Sistemas de Pago: Comercio Electrónico
APARTADO 1.1. EVOLUCIÓN DEL COMERCIO ELECTRÓNICO
A finales de los años 90 el comercio electrónico era una forma emergente de hacer negocios que no era muy utilizado por las empresas en las compras o ventas de productos on-line.Como compañías pioneras del comercio electrónico de aquel entonces cabe destacar :
- Amazon, como tienda de libros
- eBay, como tienda de subastas electrónicas
- Negocios que proporcionaban herramientas de búsqueda: Altavista, HotBot, Lycos y Yahoo!
Ejemplo:
- Un concesionario de automóviles podría hacer una oferta en el precio de la palabra clave "coche" para las búsquedas a través del portal.
- Supongamos que el concesionario de automóviles era el mejor postor con 10 céntimos de euro de coste para cada clic en los anuncios.
- Esto significa que el concesionario pagaría por el anuncio a un razón de 12 céntimos de euro por cada visitante del sitio que clica en el anuncio.
- Primera ola del comercio electrónico. Creció rápidamente hasta el año 2000
- Descenso importante. Del año 2000-2003 se pasó del "dot-com boom" al "dot-com bust"
- Segunda ola del comercio electrónico. Recesión económica general en 2008: el e-Commerce resultó herido pero menos que la mayoría de los comercios tradicionales.
- Tercera ola del comercio electrónico. La aparición de los dispositivos portátiles (teléfonos móviles inteligentes, tablets ...) ofrecen la posibilidad de una nueva evolución de los negocios online.
Comercio Electrónico
¿Qué es el comercio electrónico? son todas las actividades comerciales que utilizan las tecnologías de Internet (WWW, transmisiones inalámbricas, redes de telefonía móvil ...)Actualmente, la tercera ola del comercio electrónico ha arrancado con el uso de los llamados Smartphones. Se trata del llamado Mobile Commerce: m-Commerce. Las características básicas de este tipos de teléfonos móviles son:
- Navegador Web
- Teclado completo
- Sistema operativo identificable
- Paquetes de software
- Capacidad de transferencia de datos
Otro aspecto del comercio electrónico es el llamado Social Commerce: consiste en el uso de conexiones online interpersonales con el fin de promocionar o vender bienes y servicios. Estas interacciones sociales pueden ser usadas para promocionar o anunciar artículos. Alguno de los canales usados con este objetivo son Facebook, Twitter ...
Un aspecto esencial del comercio electrónico es su carácter transfronterizo. Cualquier negocio que se involucra en comercio electrónico, de forma instantánea se convierte en un negocio internacional. Todo ello conlleva nuevas oportunidades y expectativas. También cabe destacar algunos inconvenientes o dificultades:
- Problemas de confianza en sitios remotos Web.
- Ejemplo: Un banco español se puede establecer en la web y ofrecer servicios al resto del mundo. En cambio, ningún cliente potencial que visite la web de este banco puede determinar las dimensiones o lo bien establecido que pueda estar el banco simplemente a través de su página web.
- Cuestiones culturales e idiomáticas
- Una forma efectiva de hacer negociones en otras culturas es adaptarse a ellas: think globally, act locally.
- Temas relacionados con aspectos legales e infraestructuras gubernamentales
APARTADO 1.2. MODELO DE NEGOCIO
Mucha gente hoy en día utiliza Internet y la web a través de su ordenador. En 2001, Handspring presentó sus Treo phones y RIM introdujo sus teléfonos BlackBerry. Estos teléfonos móviles incluían teclado alfanumérico y una capacidad de almacenamiento y procesamiento más grande. Actualmente un número creciente de usuarios de Internet usan los smartphones y las tablets como dispositivos primarios de acceso a Internet. Los sitos Web se están rediseñado para poder dar a los usuarios de smartsphones una experiencia mejor en la navegación Web.Modelo de negocio
Actualmente se han establecido varios tipos de modelos de negocio en los comercios online:- Catalogo Web,
- Contenido Digital,
- Ingresos a través de anuncios,
- Modelo mixto de ingresos Anuncios-subscripciones,
- Modelos basados en el pago de una tasa
Las compañías que basan su modelo de negocio en la venta de contenido digital venden el derecho al acceso de la información que almacenan mediante subscripciones individuales. Algunos ejemplos de negocios de contenido digital son:
- Asesoría Legal, Academias y centros de educación, Contenido comercial y tecnológico
- Libros electrónicos, periódicos y revistas
- Música online
- Vídeo online
- Agencias de Viaje
- Tickets para eventos: Ticketmaster, TicketsNow...
- Banca Online y Servicios Financieros
- Ofertas de automóviles: Autobytel, Edmunds ...
- Agencias inmobiliarias y préstamos inmobiliarios
- Juegos Online: MSN Games, Sony Online Entertainment ...
- Servicios Profesionales (asesorías fiscales, servicios contables, ingeniería ...)
APARTADO 1.3. SEGURIDAD EN EL COMERCIO ELECTRÓNICO
Encuestas recientes indican que más de la mitad de los usuarios de Internet muestran una cierta preocupación acerca de la seguridad en las transacciones de comercio electrónico. Las grandes web empresariales y gubernamentales están constantemente bajo ataque de crackers que van desde estudiantes con ciertos conocimientos informáticos a profesionales del espionaje altamente entrenados y, en algunos casos, a sueldo de empresas competidoras o de otros gobiernos. Por ejemplo, el Pentágono de EE.UU. informa que sus computadoras son analizadas por software potencialmente atacante miles de veces cada hora.
La seguridad del correo electrónico es un aspecto a tener muy en cuenta. Un rival de negocios podría interceptar mensajes de correo electrónico para tener una ganancia competitiva sobre sus rivales. También, los supervisores de una empresa podrían leer la correspondencia no comercial de sus empleados, teniendo una repercusión negativa sobre la privacidad de estos empleados.
La seguridad juega un papel importante para dar confianza y expandir el uso del comercio electrónico en Internet. Por ejemplo, sin los protocolos adecuados de seguridad, los números de tarjetas de crédito pueden ser robados mientras viajan a través de la red. Si bien se producen escuchas telefónicas online, es mucho más probable que un número de tarjeta de crédito sea robado del equipo en el que se almacena después de ser transmitido a través de Internet.
Un factor que también preocupa a los usuarios de Internet, y que está asociado a la seguridad de los datos, es su privacidad. Por esto, a los usuarios les preocupa la información personal que proporcionan a las empresas a través de Internet. Cada vez más, la gente duda de que estas empresas tengan la voluntad y/o la capacidad para mantener de forma confidencial la información personal de sus clientes. Hay que tener en cuenta que Internet no fue diseñada para ser segura. Fue diseñada para proporcionar redundancia en caso de que una o más líneas de comunicación fueran cortadas. En otras palabras, el objetivo inicial del diseño de la conmutación de paquetes de Internet era proporcionar múltiples caminos alternativos en los que la información militar crítica podría viajar.
La seguridad informática consiste en la protección de los dispositivos y de la información que contienen, que eventualmente puede ser transmitida, frente al acceso, uso, alteración o destrucción no autorizada. La seguridad física incluye dispositivos de protección tangibles, tales como alarmas, guardias, puertas resistentes al fuego y vallas de seguridad. La seguridad lógica es la protección de la información que contienen los dispositivos utilizando medios no físicos. La criptografía juega un papel clave en la seguridad lógica.
Una Amenaza es cualquier acto u objeto que representa un peligro para los activos informáticos. Una Contramedida es el nombre general para denotar cualquier procedimiento, ya sea físico o lógico, que detecta, reduce o elimina una amenaza. Las amenazas que se consideran de bajo riesgo o poco probables pueden ser ignoradas cuando el costo para protegernos de estas excede el valor del activo protegido. Un Espía es una persona o dispositivo que puede escuchar, copiar o manipular las transmisiones por Internet.
Una política de seguridad integral debe abordar lo siguiente:
Algunos ejemplos de estos requisitos de seguridad que pueden ser exigidos a una aplicación específica son:
También utilizan cookies las empresas que realizan publicidad contextual. DoubleClick (DOUBLECLICK.com) es una de las mayores redes de publicidad en banners en el mundo (en 2008 fue comprada por Google). DoubleClick o Google se encargan de la colocación de banners publicitarios en los sitios Web. Este tipo de empresas utilizan las llamadas cookies de terceras partes: pequeños archivos de texto ubicados en los equipos cliente Web, para identificar a los usuarios de la red e identificar qué otros sitios web han visitado. Este tipo de prácticas es un riesgo para la privacidad de los usuarios y plantea el dilema sobre qué cookies deberían ser aceptables. Los visitantes de la web de Amazon.com, por ejemplo, tiene cookies de Amazon.com guardadas en sus equipos para que el servidor Web de Amazon.com los reconozca cuando regresen. Esto puede ser útil, por ejemplo, cuando un visitante de la web, que ha colocado varios artículos en el carrito de compras antes de interrumpir su conexión, pueda volver a Amazon.com más tarde y encontrar el carro de compras intacto (ya que es identificado a través de las cookies que Amazon ha dejado en su navegador). El servidor Web puede leer las cookies del navegador del cliente y encontrar el carro de compras de la sesión anterior del cliente. El servidor de Amazon.com sólo puede leer sus propias cookies; no puede leer las cookies que hay en el equipo cliente depositadas por cualquier otro servidor Web.
Hay dos diferencias importantes entre el escenario de Amazon.com y lo que sucede cuando DoubleClick o Google sirven un banner publicitario. En primer lugar, el visitante no suele saber que el anuncio del banner viene por ejemplo de DoubleClick y, por tanto, no sabe que el servidor de DoubleClick podría estar escribiendo una nueva cookie en el equipo del cliente. En segundo lugar, compañías como Google o DoubleClick sirven anuncios a través de los sitios Web de propiedad de miles de empresas. En la medida que los usuarios de Internet se mueven de un sitio Web a otro, el programa navegador de este usuario puede ir recogiendo muchas cookies de estas compañías que se dedican a este tipo de publicidad. Entonces, el servidor de Google, por ejemplo, puede leer la totalidad de sus cookies que ha coleccionado un usuario en su navegación por distintos sitios web. Recabando esta información puede decidir qué anuncios debe servir en los banners y sobre qué servidores deben servirlos. Por lo tanto, DoubleClick o Google pueden recoger una enorme cantidad de información acerca de los sitios web que han estado visitando los usuarios de Internet. Aunque esta recogida de información pueda no preocupar a ciertos usuarios, estas empresas pueden utilizar tal información para crear perfiles de usuarios que atenten contra su privacidad. No obstante, estos perfiles no pueden ser formalmente atribuibles a una persona, sino más bien a un dispositivo.
La forma más completa para que los usuarios de un sitio Web se protejan de la revelación de información privada o de ser rastreado por cookies es desactivar las cookies por completo. El problema de este enfoque es que quedan bloqueadas también las cookies que puedan ser útiles. Esto significa, por ejemplo, que los usuarios deben introducir la información cada vez que vuelven a visitar un sitio Web.
El primer paso a seguir para asegurar un dispositivo móvil es la creación de una contraseña para el acceso al teléfono. Esto puede prevenir, o al menos retrasar, la obtención de la información privada que el usuario almacenó en él por parte de un ladrón que haya robado su dispositivo. Casi todos los dispositivos móviles incluyen software que permite al propietario iniciar un barrido remoto (eliminando los datos) si el dispositivo es robado. Este borrado remoto elimina todos los datos personales almacenados en el dispositivo, incluidos los mensajes de correo electrónico, mensajes de texto, listas de contactos, fotos, vídeos y cualquier tipo de archivo o documento.
Las llamadas Rogue Apps contienen malware y pueden ser capaces de recopilar información desde el dispositivo móvil y lo remiten a los autores de la app. La Apple Store pone a prueba a las aplicaciones antes de que se autorice la venta para eliminar (filtrar en la medida de lo posible) estas rogue apps. En Google Play no se hace una exploración para detectar las rogue apps de forma tan extensa como en la Apple Store. Todas aplicaciones deberían pedir permiso a los usuarios para acceder a cualquier información específica almacenada en su dispositivo.
De entre los principales sitios web de comercio electrónico que han sido víctimas de este tipo de ataques en los últimos años se encuentran Amazon.com, AOL, eBay y PayPal. Algunos de estos sistemas de ataque se combinan con el spam. En estas situaciones, el atacante envía millones de correos electrónicos no deseados que parecen ser de una compañía respetable. Los correos electrónicos contienen un enlace a una página Web que está diseñada para verse exactamente como el sitio de la empresa. En el correo se anima a la víctima a revelar su nombre de usuario, contraseña, y, a veces, incluso la información de tarjetas de crédito. Estos ataques, que captura información confidencial del cliente, son llamados expediciones de phishing.
La seguridad del correo electrónico es un aspecto a tener muy en cuenta. Un rival de negocios podría interceptar mensajes de correo electrónico para tener una ganancia competitiva sobre sus rivales. También, los supervisores de una empresa podrían leer la correspondencia no comercial de sus empleados, teniendo una repercusión negativa sobre la privacidad de estos empleados.
La seguridad juega un papel importante para dar confianza y expandir el uso del comercio electrónico en Internet. Por ejemplo, sin los protocolos adecuados de seguridad, los números de tarjetas de crédito pueden ser robados mientras viajan a través de la red. Si bien se producen escuchas telefónicas online, es mucho más probable que un número de tarjeta de crédito sea robado del equipo en el que se almacena después de ser transmitido a través de Internet.
Un factor que también preocupa a los usuarios de Internet, y que está asociado a la seguridad de los datos, es su privacidad. Por esto, a los usuarios les preocupa la información personal que proporcionan a las empresas a través de Internet. Cada vez más, la gente duda de que estas empresas tengan la voluntad y/o la capacidad para mantener de forma confidencial la información personal de sus clientes. Hay que tener en cuenta que Internet no fue diseñada para ser segura. Fue diseñada para proporcionar redundancia en caso de que una o más líneas de comunicación fueran cortadas. En otras palabras, el objetivo inicial del diseño de la conmutación de paquetes de Internet era proporcionar múltiples caminos alternativos en los que la información militar crítica podría viajar.
La seguridad informática consiste en la protección de los dispositivos y de la información que contienen, que eventualmente puede ser transmitida, frente al acceso, uso, alteración o destrucción no autorizada. La seguridad física incluye dispositivos de protección tangibles, tales como alarmas, guardias, puertas resistentes al fuego y vallas de seguridad. La seguridad lógica es la protección de la información que contienen los dispositivos utilizando medios no físicos. La criptografía juega un papel clave en la seguridad lógica.
Una Amenaza es cualquier acto u objeto que representa un peligro para los activos informáticos. Una Contramedida es el nombre general para denotar cualquier procedimiento, ya sea físico o lógico, que detecta, reduce o elimina una amenaza. Las amenazas que se consideran de bajo riesgo o poco probables pueden ser ignoradas cuando el costo para protegernos de estas excede el valor del activo protegido. Un Espía es una persona o dispositivo que puede escuchar, copiar o manipular las transmisiones por Internet.
Elementos de Seguridad Informática
- Confidencialidad: se refiere a la protección contra la divulgación no autorizada de datos.
- Autenticidad: garantizar la fuente u origen de los datos.
- Integridad: se refiere a la prevención no autorizada de la modificación de datos.
- Disponibilidad: se refiere a la prevención de los retrasos o denegaciones de datos (extracción de mensajes).
Política de Seguridad y Seguridad Integrada
Cualquier organización involucrada en comercio electrónico y preocupada por la protección de sus activos debe tener establecida una política de seguridad. La política de seguridad es una declaración escrita que describe qué activos se deben proteger y por qué están siendo protegidos, quien es el responsable de esta protección, y qué comportamientos son aceptables y cuáles no lo son.Una política de seguridad integral debe abordar lo siguiente:
- Autenticación: ¿Quién está tratando de acceder a este servidor?
- Control de acceso: ¿A quién se le permite iniciar una sesión y acceder al servidor?
- Secreto: ¿Quién tiene autorización para ver la información seleccionada?
- Integridad de los datos: ¿Quién está autorizado a realizar modificaciones de los datos?
- Auditoría: ¿Quién o qué hace que los eventos específicos que se produzcan, y cuándo?
Algunos ejemplos de estos requisitos de seguridad que pueden ser exigidos a una aplicación específica son:
- No-repudio de origen/de recepción: se aplica al correo electrónico certificado o en los protocolos de firma de contratos electrónicos.
- Anonimato: aplicado por ejemplo en protocolos de votación electrónica o también en dinero electrónico.
- Imposibilidad de vinculación: aplicado al eCash y en tíquets electrónicos anónimos.
Cookies y navegación anonima
Internet ofrece un tipo de conexión entre clientes Web y servidores llamado stateless connection. En una conexión sin estado (stateless), cada transmisión de información es independiente; es decir, no se mantiene una conexión continua entre cualquier cliente y el servidor (también puede ser llamada sesión abierta). Las cookies permiten que los servidores Web mantengan continuas sesiones abiertas con clientes. Las cookies se inventaron para resolver el problema de las conexiones sin estado ya que guardan la información de un usuario Web sobre un conjunto de intercambios de mensajes entre servidor-cliente para otra posible conexión. En un entorno de comercio electrónico, los clientes que se conectan a su tienda on-line a traves de una stateless connection requieren la realización de una serie de operaciones para llevar a cabo su actividad de compra on-line que, sin el uso de la cookies, no seria posible hacerlas. Por ejemplo, el uso del carrito de la compra y el software de procesamiento de pagos necesitan recuperar la información de los productos que ha seleccionado el cliente en otras conexiones.También utilizan cookies las empresas que realizan publicidad contextual. DoubleClick (DOUBLECLICK.com) es una de las mayores redes de publicidad en banners en el mundo (en 2008 fue comprada por Google). DoubleClick o Google se encargan de la colocación de banners publicitarios en los sitios Web. Este tipo de empresas utilizan las llamadas cookies de terceras partes: pequeños archivos de texto ubicados en los equipos cliente Web, para identificar a los usuarios de la red e identificar qué otros sitios web han visitado. Este tipo de prácticas es un riesgo para la privacidad de los usuarios y plantea el dilema sobre qué cookies deberían ser aceptables. Los visitantes de la web de Amazon.com, por ejemplo, tiene cookies de Amazon.com guardadas en sus equipos para que el servidor Web de Amazon.com los reconozca cuando regresen. Esto puede ser útil, por ejemplo, cuando un visitante de la web, que ha colocado varios artículos en el carrito de compras antes de interrumpir su conexión, pueda volver a Amazon.com más tarde y encontrar el carro de compras intacto (ya que es identificado a través de las cookies que Amazon ha dejado en su navegador). El servidor Web puede leer las cookies del navegador del cliente y encontrar el carro de compras de la sesión anterior del cliente. El servidor de Amazon.com sólo puede leer sus propias cookies; no puede leer las cookies que hay en el equipo cliente depositadas por cualquier otro servidor Web.
Hay dos diferencias importantes entre el escenario de Amazon.com y lo que sucede cuando DoubleClick o Google sirven un banner publicitario. En primer lugar, el visitante no suele saber que el anuncio del banner viene por ejemplo de DoubleClick y, por tanto, no sabe que el servidor de DoubleClick podría estar escribiendo una nueva cookie en el equipo del cliente. En segundo lugar, compañías como Google o DoubleClick sirven anuncios a través de los sitios Web de propiedad de miles de empresas. En la medida que los usuarios de Internet se mueven de un sitio Web a otro, el programa navegador de este usuario puede ir recogiendo muchas cookies de estas compañías que se dedican a este tipo de publicidad. Entonces, el servidor de Google, por ejemplo, puede leer la totalidad de sus cookies que ha coleccionado un usuario en su navegación por distintos sitios web. Recabando esta información puede decidir qué anuncios debe servir en los banners y sobre qué servidores deben servirlos. Por lo tanto, DoubleClick o Google pueden recoger una enorme cantidad de información acerca de los sitios web que han estado visitando los usuarios de Internet. Aunque esta recogida de información pueda no preocupar a ciertos usuarios, estas empresas pueden utilizar tal información para crear perfiles de usuarios que atenten contra su privacidad. No obstante, estos perfiles no pueden ser formalmente atribuibles a una persona, sino más bien a un dispositivo.
La forma más completa para que los usuarios de un sitio Web se protejan de la revelación de información privada o de ser rastreado por cookies es desactivar las cookies por completo. El problema de este enfoque es que quedan bloqueadas también las cookies que puedan ser útiles. Esto significa, por ejemplo, que los usuarios deben introducir la información cada vez que vuelven a visitar un sitio Web.
Seguridad en dispositivos móviles
Algunas de las cuestiones de seguridad relacionadas con los dispositivos móviles del cliente pueden ser simples, como la amenaza física de la pérdida de un teléfono móvil o tableta. Otros problemas de seguridad pueden ser más complejos, como el ataque de un troyano, un virus o una aplicación que comparte la información personal del usuario del dispositivo.El primer paso a seguir para asegurar un dispositivo móvil es la creación de una contraseña para el acceso al teléfono. Esto puede prevenir, o al menos retrasar, la obtención de la información privada que el usuario almacenó en él por parte de un ladrón que haya robado su dispositivo. Casi todos los dispositivos móviles incluyen software que permite al propietario iniciar un barrido remoto (eliminando los datos) si el dispositivo es robado. Este borrado remoto elimina todos los datos personales almacenados en el dispositivo, incluidos los mensajes de correo electrónico, mensajes de texto, listas de contactos, fotos, vídeos y cualquier tipo de archivo o documento.
Las llamadas Rogue Apps contienen malware y pueden ser capaces de recopilar información desde el dispositivo móvil y lo remiten a los autores de la app. La Apple Store pone a prueba a las aplicaciones antes de que se autorice la venta para eliminar (filtrar en la medida de lo posible) estas rogue apps. En Google Play no se hace una exploración para detectar las rogue apps de forma tan extensa como en la Apple Store. Todas aplicaciones deberían pedir permiso a los usuarios para acceder a cualquier información específica almacenada en su dispositivo.
Navegación Anónima
Empresas como Anonymizer (Anonymizer.com) proporcionan un plug-in que los usuarios que se pueden descargar e instalar y, por una cuota anual, proporcionan una navegación anónima por Internet. También ShadowSurf.com o Anonymouse.org (Anonymouse.org) proporcionan servicios de navegación anónima online de forma gratuita.Otros problemas de seguridad
Un tipo de ataque muy común es el llamado enmascaramiento o spoofing. En este tipo de ataque, el atacante pretender engañar o defraudar al usuario haciéndose pasar por alguien que, en realidad, no es. O también, representando que es un sitio Web como si fuese original cuando se trata de una falsificación del sitio web de otra compañía.De entre los principales sitios web de comercio electrónico que han sido víctimas de este tipo de ataques en los últimos años se encuentran Amazon.com, AOL, eBay y PayPal. Algunos de estos sistemas de ataque se combinan con el spam. En estas situaciones, el atacante envía millones de correos electrónicos no deseados que parecen ser de una compañía respetable. Los correos electrónicos contienen un enlace a una página Web que está diseñada para verse exactamente como el sitio de la empresa. En el correo se anima a la víctima a revelar su nombre de usuario, contraseña, y, a veces, incluso la información de tarjetas de crédito. Estos ataques, que captura información confidencial del cliente, son llamados expediciones de phishing.
APARTADO 1.4. SISTEMAS DE PAGO EN EL COMERCIO ELECTRÓNICO
La segunda forma tradicional de pago es el uso del dinero para intercambiar bienes y servicios. La primera forma de dinero se designó como dinero mercancía. En este caso los productos que tenían un valor bien conocido eran utilizados como moneda de cambio. El siguiente paso fue el uso de tokens como los billetes, los cuales era respaldados por los depósitos de oro y plata del expendedor del billete. En la medida que la economía se traslada a gran escala y los gobiernos son entidades de confianza, el dinero en forma de tokens se transforma en lo que conocemos como moneda fiducitaria.
Protocolos utilizados para este tipo de pagos:
Tradicionalmente, el problema del pago con tarjeta de crédito a través de Internet era que los usuarios podían rechazar una supuesta compra on-line, porque no se llevaba a cabo la autentificación del usuario en el momento de la transacción. Para solucionar este problema, Visa y MasterCard introdujeron Verified by Visa y MasterCard SecureCode respectivamente. Ahora el responsable del pago es el propietario de la tarjeta ya que ahora se tiene que autentificar durante el proceso de pago. El expendedor de la tarjeta puede elegir el método de autentificación.
Firma Dual Aunque en protocolo SET actualmente no tiene implantación, sí que introduce algunos conceptos criptográficos interesantes como la Firma Dual. Esta operación criptográfica enlaza dos mensajes que emite el cliente (uno dirigido a la tienda y otro al banco) pero sólo permite a cada recipiente acceder a la información que hay en los mensajes que van dirigidos a él.
La operación de la firma dual se realiza de la siguiente manera:
Se calcula el hash (SHA-1) del mensaje de pago y del mensaje del pedido de productos o servicios que se realiza al comercio. Se concatenan los dos valores hash [H(PI) || H(OI)] y se vuelve a calcular el hash del resultado. Finalmente, el cliente cifra el hash final con su clave privada creando la firma dual: DS = EKRC [ H(H(PI) || H(OI)) ] tal y como se aprecia en la figura adjuntas.
Para la verificación de la firma se realizan las siguientes operaciones:
Verificación de la firma por parte del comercio
Verificación de la firma por parte del banco
Paypal
Paypal es una negocio de comercio electrónico que permite realizar pagos o transferencias monetarias a través de Internet. Sirve como alternativa a los métodos tradicionales de pago. Paypal ejecuta pagos para otros comercios online, para sitios de subastas online y otros usuarios corporativos. Paypal realiza estas operaciones de pago a cambio del cobro de una tasa a sus usuarios (habitualmente los comercios online).
Información extraída de: Paypal Controversy. Team 7
Fuente: Cryp4you
Sistemas de Pago
- Sistemas Tradicionales de Pago
- Sistemas de Pago Electrónico
- Sistemas basados en Tarjetas
- Pago remoto con Tarjetas de crédito
- Monedas o Dinero Electrónico y Micropagos
Sistemas Tradicionales de Pago
La forma más primitiva de pago se caracteriza por el intercambio directo de bienes y servicios. El mayor problema es conocido como la doble coincidencia de voluntades.La segunda forma tradicional de pago es el uso del dinero para intercambiar bienes y servicios. La primera forma de dinero se designó como dinero mercancía. En este caso los productos que tenían un valor bien conocido eran utilizados como moneda de cambio. El siguiente paso fue el uso de tokens como los billetes, los cuales era respaldados por los depósitos de oro y plata del expendedor del billete. En la medida que la economía se traslada a gran escala y los gobiernos son entidades de confianza, el dinero en forma de tokens se transforma en lo que conocemos como moneda fiducitaria.
Pagos al contado
Es la forma más usada de pago, se caracteriza por ser:- Simple, portable, sin costes de transacción
- Alto riesgo en la transferencia y en el deposito de dinero
Pagos con cheque
Para poder hacer una transacción las dos partes tienen que tener guardado dinero en cuentas bancarias. Se caracterizan por:- Fácil, seguro, y práctico para los usuarios
- Costos transaccionales
- Retraso en el cobro efectivo
Pago por giro o transferencia
Similar al pago por cheque. La mayor diferencia es que la transacción no puede ser iniciada a menos que los fondos estén disponibles. Es un sistema muy popular en Europa.Pago con tarjetas
Existen tres tipos de tarjetas según el momento de pago:- Pagar antes de la transacción (monederos electrónicos)
- Pagar en el momento (tarjetas de débito)
- Pagar en diferido (tarjetas de crédito)
¿Qué es un sistema de pago?
Los sistemas y aplicaciones de comercio electrónico deben proporcionar un procesado del pago y un servicio de transacciones entre compradores y vendedores. Un sistema de pago, como parte de un sistema de comercio electrónico, es un sistema que soporta procesamiento seguro de los pagos dando un servicio fiable, seguro y eficiente. Los requisitos básicos de un sistema de pago son:- Proceso de la transacción seguro y confidencial
- Autentificación y autorización de todas las partes involucradas
- Asegurar la integridad de las instrucciones del pago por bienes y servicios
- Disponibilidad, balance entre costo-eficiencia y fiabilidad
- Fácil acceso global e internacional
Modelos de pago electrónico
Los sistemas directos de pago requieren de una interacción directa entre el cobrador y el pagador. En los sistema de pago efectivo, una cierta cantidad de dinero es substraída del pagador antes de que la compra sea hecha. No ocurre lo mismo en los sistemas de pago por cheque.Clasificación de los Sistemas de Pago Electrónico
- Pago remoto con tarjetas de crédito
- Dinero Electrónico
- Sistemas de Micropago
Pago remoto con tarjetas de crédito
En estos momentos es el sistema de pago más usado. Actualmente muchos usuarios confían en las transmisiones cifradas a través de internet de los datos de sus tarjetas de crédito. En estos sistemas cabe destacar el problema de la confidencialidad de los datos (número de la tarjeta de crédito, cuenta bancaria ...) al que pueda tener acceso la tienda remota. Algunas soluciones a este problema pueden ser:- Confianza en grandes vendedores (Amazon, Apple)
- Uso de pasarelas de pago como terceras partes de confianza (Paypal, FirstGate)
Protocolos utilizados para este tipo de pagos:
- SSL: Intypedia: Introducción al protocolo SSL
- SET: Wikipedia: Secure Electronic Transaction
- 3D-SECURE: Wikipedia: 3D Secure
Tradicionalmente, el problema del pago con tarjeta de crédito a través de Internet era que los usuarios podían rechazar una supuesta compra on-line, porque no se llevaba a cabo la autentificación del usuario en el momento de la transacción. Para solucionar este problema, Visa y MasterCard introdujeron Verified by Visa y MasterCard SecureCode respectivamente. Ahora el responsable del pago es el propietario de la tarjeta ya que ahora se tiene que autentificar durante el proceso de pago. El expendedor de la tarjeta puede elegir el método de autentificación.
Firma Dual Aunque en protocolo SET actualmente no tiene implantación, sí que introduce algunos conceptos criptográficos interesantes como la Firma Dual. Esta operación criptográfica enlaza dos mensajes que emite el cliente (uno dirigido a la tienda y otro al banco) pero sólo permite a cada recipiente acceder a la información que hay en los mensajes que van dirigidos a él.
La operación de la firma dual se realiza de la siguiente manera:
Se calcula el hash (SHA-1) del mensaje de pago y del mensaje del pedido de productos o servicios que se realiza al comercio. Se concatenan los dos valores hash [H(PI) || H(OI)] y se vuelve a calcular el hash del resultado. Finalmente, el cliente cifra el hash final con su clave privada creando la firma dual: DS = EKRC [ H(H(PI) || H(OI)) ] tal y como se aprecia en la figura adjuntas.
Para la verificación de la firma se realizan las siguientes operaciones:
Verificación de la firma por parte del comercio
- El comercio conoce la clave pública del cliente que se ha utilizado de su certificado
- Ahora, el comercio puede calcular dos valores: H(PIMD || H(OI)) y DKUC[DS]
- El primer valor representa el hash de la concatenación del valor de hash de la información de la orden de pago (mensaje con la información para el banco) y el cálculo del hash del mensaje de la información del pedido. El segundo valor representa el descifrado con la clave pública del cliente de la firma dual
- La comprobación de la firma será correcta si los dos valores anteriormente calculados coinciden
Verificación de la firma por parte del banco
- El banco conoce la clave pública del cliente a través de su certificado
- Ahora, el banco puede calcular dos valores: H(H(PI) || OIMD) y DKUC[DS]
- El primer valor representa el hash de la concatenación del cálculo del hash de la información de la orden de pago y el valor del hash del mensaje de información del pedido. El segundo valor representa el descifrado con la clave pública del cliente de la firma dual
- La comprobación de la firma será correcta si los dos valores anteriormente calculados coinciden
- El comercio ha recibido el pedido (OI) y ha podido verificar la firma
- El banco ha recibido la orden de pago (PI) y ha verificado la firma del cliente
- El cliente ha vinculado la OI a la PI y ha podido probar que ambos mensajes están unidos (se corresponden entre ellos). Además ha podido mantener confidencial la información de pago al comercio y la información del pedido al banco.
Pago a través de Intermediarios
En este tipo de pago se suelen utilizar tarjetas de crédito. No obstante, el pago es ejecutado a través de una tercera parte: el cliente envía los datos del pago encriptados al comercio. Luego el comercio añade su información y envía todos los datos a la tercera parte (como por ejemplo Paypal).Paypal
Paypal es una negocio de comercio electrónico que permite realizar pagos o transferencias monetarias a través de Internet. Sirve como alternativa a los métodos tradicionales de pago. Paypal ejecuta pagos para otros comercios online, para sitios de subastas online y otros usuarios corporativos. Paypal realiza estas operaciones de pago a cambio del cobro de una tasa a sus usuarios (habitualmente los comercios online).
Información extraída de: Paypal Controversy. Team 7
Dinero Electrónico
Una moneda electrónica es un número (bit string) tratado criptográficamente para conseguir las mismas propiedades de seguridad que el dinero físico. Las características del pago con dinero electrónico serán tratadas en la siguiente lección de este curso.Fuente: Cryp4you
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios