primera

índices

directorio

banca

b2b

b2c

wap

normativa

fidelización

mail marketing

información

publicidad

 

-

 

Servicios de Internet, marketing y comunicación para su 
empresa, clic aquí

 

con el patrocinio de
Strike Media

 

   

SEGURIDAD | CONFIDENCIAL FEB99-PUBLICO MAR2000

 

El protocolo SET utiliza certificados que permiten autentificar a las partes intervinientes en una transacción

    

temas relacionados

 

 

Seguridad

Transactional Entitlement

La seguridad en Internet es posible

Comunicación segura a través de redes abiertas de información

SET: a favor del comercio electrónico seguro

La firma digital: aspectos técnicos y legales

Tiendas virtuales: problemas y soluciones

¿Es seguro comprar en Internet?

Business to Consumer (B2C)

¿Para qué sirve una página web?

Mejoras en la gestión de compras empleando Internet

La economía digital despega en Europa

Cómo vender perfumes por un millón de dólares

Las empresas españolas afrontan el reto del comercio electrónico

Las subastas electrónicas se ponen de moda

Las reglas de Andersen Consulting para triunfar en la economía digital

Bertelsmann abre tienda en España

Mercados financieros: los nuevos compradores están en Internet

La generación X, un nuevo segmento de mercado

Las grandes librerías intentan hacerse un hueco entre el mercado de la Red

La Bolsa al alcance de todos

    

Comunicación segura a través de redes abiertas de información (I)

Apartados de este documento: (I)  (II)  (y III)

VICENTE ESTEVEZ ESTEVEZ
Director de Desarrollo de Sistemas de la Agencia de Certificación Electrónica

La mayoría de las tecnologías de la información actuales basan su seguridad en la identificación de un nombre y una contraseña. Este sistema es adecuado si se trata de una red cerrada; sin embargo, en el caso de redes abiertas como Internet o InfoViaPlus, no garantiza la seguridad de los datos y por lo tanto limita la oferta de productos y servicios que las entidades financieras pueden ofrecer a sus clientes a través de estos canales.

Como solución a este problema, la Agencia de Certificación Electrónica (ACE) dispone de un servicio para la emisión de certificados digitales X509v3 que cifran la información y garantizan:

  • Autenticación: identificando los participantes en las transacciones.
  • Integridad: asegurando que la información no ha sido alterada durante la transmisión.
  • Confidencialidad: Cifrando la información intercambiada.
  • No Repudio: estableciendo constancia de quién ha intervenido en la transacción.

El sistema de certificación se estructura en base a dos clases de certificados:

  • Certificado de servidor: autentifica al servidor frente al usuario que está accediendo al mismo, pero no autentifica al puesto cliente.
  • Certificado de navegador: autentifica al cliente que se está conectando al servidor, con las funciones de firma y cifrado de los mensajes que envíe. Asimismo, permite el correo electrónico seguro entre usuarios o suscriptores de certificados.

El ámbito de aplicación de los certificados digitales es muy amplio e incluye usos como por ejemplo:

  • PC Banking: los certificados digitales de ACE pueden ser utilizados como alta garantía de identificación de acceso a la red de la entidad financiera por parte del usuario/cliente y aseguran la transferencia de datos en procesos como consulta de saldo, transferencia de fondos, solicitud de tarjetas de crédito/débito, inversiones de capital o apertura de cuentas. Riesgos como el desvío de fondos, variación de los datos o el acceso a información confidencial por una tercera parte externa al proceso son completamente eliminados gracias a esta tecnología.
  • Tarjetas Inteligentes: la incorporación de certificados digitales en estas tarjetas permite la identificación de los titulares en la carga de las tarjetas monedero, el control de acceso a edificios o instalaciones (bancos, hospitales, universidades...) tanto de los clientes/proveedores como de los propios empleados y la confidencialidad de procesos administrativos o consultas de información.
  • Correo Electrónico seguro mediante el cifrado de la información y el uso de firmas digitales para la autenticación de las partes.

Los certificados digitales de la Agencia de Certificación Electrónica están basados en una tecnología denominada de Clave Pública (PKI). En este sistema, cada usuario posee un par de claves: una clave pública (que es de dominio público) y una clave privada (única y confidencial). Si Pedro quiere enviar un mensaje a Ana, éste utiliza la clave pública de Ana para cifrar el mensaje (confidencialidad). Este mensaje sólo puede ser descifrado usando la clave privada de Ana, que sólo ella posee (integridad). La autenticación de las personas intervinientes en el proceso se realiza mediante firmas digitales (similares a una firma escrita) que van incorporadas en el mensaje y que son únicas para cada individuo. El no repudio resulta del hecho de que cada persona es la única responsable de mantener su clave privada en la más absoluta confidencialidad.

La misión de la Agencia de Certificación Electrónica (ACE) es la emisión, mantenimiento y revocación de certificados, actuando como tercera parte confiable en la autenticación de las personas y entidades intervinientes en las transacciones electrónicas.

Los certificados digitales aportan valor añadido a la empresa, ya que:

  • Permiten implantar nuevas estrategias comerciales: el total desarrollo del comercio electrónico a través de redes abiertas es inminente. Aquellas entidades que pueda proporcionar a sus clientes transacciones seguras mediante certificados electrónicos habrán adquirido una ventaja competitiva frente a sus competidores.
  • Permiten la reducción de costes asociados con el papeleo (impresión, mailing o procesamiento de datos) o la presencia de intermediarios en las transacciones, que se traducirán en comisiones más bajas y un producto más atractivo para el cliente.
  • El certificado digital no supone un coste añadido para el cliente que, junto a su facilidad de uso, facilitará en gran medida la aceptación de esta tecnología. Además, representan una inversión de alta rentabilidad con bajo coste y riesgo.
  • Posibilitan la creación de productos y servicios a medida de cada cliente sin que esto suponga un mayor coste para la organización.
  • Permiten la creación de una base de datos de clientes y proveedores que facilite el lanzamiento al mercado de nuevos productos y servicios.
  • Los certificados digitales serán aplicables a futuras tecnologías como la TV por cable y por satélite a las WWW-TV.

La implementación de un sistema de comunicaciones seguro, basado en los certificados digitales de ACE, requiere el desarrollo de soluciones que se ajusten a las necesidades de las Entidades o Corporaciones mediante la realización de proyectos concretos entre éstas y ACE (despliegue de infraestructura, labores de consultoría de diseño y procesos, capacitación de los usuarios, etc.).

Existen dos elementos fundamentales en la implantación de un sistema de certificación, la "autoridad de registro" y la "autoridad de certificación".

Autoridad de Certificación/Autoridad de Registro (CA/RA): infraestructura y operativa de gestión basada en la existencia de una entidad de registro y validación de peticiones, generalmente la propia entidad, conectada con ACE, Autoridad de Certificación (CA), encargada del procesamiento y emisión de los certificados y garante de los mismos.

ACE podrá actuar como Autoridad de Registro además de Autoridad Certificadora en el caso de que la empresa cliente no desee convertirse en Entidad de Registro Colaboradora (ERC).

Este servicio conlleva la realización por parte de ACE de la función de identificación y registro de las peticiones de certificados a generar, validando en el entorno local de ACE y no de la empresa cliente los datos de identificación de los usuarios.

El servicio de Autoridad de Registro incluye el establecimiento de todos los procedimientos y operativa de comunicación, identificación, verificación y registro de las solicitudes de certificados para que se realice de una forma completamente segura.

 

Apartados de este documento: (I)  (II)  (y III)

 

Marketing y comercio electrónico
© 2000