Medios de pago con SSL

1
Medios de pago con SSL
SEGURIDAD EN REDES TELEMÁTICAS Oscar Quero del
Pozo Agustín Reques Velasco Curso 2000/2001
2
Cobros a través del espacio web

• Autorización y cobro a través de TPV
• Proceso on-line de la operación
• TPV Virtual (cliente, comerciante y banco)
• No hay instalación de software
• SET(Secure Electronic Transactions)
• Intervienen el banco, compañía de tarjetas de
  Crédito, comerciante y cliente

3
TPV Virtual

• Web seguro al que la tienda se conecta en el
  momento de hacer el pago
• Características
• Las tarjetas admitidas dependen del Banco que le
  facilite el TPV
• El comercio puede consultar a través de Internet
  las operaciones de venta acumuladas
• El TPV Virtual recibe las transacciones de pago
  de la tienda virtual, las procesa en tiempo real
  y contesta tanto al comprador como a la tienda
  virtual el resultado de la operación

4
TPV Virtual-Funcionamiento
5
TPV Virtual

• El cliente utiliza una aplicación de comercio
  electrónico y escoge una lista de artículos
• Cuando el cliente va a pagar, la aplicación le
  redirige al sitio web del banco.
• El cliente introduce datos de su tarjeta
• El banco comprueba la validez de la tarjeta de
  crédito y la existencia de fondos
• El sitio web del banco redirige al cliente de
  vuelta a la aplicación de comercio electrónico
  indicando si la operación ha ido bien o mal.

6
TPV Virtual

• Ventajas del sistema para el comprador
• El pago se realiza directamente en los servidores
  del Banco
• El nº de tarjeta viaja encriptado y sólo hacia el
  servidor del Banco
• Para su utilización, el vendedor debe tener una
  cuenta en el banco
• El cliente puee elegir entre varias tarjetas.

7
TPV Virtual

• Ventajas para el vendedor
• Seguridad para los clientes
• El Banco verifica que la tarjeta de crédito es
  real y tiene fondos suficientes
• El cobro se ingresa al instante
• El sistema cobra a clientes de cualquier lugar
  del mundo

8
SSL

• SSL incorpora
• Confidencialidad de los datos
• Autenticación y no repudiación de cliente y
  servidor mediante firmas digitales
• Integridad de los datos mediante códigos de
  autenticación de mensajes
• Protocolo adaptativo
• No es tan perfecto como SET, pero funciona

9
Desventajas de SSL

• Utiliza versiones de claves privadas de 40 bits.
• Sólo permite la comunicación entre dos partes
• SSL no puede discriminar el descifrado remoto de
  los datos enviados i asegurar la validez de la
  información

10
SET

• Autentica todas las partes implicadas (banco,
  compañía de tarjetas de Crédito, comerciante y
  cliente), las cuales disponen de un Certificado
  Digital facilitado de modo jerárquico en
  relaciones de confianza
• Confidencialidad e integridad
• Gestion del pago
• Mecanismos de cifrado de SET son más potentes que
  los de SSL

11
Desventajas de SET

• Sistema complicado que requiere software
  adicional en bancos, comerciantes y clientes, así
  como una nueva infraestructura de claves públicas
• Su despliegue está siendo muy lento
• Falta de compatibilidad en varios productos

12
Certificados de servidores SSL

• Obtención de un certificado en un servidor
• El servidor obtiene un par de claves
• Se envia la clave pública junto con el nombre
  distinguido del servidor a la CA
• La CA puede requerir la introducción de algún
  dato más
• Espera la llegada del certificado válido por la
  CA
• El servidor web recibe un certificado

13
Certificados de servidores SSL

• Comprobación del certificado por el cliente
• Se registra el propietario, la autoridad que
  dispensó el certificado, el numero de serie, el
  periodo de validez y la huella digital.
• Comprobar Certificados todavía no válidos y
  expirados, Dirección errónea del servidor
• Consecucion de un certificado
• Para garantizar la validez de un certificado,
  éste debe estar firmado por una autoridad
  competente como Verisign o Thawte Consulting.