Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES EN LA SEGURIDAD DE UN COMERCIO ELECTRÓNICO5 9.2. HERRAMIENTAS DE PROTECCIÓN DE UN E-COMMERCE O COMERCIO ELECTRÓNICO... 5 9.3. CERTIFICADOS... 6 9.4. INFRAESTRUCTURA DE CLAVE PÚBLICA O PKI... 11 10. ARCHIVO... 11 11. DEFINICIONES... 11 12. FORMATOS Y REFERENCIAS... 11 FECHA DE ENTRADA EN VIGOR: Realizado: Revisado y aprobado: 1
1. TABLA RESUMEN SECTORES SUBSECTOR/ES ACTIVIDAD/ES GUÍA/S ACTIVIDAD/ES TIPOLOGÍA DEL PROCESO PROCESO RESPONSABLE PROCESO PROCESOS RELACIONADOS SERVICIOS TELEMÁTICOS Y NUEVAS TECNOLOGÍAS INTERNET COMERCIO ELECTRÓNICO COMERCIO ELECTRÓNICO ESPECÍFICO SEGURIDAD DE LA INFORMACIÓN PROPIETARIO/GERENTE PLANIFICACIÓN Y EVALUACIÓN ENTRADAS: NECESIDAD DE UTILIZAR HERRAMIENTAS PARA QUE LA TRANSMISIÓN DE DATOS SE RESPONSABLE: GERENTE EFECTÚE CON UNOS MÍNIMOS DE SEGURIDAD PARA LOS USUARIOS SALIDAS: LA ACTIVIDAD DEL COMERCIO ELECTRÓNICO SE REALIZA CON SEGUIRDAD EN LA TRANSMISIÓN DE DATOS RESPONSABLE: GERENTE 2. OBJETO En este procedimiento se describen los diferentes mecanismos que se pueden emplear para que las operaciones comerciales se realicen con seguridad en la información. 3. ALCANCE Este proceso comienza con la aplicación de herramientas de seguridad desde que un usuario se conecta a la red o sitio web donde se aloja el comercio electrónico, incluyendo el intercambio de información desde este al usuario final. Actividades a las que afecta este proceso: Gabinetes de programación 2
4. RESPONSABILIDADES Gerente: responsable máximo del negocio y, por tanto, el responsable de velar por la protección de las operaciones comerciales en un comercio electrónico. 5. ENTRADAS El proceso comienza con la necesidad de proteger las operaciones en un comercio electrónico para que los usuarios/clientes tengan confianza y seguridad al realizar operaciones comerciales en él. 6. SALIDAS La finalización del proceso se obtiene consiguiendo generar confianza en los usuarios/clientes ya que estos realizarán operaciones en la web del comercio electrónico sabiendo que sus datos están totalmente protegidos. 7. PROCESOS RELACIONADOS Planificación y evaluación. 3
8. DIAGRAMA DE FLUJO NOTA: El número que aparece en cada etapa indica el punto del apartado 9 del procedimiento, DESARROLLO al que pertenece 4
9. DESARROLLO 9.1. COMPONENTES EN LA SEGURIDAD DE UN COMERCIO ELECTRÓNICO Unos de los aspectos más importantes para que un comercio electrónico tenga éxito es hacer que éste resulte fiable para los usuarios. La seguridad en un ambiente de comercio electrónico involucra las siguientes características: Privacidad: que las transacciones no sean visualizadas por nadie. Integridad: que los datos o transacciones como números de tarjeta de crédito o pedidos no sean alterados. No Repudio: posibilita que el que generó la transacción se haga responsable de ella y brinda la posibilidad de que éste no la niegue. Autentificación: que las partes que intervienen en la transacción sean leales y válidas. Facilidad: que las partes que intervienen en la operación no encuentren dificultad al hacer la transacción. 9.2. HERRAMIENTAS DE PROTECCIÓN DE UN E- COMMERCE O COMERCIO ELECTRÓNICO Las estructuras de seguridad de un sitio de comercio electrónico no varían con las de un sitio tradicional, pero ha de implementarse el protocolo SSL en la mayoría de los casos para tener un canal seguro en las transacciones. 9.2.1. FIREWALLS (CORTA FUEGOS) El Firewall es una herramienta preventiva contra ataques que realiza una inspección del tráfico entrante y saliente. Esto impide que servicios o dispositivos no autorizados accedan a ciertos recursos y, de esta manera, protegernos contra ataques de denegación de servicios. Firewall puede ser por Software o hardware o bien combinaciones de éstos. 5
9.2.2. SSL Y SUS APLICACIONES El "Secure Socket Layer" (SSL) es un protocolo de seguridad utilizado para la trasmisión de datos punto a punto por Internet. Utiliza mecanismos de encapsulación, encriptación y autentificación entre el cliente y el servidor. Este método de seguridad es muy destacado y utilizado ya que, por cada conexión que se hace, el servidor envía una clave diferente. Esta política de envío de claves hace que en caso de que alguien consiga desencriptar la clave, lo único que podrá hacer es cerrar la conexión que corresponde a esa clave, pero en ningún caso será aplicable a conexiones siguientes. 9.3. CERTIFICADOS Un Certificate Authority (CA) es una empresa que emite certificados. El certificado debe ser emitido por empresas externas, estos certificados aportan autenticidad a los clientes o a las empresas. Cuando nos conectamos a un sitio certificado tenemos la certeza de que este sitio es quien dice ser, de manera que no existen suplantaciones de identidad. Además de esta emisión de certificados una CA será la responsable también de: Revocar certificados y crear CRLs (Certificate Revocation List) que son listas de certificados ya no válidos. Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas de las peticiones de certificación como así también la revocación. Entonces un usuario que desea solicitar un certificado de clave pública se debe dirigir a una RA autorizada por una CA. COMPONENTES DE UN CERTIFICADO Los certificados han de contener la siguiente información: Un dominio para el cual se expidió. Dueño del Certificado. Domicilio del Dueño. Y la fecha de validez del mismo. A efectos prácticos se realizará un ejemplo real, en este caso la compra de un libro. 6
Primer paso: Conectarse a la web donde el comercio se encuentra alojado, http:/www.xxx.com/ Importante detallar que la barra de estado del Internet Explorer nos está indicando que estamos en un sitio web de la red de Internet. Antes de realizar ningún tipo de transacción dónde sea necesario proteger la trasmisión de datos el aspecto de la pantalla será el de una página web normal tal y como se muestra en la imagen anterior. Segundo paso: A continuación se nos indica que rellenemos los datos necesarios para realizar el envío y pago de las compras efectuadas. En este punto, la información que se envía desde el cliente (comprador) al servidor (vendedor) es sensible, ya que por internet viajan los datos necesarios para realizar el pago de la compra. Por ello, tenemos que estar seguros de que el servidor es quien realmente dice ser. Esto se consigue a través del certificado de servidor (indicado con el pequeño candado de la parte inferior izquierda de la pantalla) de manera que los intercambios de datos e información se están realizando en un servidor seguro y que, por tanto, se pueden incluir los datos con total confianza. Una verificación de lo que se está afirmando se puede obtener haciendo doble clic sobre dicho candado amarillo y se encontrará más información sobre el certificado del servidor. 7
Aquí se encuentra la información básica del certificado, ésta nos confirma que sí se conecta al servidor correcto, el certificado fue emitido por un CA, es decir, una tercera empresa que no tiene que ver nada con la empresa en la cual se realiza la operación comercial. Para más información en la pestaña de detalles se encuentra más información técnica sobre el certificado: 8
El algoritmo utilizado, la versión de SSL, el algoritmo de identificación, la fecha de validez que posee, entre otros. La fuerza de cifrado que está utilizando RSA (1024 bits) que es un cifrado muy fuerte. El esquema gráfico de cómo sería la comunicación entre el usuario web y el servidor al que ha accedido para realizar la transacción comentada en el ejemplo anterior es el siguiente: 9
Pasos seguidos: Hito 1: el usuario se conecta al hito 2 Hito 2: son mostrados todos los productos que pueden ser comprados y, según la selección deseada, se accede a un sitio seguro. En el hito 2 contacta con el hito 3, el cual envía al usuario la dirección del certificado para el hito 2, donde verifica su validez. Utilizar SSL posee beneficios grandes, ya que es un estándar, no es necesario instalar ningún software adicional de lado del cliente y tampoco de lado del servidor, pues la mayoría de los servidores web como son IIS (Internet Information Server) y Apache ya poseen soporte para SSL conexiones seguras. Los navegadores de Internet más populares como lo son el Internet Explorer y el Netscape también ya poseen soporte para el SSL. También da una prueba de que su servidor web es su servidor web, es decir que está protegiendo la identidad de su sitio web. El 95 % de los pagos de Internet se realizan utilizando hoy en día SSL. SSL no depende de ningún sistema operativo, es independiente, puede ser utilizado sobre cualquier plataforma. En el Hito 3 el CA se encarga de: - Emitir el Certificado. - Validar la autenticidad del Emisor y Receptor (Punto 1 y 2). - Mantener una base de datos con los certificados validados. Esta sesión por lo tanto es privada, íntegra, soporta no repudio y también autenticación. 10
9.4. INFRAESTRUCTURA DE CLAVE PÚBLICA O PKI Está basada en criptografía de clave pública, que permite la gestión de certificados. Una PKI es una fusión de soluciones dadas en hardware, software y políticas de seguridad. PKI como se ha nombrado anteriormente está dada por la utilización de Certificados Digitales o bien un documento digital que identifica cualquier transacción. Aplicaciones habilitadas por PKI: - Comunicación entre servidores - Correo Electrónico - EDI (Intercambio Electrónico de Datos) - Transacciones con tarjeta de Créditos - Redes Virtuales Privadas (VPN) 10. ARCHIVO No aplica. 11. DEFINICIONES SSL: Secure Socket Layers, protocolo de conectores o canal seguro, son utilizados en los servidores Web para proporcionar seguridad a las comunicaciones personales y de negocios que usen internet. Encriptar: Es un método de protección de información. Aplicar operaciones matemáticas a un texto para convertirlo en información imposible de leer, en un lenguaje cifrado. 12. FORMATOS Y REFERENCIAS No aplica. 11