Actividad 7
-
Upload
fercho-leon -
Category
Documents
-
view
29 -
download
0
Transcript of Actividad 7
Página 1 de 6
Contents MANUAL DE PROCEDIMIENTOS COMERCIO ELECTRÓNICO ............................................................ 2
INTRODUCCIÓN.‐ .......................................................................................................................... 2
ALCANCE.‐ ................................................................................................................................. 3
SEÑALAMIENTOS GENERALES.‐ ..................................................................................................... 4
SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐ .............................................. 4
SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN DE
INFORMACION.‐ .................................................................................................................... 5
RECOMENDACIONES EN LA IMPLEMENTACIÓN DE METODOLOGÍAS DE CIFRADO.‐
.............................................................................................................................................. 5
RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS DIGITALES.‐
.............................................................................................................................................. 6
Página 2 de 6
MANUAL DE PROCEDIMIENTOS COMERCIO ELECTRÓNICO
INTRODUCCIÓN.‐
El avance en la tecnología a nivel de equipos en procesamiento de datos, comunicaciones y software se ha facilitado el dinamismo de los procesos comercialización alrededor del mundo, y por esto en el presente es “sencillo” la realización de transacciones de diferentes tipos para efectuar la compra y venta de bienes y servicios en la WEB.
Este avance de la tecnología ha llevado al manejo de redes sociales,
sitio de compras, foros, aprovisionamiento, y realizar transacciones financieras y gubernamentales.
Todo esto requiere de medidas de seguridad acordes al nivel de fiabilidad que les necesitan.
Sin esto se está a riesgo de ciber ataques y robo de información, fraudes electrónicos, etc., se necesita medidas para contrarrestar todo esto.
Página 3 de 6
ALCANCE.‐
El presente documento ayudará a determinar los procedimientos generales de seguridad para el envío – recepción de información e n comercio electrónico.
El manual a continuación describe de forma general, las medidas de seguridad, las técnicas de encriptación, certificados y firmas digitales.
Página 4 de 6
SEÑALAMIENTOS GENERALES.‐
SEGURIDADES EN LA INFRAESTRUCTURA DE ALOJAMIENTO.‐
a. Se debe asegurar que la infraestructura de TI en la que se alojará el portal cumpla
con todos los requerimientos seguridad y disponer de un “sitio” de recuperación de
desastres de forma inmediata
b. Certificar que disponga de todas las medidas de seguridad necesarias para su óptima
disponibilidad y eficiencia: Servidores de respaldo, procedimiento de respaldos de información, sistemas alternos de energía.
c. Que implemente todas las medidas preventivas y correctivas para repeler cualquier
ataque al perímetro de servidores como firewalls, IPS.
d. Certificar que cubra todos estándares i n t e r n a c i o n a l e s necesarios para
asegurar el envío y recepción de todo tipo de información, temas tratados con más detalle adelante.
e. Mantener políticas de gestión de identificación y claves de acceso, cifrados para que
no sean víctimas de ataques de MTM.
f. Asegurarse que la infraestructura de comunicaciones soportará el volumen de
transaccionalidad necesaria de forma hermética, segura y con buen tiempo de respuesta.
Página 5 de 6
i. Soporte de forma óptima todos los controles, para evitar Suplantación, Carding,
Skimming, pishing, etc.
j. Se debe contar con certificados digitales emitidos para una Entidad Certificadora
internacional real para que toda transacción sea verificada con esta entidad.
k. Que el portal o servicios web cuenten y cumplan con normativas o estándares para
el intercambio electrónico de datos.
l. Finalmente, aunque no menos importante es: Analizar, considerar e implementar las
consideraciones y disposiciones legales aplicables a los ambientes internet y de comercio electrónico.
SEGURIDADES EN LA INTERACTUACION Y TRANSFERENCIA (ENVÍO – RECEPCIÓN DE
INFORMACION.‐
a. Que utilice los más avanzados: Procedimientos, aplicaciones, estándares, protocolos
para el cifrado de información en el envio y recepción.
b. El sitio y los interactuantes contemple protocolos de seguridad para la
transferencia de hipertexto en las redes (HTTPS) y protocolos cifrados de comunicación tipo SSL y TLS (transport layer security) los cuales proporcionarán autentificación, confidencialidad, características de no rechazo y de forma general,
seguridad en los extremos de las comunicaciones en la internet (WEB server, browser).
RECOMENDACIONES EN LA IMPLEMENTACIÓN DE METODOLOGÍAS DE
CIFRADO.‐
a. De forma general y cuando se realizan procesos de cifrado de información internas y
de traslado de información externa usando la mas avanzada y la mejor técnica de cifrado.
b. Nuestra recomendación personal sobre los algoritmos de encriptación es utilizar la normativa de Advanced Encryption Standard (NIST AES).
b. Adicionalmente para la implementación de mensajería y correos electrónicos usar
las técnicas de cifrado de correo electrónico y contenido con PGP.
Página 6 de 6
RECOMENDACIONES EN LA IMPLEMENTACION DE CERTIFICADOS Y FIRMAS
DIGITALES.‐
a. Usar (CA) privadas reconocidas como: VeriSign (Symantec), DigiCert, Thawte y GeoTrust, u,
oficiales para el caso de integración Goverment to Consumer o Goverment to Business
b. Para la emisión de certificados digitales y su aplicación en firmas digitales se recomienda
firmemente utilizar los servicios de autoridades de certificación que apliquen para el efecto los estándares de la Unión Internacional de las telecomunicaciones y/o las ISO/IEC
(International Standards Organization / International Electrotechnical Commission) y específicamente el formato estándar para certificados de claves públicas y validación de
rutas de certificación (Publik Key Infraestructure) PKIX.509 desarrollado por la Internet
Engineering Task Force.
c. Como alternativa en línea, para el control de listas de revocación se recomienda utilizar
Online Certificate Status Protocol (OCSP), el cual es un método para determinar el estado
de revocación de un certificado digital X.509
d. Para efecto de las firmas electrónicas, de preferencia se recomienda que la metodología o
la Entidad certificadora pueda extender los algoritmos de firma digital con un algoritmo de
actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente mientras la clave pública permanece siendo la misma.
e. En cuanto a la validación de transacciones financieras, en la actualidad existen
intermediarios que proveen el servicio de pago/cobro por bienes y servicios cuya alternativa de uso en nuestros portales se debe analizar su conveniencia ya que aún no se ha
demostrado su completa seguridad, tales son los casos de: Paypal (intermediario de pagos), Google Wallet (aplicación de google mediante geo localización de dispositivos móviles)
f. Adicionalmente, recomendamos utilizar navegadores y aplicaciones de correo electrónico y
mensajería en general, de buen nivel, los cuales tengan la mayor cantidad de elementos incorporados para poder utilizar los certificados de firma electrónica
Página 7 de 6
1. . CONCLUSIONES Y RECOMENDACIONES FINALES:
Los procedimientos y recomendaciones anteriormente citados son una guía general
para los cuidados que se deben advertir en la gestión de herramientas en la WEB para el envío y recepción de información por diferentes medios.
Tomarlos en cuenta para seguir siempre estos lineamientos y no aprobar nada si no esta
basado en los procedimientos anteriormente descritos.