Escolar Documentos
Profissional Documentos
Cultura Documentos
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
ndice
1. TABLA RESUMEN..................................................................................... 2
2. OBJETO................................................................................................... 2
3. ALCANCE................................................................................................. 2
4. RESPONSABILIDADES ............................................................................ 3
5. ENTRADAS .............................................................................................. 3
6. SALIDAS ................................................................................................. 3
7. PROCESOS RELACIONADOS .................................................................... 3
8. DIAGRAMA DE FLUJO.............................................................................. 4
9. DESARROLLO .......................................................................................... 5
9.1. COMPONENTES EN LA SEGURIDAD DE UN COMERCIO ELECTRNICO 5
9.2. HERRAMIENTAS DE PROTECCIN DE UN E-COMMERCE O COMERCIO
ELECTRNICO ......................................................................................... 5
9.3. CERTIFICADOS ................................................................................. 6
9.4. INFRAESTRUCTURA DE CLAVE PBLICA O PKI ............................... 11
10. ARCHIVO ............................................................................................ 11
11. DEFINICIONES ................................................................................... 11
12. FORMATOS Y REFERENCIAS ................................................................ 11
Realizado:
Revisado y aprobado:
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
1. TABLA RESUMEN
SECTORES
SUBSECTOR/ES
INTERNET
ACTIVIDAD/ES
COMERCIO ELECTRNICO
GUA/S ACTIVIDAD/ES
COMERCIO ELECTRNICO
ESPECFICO
PROCESO
SEGURIDAD DE LA INFORMACIN
RESPONSABLE PROCESO
PROPIETARIO/GERENTE
PROCESOS RELACIONADOS
PLANIFICACIN Y EVALUACIN
ENTRADAS: NECESIDAD DE
UTILIZAR HERRAMIENTAS PARA
QUE LA TRANSMISIN DE DATOS SE RESPONSABLE: GERENTE
EFECTE CON UNOS MNIMOS DE
SEGURIDAD PARA LOS USUARIOS
SALIDAS: LA ACTIVIDAD DEL
COMERCIO ELECTRNICO SE
REALIZA CON SEGUIRDAD EN LA
TRANSMISIN DE DATOS
RESPONSABLE: GERENTE
2. OBJETO
En este procedimiento se describen los diferentes mecanismos que se pueden
emplear para que las operaciones comerciales se realicen con seguridad en la
informacin.
3. ALCANCE
Este proceso comienza con la aplicacin de herramientas de seguridad desde que
un usuario se conecta a la red o sitio web donde se aloja el comercio electrnico,
incluyendo el intercambio de informacin desde este al usuario final.
Actividades a las que afecta este proceso:
Gabinetes de programacin
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
4. RESPONSABILIDADES
Gerente: responsable mximo del negocio y, por tanto, el responsable de velar por
la proteccin de las operaciones comerciales en un comercio electrnico.
5. ENTRADAS
El proceso comienza con la necesidad de proteger las operaciones en un comercio
electrnico para que los usuarios/clientes tengan confianza y seguridad al realizar
operaciones comerciales en l.
6. SALIDAS
La finalizacin del proceso se obtiene consiguiendo generar confianza en los
usuarios/clientes ya que estos realizarn operaciones en la web del comercio
electrnico sabiendo que sus datos estn totalmente protegidos.
7. PROCESOS RELACIONADOS
Planificacin y evaluacin.
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
8. DIAGRAMA DE FLUJO
NOTA: El nmero que aparece en cada etapa indica el punto del apartado 9 del
procedimiento, DESARROLLO al que pertenece
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
9. DESARROLLO
9.1. COMPONENTES EN LA SEGURIDAD DE UN
COMERCIO ELECTRNICO
Unos de los aspectos ms importantes para que un comercio electrnico tenga xito
es hacer que ste resulte fiable para los usuarios.
La seguridad en un ambiente de comercio electrnico involucra las siguientes
caractersticas:
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
9.3. CERTIFICADOS
Un Certificate Authority (CA) es una empresa que emite certificados. El certificado
debe ser emitido por empresas externas, estos certificados aportan autenticidad a
los clientes o a las empresas.
Cuando nos conectamos a un sitio certificado tenemos la certeza de que este sitio
es quien dice ser, de manera que no existen suplantaciones de identidad.
Adems de esta emisin de certificados una CA ser la responsable tambin de:
COMPONENTES DE UN CERTIFICADO
Los certificados han de contener la siguiente informacin:
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
Primer paso:
Conectarse a la web donde el comercio se encuentra alojado, http:/www.xxx.com/
Importante detallar que la barra de estado del Internet Explorer nos est indicando
que estamos en un sitio web de la red de Internet. Antes de realizar ningn tipo de
transaccin dnde sea necesario proteger la trasmisin de datos el aspecto de la
pantalla ser el de una pgina web normal tal y como se muestra en la imagen
anterior.
Segundo paso:
A continuacin se nos indica que rellenemos los datos necesarios para realizar el
envo y pago de las compras efectuadas. En este punto, la informacin que se enva
desde el cliente (comprador) al servidor (vendedor) es sensible, ya que por internet
viajan los datos necesarios para realizar el pago de la compra. Por ello, tenemos
que estar seguros de que el servidor es quien realmente dice ser. Esto se consigue
a travs del certificado de servidor (indicado con el pequeo candado de la parte
inferior izquierda de la pantalla) de manera que los intercambios de datos e
informacin se estn realizando en un servidor seguro y que, por tanto, se pueden
incluir los datos con total confianza. Una verificacin de lo que se est afirmando se
puede obtener haciendo doble clic sobre dicho candado amarillo y se encontrar
ms informacin sobre el certificado del servidor.
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
Aqu se encuentra la informacin bsica del certificado, sta nos confirma que s se
conecta al servidor correcto, el certificado fue emitido por un CA, es decir, una
tercera empresa que no tiene que ver nada con la empresa en la cual se realiza la
operacin comercial.
Para ms informacin en la pestaa de detalles se encuentra ms informacin
tcnica sobre el certificado:
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
Pasos seguidos:
Hito 1: el usuario se conecta al hito 2
Hito 2: son mostrados todos los productos que pueden ser comprados y, segn la
seleccin deseada, se accede a un sitio seguro. En el hito 2 contacta con el hito 3,
el cual enva al usuario la direccin del certificado para el hito 2, donde verifica su
validez.
Utilizar SSL posee beneficios grandes, ya que es un estndar, no es necesario
instalar ningn software adicional de lado del cliente y tampoco de lado del
servidor, pues la mayora de los servidores web como son IIS (Internet Information
Server) y Apache ya poseen soporte para SSL conexiones seguras. Los
navegadores de Internet ms populares como lo son el Internet Explorer y el
Netscape tambin ya poseen soporte para el SSL.
Tambin da una prueba de que su servidor web es su servidor web, es decir que
est protegiendo la identidad de su sitio web.
El 95 % de los pagos de Internet se realizan utilizando hoy en da SSL.
SSL no depende de ningn sistema operativo, es independiente, puede ser utilizado
sobre cualquier plataforma.
En el Hito 3 el CA se encarga de:
- Emitir el Certificado.
- Validar la autenticidad del Emisor y Receptor (Punto 1 y 2).
- Mantener una base de datos con los certificados validados.
Esta sesin por lo tanto es privada, ntegra, soporta no repudio y tambin
autenticacin.
10
PROCEDIMIENTO ESPECFICO
RAZN SOCIAL DE
LA EMPRESA
Seguridad de la Informacin
Cdigo
G022-02
Edicin
10. ARCHIVO
No aplica.
11. DEFINICIONES
11