Crypto Express3 en zEnterprise

4 respuestas

Los recientemente anunciados sistemas zEnterprise de IBM con el procesador z196 convenientemente destacado como corazón de la nueva arquitectura suponen un nuevo impulso en la estrategia de Mainframe del gigante azul, con un claro impacto en la racionalización de los CPDs al gestionar cualquier tipo de carga y virtualización con metodologías de servicios críticos.

Uno de los elementos que caracterizan desde el punto de vista de seguridad la nueva arquitectura, es la disponibilidad de funciones criptográficas por hardware ya preinstalado. La funcionalidad denominada Crypto Express3 se basa en dos adaptadores criptográficos PCI Express. Cada uno de los adaptadores criptográficos PCI Express puede ser configurado como coprocesador criptográfico o acelerador criptográfico.

La funcionalidad Crypto Express3 (CEX3) supone un nuevo avance en el estado de la técnica en lo relativo a funciones cifrado, tanto en criptografía simétrica como asimétrica.

Al igual que sus predecesoras, está diseñada para complementar las funciones del CPACF (CP Assist for Cryptographic Function). La placa detecta intentos de manipulación y reacciona ante ellos. Incluye dos procesadores criptográficos que funcionan en paralelo, dotando a las funciones criptográficas de un rendimiento y fiabilidad sin precedentes.

La funcionalidad Crypto Express3, se aloja en la cabina de entrada/salida o en en el receptáculo de entrada/salida del procesador z196 y mantiene en las arquitecturas zEnterprise las funciones disponibles en la Crypto Express3 originalmente desplegada en sistemas System z del tipo z10.

Cuando uno o ambos de los adaptadores PCIe se configuran como coprocesador, quedan disponibles las siguientes mejoras criptográficas introducidas por el procesador z196:

  • Seguridad por PIN según la norma ANSI X9.8
  • Encapsulamiento mejorado de claves CCA (Common Cryptographic Architecture) en conformidad con los requisitos de agrupamiento de claves de la norma ANSI X9.24
  • HMAC (Keyed-Hash Message Authentication Code – Código de autenticación de mensajes de Hash basado en clave) de clave segura.
  • Algoritmo de Firma Digital  basado en  Criptografía de curva elíptica (ECC)
  • Concurrent Driver Upgrade (CDU) Actualización de controlador concurrente y Concurrent Path Apply (CPA)

Otras funciones clave de Crypto Express3 incluyen:

  • Dynamic Power Management (gestión dinámica de consumo) para maximizar el rendimiento de RSA, manteniendo la CEX3 dentro de los límites de temperatura del sistema de reacción ante manipulaciones del conjunto.
  • Todas las particiones lógicas (LPAR) en todos los subsistemas de canal lógico (LCSSs – Logical Channel Subsystems) tienen acceso a la funcionalidad Crypto Express3, con hasta 32 LPARs por cada equipamiento.
  • Carga segura de código que permite la actualización de la funcionalidad, aunque la unidad esté en uso asignada a una aplicación.
  • Comprobación de bloqueo de CPUs duales para la detección de errores mejorada y aislamiento de fallos de
    las operaciones criptográficas que ejecute un coprocesador cuando un adaptador PCI-E se configure como
    coprocesador.
  • Mejora de RAS (Reliability, Availability and Serviceability) sobre versiones anteriores como consecuencia del uso de procesadores dobles y del prcesador de servicio.
  • Inserción dinámica  y configuración de equipamientos Express3 Crypto a LPAR sin interrupción del servicio.

Los equipamientos Crypto Express3 están diseñado para ofrecer mejoras de rendimiento tanto para operaciones criptográfica simétricas y asimétricas.

Otros artículos relacionados:

José Luis Méndez se jubila como director general de Caixa Galicia

Deja un comentario

El pasado 16 de septiembre de 2010, el director general de Caixa Galicia, José Luis Méndez López (A Coruña, 1945), informó  al consejo de administración de su decisión de jubilarse como empleado de la caja gallega, al cumplir la edad de 65 años. Tras una larga y fructífera carrera profesional en el sector financiero y después de 29 años dedicados a la dirección general de Caixa Galicia, Méndez continúa ligado a la entidad como presidente de la Fundación Caixa Galicia, puesto para el que ha sido elegido por su patronato.
 
El consejo de administración de Caixa Galicia entendió la decisión personal de Méndez, agradeciendo y elogiando la ingente tarea de quien ha sido el primer ejecutivo de la caja gallega durante los últimos 29 años. El consejo de administración ha encomendado las funciones de la dirección general al actual director general adjunto ejecutivo, Javier García de Paredes; y nombra secretario del consejo de administración a Francisco Serna Gómez, hasta ahora vicesecretario.
 
Bajo la dirección de Méndez, Caixa Galicia pasó de ser una pequeña caja provincial a convertirse en una de las 6 mayores cajas de ahorro españolas y en una de las 12 principales entidades financieras del país. El ya ex director general de Caixa Galicia pilotó, desde finales de los años 70, hasta ocho fusiones e integraciones alcanzando acuerdos con otras tantas entidades, tanto en Galicia como fuera de Galicia, que permitieron redimensionar el sector financiero gallego y encarar con éxito la expansión del sector en España.
 
José Luis Méndez inició su carrera como economista en la Universidad Complutense de Madrid, licenciándose en ciencias económicas y empresariales en 1967. Entre 1967 y 1971 se dedicó a la docencia, formando parte de la cátedra del ya fallecido Enrique Fuentes Quintana, como profesor de Hacienda Pública en la Complutense y, posteriormente, como profesor de Teoría Económica en la Universidad de Santiago de Compostela.
 
José Luis Méndez se incorporó como profesional al sector financiero en el departamento de inversiones del Banco del Noroeste. En 1977, entró en el mundo de las cajas de ahorro como director general de la Caja General de Ahorros de Ferrol, desde la que impulsa y consensúa la fusión con la Caja de Ahorros de A Coruña y Lugo (1978), fusión de la que nació Caixa Galicia.
 
El consejo de administración de Caixa Galicia nombró director general a José Luis Méndez en 1981, lo que le convirtió entonces en el director más joven del sector financiero español. Méndez prosiguió en los años siguientes su política de alianzas, integrando en el proyecto de Caixa Galicia a las cajas rurales de Pontevedra (1986), A Coruña (1986), Ourense (1988) y León (1992), la Caja de Ahorros Provincial de Lugo (1982) y a las redes bancarias de Banco de Fomento (1994), Banco Urquijo (1996) y BNP España (2000) 
Visto en Caixa Galicia

Período de gracia en las firmas XAdES-XL

5 respuestas

Debido al estado de desarrollo de los PSC cuando se redactaron algunas normas de firma electrónica, se tuvo en consideración el llamado «periodo de gracia para comprobación del estado de revocación de un certificado».

En alguna de aquellas normas  se recomendaba tener en cuenta la existencia de un periodo de tiempo de espera, conocido como periodo de precaución o periodo de gracia, para comprobar el estado de revocación de un certificado. Por ello, toda la información de revocación en formatos AdES se recomendaba incluirla después de trascurrido el periodo de precaución o periodo de gracia desde la obtención del sellado de tiempo. Este periodo como mínimo debía ser el tiempo máximo permitido para el refresco completo de las CRLs o el tiempo máximo de actualización del estado del certificado en el servicio OCSP. Estos tiempos podrán ser variables según la Declaración de Prácticas de Certificación del Prestador de Servicios de Certificación.

En la actualidad, está precaución no tiene sentido, especialmente cuando las firmas XAdES-XL se generan del lado del firmante y es este el que inlcuye los datos de timestamping y de validación basada en OCSP (y por tanto conoce si su certificado está revocado o no).

Efectivamente, en la actualidad, la información sobre revocación de certificados que ofrecen los prestadores de servicios de certificación sobre OCSP incluyen de forma inmediata cualquier información de revocación que se produzca, en tiempo real.

Sólo hay que tomar precauciones cuando se utilice como mecanismo de comprobación de la revocación el acceso a las listas CRL (un mecanismo obsoleto que solo se usa en algunos contextos) o cuando se utilice un servicio de validación que, aun siendo soportado por el protocolo OCSP, se basa en la consulta de CRLs para su funcionamiento.

En España, los únicos certificados que podrían requerir el mantenimiento del período de gracia son los de FNMT-RCM, ya que en muchos casos siguen distribuyendo CRLs. Igualmente, cuando se utilice @firma como plataforma de validación, conviene cerciorarse que el servicio no esté basado en consulta de CRLs.

18 de septiembre de 2010: Dia del software libre

Deja un comentario

El tercer sábado de septiembre, es el dia mundial del software libre. Este año, el 18 de septiembre.

Hoy empresas, particulares e instituciones desarrollarán múltiples actividades para impulsar el softare libre y darlo a conocer a quienes aún no lo conocen.

El Software Freedom Day se estableció en 2004, con 70 equipos participantes, y desde entonces ha crecido en popularidad en todo el mundo. Este año, por ejemplo, participarán más de 1.000 equipos

Entre las iniciativas anunciadas, podemos indicar las siguientes:

Albalia Interactiva es una de las principales entidades impulsoras del software libre, y ha desarrollado soluciones libres tanto en entornos Linux como Microsoft.

Entre los entornos en los que Albalia desarrolla cabe citar por su singularidad los entornos zLinux, tanto en la variante de Linux for System z de Red Hat como en la de Novell SuSE. Los zEnterprise (con el reciente lanzamiento del z196) son los ordenadores más potentes del mundo, y con la mayor capacidad para escalar y virtualizar. Con un nivel de seguridad EAL5 y con soporte nativo en sistema criptográfico CryptoExpress 3 de ECC, se constituye como el sistema más seguro del mundo. La nueva arquitectura, lanzada por IBM el pasado 22 de julio, va a revolucionar el mundo de la informática en las grandes instalaciones permitiendo unificar las «cargas de trabajo» destinadas también a arquitecturas Power e Intel X86.

La factura electrónica

2 respuestas

Aunque los autores del siguiente video no nos han consultado de forma expresa en el aspecto de «obra derivada» de nuestro libro sobre la factura electrónica, nos adelantamos y otorgamos nuestro permiso para llevarlo a cabo (aunque sea «a posteriori»).

Ya que siempre es agradable ver que las obras de uno (en este caso de Fernando Pino y de mi mismo) tienen cierta resonancia.

Esta es una «píldora formativa» de la EOI que hace más sencillo captar los principales conceptos de la factura electrónica.

EADTrust – European Agency of Digital Trust

3 respuestas

Logo EAD Trust As I mentioned in other articles, one of the companies with which I am working is EADTrust, European Agency of Digital Trust, a CSP (Certification Service Provider) that provides services related to electronic signatures in the framework of Law 59/2003 (or Directive 1999/93/CE) with a philosophy we intend to be innovative:

  • It is not planned to issue individual certificates to natural persons (we might consider issuing certificates to natural persons linked to groups as part of a project).
  • It provides services to manage trust of the Information Society, particularly by encouraging the creation of high quality electronic signatures with timestamping services, validation of digital certificates and electronic document custody.
  • It provides advanced services, some specifically designed for public administrations in the framework of eGovernment Law 11/2007: certified publication in the contractor’s profile, certified service of notice, electronic invoicing or generation and verification of electronic signatures through the OASIS DSS protocol (the Ministry of Presidence announced that the evolution of the official @firma platform will evolve to implement this protocol).
  • It manages two root CAs linked together, combining RSA cryptography and ECC (Elliptic curve cryptography).

The latter is a significant milestone, since this way EADTrust becomes the first certification authority in the world with dual technology, and possibly the first European Certification Authority that manages a PKI hierarchy based on elliptic curve cryptography.

The root CAs of both of the certificate hierarchies are as follows:

  • RSA (sha1RSA). RSA 2048-bit key size
  • ECC (sha1ECDSA). ECC key sizes: 256 bits (equivalent to 3020 bit RSA)

Both root CA certificates and keys were generated in the presence of a notary, a procedure that we have been refining on several CA (Certification Authority) key generation ceremonies to other certification providers with whom we have collaborated: FESTE, Camerfirma, Banesto and ANCERT.

The certification authority based on Elliptic Curve algorithm, uses random 256 BITS ECDSAFp (secp256r1), as indicated in the documents generated by the NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 and FIPS 186-3 in Appendices 6 and D respectively in their sections on the Recommended Elliptic Curves for Federal Government use (United States).

This algorithm is also described in document ETSI TS 102 176-1 V2.0.0 (2007-11) «Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

Other references:

  • RFC 4051 «Additional XML Security Uniform Resource Identifiers (URIs)»
  • RFC 4492 «Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)»
  • ISO/IEC 15946 «Information technology — Security techniques — Cryptographic techniques based on elliptic curves»
  • ANSI X9.62:2005 «Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)»

6th European EXPP Summit

Deja un comentario

Hilton Munich Park Hotel, Munich, Germany
October 11 & 12, 2010

Europe’s leading Congress on E-Invoicing & E-Billing will celebrate its sixth anniversary this year.

More than 350 E-Invoicing experts and interested parties from about 30 countries will meet in Munich to exchange views about current trends and perspectives.

Top-notch speakers will talk about their experiences with E-Invoicing projects over the course of two days. The European EXPP Summit 2010 will reward the participants with an exclusive series of success stories and best practice sessions from numerous industries across Europe.

  • Hear the latest news on market trends, perspectives, standards and initiatives
  • Success stories telling how the Procure-to-Pay process and the Financial Supply Chain have been improved and how they can help to reduce costs considerably
  • Focus on the different possibilities for implementing E-Invoicing & E-Billing and for harmonising legislation in Europe

The mixture of lectures from experts in the field and professionals with practical experience, as well as podium discussions, roundtables, large exhibition area and especially the focus on Europe will make the European EXPP Summit 2010 a compulsory event for CEOs, CFOs, CIOs, Heads of A/R and A/P, Procurement, Invoice Management and E-Invoicing decision makers from all over Europe.

Further information and the registration form can be found at: www.expp-summit.com

Cluster TIC de Seguridad y Confianza de Madrid Network

Deja un comentario

El Clúster TIC de Seguridad y Confianza, perteneciente a Madrid Network (la red de parques científico tecnológicos y clusters de la Comunidad de Madrid) es una Asociación que engloba a las principales empresas de Seguridad TIC de Madrid, en un sentido amplio de Seguridad Integral, y en el que participa Albalia Interactiva.

Madrid Network se creó en mayo de 2007 a través del Instituto Madrileño de Desarrollo, y engloba en su red de parques y clusters a más de 500 grandes y pequeñas empresas, centros de investigación, universidades y centros tecnológicos.

Bajo la forma de Asociación Empresarial de Interés General, tiene como objetivo potenciar el desarrollo de la I+D+i entre sus miembros, apostando por la colaboración y cooperación empresarial público-privada, para situar a la región entre las 10 regiones más innovadoras del mundo.

El Cluster de Seguridad y Confianza de la Comunidad de Madrid inició sus actividades en Junio de 2008 y está formado por 35 socios, de los cuales un 70% pertenecen a la industria,  con un 54% de la base de socios que son PYMES.

Después de la fase de lanzamiento, el Clúster está inmerso en su proceso de crecimiento y consolidación, y su objetivo final pasa por ser un referente internacional como entidad y contribuir al posicionamiento global de sus socios en el mercado mundial.

“La comercialización en un contexto internacional, es un factor esencial para la definitiva configuración de este sector, y en particular para el desarrollo de una PYME” en palabras de Lucio González, su Gerente.

Para conseguir posicionar a las empresas madrileñas en el panorama internacional, el Clúster TIC de Seguridad y Confianza, articula una serie de líneas estratégicas basadas en varios pilares clave: el fomento de la I+D+i del sector, el apoyo a la globalización de sus socios con la participación en congresos y reuniones internacionales donde crear sinergias con otras Redes Avanzadas, el incremento de sus recursos y una mejora de la percepción y la formación del sector. Todo ello con el último objetivo de generar oportunidades de negocio a sus socios.

Entre los objetivos del Cluster están:

  • Contribuir a promover la Comunidad de Madrid como centro internacional de excelencia dentro del mercado de la seguridad y asegurar que sus miembros permanecen al frente de la innovación, estimulando y dando soporte al intercambio de conocimiento y la colaboración y manteniéndose al día en los últimos avances tecnológicos.
  • Impulsar proyectos de demanda temprana con el objetivo de ser un líder europeo y que hagan de la región una fijadora de tendencias para el sector de la seguridad.
  • Proveer el acceso a una concentración geográfica única de conocimiento y experiencia a nivel internacional, uniendo a todos los actores de la cadena de valor. 

Estos son los socios del Cluster:

AETIC ALBALIA INTERACTIVA ALBATIAN
AMIPEN

 
AMPER ASHES logo COESA DGAM
EPOCHE & ESPRI FI2NET GRUPO GESFOR GMV
IMADE
IMDEA AGUA

 
IMDEA CIENCIAS SOCIALES

 
IMDEA MATERIALES

 
IMDEA NANOCIENCIA

 

 IMDEA NETWORKS IMDEA SOFTWARE INCLAM
INDRA infoGLOBAL INTELLIGENT DATA IP LOGIKA
NEXT LIMIT logo NIT OESIA PLETTAC
PROMOMADRID REALSEC logo sainsel SECUWARE
  

 

SIGNWARE
  

 SYDEEN

 TELEFÓNICA UCM, NEUROCOMPUTACIÓN Y NEUROROBÓTICA
CENTRO DE INNOVACIÓN TECNOLÓGICA, UC3 logo UPM

Internet Identity Workshop

Deja un comentario

The 1st European Internet Identity Workshop (IIW) will take place in London on 11 October 2010. The unique ‘unconference format’ is ideal for such a fast moving field as internet identity. A very effective way to learn more about online identity and to meet the European experts.

The Internet Identity Workshop has been held semi-annually in California since the Fall of 2005. The 10th IIW was held this past May and had the largest attendance thus far. There have been many requests to have an IIW on the East coast, and now the Open Identity for Open Government Initiative is providing a timely incentive to have one in Washington.

IIWs focus is on “user-centric identity”, addressing the technical and adoption challenge of how people can manage their own identity across the range of websites, services, companies, government agencies and organizations with which they interact. IIW-East will focus mainly on the government adoption of open identity technologies for use by government websites.

Unlike other identity conferences, IIW’s focus on the use of identity management approaches based on open standards that are privacy protecting. IIW is a unique blend of technology and policy discussions where everyone from a diverse range of projects doing the real-work of making this vision happen are able to gather to work intensively for two days. It is the best place to meet and participate with all the key people and projects such as:
  • OpenID
  • IMI Information Cards
  • GSA approved schemas for open identity protocols
  • Personal Data Stores
  • NIH pilot adoption of Open Identity technologies
  • Certification of industry open identity credentials
  • Business models for higher LOA open identity credentials
  • National Strategy for Trusted Identities in Cyberspace

The event has a unique format – the agenda is created live the day of the event. This allows for the discussion of key issues, projects and a lot of interactive opportunities with key industry leaders.

The event compiles a book of proceedings with the notes that are gathered from the conference. You can find the Book of Proceedings for IIW7, IIW8,  IIW9 & IIW10 here. BTW these FOUR documents are your key to convincing your employer that this event will be valuable. As attendees register we ask about topics they wish to discuss.

Providing identity services between the general public and government websites is a different problem than providing authentication and authorization services within one or a few organizations (enterprise provisioning/termination or federation between two companies or government agencies).

As a community we are exploring these kinds of issues:

Questions Agencies Face:

  • How can open identity technologies enable open government
  • How can agencies leverage identity credentials generated by other organizations
  • How can the government  leverage the efforts of social networking sites that offer user-centric identity credentials
  • What are the advantages to agencies of adopting open identity technologies
  • How can open identity technologies enable your websites to move beyond brochure-ware
  • How can we increase the speed in which government organizations can benefit from the use of open identity approaches
  • How to manage Federated Identity on an ever increasing scale
  • What are the implications of National Strategy for existing policy mandates
  • Should there be integrated political architecture
  • There are five distinct Cyber Security Bills in Congress now – what are the implications

Policy  Considerations:

  • The relationship between FIPS (Federal Information Processing Standards) and identity management
  • What are the business cases for agencies to adopt Open Identity Technologies
  • What are the new legal constructs that make this work
  • How to use open identity technologies to preserve privacy while providing personalization
  • GSA standards for the use of open identity technology
  • Data Privacy Issues
  • Personal Data – how is it stored and shared with end users
  • How are these new approaches regulated

Technical Issues:

  • Open identity standards (identity and semantic)
  • What software is available to leverage open identity standards
  • How different standards and technical implementations interoperate
  • How agencies can accept identity credentials generated by other organizations
  • How open identity technologies can enable your website to move beyond brochure ware, without using cookies
  • How to leverage open identity technologies in your technology roadmap
  • How to implement Federal Identity
  • Tecnlogy issues involved in implementing existing Identity Management technology
  • Lessons learned – what are the most effective ways for Federal Agencies to build and employ identity systems

New Industry Developments:

  • Personal Data Stores/Data Banks with our digital footprints recorded
  • What new Identity Management technologies are on the horizon
  • National strategy for trusted identities in Cyberspace

EasySET – El rediseño de Banesto del protocolo SET

1 respuesta

Hace 10 años que se publicó este artículo sobre Easy SET, una iniciativa que impulsamos desde Banesto, para mejorar la seguridad de los medios de pago y facilitar su uso, y que no pudo tener continuidad por el giro de la industria hacia el 3D Secure.

Sigue estando disponible la presentación que preparé entonces y que se utilizó en un estudio de Celent.

EasySET

By Mark Merkow, CCP, CISSP
September 7, 2000

EasySET is an implementation of the Secure Electronic Transactions standard from the Spanish bank, Banesto. EasySET, hosted at Banesto, answers many of the criticisms of «classical SET» by lightening the weight of consumer wallets and centralizing the complex processing of the point-of-sale (POS) system and the acquirer payment gateway system into a service model implementation. This service model approach to SET takes the processing load off the merchant e-commerce systems while offering the advantages of improved transaction security and faster processing.

Banesto»s involvement with SET began as early as 1996 with a pilot project using the Banesto Virtual@Cash card. In mid-1997, the first Spanish SET transaction was run, and a couple of years later the SET Facil, or EasySET project was launched. Banesto expects over 1,000 virtual shops supporting over 50,000 cardholders by year»s end.

The EasySET Wallet supports SET transactions for Eurocard Mastercard and Visa cards issued by Banesto. The wallet is a free download for Banesto»s customers via a »click-and-go» interface that enables a one-step download for SET cardholder certificates.

Download and installation of the SafeLayer Wallet proceeds as follows:

  • Upon requesting the wallet software from the online bank, the user is authenticated by whatever means they choose
  • Users select which of their active credit card(s) they wish to activate for SET
  • Upon clicking the link for the selected card(s), request messages include the bank-sourced card information that the user would otherwise need to enter into the wallet
  • Since the EasySET wallet has all the needed information, the cardholder can download, install, and configure the wallet with the SET certificate(s) in less than 5 minutes
  • Shopping proceeds directly

When customers select an SET-enabled credit card for payment, the EasySET POS system and Payment Gateway go to work at the Banesto site. Because the heavy-lifting work needed by the wallet is housed and maintained on Banesto»s system, any upgrades needed to the software are completely transparent to users. Additionally, the SafeLayer Wallet supports the Electronic Commerce Markup Language (ECML)to speed up checkout processing through auto-fill features on merchant Web forms.

Banesto has further simplified the activities for bringing a new e-commerce site online by offering the CiberTienda shopping cart system for free and Virtual POS as open source downloads under the GNU public license. The systems are available for Linux, and will soon be available for Solaris, Irix, and Windows NT.

How EasySET Works

In compliance with the SET specification, the EasySET system offers the full complement of the SET messaging protocol to keep credit card information from falling into the wrong hands. It also supports the uses of SSL where SET is unavailable on cardmember registered cards. Cardmembers need to download and install the SafeLayer Wallet (around 500Kbytes) and register their cards for SET-enablement. Merchants download and install the Banesto Virtual POS, along with the CiberTienda shopping system, or within their existing e-commerce software. Multiple merchants can share the same POS software, provided that each merchant obtains and manages their own pairs of SET digital certificates needed to conduct transactions and settlement steps. The Virtual POS module consists of a manual, a CGI script, a daemon or service component, and a pair of certificates to identify the supplier and the business. Banesto serves as the Merchant Certificate Authority (CA) and Cardholder CA.

To integrate the Virtual POS, merchants run the CGI script and enter some data that will identify transactions from them. The POS communicates via SSL with Banesto and a secure server there displays the forms of payment possible to the cardholder»s browser. These forms of payment choices can be personalized for each merchant site. The traditional authorization request is then sent to an authorizing center where it is processed and validated.

The bank communicates the result of the transaction back to the merchant site daemon using SSL. In addition to SSL payment, Banesto offers the SET mode payment to help guarantee the identity of the parties involved. In these cases, when the client proceeds to checkout processing, he chooses the SET payment processing option on the merchant Web site and the wallet application starts automatically. From this point on, SET request-response message pairs are prepared and communicated appropriately.

Added benefits from the Banesto Virtual POS include:

  • Sending e-mail to confirm payments and order authorization codes
  • The option of establishing maximum daily limits for each credit card number
  • The ability to audit merchant data from the beginning of a transaction to the return result of the operation
  • Access to the Extractos (statements) application to view transactions that have been completed. Extractos also permits on-line adjustments and credits as needed for business operations
  • A daily automatic totaling and balancing service to compare bank records with merchant records

Fees, Costs, etc.

EasySET software is available as a free download to both merchants and cardholders. Since SET-based transactions carry lower risks with a higher assurance of participant identities, Banesto offers no-chargebacks on transactions conducted using EasySET. Other than typical set-up costs for merchant services, there are no added fees or costs associated with EasySET, and possibly reduced discount fees due to card-present transaction rules.

Overall

EasySET indeed simplifies and eliminates many of the criticisms of Classical SET, and its price is certainly hard to beat! As future success of the service model for SET is proven out, EasySET may well become a popular choice for issuer banks across the globe.

Pros

EasySET shows great promise as a SET implementation that»s reliable, repeatable, and easy to maintain and operate. Because EasySET Virtual POS supports both SSL and SET it seems a natural choice for those desiring a higher level of security and assurance of Internet-based credit card purchases.

Cons

EasySET is only available in Spain by Banesto and can only be used by Banesto customers (merchants and cardholders).

Links:
Banesto shopping cart software
EasySET example of CiberTienda system
A Leaner and Meaner SET Lowers Merchant Barriers To Entry

Mark Merkow is an E-commerce Security Specialist and technology author. His books include Building SET Applications for Secure Transactions, Thin Clients Clearly Explained, Virtual Private Networks for Dummies, and The Complete Guide To Internet Security. Mark can be reached at mmerkow@internet.com