Upload File

seguridad en linea y sistemas de pago (2)

15
Requisitos de seguridad en las transacciones electrónicas. Las transacciones electrónicas requieren cumplir desde el punto de vista de la seguridad, los siguientes requisitos: Confidencialidad de la transacción: solo las partes intervinientes pueden tener acceso al contenido de la transacción. Anonimato: la identidad del comprador no debería ser conocida por el vendedor o, cuando menos los datos relativos al medio de pago utilizado por el comprador. Autentificación de todos los participantes Integridad: los mensajes y datos intercambiados no podrían ser modificados por los intervinientes ni por terceros. Protección frente a posibles intentos de réplica. Flexibilidad: aceptación de posibles sistemas de pago. Facilidad de uso. Eficiencia: relación entre el coste de la transacción y el precio del producto o servicio. Confianza en el sistema por parte de los usuarios. Protocolos Criptográficos Los protocolos criptográficos son algoritmos distribuidos que constan de una secuencia de pasos o etapas que tienen que ser realizados por dos o más entidades para alcanzar unos determinados objetivos de seguridad. Para desarrollar las plataformas de comercio electrónico se han propuesto dos protocolos específicos, que permiten realizar transacciones de forma segura a través de internet: se trata del protocolo SSL y del protocolo SET. Estos protocolos solo permiten proteger los datos intercambiados en una transacción entre un navegador y un servidor web. Sin embargo, no garantizan la seguridad mas allá de esta comunicación, por lo que si estos datos no son protegidos posteriormente de forma adecuada en los equipos

Upload: jlcisnerosmxl

Post on 16-Jan-2016

5 views

Category:

Documents


0 download

Report

DESCRIPTION

Sistemas de pago y seguridad en linea

TRANSCRIPT

Page 1: Seguridad en Linea y Sistemas de Pago (2)

Requisitos de seguridad en las transacciones electrónicas.

Las transacciones electrónicas requieren cumplir desde el punto de vista de la seguridad, los siguientes requisitos:

Confidencialidad de la transacción: solo las partes intervinientes pueden tener acceso al contenido de la transacción.

Anonimato: la identidad del comprador no debería ser conocida por el vendedor o, cuando menos los datos relativos al medio de pago utilizado por el comprador.

Autentificación de todos los participantes Integridad: los mensajes y datos intercambiados no podrían ser

modificados por los intervinientes ni por terceros. Protección frente a posibles intentos de réplica. Flexibilidad: aceptación de posibles sistemas de pago. Facilidad de uso. Eficiencia: relación entre el coste de la transacción y el precio del

producto o servicio. Confianza en el sistema por parte de los usuarios.

Protocolos Criptográficos

Los protocolos criptográficos son algoritmos distribuidos que constan de una secuencia de pasos o etapas que tienen que ser realizados por dos o más entidades para alcanzar unos determinados objetivos de seguridad.

Para desarrollar las plataformas de comercio electrónico se han propuesto dos protocolos específicos, que permiten realizar transacciones de forma segura a través de internet: se trata del protocolo SSL y del protocolo SET.

Estos protocolos solo permiten proteger los datos intercambiados en una transacción entre un navegador y un servidor web. Sin embargo, no garantizan la seguridad mas allá de esta comunicación, por lo que si estos datos no son protegidos posteriormente de forma adecuada en los equipos participantes, podrían ser vulnerables a ataques y robos por parte de usuarios remotos.

Los protocolos SSL (Secure Sockets Layer) y TLS

El protocolo SSL fue desarrollado por la empresa Netscape en 1994 para garantizar la seguridad en el intercambio de datos entre un navegador y un servidor web, este permite garantizar la confidencialidad, la autenticación y la integridad de los mensajes intercambiados.

Por su parte TLS (Transport Layer Security) es una nueva propuesta que nace como una evolución de SSL y estos dos son protocolos de nivel de transporte, por lo que podrían ser utilizados para el cifrado de protocolos de aplicación.

Page 2: Seguridad en Linea y Sistemas de Pago (2)

El esquema de funcionamiento de SSL es bastante sencillo :

1. Se produce un intercambio inicial de claves públicas entre cliente y servidor, utilizando para ello certificados digitales. El navegador como el servidor se encargan de comprobar la validez de los certificados.

2. Se negocian los parámetros del protocolo de cifrado simétrico que se va a emplear en la sesión. Básicamente se trata de definir el tamaño de la clave.

3. Se genera una clave privada de cifrado simétrica para la sesión. Esta clave solo será válida para esta sesión, por lo que la seguridad del sistema en posteriores sesiones de trabajo no se verá comprometida aunque se consiga interceptar esta clave.

4. Se intercambia de forma segura la clave privada mediante un algoritmo de cifrado asimétrica, utilizando para ello la clave publica del servidor web.

5. Desde este momento todos los datos que intercambien el servidor web y el navegador del cliente serán cifrados con la clave privada generada para la sesión.

Como prueba de que la comunicación se realiza de forma segura, se muestra una imagen en la barra de estado del navegador un candado si es el Explorer de Microsoft y una llave si se emplea el navegador de Netscape.

La actual limitación de este protocolo viene dada por no garantizar la autenticación del cliente, ya que no se exige que este disponga de una clave pública avalada por un certificado digital.

Por otra parte existe la posibilidad de utilizar un servidor proxy para facilitar la conexión segura de equipos remotos que envíen peticiones sin cifrar: el proxy se encarga de establecer el canal seguro SSL con el servidor, actuando de intermediario con los equipos remotos que no puedan trabajar directamente con el protocolo SSL.

Protocolo S-HTTP (Secure Hypertext Transport Protocol)

S-HTTP es un protocolo que fue diseñado para proporcionar seguridad en las aplicaciones basadas en el World Wide Web. Este protocolo actúa a nivel de aplicación, cifrando los mensajes intercambiados entre el navegador y el servidor web, ofreciendo los servicios de confidencialidad, autenticación e integridad de los mensajes.

Asimismo, extiende el protocolo HTTP para poder llevar a cabo transacciones seguras a través de internet.

Este protocolo esta soportado por algunos servidores Web comerciales y por la mayoría de los navegadores. Sin embargo, apenas se utiliza en la actualidad ya que se prefiere recurrir a un protocolo de nivel de transporte

Page 3: Seguridad en Linea y Sistemas de Pago (2)

como SSL, que permite cifrar no solo los datos de servicio World Wide Web, sino también de los otros servicios y aplicaciones de internet.

Protocolo SET (Secure Electronic Transaction)

Este protocolo fue desarrollado en 1996 por VISA y Mastercard, con el apoyo de importantes empresas como IBM, Microsoft, Netscape, RSA y Verising, para soporte a las transacciones electrónicas realizadas en internet con tarjeta de crédito.

El protocolo SET ofrecía una solución bastante adecuada para la realización de transacciones seguras en internet ya que:

Permitía autentificar todas las partes que intervienen (no solo al vender, como en el caso de SSL).

El vendedor no tenía acceso a la información de la tarjeta de crédito al cliente.

Las entidades financieras no tenían acceso a los datos de la compra, solamente se encargan de autorizar la transacción.

En cada transacción a través de SET intervenían, por lo tanto, 6 puntos distintos

El comprador El vendedor La entidad financiera del comprador ( emisor de la tarjeta) La entidad financiera del vendedor La pasarela de pagos La autoridad de certificación

Funcionamiento del esquema del protocolo

Page 4: Seguridad en Linea y Sistemas de Pago (2)

Los pasos que se representan en el esquema anterior son los siguientes:

El cliente se conecta al comerciante y procede a comprobar su identidad

El cliente inicia una transacción enviando al comerciante un formulario de pedido y un certificado digital firmado por la autoridad de certificación.

El comerciante envía la autorización a la entidad financiera con la que trabaja, done está la descifrará y accederá al número de tarjeta.

La entidad financiera solicitara al emisor de la tarjeta la autorización para realizar el cargo.

La entidad financiera autorizará al comerciante la operación y firmara la transacción.

El cliente obtendrá los artículos o servicios y recibo firmado por el comerciante.

El comerciante pedirá a la entidad la captura de la transacción. La entidad pagará al comerciante según su contrato. El cliente recibirá mensualmente la factura.

Protocolo SSH

El protocolo SSH permite, establece una conexión segura a maquinas remotas, con autentificación mutua robusta, cifrado de los datos transmitidos y chequeo de la integridad de los datos.

Fue desarrollado en 1995 por el informático Tatu Yionen, con la intención de reemplazar servicios inseguros como Telnet, Riogin, RCP, RSH o FTP.

Utiliza un proceso seguro de autenticación del usuario, permitiendo ejecutar comandos y copiar ficheros desde y hacia maquinas remotas de forma segura.

El protocolo consta de tres bloques o partes fundamentales:

Nivel de transporte: (sobre TCP/IP) se encarga de la autenticación del servidor, del establecimiento de un canal cifrado para garantizar la confidencialidad de la comunicación, de la comprobación de la integridad de los mensajes, así como de la generación de un identificador único de sesión.

Nivel de autenticación de usuario: ofreciendo varios mecanismos de autentificación: Autenticación basada en un algoritmo de clave publica Autenticación basada en un nombre de usuario y contraseña Autenticación basada en la procedencia de la conexión

Nivel de sesión: Responsable de la asignación de identificadores de sesión, los cuales permiten multiplexar varias comunicaciones distintas a través de un mismo túnel cifrado.

Page 5: Seguridad en Linea y Sistemas de Pago (2)

Sistemas de pago

Requisitos de los sistemas de pago Electrónicos

Los requisitos que deberá cumplir un sistema de pago desarrollado para dar soporte a las transacciones electrónicas son:

1. Seguridad de las transacciones2. Fiabilidad3. Escalabilidad4. Adecuación a los distintos tipos de transacciones electrónicas5. Anonimato6. Facilidad de uso7. Facilidad de integración con los sistemas de gestión empresarial8. Interoperabilidad con otros sistemas de pago9. Divisibilidad de las unidades monetarias procesadas por el sistema10.Coste asociado al procesamiento de cada transacción

Sistemas de pago más destacados

Dinero electrónico (e-money)

El dinero electrónico está constituido por una especie de “cibermonedas” que se pueden guardar en un ordenador y son equivalentes a una determinada cantidad de dinero.

Para su creación el titular de la cuenta debe solicitar a su entidad financiera la generación de una determinada cantidad de dinero electrónico, cada cibermoneda consiste en una secuencia de bits con un número de serie aleatorio que la identifica, la información sobre su valor económico y la firma electrónica del banco, mediante la técnica conocida como “firma electrónica ciega”.

La entidad financiera debe mantener una base de datos con la relación de números de serie de cibermonedas en circulación para evitar la reutilización de la misma cibermoneda.

Cheques electrónicos: eCheck, NetCheque, NetChex

eCheck ,desarrollado por el FSTC (Financial Service Technology Consortium). Es un sistema de cheque electrónico, se empelaba una tarjeta inteligente paraimplementar un “talonario de cheques electrónicos”, el cual consistía en una relación de órdenes de pagos firmadas digitalmente.

Funcionaba de la siguiente manera:

1. El comprador seleccionaba los productos que deseaba comprar y a continuación enviaba a través de internet un cheque digital firmado con su clave privada.

Page 6: Seguridad en Linea y Sistemas de Pago (2)

2. El vendedor recibía el cheque. Comprobaba su validez y procedía a firmarlo con su clave privada.

3. El vendedor enviaba el cheque firmado a la entidad financiera encargada de procesar la orden de pago.

El NetCheque desarrollado por la Universidad del Sur de California, que producía en internet el sistema usual de emisión de cheques y compensación entre bancos y el sistema NetChex de la empresa Universal Payment Solutions.

First Virtual

Proporcionaba a sus usuarios un identificativo personal, conocido como virtual PIN, el cual debía facilitar en cada operación de compra al vendedor, en lugar del número de la tarjeta de crédito. Seguidamente el vendedor remitía el virtual PIN al servidor de First Virtual para solicitar la autorización de la operación y este enviaba un mensaje de correo electrónico al cliente para pedir la confirmación de la operación, si este aceptaba respondía al mensaje con otro correo y First Virtual procedía a realizar el cargo del importe de la compra.

Tarjeta Virtu@lcash de Banesto

Fue una tarjeta desarrollada por la entidad financiera española Banesto para la realización segura de pagos en internet.

Tuvo una segunda versión conocida como “Virtual Cash Plus” presentada a comienzos de 2000 y que permitía un uso seguro y anónimo para realizar compras en internet sin necesidad de disponer una cuenta en Banesto.

Cybercash

Desarrollado en 1994 para gestionar el pago mediante tarjetas de crédito, es uno de los pioneros y ha servido como base para el posterior desarrollo del sistema SET.

Antes de comenzar a operar el comprador debía descargar, registrar e instalar en su ordenador el programa “Cybercash Wallet”, un monedero electrónico en el que podía introducir los datos de las tarjetas de crédito que pretendía utilizar para el pago de sus compras en internet.

El proceso de pago con CyberCash, que implica al consumidor, al comerciante, el banco emisor y el banco del comerciante, es como sigue:

1. El usuario recorre la tienda virtual hasta que decide comprar un artículo.

2.    El consumidor acepta las condiciones al pulsar el botón de pago con CyberCash. En este momento se lanza la aplicación de cartera, en la cual el usuario puede seleccionar la tarjeta con la que pagar.

Page 7: Seguridad en Linea y Sistemas de Pago (2)

3. El comerciante se queda con los datos de envío y de los productos comprados, y envía firmada al servidor de CyberCash la información de pago del cliente cifrada.

4. El servidor de CyberCash recibe la petición de transacción y, detrás de su cortafuegos y desconectado de Internet, obtiene del paquete de datos la información de pago del consumidor.

5.  El banco del comerciante envía una petición de autorización al banco emisor a través de los canales de comunicación tradicionales de las redes de medios de pago, y retransmite a CyberCash la respuesta, afirmativa o negativa del banco del cliente, que autoriza o no el cargo en función del monto de la compra.

6. CyberCash pasa al comerciante la respuesta del banco, de manera que si es afirmativa, el banco del comerciante recibe el pago del emisor, mientras que si es negativa, se anula la compra.

Cybercoin

Cybercash disponía de este servicio para la realización de micropagos en internet, como el pago por acceso a base de datos, compra de páginas de información, lectura de un periódico, etc.

Este se podía recargar a partir de una tarjeta de crédito y para ello el cliente proporcionaba al comerciante un número de cuenta y una autorización para que se le cargase el importe correspondiente a la operación.

ECash de la empresa Holandesa DigiCash

Es un monedero digital que permitía almacenar una cierta cantidad de dinero en el disco duro del ordenador, facilitando la realización de compras anónimas y seguras en internet.

Para utilizar ECash, tanto el comprador como el vendedor necesitan antes tener una cuenta abierta en alguno de los bancos que emiten dinero electrónico ECash. Una vez que se posee la cuenta bancaria, cada banco instruirá a sus clientes acerca de los pasos que deben seguir para obtener una cuenta de dinero electrónico, el propio banco le facilita gratuitamente el software de cartera, junto con un identificador de la cuenta y una contraseña.

Millicent

Desarrollado por la empresa Digital en 1995, para realizar micropagos en transacciones dentro de internet.

Page 8: Seguridad en Linea y Sistemas de Pago (2)

El fundamento de MilliCent son los scrips, cupones electrónicos que representan dinero, derechos de acceso, puntos, etc., con los que el comprador obtiene la mercancía del vendedor.

El software de MilliCent garantiza a los agentes implicados que el scrip no ha sido manipulado, robado o previamente gastado. Estos agentes son tres:

El vendedor: establece una relación contractual con el intermediario para que venda su scrip, dentro de un cierto rango de números de serie. El contrato especifica asimismo con qué frecuencia el intermediario le paga al vendedor y qué comisión percibirá el intermediario, normalmente en función del volumen de scrip vendido.

Los Intermediarios: actúa como mediador entre el comprador y el vendedor. Compra los scrips al comerciante y los revende al comprador a un precio más alto, obteniendo así sus ingresos de intermediación.

El comprador: para pagar los servicios o productos que desea necesita previamente obtener suficiente scrip.

Para ello acude al intermediario al que le compra el scrip, pagándolo por algún medio tradicional, ya que el desembolso será grande e infrecuente.

Paypal

Es un medio de pago basado en el correo electrónico que ha adquirido una gran puntualidad en internet en esos últimos años, sobre todo para dar cobertura a las transacciones realizadas entre particulares websites de subastas como ebay.

Es una compañía fundada en Palo Alto, California, en Oct. De 1999 por los jóvenes Elon Musk y Peter Thiel, que tenían respectivamente 30 y 34 años en ese momento.

Este sistema es simpe y eficaz: cada usuario abre una especie de cuenta corriente en paypal, deposita allí una determinada cantidad de dinero (mediante una tarjeta de crédito o un cheque) y luego lo puede utilizar para llevar a cabo transacciones, pagos a colegas u empresas, o bien para participar en subastas online, como las desarrolladas en ebay.

Es un medio de pago útil ara las transacciones entre particulares ya que elimina la inseguridad e incertidumbre que se supone aceptar pagos como cheques personales o tarjetas de crédito. Actúa de intermediario financiero en este caso, garantizado que existe dinero disponible en la cuenta del comprador.

Epagado

El sistema epagado.com era un sistema de pago desarrollado en España por la entidad financiera eBankier, que permitía vincular una cuenta corriente bancaria y una dirección de correo electrónico.

Page 9: Seguridad en Linea y Sistemas de Pago (2)

Este sistema evitaba de este modo que el cliente en una operación de compra tuviera que proporcionar datos sensibles como el número de cuenta o la tarjeta de crédito, con lo que elevaba seguridad de la transacción.

Ukash y otros sistemas basados en tarjetas prepago

Los sistemas de pago basados en tarjetas prepago presentan las siguientes ventajas:

Anonimato: no se facilitan datos personales Seguridad: no se utilizan cuentas corrientes ni tarjetas de crédito Comodidad y facilidad de uso Reducción del riesgo de impagados o fraudes para el comercio en

internet

En Mayo de 2003 se lanzaba Morsopay, un sistema basado en una tarjeta prepago, creado específicamente para las compras en internet y orientada al pago de contenidos-

El cliente de este servicio podía adquirir la tarjeta por un importe de 5, de 10 ó de 20 euros en uno de los puntos de venta autorizados de Morsopay.

Alternativas para los micro pagos

En estos últimos años se han propuesto otros sistemas para la gestión de los micro pagos en Internet y, en especial para la venta de contenidos como artículos de periódicos y revistas o capítulos de libros, entre los que podríamos citar BitPass, fis. PayStone, Firstgate, Qpass o PepperCoin, entre otros Todos estos sistemas permitían agrupar y tratar de forma conjunta los importes de varios micros transacciones para reducir los costes de las comisiones y de la tramitación de los pagos. Así, por ejemplo, en el caso de Qpass, el usuario debía abrir una cuenta en este sistema, facilitando su nombre, dirección de correo electrónico y tarjeta de crédito. En un Website en el que los contenidos se encontraban protegidos mediante este sistema, el usuario podía adquirir y descargarse el contenido que le interesaba haciendo clic en el icono de Qpass e introduciendo su número de identificación y contraseña.TARJETAS INTELIGENTES (“SMART CARDS”) Las tarjetas inteligentes, “smart cards” o “tarjetas chip” se caracterizan por incorporar un circuito integrado (“chip”), que sustituye a la banda magnética de las tarjetas clásicas de plástico. Por este motivo, resultan mucho más seguras que las tarjetas de banda magnética, ya que son más difíciles de falsificar. Algunas de estas “tarjetas chip” simplemente incorporan un pequeño circuito

Page 10: Seguridad en Linea y Sistemas de Pago (2)

de memoria en el que se registran los datos del titular: son las conocidas como “memory cards” (tarjetas de memoria).

Entre las transacciones que se podían hacer con la ‘’tarjeta monedero’’ se encuentran: Carga de dinero

Descarga de dinero Intercambio de divisas Compra y retrocesión de la compra Compra incremental Cancelación de la ultima compra

El teléfono móvil como instrumento de pago

Gracias al desarrollo de las comunicaciones y los servicios inalámbricos, han cobrado importancia la plataforma de pagos a través del teléfono móvil, mediante una cuenta a un número de abonado.

Con estos sistemas se pretende que el teléfono móvil funcione como un monedero virtual para el pago de productos y servicios, facilitando las compras en tiendas de internet, maquinas expendedoras, etc.

Además muchos de estos teléfonos incorporan técnicas biométricas para reforzar la seguridad en operaciones como: lectores de huellas dactilares o sistemas de reconocimiento de parones faciales.

TPV virtual

Un terminal punto de venta virtual es un servidor web seguro que se encarga de procesar las órdenes de pago realizadas mediante una tarjeta de crédito o de debito a través de internet.

El funcionamiento de este se basa en los siguientes pasos:

1. Una vez seleccionados los productos que se desean adquirir en la tienda on-line, el navegador del comprador es redirigido automáticamente al TPV virtual para realizar el pago de la compra.

2. Una vez autorizada la transacción por el banco emisor de la tarjeta, el TPV virtual informa tanto al comprador como al comercio del resultado y devuelve el control a la tienda virtual.

3. El comerciante acepta la operación y esta queda registrada en su sistema.

De este modo cuando se paga a través de un TPV virtual, los datos de la tarjeta de crédito del comprador solo son conocidos por la entidad financiera que gestiona el TPV.

El problema del fraude en internet

El consumidor está protegido del fraude siempre que rechace a tiempo el cargo no reconocido en el extracto mensual de la tarjeta de crédito. Sin embargo, la ‘’cibercriminalidad’’ hace aumentar los tipos de interés de las tarjetas provoca que las comisiones cobradas a los vendedores on-line sean muy superiores a

Page 11: Seguridad en Linea y Sistemas de Pago (2)

las que pagan los comercios tradicionales, por lo que a la postre termina perjudicando al usuario.

En otros casos, la sustracción de los datos de los clientes, incluidos sus números de tarjetas de crédito, de ordenadores conectados a internet que han sido víctimas de ataques informáticos constituye otro de los medios utilizados para obtener los datos necesarios para realizar operaciones fraudulentas en internet.


SISTEMAS DE GESTIÓN INTELIGENTE DE …menteocupada.com/vehiculos-electricos/ve-sistemas-de-gestion-intel... · Linea eléctrica Ligne électrique a compañía a compagnie Pago con

Dossier sistemas informaticos linea tours mexico (lstart)

Dossier sistemas informaticos linea tours colombia

Sistemas des informacion gobierno en linea colombia

Sistemas de Linea de Tuberia en Serie

PROCEDIMIENTO PARA REALIZAR EL PAGO A TRAVES DE LINEA … · 2013-03-21 · PROCEDIMIENTO PARA REALIZAR EL PAGO A TRAVES DE LINEA DE CAPTURA Bienvenido a la universidad de la Cañada

Sistemas de Pago Electronico - Vivanco

Como usar la plataforma de pago en linea de Bancomer. en linea clientes.pdf · pago con PayPal NEA Pay VISA Get Button . ... su celular 1927 Comercio Monto Fecha: Nümero de Tarjeta

Seminario Sistemas de Pago ALADI

Presentaciones de servicio de pago en linea

3Proyecto de Mejora Pago en Linea de Proveedores

Linea del tiempo de los sistemas operativos

Sistemas de pago electrónicos

Linea del tiempo de sistemas operativos

Sistemas de linea de espera

3Proyecto de Mejora Pago en Linea de Proveedores - InS

Nuevos Sistemas de Pago Electrónico

Linea del tiempo Sistemas Operativos

Sistema de pago en linea

Sistemas de Pago para Comercio Electrónico · Gráfica 4 Principales Formas de Pago en Internet. ... Existen 2 clasificaciones de sistemas de pago por internet, los métodos de pago

SiStemaS de pago: preSente y futuro Los sistemas de pago ... · SiStemaS de pago: preSente y futuro Los sistemas de pago, una infraestructura clave para el desarrollo económico En

CURSO EN LINEA - pago-vip.000webhostapp.com

PAGO SISTEMAS DE

Linea de tiempo de sistemas operativos

Plataforma de desarrollo para sistemas multimédia en linea y fuera linea

Seguridad en linea y sistemas de pago

Diseño de sistemas en linea(2011)

Los Sistemas de Pago en Colombia

Sistemas de Pago Adelantado Del Igv

Sistemas de Evaluación en Linea

Presentacion en linea sistemas operativos

INSTRUCTIVO VORTAL PAGO EN LINEAsue.unicesar.edu.co/documentos/INSTRUCTIVO_VORTAL_PAGO... · 2020. 2. 18. · INSTRUCTIVO VORTAL PAGO EN LINEA AVISO IMPORTANTE: Para realizar el pago

INSTRUCTIVO DE PAGO EN LINEA 2012

Sistemas de Linea de Vida Horizontales

Compras en linea, Medio de pago y seguridad en las transacciones