Archivo de la categoría: Comercio electrónico

El comercio electrónico se puede considerar inaugurado en España en 1995 cuando pusimos en marcha la pasarela de pagos de Banesto (la primera). Desde entonces he colaborado en muchos proyectos de CE, por lo que he desarrollado un fino instinto para apreciar las cualidades de los proyectos de otros.

Cibertienda

6 respuestas

Logo CibertiendaEn 1999, estando en Banesto, lancé el Proyecto Cibertienda, poniendo a disposición de la comunidad el código fuente de su tienda virtual y facilitando la integración con su TPV virtual. Era la primera vez que un banco explicaba un modelo de negocio viable detrás de un proyecto de software libre y ponía a disposición del Mundo Linux el código fuente.

A día de hoy, el Linux se usa ampliamente en Banca, pero en aquel momento parecía una apuesta arriesgada. Y, por cierto, no se conocen más iniciativas en las que una entidad financiera ponga a disposición de la comunidad algún tipo de software, en código fuente, de forma gratuita (corregidme, si me equivoco).

Durante algún tiempo, el proyecto continuó incluso cuando yo pasé a BBVA a trabajar en el proyecto Movilpago, luego Mobipay.

Entre el año 2004 y 2005, Banesto abandonó el proyecto, liberando el dominio. Creo que la iniciativa de Banca por IRC, que algún día comentaré, también fue abandonada por la misma época.

Ahora, desde Albalia Interactiva intentamos reactivar el proyecto apoyando a la comunidad de software libre y hemos relanzado el dominio www.cibertienda.org. Quienes estén interesados en colaborar en el desarrollo de soluciones de Comercio Electrónico abiertas (a las que incorporaremos soluciones de factura electrónica, tema en el que somos líderes en España) pueden contactar con:

La información actual que se muestra en la web se ha recuperado de la «Máquina del Tiempo» (Wayback Machine) y puede recorrerse a partir del siguiente enlace: <Cibertienda> The Project: Main

Si alguien dispone de los últimos documentos y fuentes liberados, que me los haga llegar para colgarlos de la web.

También es posible reenfocar el proyecto para acoger diferentes iniciativas de tiendas virtuales que se están llevando a cabo.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Congreso eDNI: 24 de abril de 2007

4 respuestas

No faltéis a la cita.

El próximo martes 24 de abril, en el Palacio de Congresos del Paseo de la Castellana, 99 de Madrid tendrá lugar el Congreso sobre DNI electrónico de ASIMELEC.

Interesantes experiencias para conocer y compartir.

Y un Workshop (taller) para explicar a los más técnicos la forma de desarrollar aplicaciones en torno al DNI-e.

Ver más detalles en el Web del Congreso.

Actualización.

Ya hay referencias sobre el evento como la de CIO y la de Arbol de Noticias.

Sin embargo, finalmente no se presentará el cajero automático anunciado.

Otra novedad: para permitir que una misma persona pueda acudir al Congreso y al Taller Práctico, finalmente el Taller se ha aplazado hasta el dia 22 de mayo de 9 a 14:00.

Codice

Deja un comentario

El progreso de la sociedad de la información en España tendrá una vertiente importante en la contratación de las administraciones públicas que tendrá un pilar importante enel Proyecto Códice.

Las nuevas Directivas de contratos públicos (Directivas 2004/17/CE y 2004/18/CE, del Parlamento Europeo y del Consejo, de 31 de marzo de 2004) establecen el marco normativo básico para el desarrollo de sistemas de contratación pública por medios electrónicos en Europa. Al objeto de hacer posible la contratación electrónica pública en España de conformidad con dicho marco normativo, la Dirección General del Patrimonio del Estado se propone, dentro del plan Avanza, ha iniciado la ejecución de determinados proyectos esenciales para asegurar el armónico desarrollo y despliegue de los sistemas de información necesarios para el logro de los objetivos propuestos.

Para acomodar de forma armónica y coordinada las variadas necesidades y condicionantes de los distintos usuarios potenciales de los sistemas de contratación electrónica a desplegar, así como para facilitar la interoperabilidad de la plataforma de contratación pública y sus distintos subsistemas con las infraestructuras técnicas, organizativas y de información de todos los participantes en los procesos de contratación pública, resulta necesario definir en primer lugar una arquitectura marco que proporcione tanto los componentes comunes esenciales del sistema (definiciones y denominaciones normalizadas, componentes o módulos elementales reutilizables, documentos electrónicos de uso común, etc.) como la estructura y reglas que permite su extensión o adaptación a las necesidades especiales de diferentes contextos específicos de contratación. Dicha arquitectura proporciona a los demás sistemas a desarrollar posteriormente los “bloques” o componentes básicos de información, así como las reglas de composición necesarias para la construcción de los documentos y mensajes electrónicos que licitadores y órganos de contratación han de intercambiarse a lo largo de los procesos de contratación, garantizando al mismo tiempo la interoperabilidad de todos los elementos cuya interacción proporcionará las funcionalidades necesarias para hacer efectiva la contratación electrónica.

Para asegurar tal interoperabilidad, tanto de los subsistemas de contratación electrónica entre sí (plataforma de contratación pública, registro electrónicos de empresas, catálogos electrónicos, sistemas de subastas electrónicas, etc.) como con los sistemas de información de los agentes económicos participantes en los procesos de contratación y con los de los propios órganos de las Administraciones públicas, es preciso asegurar tanto la interoperabilidad técnica como la semántica y organizativa. En particular, es imprescindible que los sistemas que intercambian información compartan una misma, unívoca y consistente interpretación de los datos, documentos y mensajes intercambiados, de modo que la información electrónica proporcionada por cualquiera de los participantes en una transacción pueda ser correctamente comprendida y procesada por los demás participantes.

Las normas y estándares internacionales existentes, tales como las normas ISO 11179 y 15000, los estándares ebXML de OASIS y UN/CEFACT, y las Recomendaciones del W3C sobre lenguaje y esquema XML, junto con las iniciativas promovidas por el programa IDA de la Unión Europea en relación con la contratación electrónica, proporcionan las bases de partida para la definición y construcción de la necesaria arquitectura interoperable de información. A partir de dichas bases, diversas plataformas de contratación han resuelto esta necesidad desarrollando o adoptando marcos o arquitecturas de componentes de información adecuados para la contratación electrónica. Con igual finalidad, se han promovido iniciativas de desarrollo de bibliotecas de componentes estándar, en formato XML, para la contratación electrónica de uso general, tales como UBL, OAGIS o eBIS-XML, así como otras iniciativas de desarrollo de bibliotecas de carácter sectorial, dirigidas a mercados “verticales” específicos. Dichas iniciativas están siendo utilizadas como base para el desarrollo de plataformas de contratación pública electrónica, así como para iniciativas de interoperabilidad de procesos de contratación electrónica tales como la promovida por la Unión Europea en el marco del proyecto IDA (IDA eProcurement XML Schemas Initiative).

Con el triple fin de alinear el desarrollo de la contratación electrónica española con las mejores prácticas conocidas, de aprovechar el acervo de conocimientos y experiencias acumulados en dicho campo por la comunidad internacional, reutilizando en lo posible sus resultados, y de asegurar el máximo grado posible de interoperabilidad de los posteriores desarrollos a acometer para la implantación de la contratación pública electrónica, el proyecto Códice persigue proporcionar a la Administracion General del Estado los servicios informáticos necesarios para la construcción de una arquitectura pública de componentes, documentos y mensajes estandarizados, conforme con las mejores normas y estándares internacionales aplicables, que pueda ser usada por todos los sistemas, aplicaciones y componentes informáticos necesarios para la construcción de soluciones interoperables de contratación electrónica, así como por los sistemas, aplicaciones y componentes informáticos de los agentes económicos que deseen participar en los procesos de contratación electrónica convocados por cualquier órgano de contratación pública.

Comprar y vender en Internet

Deja un comentario

Como ya mencioné hace unos días, el nuevo portal Silicon News ha publicado un artículo mío.

En este artículo intento aclarar algunas dudas frecuentes respecto a los riesgos que asumen los compradores y los vendedores cuando se utilizan datos de tarjetas de crédito para llevar a cabo las operaciones. Como véis, una temática habitual en este Blog.

Por si el artículo desapareciera en el futuro, lo transcribo a continuación.

Comprar y vender en Internet 

Afortunadamente, conforme aumenta la alfabetización digital es menos necesario ir aclarando algunas cosas, pero a veces es útil que alguien haga un pequeño resumen.

¿Es seguro comprar en Internet? ¿Es seguro vender en Internet? Desde luego, desde el punto de vista de la seguridad física, no hay ninguna duda: al no tener que desplazarse disminuye cualquier riesgo físico. Desde el punto de vista de los productos que se compran y se venden, el enfoque no es muy distinto de cualquiera referido a la venta a distancia, a la que se asemeja mucho.

En cuanto a la seguridad de los pagos, el sistema de tarjetas de crédito protege a los titulares (“tarjetahabientes”). Si se detecta que una operación reflejada en el extracto de compras realizadas con tarjeta no la ha llevado a cabo el titular, éste puede contactar con su entidad financiera, firmar la reclamación y verificar el reembolso en su cuenta.

Por el contrario, cuando el comercio recibe la reclamación de su entidad financiera (entidad adquirente) debe aportar los datos que permitan confirmar la identidad del comprador. Lo que será virtualmente imposible en el caso de compras por Internet. Y le será retirada de su cuenta la cuantía correspondiente a la operación reclamada. Por resumir, no existe ningún problema para quienes compran y sí pueden existir problemas para quienes venden.

Desde hace unos años, las marcas de tarjetas de crédito están trabajando en el desarrollo de sistemas que aseguren también las transacciones para los comercios. Por eso, desarrollaron el sistema SET (Secure Electronic Transactions), hoy abandonado, y más recientemente el “3D Secure” que se identifica con las marcas “Verified by Visa” y “Mastercard Securecode”.

España es el país del mundo en el que el despliegue de estos sistemas de protección está más desarrollado, y cuenta con el impulso de Sistema 4B, Servired y Euro 6000, lo que pone este tipo de infraestructura al alcance de todas las entidades financieras y de sus clientes.

En este caso, el comercio que opera por internet debe solicitar de forma expresa a su entidad financiera que desea que se le equipe con un TPV (Terminal Punto de Venta) virtual que tenga habilitada la función CES (Comercio Electrónico Seguro) y deshabilitada cualquier modalidad “no segura”. De esta forma, aunque pierda transacciones (todas aquellas en la que el titular no conozca su código de autorización de internet), se asegura en el resto que la entidad emisora de la tarjeta garantiza el pago.

En España todas las entidades permiten a sus clientes la activación de la función de pago por internet en sus tarjetas, normalmente a través del servicio de “banca electrónica” de la entidad. Para ello, el usuario ha de utilizar una clave de operaciones de pago por internet (que en el caso de algunas entidades puede coincidir con la de acceso al servicio de banca electrónica)

La operativa de pago no es muy diferente a la tradicional: el comprador selecciona los productos en la tienda virtual y los incorpora en su lista de compra (lo que habitualmente se denomina el “carrito de la compra”). Cuando decide concluir, completa los datos de un formulario entre los que se incluye la dirección de entrega del producto, la modalidad de envío y aspectos tales como embalaje o texto de acompañamiento.

A continuación elige la forma de pago. Si el pago es con tarjeta de crédito, teclea sus datos principales (número, fecha de caducidad y nombre del titular) y pulsa al botón continuar. A partir del número de tarjeta, la tienda identifica a la entidad emisora y abre una ventana emergente con la pantalla en la que dicha entidad aloja su procedimiento de verificación de identidad del titular, que habitualmente es una clave de operaciones. Si la verificación es satisfactoria, la entidad envía al comercio un código de validación. El comercio solicita autorización a la pasarela de pagos que pone a su disposición su entidad adquirente, indicando la cuantía, los datos de la tarjeta y el código de validación. Si la tarjeta no está en lista negra y el importe de la operación se encuentra dentro de los límites adecuados, el sistema autoriza la operación, y el comercio tiene la certeza de que cobrará el importe de la transacción una vez deducidas la comisiones pactadas.

En este contexto, la tienda enviará los productos por el sistema solicitado por el cliente y habitualmente pondrá a su disposición un sistema de atención post-venta por si hubiera que resolver algún incidente. De modo que cada vez se va mejorando en la seguridad no para los titulares (que siempre la han tenido, aunque ahora lo perciban mejor) sino para los comercios.

Comprar y vender en Internet

Deja un comentario

Afortunadamente, conforme aumenta la alfabetización digital es menos necesario ir aclarando algunas cosas, pero a veces es útil que alguien haga un pequeño resumen.

¿Es seguro comprar en Internet? ¿Es seguro vender en Internet? Desde luego, desde el punto de vista de la seguridad física, no hay ninguna duda: al no tener que desplazarse disminuye cualquier riesgo físico. Desde el punto de vista de los productos que se compran y se venden, el enfoque no es muy distinto de cualquiera referido a la venta a distancia, a la que se asemeja mucho.

En cuanto a la seguridad de los pagos, el sistema de tarjetas de crédito protege a los titulares (“tarjetahabientes”). Si se detecta que una operación reflejada en el extracto de compras realizadas con tarjeta no la ha llevado a cabo el titular, éste puede contactar con su entidad financiera, firmar la reclamación y verificar el reembolso en su cuenta.

Por el contrario, cuando el comercio recibe la reclamación de su entidad financiera (entidad adquirente) debe aportar los datos que permitan confirmar la identidad del comprador. Lo que será virtualmente imposible en el caso de compras por Internet. Y le será retirada de su cuenta la cuantía correspondiente a la operación reclamada. Por resumir, no existe ningún problema para quienes compran y sí pueden existir problemas para quienes venden.

Desde hace unos años, las marcas de tarjetas de crédito están trabajando en el desarrollo de sistemas que aseguren también las transacciones para los comercios. Por eso, desarrollaron el sistema SET (Secure Electronic Transactions), hoy abandonado, y más recientemente el “3D Secure” que se identifica con las marcas “Verified by Visa” y “Mastercard Securecode”.

España es el país del mundo en el que el despliegue de estos sistemas de protección está más desarrollado, y cuenta con el impulso de Sistema 4B, Servired y Euro 6000, lo que pone este tipo de infraestructura al alcance de todas las entidades financieras y de sus clientes.

En este caso, el comercio que opera por internet debe solicitar de forma expresa a su entidad financiera que desea que se le equipe con un TPV (Terminal Punto de Venta) virtual que tenga habilitada la función CES (Comercio Electrónico Seguro) y deshabilitada cualquier modalidad “no segura”. De esta forma, aunque pierda transacciones (todas aquellas en la que el titular no conozca su código de autorización de internet), se asegura en el resto que la entidad emisora de la tarjeta garantiza el pago.

En España todas las entidades permiten a sus clientes la activación de la función de pago por internet en sus tarjetas, normalmente a través del servicio de “banca electrónica” de la entidad. Para ello, el usuario ha de utilizar una clave de operaciones de pago por internet (que en el caso de algunas entidades puede coincidir con la de acceso al servicio de banca electrónica)

La operativa de pago no es muy diferente a la tradicional: el comprador selecciona los productos en la tienda virtual y los incorpora en su lista de compra (lo que habitualmente se denomina el “carrito de la compra”). Cuando decide concluir, completa los datos de un formulario entre los que se incluye la dirección de entrega del producto, la modalidad de envío y aspectos tales como embalaje o texto de acompañamiento.

A continuación elige la forma de pago. Si el pago es con tarjeta de crédito, teclea sus datos principales (número, fecha de caducidad y nombre del titular) y pulsa al botón continuar. A partir del número de tarjeta, la tienda identifica a la entidad emisora y abre una ventana emergente con la pantalla en la que dicha entidad aloja su procedimiento de verificación de identidad del titular, que habitualmente es una clave de operaciones. Si la verificación es satisfactoria, la entidad envía al comercio un código de validación. El comercio solicita autorización a la pasarela de pagos que pone a su disposición su entidad adquirente, indicando la cuantía, los datos de la tarjeta y el código de validación. Si la tarjeta no está en lista negra y el importe de la operación se encuentra dentro de los límites adecuados, el sistema autoriza la operación, y el comercio tiene la certeza de que cobrará el importe de la transacción una vez deducidas la comisiones pactadas.

En este contexto, la tienda enviará los productos por el sistema solicitado por el cliente y habitualmente pondrá a su disposición un sistema de atención post-venta por si hubiera que resolver algún incidente.

De modo que cada vez se va mejorando en la seguridad no para los titulares (que siempre la han tenido, aunque ahora lo perciban mejor) sino para los comercios.

Adopción de PCI Security Standard en España

5 respuestas

Tras hacer un pequeño estudio de mercado entre entidades financieras españolas en relación con la adopción del PCI Security Standard, parece que finalmente se ha empezado a tomar en serio esta normativa de las marcas VISA y Master Card y comienzan a planificarse las auditorías de entidades financieras y de comercios que operan por internet.

En la documentación oficial todavía no constan las entidades españolas que se dedican a las diferentes modalidades de auditoría, como la propia Albalia Interactiva, pero ya empiezan a llevarse a cabo las homologaciones.

Los servicios de seguridad orientados al cumplimiento de la normativa PCI se dirigen a compañías que aceptan o transmiten información relacionada con tarjetas de crédito. Albalia desarrolla asesoramiento de seguridad basada en la norma de seguridad de datos global PCI (Payment Card Industry) .

La norma PCI es un juego integrado de requisitos de seguridad de la información desarrollado por Visa y MasterCard en 2004 para proteger la información de los titulares en todas las infraestructuras que puedan contener o transmitir ese tipo de datos. Existen compañías homologadas para prestar asesoramiento según esta norma en diferentes lugares del mundo.

En la actualidad la norma se ha adoptado por las grandes marcas de tarjetas: American Express, Discover Financial Services, JCB International Credit Card, MasterCard Worldwide y Visa International por lo que una vez superada una auditoría, esta es aceptada por todas las marcas. Se ha creado el Consejo de normas de seguridad de la industria de medios de pago (PCI Security Standards Council) como ente que mantiene la norma y su evolución .
Hay tres tipos de servicios disponibles para facilitar el cumplimiento de esta norma y la superación del proceso de auditoría: Revisión de cumplimiento de la norma PCI, Verificación de cumplimiento de la norma PCI y Comprobación automatizada de la seguridad PCI.

La homologación de la consultora como Qualified Security Assessor (QSA) es un requisito para llevar a cabo este tipo de servicios.
Albalia Interactiva está en el proceso de homologación como QSA, para lo que cuenta con consultores de seguridad preparados para asistir a las entidades en los procesos anuales de verificación yen los trimestrales de comprobación automatizada impuestos por VISA y otras marcas de tarjetas.

Además de bancos y cajas, las compañías que aceptan pagos con tarjeta desde tiendas online a operadores móviles , y compañías intermediarias deben cumplir la noma definida por la Industria de Tarjetas de Pago (Payment Card Industry).

Payment Card Industry (PCI) Data Security Standard

9 respuestas

La especificacón de normalización de seguridad de datos Payment Card Industry (PCI) Data Security Standard se ha creado por las principales marcas de tarjetas con la reciente incorporación de todas las tarjetas internacionales para proteger la información de los usuarios y luchar contra la suplantación y otros fraudes que se producen en Internet.

Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pago, como Sistema 4b; SERMEPA, o Red 6000. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se transmitan datos de titulares de tarjetas.

Albalia Interactiva es la primera entidad española que ofrece los servicios de Auditoría PCI a las entidades financieras y a los comercios.

Retos del Ministro D. Joan Clos

1 respuesta

Jordi Sevilla y Joan ClosD. Joan Clos asume la responsabilidad de un Ministerio amplio y con muchas competencias.

De la época en que viví en Barcelona, guardo un recuerdo amable de la ciudad y de su alcalde, que supo hacerse querer por gente de toda inclinación. Pese a que inició su primer mandato rodeado de rumores que lo situaban como un mero «continuador» de los proyectos de D. Pasqual Maragall, pronto se notó su propio carácter al emprender proyectos de mucho calado como el Forum Universal de las Culturas que supuso la redefinición urbana de amplias zonas de la ciudad o la creación del barrio tecnológico 22@ en Poblenou.

Esta última iniciativa es un buen precedente para los que nos movemos en los entornos de nuevas tecnologías, ya que demuestra la sensibilidad del nuevo Ministro de Industria, Turismo y Comercio respecto a las TIC, Tecnologías de la Información y las Telecomunicaciones, y nos permite conjeturar que las valora como motor del progreso económico.

Aunque su agenda está repleta de asuntos importantes (y los de mayor controversia pueblan los titulares de los medios de comunicación), me permito incluir aquí algunos a modo de recordatorio:

  • Canon. Hay que pensar un sistema distinto que promueva la creación y retribuya al autor y a la industria audiovisual sin comprometer el desarrollo de la sociedad de la información.
  • TDT. Es una oportunidad de desarrollo tecnológico y la base de la apertura informativa de los medios de comunicación.
  • Firma electrónica y Documento electrónico. La transición a entornos sin papeles requieren algunas modificaciones normativas más, en particular en el ámbito de la transición del mundo físico al electrónico y viceversa.
  • Administración electrónica. Aspectos como registros (inicio de trámites), notificaciones (fin de trámites), web del ciudadano (con su carpeta personal de trámites en curso en todas las administraciones), licitaciones, depósitos de garantías, o pagos y cobros requieren acciones conjuntas con el MAP.
  • Factura electrónica. El Ministerio de Industria, Comercio y Turismo es el que más puede hacer, junto con el de Economía y Hacienda para estimular la adopción de la eFactura por todas las empresas y profesionales.
  • Seguridad de la Información. Algunos de los grandes retos tendrán mucho que ver con la interiorización de los riesgos por los ciudadanos, y la imposición a las entidades (sobre todo financieras) que prestan servicios a través de Internet de ciertas medidas de seguridad que minimicen los riesgos.

Supongo que quienes leen este blog tendrán también propuestas interesantes que incluirán en los comentarios.