El portal del comerciante

La seguridad en las transacciones

 

El comercio electrónico necesita garantizar una seguridad técnica y jurídica que impida un anormal funcionamiento del negocio o una desconfianza en el medio utilizado para comerciar.

En este sentido se han aportado una serie de soluciones, propuestas por los organismos de normalización, para evitar los posibles peligros u operaciones ilegales a los que puede estar sometida Internet. Básicamente se trataría de garantizar cuatro principios.

1.      Principio de autenticidad: que la persona o empresa que dice estar al otro lado de la red es quién dice ser.

2.      Principio de integridad: que lo transmitido a través de la red no haya sido modificado.  

3.      Principio de intimidad: que los datos transmitidos no hayan sido vistos durante el trasiego telemático. 

4.      Principio de no repudio: que lo transmitido no pueda ser repudiado o rechazado.

En la actualidad, el comercio electrónico no está garantizando completamente estos principios mencionados.

El principio de la intimidad se consigue gracias a la implantación de un protocolo de comunicación seguro, como por ejemplo el SSL (Secure Sockets Layer). Los servidores seguros SSL los podremos identificar porque en al esquina inferior izquierda del navegador (en el caso de Netscape) cambia de un candado abierto a uno cerrado y además en la URL o Location cambia de Http:// a Https:// (Hipertext Transport Protocol Secure). Gracias a este protocolo de comunicación segura, se pueden transmitir los datos de la tarjeta sin que nadie los pueda capturar. A pesar de la seguridad en la comunicación, la utilización de este protocolo de comunicación en el pago de los productos y servicios podría producir desconfianza en el Cliente, ya que potencialmente el vendedor puede realizar cualquier tipo de fraude con total impunidad al poseer su número de tarjeta y no quedar garantizada la integridad del documento de pago. Sólo las empresas con muy buena reputación podrían, a priori, contar con la confianza del consumidor.

Por otro lado, el consumidor que paga con tarjeta puede negar la compra del producto y el banco estará obligado a devolver el dinero si "no ha sido presentada directamente o identificada electrónicamente. El problema surgiría sobre todo cuando se utilizase para comprar bienes o servicios intangibles, es decir, bienes que no necesitan traslado físico, ya que sería más difícil de probar donde ha ido a parar el producto o servicio y por tanto si se comete el fraude. El perjudicado en este caso es sin duda alguna el proveedor, ya que sería muy difícil recuperar el servicio o producto vendido. Además, el posible fraude con números de tarjetas robados, hace que las Entidades de Crédito añadan una comisión en las compras bastante elevada (un 5% +/-) para compensar estas prácticas fraudulentas. Esto hace que el precio de la compra se incremente considerablemente, lo que anula el atractivo inicial de comprar por Internet: los precios bajos. Para proporcionar mayor seguridad jurídica al comercio electrónico, se idea la combinación del protocolo de comunicación seguro SSL con la firma electrónica, garantizando entonces el efecto de no repudio, ya que al firmar la oferta de compra existe una prueba con igual valor jurídico que la firma manuscrita(art. 3 del RDL 14/99 sobre Firma Electrónica), y por tanto en caso de negar la compra del producto, el comerciante puede probar ante los tribunales que el mismo fue comprado por el tenedor de dicha firma.

Existe otro problema a salvar que es la posible obtención de la base de datos de números de tarjetas de los clientes, ya que la misma esta en posesión del comercio para realizar los pagos con el banco. Así se podría dar el caso que un fallo o agujero de seguridad en nuestra web provoque la entrada de un empleado descontento o de un pirata informático, apoderándose de las base de datos de tarjetas para utilizarla con fines ilícitos. Para evitar esto, se han ideado los TPV virtuales que lanzan los servidores de los bancos para que el pago lo haga directamente el comprador con el banco y no tenga que pasar por el comercio el número de tarjeta, o bien el protocolo SET (Secure Electronic Transaction) que garantiza íntegramente los principios antes mencionados y un total anonimato por parte de las tres partes intervinientes, de forma que el banco no conoce la compra que realiza el consumidor y el comercio no conoce el número de tarjeta o de cuenta que tiene el comprador.

Protocolos de seguridad

Las principales causa que paralizan las transacciones electrónicas y el comercio por Internet son la desconfianza y el miedo a la falta de seguridad en el envío y recepción de la orden de pago.

Uno de los medios que trata de evitar esta traba al comercio electrónico son los protocolos de seguridad. Éstos son soluciones tecnológicas que buscan asegurar que los datos relativos a una transacción comercial puedan ser transmitidos al comerciante de forma segura.

Los dos protocolos de seguridad más generalizados son el SSL y el SET

I. SSL (SECURE SOCKETS LAYER)

El protocolo SSL fue desarrollado por Netscape en el año 1994, y viene siendo utilizado en Internet como el método más común para proporcionar seguridad en las comunicaciones.   

Utilizando SSL podemos ofrecer los siguientes servicios de seguridad:

  • Autenticación:asegura la identidad del servidor participante en la comunicación.
  • Confidencialidad:asegura que la información transmitida en la comunicación entre el cliente y el servidor sólo sea legible por estas dos entidades.
  • Integridad:asegura que la información transmitida en la comunicación entre el cliente y el servidor no haya sido alterada en su viaje por la red.

Para poder ofrecer estos servicios de seguridad, SSL hace uso de la criptografía y de los certificados digitales. Los Certificados Digitales se pueden definir como contenedores de datos. Más específicamente, un certificado contiene la identificación del servidor, su clave pública y la fecha de validez del certificado.

SSL utiliza certificados de 40 bits (criptografía simple) o certificados de 128 bits (criptografía robusta).

La mayor parte de los navegadores y servidores comunes que se utilizan soportan criptografía de 40 bits, mientras que no todos soportan criptografía de 128 bits. Es muy importante asegurarse de que la versión de nuestro servidor soporta este tipo de criptografía antes de realizar la petición de obtención de un certificado de servidor de criptografía robusta.

Utilizar este tipo de certificados de criptografía robusta no limita el tipo de usuarios que podrán acceder a nuestras páginas, porque en el caso de que el cliente no soporte criptografía robusta la comunicación entre ambos se realizará conforme a las características de criptografía simple que soporte el cliente, es decir, actuará como si de un certificado de 40 bits se tratara. 

 

 

II. SET (SECURE ELECTRONIC TRANSACTIONS)

El protocolo SET para pagos seguros con tarjeta de crédito a través de Internet ofrece una solución para reducir costes de operación para el vendedor, aumentar la seguridad frente a otras tecnologías más extendidas como SSL a la vez que reduce el fraude y expandir las fronteras de negocio de los comerciantes hacia nuevos mercados globales.

En 1995 Visa y MasterCard, con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, RSA, o VeriSign, unieron sus fuerzas para desarrollar Secure Electronic Transaction (SET), un protocolo estandarizado y respaldado por la industria, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet.

SET ofrece una serie de servicios que convierten las transacciones a través de Internet en un proceso seguro y fiable para todas las partes implicadas:

  • Autenticación.Todas las partes involucradas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden verificar mutuamente sus identidades mediante certificados digitales. De esta forma, el comerciante puede asegurarse de la identidad del titular de la tarjeta y el cliente, de la identidad del comerciante. Se evitan así fraudes debidos a usos ilícitos de tarjetas y a falsificaciones de comercios en Internet (web spoofing), que imitan grandes web comerciales. Por su parte, los bancos pueden así mismo comprobar la identidad del titular y del comerciante.
  • Confidencialidad. la información de pago se cifra para que no pueda ser espiada mientras viaja por las redes de comunicaciones. Solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado o a qué dirección deben enviarse, debe recurrirse a un protocolo de nivel inferior como SSL.
  • Integridad.Garantiza que la información intercambiada, como el número de tarjeta, no podrá ser alterada de manera accidental o maliciosa durante su transporte a través de redes telemáticas. Para lograrlo se utilizan algoritmos de firma digital, capaces de detectar el cambio de un solo bit.
  • Intimidad. El banco emisor de la tarjeta de crédito no puede acceder a información sobre los pedidos del titular, por lo que queda incapacitado para elaborar perfiles de hábitos de compra de sus clientes.
  • Verificación inmediata.Proporciona al comerciante una verificación inmediata, antes de completarse la compra, de la disponibilidad de crédito y de la identidad del cliente. De esta forma, el comerciante puede cumplimentar los pedidos sin riesgo de que posteriormente se invalide la transacción.
  • No repudio. Para resolución de disputas la mayor ventaja de SET frente a otros sistemas seguros es la adición al estándar de certificados digitales (X.509v3), que asocian la identidad del titular y del comerciante con entidades financieras y los sistemas de pago de Visa, MasterCard, etc. Estos certificados previenen fraudes para los que otros sistemas no ofrecen protección, como el repudio de una transacción (negar que uno realizó tal transacción), proporcionando a los compradores y vendedores la misma confianza que las compras convencionales usando las actuales redes de autorización de créditos de las compañías de tarjetas de pago.

El proceso subyacente en una transacción SET típica funciona de forma muy parecida a una transacción convencional con tarjeta de crédito:

  • Decisión de compra.El cliente está navegando por el sitio web del comerciante y decide comprar un artículo. Para ello rellenará algún formulario al efecto y posiblemente hará uso de alguna aplicación tipo carrito de compra, para ir almacenando diversos artículos y pagarlos todos al final. El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar o equivalente.
  • Arranque de la cartera. El servidor del comerciante envía una descripción del pedido que despierta a la aplicación cartera del cliente.
  • Transmisión cifrada de la orden de pago. El cliente comprueba el pedido y transmite una orden de pago de vuelta al comerciante. La aplicación cartera crea dos mensajes que envía al comerciante. El primero, la información del pedido, contiene los datos del pedido, mientras que el segundo contiene las instrucciones de pago del cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco adquiriente. En este momento, el software cartera del cliente genera un firma dual, que permite juntar en un solo mensaje la información del pedido y las instrucciones de pago, de manera que el comerciante puede acceder a la información del pedido, pero no a las instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago, pero no a la información del pedido. Este mecanismo reduce el riesgo de fraude y abuso, ya que ni el comerciante llega a conocer el número de tarjeta de crédito empleado por el comprador, ni el banco se entera de los hábitos de compra de su cliente.
  • Envío de la petición de pago al banco del comerciante. El software SET en el servidor del comerciante crea una petición de autorización que envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transacción y otra información relevante acerca de la misma, todo ello convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la petición de autorización junto con las instrucciones de pago (que el comerciante no puede examinar, ya que van cifradas con la clave pública del adquiriente).
  • Validación del cliente y del comerciante por el banco adquiriente.El banco del comerciante descifra y verifica la petición de autorización. Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente, que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la integridad de los datos. Se comprueban los identificadores de la transacción en curso (el enviado por el comerciante y el codificado en las instrucciones de pago) y, si todo es correcto, se formatea y envía una petición de autorización al banco emisor del cliente a través de la red de medios de pago convencional.
  • Autorización del pago por el banco emisor del cliente.El banco emisor verifica todos los datos de la petición y si todo está en orden y el titular de la tarjeta posee crédito, autoriza la transacción.
  • Envío al comerciante de un testigo de transferencia de fondos.En cuanto el banco del comerciante recibe una respuesta de autorización del banco emisor, genera y firma digitalmente un mensaje de respuesta de autorización que envía a la pasarela de pagos, convenientemente cifrada, la cual se la hace llegar al comerciante.
  • Envío de un recibo a la cartera del cliente. Cuando el comerciante recibe la respuesta de autorización de su banco, verifica las firmas digitales y la información para asegurarse de que todo está en orden. El software del servidor almacena la autorización y el testigo de transferencia de fondos. A continuación completa el procesamiento del pedido del titular de la tarjeta, enviando la mercancía o suministrando los servicios pagados. Además, se le entrega a la aplicación cartera del cliente un recibo de la compra para su propio control de gastos y como justificante de compra.
  • Entrega del testigo de transferencia de fondos para cobrar el importe de la transacción. Después de haber completado el procesamiento del pedido del titular de la tarjeta, el software del comerciante genera una petición de transferencia a su banco, confirmando la realización con éxito de la venta. Como consecuencia, se produce el abono en la cuenta del comerciante.
  • Cargo en la cuenta del cliente. A su debido tiempo, la transacción se hace efectiva sobre la cuenta corriente del cliente. El protocolo definido por SET especifica el formato de los mensajes, las codificaciones y las operaciones criptográficas que deben usarse. No requiere un método particular de transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en aplicaciones Web, sobre correo electrónico o cualquier otro método. Como los mensajes no necesitan transmitirse en tiempo presente, son posibles implantaciones de SET eficientes basadas en correo electrónico u otros sistemas asíncronos.   

En su estado actual SET solamente soporta transacciones con tarjeta de crédito / débito, y no con tarjetas monedero. Se está trabajando en esta línea para extender el estándar de manera que acepte nuevas formas de pago. Al mismo tiempo se están desarrollando proyectos para incluir los certificados SET en las tarjetas inteligentes, de tal forma que el futuro cambio de tarjetas de crédito a tarjetas inteligentes pueda incorporar el estándar SET.

El protocolo SET presenta también grandes inconvenientes:

  • No resulta fácil de implantar, por lo que su despliegue está siendo muy lento. SET exige software especial, tanto para el comprador (aplicación de cartera electrónica) como para el comerciante (aplicación POST o TPV), y los bancos (software de autoridad de certificación, pasarela de pagos, etc.).
  • Aunque los productos anteriores cumplan con el estándar SET, esto no implica necesariamente que sean compatibles.
  • Incapacidad para trabajar con pagos aplazados, modalidad muy extendida en países como España.
  • Se añade el problema de la revocación de certificados, la portabilidad de los mismos cuando el usuario trabaja en distintas máquinas y las cadenas de certificación.  

 

III. TPV VIRTUAL (TERMINAL PUNTO DE VENTA)

La pasarela de pago o TPV (Terminal Punto de Venta) virtual, cumple en Internet la misma función que los sistemas tradicionales de cobro mediante tarjeta de crédito (TPV físico) permitiendo que sus clientes puedan pagar su compra a través de Internet utilizando una tarjeta de crédito.

El Módulo de Pago del banco contratado (TPV Virtual) realiza las siguientes operaciones:

  • El cliente, puede escoger una lista de artículos a comprar utilizando una aplicación de comercio electrónico instalada en su sitio web. La aplicación calcula el importe total a cobrar.
  • Cuando el cliente decide pagar, la aplicación de comercio electrónico le redirige al sitio web de banco indicándole al TPV del banco la cantidad total a cobrar.
  • El cliente introduce el número de su tarjeta de crédito en un formulario del sitio web de banco. Este dato viaja encriptado hacia los servidores del banco.
  • El banco comunica en el momento el resultado de la operación al comercio y a su cliente. En caso afirmativo, se realiza el cobro ingresando el dinero en la cuenta bancaria del vendedor (la cual debe estar en ese banco) El sitio web del banco redirige al cliente de vuelta a la aplicación de comercio electrónico (nuestros servidores) indicando si la operación ha ido bien o mal, es decir, si se ha cobrado o no. En función del resultado de la operación la aplicación de comercio electrónico realizará diferentes acciones: informar al usuario, actualizar las bases de datos de la aplicación con el resultado de la transacción, etcétera.
  • El banco realiza el cierre de las operaciones, diariamente y de forma automática, abonando el importe correspondiente a las operaciones autorizadas en la cuenta que el comercio que mantenga abierta en el Banco.
  • Admite las principales tarjetas del mercado: Visa, MasterCard, 4B, American Express y Virtu@lCash.
  • Al Comercio Electrónico se le aplica la normativa de Ventas a Distancia, por lo que pueden producirse devoluciones de operaciones al no tener la garantía de la titularidad del cliente que realiza la transacción.

El sistema de cobro mediante el TPV virtual ofrece ventajas tanto a los compradores como a los vendedores.

Para el comprador:

  • El pago se realiza directamente en los servidores del banco. El TPV virtual que recibe el número de tarjeta y realiza el cobro está en los servidores del Banco bajo el dominio subanco.es. Nuestra aplicación simplemente redirige hacia él indicando la cantidad a cobrar. Una vez en la página del banco, el cliente siempre ve la cantidad que se le va a cobrar antes de escribir su número de tarjeta.
  • El número de la tarjeta viaja encriptado y sólo hacia el servidor seguro del Banco. El TPV utiliza el sistema de encriptado SSL. El vendedor nunca llega a saber cuál es el número de la tarjeta de crédito del cliente ni tiene posibilidad de almacenarla para realizar cobros posteriores.
  • Para utilizar este sistema de cobro, el vendedor debe tener una cuenta en Banesto con sus datos auténticos. Esto elimina en la práctica las posibilidades de ventas fraudulentas.
  • El cliente puede elegir entre varias tarjetas de crédito, actualmente: Visa, Master Card, 4B, American Express y Virtual Cash de Banesto.

Ventajas para el vendedor:

  • Seguridad total para sus clientes.
  • El Banco verifica que la tarjeta de crédito es real y tiene fondos suficientes.
  • El cobro se ingresa al instante, lo que le permite incluso vender información on line.
  • El sistema permite cobrar a clientes de cualquier lugar del mundo.

Para que un comercio pueda disponer del TPV Virtual, es necesario disponer de: 

  • Una tienda o catálogo de productos en Internet.
  • Una cuenta corriente en un banco que ofrezca este servicio.
  • Un contrato de Comercio-Electrónico.

  Las desventajas de este sistema de cobro son:  

  • Las comisiones por este sistema de cobro son muy altas, del orden de un 4,12% del importe total. Si lo comparamos con el 2% de los pagos por tarjeta en tiendas físicas, apreciamos un agravio comparativo que supone un tremendo obstáculo al desarrollo del comercio electrónico. Al parecer, este cargo tan desmesurado tiene su origen en criterios adoptados por Visa y otras entidades emisoras de tarjetas que penalizan el comercio electrónico aplicándole la comisión más alta del mercado, debido al supuestamente elevado número de reclamaciones existentes.

Otro inconveniente que pueden encontrar los comerciantes que utilicen este sistema es la posibilidad de reclamaciones a Visa u otra entidad emisora por parte de compradores insatisfechos o desvergonzados. A este respecto conviene guardar toda la información posible que pruebe el envío real de la mercancía vendida, por ejemplo resguardos de las agencias de transporte