PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0



Documentos relacionados
Seguridad en la transmisión de Datos

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones.

Ing. Cynthia Zúñiga Ramos

CONFIGURACIÓN PARA CORREO ELECTRÓNICO SEGURO CON MOZILLA

Seguridad en Internet

Traslado de Copias y Presentación de Escritos. Manual de Usuario V.3.1

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Manual Instalación de certificados digitales en Outlook 2000

CONFIGURACIÓN CERTIFICADO DIGITAL EN OUTLOOK 2010

CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK 2013

Guía sobre los cambios del nuevo sitio Web de Central Directo

Sede electrónica. Requisitos Generales de Configuración del Almacén de Certificados

Transport Layer Security (TLS) Acerca de TLS

Introducción a la Firma Electrónica en MIDAS

Guía de Obtención de Certificados para la Facturación Electrónica en Adquira Marketplace.

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

Instalación de certificados digitales

Software Criptográfico FNMT-RCM

Proyecto de cifrado de tráfico SMTP entre MTAs RedIRIS

AGESIC Área de tecnología

Infraestructura Extendida de Seguridad IES

INSTALACIÓN CERTIFICADO DE SEGURIDAD DEL SITIO WEB

MANUAL MONITOR EMISOR

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa Configuración Internet Explorer para ActiveX...

qué es comercio electrónico?

Firma Digital. Cómo se realiza la solicitud de certificados que posibilitan la firma digital de documentos?

Glosario de términos

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

Transferencia segura de Datos en Línea con SSL

TRANSFERENCIA DE FICHEROS FTP

1. CONFIGURACIÓN Y DESARROLLO FACTURACIÓN ELECTRÓNICA. a. CONFIGURACION DE SERVIDORES b. CERTIFICADO DIGITAL c. MODULO GENERADOR DOCUMENTOS XML d.

Gestión de Tributos Plataforma de pago y presentación

MANUAL FIRMADO DIGITAL A TRAVES DE MICROSOFT WORD 2010

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

Utilización de la firma electrónica

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Criptografía. Por. Daniel Vazart P.

Resumen del trabajo sobre DNSSEC

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Seguridad de la información en SMart esolutions

POLÍTICAS DE SEGURIDAD DE CAJA SMG

MANUAL DE USUARIO - SECURE CLIENT - INTERNACIONAL

MANUAL DE USUARIO DE CUENTAS DE CORREO

Guía rápida de la Oficina Virtual Área Web y Administración Electrónica

MANUAL PLATAFORMA EVISADO

MANUAL PARA FIRMAR ARCHIVOS CON CERTIFIRMA PDF PKCS#12 Y TOKEN VERIFICACION DE ARCHIVOS POR MEDIO DE ADOBE READER

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Encriptación en Redes

SALA DE FIRMAS. Manual de usuario. 20 de febrero de Colegio de Registradores de España. C/ Diego de León, Madrid

AGESIC Gerencia de Proyectos

Uso de la Firma Electrónica. en la. Universidad de Granada

Manual del usuario del Módulo de Administración de Privilegios del Sistema Ingresador (MAPSI)

ESCUELA POLITECNICA DEL EJERCITO

MANUAL DE CONFIGURACIÓN DEL CERTIFICADO DIGITAL CON EL CLIENTE DE CORREO LOTUS NOTES VERSIÓN 8.5

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet

Introducción a los certificados digitales

01-U GUIA DE USUARIO PARA LA FIRMA DIGITAL Y CIFRADO DE UN CORREO ELECTRÓNICO EN OUTLOOK EXPRESS

Resolución Rectoral Nº ULP ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº ULP-2010

FIRMA DIGITAL. Claudia Dacak Dirección de Firma Digital Dirección General de Firma Digital y Comercio Electrónico

Creación del comercio electrónico para la empresa Donegear.com. Anexo F Características de los Sistemas de Pago

Principios de Privacidad y Confidencialidad de la Información

Política de confianza

Guía para verificar documentos firmados digitalmente.

DISPOSITIVO DE BANDA ANCHA

Ver declaración de aplicabilidad A11.7.1

Manual de configuración de la red inalámbrica. eduroam. en Microsoft Windows 7

Banco de la República Bogotá D. C., Colombia

Servinómina. Servicio de Visualización de Nóminas. (Servinómina) Agosto de Página 1 de 8 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS

1. Qué es un Certificado Digital? 2. Cómo se obtiene el Certificado Digital? 3. Verificar la instalación del Certificado Digital.

MANUAL PARA RADICACIÓN Y ADMINISTRACIÓN ELECTRÓNICA DE FACTURAS APLICA PARA PROVEEDORES DEL BSC Y DEMÁS GRUPOS DEL BANCO

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Entidad Certificadora y Políticas Pertinentes

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento

ALTA EN LA WEB E INSCRIPCIÓN AL CONGRESO Y LA CENA DE CLAUSURA

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

AVA-SECSystemWeb. Introducción Características del producto Especificaciones Técnicas

SOLICITUD DE ALTA(A), REHABILITACIÓN(R) Y BAJA(B)

MANUAL DE REGISTRO Y ACREDITACIÓN

Manual de Usuario para SEPE Manual de usuario de configuración de Navegadores para firma en la Sede Electrónica del SEPE

Oficina Virtual Manual del usuario

Preguntas Frecuentes Pedidos en MYHERBALIFE.COM Costa Rica, Agosto-2012

Petición de certificados de servidor con IIS

Uso de la Firma Electrónica. en la. Universidad de Granada

etpv Deutsche Bank Guía descripción

MANUAL DE CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK 2002

Manual del Alumno de la plataforma de e-learning.

Guía de Apoyo Project Web Access. (Jefe de Proyectos)

Resumen de los protocolos de seguridad del Registro Telemático

Servicio de Alta, Baja, Modificación y Consulta de usuarios Medusa

Dirección de Sistemas de Información Departamento CERES

Teléfono: Telefax:

Para detalles y funcionalidades ver Manual para el Administrador

MANUAL DE USUARIO DE CUENTAS DE CORREO

Transcripción:

Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES EN LA SEGURIDAD DE UN COMERCIO ELECTRÓNICO5 9.2. HERRAMIENTAS DE PROTECCIÓN DE UN E-COMMERCE O COMERCIO ELECTRÓNICO... 5 9.3. CERTIFICADOS... 6 9.4. INFRAESTRUCTURA DE CLAVE PÚBLICA O PKI... 11 10. ARCHIVO... 11 11. DEFINICIONES... 11 12. FORMATOS Y REFERENCIAS... 11 FECHA DE ENTRADA EN VIGOR: Realizado: Revisado y aprobado: 1

1. TABLA RESUMEN SECTORES SUBSECTOR/ES ACTIVIDAD/ES GUÍA/S ACTIVIDAD/ES TIPOLOGÍA DEL PROCESO PROCESO RESPONSABLE PROCESO PROCESOS RELACIONADOS SERVICIOS TELEMÁTICOS Y NUEVAS TECNOLOGÍAS INTERNET COMERCIO ELECTRÓNICO COMERCIO ELECTRÓNICO ESPECÍFICO SEGURIDAD DE LA INFORMACIÓN PROPIETARIO/GERENTE PLANIFICACIÓN Y EVALUACIÓN ENTRADAS: NECESIDAD DE UTILIZAR HERRAMIENTAS PARA QUE LA TRANSMISIÓN DE DATOS SE RESPONSABLE: GERENTE EFECTÚE CON UNOS MÍNIMOS DE SEGURIDAD PARA LOS USUARIOS SALIDAS: LA ACTIVIDAD DEL COMERCIO ELECTRÓNICO SE REALIZA CON SEGUIRDAD EN LA TRANSMISIÓN DE DATOS RESPONSABLE: GERENTE 2. OBJETO En este procedimiento se describen los diferentes mecanismos que se pueden emplear para que las operaciones comerciales se realicen con seguridad en la información. 3. ALCANCE Este proceso comienza con la aplicación de herramientas de seguridad desde que un usuario se conecta a la red o sitio web donde se aloja el comercio electrónico, incluyendo el intercambio de información desde este al usuario final. Actividades a las que afecta este proceso: Gabinetes de programación 2

4. RESPONSABILIDADES Gerente: responsable máximo del negocio y, por tanto, el responsable de velar por la protección de las operaciones comerciales en un comercio electrónico. 5. ENTRADAS El proceso comienza con la necesidad de proteger las operaciones en un comercio electrónico para que los usuarios/clientes tengan confianza y seguridad al realizar operaciones comerciales en él. 6. SALIDAS La finalización del proceso se obtiene consiguiendo generar confianza en los usuarios/clientes ya que estos realizarán operaciones en la web del comercio electrónico sabiendo que sus datos están totalmente protegidos. 7. PROCESOS RELACIONADOS Planificación y evaluación. 3

8. DIAGRAMA DE FLUJO NOTA: El número que aparece en cada etapa indica el punto del apartado 9 del procedimiento, DESARROLLO al que pertenece 4

9. DESARROLLO 9.1. COMPONENTES EN LA SEGURIDAD DE UN COMERCIO ELECTRÓNICO Unos de los aspectos más importantes para que un comercio electrónico tenga éxito es hacer que éste resulte fiable para los usuarios. La seguridad en un ambiente de comercio electrónico involucra las siguientes características: Privacidad: que las transacciones no sean visualizadas por nadie. Integridad: que los datos o transacciones como números de tarjeta de crédito o pedidos no sean alterados. No Repudio: posibilita que el que generó la transacción se haga responsable de ella y brinda la posibilidad de que éste no la niegue. Autentificación: que las partes que intervienen en la transacción sean leales y válidas. Facilidad: que las partes que intervienen en la operación no encuentren dificultad al hacer la transacción. 9.2. HERRAMIENTAS DE PROTECCIÓN DE UN E- COMMERCE O COMERCIO ELECTRÓNICO Las estructuras de seguridad de un sitio de comercio electrónico no varían con las de un sitio tradicional, pero ha de implementarse el protocolo SSL en la mayoría de los casos para tener un canal seguro en las transacciones. 9.2.1. FIREWALLS (CORTA FUEGOS) El Firewall es una herramienta preventiva contra ataques que realiza una inspección del tráfico entrante y saliente. Esto impide que servicios o dispositivos no autorizados accedan a ciertos recursos y, de esta manera, protegernos contra ataques de denegación de servicios. Firewall puede ser por Software o hardware o bien combinaciones de éstos. 5

9.2.2. SSL Y SUS APLICACIONES El "Secure Socket Layer" (SSL) es un protocolo de seguridad utilizado para la trasmisión de datos punto a punto por Internet. Utiliza mecanismos de encapsulación, encriptación y autentificación entre el cliente y el servidor. Este método de seguridad es muy destacado y utilizado ya que, por cada conexión que se hace, el servidor envía una clave diferente. Esta política de envío de claves hace que en caso de que alguien consiga desencriptar la clave, lo único que podrá hacer es cerrar la conexión que corresponde a esa clave, pero en ningún caso será aplicable a conexiones siguientes. 9.3. CERTIFICADOS Un Certificate Authority (CA) es una empresa que emite certificados. El certificado debe ser emitido por empresas externas, estos certificados aportan autenticidad a los clientes o a las empresas. Cuando nos conectamos a un sitio certificado tenemos la certeza de que este sitio es quien dice ser, de manera que no existen suplantaciones de identidad. Además de esta emisión de certificados una CA será la responsable también de: Revocar certificados y crear CRLs (Certificate Revocation List) que son listas de certificados ya no válidos. Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas de las peticiones de certificación como así también la revocación. Entonces un usuario que desea solicitar un certificado de clave pública se debe dirigir a una RA autorizada por una CA. COMPONENTES DE UN CERTIFICADO Los certificados han de contener la siguiente información: Un dominio para el cual se expidió. Dueño del Certificado. Domicilio del Dueño. Y la fecha de validez del mismo. A efectos prácticos se realizará un ejemplo real, en este caso la compra de un libro. 6

Primer paso: Conectarse a la web donde el comercio se encuentra alojado, http:/www.xxx.com/ Importante detallar que la barra de estado del Internet Explorer nos está indicando que estamos en un sitio web de la red de Internet. Antes de realizar ningún tipo de transacción dónde sea necesario proteger la trasmisión de datos el aspecto de la pantalla será el de una página web normal tal y como se muestra en la imagen anterior. Segundo paso: A continuación se nos indica que rellenemos los datos necesarios para realizar el envío y pago de las compras efectuadas. En este punto, la información que se envía desde el cliente (comprador) al servidor (vendedor) es sensible, ya que por internet viajan los datos necesarios para realizar el pago de la compra. Por ello, tenemos que estar seguros de que el servidor es quien realmente dice ser. Esto se consigue a través del certificado de servidor (indicado con el pequeño candado de la parte inferior izquierda de la pantalla) de manera que los intercambios de datos e información se están realizando en un servidor seguro y que, por tanto, se pueden incluir los datos con total confianza. Una verificación de lo que se está afirmando se puede obtener haciendo doble clic sobre dicho candado amarillo y se encontrará más información sobre el certificado del servidor. 7

Aquí se encuentra la información básica del certificado, ésta nos confirma que sí se conecta al servidor correcto, el certificado fue emitido por un CA, es decir, una tercera empresa que no tiene que ver nada con la empresa en la cual se realiza la operación comercial. Para más información en la pestaña de detalles se encuentra más información técnica sobre el certificado: 8

El algoritmo utilizado, la versión de SSL, el algoritmo de identificación, la fecha de validez que posee, entre otros. La fuerza de cifrado que está utilizando RSA (1024 bits) que es un cifrado muy fuerte. El esquema gráfico de cómo sería la comunicación entre el usuario web y el servidor al que ha accedido para realizar la transacción comentada en el ejemplo anterior es el siguiente: 9

Pasos seguidos: Hito 1: el usuario se conecta al hito 2 Hito 2: son mostrados todos los productos que pueden ser comprados y, según la selección deseada, se accede a un sitio seguro. En el hito 2 contacta con el hito 3, el cual envía al usuario la dirección del certificado para el hito 2, donde verifica su validez. Utilizar SSL posee beneficios grandes, ya que es un estándar, no es necesario instalar ningún software adicional de lado del cliente y tampoco de lado del servidor, pues la mayoría de los servidores web como son IIS (Internet Information Server) y Apache ya poseen soporte para SSL conexiones seguras. Los navegadores de Internet más populares como lo son el Internet Explorer y el Netscape también ya poseen soporte para el SSL. También da una prueba de que su servidor web es su servidor web, es decir que está protegiendo la identidad de su sitio web. El 95 % de los pagos de Internet se realizan utilizando hoy en día SSL. SSL no depende de ningún sistema operativo, es independiente, puede ser utilizado sobre cualquier plataforma. En el Hito 3 el CA se encarga de: - Emitir el Certificado. - Validar la autenticidad del Emisor y Receptor (Punto 1 y 2). - Mantener una base de datos con los certificados validados. Esta sesión por lo tanto es privada, íntegra, soporta no repudio y también autenticación. 10

9.4. INFRAESTRUCTURA DE CLAVE PÚBLICA O PKI Está basada en criptografía de clave pública, que permite la gestión de certificados. Una PKI es una fusión de soluciones dadas en hardware, software y políticas de seguridad. PKI como se ha nombrado anteriormente está dada por la utilización de Certificados Digitales o bien un documento digital que identifica cualquier transacción. Aplicaciones habilitadas por PKI: - Comunicación entre servidores - Correo Electrónico - EDI (Intercambio Electrónico de Datos) - Transacciones con tarjeta de Créditos - Redes Virtuales Privadas (VPN) 10. ARCHIVO No aplica. 11. DEFINICIONES SSL: Secure Socket Layers, protocolo de conectores o canal seguro, son utilizados en los servidores Web para proporcionar seguridad a las comunicaciones personales y de negocios que usen internet. Encriptar: Es un método de protección de información. Aplicar operaciones matemáticas a un texto para convertirlo en información imposible de leer, en un lenguaje cifrado. 12. FORMATOS Y REFERENCIAS No aplica. 11

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback