INTRODUCCION El desarrollo y crecimiento del comercio electrnico y la firma digital han generado grandes ingresos econmicos lo que ha sido una ventaja para las naciones y empresas que lo utilizan como una estrategia de negocios, el mbito en que se desenvuelve este nuevo medio de intercambio elimina barreras y permite un contacto en tiempo real entre consumidores y vendedores, que produce a su vez una mayor eficiencia en el ciclo de produccin.
Como auditores Informticos sabemos las posibles implicaciones de riesgos que estos cambios tecnolgicos pueden derivar e influenciados con el interesante artculo Las 5 advertencias del Cambio Tecnolgico, del autor norteamericano Neil Postman, nos inquieta el impacto que estos cambios causaran en las rea de las auditoras y nos preocupa que en este sector no se estn tomando acciones preventivas pertinentes o que se tenga una perspectiva de baja relevancia o de baja probabilidades.
COMERCIO ELECTRONICO ` El comercio electrnico, tambin conocido como e-commerce (electronic commerce en ingls), consiste en la compra y venta de productos o de servicios a travs de medios electrnicos, tales como Internet y otras redes informticas. Originalmente el trmino se aplicaba a la realizacin de transacciones mediante medios electrnicos tales como el Intercambio electrnico de datos, sin embargo con el advenimiento de la Internet y la World Wide Web a mediados de los aos 90 comenz a referirse principalmente a la venta de bienes y servicios a travs de Internet, usando como forma de pago medios electrnicos, tales como las tarjetas de crdito.
Una gran variedad de comercio se realiza de esta manera, estimulando la creacin y utilizacin de innovaciones como la transferencia de fondos electrnica, la administracin de cadenas de suministro, el marketing en Internet, el procesamiento de transacciones en lnea (OLTP), el intercambio electrnico de datos (EDI), los sistemas de administracin del inventario, y los sistemas automatizados de recoleccin de datos. COMERCIO ELECTRONICO La comisin Europea define al comercio electrnico como cualquier actividad que involucre a empresas que interactan y hacen negocios por medios electrnicos, bien con clientes, bien entre ellas, o bien con la administracin. Estos tres tipos de relacin econmica se manejan de la siguiente forma: Bussiness to Business (B2B).-Business to Consumer (B2C).-. Consumer to Consumer (C2C).-
El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de riesgos para desarrollar el plan general de auditora de Sistema de Informacin, teniendo en cuenta que debe cubrir los entornos de comercio electrnico.
El auditor de SI debe considerar la utilizacin de tcnicas de anlisis de datos, incluida la utilizacin de una garanta continua, que permita a los auditores de SI monitorizar la fiabilidad del sistema de forma continua, y recoger evidencias selectivas de auditora por medio del ordenador/computadora, al revisar las actividades de comercio electrnico.
VENTAJAS Para las Empresas Reduccin de costo real al hacer estudio de mercado. Desaparecen los lmites geogrficos y de tiempo. Disponibilidad las 24 horas del da, 7 das a la semana, todo el ao. Reduccin de un 50% en costos de la puesta en marcha del comercio electrnico, en comparacin con el comercio tradicional. Hacer ms sencilla la labor de los negocios con sus clientes. Reduccin considerable de inventarios. Agilizar las operaciones del negocio. Proporcionar nuevos medios para encontrar y servir a clientes. Incorporar internacionalmente estrategias nuevas de relaciones entre clientes y proveedores. Reducir el tamao del personal de la fuerza. Menos inversin en los presupuestos publicitarios. Reduccin de precios por el bajo coste del uso de Internet en comparacin con otros medios de promocin, lo cual implica mayor competitividad. Cercana a los clientes y mayor interactividad y personalizacin de la oferta. Desarrollo de ventas electrnicas. Globalizacin y acceso a mercados potenciales de millones de clientes. VENTAJAS Para los clientes
Reducir los costos y precios Da poder al consumidor de elegir en un mercado global acorde a sus necesidades Un medio que da poder al consumidor de elegir en un mercado global acorde a sus necesidades. Brinda informacin pre-venta y posible prueba del producto antes de la compra. Inmediatez al realizar los pedidos. Servicio pre y post-venta on-line. Reduccin de la cadena de distribucin, lo que le permite adquirir un producto a un mejor precio. Mayor interactividad y personalizacin de la demanda. Informacin inmediata sobre cualquier producto, y disponibilidad de acceder a la informacin en el momento que as lo requiera. Permite el acceso a ms informacin.
DESVENTAJAS
Desconocimiento de la empresa. No conocer la empresa que vende es un riesgo del comercio electrnico, ya que sta puede estar en otro pas o en el mismo, pero en muchos casos las "empresas" o "personas-empresa" que ofrecen sus productos o servicios por Internet ni siquiera estn constituidas legalmente en su pas y no se trata mas que de gente que esta "probando suerte en Internet". Forma de Pago. Aunque ha avanzado mucho el comercio electrnico, todava no hay una transmisin de datos segura el 100%. Y esto es un problema pues nadie quiere dar sus datos de la Tarjeta de Crdito por Internet. Intangibilidad. Mirar, tocar, hurgar. Aunque esto no sea sinnimo de compra, siempre ayuda a realizar una compra. El idioma. A veces las pginas web que visitamos estn en otro idioma distinto al nuestro; a veces, los avances tecnolgicos permiten traducir una pgina a nuestra lengua materna Conocer quien vende. Ya sea una persona o conocer de que empresa se trata. Poder volver (post y pre-venta). Con todo ello podemos reclamar en caso de ser necesario o pedir un servicio "post-venta". Al conocerlo sabemos donde poder ir. El cliente espera recibir una atencin "pre-venta" o "post-venta. Privacidad y seguridad. La mayora de los usuarios no confa en el Web como canal de pago. En la actualidad, las compras se realizan utilizando el nmero de la tarjeta de crdito, pero an no es seguro introducirlo en Internet sin conocimiento alguno. Cualquiera que transfiera datos de una tarjeta de crdito mediante Internet, no puede estar seguro de la identidad del vendedor. USOS COMERCIO ELECTRONICO
El comercio electrnico puede utilizarse en cualquier entorno en el que se intercambien documentos entre empresas: compras o adquisiciones, finanzas, industria, transporte, salud, legislacin y recoleccin de ingresos o impuestos. Ya existen compaas que utilizan el comercio electrnico para desarrollar los aspectos siguientes: Creacin de canales nuevos de marketing y ventas. Acceso interactivo a catlogos de productos, listas de precios y folletos publicitarios. Venta directa e interactiva de productos a los clientes. Soporte tcnico ininterrumpido, permitiendo que los clientes encuentren por s mismos, y fcilmente, respuestas a sus problemas mediante la obtencin de los archivos y programas necesarios para resolverlos. Mediante el comercio electrnico se intercambian los documentos de las actividades empresariales entre socios comerciales Seguridad en el comercio electrnico A pesar de las grandes ventajas del comercio electrnico, resulta vital la incorporacin de la seguridad jurdica de las transacciones realizadas por este medio, como base para estimular la expansin en beneficios de todos los agentes que intervienen en el.
La Seguridad Jurdica debe garantizar el valor probatorio Judicial y extrajudicialmente de las firmas digitales y los mensajes de datos. Para esto se debe:
Identificar cabalmente las personas que realizan las transacciones. Verificar la integridad de los contenidos de los documentos electrnicos
Con el fin de garantizar esto existen buenas practicas, estndares y normas internacionales que proponen la creacin de un ambiente de seguridad para el buen desempeo del comercio electrnico. SEGURIDAD EN EL COMERCIO ELECTRONICO
. Para ello es necesario disponer de un servidor seguro a travs del cual toda la informacin confidencial es encriptada y viaja de forma segura,
Como toda actividad comercial, en el comercio electrnico existen riesgos uno de estos es :
El comprador teme por la posibilidad de que sus datos personales (nombre, direccin, nmero de tarjeta de crdito, etc.) sean interceptados por "alguien", y suplante as su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.
Con el fin de garantizar la seguridad existen buenas practicas, estndares y normas internacionales que proponen la creacin de un ambiente de seguridad para el buen desempeo del comercio electrnico.
Dentro de un sistema de seguridad para las transacciones por Internet existen tcnicas, esquemas y acuerdos como son:
Encriptacin Firma Digital Certificado de Calidad SEGURIDAD EN EL COMERCIO ELECTRONICO
La encriptacin: es el conjunto de tcnicas que intentan hacer inaccesible la informacin a personas no autorizadas. Por lo general, la encriptacin se basa en una clave, sin la cual la informacin no puede ser descifrada. Con la encriptacin la informacin transferida solo es accesible por las partes que intervienen (comprador, vendedor y sus dos bancos).
Protocolo SET: Secure Electronic Transactions es un conjunto de especificaciones desarrolladas por VISA y MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft, Netscape, SAIC, Terisa y Verisign, que da paso a una forma segura de realizar transacciones electrnicas, en las que estn involucrados: usuario final, comerciante, entidades financieras, administradoras de tarjetas y propietarios de marcas de tarjetas.
SET constituye la respuesta a los muchos requerimientos de una estrategia de implantacin del comercio electrnico en Internet, que satisface las necesidades de consumidores, comerciantes, instituciones financieras y administradoras de medios de pago. Por lo tanto, SET dirige sus procesos a: Proporcionar la autentificacin necesaria. Garantizar la confidencialidad de la informacin sensible. Preservar la integridad de la informacin. Definir los algoritmos criptogrficos y protocolos necesarios para los servicios anteriores.
FIRMA DIGITAL Una firma digital a un esquema matemtico que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrnico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisin. Las firmas digitales se utilizan comnmente para la distribucin de software, transacciones financieras y en otras reas donde es importante detectar la falsificacin y la manipulacin.
La firma digital, evita que la transaccin sea alterada por terceras personas sin saberlo. El certificado digital, que es emitido por un tercero, garantiza la identidad de las partes.
La firma electrnica, como la firma holgrafa (autgrafa, manuscrita), puede vincularse a un documento para identificar al autor, para sealar conformidad (o disconformidad) con el contenido, para indicar que se ha ledo y, en su defecto mostrar el tipo de firma y garantizar que no se pueda modificar su contenido. Los trminos de firma digital y firma electrnica se utilizan con frecuencia como sinnimos, pero este uso en realidad es incorrecto. Mientras que la firma digital hace referencia a una serie de mtodos criptogrficos, la firma electrnica es un trmino de naturaleza fundamentalmente legal y ms amplio desde un punto de vista tcnico, ya que puede contemplar mtodos no criptogrficos. FIRMA DIGITAL La firma digital de un documento es el resultado de aplicar cierto algoritmo matemtico, denominado funcin hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operacin anterior, generando la firma electrnica o digital. El software de firma digital debe adems efectuar varias validaciones, entre las cuales podemos mencionar:
Vigencia del certificado digital del firmante, Revocacin del certificado digital del firmante (puede ser por OCSP o CRL), Inclusin de sello de tiempo.
La funcin hash es un algoritmo matemtico que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola direccin, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la funcin es un nmero que identifica inequvocamente al texto. Si se adjunta este nmero al texto, el destinatario puede aplicar de nuevo la funcin y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no estn pensadas para que las lleve a cabo el usuario, sino que se utiliza un software que automatiza tanto la funcin de calcular el valor hash como su verificacin posterior.
SELLADO DE TIEMPO El sellado de tiempo o timestamping es un mecanismo on-line que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante especfico en el tiempo. Este protocolo se describe en el RFC 3161 y est en el registro de estndares de Internet. Una autoridad de sellado de tiempo acta como tercera parte de confianza testificando la existencia de dichos datos electrnicos en una fecha y hora concretos.
Pasos para generar un sello de tiempo: Un usuario quiere obtener un sello de tiempo para un documento electrnico que l posee. Un resumen digital (tcnicamente un hash) se genera para el documento en el ordenador del usuario. Este resumen forma la solicitud que se enva a la autoridad de sellado de tiempo (TSA). La TSA genera un sello de tiempo con esta huella, la fecha y hora obtenida de una fuente fiable y la firma electrnica de la TSA. El sello de tiempo se enva de vuelta al usuario. La TSA mantiene un registro de los sellos emitidos para su futura verificacin. SELLADO DE TIEMPO Dnde se aplica: Factura electrnica. Proteccin de la propiedad intelectual. Registro electrnico / libros financieros / apuestas / pedidos Trazas (logging) seguras. Transacciones seguras en comercio electrnico. Voto electrnico. Visado electrnico. Transparencia en Gobierno Otras muchas reas
Empleo del Sellado de tiempo en la firma electrnica Las normas europeas TS 101 733 y TS 101 903 establecen dos modalidades de firma que incluyen sellado de tiempo. La variante ES-T aade el sellado a una firma bsica (BES) y la variante ES-C aade, adems del sellado de tiempo, informacin sobre la ruta en la que se puede verificar la validez del certificado obtenido de una consulta OCSP o de CRL. Adems estas normas prevn la modalidad ES-XL que incluye informacin sobre el estado de revocacin del certificado. De esta forma se obtiene una firma completa que libera al receptor de la firma del problema de deducir de la firma o del certificado la forma de comprobar la validez del certificado que puede variar de PSC en PSC.
CERTIFICADO DIGITAL Certificado digital Un certificado digital (tambin conocido como certificado de clave pblica o certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la identidad de un sujeto o entidad (por ejemplo: nombre, direccin y otros aspectos de identificacin) y una clave pblica . Este tipo de certificados se emplea para comprobar que una clave pblica pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificacin, por ejemplo) que la informacin de identidad y la clave pblica perteneciente al usuario o entidad referida en el certificado digital estn vinculadas. Un aspecto fundamental que hay que entender es que el certificado para cumplir la funcin de identificacin y autenticacin necesita del uso de la clave privada (que slo el titular conoce). El certificado y la clave pblica se consideran informacin no sensible que puede distribuirse perfectamente a terceros. Por tanto el certificado sin ms no puede ser utilizado como medio de identificacin, pero es pieza imprescindible en los protocolos usados para autenticar a las partes de una comunicacin digital, al garantizar la relacin entre una clave pblica y una identidad. El ejemplo por excelencia es la firma electrnica: aqu el titular tiene que utilizar su clave privada para crear una firma electrnica. A esta firma se le adjuntar el certificado. El receptor del documento que quiera comprobar la autenticidad de la identidad del firmante necesitar la clave pblica que acompaa al certificado para que a travs de una serie de operaciones criptogrfica se comprueba que es la pareja de la clave privada utilizada en la firma. Es esta operacin de asociacin al dato secreto del firmante lo que har la funcin de comprobar su identidad. CERTIFICADO DIGITAL Si bien existen variados formatos para certificados digitales, los ms comnmente empleados se rigen por el estndar UIT-T X.509. El certificado debe contener al menos lo siguiente: La identidad del propietario del certificado (identidad a certificar), La clave pblica asociada a esa identidad, La identidad de la entidad que expide y firma el certificado, El algoritmo criptogrfico usado para firmar el certificado.
Los dos primeros apartados son el contenido fundamental del certificado (identidad y clave pblica asociada), en tanto que los otros dos son datos imprescindibles para poder validar el certificado.
Esta informacin se firma de forma digital por la autoridad emisora del certificado. De esa forma, el receptor puede verificar que esta ltima ha establecido realmente la asociacin. CERTIFICADO DIGITAL Formato de certificado digital Un certificado emitido por una entidad de certificacin autorizada, adems de estar firmado digitalmente por sta, debe contener por lo menos lo siguiente: Nombre, direccin y domicilio del suscriptor. Identificacin del suscriptor nombrado en el certificado. El nombre, la direccin y el lugar donde realiza actividades la entidad de certificacin. La clave pblica del usuario. La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje de datos. El nmero de serie del certificado. Fecha de emisin y expiracin del certificado. Emisores de certificados Cualquier individuo o institucin puede generar un certificado digital, pero si ste emisor no es reconocido por quienes interacten con el propietario del certificado, el valor del mismo es prcticamente nulo. Por ello los emisores deben acreditarse: as se denomina al proceso por el cul entidades reconocidas, generalmente pblicas, otorgan validez a la institucin certificadora, de forma que su firma pueda ser reconocida como fiable, transmitiendo esa fiabilidad a los certificados emitidos por la citada institucin. La gran mayora de los emisores tiene fines comerciales, y otros, gracias al sistema de anillo de confianza otrogan certificados gratuitamente en todo el mundo, como CAcert.org, emisor administrado por la comunidad con base legal en Australia.
CERTIFICADO DIGITAL Pero para que un certificado digital tenga validez legal, el prestador de Servicios de Certificacin debe acreditarse en cada pas de acuerdo a la normativa que cada uno defina. Encargados de autorizar la creacin de una autoridad de certificacin o prestador de servicios de certificacin de algunos pases hispanos son: En Argentina, la Jefatura de Gabinete de Ministros. En Chile, el Ministerio de Economa. En Colombia, la Sociedad Cameral de Certificacin Digital Certicmara y GSE Gestin de Seguridad Electronica. En Costa Rica, el Ministerio de Ciencia y Tecnologa, bajo el Sistema Nacional de Certificacin Digital. En Ecuador, el Banco Central del Ecuador. En Espaa, la Fbrica Nacional de Moneda y Timbre, el Ministerio de Industria, Turismo y Comercio, la Agencia Catalana de Certificacin, la Autoritat de Certificaci de la Comunitat Valenciana, etc. En Guatemala, el Ministerio de Economa. En Mxico, la Secretara de Economa. En Per, el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual. En la Repblica Dominicana, el Instituto Dominicano de las Telecomunicaciones (INDOTEL) En Uruguay, la Administracin Nacional de Correos (ANC - Correo Uruguayo). En Venezuela, la Superintendencia de Servicios de Certificacin Electrnica (SUSCERTE).
ONLINE CERTIFICATE STATUS PROTOCOL Online Certificate Status Protocol (OCSP) es un mtodo para determinar el estado de revocacin de un certificado digital X.509 usando otros medios que no sean el uso de CRL (Listas de Revocacin de Certificados). Este protocolo se describe en el RFC 2560 y est en el registro de estndares de Internet. Los mensajes OCSP se codifican en ASN.1 y habitualmente se transmiten sobre el protocolo HTTP. La naturaleza de las peticiones y respuestas de OCSP hace que a los servidores OCSP se les conozca como "OCSP responders".
Ventajas sobre las CRL (Certificate Revocation List)
OCSP fue creado para solventar ciertas deficiencias de las CRL. Cuando se despliega una PKI (Infraestructura de Clave Pblica), es preferible la validacin de los certificados mediante OCSP sobre el uso de CRL por varias razones: OCSP puede proporcionar una informacin ms adecuada y reciente del estado de revocacin de un certificado. OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL, ahorrando de este modo trfico de red y procesado por parte del cliente. ONLINE CERTIFICATE STATUS PROTOCOL .El contenido de las CRL puede considerarse informacin sensible, anlogamente a la lista de morosos de un banco. Un "OCSP responder" puede implementar mecanismos de tarificacin para pasarle el coste de la validacin de las transacciones al vendedor, ms bien que al cliente. OCSP soporta el encadenamiento de confianza de las peticiones OCSP entre los "responders". Esto permite que los clientes se comuniquen con un "responder" de confianza para lanzar una peticin a una autoridad de certificacin alternativa dentro de la misma PKI. Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa secuencialmente para decir si es vlido o no. Un "OCSP responder" en el fondo, usa un motor de base de datos para consultar el estado del certificado solicitado, con todas las ventajas y estructura para facilitar las consultas. Esto se manifiesta an ms cuando el tamao de la CRL es muy grande.
REGULACIONES EXISTENTES EN DIFERENTES PAISES El marco comn de firma electrnica de la Unin Europea El mercado interior de la Unin Europea implica un espacio sin fronteras interiores en el que est garantizada la libre circulacin de mercancas. Deben satisfacerse los requisitos esenciales especficos de los productos de firma electrnica a fin de garantizar la libre circulacin en el mercado interior y fomentar la confianza en la firma electrnica. En ese sentido la Directiva 1999/93/CE sienta un marco comn para la firma electrnica que se concret con la transposicin de la Directiva a las diferentes legislaciones nacionales de los pases miembros. Ley sobre firma electrnica en Mxico Esta ley fue publicada el 15 de septiembre del ao 2003 por el Ministerio Secretara General de la Presidencia, la Ley 19.799 sobre Documentos Electrnicos, Firma Electrnica y Servicios de Certificacin de dicha firma, reconoce que los rganos del Estado podrn ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su mbito de competencia, suscribindolos por medio de firma electrnica simple. Igualmente seala que estos actos, contratos y documentos, suscritos mediante firma electrnica, sern vlidos de la misma manera y producirn los mismos efectos que los expedidos en soporte de papel. [
Firma digital en Costa Rica En Costa Rica, la Ley de Certificados, Firmas Digitales y Documentos Electrnicos (Ley 8454) es firmada el 22 de agosto del 2005. Esta Ley faculta la posibilidad de vincular jurdicamente a los actores que participan en transacciones electrnicas, lo que permite llevar al mundo virtual transacciones o procesos que anteriormente requeran el uso de documentos fsicos para tener validez jurdica, bajo el precepto de presuncin de autora y responsabilidad, adems lo anterior sin demrito del cumplimiento de los requisitos de las formalidades legales segn negocio jurdico. REGULACIONES EXISTENTES EN DIFERENTES PAISES La ley de firma electrnica en Espaa En Espaa existe la Ley 59/2003, de Firma electrnica, que define tres tipos de firma: Simple. Datos que puedan ser usados para identificar al firmante (autenticidad) Avanzada. Adems de identificar al firmante permite garantizar la integridad del documento y la integridad de la clave usada, utilizando para ello un DSCF (dispositivo seguro de creacin de firma, el DNI electrnico). Se emplean tcnicas de PKI. Reconocida. Es la firma avanzada y amparada por un certificado reconocido (certificado que se otorga tras la verificacin presencial de la identidad del firmante). En ocasiones, esta firma se denomina cualificada por traduccin del trmino ingls qualified que aparece en la Directiva Europea de Firma Electrnica. Firma electrnica en Guatemala En Guatemala, la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrnicas (Decreto 47-2008), fue publicada en el diario oficial el 23 de septiembre de 2008. El Ministerio de Economa de ese pas tiene bajo su responsabilidad el regular este tema, y abri en el mes de Junio de 2009 el Registro de Prestadores de Servicios de Certificacin, publicando su sitio web con copia de la ley e informacin importante sobre el tema.
REGULACIONES EXISTENTES EN DIFERENTES PAISES Firma digital en Nicaragua El 2 de julio de 2010 se aprob en Nicaragua la Ley de Firma Electrnica [5] , siendo la Direccin General de Tecnologa, adscrita al Ministerio de Hacienda y Crdito Pblico, la entidad acreditadora de la firma electrnica. Sin embargo, la implementacin de dicha Ley, ser dentro de un ao calendario, contado a partir del 30 de agosto de 2010. La Ley de firma digital en Per En el Per se ha dictado la Ley de Firmas y Certificados Digitales (Ley 27269), la cual regula la utilizacin de la firma electrnica, otorgndole la misma validez y eficacia jurdica que el uso de una firma manuscrita u otro anloga que conlleve manifestacin de voluntad. Firma electrnica en la Repblica Dominicana En la Repblica Dominicana, la Ley 126-02 de Comercio Electrnico, Documentos y Firmas Digitales, de fecha 29 de septiembre de 2002, regula toda relacin comercial, estructurada a partir de la utilizacin de uno o ms documentos digitales o mensajes de datos o de cualquier otro medio similar. Y se designa al Instituto Dominicano de las Telecomunicaciones (INDOTEL) como el rgano Regulador.
ESTANDARES PARA LAS TRANSACCIONES ELECTRONICAS REGULACIONES EXISTENTES PARA LAS TRANSACCIONES ELECTRONICAS.- Existen una serie de iniciativas nacionales e internacionales desarrollados para asistir a los auditores e implementadores de tecnologas de ICP, basndose para el caso de la ICPRD en el Estndar ANS9.79:2001 de la American National Standard Institute (ANSI). As, para cada uno de los procedimientos de control especificados ms adelante, se indican referencias a otros estndares aplicables vigentes, a fin de facilitar la identificacin del requerimiento y la bsqueda de informacin adicional. En algunos casos y ante la ausencia de estndares, los procedimientos de control se basan en las mejores prcticas de organizaciones reconocidas internacionalmente. El empleo de estndares internacionales y a otros documentos provenientes de organizaciones reconocidas en el desarrollo de la tecnologa de certificacin digital tiene los siguientes objetivos: Reflejar el ltimo estado del arte en materia de tecnologa de firma digital, tanto en los aspectos operativos como en cuanto a la seguridad; Garantizar la interoperabilidad entre las entidades que conforman la ICPRD y de sta con entidades e infraestructuras externas; Facilitar el proceso de actualizacin de estos criterios, mediante el seguimiento de los estndares y documentos referenciados, y la eventual incorporacin de sus actualizaciones y modificaciones a esta norma, previa determinacin de su aplicabilidad; Proveer una base consistente para la verificacin del cumplimiento de las normas aplicables y la evaluacin del ambiente de control de las EC sujetas a evaluacin; y, Mejorar la calidad de las implementaciones, aumentando su eficiencia operativa.
ESTANDARES PARA LAS TRANSACCIONES ELECTRONICAS
A continuacin se indican brevemente los orgenes y objetivos de cada estndar empleado para Sistemas de Auditora.
ANS 9.79:2001 Este Estndar, aprobado en enero de 2001 por el Instituto Americano de Estndares Nacionales (American National Standard Institute, ANSI), se refiere al Marco de Prcticas y Polticas de las Infraestructuras de Claves Pblicas (PKI Practices and Policy Framework, por sus siglas en ingls). Aunque originariamente elaborado para atender las necesidades de las entidades financieras, su uso puede ser adaptado y extendido a otras organizaciones. Su Anexo A establece los componentes de una Poltica de Certificacin y de un Manual de Procedimientos de Certificacin, mientras que su Anexo B detalla los objetivos de control de las EC. Sus anexos C y E se refieren a las extensiones de los certificados X.509 y los identificadores de objetos (OID). El objetivo del Estndar es atender las necesidades de gerentes y analistas de negocios interesados en la tecnologa de ICP, diseadores e implementadores tcnicos y auditores y gerentes de operacin. En la actualidad, este estndar de la ANSI est siendo revisado para su incorporacin futura como la norma ISO 21188 sobre polticas y prcticas de ICP.
ISO 17799 Basado originalmente en la Norma ISO 17799 del Instituto Britnico de Estndares (British Standard Institute), este constituye un cdigo de prctica para la gestin de la seguridad de la informacin. Fue emitido por la Organizacin Internacional para la Estandarizacin (International Organization for Standardization-ISO). Contiene recomendaciones aplicables por los responsables de iniciar, implementar o mantener aspectos de seguridad en las organizaciones. Provee una base comn para el desarrollo de polticas y procedimientos de seguridad y de prcticas efectivas de administracin de la misma, promoviendo la confianza en las relaciones entre entidades. Es una de las referencias ms importantes a la hora de analizar aspectos de seguridad de ambientes computarizados. Esta norma se especifica en 12 elementos: 1. Alcance, 2. Trminos y Definiciones, 3. Poltica de Seguridad, 4. Organizacin de la Seguridad, 5. Clasificacin y Control de Activos, 6. Seguridad del Personal, 7. Seguridad Ambiental y Fsica, 8. Gestin de Comunicaciones y Operaciones, 9. Control de Accesos, 10. Desarrollo y Mantenimiento del Sistema, 11. Administracin de la Continuidad de los Negocios, 12. Conformidad/Cumplimiento. ESTANDARES PARA LAS TRANSACCIONES ELECTRONICAS RFC 2527 Constituye un documento de trabajo del Grupo de Trabajo de PKI (PKIX Working Group), del Grupo de Tareas de Ingeniera de Internet (Internet Engineering Task Force IETF). Este documento, el cual est siendo revisado en la actualidad, presenta un marco para asistir a los responsables de la redaccin de polticas y procedimientos de certificacin aplicables a ICP. Particularmente, lista, en forma detallada, una serie de asuntos que deben ser incluidas en una PC y en un MPC.
ISO 15782-1 Este documento, al igual que el ANS9.79, surge como respuesta a necesidades especficas del sector financiero, pero los conceptos a los que hace referencia son aplicables a otras reas. An en etapa de revisin, fue redactado por la ISO y se refiere a la administracin de los certificados digitales para el sistema bancario.
X9.57 Este estndar, publicado en 1997 por la ANSI, se refiere a la Administracin de certificados en el campo de la criptografa de clave pblica para la industria de los servicios financieros.
ISO 10202-1 Este estndar fue publicado por la ISO en 1991, y se refiere a las tarjetas de transacciones financieras. Especficamente trata la arquitectura de seguridad para los sistemas transaccionales de entidades financiares, que emplean tarjetas de circuitos integrados. En su parte 1, se refiere al ciclo de vida de las tarjetas.
ESTANDARES PARA LAS TRANSACCIONES ELECTRONICAS FIPS 140-1 Este documento es un Estndar para el procesamiento de informacin federal del gobierno de los EEUU, y se refiere a los requerimientos de seguridad para los mdulos criptogrficos. Fue emitido en 1993. Esta norma tiene como caracterstica la utilizacin de elementos de hardware revestidos con resinas epoxdicas y los sellos resistentes a las manipulaciones indebidas.
CARAT La sigla responde a la denominacin del documento llamado Confiabilidad y Clasificacin de Autoridades de Certificacin: Guas para la construccin de Polticas relativas al uso de certificados de clave pblica basados en la identidad (Certification Authority Rating and Trust: guidelines for constructing Policies Governing the Use of Identity based Public Key Certificates). Fueron emitidos por la National Automated Clearing House Asociation (NACHA).
ISO 9594/X.509 Recomendacin de la ITU-T, de 1997, relativa a Tecnologas de la Informacin, Interconexiones en sistemas abiertos, marcos de autenticacin para los directorios. ESTANDARES PARA LAS TRANSACCIONES ELECTRONICAS X9.30 Este estndar publicado en 1997 por el ANSI, se refiere a la criptografa de clave pblica para la industria de los servicios financieros, y especficamente al Algoritmo de firma digital (Digital Signature Algorithm - DSA).
X9.31 El estndar ANS X9.31, de 1998, emitido por la ANS, se refiere a las firmas digitales utilizando criptografa de clave pblica reversible (Reversible Digital Signature Algorithm - rDSA), para la industria de los servicios financieros.
X9.62 Este estndar, publicado por la ANS en 1998, se refiere a la criptografa de clave pblica para la industria de los servicios financieros, y particularmente al Algoritmo de curvas elpticas para firma digital (Elliptic Curve Digital Signature.
ESTANDARES PARA LAS TRANSACCIONES ELECTRONICAS Atendiendo a las buenas practicas formuladas en ITIL. Gestin del nivel de servicio. Garantizar que se proporciona un nivel de servicio adecuado a las necesidades del comercio electrnico. Inspeccionar la satisfaccin del cliente. Por ejemplo, el servicio de comercio electrnico debe presentar una indisponibilidad del 0,2% anual, lo que implica que, en la practica, cualquier ventana horaria de cambios y actualizaciones del portal web debe adaptarse a horarios con pocos accesos. Solo as se garantizara una disponibilidad en torno al 99,8% anual. 1. Gestin de incidentes 2. 3. Gestin de problemas. 3. 4. Gestin de la configuracin. 4. 5. Gestin de cambios. 5. Gestin de versiones. Marco Legal del Comercio Electrnico El primer antecedente claro de una regulacin sobre Comercio Electrnico, esta planteado por el Documento de las Naciones Unidas sobre una Ley Marco de Comercio Electrnico. La Comisin de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI), Ley Modelo sobre Comercio Electrnico (...) en junio de 1996.
El objeto principal de la Ley Modelo es facilitar el comercio electrnico ofreciendo un conjunto de reglas internacionalmente aceptables que puedan ser empleadas por los Estados en la sancin de legislacin para superar los obstculos e incertidumbres jurdicas que existan en relacin con el uso de medios de comunicacin electrnicos en el comercio internacional. Tambin ofrece a los comerciantes directrices para eliminar algunas de las barreras jurdicas al comercio electrnico al preparar acuerdos contractuales. Ley 126-02 Para responder a las exigencias del manejo de las nuevas tecnologas en torno al comercio, en nuestro pas fue aprobada la Ley 126-02 promulgada el 29 de septiembre del ao 2002 y su reglamento dictado mediante el decreto 335-03.
Esta Ley tiene como finalidad principal garantizar la autenticacin y seguridad de los documentos y mensajes digitales, de modo que las partes puedan operar en un ambiente regulado.
mbito de aplicacin de la Ley
La Ley 126-02 sobre Comercio Electrnico, Documento y Firma Digital regula todo tipo de informacin en forma de documento digital o mensaje de datos, salvo dos casos excepcionales previstos en su artculo primero: a) En las obligaciones contradas por el Estado Dominicano en virtud de convenios o tratados internacionales; b) En las advertencias escritas que, por disposiciones legales, deban ir necesariamente impresas en ciertos tipos de productos en razn al riesgo que implica su comercializacin, uso o consumo.
En su primer captulo la Ley nos proporciona una definicin de ciertos conceptos que son reiteradamente utilizados en el texto: documento digital, mensajes de datos, intercambio electrnico de datos, firma digital, entidad de certificacin, certificado, repositorio, suscriptor, usuario, entre otros.
Ley 126-02 y su reglamento Artculo 38 : Nuestra ley establece que los certificados de firmas digitales emitidos por entidades de certificacin extranjeras pueden ser reconocidos en los mismos trminos y condiciones que los certificados de las entidades de certificacin nacionales, siempre y cuando tales certificados sean reconocidos por una entidad certificadora autorizada por la Ley. Nuestra normativa describen ciertos requisitos de fondo y procesales, para lograr que la informacin contenida en un documento digital o mensaje de datos pueda ser utilizada vlidamente como medio de prueba. El articulo 14 del reglamento establecen criterios de conservacin, para aquellos casos en que la ley requiera que ciertos documentos, registros o informaciones sean guardados.
Funciones de Auditora en el marco de La Ley
El artculo 56 de la ley asigna al INDOTEL la funcin de vigilancia y control de las actividades desarrolladas por las Entidad Certificadora (EC) y de manera particular, se efectuarn auditoras sobre estas actividades. Por otro lado, los artculos 38 y 40 de La Ley, obliga a las EC a: a) Facilitar la realizacin de auditoras por parte del INDOTEL (Art. 40, inc. i); b) Publicar el resultado de la evaluacin obtenida en la ltima auditora realizada (Art. 38, inc. c); y, c) Publicar en un repositorio el resultado de la auditora (prctica de auditora de certificacin) (Art.40, inc. j). El Art. 45 establece que las inspecciones tanto ordinarias como extraordinarias podrn ser practicadas por medio de funcionarios de planta del INDOTEL o por peritos especialmente contratados y habilitados para estos fines por dicho Instituto, los que en el ejercicio de sus funciones, podrn requerir a las EC informacin adicional a la proporcionada originariamente.
Controles del Entorno de la Entidad de Certificacin
Los objetivos y procedimientos de control estn basados en el Anexo B del estndar ANSX9.79:2001, con las adaptaciones relativas a las particularidades de la ICPRD, la Ley No.126-02, su Reglamento de Aplicacin y las normas complementarias dictadas por el INDOTEL. Los mecanismos, procesos y objetivos de control referenciados se orientan a evaluar y establecer la situacin de las Entidad Certificadora con relacin a su entorno tecnolgico para la gestin del ciclo de vida de los certificados digitales y de otros servicios que se encuentren habilitadas a prestar. Segn el Art. 49 trata acerca de la independencia del auditor respecto de la entidad auditada.
Que verificaran las Auditorias
La Ley No.126-02 sobre Comercio Electrnico, Documentos y Firmas Digitales; El Reglamento de Aplicacin de la Ley No.126-02, aprobado por el Decreto No.335-03; Los Estndares Tecnolgicos de Firma Digital de la ICPRD; Los lineamientos trazados sobre los criterios mnimos para las Polticas de Certificacin dictados por el INDOTEL; Las normas dictadas por el INDOTEL como rgano regulador en materia de firma digital; y, Otras normas vigentes aplicables.
Los controles debern estar incorporados en los procedimientos de la EC, cuando esto sea aplicable. Adicionalmente, se sugiere su empleo por las reas de auditora interna de los proveedores de servicios de certificacin con el fin de optimizar la eficiencia y efectividad de sus procesos internos.
FUNCIONES DEL AUDITOR El auditor debe realizar pruebas sustantivas y de cumplimiento que le permitan verificar la existencia, el cumplimiento y la eficacia de los procedimientos de control implementados. Debe de revisar las polticas y los manuales de la Entidad de Certificacin y asegurarse que los mismos son conocidos y aplicados por el personal correspondiente. Las pruebas podrn incluir revisiones de la documentacin, utilizacin de software especfico de auditora, de programas utilitarios adecuados para la revisin, as como inspecciones oculares y entrevistas al personal y todo otro procedimiento que juzgue conveniente Consideraciones de Auditora de Sistemas.
Objetivo: Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo.
Durante las auditoras de Sistemas deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria.
Asimismo, se requiere una proteccin adecuada para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoria.
1.29 Procedimiento de verificacin de Firma Digital Dicho proceso debe constar por lo menos, de los pasos siguientes:
a) La verificacin de que dicha firma digital ha sido creada durante el perodo de validez del certificado digital del suscriptor; b) La comprobacin de que dicha firma digital ha sido creada utilizando los datos de creacin de firma digital correspondientes a los datos de verificacin de firma digital indicados en el certificado del suscriptor; y, c) La verificacin de la autenticidad y la validez de los certificados involucrados; Resolucin nmero 142-06 Trata sobre la proteccin de los derechos de los consumidores y usuarios. Regula los derechos y deberes de los consumidores, usuarios y sujetos regulados en lo que respecta a los productos y servicios que ofrezcan los sujetos regulados. Establece tambin los procedimientos de proteccin de los derechos de los consumidores, en lo que respecta a los productos y servicios que reciban de los sujetos regulados, as como las normas de seguridad que habrn de observarse durante la recogida, uso, tratamiento y conservacin de la informacin y datos de los consumidores y usuarios. La medida regula, adems, el alcance de la responsabilidad que habrn de asumir los sujetos regulados frente a los consumidores y usuarios respecto a productos y servicios. La resolucin dispone crear un Centro de Atencin al Consumidor y al Usuario, aplicar un sistema de solucin de controversias NORMAS COMPLEMENTARIAS a) Norma sobre Proteccin de los Derechos de los Consumidores y Usuarios;
b) Norma sobre Proteccin de Datos de Carcter Personal por los Sujetos Regulados;
c) Norma sobre Publicidad y Difusin de Informacin de los Consumidores y Usuarios por los Sujetos Regulados;
d) Norma de Aplicacin de la Ley No. 126-02 a los Procedimientos Aduaneros;
e) Norma sobre Medios de Pagos Electrnicos;
f) Norma de Aplicacin de la Ley No. 126-02 a Derechos Reales sobre Bienes Inmuebles; y,
g) Norma sobre la Determinacin de la Hora Oficial en Medios Electrnicos e Internet.