Página 1 de 6

Contents MANUAL DE PROCEDIMIENTOS COMERCIO ELECTRÓNICO ............................................................ 2

INTRODUCCIÓN.‐ .......................................................................................................................... 2

ALCANCE.‐ ................................................................................................................................. 3

SEÑALAMIENTOS GENERALES.‐ ..................................................................................................... 4

SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐ .............................................. 4

SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN DE

INFORMACION.‐ .................................................................................................................... 5

RECOMENDACIONES EN LA IMPLEMENTACIÓN DE METODOLOGÍAS DE CIFRADO.‐

.............................................................................................................................................. 5

RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS DIGITALES.‐

.............................................................................................................................................. 6

Página 2 de 6

MANUAL DE PROCEDIMIENTOS COMERCIO ELECTRÓNICO

INTRODUCCIÓN.‐

El avance en la tecnología a nivel de equipos en procesamiento de datos, comunicaciones y software se ha facilitado el dinamismo de los procesos comercialización alrededor del mundo, y por esto en el presente es “sencillo” la realización de transacciones de diferentes tipos para efectuar la compra y venta de bienes y servicios en la WEB.

Este avance de la tecnología ha llevado al manejo de redes sociales,

sitio de compras, foros, aprovisionamiento, y realizar transacciones financieras y gubernamentales.

Todo esto requiere de medidas de seguridad acordes al nivel de fiabilidad que les necesitan.

Sin esto se está a riesgo de ciber ataques y robo de información, fraudes electrónicos, etc., se necesita medidas para contrarrestar todo esto.

Página 3 de 6

ALCANCE.‐

El presente documento ayudará a determinar los procedimientos generales de seguridad para el envío – recepción de información e n comercio electrónico.

El manual a continuación describe de forma general, las medidas de seguridad, las técnicas de encriptación, certificados y firmas digitales.

Página 4 de 6

SEÑALAMIENTOS GENERALES.‐

SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐

a. Se debe asegurar que la infraestructura de TI en la que se alojará el portal cumpla

con todos los requerimientos seguridad y disponer de un “sitio” de recuperación de

desastres de forma inmediata

b. Certificar que disponga de todas las medidas de seguridad necesarias para su óptima

disponibilidad y eficiencia: Servidores de respaldo, procedimiento de respaldos de información, sistemas alternos de energía.

c. Que implemente todas las medidas preventivas y correctivas para repeler cualquier

ataque al perímetro de servidores como firewalls, IPS.

d. Certificar que cubra todos estándares i n t e r n a c i o n a l e s necesarios para

asegurar el envío y recepción de todo tipo de información, temas tratados con más detalle adelante.

e. Mantener políticas de gestión de identificación y claves de acceso, cifrados para que

no sean víctimas de ataques de MTM.

f. Asegurarse que la infraestructura de comunicaciones soportará el volumen de

transaccionalidad necesaria de forma hermética, segura y con buen tiempo de respuesta.

Página 5 de 6

i. Soporte de forma óptima todos los controles, para evitar Suplantación, Carding,

Skimming, pishing, etc.

j. Se debe contar con certificados digitales emitidos para una Entidad Certificadora

internacional real para que toda transacción sea verificada con esta entidad.

k. Que el portal o servicios web cuenten y cumplan con normativas o estándares para

el intercambio electrónico de datos.

l. Finalmente, aunque no menos importante es: Analizar, considerar e implementar las

consideraciones y disposiciones legales aplicables a los ambientes internet y de comercio electrónico.

SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN DE

INFORMACION.‐

a. Que utilice los más avanzados: Procedimientos, aplicaciones, estándares, protocolos

para el cifrado de información en el envio y recepción.

b. El sitio y los interactuantes contemple protocolos de seguridad para la

transferencia de hipertexto en las redes (HTTPS) y protocolos cifrados de comunicación tipo SSL y TLS (transport layer security) los cuales proporcionarán autentificación, confidencialidad, características de no rechazo y de forma general,

seguridad en los extremos de las comunicaciones en la internet (WEB server, browser).

RECOMENDACIONES EN LA IMPLEMENTACIÓN DE METODOLOGÍAS DE

CIFRADO.‐

a. De forma general y cuando se realizan procesos de cifrado de información internas y

de traslado de información externa usando la mas avanzada y la mejor técnica de cifrado.

b. Nuestra recomendación personal sobre los algoritmos de encriptación es utilizar la normativa de Advanced Encryption Standard (NIST AES).

b. Adicionalmente para la implementación de mensajería y correos electrónicos usar

las técnicas de cifrado de correo electrónico y contenido con PGP.

Página 6 de 6

RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS

DIGITALES.‐

a. Usar (CA) privadas reconocidas como: VeriSign (Symantec), DigiCert, Thawte y GeoTrust, u,

oficiales para el caso de integración Goverment to Consumer o Goverment to Business

b. Para la emisión de certificados digitales y su aplicación en firmas digitales se recomienda

firmemente utilizar los servicios de autoridades de certificación que apliquen para el efecto los estándares de la Unión Internacional de las telecomunicaciones y/o las ISO/IEC

(International Standards Organization / International Electrotechnical Commission) y específicamente el formato estándar para certificados de claves públicas y validación de

rutas de certificación (Publik Key Infraestructure) PKIX.509 desarrollado por la Internet

Engineering Task Force.

c. Como alternativa en línea, para el control de listas de revocación se recomienda utilizar

Online Certificate Status Protocol (OCSP), el cual es un método para determinar el estado

de revocación de un certificado digital X.509

d. Para efecto de las firmas electrónicas, de preferencia se recomienda que la metodología o

la Entidad certificadora pueda extender los algoritmos de firma digital con un algoritmo de

actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente mientras la clave pública permanece siendo la misma.

e. En cuanto a la validación de transacciones financieras, en la actualidad existen

intermediarios que proveen el servicio de pago/cobro por bienes y servicios cuya alternativa de uso en nuestros portales se debe analizar su conveniencia ya que aún no se ha

demostrado su completa seguridad, tales son los casos de: Paypal (intermediario de pagos), Google Wallet (aplicación de google mediante geo localización de dispositivos móviles)

f. Adicionalmente, recomendamos utilizar navegadores y aplicaciones de correo electrónico y

mensajería en general, de buen nivel, los cuales tengan la mayor cantidad de elementos incorporados para poder utilizar los certificados de firma electrónica

Página 7 de 6

1. . CONCLUSIONES Y RECOMENDACIONES FINALES:

Los procedimientos y recomendaciones anteriormente citados son una guía general

para los cuidados que se deben advertir en la gestión de herramientas en la WEB para el envío y recepción de información por diferentes medios.

Tomarlos en cuenta para seguir siempre estos lineamientos y no aprobar nada si no esta

basado en los procedimientos anteriormente descritos.