El protocolo SET utiliza certificados que permiten autentificar a las partes intervinientes en una transacción

Comunicación segura a través de redes abiertas de información (y III)

La Agencia de Certificación Electrónica

La Agencia de Certificación Electrónica (ACE) es la Autoridad de Certificación encargada del procesamiento de las solicitudes de emisión de certificados de titular, comercio y pasarela de pagos realizadas por las entidades financieras y de la emisión de los mismos.

ACE facilita la infraestructura necesaria para la emisión de los certificados. Los certificados tendrán una vigencia de un año tras el cual ACE se encargará del proceso de renovación. Además la Agencia de Certificación Electrónica se hará cargo de la gestión de revocaciones de certificados y de las listas negras.

Requisitos de Software

Como se ha indicado anteriormente, una transacción SET utiliza tres componentes de software:

Electronic Wallet: la aplicación de cartera electrónica está integrada en el navegador y proporciona al titular un lugar donde almacenar y gestionar sus tarjetas y certificados con el fin de comprar electrónicamente. Al mismo tiempo responde a los mensajes SET que recibe del comercio instándole a seleccionar una tarjeta de crédito para realizar la compra.

Software de comercio/merchant: el software de comercio es una aplicación que procesa las transacciones de los titulares y comunica con el banco adquirente o la pasarela de pagos solicitando autorización de pago y recibiendo el número de autorización o denegación correspondiente.

Software de Pasarela de Pagos: software instalado en la pasarela de pagos para la recepción y procesamiento de transacciones SET.

Descripción de la operativa SET de comercio electrónico

En general, en las operaciones de comercio electrónico se distinguen las siguientes fases:

1. El titular, mediante su browser o navegador, conecta con el web site del comercio. El contacto inicial puede haberse realizado no sólo a través de los catálogos on-line que se muestran en los "escaparates electrónicos" sino además:

• Ojeando un catálogo suministrado por el comercio en CD-ROM.
• Ojeando un catálogo en papel.

2. El titular selecciona un producto que desea comprar.

3. El titular visualiza una solicitud de comprar que contiene una lista de productos, precios, impuestos, gastos de envío, etc. Esta solicitud podrá haber sido enviada desde el servidor del comercio o generada por el propio software de compra del titular.

4. El titular selecciona el medio de pago (tarjeta, contra-reembolso...) que le ofrece el comercio. En el caso de que seleccione el pago a través tarjeta de crédito utilizando SET abrirá su wallet o cartera electrónica. El titular selecciona en su wallet el certificado SET emitido por ACE y ligado a la tarjeta con la que quiere realizar el pago.

5. Se establece una comunicación bajo el protocolo SET entre el browser y el comercio utilizando los certificados SET de titular y comercio.

6. El titular, mediante su wallet, envía dos sobres con información de su certificado: el pedido de compra firmado (mensaje abierto) y una orden de pago firmada (encriptada).

7. El comercio recibe la transacción electrónica del titular y verifica, mediante su software gestor, la validez del certificado del titular y el pedido de compra (firmado por el titular).

8. El comercio envía a la Pasarela de Pagos los datos de la transacción y el sobre encriptado con los datos de la tarjeta del titular.

9.La Pasarela de Pagos recibe la transacción electrónica del comercio, verifica los certificados las firmas del comercio y del titular, y descifra la petición de autorización enviada por el comercio y los datos de la tarjeta enviados por el titular con el fin de solicitar la autorización económica al Medio de Pago correspondiente.

10. La Pasarela de Pagos procesa la petición de autorización económica al Medio de Pago.

11. El Medio de Pago autoriza el pago y envía un mensaje con el número de autorización de la transacción SET a la Pasarela de Pagos.

12. La Pasarela de Pagos envía el número de autorización SET al comercio.

13. El comercio envía los productos o presta los servicios requeridos.

14. El Medio de pago realiza la liquidación a la Entidad Emisora (cargo) y a la Entidad Adquirente (abono).

SET frente a otros sistemas de pago

Fundamentalmente existen dos tipos de tecnología de seguridad para realizar compras on-line. Ambos métodos, disponibles en la plataforma de certificación actual de ACE, permiten cifrar la información antes de enviarla a través de Internet.

EL PROTOCOLO SSL

Secure Sockets Layer (SSL) proporciona seguridad mediante el cifrado del canal de comunicación establecido entre el consumidor y el comercio. Asimismo, el certificado de servidor emitido por ACE permite garantizar la autenticidad del servidor frente a los posibles compradores. Sin embargo, el comercio no puede realizar la identificación de la persona que quiere realizar la compra salvo que éste sea titular de un certificado X509v3 de ACE. Por otra parte, el pago no se realiza de una forma automática, sino que el titular tiene que introducir todos los datos personales y de tarjeta de crédito en una plantilla y enviarla a través de la comunicación segura establecida mediante SSL. Este proceso deberá repetirse cada vez que se quiera realizar un compra a no ser que el web disponga de alguna tecnología tipo "carro de la compra". Para verificar si un comercio está utilizando SSL basta con comprobar la URL del comercio y ver que en vez de "http" aparece "https".

Tanto Netscape Navigator como Internet Explorer utilizan SSL.

SSL plantea dos inconvenientes adicionales:

1. Sólo pueden realizarse transacciones punto a punto: SSL únicamente maneja interacciones punto a punto mientras que las transacciones con tarjeta de crédito involucran como mínimo a tres partes: el titular, el comerciante y el Banco o Caja emisor de la tarjeta.

2. Con SSL los datos de la tarjeta de crédito del cliente se mantienen en el servidor del comercio por lo que son vulnerables a un ataque externo. Por otra parte, los comerciantes no tienen asegurada la veracidad de los datos de la tarjeta enviados por el cliente.

SET

Mientras que SSL es una opción válida hoy en día, SET aporta la máxima seguridad y permite realizar pagos on-line. Además de cifrar la información sobre el pago, SET posibilita la verificación recíproca de la identidad del comercio y del titular, así como la autorización de ambos por su Entidad Financiera para la realización de transacciones mediante tarjeta de crédito.

SET está diseñado para posibilitar el pago mediante tarjeta de crédito a través de cualquier tipo de red abierta, incluyendo Internet, mediante el uso de certificados digitales que permiten autenticar a las partes intervinientes en la transacción, asegurando la integridad del mensaje y manteniendo la confidencialidad de la información transmitida (el comercio no tiene acceso a los datos del titular de la tarjeta).

Tanto el titular como el comercio deben disponer de un software específico para gestionar las transacciones SET. En el caso del titular se denomina "cartera electrónica".

Además, SET proporciona al comerciante una verificación inmediata de la disponibilidad de crédito y de la autenticidad del cliente, permitiéndole atender los pedidos sin riesgo de que se invalide la transacción, además de un cifrado más sólido, ya que codifica por separado la información sobre los pedidos y las tarjetas de crédito.

El inconveniente que posee SET actualmente es que el despliegue de las aplicaciones que manejan los certificados emitidos por ACE o propuesta de las entidades financieras, se está realizando con excesiva lentitud, lo cual retrasará su utilización entre los titulares y comercios.

Otros sistema que puede utilizarse para realizar pagos a través de redes abiertas es la combinación de los certificados de ACE de servidor (SSL activo), con el uso de certificados de navegador o cliente para autenticación y correo electrónico seguro. El funcionamiento es similar al de utilización de SSL, sólo que los certificados de cliente permiten autentificar a la persona que realiza la compra.

Si entendemos el comercio electrónico como algo más que la realización de pagos y cobros, los certificados X509.v3 de servidor y cliente, emitidos por ACE, permiten el intercambio seguro de información entre empresas o entre comercios y consumidores, como ofertas, catálogos, contratos, información sobre productos y servicios, facturas, albaranes, etc.