El comerç electrònic necessita garantir una seguretat tècnica i jurídica que impedissin un anormal funcionament del negoci o una desconfiança en el mitjà utilitzat per a comerciar.
En este sentit s'han aportat una sèrie de solucions, proposades pels organismes de normalització, per a evitar els possibles perills o operacions il·legals a què pot estar sotmès Internet. Bàsicament es tractaria de garantir quatre principis.
1. Principi d'autenticitat: que la persona o l'empresa que diu estar a l'altre costat de la xarxa és qui diu ser.
2. Principi d'integritat: que allò transmès a través de la xarxa no haja sigut modificat.
3. Principi d'intimitat: que les dades transmeses no hagen sigut vistes durant el tràfec telemàtic.
4. Principi de no repudiació: que allò transmès no pugui ser repudiat o rebutjat.
En l'actualitat, el comerç electrònic no està garantint completament estos principis mencionats..
El principi de la intimitat s’aconsegueix gràcies a la implantació d'un protocol de comunicació segur, com per exemple el SSL (Secure Sockets Layer). Els servidors segurs SSL els podrem identificar perquè en el cantó inferior esquerre del navegador (en el cas de Netscape) canvia d'un pany obert a un de tancat i, a més, en la URL o Location canvia de http:// a https:// (Hipertext Transport Protocol Secure). Gràcies a este protocol de comunicació segura, es poden transmetre les dades de la targeta sense que ningú les pugui capturar. A pesar de la seguretat en la comunicació, la utilització d'este protocol de comunicació en el pagament dels productes i servicis podria produir desconfiança en el client, ja que potencialment el venedor pot realitzar qualsevol tipus de frau amb total impunitat en posseir el seu número de targeta i no quedar garantida la integritat del document de pagament. Només les empreses amb molt bona reputació podrien, a priori, comptar amb la confiança del consumidor.
D'altra banda, el consumidor que paga amb targeta pot negar la compra del producte i el banc estarà obligat a tornar els diners si "no ha sigut presentada directament o identificada electrònicament. El problema sorgiria sobretot quan s’utilitzarà per a comprar béns o servicis intangibles, és a dir, béns que no necessiten trasllat físic, ja que seria més difícil de provar on ha anat a parar el producte o servici i, per tant, si es comet el frau. El perjudicat en este cas és sens cap dubte el proveïdor, ja que seria molt difícil recuperar el servici o producte venut. A més, el possible frau amb números de targetes robats fa que les entitats de crèdit afegissin una comissió en les compres bastant elevada (un 5% +/-) per a compensar estes pràctiques fraudulentes. Açò fa que el preu de la compra s’incrementi considerablement, cosa que anul·la l'atractiu inicial de comprar per Internet: els preus baixos. Per a proporcionar major seguretat jurídica al comerç electrònic, s'idea la combinació del protocol de comunicació segur SSL amb la firma electrònica, garantint aleshores l'efecte de no repudiació, ja que en firmar l'oferta de compra hi ha una prova amb igual valor jurídic que la firma manuscrita (art. 3 del RDL 14/1999, sobre firma electrònica) i, per tant, en cas de negar la compra del producte, el comerciant pot provar davant els tribunals que este va ser comprat pel tenidor de l'esmentada firma.
Hi ha un altre problema a salvar que és la possible obtenció de la base de dades de números de targetes dels clients, ja que este està en possessió del comerç per a realitzar els pagaments amb el banc. Així es podria donar el cas que una fallada o forat de seguretat en la nostra web provoqui l'entrada d'un empleat descontent o d'un pirata informàtic que s’apoderi de les bases de dades de targetes per a utilitzar-la amb fins il·lícits. Per a evitar açò, s'han ideat els TPV virtuals que llancen els servidors dels bancs perquè el pagament el faci directament el comprador amb el banc i no haja de passar pel comerç el número de targeta, o bé el protocol SET (Secure Electronic Transaction) que garanteix íntegrament els principis abans esmentats i un total anonimat per part de les tres parts intervinents, de manera que el banc no coneix la compra que fa el consumidor i el comerç no coneix el número de targeta o de compte que té el comprador.
Protocols de seguretat
Les principals causes que paralitzen les transaccions electròniques i el comerç per Internet són la desconfiança i la por a la falta de seguretat en l'enviament i la recepció de l'ordre de pagament.
Un dels mitjans que tracta d'evitar esta trava al comerç electrònic són els protocols de seguretat. Estos són solucions tecnològiques que busquen assegurar que les dades relatives a una transacció comercial puguin ser transmeses al comerciant de manera segura.
Els dos protocols de seguretat més generalitzats són el SSL i el SET.
I. SSL (SECURE SOCKETS LAYER)
El protocol SSL va ser desenvolupat per Netscape l'any 1994, i és utilitzat en Internet com el mètode més comú per a proporcionar seguretat en les comunicacions.
Utilitzant SSL podem oferir els següents servicis de seguretat:
- Autenticació: assegura la identitat del servidor que participa en la comunicació.
- Confidencialitat: assegura que la informació transmesa en la comunicació entre el client i el servidor només sigui llegible per estes dues entitats.
- Integritat: assegura que la informació transmesa en la comunicació entre el client i el servidor no haja sigut alterada en el seu viatge per la xarxa.
Per a poder oferir estos servicis de seguretat, SSL fa ús de la criptografia i dels certificats digitals. Els certificats digitals es poden definir com contenidors de dades. Més específicament, un certificat conté la identificació del servidor, la seua clau pública i la data de validesa del certificat.
SSL utilitza certificats de 40 bits (criptografia simple) o certificats de 128 bits (criptografia robusta).
La major part dels navegadors i servidors comuns que s'utilitzen suporten criptografia de 40 bits, mentre que no tots suporten criptografia de 128 bits. És molt important assegurar-se que la versió del nostre servidor suporta este tipus de criptografia abans de realitzar la petició d'obtenció d'un certificat de servidor de criptografia robusta.
Utilitzar este tipus de certificats de criptografia robusta no limita el tipus d'usuaris que podran accedir a les nostres pàgines, perquè en el cas que el client no suporti criptografia robusta, la comunicació entre ambdós es farà d'acord amb les característiques de criptografia simple que suporti el client, és dir, actuarà com si d'un certificat de 40 bits es tractés.
ANAR DALT
II. SET (SECURE ELECTRONIC TRANSACTIONS)
El protocol SET per a pagaments segurs amb targeta de crèdit a través d'Internet ofereix una solució per a reduir costos d'operació per al venedor, augmentar la seguretat enfront d'altres tecnologies més esteses com SSL alhora que reduir el frau i expandir les fronteres de negoci dels comerciants cap a nous mercats globals.
El 1995 Visa i MasterCard, amb la col·laboració d'altres companyies líders en el mercat de les tecnologies de la informació, com Microsoft, IBM, Netscape, RSA, o VeriSign, uniren les seues forces per a desenvolupar Secure Electronic Transaction (SET), un protocol estandarditzat i recolzat per la indústria, dissenyat per a salvaguardar les compres pagades amb targeta a través de xarxes obertes, incloent-hi Internet.
SET ofereix una sèrie de servicis que converteixen les transaccions a través d'Internet en un procés segur i fiable per a totes les parts implicades:
- Autenticació Totes les parts involucrades en la transacció econòmica (el client, el comerciant i els bancs, emissor i adquirent) poden verificar mútuament les seues identitats mitjançant certificats digitals. D'esta forma, el comerciant pot assegurar-se de la identitat del titular de la targeta i el client, de la identitat del comerciant. S'eviten així fraus causats per usos il·lícits de targetes i falsificacions de comerços en Internet (web spoofing), que imiten grans web comercials. Per la seua banda, els bancs poden, així mateix, comprovar la identitat del titular i del comerciant.
- Confidencialitat. La informació de pagament es xifra perquè no pugui ser espiada mentre viatja per les xarxes de comunicacions. Només el número de targeta de crèdit és xifrat per SET, de manera que ni tan sols el comerciant arribarà a veure-ho, per a prevenir fraus. Si es vol xifrar la resta de dades de la compra, com per exemple quins articles s'han comprat o a quina adreça s'han d'enviar, cal recórrer a un protocol de nivell inferior com SSL.
- Integritat. Garanteix que la informació intercanviada, com el número de targeta, no podrà ser alterada de manera accidental o maliciosa durant el seu transport a través de xarxes telemàtiques. Per a aconseguir-ho s'utilitzen algoritmes de firma digital, capaços de detectar el canvi d'un sol bit.
- Intimitat. El banc emissor de la targeta de crèdit no pot accedir a informació sobre les comandes del titular, per la qual cosa queda incapacitat per a elaborar perfils d'hàbits de compra dels seus clients.
- Verificació immediata. Proporciona al comerciant una verificació immediata, abans de completar-se la compra, de la disponibilitat de crèdit i de la identitat del client. D'esta manera, el comerciant pot formalitzar les comandes sense risc que posteriorment s'invalidi la transacció.
- No repudiació. Per a resolució de disputes el major avantatge de SET enfront d'altres sistemes segurs és l'addició a l'estàndard de certificats digitals (X.509v3), que associen la identitat del titular i del comerciant amb entitats financeres i els sistemes de pagament de Visa, MasterCard, etc. Estos certificats prevenen fraus per als quals altres sistemes no ofereixen protecció, com la repudiació d'una transacció (negar que un va realitzar tal transacció), i proporcionen als compradors i venedores la mateixa confiança que les compres convencionals usant les actuals xarxes d'autorització de crèdits de les companyies de targetes de pagament.
El procés subjacent en una transacció SET típica funciona de forma molt pareguda a una transacció convencional amb targeta de crèdit:
- Decisió de compra. El client navega pel lloc web del comerciant i decideix comprar un article. Per a això omplirà algun formulari a l'efecte i possiblement farà ús d'alguna aplicació tipus carret de compra, per a anar emmagatzemant diversos articles i pagar-los tots al final. El protocol SET s'inicia quan el comprador prem el botó de “pagar” o equivalent.
- Arrancada de la cartera. El servidor del comerciant envia una descripció de la comanda que desperta a l'aplicació cartera del client
- Transmissió xifrada de l'ordre de pagament. El client comprova la comanda i transmet una ordre de pagament de tornada al comerciant. L'aplicació cartera crea dos missatges que envia al comerciant. El primer, la informació de la comanda, conté les dades de la comanda, mentre que el segon conté les instruccions de pagament del client (número de targeta de crèdit, banc emissor, etc.) per al banc adquirent. En este moment, el programari cartera del client genera un firma dual, que permet ajuntar en un sol missatge la informació de la comanda i les instruccions de pagament, de manera que el comerciant pot accedir a la informació de la comanda, però no a les instruccions de pagament, mentre que el banc pot accedir a les instruccions de pagament, però no a la informació de la comanda. Este mecanisme redueix el risc de frau i abús, ja que ni el comerciant arriba a conèixer el número de targeta de crèdit emprat pel comprador, ni el banc s'assabenta dels hàbits de compra del seu client.
- Enviament de la petició de pagament al banc del comerciant. El programari SET en el servidor del comerciant crea una petició d'autorització que envia a la passarel·la de pagaments, incloent-hi l'import a ser autoritzat, l'identificador de la transacció i una altra informació rellevant sobre esta; tot això convenientment xifrat i firmat. Aleshores, s'envia al banc adquirent la petició d'autorització juntament amb les instruccions de pagament (que el comerciant no pot examinar, ja que van xifrades amb la clau pública de l'adquirent).
- Validació del client i del comerciant pel banc adquirent.. El banc del comerciant desxifra i verifica la petició d'autorització. Si el procés té èxit, obté a continuació les instruccions de pagament del client que verifica al seu torn per a assegurar-se de la identitat del titular de la targeta i de la integritat de les dades. Es comproven els identificadors de la transacció en curs (l'enviat pel comerciant i el codificat en les instruccions de pagament) i, si tot és correcte, es formateja i s'envia una petició d'autorització al banc emissor del client a través de la xarxa de mitjans de pagament convencional.
- Autorització del pagament pel banc emissor del client. El banc emissor verifica totes les dades de la petició i si tot està en ordre i el titular de la targeta té crèdit, autoritza la transacció.
- Enviament al comerciant d'un testimoni de transferència de fons. Quan el banc del comerciant rep una resposta d'autorització del banc emissor, genera i firma digitalment un missatge de resposta d'autorització que envia a la passarel·la de pagaments, convenientment xifrada, la qual li la fa arribar al comerciant
- Enviament d'un rebut a la cartera del client. Quan el comerciant rep la resposta d'autorització del seu banc, verifica les firmes digitals i la informació per a assegurar-se que tot està en ordre. El programari del servidor emmagatzema l'autorització i el testimoni de transferència de fons. A continuació completa el processament de la comanda del titular de la targeta enviant la mercaderia o subministrant els servicis pagats. A més, es lliura a l'aplicació cartera del client un rebut de la compra per al seu control de despeses i com a justificant de compra.
- Lliurament del testimoni de transferència de fons per a cobrar l'import de la transacció. Després d'haver completat el processament de la comanda del titular de la targeta, el programari del comerciant genera una petició de transferència al seu banc, confirmant la realització amb èxit de la venda. Com a conseqüència, es produeix l'abonament en el compte del comerciant.
- Càrrec en el compte del client. Al seu temps, la transacció es fa efectiva sobre el compte corrent del client. El protocol definit per SET especifica el format dels missatges, les codificacions i les operacions criptogràfiques que han d'usar-se. No requereix un mètode particular de transport, de manera que els missatges SET poden transportar-se sobre HTTP en aplicacions web, sobre correu electrònic o qualsevol altre mètode. Com els missatges no necessiten transmetre's en temps present, són possibles implantacions de SET eficients basades en correu electrònic o altres sistemes asíncrons.
En el seu estat actual SET solament suporta transaccions amb targeta de crèdit/dèbit, i no amb targetes moneder. Es treballa en esta línia per a estendre l'estàndard de manera que accepte noves formes de pagament. Al mateix temps es desenvolupen projectes per a incloure els certificats SET en les targetes intel·ligents, de tal manera que el futur canvi de targetes de crèdit a targetes intel·ligents pugui incorporar l'estàndard SET.
El protocol SET presenta també grans inconvenients:
- No resulta fàcil d'implantar, per la qual cosa el seu desplegament està sent molt lent. SET exigeix programari especial, tant per al comprador (aplicació de cartera electrònica) com per al comerciant (aplicació POST o TPV), i els bancs (programari d'autoritat de certificació, passarel·la de pagaments, etc.).
- Encara que els productes anteriors compliquin l'estàndard SET, açò no implica necessàriament que siguin compatibles.
- Incapacitat per a treballar amb pagaments aplaçats, modalitat molt estesa a països com Espanya.
- S’afegí el problema de la revocació de certificats, la portabilitat d'estos quan l'usuari treballa en distintes màquines i les cadenes de certificació.
ANAR DALT
III. TPV VIRTUAL (TERMINAL PUNT DE VENDA)
La passarel·la de pagament o TPV (Terminal Punt de Venda) virtual compleix en Internet la mateixa funció que els sistemes tradicionals de cobrament mitjançant targeta de crèdit (TPV físic) i permet que els seus clients puguin pagar la seua compra a través d'Internet utilitzant una targeta de crèdit.
El mòdul de pagament del banc contractat (TPV Virtual) realitza les operacions següents:
- El client pot triar una llista d'articles a comprar utilitzant una aplicació de comerç electrònic instal·lada en el seu lloc web. L'aplicació calcula l'import total a cobrar.
- Quan el client decideix pagar, l'aplicació de comerç electrònic el redirigeix al lloc web de banc i indica al TPV del banc la quantitat total a cobrar.
- El client introdueix el número de la seua targeta de crèdit en un formulari del lloc web de banc. Esta dada viatja encriptada cap als servidors del banc.
- El banc comunica en el moment el resultat de l'operació al comerç i al seu client. En cas afirmatiu, es fa el cobrament ingressant els diners en el compte bancari del venedor (el qual ha d'estar en eixe banc). El lloc web del banc redirigeix el client de tornada a l'aplicació de comerç electrònic (els nostres servidors), i indica si l'operació ha anat bé o malament, és a dir, si s'ha cobrat o no. Segons el resultat de l'operació l'aplicació de comerç electrònic realitzarà diferents accions: informar l'usuari, actualitzar les bases de dades de l'aplicació amb el resultat de la transacció, etc.
- El banc realitza el tancament de les operacions, diàriament i de forma automàtica, pagant l'import corresponent a les operacions autoritzades en el compte que el comerç que mantingui obert en el banc.
- Admet les principals targetes del mercat: Visa, MasterCard, 4B, American Express i Virtu@lCash.
- Al comerç electrònic s'aplica la normativa de vendes a distància, per la qual cosa poden produir-se devolucions d'operacions en no tenir la garantia de la titularitat del client que realitza la transacció.
El sistema de cobrament mitjançant el TPV virtual ofereix avantatges tant als compradors com als venedors.
Per al comprador:
- El pagament es fa directament en els servidors del banc. El TPV virtual que rep el número de targeta i realitza el cobrament està en els servidors del banc sota el domini subanco.es. La nostra aplicació simplement redirigeix cap a este i indica la quantitat a cobrar. Una vegada en la pàgina del banc, el client sempre veu la quantitat que se li cobrarà abans d'escriure el seu número de targeta.
- El número de la targeta viatja encriptat i només cap al servidor segur del banc. El TPV utilitza el sistema d'encriptat SSL. El venedor mai arriba a saber quin és el número de la targeta de crèdit del client ni té possibilitat d'emmagatzemar-la per a realitzar cobraments posteriors.
- Per a utilitzar este sistema de cobrament, el venedor ha de tenir un compte en Banesto amb les seues dades autèntiques. Açò elimina en la pràctica les possibilitats de vendes fraudulentes.
- El client pot triar entre diverses targetes de crèdit, actualment: Visa, Master Card, 4B, American Express i Virtual Cash de Banesto.
Avantatges per al venedor:
- Seguretat total per als seus clients.
- El banc verifica que la targeta de crèdit és real i té fons suficients.
- El cobrament s'ingressa a l'instant, cosa que li permet fins i tot vendre informació en línia.
- El sistema permet cobrar a clients de qualsevol lloc del món.
Perquè un comerç pugui disposar del TPV Virtual, és necessari disposar de:
- Una tenda o catàleg de productes en Internet.
- Un compte corrent en un banc que ofereix este servici.
- Un contracte de comerç electrònic.
Els desavantatges d'este sistema de cobrament són:
- Les comissions per este sistema de cobrament són molt altes, de l'ordre d'un 4,12% de l'import total. Si el comparem amb el 2% dels pagaments per targeta en tendes físiques, observem un greuge comparatiu que comporta un gran obstacle al desenvolupament del comerç electrònic. Sembla que este càrrec tan desmesurat té el seu origen en criteris adoptats per Visa i altres entitats emissores de targetes que penalitzen el comerç electrònic aplicant-hi la comissió més alta del mercat a causa, suposadament, de l'elevat nombre de reclamacions existents.
Un altre inconvenient que poden trobar els comerciants que utilitzen este sistema és la possibilitat de reclamacions a Visa o una altra entitat emissora per part de compradors insatisfets o desvergonyits. Respecte d'això convé guardar tota la informació possible que provi l'enviament real de la mercaderia venuda, per exemple resguards de les agències de transport.
ANAR DALT
Comerç. La seguretat en les transaccions (298)