transacciones de las aplicaciones, "logs" de la base de datos, y "logs" del trafico de la red. El monitoreo de estos "logs" para encontrar eventos anormales es considerado una de las mejores practicas. - Controles en los accesos y detenciones de intrusiones: Estos servicios de seguridad son técnicos, físicos y administrativos para prevenir acceso no autoriza al hardware, software o la información. Los datos deben ser protegidos de su alteración, robo o destrucción. Los controles de accesos son preventivos, impidiendo que ocurran accesos no autorizados. La detección de intrusiones cachea accesos no autorizados después de que estos ocurran, así el daño de puede minimizar y cortar el acceso al mismo. Estos controles son especialmente necesarios cuando información critica o confidencial es procesada. - Comunicación confiable: Cuenta con servicios que aseguren que las comunicaciones son seguras? En las mayorías de las instancias donde se usa Internet una comunicación confiable es una que cuenta con encriptación. De hecho gran parte de las consideraciones mencionadas pueden resolverse mediante la aplicación de técnicas criptográficas. - Anti-Virus: es un servicio de seguridad que previene, detecta y limpia los virus, programas troyanos y otros programas con código malicioso. - Retención y eliminación de datos: es un servicio de seguridad que mantiene información que se requiere archivada o los datos borrados cuando ya no son más requeridos. La habilidad para retener datos es crítica cuando una emergencia ocurre y se necesita contar con la misma. Esto tiene que ver con las políticas de backup. - Clasificación de los datos: es un servicio de seguridad que identifica sensibilidad y confidencialidad de la información, la encasilla y protege durante la vida de la información. Se debe identificar los servicios de seguridad necesarios para asegurar los activos más valiosos de la organización. De hecho el administrador puede considerar los servicios aceptados de acuerdo con sus expectativas de riesgo aceptada. Todos los recursos que utiliza el comercio electrónico pueden ocasionar problemas para el control interno. Una falla en la seguridad, por ejemplo puede provocar trastornos en servidores, paquetes de datos lo que afecta directamente a la eficiencia y eficacia de las operaciones. Una falla en la autenticación de usuarios puede provocar que la información financiera ingresada no sea confiable. Una falla en la confidencialidad puede provocar que información sensible sea divulgada infringiendo con las normas y reglamentaciones aplicables a la entidad.

El Comercio Electrónico y el Control Interno

El comercio electrónico puede resultar de alto beneficio para la reducción de los costos de las organizaciones y en sus negocios, y crear oportunidades en nuevos y mejores servicios a los clientes. Sin embargo, los sistemas electrónicos y la infraestructura que le da soporte al comercio electrónico son susceptibles de situaciones de abuso, mal uso y fallas en muchas de sus formas. Un gran perjuicio puede ocurrir a cualquiera de las partes intervinientes en las transacciones por comercio electrónico, incluyendo a comerciantes, entidades financieras, proveedores de servicios, y clientes particulares. Desde la perspectiva del negocio, las consecuencias más comunes del abuso, el mal uso y las fallas, pueden incluir:

· Pérdidas financieras como resultado de un fraude: alguien puede transferir fondos, en forma fraudulenta, de una cuenta a otra, o destruir importantes registros financieros.

· Pérdidas de información confidencial de valor: una intrusión puede revelar información a partes no autorizadas para su conocimiento, resultando en un daño muy importante.

· Pérdidas de oportunidad de negocio a través de discontinuidad del servicio: los servicios comerciales, electrónicamente dependientes, pueden ser interrumpidos por largos o inaceptables períodos de tiempo, como resultado de ataques deliberados o eventos accidentales. El costo puede ser catastrófico.

· Utilización no autorizada de los recursos: un ataque externo puede generar acceso a los recursos no autorizados, y hacer uso de la información para el beneficio propio.

· Pérdida de confidencia o respeto del cliente: una organización puede sufrir significantes pérdidas como resultado de la publicidad negativa de una intrusión o falla.

Algunas de estas consecuencias pueden ser minimizadas por adecuadas y sanas prácticas en los controles internos de la tecnología informática dentro de la organización. Un ejemplo: para disminuir las posibles pérdidas por discontinuidad de servicios, podría ser tomar medidas de planificación de contingencias y de seguridad física. No obstante, el escenario en el cual se desenvuelven las transacciones del comercio electrónico es global, va mas allá de los entornos de las organizaciones involucradas, y los riesgos no siempre pueden ser minimizados con los tradicionales métodos de seguridad y/o prevención.

Para dar respuesta a estos y otros factores críticos dentro de la estrategia de implantación del comercio electrónico, el papel y responsabilidad de las empresas de medios de pago, las instituciones financieras, y los comerciantes es crucial para establecer especificaciones que permitan, mínimamente, los objetivos de:

· Proporcionar confidencialidad en las comunicaciones. · Autenticar todas las partes involucradas. · Garantizar la integridad de las instrucciones de pago. · Autenticar la identidad del usuario y el comerciante.

Administración de riesgos

Para que el auditor pueda identificar el ambiente de control, es necesario que pueda definir como se considera la existencia de los riegos, como se los evalúa y que medidas de detección y coerción se aplican. La seguridad en el comercio electrónico es difícilmente absoluta, mientras más medidas de seguridad se utilicen, menor es el riesgo que se corre. Se debe reducir el riesgo tanto como sea posible y planear las medidas para recuperarse rápidamente de un incidente de seguridad. La seguridad Web no es fácil ni barata pero la inseguridad puede ser aún más costosa. La seguridad no es un producto que pueda comprarse, es parte integral de una organización y de sus componentes.

Razones de querer atacar al sitio de comercio electrónico:

Algunas de las razones del porque los atacantes querrían introducirse y atacar en un servidor de comercio electrónico: Publicidad: Un sitio de comercio electrónico es la cara visible de una empresa al mundo, y el violar la seguridad de un espacio visitado por cientos de miles de personas en pocas horas, es atractivo para atacantes ideológicos. Comercio: Muchos servidores Web están relacionados con el comercio y con dinero. Por esta razón los protocolos criptográficos integrados a diferentes navegadores fueron originalmente incluidos para permitir a los usuarios enviar números de tarjetas de crédito por Internet sin preocuparse de que fueran interceptados. Así los servidores de comercio electrónico se han convertido en repositorios de información financiera confidencial, blanco interesante para los atacantes. Sabotaje: Ex empleados descontentos pueden querer perjudicar a la organización donde prestaron servicio.

Vil competencia: En un mundo en recesión, el capitalismo atravesando su mayor crisis es altamente probable que se genere un ambiente muy competitivo que pueda generar una desleal carrera para perjudicar a otros negocios pares que ingresan o residen gracias al comercio electrónico.

Defensas - El uso de la criptografía:

La encriptación es la única tecnología viable para proteger la transacción de datos mientras son transportados de una computadora a otra a través de la red pública. Las funciones de la encriptación permiten brindar seguridad a un sitio de comercio electrónico mediante los siguientes conceptos: Confidencialidad: la encriptación se usa para ocultar información enviada a través de Internet y almacenarla de forma que si alguien intercepta la comunicación no puede acceder al contenido de los datos ya que los mismos le resultan incomprensibles. Autenticación: la encriptación es utilizada para realizar firmas digitales, para identificar al autor de un mensaje, comprobando su identidad. Integridad: la criptografía sirve también para verificar que un mensaje no ha sido modificado mientras se encontraba en tránsito, ya sea por una voluntad de modificarlo o por un ruido accidental en la línea de comunicación. No repudiación: mediante la encriptación se crean remitos de forma que un autor de un mensaje no pueda negar su autoría.

Limitaciones de la criptografía:

La criptografía es un elemento importante de la seguridad en la Web. Sin embargo sólo nos protege de la intercepción de datos mientras están siendo comunicados entre computadoras. No puede proteger contra el robo de llaves de encriptación ni contra ataques de negación de servicio. Tampoco la criptografía puede proteger contra un traidor o contra un error, si una persona dentro de la organización altera o divulga la información protegida criptográficamente, el sistema no tiene manera de proteger dicha información.

La criptografía en el comercio electrónico:

Los protocolos criptográficos más utilizados para la protección de datos en las transacciones de comercio electrónico son el SSL (Secure Sockets Layer) y SET (Secure Electronic Transactions).

· Protocolo de Nivel de conexiones seguro en el comercio electrónico (SSL): Es un protocolo que agrega autenticación y no repudio del servidor, y autenticación del cliente mediante firmas digitales. SSL proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente y cifrando la clave mediante un algoritmo de cifrado de clave pública, típicamente el RSA. El propósito y el éxito de SSL es su transparencia para usuarios y desarrolladores. La conexión SSL la inicia el cliente por medio de un prefijo especial en el URL. Suponiendo que el servidor Web tenga facilidades criptográficas que soporten SSL y que el cliente esté accediendo con un navegador que reconozca SSL, bastará reemplazar el "http" del URL por "https" de esta forma el cliente obtendrá de forma segura el contenido de la página y lo más importante, realizando este reemplazo al enviar información al servidor Web, se hará también de forma segura. Los navegadores muestran un pequeño icono cuando una página es descargada con SSL. Certificados digitales Existen organizaciones, llamadas autoridades certificadoras, que se encargan de comprobar si una llave pública específica es propiedad de un individuo u organización en particular. Como resultado de esta comprobación emiten un "Cerificado de llave pública" que contiene el nombre de la persona, la llave pública, número de serie, la fecha de creación del certificado y la fecha de vencimiento. El certificado comprueba que una llave pública específica es propiedad de un individuo u organización en particular. Si la llave privada del tenedor ha sido violada, si la persona ha dado datos incorrectos o si hay copias falsas de ésa llave, el certificado puede ser revocado. Las llaves revocadas que aún no están vencidas son colocadas en una Lista de Revocación de Certificados. La siguiente figura muestra un certificado emitido por VeriSign, una de las autoridades certificadoras más fuertemente reconocidas. El certificado fue tomado de la página https://www.moneybookers.com/app/ que es un sitio que permite enviar y recibir dinero por transacciones comerciales. Como medida de seguridad se debe verificar que el certificado haya sido expedido a la organización (URL) la cual se desea acceder. Y la fecha de vigencia no haya expirado.

Evaluación del protocolo SSL: Si bien SSL provee un enfoque práctico y fácil de implementar, no ofrece una solución comercialmente integrada ni totalmente segura. SSL ofrece un canal seguro para el envío de números de tarjeta de crédito, pero carece de capacidad para completar el resto del proceso comercial: verificar la validez del número de tarjeta recibido, autorizar la transacción con el banco del cliente, y procesar el resto de la operación con el banco adquiriente y emisor. Es importante recalcar que SSL sólo garantiza la confidencialidad e integridad de los datos en tránsito, ni antes ni después. Por lo tanto, si se envían datos personales al servidor, entre ellos el número de tarjeta de crédito, y otros datos sensibles, SSL solamente asegura que mientras viajan desde el navegador hasta el servidor no serán modificados ni espiados. Lo que el servidor haga con ellos, está ya más allá de la competencia de este protocolo. Los datos podrían ser manipulados irresponsablemente o caer en manos de un atacante que asaltara el servidor con éxito. Dado que SSL es un protocolo seguro de propósito general, que no fue diseñado para el comercio en particular, se hace necesaria la existencia de un protocolo específico para el pago. Este protocolo existe y se conoce como SET. · Protocolo de Transacciones Electrónicas Seguras (SET): Este protocolo criptográfico ha sido diseñado especialmente para el envío de números de tarjetas de crédito por Internet. Consta de tres partes: una "billetera electrónica" que reside en la computadora del usuario; un servidor que se ejecuta en el sitio Web del comerciante; y un servicio de pagos SET que se ejecuta en el banco del comerciante. Para utilizar este sistema el usuario introduce su número de tarjeta de crédito en el software de billetera electrónica, el cual se almacena encriptado en el disco duro; se crea también una llave pública y una privada para encriptar la información financiera antes de enviarla a través de Internet. Cuando un usuario desea comprar algo, su número de tarjeta de crédito es enviado encriptado al comerciante quien firma digitalmente el mensaje de pago y lo envía al banco, donde el servidor de pagos desencripta la información y realiza el cargo a la tarjeta. Características del protocolo de pago SET: Ø Es un protocolo estandarizado y respaldado por la industria, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet. El estándar SET fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, VeriSign y otras. Ø El número de tarjeta de crédito pasa encriptado por las manos del comerciante disminuyendo enormemente las posibilidades de fraude. Ø ?Encripta los números de tarjetas de crédito mediante el algoritmo RSA, brindando confidencialidad, proporciona además integridad, autenticación y no repudiación mediante funciones de compendio de mensajes y firmas digitales. Sin embargo SET protege sólo el número de tarjeta de crédito no brindando confidencialidad y privacidad a los demás elementos de la transacción. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado, debe recurrirse a un protocolo de nivel inferior como SSL.

Lo que debe saber el Auditor de E-Commerce

A continuación describiremos los 5 puntos clave que debe conocer el auditor antes de comenzar a elaborar un plan de auditoría en un entorno de Comercio Electrónico:

1. El riesgo de las transacciones vía Web Las transacciones de comercio electrónico usualmente requieren números de tarjeta de crédito, direcciones, números telefónicos entre otra información necesaria para completar la transacción. La información puede viajar por la Web en forma encriptada o sin encriptar. Si no esta encriptada, los datos pueden ser interceptados por cualquiera con acceso a la red entre la computadora del usuario y el servidor Web.

2. Cuáles son las formas de pago utilizadas en el comercio electrónico? Si bien la forma tradicional es hacer pagos vía tarjeta de crédito, hay otras posibilidades de pagos que lentamente van logrando la aceptación. Las formas alternativas de pagos surgen para responder una variedad de preocupaciones y problemas que aparecen en el comercio electrónico. Algunas de estas son: · Fraude · Falta de autenticación segura del usuario · Falta de voluntad de realizar transacciones en forma electrónica. · Cobros de cargos adicionales por el procesamiento electrónico.

Soluciones a estos problemas varían dependiendo el problema que se quiera atender. A continuación describimos algunas formas de pagos: o Transferencia bancaria: Es la forma más tradicional y tediosa de realizar pagos mediante giro, transferencia o deposito bancario. Si bien hoy en día las transferencias se pueden hacer vía e-banking esto facilita la realización. Como desventaja las transferencias bancarias tienen alrededor de 24 a 72 horas dependiendo si son locales, internacionales y también del banco que opera. Debido a este tiempo de demora puede llegar a ser no eficiente cuando se requiere pago o cobro inmediato. o Pagos a través de "proveedores de servicios proxy": Con un servicio de pago "proxy", un cliente abre una cuenta con el proveedor del servicio y le provee información sobre su tarjeta de crédito o cuenta de ahorro o cuenta corriente. Cuando el cliente desea hacer un pago, se loguea en el sitio Web del proveedor e ingresa la información de la venta (monto, cuanta a debitar el monto, ect.). El proveedor proxy luego provee al vendedor el pago sin revelar la información de la cuenta personal del cliente, eliminando también al vendedor la necesidad de almacenar los números de las tarjetas de crédito y demás detalles. o Letra de crédito: Usualmente se usa en las transacciones internacionales para asegurar que el pago va a ser emitido. Es una carta del banco que garantiza que el pago del comprador va a ser realizado por el monto correcto y en tiempo correspondiente. La desventaja es que este medio de pago incrementa los costos. También hay que realizar un exhaustivo checklist para comprobar que la "letra de crédito" es legítima y provee el tipo de pago y seguridad que el vendedor espera. Por ejemplo, se debe preguntar si la misma es revocable (sujeta a una cancelación sin previo aviso) o irrevocable, etc. o Servicios financieros de Escrow: El servicio de Escrow puede ayudar a asegurar los pagos. El proveedor de Escrow es una tercera parte imparcial que opera para facilitar las compras y las ventas en red garantizando seguridad, confianza y conveniencia a ambas partes. El Escrow reduce los riesgos de fraude a quien compra o vende en Internet, en el caso de que se trate de una transacción consumer-to-consumer, business-to-consumer o business-to-business. El esquema de Escrow es como sigue: · el Comprador paga al proveedor de Escrow · el Vendedor envía la mercancía · el Comprador aprueba la compra · el Vendedor recibe el pago Es un sistema seguro para vender y comprar on-line. El Comprador controla la calidad de la mercancía antes de autorizar el pago y permite disfrutar al Vendedor de un modo seguro para aceptar los pagos.

3. Se pueden asegurar los pagos por las transacciones electrónicas de compra - venta? Si compra productos o servicios en Internet, sabe cuáles son los peligros potenciales con los que se puede encontrar al comprar a vendedores desconocidos. Si vende mercancías en subastas en red, en páginas web reservadas, web pages personales o a través de Internet newsgroup, los compradores también son desconocidos. En cualquiera de estos casos si se puede asegurar razonablemente la transacción. Y de este modo se protege tanto al comprador que recibe el producto o servicio como al vendedor que debe recibir el dinero por el producto o servicio brindado. Algunas de las opciones son

4. Es legitimo el sitio Web? Incluso si el sitio Web dispone de la información apropiada de la compañía, esto no significa que el sitio sea legítimo. Que pasaría si el autor de un sitio no legal o falso ha copiado el sitio de una compañía legal? Este seria un sitio Web troyano preguntando por información para su posterior uso indebido. A estos métodos se los denomina también "Fishing" (pescando). Hay técnicas para falsear la URL en la barra de direcciones y en la barra de estado aprovechando vulnerabilidades y/o "funcionalidades" del navegador. Estos ataques suelen estar destinados a usuarios de sitios bancarios. El delincuente envía miles y miles de mail vía spam, el engaño consiste en crear una ventana emergente justo en la posición donde aparece la URL, de forma que se superpone y oculta la dirección real del servidor Web del atacante donde realmente se encuentra el usuario, mostrando en su lugar la URL de la entidad bancaria. A efectos prácticos, el usuario recibe un mensaje, aparentemente de la entidad bancaria, donde le invita a visitar el sitio de la entidad con alguna excusa, normalmente relacionada con la seguridad. El mensaje incluye un enlace que supuestamente le dirige a la Web de la entidad. Si el usuario pincha en el enlace, puede observar como aparece la Web de la entidad y que en la barra de direcciones del navegador aparece la URL correcta, incluyendo el prefijo https:// como si estuviera en una conexión segura. En realidad el usuario está navegando en el servidor Web del atacante, que ha copiado los contenidos de la Web de la entidad, y ha aprovechado la vulnerabilidad del navegador para falsear la dirección en el navegador y que el usuario no sospeche. Si el usuario introduce las claves para acceder a su cuenta, éstas son enviadas directamente al atacante, que podrá utilizarlas para suplantar la identidad del usuario legítimo y entrar en su cuenta. Dado el auge del Fishing, las entidades también deberían plantearse el implantar nuevos sistemas para mitigar este tipo de fraudes. Los ataques Fishing no deben contemplarse únicamente como una responsabilidad del cliente, ya que existen numerosas estrategias y tecnologías que pueden desplegarse desde la entidad para asegurar las conexiones de sus usuarios. En el caso de las entidades financieras un método para evitar los fraudes vía fishing podría ser que la entidad financiera para la autenticación del cliente utilice o bien una lista de cancelación de claves de modo que una vez utilizada no se pueda volver a utilizar o algún método de tarjeta u otra combinación de formas para autenticar al usuario.

5. Control de las comunicaciones para un negocio montado sobre E-Commerce

El comercio electrónico puede comprender el uso de intercambio electrónico de datos (EDI), correo electrónico y transacciones en línea a través de redes públicas como Internet. El comercio electrónico es vulnerable a diversas amenazas anteriormente descriptas, que pueden tener como resultado actividades fraudulentas, divulgación o modificación de información. En consecuencia, el auditor debe verificar la aplicación de los siguientes controles para proteger al comercio electrónico de dichas amenazas: · Existencia de un área de comunicaciones con administradores de red que estén monitoreando los distintos eventos que se produzcan como consecuencia de la interacción entre la organización y los clientes. · Deben existir adecuadas protecciones físicas en las redes internas y externas de la organización, que cumpla con la norma EIA/TIA-568-A sobre el tendido y protección físico-ambiental del cableado estructurado. · Utilización de técnicas criptográficas para proteger la información de la organización y del cliente que circula por la red de telecomunicaciones con acceso a redes ya se trate de internet, intranet o extranet. · Todas las conexiones entre las redes de la organización y terceras partes sobre IP deben hacerse vía firewall. · Los firewalls deben configurare para rechazar todo, solo aceptando aquellos protocolos que se requieren explícitamente. · Se recomienda el uso de doble indemnización, en la implementación de firewalls, en la cual se utilizan dos tecnologías diferentes para asegurar que la debilidad en uno no comprometa al otro. · Deben grabarse los siguientes detalles y mantenerse seguramente por los administradores de firewalls : 1. Redes y routers conectados a los firewalls. 2. Localización de los firewalls. 3. Nombre del dispositivo, e IP del firewall. 4. Propietario de firewall. 5. Que es lo que se permite y porqué. 6. Quien autorizó y firmo la conexión y configuración. · Implementación de Firma digital, como medio de protección de la autenticidad e integridad de los documentos electrónicos. · Supervisión permanente de los logs y de las informaciones depositadas por los dispositivos de protección y de operaciones de las redes instaladas. · Utilizar protocolos de seguridad - SSL, SET - para la protección de la información proporcionada por el cliente y la organización.

Conclusión

El desarrollo del Comercio Electrónico ha favorecido las transacciones entre empresas, las comunicaciones dentro de las mismas y su comunicación con los clientes finales, por la velocidad de transmisión de datos que proporciona, la infinita gama de oportunidades disponibles, y la seguridad que brindan los principales portales de ofertas de productos y servicios en Internet. Pero así como encontramos portales muy seguros, se encuentra que la mayoría de los portales de comercio electrónico no contemplan las medidas de seguridad necesarias para garantizar la integridad de la información que se maneja. Por eso consideramos necesaria la implementación de controles internos, que tengan en cuenta todos los riesgos y amenazas existentes en el comercio electrónico. Para aquellas empresas que exploten completamente su potencial, el comercio electrónico ofrece la posibilidad de grandes cambios que modifiquen radicalmente las expectativas de los clientes y redefinan el mercado, o creen mercados completamente nuevos.

Bibliografía · Auditoria en Contextos Computarizados - Leopoldo Cansler - Ed. Ediciones Corporativas · Trusted Computer System Evaluation Criteria (Libro Naranja) · ISO 17799 · Técnicas criptográficas de protección de datos. 2da. Edición. Editorial Alfaomega Ra-Ma · Computer Security Handbook - 4ª Edición - Edited by Seymour Bosworth - M. E. Kabay · Auditing Information System - 2ª Edición - Jack J. Champlain

Páginas de Internet consultadas: · http://www.hispasec.com · http://www.investopedia.com/ · www.paypal.com · www.moneybookers.com · www.dineromail.com · http://www.sitpro.org.uk/trade/lettcred.html · http://www.opengroup.org/public/tech/security/pki/ Public Key Infrastructure Open Group. · http://seguridad.proydesa.org/ Curso NSP Network Security Program curso cerrado para alumnos Proyectos y Desarrollos Argentinos.

© ASC Consulting 		 
 


 

    
 

 

 

Copyright 2006-2011 ASC Consulting              Privacy Policy