1. Defina los protocolos más usados en el Comercio Electrónico.

Secure Socket Layer (SSL): es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash.

Secure Electronic Transaction (SET): un protocolo estandarizado y respaldado por la industria, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet.

2. ¿ Cuál es la función del protocolo SSL Handshake?

Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes seis fases:

La fase Hola: usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación.

La fase de intercambio de claves: en la que intercambia información sobre las claves, de modo que al final ambas partes comparten una clave maestra.

La fase de producción de clave de sesión: que será la usada para cifrar los datos intercambiados.

La fase de verificación del servidor: presente sólo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor.

La fase de autenticación del cliente: en la que el servidor solicita al cliente un certificado X.509 (si es necesaria la autenticación de cliente).

La fase de fin: que indica que ya se puede comenzar la sesión segura.

3. ¿ Cuás es la función del protocolo SSL Record?

El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. La porción de datos del protocolo tiene tres componentes:

MAC-DATA: el código de autenticación del mensaje.
ACTUAL-DATA: los datos de aplicación a transmitir.
PADDING-DATA: los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque.

4. ¿Cuáles son los servicios utilizados por el protocolo SET para proteger las transacciones?

El protocolo SET ofrece una serie de servicios que convierten las transacciones a través de Internet en un proceso seguro y fiable para todas la partes implicadas:

Autenticación: todas las partes involucradas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden verificar mutuamente sus identidades mediante certificados digitales. De esta forma, el comerciante puede asegurarse de la identidad del titular de la tarjeta y el cliente, de la identidad del comerciante. Se evitan así fraudes debidos a usos ilícitos de tarjetas y a falsificaciones de comercios en Internet (web spoofing), que imitan grandes web comerciales. Por su parte, los bancos pueden asimismo comprobar la identidad del titular y del comerciante.

Confidencialidad: la información de pago se cifra para que no pueda ser espiada mientras viaja por las redes de comunicaciones. Solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado o a qué dirección deben enviarse, debe recurrirse a un protocolo de nivel inferior como SSL.

Integridad: garantiza que la información intercambiada, como el número de tarjeta, no podrá ser alterada de manera accidental o maliciosa durante su transporte a través de redes telemáticas. Para lograrlo se utilizan algoritmos de firma digital, capaces de detectar el cambio de un solo bit.

Intimidad: el banco emisor de la tarjeta de crédito no puede acceder a información sobre los pedidos del titular, por lo que queda incapacitado para elaborar perfiles de hábitos de compra de sus clientes.

Verificación inmediata: proporciona al comerciante una verificación inmediata, antes de completarse la compra, de la disponibilidad de crédito y de la identidad del cliente. De esta forma, el comerciante puede cumplimentar los pedidos sin riesgo de que posteriormente se invalide la transacción.

No repudio para resolución de disputas: la mayor ventaja de SET frente a otros sistemas seguros es la adición al estándar de certificados digitales (X.509v3), que asocian la identidad del titular y del comerciante con entidades financieras y los sistemas de pago de Visa, MasterCard, etc. Estos certificados previenen fraudes para los que otros sistemas no ofrecen protección, como el repudio de una transacción (negar que uno realizó tal transacción), proporcionando a los compradores y vendedores la misma confianza que las compras convencionales usando las actuales redes de autorización de créditos de las compañías de tarjetas de pago.

El protocolo TLS surgió para corregir las deficiencias de SSL v3, el cual permite una compatibilidad total con SSL siendo un protocolo público, estandarizado por el IETF.

TLS busca integrar en un esquema tipo SSL al sistema operativo, a nivel de la capa TCP/IP, para que el efecto "tunel" que se implementó con SSL sea realmente transparente a las aplicaciones que se están ejecutando. Parte de las mismas bases que SSL, pero se diferencia de él en varios aspectos fundamentales:

1. En el paso CertificateRequest del protocolo Handshake los clientes sólo contestan con un mensaje si son SSL.

2. Las claves de sesión se calculan de forma diferente.

3. A la hora de intercambiar las claves, TLS no soporta el algoritmo simétrico Fortezza, que sí es soportado por SSL. Esto es debido a la búsqueda de un código público, ya que Fortezza es de propiedad privada.

4. TLS utiliza dos campos más en el MAC que SSL, lo que lo hace más seguro.

El protocolo Secure HTTP fué desarrollado por Enterprise Integration Technologies, EIT, y al igual que SSL permite tanto el cifrado de documentos como la autenticación mediante firma y certificados digitales, pero se diferencia de SSL en que se implementa a nivel de aplicación. Se puede identificar rápidamente a una página web servida con este protocolo porque la extensión de la misma pasa a ser .shtml en vez de .html como las páginas normales.

El mecanismo de conexión mediante S-HTTP, que ahora se encuentra en su versión 1.1, comprende una serie de pasos parecidos a los usados en SSL, en los que cliente y servidor se intercambian una serie de datos formateados que incluyen los algoritmos criptográficos, longitudes de clave y algoritmos de compresión a usar durante la comunicación segura.

En cuanto a estos algoritmos, lo usados normalmente son RSA para intercambio de claves simétricas, MD2, MD5 o NIST-SHS como funciones hash de resumen, DES, IDEA, RC4 o CDMF como algoritmos simétricos y PEM o PKCS-7 como algoritmos de encapsulamiento.

A diferencia de SSL, el protocolo S-HTTP está integrado con HTTP, actuando a nivel de aplicación, como ya hemos dicho, negociándose los servicios de seguridad a través de cabeceras y atributos de página, por lo que los servicios S-HTTP están sólo disponibles para el protocolo HTTP. Recordemos que SSL puede ser usado por otros protocolos diferentes de HTTP, pués se integra a nivel de shocked.

7. ¿ Cuás puede ser la naturaleza de los algoritmos criptográficos empleados por el protocolo SET para encriptación, emisión de certificados y generación de firmas digitales?

Los algoritmos criptográficos empleados por SET para los procesos de encriptación, emisión de certificados y generación de firmas digitales son de doble naturaleza. Por un lado DES (Data Encryption Standard) algoritmo de clave privada (simétrica) que se emplea para garantizar la confidencialidad de los mensajes transmitidos; y RSA (iniciales aleatorias) algoritmo de clave pública (asimétrica) que se utiliza para garantizar la integridad de los datos y la autenticidad de los participantes.

Por otro lado, la fórmula de intercambio seguro de claves estriba en la utilización de certificados de autenticidad que son emitidos por las Autoridades Certificadoras (Certificate Authorities, CA), entidades de confianza para todas las partes intervinientes. Un certificado de autenticidad contiene la clave pública de la persona o entidad para la que se emite, junto con información propia, todo ello firmado electrónicamente por la CA. Estos certificados se emiten para cada uno de los agentes participantes en el SET.

8. ¿ Cuáles son las capas de desarrollo de la plataforma de comercio electrónico Acceso Sistemas de Información?

El desarrollo se organiza en 3 capas:

JSP: Genera el interfaz de usuario (HTML) que se envía al navegador.
Clases de Interfaz: Encapsula todo lo relativo a la visualización de los distintos objetos, para limitar la complejidad de las páginas JSP.
EJB: Implementa la lógica de negocio.

9. ¿ Cuáles son los pasos para comenzar en el comercio electrónico con Microsoft Great-Plains?

Construir una tienda en la Web

Cargar información de inventario

Descargar las órdenes

Desarrollar promociones vía e-mail

Obtener una visión exacta del negocio

Integrar el Comercio Electrónico

10. Mencione las soluciones ofrecidas por IBM WebSphere Software

WebSphere for Commerce - Soluciones B2B

WebSphere for Commerce - Soluciones B2C

WebSphere for Commerce - Soluciones de Portal

WebSphere for Commerce - Soluciones Digital Media

11. Defina osCommerce

osCommerce es una solución de comercio electrónico online desarrollado bajo software libre. Un sistema sencillo de mantener y administrar, que con el minimo esfuerzo permite disponer de una tienda virtual completa, este artículo habla además de sus características y ventajas.

osCommerce combina las soluciones de código abierto gratuitas y una plataforma de comercio electrónico gratis, desarrollada completamente en PHP, para servidores web Apache y con el sistema de base de datos MySQL.

No requiere nada especial para su funcionamiento, osCommerce corre bajo PHP3 y PHP4, solo necesitas un servidor con soporte para PHP y MySQL, bajo plataformas Linux, Solaris, BSD y Microsoft Windows.

12. ¿ Cómo puede definirse el Intercambio Electrónico de Datos (EDI) ?

EDI, Intercambio Electrónico de Datos, es un conjunto de procedimientos y normas que permiten la comercialización, control y registro de las actividades (transacciones) electrónicas. Es el intercambio electrónico de datos y documentos de computador a computador, en un formato estándar universalmente aceptado, que se realiza entre una empresa y sus Asociados Comerciales. Para quien haya implementado el comercio electrónico en su empresa, el EDI, es un componente vital y estratégico para el intercambio seguro y a tiempo de la información de negocios.

El EDI extrae directamente la información de los programas y transmite los documentos de negocios en un formato comprendido por el computador, a través de líneas telefónicas u otros mecanismos de telecomunicaciones, sin el uso del papel. Esta información se recibe y se carga automáticamente en las redes de los Asociados Comerciales, en cortísimo tiempo y sin tipear ni procesar manualmente los datos recibidos.