SEGURIDAD EN LOS NEGOCIOS ELECTRONICOS

Transcripción

1 SEGURIDAD EN LOS NEGOCIOS ELECTRONICOS ASPECTOS LEGALES En materia de comercio a través de Internet, existen variados problemas que pueden surgir. Muchos de ellos aún no están legislados, y no hay pautas claras a seguir. Los conflictos más urgentes a resolver, tienen relación con: - la formación del consentimiento, - la seguridad acerca de la identidad de los contratantes y - la prueba de las obligaciones. En cuanto a la formación del consentimiento, se requiere de un sistema que, por lo menos dé seguridad en cuanto: a la identidad de la persona que envió el mensaje, a la integridad del mismo, incluyendo que éste no haya sido alterado, o sea la denominada "no-repudiación". Es decir, que el emisor del mensaje no pueda desconocer haberlo enviado y que el destinatario del mismo no pueda desconocer haberlo recibido y, por último, a la confidencialidad del mensaje, es decir, que sólo pueda ser reconocido por el emisor y el destinatario. Otras materias que surgen como consecuencia del comercio, son: - la legislación aplicable al acto o contrato específico - los tribunales competentes - la seguridad de los medios de pago - las consecuencias fiscales del comercio electrónico: como la aplicación de derechos aduaneros cuando se traduce en la importación de bienes y de impuestos, en los casos que corresponda. Sucede que en la Red un cliente puede estar en un país, la empresa en otro, y el servidor en otro. Pueden surgir problemas entre cliente y vendedor como: malas entregas, clientes que no pagan, envíos no pedidos; etc. Los reglamentos legales a utilizarse en estos casos son los del país donde se encuentra el vendedor, aunque el reclamo generalizado de los clientes, es que se utilice el marco legal del país donde se realiza la compra. Igualmente surgen y surgirán situaciones nuevas de conflicto que no están contempladas. Sucede que algunas afirmaciones válidas para una región no lo son para otras. En todos los casos, conviene consultar a un letrado de la región geográfica específica. Las distintas legislaciones, han comprendido que el instrumento tecnológico más confiable en esta materia lo constituye la firma digital, que contiene un sistema criptográfico que, por medio de claves públicas y privadas, permite a las partes cifrar un determinado mensaje con una clave y descifrarlo con otra. En el ámbito internacional, cabe destacar en esta materia la Ley Modelo sobre Comercio Electrónico de la de la Comisión de las Naciones Unidas para el Derecho del Comercio Internacional (UNCITRAL), que regula las firmas y documentos electrónicos y que otorga a los mensajes digitales el mismo valor que a los documentos impresos en papel. La UNCITRAL ha recomendado a los países, incorporar las normas de dicha Ley Modelo, con el objeto de facilitar y dar seguridad a las relaciones jurídicas electrónicas. Varios países han adoptado o están estudiando leyes en conformidad a dicha recomendación. Amenazas a los negocios electrónicos Como todo fenómeno social, el e-commerce no está exento de posibles repercusiones negativas. Una de ellas, es que sus beneficios se conviertan en una fuente de marginación social. Una amenaza significativa para su futuro desarrollo viene de la falta de seguridad para las transacciones. Para comerciar en Internet en forma segura, es necesario encriptar la información enviada a través de la red, utilizando códigos de identificación personalizada. Por ahora la sustitución del trato personal y directo, característica esencial del comercio tradicional, por uno distante e impersonal, como el que supone el e-commerce, plantea a empresas y consumidores múltiples interrogantes, respecto a la seguridad de las formas de pago, la validez de los contratos y las atribuciones de las distintas instancias, nacionales e internacionales, para solucionar posibles disputas mercantiles. Apunte_4 1

2 También es común la resistencia de los usuarios a proporcionar información personal, como dirección, número telefónico e ingresos, ante el temor de que un manejo inapropiado de esta información comprometa a su privacidad. En gran medida los riesgos y temores asociados con el uso del e-commerce son consecuencia directa del desafío que plantea, para las prácticas y la lógica habituales de empresarios, consumidores y gobiernos, la irrupción de un nuevo modelo de negocios. No se debe perder de vista que el mundo de lo técnicamente posible es mucho más amplio que el de lo socialmente aceptable. Definición de Seguridad Se define como la protección contra riesgos, o las medidas que se pueden tomar contra el espionaje, el sabotaje, el ataque o el delito. En el caso de comercio electrónico, la seguridad es un aspecto muy importante, ya que el consumidor debe sentir confianza al momento de realizar una transacción electrónica, de que sus datos no serán utilizados para otros fines para los que él, específicamente, dio su consentimiento. Para lograr dicha confianza en el cliente, son importantes los siguientes aspectos: Disponibilidad: es la característica que asegura que los recursos del sistema y la información estarán disponibles a los usuarios autorizados, siempre que éstos los necesiten. Integridad: involucra la protección de los datos almacenados o en tránsito contra toda modificación. Autenticación: es la capacidad de un individuo o entidad de probar su identidad electrónicamente. Autorización: implica el control de acceso a determinada información para usuarios autenticados. Confidencialidad: es la característica que asegura que las personas no tienen acceso a los datos, a no ser que estén autorizadas para conocerlos. No repudio: el emisor de un mensaje no puede negar haberlo enviado. Garantizar la seguridad en el comercio electrónico es un pre-requisito fundamental, antes de que cualquier actividad comercial sensible a la información pueda llevarse a cabo. Involucra diferentes métodos y políticas; y en un ambiente comercial, incluye aparte de las transacciones financieras, a la información privada de la corporación, la cual debe ser resguardada debidamente. Algunas de las potenciales amenazas y ataques, a los cuales, son susceptibles las actividades comerciales a través de redes públicas son: o Acceso no autorizado a recursos de red. o Destrucción de información y de recursos de red. o Alteración, inserción o modificación de información. o Conocimiento de información por personas no autorizadas. o Interrupciones o disrupciones en los servicios de red. o Robo de información y/o recursos de red. o Negación de servicios recibidos y/o de información enviada o recibida. o Alegación/afirmación de haber enviado o recibido información no suministrada. Creación de un ambiente seguro Hay varios requerimientos para la creación de un ambiente seguro en e-commerce. Son la base de la seguridad y todos se relacionan entre sí. Se pueden dividir en: Autenticación: es la habilidad de un individuo, organización o computadora, de probar su identidad. Las partes involucradas deben saber que están haciendo los negocios con quien ellos creen. Apunte_4 2

3 Los sistemas de seguridad logran la autenticación, verificando información que el usuario provee, contra la que el sistema ya conoce del usuario en cuestión. Los métodos de autenticación pueden estar basados en los siguientes factores: - Demostración del conocimiento de algún tipo de información, como por ejemplo: una password. - Posesión de alguna clase de objeto, como una key o una card. - Demostración de alguna característica biométrica, como las impresiones digitales. - Evidenciar que ya, un tercero que es confiable, ha validado la identidad. Estos factores se suelen utilizar en combinación. Algunos de los métodos más comunes son, como se dijo antes, las passwords, los números de identificación personal (PINs), firmas digitales y certificados. Autorización: implica el control de acceso a una determinada información, una vez que ya se ha validado la identidad del usuario. Se trata de limitar las acciones que puedan tener los diferentes usuarios autenticados, basados en varios niveles. La autorización abarca mecanismos de control de acceso a: entidades de red, recursos de red y derechos de acceso. Estos últimos describen los privilegios o permisos de la entidad, y bajo qué condiciones esa entidad puede acceder a un recurso de red, y de qué forma están habilitados a acceder. Estos privilegios los puede controlar un usuario o administrador empleando una lista de control de accesos (access control list ACL), en la cual se detallan recurso por recurso, los permisos de cada usuario autenticado. La autorización también se relaciona con las publicaciones y la protección de los derechos intelectuales. Confidencialidad: tiene que ver con la reserva o confidencia de los datos o información, y la protección de accesos no autorizados, a dicha información. En E-Commerce, la confidencialidad es de suma importancia para resguardar la información financiera de la compañía, información de desarrollo de productos, estructuras de organización, etc. Para adecuar las distintas necesidades, deben incluirse políticas relativas a la circulación de información, las cuales determinarán, no sólo si un objeto puede o no librarse, sino también de qué manera se lo hará; por ejemplo: Encriptación, la confidencialidad debe asegurar que la información no pueda ser leída, copiada, modificada o divulgada, sin la propia autorización, y que las comunicaciones a través de redes no serán interceptadas. Para satisfacer estos requisitos se diseñan técnicas de encriptación basadas en criptografía. Integridad: abarca la protección de los datos en tránsito o almacenados contra toda modificación (altas, bajas, modificaciones o reordenamientos de los datos). Los sistemas de comercio electrónico deberán tener la capacidad de garantizar que los datos que se transmiten por una red sean recibidos en su destino en las mismas condiciones en que fueron enviados. No repudio del origen: trata de la protección contra una parte, que en una transacción o comunicación luego intenta negar (falsamente), que la transacción ocurrió. Los servicios de no repudio del origen deben poder demostrar a una tercera parte, la prueba del origen, entrega, cesión y transporte de la información en cuestión. La necesidad de este tipo de servicios refleja las imperfecciones de los ambientes de comunicaciones, ya sea por red o no. PLAN DE SEGURIDAD Y CONTROL DEL NEGOCIO La administración de la seguridad implica: el control de la confiabilidad en las transacciones digitales, como la fijación y cumplimiento de normas de seguridad para garantizar que los requisitos de los servicios de seguridad pueden lograr sus objetivos. No se trata de un aspecto adicional al comercio electrónico, sino más bien que es uno de los aspectos que más influyen para su correcto funcionamiento. Los consumidores, entendiblemente, evitan aquellos sitios en los cuales saben o intuyen que la información que provean no será manipulada confidencialmente, así como escaparán de compañías que no adopten medidas de seguridad para proteger su propia base de datos. Apunte_4 3

4 Para destacar esta necesidad de controles de negocio en sistemas de comercio electrónico seguro, los resultados que mostraron las encuestas realizadas por Ernst & Young LLP, el FBI y el Computer Security Institute (CSI), es que un 46 por ciento de los sitios corporativos de Internet creados en los últimos años, ya han quebrado. Las políticas de seguridad son generalmente un conjunto de reglas que definen el alcance y tipo de medidas de seguridad que se usarán en su estrategia de e-commerce. Por ejemplo, la norma de seguridad puede listar las posibles amenazas de las que deberían protegerse los recursos de red, y los métodos y niveles de protección que se pondrían en práctica. Por otra parte, una política de seguridad debería definir los límites de comportamiento aceptable del sistema, determinar las acciones que se deberían llevar a cabo cuando ocurriera algún tipo de violación a la seguridad, y también, especificar los protocolos y permisos a usarse en ese sistema de seguridad. El plan de acción de seguridad puede clasificarse según distintos componentes: 1) políticas de responsabilidad: deben determinar dos procedimientos principales, que son: el establecer qué entidades deben autenticar su identidad, y establecer un path (camino) de procedimiento confiable. Esto conlleva el determinar qué paths de comunicación se deberían usar entre dos entidades autenticadas en el sistema, así como los tipos o acciones permitidas en los mismos. 2) políticas de control de acceso: deberán decidir qué entidades dentro del sistema deben ser controladas, así como los privilegios de las mismas. 3) políticas de confidencialidad de los datos: establecerán los tipos y alcances de los procedimientos de protección de divulgación de la información, así como los mecanismos de encriptación punta a punta que se utilizarán. 4) políticas de integridad de los datos: se refieren al tipo y alcance de los mecanismos de protección de los datos contra modificaciones. Todos estos mecanismos deben ser controlados por medio de auditorías y análisis de riesgos. Una auditoria de seguridad en e-commerce incluye registrar y reportar todos los eventos que ocurran en la red que tengan relevancia para la seguridad. Este proceso se lleva a cabo por etapas: - La recopilación y organización de información de auditorías, la cual puede estar en varios formatos por haber sido recogidas de servidores diferentes. Determinar la importancia y uso de los datos; clasificación y filtrado de información. - Luego, según el caso, determinar si se necesitan procedimientos de recuperación por violaciones de la seguridad. Las auditorias de la seguridad en e-commerce son un componente esencial de los controles del negocio en sí mismo. Un ejemplo conocido: un empleado de banco puede maliciosamente ir deduciendo de las cuentas de los clientes fracciones de centavos, lo cual por ser tan aparentemente insignificante, que podría pasar desapercibido por los contadores. Los controles de auditoria son métodos muy efectivos para casos como éste. Dependiendo de la situación y aplicación, los controles pueden ser llevados a través de los campos legales, técnicos, contractuales, etc., conforme a guías bien establecidas, procedimientos, normas, prácticas y estandares. ASPECTOS DE LA SEGURIDAD La seguridad en el e-commerce se debe dar en cuatro aspectos: seguridad del lado del cliente. seguridad en los mensajes. seguridad en las comunicaciones. seguridad en los servidores. Apunte_4 4

5 La seguridad del lado del cliente es un concepto general que es aplicable a cualquier uso de Internet. Para el comercio electrónico nos enfocaremos en las transacciones y el servidor. Seguridad en los mensajes Internet es, en su forma más rudimentaria, una infraestructura de comunicación entre computadoras. La seguridad en ella, es algo difícil de implementar a bajo nivel; ya que el tránsito de la información a través de distintas redes hace imposible asegurar un camino confiable e inviolable por parte de terceros para la comunicación entre dos equipos. Por ello, dicha comunicación debe ser protegida en otros niveles, procurando compensar la inseguridad del canal de transmisión con seguridad en el mensaje mismo transmitido. Las maneras de proveer al mensaje transmitido con la confiabilidad, integridad y autenticación necesarias son varias: 1) encriptación de mensajes. 2) firma digital y certificados digitales. 1) Encriptación de mensajes: la encriptación de mensajes se refiere a la codificación de un mensaje mediante el uso de una clave. Mediante la encriptación se cumple el requisito de confidencialidad de la información. Las claves a utilizar para codificar y decodificar mensajes pueden ser: - iguales: tanto el emisor como el receptor utilizan la misma clave. Esto implica que la clave sólo es conocida por ellos (es privada ) y plantea la necesidad de hacerla conocida de manera segura por ambas partes; además, no permite identificar quién es el emisor de un mensaje, ya que la misma clave es utilizada para encriptar y desencriptar en ambos extremos de la comunicación. - distintas: el emisor de un mensaje lo encripta utilizando una clave pública, no secreta, perteneciente al receptor, quien es el único que lo puede descifrar con una clave privada conocida solamente por él; de esa manera se asegura que solamente el receptor deseado pueda desencriptarlo. La clave privada y la pública son independientes, no se puede deducir una de la otra. El nivel de protección que ofrecen las claves es proporcional a su longitud, la cual se mide en bits; a medida que mejora la tecnología y la velocidad de procesamiento, la longitud de las claves aumenta, ya que se hace más sencillo obtener la clave por el método de fuerza bruta, es decir, prueba y error. 2) Firma digital y Certificados digitales: sirven para verificar la identidad del emisor de un mensaje y para comprobar que éste no haya sido modificado, desde que fue enviado. De esta manera se logra asegurar la autenticación e integridad de la información transmitida, además de impedir el repudio de origen de la misma. Las Firmas Digitales son métodos de cifrado que tienen dos propósitos: - Validar el contenido de un mensaje electrónico, y que se puede utilizar posteriormente para comprobar que un emisor envió de hecho ese mensaje. - Probar que no se ha falsificado un mensaje durante su envío. Las firmas digitales respaldan la autenticidad del correo electrónico, transacciones de contabilidad, órdenes de empresa, Apunte_4 5

6 documentos para grupos de trabajo y otros mensajes y archivos que se trasladan entre sistemas, usuarios u organizaciones. Las firmas digitales se basan en el hecho de que dos grupos pueden autentificarse el uno al otro para le intercambio seguro de documentos, pero la relación entre ellos no se basa en una confianza total. Por ejemplo, una persona podría enviar un mensaje para apostar a un caballo de carreras y después, si el caballo pierde la carrera, negar haber enviado dicho mensaje. Aunque se sabe a través del proceso de autentificación que esta persona realmente envió ese mensaje, sin una firma digital no se podría probar técnicamente que el mensaje no se modificó. El emisor podría decir, "sí, yo le mandé un mensaje, pero usted lo cambió". Las firmas digitales autentifican los mensajes y se usan para validar compras, transferencias de fondos y otras transacciones de negocios. Un formulario con una firma digital debe incluir el nombre del emisor, la fecha y hora, junto con una secuencia numérica o identificación que identifique positivamente a la persona o a la transmisión. La seguridad de una firma digital, como otros métodos de cifrado, se basa en un algoritmo matemático que asegura que dos firmas nunca son iguales. Imagina el tiempo que llevaría desbloquear los modernos códigos de cifrado generados por las computadoras y que durante décadas han utilizado las supercomputadoras. De hecho, los mejores sistemas de seguridad están bajo el "ataque" constante de los expertos en este tema. El certificado digital se usa para firmar mensajes. Una persona malintencionada podría generar y utilizar un certificado diciendo ser otra persona. Para evitar eso existen las denominadas Autoridades de Certificación que son confiables. Dichas autoridades, empresas privadas, pueden certificar otras firmas digitales por una tarifa. Los certificados que están avalados por una autoridad certificante heredan su nivel de confianza. Seguridad en las comunicaciones Aunque es imposible controlar el transporte de un mensaje en Internet, sí se puede impedir que usuarios hostiles se puedan conectar a la red de una empresa que ofrece servicios de e-commerce y copiar, modificar o eliminar información importante y confidencial. La manera más común de impedir el acceso a una red es mediante el uso de un firewall. Éste es un equipo o un software, cuya función es filtrar los posibles accesos desde Internet a la red de la empresa, permitiendo sólo ciertas conexiones o la utilización de ciertos servicios únicamente. La información transmitida a través de Internet puede ser codificada mediante protocolos seguros que aprovechen algunas de las técnicas de encriptación descriptas anteriormente. Para realizar conexiones seguras a equipos remotos se puede utilizar algunos de los siguientes protocolos: - SSL (Secure Sockets Layer): es un protocolo que utiliza claves públicas y privadas para la autenticación, encriptación de mensajes e integridad de los mismos. Para cada una de estas funciones se usan pares de claves distintas, lo que le da seguridad adicional; sin embargo, esto también ocasiona que las comunicaciones se vuelvan más lentas por el tiempo adicional que requiere codificar y decodificar los mensajes. Apunte_4 6

7 - SHTTP (Secure Hypertext Transfer Protocol): este protocolo es una derivación del HTTP, un protocolo utilizado para navegar por Internet, que tiene características de seguridad adicionales. Los mensajes de correo también pueden ser codificados utilizando alguno de estos protocolos: - PGP (Pretty Good Privacy): utiliza claves públicas y privadas para encriptar la información. A diferencia de las otras implementaciones, las claves PGP no tienen fecha de vencimiento, por lo que, si se descubre la clave de una persona, se podrá utilizar la misma por tiempo indefinido. - S/MIME (Secure Multipurpose Internet Mail Extensions): este protocolo es una extensión del MIME, y al igual que PGP utiliza claves públicas y privadas. Seguridad en los servidores Los servidores, es decir, los equipos que proveen los servicios de e-commerce, deben ser protegidos contra ataques externos e internos y contra caídas en el sistema. Los sistemas críticos que hay que proteger son: - los servidores de Internet. - las aplicaciones propiamente dichas. - las bases de datos. Cada uno de estos puntos daría para escribir un libro entero, por lo que nos dedicaremos a destacarlos puntos más importantes a tener en cuenta: Es muy importante impedir el acceso no autorizado a recursos internos. Esto se logra mediante: - Firewalls - permisos de usuario - y especialmente la correcta configuración de los servicios. Constantemente se están descubriendo nuevas fallas de seguridad en servidores web, aplicaciones y motores de bases de datos; es conveniente tener siempre al día el software que se utilice, instalando todos los parches necesarios. En el caso de las aplicaciones desarrolladas internamente por la empresa, se debe tener mucho cuidado de realizar las verificaciones necesarias para impedir la presencia de errores en los programas, que provoquen brechas de seguridad o fallas en los servicios. Percepción por parte del usuario Un negocio debe implementar políticas de seguridad para proteger contra riesgos sus iniciativas. Existen mecanismos robustos que soportan los requerimientos de seguridad, pero todavía hay un desafío que falta cubrir para el comercio electrónico. El elemento faltante es la confianza. En el mundo de los negocios más allá del comercio electrónico, los niveles de confianza están implícitos en actividades y transacciones de forma tan obvia, que no son siquiera tomados en cuenta, y los mecanismos utilizados se presentan de forma casi transparente. Esto no sucede en el comercio electrónico, siendo muy importante la percepción del usuario y su confianza para el futuro de este tipo de negocios. Crear y mantener esta confianza implica, más que definir requerimientos de seguridad, verificar que todos los componentes de la parte técnica cumplan con los requerimientos. En un ambiente digital, definir los elementos que caractericen la confianza puede ser muy complejo, están muy relacionados con requisitos de autorización. La falta de confianza puede tener como consecuencia la denegación de la autorización necesaria. Sin embargo, establecer la confianza puede ser más complicado aún, ya que una percepción individual de confianza sobre un problema en particular puede depender de cómo la situación se desenvuelva. Para un ambiente de comercio electrónico, es imperativo crear un sistema que otorgue los servicios de autorización basados en un análisis de decisión en el momento. La confianza en un sistema solamente Apunte_4 7

8 puede ser determinada adecuadamente analizando al sistema como un todo en lugar de hacerlo en partes individuales. Se recomienda una lista de medidas de seguridad que un sistema debe implementar para maximizar la confianza, que son: Comparar el software sin costo o de bajo costo con los riesgos que su uso involucra. Utilizar productos de empresas confiables que implementen los controles de calidad apropiados puede reducir los riesgos. Prestar especial atención a la protección en ambientes que contengan software crítico. La captura de información es de suma importancia para un análisis posterior de problemas de seguridad y para las auditorías de los sistemas. El software es generalmente más susceptible a ser poco confiable que el hardware, ya que es más fácil de modificar y más propenso a las fallas. Por esta razón, se deberían utilizar componentes de software reconocidos para funciones críticas. La confianza en los sistemas de comercio electrónico está estrechamente relacionada con la privacidad. Los negocios que definen sus políticas de seguridad y las publican en sus sitios web se ven recompensados con un mayor nivel de confianza por parte de los usuarios, que saben qué información se está obteniendo de ellos y qué uso se le está dando. Estado actual del comercio electrónico por Internet Actualmente, muchas de las empresas que venden productos por Internet le comunican al comprador, antes de comenzar a llenar la orden de compra, que el procedimiento que se va a realizar cuenta con un mecanismo de seguridad, que por lo general es de encriptación. También, desde hace unos meses, las páginas Web de algunas empresas muestran su aval de certificación. La certificación de los usuarios es un proceso que está menos avanzado, pero seguramente terminará imponiéndose como requisito para efectuar determinadas operaciones en Internet. La alternativa al uso del número de las tarjetas de crédito en las transacciones comerciales por Internet es el dinero electrónico, pero pasará un tiempo hasta su implementación definitiva y global. Internet Explorer utiliza dos tipos distintos de certificados: El "certificado personal" garantiza que usted es quien dice ser. Esta información se utiliza cuando envía información personal a través de Internet a un sitio Web que requiere un certificado que compruebe su identidad. El "certificado de sitio Web" declara que un determinado sitio Web es seguro y genuino. Asegura que ningún otro sitio Web puede suplantar la identidad del sitio seguro original. Cómo funciona un certificado de seguridad? Un certificado de seguridad, ya sea personal o de sitio Web, asocia una identidad a una "clave pública". Sólo el propietario conoce la correspondiente "clave privada" que le permite "descifrar" o crear una "firma digital". Al enviar un certificado a otras personas, está dándoles en realidad su clave pública, de forma que puedan enviarle información cifrada que sólo usted podrá descifrar y leer mediante su clave privada. El componente de firma digital de un certificado de seguridad es su tarjeta de identidad electrónica. La firma digital indica al destinatario que la información procede realmente de usted y que nadie la ha falsificado ni suplantado. Antes de iniciar el envío de información cifrada o firmada digitalmente, debe obtener un certificado y configurar Internet Explorer para utilizarlo. Cuando visite un sitio Web seguro (los que empiezan por "https"), el sitio le enviará automáticamente su certificado. Dónde puede obtener sus propios certificados de seguridad? Los certificados de seguridad los emiten entidades emisoras de certificados independientes. Hay varios tipos de certificados de seguridad, cada uno de los cuales proporciona un grado diferente de credibilidad. Apunte_4 8

9 Puede obtener su propio certificado de seguridad personal de una entidad emisora de certificados (este sitio Web está en inglés). Para ver certificados de seguridad: En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet. Haga clic en la ficha Contenido. En el área Certificados, haga clic en los botones Certificados o Compañías para ver la lista de certificados en los que confía. Usar sitios seguros de Internet para las transacciones Muchos sitios de Internet están configurados para evitar que personas no autorizadas vean los datos enviados a esos sitios o desde ellos. Reciben el nombre de sitios "seguros". Como Internet Explorer es compatible con los protocolos de seguridad utilizados por los sitios seguros, puede enviar información a un sitio seguro con total seguridad y confianza. Cuando visita un sitio Web seguro, éste le envía automáticamente su certificado e Internet Explorer muestra un icono de cerradura en la barra de estado. Si va a enviar información (como el número de su tarjeta de crédito) a un sitio no seguro, Internet Explorer puede advertirle de que el sitio no es seguro. Si el sitio afirma ser seguro pero sus credenciales de seguridad son sospechosas, Internet Explorer puede advertirle de que el sitio puede estar intervenido o desvirtuado. TRATAMIENTO DE DATOS PERSONALES Los organismos internacionales con competencia en la materia, entienden la necesidad de establecer normas tendientes a obtener una regulación uniforme de sus efectos jurídicos. Entre los derechos que se intentan resguardar está, el derecho a la intimidad o, más ampliamente, a la privacidad, concepto formado por un conjunto de facetas de la personalidad del individuo que, coherentemente enlazadas entre sí, arrojan un retrato del mismo, que éste, tiene derecho de mantener reservado. Esto es, por ejemplo, lo que sucede con los sistemas de puntos de las tarjetas de crédito, en los que queda registrado todas las operaciones realizadas, fecha y lugar de las mismas; de modo que puede servir para establecer un perfil del titular y, de hecho, son usados por las fuerzas de seguridad para localizar a un sospechoso. En Internet, se pueden recoger datos de diversas maneras, entre ellas, mediante el uso de cookies, pequeños archivos de datos que se generan a través de las instrucciones que los servidores webs envían a los programas navegadores (Explorer, Netscape), y que se guardan en un directorio específico de la pc del usuario. Este, tiene la posibilidad de desactivarlas mediante la correspondiente opción de su navegador, sin prejuicio de que esto pueda afectar el buen funcionamiento de la página en cuestión. Por otra parte, los datos también pueden ser obtenidos mediante la cumplimentación de un formulario en Internet, ya sea para suscribirse a un determinado servicio, introducir los datos para el abono de un bien o servicio o, simplemente, para la participación en un chat. Otros medios utilizados para obtener un perfil certero del usuario, son las aplicaciones que se instalan en el navegador, y desafortunadamente, en ese sentido existe una gran desprotección por cuanto el usuario no es consciente en este seguimiento. Como ejemplo, podemos citar que en Estados Unidos ya se descubrió a una empresa famosa que ofrecía la personalización de cursores con formas divertidas, con el propósito de registrar todos los movimientos del usuario, y esos datos se facilitaban a empresas de marketing. Defensa y derechos del usuario Ante las múltiples formas que existen para recabar datos personales en Internet, cuáles son los medios de defensa de los que dispone el usuario?. En este sentido distinguiremos dos ámbitos de protección: el genérico, que son los medios disponibles por todo internauta en la Red, y otro específico que hace referencia a la protección legal vigente en el país. Apunte_4 9

10 Una vez que los datos del usuario han sido recabados por parte de alguna empresa, reviste gran trascendencia el tratamiento automatizado que vaya a hacerse de los mismos. Circunstancia habitual en Internet es el hecho de que, al ir el usuario mostrando a través de la navegación sus preferencias y hábitos de consumo, las empresas de comercio electrónico establecen perfiles de los individuos que les permiten posteriormente un envío de ofertas y mensajes publicitarios más acordes con dicho perfil. En ese sentido, la Ley de Protección de los Datos Personales, que se tiene en cuenta en el Anteproyecto de Ley sobre Formato Digital de los Actos Jurídicos y Comercio Electrónico preparado por la Jefatura de Gabinete, establece la obligación de la empresa de comercio electrónico, de utilizar los datos personales sólo para finalidades compatibles con aquellas para las cuales los datos hubieran sido recogidos. Por ello, el usuario debe procurar averiguar la política de sus proveedores y administradores de listas y directorios, en lo que se refiere a venta, intercambio o alquiler de los datos que les suministra. Hay que tener en cuenta, que cuando el usuario introduce su dirección de correo electrónico en un directorio, lista de distribución o grupo de noticias, dicha dirección puede ser recogida por terceros para ser utilizada para una finalidad diferente, como por ejemplo, remitirle publicidad no deseada (spam). MARKETING Y PUBLICIDAD En este apartado se analizan los principales aspectos jurídicos que afectan a las actividades realizadas en Internet para promover la contratación de productos o servicios; así tanto el usuario, en ente caso consumidor, como el oferente tendrán que tener en cuenta que se respetan los siguientes puntos: Descripción del producto o servicio: prevención de errores de interpretación del usuario Uno de los principales objetivos en el diseño de una oferta a través de Internet es que la descripción del producto sea clara, con el fin de evitar dificultades en la interpretación de sus cualidades o características técnicas por parte del usuario. Pensemos que se trata de una venta a distancia, y que el usuario no puede apreciar de forma directa, la calidad del producto. Es en ese punto donde la publicidad cobra un papel relevante, ya que va a influir en el consumidor impactándole para que se decida por un determinado producto, careciendo el usuario de Internet de otros elementos de juicio, debido a que no accede físicamente al objeto de la compra. La percepción de que en Internet puede haber menos control de la actividad publicitaria puede provocar la aparición de promesas que luego no se cumplan. Qué puede hacer el consumidor ante una compra que no quiere?: en España, por ejemplo, La Ley de Comercio Minorista concede al comprador, un plazo de reflexión de 7 días, para la devolución del producto adquirido a distancia. Otras medidas de carácter informativo y preventivo para el oferente son la inclusión de una recomendación, en el caso de productos complejos, de que se solicite asesoramiento al servicio de atención al cliente, y que no se adquiera el producto hasta que se hayan despejado todas las dudas sobre su funcionamiento, compatibilidad, adecuación a las necesidades del usuario; etc. Normativa sobre publicidad El uso de Internet con fines publicitarios hace que se trasladen a la Red, los mensajes publicitarios que se difunden en la vida real. Pero la aparente falta de control ha creado cierta sensación de impunidad en la Red, que puede ocasionar la aparición de supuestos de publicidad ilícita o contraria a la legalidad vigente. Se entiende como ilícita toda aquella publicidad que: a) atente contra la dignidad de la persona o vulnere valores y derechos reconocidos (por la Constitución), especialmente en lo que se refiere a la infancia, juventud y la mujer. b) la publicidad engañosa (es aquella que de cualquier manera, incluida su presentación, induce o pueda inducir a error a sus destinatarios, pudiendo afectar a su comportamiento económico, o perjudicar o ser capaz de perjudicar a un competidor. Es engañosa también, la publicidad que silencie datos fundamentales de los bienes, actividades o servicios cuando dicha omisión induzca a error de los destinatarios). Apunte_4 10

11 c) la publicidad desleal, es aquella que por su contenido, forma de presentación o difusión provoca el descrédito, denigración o menosprecio directo o indirecto de una persona, empresa o de sus productos, servicios o actividades. La que induce a confusión con las empresas, actividades, productos, nombres, marcas u otros signos distintivos de los competidores, así como la que haga uso injustificado de la denominación, siglas, marcas o distintivos de otras empresas o instituciones y, en general, la que sea contraria a las normas de corrección y buenos usos mercantiles. La publicidad comparativa cuando no se apoye en características esenciales, afines y objetivamente demostrables de los productos o servicios, o cuando se contrapongan bienes o servicios con otros no similares o desconocidos, o de limitada participación en el mercado. d) La publicidad subliminal. e) La que infrinja lo dispuesto por la normativa que regule la publicidad de determinados productos, bienes, actividades o servicios. METODOS DE PAGO Tarjetas de crédito SET (Secure Electronic Transaction): es un estándar avalado por la industria y concebido para proteger las transacciones con tarjeta de crédito en Internet. Permite la autenticación de todos los participantes de la operación electrónica y asegura confidencialidad e integridad de los datos. El protocolo SET fue desarrollado por Visa y MasterCard, con la colaboración de otras compañías líderes, como Microsoft, IBM, Netscape, RSA, VeriSign y otras. Ver la siguiente figura: El pago mediante tarjeta es un proceso complejo en el cual participan varios actores: - El banco emisor: emite la tarjeta del cliente, extiende su crédito y es responsable de la facturación, recolección y servicio al consumidor. - El banco adquiriente: establece una relación con el comerciante, procesando las transacciones con tarjeta y las autorizaciones de pago. - El titular de la tarjeta: posee la tarjeta emitida por el banco emisor y realiza y paga las compras. - El comerciante: vende productos, servicios o información y acepta el pago electrónico, que es gestionado por su entidad financiera (adquiriente). - La pasarela de pagos: mecanismo mediante el cual se procesan y autorizan las transacciones del comerciante. La pasarela puede pertenecer a una entidad financiera (adquiriente) o a un operador de medio de pago, el cual procesa todas las transacciones de un conjunto de entidades. - El procesador (redes de medios de pago): proporciona servicios adicionales operando la infraestructura de telecomunicaciones sobre las que se realizan las transacciones. - Autoridad de certificación: certifica las claves públicas del titular de la tarjeta, del comerciante y de los bancos. Una transacción SET típica, funciona de forma muy parecida a una transacción convencional con tarjeta de crédito. El cliente navega por el sitio web del comerciante y decide comprar un artículo. Para ello, rellena un formulario y posiblemente haga uso de alguna aplicación tipo carrito de la compra, para ir almacenando diversos artículos y pagarlos todos al final. El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar. El servidor del comerciante envía una descripción del pedido que despierta a la aplicación monedero del cliente. El cliente comprueba el Apunte_4 11

12 pedido y transmite una orden de pago de vuelta al comerciante. La aplicación monedero crea dos mensajes que envía al comerciante. El primero, lleva la información del pedido y contiene los datos del pedido; mientras que el segundo, contiene las instrucciones de pago del cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco adquiriente. En ese momento, el software monedero del cliente genera una firma dual, que permite juntar en un solo mensaje la información del pedido y las instrucciones de pago, de manera que el comerciante puede acceder a la información del pedido, pero no a las instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago, pero no a la información del pedido. Este mecanismo reduce el riesgo de fraude y abuso, ya que ni el comerciante llega a conocer el número de tarjeta de crédito empleado por el comprador, ni el banco se entera de los hábitos de compra de su cliente. El comerciante envía la petición de pago a su banco. El software SET en el servidor del comerciante crea una petición de autorización que envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transacción y otra información relevante acerca de la misma, todo ello convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la petición de autorización junto con las instrucciones de pago (que el comerciante no puede examinar, ya que van cifradas con la clave pública del adquiriente). El banco adquiriente valida al cliente y al comerciante y obtiene una autorización del banco emisor del cliente. El banco del comerciante descifra y verifica la petición de autorización. Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente, que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la integridad de los datos. Se comprueban los identificadores de la transacción en curso (el enviado por el comerciante y el codificado en las instrucciones de pago) y, si todo es correcto, se formatea y envía una petición de autorización al banco emisor del cliente a través de la red de medios de pago convencional. El emisor autoriza el pago. El banco emisor verifica todos los datos de la petición y si todo está en orden y el titular de la tarjeta posee crédito, autoriza la transacción. El adquiriente envía al comerciante un testigo de transferencia de fondos. En cuanto el banco del comerciante recibe una respuesta de autorización del banco emisor, genera y firma digitalmente un mensaje de respuesta de autorización que envía a la pasarela de pagos, convenientemente cifrada, la cual se la hace llegar al comerciante. El comerciante envía un recibo al monedero del cliente. Cuando el comerciante recibe la respuesta de autorización de su banco, verifica las firmas digitales y la información para asegurarse de que todo está en orden. El software del servidor almacena la autorización y el testigo de transferencia de fondos. A continuación completa el procesamiento del pedido del titular de la tarjeta, enviando la mercancía o suministrando los servicios pagados. Más adelante, el comerciante usa el testigo de transferencia de fondos para cobrar el importe de la transacción. Después de haber completado el procesamiento del pedido del titular de la tarjeta, el software del comerciante genera una petición de transferencia a su banco, confirmando la realización con éxito de la venta. Como consecuencia, se produce el abono en la cuenta del comerciante. A su debido tiempo, el dinero se descuenta de la cuenta del cliente. El protocolo definido por SET especifica el formato de los mensajes, las codificaciones y las operaciones criptográficas que deben usarse. No requiere un método particular de transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en aplicaciones web, sobre correo electrónico o cualquier otro método. Como los mensajes no necesitan transmitirse en tiempo presente, son posibles implantaciones de SET eficientes basadas en correo electrónico. Tarjetas de Débito A diferencia de las tarjetas de crédito, las tarjetas de débito requieren un PIN (número de identificación personal). El usuario debe tener previamente depositado en su cuenta bancaria el dinero necesario para la compra que va a realizar, y los pagos no pueden ser financiados en cuotas. Las tarjetas de débito funcionan a través de dispositivos físicos capaces de leer la información almacenada en su banda magnética. En rigor, y por este motivo, no son utilizadas actualmente para el comercio electrónico, pues sería necesario que cada cliente tuviera el hardware necesario para leer y validar la tarjeta. Sin embargo, muchas empresas han desarrollado soluciones de pago inspiradas en este sistema, que aunque no se ajustan perfectamente a esta definición, son consideradas tarjetas de débito. Apunte_4 12

13 En esta línea está el llamado "efectivo electrónico". Se trata de dinero virtual, pero con las mismas ventajas del dinero ordinario: anónimo, no puede ser rastreado, puede ser dividido en distintos montos, puede ser usado por menores y por cualquier persona sin necesidad de que tenga una cuenta bancaria. Por supuesto, también tiene las mismas desventajas (como la posibilidad de ser falsificado). Para que exista el dinero electrónico es necesario una entidad financiera que lo emita y lo respalde, y comerciantes que lo acepten como dinero "real". Varias organizaciones financieras en todo el mundo han desarrollado soluciones basadas en el concepto de "efectivo electrónico" y cada modelo presenta distintivas particularidades según la región donde se aplica. En el plano internacional se han destacado emprendimientos como: CyberCoins y DigiCash. En nuestra región geográfica, Novacash, que es una tarjeta de débito argentina que se publicita como "El efectivo digital". Novacash es una tarjeta de débito prepaga que sirve para realizar compras por Internet de modo anónimo. El cliente debe comprar la tarjeta en una sucursal "física" de alguno de los comercios adheridos (Grimoldi, Musimundo, etc.) y activarla. La activación consiste en "cargarla con dinero" y validarla con un PIN. El cliente elige la suma de efectivo que derivará a la tarjeta y seguidamente tendrá que abonarlo. El vendedor ingresa en la tarjeta el monto recibido y extiende un comprobante. Inmediatamente, el cliente ingresa un numero de PIN para la tarjeta a través de un dispositivo electrónico que le es proporcionado. Luego de esto, el usuario ya está en condiciones de comprar por Internet de una forma anónima y segura. El usuario sólo podrá comprar hasta la cantidad de dinero que tenga almacenado en la tarjeta, pero podrá recargarla cuantas veces quiera. Además, sólo podrá comprar en los comercios adheridos a Novacash (ya que son los únicos que reconocen ese débito como dinero). Aunque la red Novacash es todavía pobre, la solución que plantea para las compras electrónicas locales es muy prometedora y es de esperar que la cantidad de comercios adheridos crezca en el futuro cercano. La principal ventaja de este sistema es que uno no puede gastar más dinero que el que tiene almacenado en la tarjeta, las posibilidades de abusos o estafas son pocas y casi nulas si el usuario sabe administrar las tarjetas con inteligencia. Novacash permite transferir fondos entre tarjetas, por lo cual un cliente puede tener una tarjeta maestra desde donde administra sus fondos y varias tarjetas "satélite" a las que deriva la cantidad exacta de dinero que quiere gastar en una compra determinada. Otra característica prometedora es que los usuarios de Novacash pueden ser menores de edad o gente al margen del sistema financiero. En el momento de realizar una compra, cuando el cliente está en el sitio web de un comercio adherido y ya tiene elegido el producto, al escoger el modo de pago Novacash, es redireccionado a un servidor seguro donde se le solicita su número de tarjeta y de PIN. Se le consulta sobre el monto a pagar y si el cliente está de acuerdo y hay suficiente dinero acreditado, tras pulsar el botón "Aceptar" es enviado a una pantalla que confirma la operación y muestra el nuevo saldo de la tarjeta. Pagos Off-line El método más difundido es el Pago Contra Entrega. Es una forma de pago conocida y aceptada por todo el mundo. Es segura tanto para el cliente como para el vendedor. La mercadería se envía al destinatario a través del correo. Para poder recibir el paquete el cliente debe abonar al empleado postal la suma de dinero indicada por el remitente. Luego, el Correo reembolsa al remitente lo cobrado mediante un giro postal. En la Argentina, el valor de este servicio es de un 4% del monto a cobrar. - La ventaja de este sistema es que el vendedor recibe el dinero directamente del Correo y no necesita hacer un seguimiento o validación de cada cliente para asegurarse de que pague. - La desventaja principal es que mercaderías muy voluminosas o pesadas encarecen el precio final del producto de un modo dramático. Otro método utilizado con menos éxito que el Pago Contra Reembolso es, el Depósito Previo en Cuenta Bancaria. Junto con su oferta de productos y servicios, el vendedor publica en su sitio web una lista de Sucursales Bancarias donde es posible depositar dinero en una cuenta determinada. En general, el procedimiento de compra es así: Apunte_4 13

14 El cliente elige un producto y completa un formulario con todos sus datos necesarios, como datos personales, dirección donde quiere recibir la mercadería, etc. Después de pulsar el botón "Aceptar", una aplicación envía la información del formulario por al vendedor. Simultáneamente el cliente es redireccionado a una página donde están los datos de la cuenta bancaria, la cantidad de dinero que debe depositar y la lista de sucursales donde puede hacerlo. El cliente elige la sucursal más cercana y realiza el depósito en ventanilla. Luego envía por fax o correo al vendedor una copia del comprobante de depósito. El vendedor envía al cliente la mercadería por la vía que acordaron previamente. Aunque no resulte un método que logre entusiasmar a los nuevos usuarios, puede ser muy efectivo con aquellos clientes con los cuales ya hemos establecido relaciones de confianza, sobre todo si se trata de cobros regulares como una suscripción o una membresía que debe ser renovada cada cierto tiempo. Una variante del Depósito Bancario es el Giro Bancario. Aquí el cliente informa a su Banco que transfiera la cantidad de dinero pactada desde su cuenta a la cuenta del vendedor (que suele pertenecer a otro Banco). Ambas entidades financieras cobran comisiones sobre los fondos transferidos. Finalmente, está la opción de Giros Postales o envío de dinero a través de empresas especializadas como Western Union. El cliente debe acudir a alguna de las sucursales y girar el dinero a nombre del vendedor. La transferencia es inmediata. El cliente notifica al vendedor por el número de operación y el vendedor entrega la mercadería en las condiciones pactadas. Logística Atomos y Bytes La llamada Logística de E-commerce tiene que ver con todos los procesos relacionados al almacenamiento, distribución y transporte de mercaderías, desde el vendedor al consumidor final. En algunos casos también suele incluir el cobro de la mercadería, por ejemplo, cuando el cliente abona contra entrega. Existe una diferencia importante en cuanto al tipo de solución que se debe aplicar y está dada por el soporte de nuestro producto. Las mercaderías soportadas en átomos requieren infraestructura que es innecesaria para las mercaderías soportadas en bytes, y viceversa. Esta diferencia influye en forma dramática sobre el precio final de cada producto. Los átomos (muebles, flores, electrodomésticos, artesanías, etc.) ocupan espacio, pesan y deben atravesar fronteras físicas cuando son despachados. Esto los hace muy propensos a cargar y cargar impuestos. También exigen fuerza de trabajo humana para moverlos, almacenarlos y embalarlos. Cuando se suman todas las cargas impositivas y de intermediarios, y principalmente si no se ha planificado una estrategia de logística, tratar de vender átomos por Internet puede parecer bastante desolador. Sin embargo, hay algo que los átomos tienen que los bytes carecen, y es: que la gente los prefiere. Cuando el consumidor tiene que optar entre un mismo producto soportado en átomos o bytes siempre va a tener preferencia por el primero. A la gente le gusta comprar cosas que pueda ver, coleccionar y acariciar de vez en cuando. La psicología de la propiedad funciona mejor sobre los átomos que sobre los bytes, por lo cual, aunque un producto resulte encarecido por su soporte puede terminar siendo más rentable. Los átomos necesitan ser: 1. Ordenados y almacenados en un depósito. 2. Inventariados para controlar el stock. 3. Armados en paquetes y vinculados a la documentación pertinente (destino, factura, etc.). 4. Transportados hasta el cliente y susceptibles de seguimiento. 5. Asegurados por robo, daños y devoluciones. Se puede recurrir a un único socio logístico que resuelva todas o parte de las etapas del proceso que no son fáciles de absorber. Todas las empresas de correo importantes tienen planes de logística para e- commerce que contemplan soluciones para la totalidad del proceso. Otra alternativa pasa por vincularse con diferentes socios para cada etapa en particular, pero eso depende de la estrategia y el plan general del sitio web. Apunte_4 14

15 Los bytes (contenidos, traducciones, software, etc.) tienen la enorme ventaja de poder ser transmitidos al cliente en tiempo real inmediatamente después de efectivizada la compra. Generalmente tienen el beneficio de la reducción de impuestos en las operaciones internacionales. La principal desventaja en la venta de bytes es que son productos vulnerables. Incluso la mejor protección puede ser violada y en consecuencia el material puede ser alterado, redistribuido o plagiado. Atención al cliente Internet ofrece múltiples herramientas para resolver el tema de Atención al Cliente. El soporte mediante es un método económico, veloz y muy difundido. Sin embargo, tal vez por esta urgencia en los procesos que impone la Red, los clientes prefieren cada vez más los métodos inmediatos o interactivos. En primer lugar, todo sitio web debe contar con una sección de FAQs (Respuestas a Preguntas Frecuentes), o un manual de especificaciones o de uso, según el caso. Esto se establece para despejar las inquietudes más comunes de los usuarios y como una primera alternativa adonde acudir en caso de dudas. A partir de aquí, es conveniente instalar una serie de herramientas que colaboren con el usuario desde lo general a lo particular. Un foro de consultas es el siguiente paso lógico. El usuario puede publicar su inquietud y esperar respuesta tanto desde la empresa como de otros visitantes, además puede leer las preguntas y respuestas de otros usuarios sobre casos particulares. Un salón de chat permite que el usuario converse, en tiempo real, tanto con nosotros como con otros navegantes conectados. La práctica demuestra que los navegantes son solidarios entre sí y tienden a ayudarse, por lo que descubriremos que varios de nuestros usuarios pueden terminar comportándose como si fueran parte de nuestro staff de atención al cliente. La alternativa más personalizada es la videoconferencia. Mediante programas como Netmeeting, nuestro cliente puede mantener una videoconferencia con nosotros en la que podrá vernos y escucharnos en forma totalmente personal, mientras despejamos sus dudas. Apunte_4 15