PROCEDIMIENTO ESPECFICO

RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

ndice
1. TABLA RESUMEN..................................................................................... 2
2. OBJETO................................................................................................... 2
3. ALCANCE................................................................................................. 2
4. RESPONSABILIDADES ............................................................................ 3
5. ENTRADAS .............................................................................................. 3
6. SALIDAS ................................................................................................. 3
7. PROCESOS RELACIONADOS .................................................................... 3
8. DIAGRAMA DE FLUJO.............................................................................. 4
9. DESARROLLO .......................................................................................... 5
9.1. COMPONENTES EN LA SEGURIDAD DE UN COMERCIO ELECTRNICO 5
9.2. HERRAMIENTAS DE PROTECCIN DE UN E-COMMERCE O COMERCIO
ELECTRNICO ......................................................................................... 5
9.3. CERTIFICADOS ................................................................................. 6
9.4. INFRAESTRUCTURA DE CLAVE PBLICA O PKI ............................... 11
10. ARCHIVO ............................................................................................ 11
11. DEFINICIONES ................................................................................... 11
12. FORMATOS Y REFERENCIAS ................................................................ 11

FECHA DE ENTRADA EN VIGOR:

Realizado:

Revisado y aprobado:

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

1. TABLA RESUMEN
SECTORES

SERVICIOS TELEMTICOS Y NUEVAS

TECNOLOGAS

SUBSECTOR/ES

INTERNET

ACTIVIDAD/ES

COMERCIO ELECTRNICO

GUA/S ACTIVIDAD/ES

COMERCIO ELECTRNICO

TIPOLOGA DEL PROCESO

ESPECFICO

PROCESO

SEGURIDAD DE LA INFORMACIN

RESPONSABLE PROCESO

PROPIETARIO/GERENTE

PROCESOS RELACIONADOS

PLANIFICACIN Y EVALUACIN

ENTRADAS: NECESIDAD DE
UTILIZAR HERRAMIENTAS PARA
QUE LA TRANSMISIN DE DATOS SE RESPONSABLE: GERENTE
EFECTE CON UNOS MNIMOS DE
SEGURIDAD PARA LOS USUARIOS
SALIDAS: LA ACTIVIDAD DEL
COMERCIO ELECTRNICO SE
REALIZA CON SEGUIRDAD EN LA
TRANSMISIN DE DATOS

RESPONSABLE: GERENTE

2. OBJETO
En este procedimiento se describen los diferentes mecanismos que se pueden
emplear para que las operaciones comerciales se realicen con seguridad en la
informacin.

3. ALCANCE
Este proceso comienza con la aplicacin de herramientas de seguridad desde que
un usuario se conecta a la red o sitio web donde se aloja el comercio electrnico,
incluyendo el intercambio de informacin desde este al usuario final.
Actividades a las que afecta este proceso:

Gabinetes de programacin

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

4. RESPONSABILIDADES
Gerente: responsable mximo del negocio y, por tanto, el responsable de velar por
la proteccin de las operaciones comerciales en un comercio electrnico.

5. ENTRADAS
El proceso comienza con la necesidad de proteger las operaciones en un comercio
electrnico para que los usuarios/clientes tengan confianza y seguridad al realizar
operaciones comerciales en l.

6. SALIDAS
La finalizacin del proceso se obtiene consiguiendo generar confianza en los
usuarios/clientes ya que estos realizarn operaciones en la web del comercio
electrnico sabiendo que sus datos estn totalmente protegidos.

7. PROCESOS RELACIONADOS

Planificacin y evaluacin.

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

8. DIAGRAMA DE FLUJO

NOTA: El nmero que aparece en cada etapa indica el punto del apartado 9 del
procedimiento, DESARROLLO al que pertenece

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

9. DESARROLLO
9.1. COMPONENTES EN LA SEGURIDAD DE UN
COMERCIO ELECTRNICO
Unos de los aspectos ms importantes para que un comercio electrnico tenga xito
es hacer que ste resulte fiable para los usuarios.
La seguridad en un ambiente de comercio electrnico involucra las siguientes
caractersticas:

Privacidad: que las transacciones no sean visualizadas por nadie.

Integridad: que los datos o transacciones como nmeros de tarjeta de
crdito o pedidos no sean alterados.
No Repudio: posibilita que el que gener la transaccin se haga
responsable de ella y brinda la posibilidad de que ste no la niegue.
Autentificacin: que las partes que intervienen en la transaccin sean
leales y vlidas.
Facilidad: que las partes que intervienen en la operacin no encuentren
dificultad al hacer la transaccin.

9.2. HERRAMIENTAS DE PROTECCIN DE UN ECOMMERCE O COMERCIO ELECTRNICO

Las estructuras de seguridad de un sitio de comercio electrnico no varan con las
de un sitio tradicional, pero ha de implementarse el protocolo SSL en la mayora de
los casos para tener un canal seguro en las transacciones.

9.2.1. FIREWALLS (CORTA FUEGOS)

El Firewall es una herramienta preventiva contra ataques que realiza una inspeccin
del trfico entrante y saliente. Esto impide que servicios o dispositivos no
autorizados accedan a ciertos recursos y, de esta manera, protegernos contra
ataques de denegacin de servicios.
Firewall puede ser por Software o hardware o bien combinaciones de stos.

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

9.2.2. SSL Y SUS APLICACIONES

El "Secure Socket Layer" (SSL) es un protocolo de seguridad utilizado para la

trasmisin de datos punto a punto por Internet. Utiliza mecanismos de
encapsulacin, encriptacin y autentificacin entre el cliente y el servidor.
Este mtodo de seguridad es muy destacado y utilizado ya que, por cada conexin
que se hace, el servidor enva una clave diferente. Esta poltica de envo de claves
hace que en caso de que alguien consiga desencriptar la clave, lo nico que podr
hacer es cerrar la conexin que corresponde a esa clave, pero en ningn caso ser
aplicable a conexiones siguientes.

9.3. CERTIFICADOS
Un Certificate Authority (CA) es una empresa que emite certificados. El certificado
debe ser emitido por empresas externas, estos certificados aportan autenticidad a
los clientes o a las empresas.
Cuando nos conectamos a un sitio certificado tenemos la certeza de que este sitio
es quien dice ser, de manera que no existen suplantaciones de identidad.
Adems de esta emisin de certificados una CA ser la responsable tambin de:

Revocar certificados y crear CRLs (Certificate Revocation List) que son

listas de certificados ya no vlidos.
Autoridad de Registro (RA): es la entidad encargada de gestionar altas y
bajas de las peticiones de certificacin como as tambin la revocacin.
Entonces un usuario que desea solicitar un certificado de clave pblica se
debe dirigir a una RA autorizada por una CA.

COMPONENTES DE UN CERTIFICADO
Los certificados han de contener la siguiente informacin:

Un dominio para el cual se expidi.

Dueo del Certificado.
Domicilio del Dueo.
Y la fecha de validez del mismo.

A efectos prcticos se realizar un ejemplo real, en este caso la compra de un libro.

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

Primer paso:
Conectarse a la web donde el comercio se encuentra alojado, http:/www.xxx.com/

Importante detallar que la barra de estado del Internet Explorer nos est indicando
que estamos en un sitio web de la red de Internet. Antes de realizar ningn tipo de
transaccin dnde sea necesario proteger la trasmisin de datos el aspecto de la
pantalla ser el de una pgina web normal tal y como se muestra en la imagen
anterior.
Segundo paso:
A continuacin se nos indica que rellenemos los datos necesarios para realizar el
envo y pago de las compras efectuadas. En este punto, la informacin que se enva
desde el cliente (comprador) al servidor (vendedor) es sensible, ya que por internet
viajan los datos necesarios para realizar el pago de la compra. Por ello, tenemos
que estar seguros de que el servidor es quien realmente dice ser. Esto se consigue
a travs del certificado de servidor (indicado con el pequeo candado de la parte
inferior izquierda de la pantalla) de manera que los intercambios de datos e
informacin se estn realizando en un servidor seguro y que, por tanto, se pueden
incluir los datos con total confianza. Una verificacin de lo que se est afirmando se
puede obtener haciendo doble clic sobre dicho candado amarillo y se encontrar
ms informacin sobre el certificado del servidor.

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

Aqu se encuentra la informacin bsica del certificado, sta nos confirma que s se
conecta al servidor correcto, el certificado fue emitido por un CA, es decir, una
tercera empresa que no tiene que ver nada con la empresa en la cual se realiza la
operacin comercial.
Para ms informacin en la pestaa de detalles se encuentra ms informacin
tcnica sobre el certificado:

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

El algoritmo utilizado, la versin de SSL, el algoritmo de identificacin, la

fecha de validez que posee, entre otros.
La fuerza de cifrado que est utilizando RSA (1024 bits) que es un cifrado
muy fuerte.

El esquema grfico de cmo sera la comunicacin entre el usuario web y el

servidor al que ha accedido para realizar la transaccin comentada en el ejemplo
anterior es el siguiente:

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

Pasos seguidos:
Hito 1: el usuario se conecta al hito 2
Hito 2: son mostrados todos los productos que pueden ser comprados y, segn la
seleccin deseada, se accede a un sitio seguro. En el hito 2 contacta con el hito 3,
el cual enva al usuario la direccin del certificado para el hito 2, donde verifica su
validez.
Utilizar SSL posee beneficios grandes, ya que es un estndar, no es necesario
instalar ningn software adicional de lado del cliente y tampoco de lado del
servidor, pues la mayora de los servidores web como son IIS (Internet Information
Server) y Apache ya poseen soporte para SSL conexiones seguras. Los
navegadores de Internet ms populares como lo son el Internet Explorer y el
Netscape tambin ya poseen soporte para el SSL.
Tambin da una prueba de que su servidor web es su servidor web, es decir que
est protegiendo la identidad de su sitio web.
El 95 % de los pagos de Internet se realizan utilizando hoy en da SSL.
SSL no depende de ningn sistema operativo, es independiente, puede ser utilizado
sobre cualquier plataforma.
En el Hito 3 el CA se encarga de:
- Emitir el Certificado.
- Validar la autenticidad del Emisor y Receptor (Punto 1 y 2).
- Mantener una base de datos con los certificados validados.
Esta sesin por lo tanto es privada, ntegra, soporta no repudio y tambin
autenticacin.

10

PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA

Seguridad de la Informacin
Cdigo

G022-02

Edicin

9.4. INFRAESTRUCTURA DE CLAVE PBLICA O

PKI
Est basada en criptografa de clave pblica, que permite la gestin de certificados.
Una PKI es una fusin de soluciones dadas en hardware, software y polticas de
seguridad. PKI como se ha nombrado anteriormente est dada por la utilizacin de
Certificados Digitales o bien un documento digital que identifica cualquier
transaccin.

Aplicaciones habilitadas por PKI:

-

Comunicacin entre servidores

Correo Electrnico
EDI (Intercambio Electrnico de Datos)
Transacciones con tarjeta de Crditos
Redes Virtuales Privadas (VPN)

10. ARCHIVO
No aplica.

11. DEFINICIONES

SSL: Secure Socket Layers, protocolo de conectores o canal seguro, son

utilizados en los servidores Web para proporcionar seguridad a las
comunicaciones personales y de negocios que usen internet.
Encriptar: Es un mtodo de proteccin de informacin. Aplicar operaciones
matemticas a un texto para convertirlo en informacin imposible de leer,
en un lenguaje cifrado.

12. FORMATOS Y REFERENCIAS

No aplica.

11