Realizar una sntesis de la importancia de

trabajar la operacionalizacin de las variables,

realice tres ejemplos.



INTRODUCCION
El desarrollo y crecimiento del comercio electrnico y la firma digital han generado grandes
ingresos econmicos lo que ha sido una ventaja para las naciones y empresas que lo
utilizan como una estrategia de negocios, el mbito en que se desenvuelve este nuevo medio
de intercambio elimina barreras y permite un contacto en tiempo real entre consumidores y
vendedores, que produce a su vez una mayor eficiencia en el ciclo de produccin.

Como auditores Informticos sabemos las posibles implicaciones de riesgos que estos
cambios tecnolgicos pueden derivar e influenciados con el interesante artculo Las 5
advertencias del Cambio Tecnolgico, del autor norteamericano Neil Postman, nos
inquieta el impacto que estos cambios causaran en las rea de las auditoras y nos preocupa
que en este sector no se estn tomando acciones preventivas pertinentes o que se tenga una
perspectiva de baja relevancia o de baja probabilidades.

COMERCIO ELECTRONICO
` El comercio electrnico, tambin conocido como e-commerce (electronic commerce en ingls),
consiste en la compra y venta de productos o de servicios a travs de medios electrnicos,
tales como Internet y otras redes informticas. Originalmente el trmino se aplicaba a la
realizacin de transacciones mediante medios electrnicos tales como el Intercambio
electrnico de datos, sin embargo con el advenimiento de la Internet y la World Wide Web a
mediados de los aos 90 comenz a referirse principalmente a la venta de bienes y servicios
a travs de Internet, usando como forma de pago medios electrnicos, tales como las tarjetas
de crdito.

Una gran variedad de comercio se realiza de esta manera, estimulando la creacin y
utilizacin de innovaciones como la transferencia de fondos electrnica, la administracin de
cadenas de suministro, el marketing en Internet, el procesamiento de transacciones en lnea
(OLTP), el intercambio electrnico de datos (EDI), los sistemas de administracin del
inventario, y los sistemas automatizados de recoleccin de datos.
COMERCIO ELECTRONICO
La comisin Europea define al comercio electrnico como cualquier actividad que involucre a
empresas que interactan y hacen negocios por medios electrnicos, bien con clientes, bien
entre ellas, o bien con la administracin.
Estos tres tipos de relacin econmica se manejan de la siguiente forma:
Bussiness to Business (B2B).-Business to Consumer (B2C).-. Consumer to Consumer (C2C).-

El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de
riesgos para desarrollar el plan general de auditora de Sistema de Informacin,
teniendo en cuenta que debe cubrir los entornos de comercio electrnico.

El auditor de SI debe considerar la utilizacin de tcnicas de anlisis de datos,
incluida la utilizacin de una garanta continua, que permita a los auditores de SI
monitorizar la fiabilidad del sistema de forma continua, y recoger evidencias
selectivas de auditora por medio del ordenador/computadora, al revisar las
actividades de comercio electrnico.


VENTAJAS
Para las Empresas
Reduccin de costo real al hacer estudio de mercado.
Desaparecen los lmites geogrficos y de tiempo.
Disponibilidad las 24 horas del da, 7 das a la semana, todo el ao.
Reduccin de un 50% en costos de la puesta en marcha del comercio electrnico, en comparacin con el comercio
tradicional.
Hacer ms sencilla la labor de los negocios con sus clientes.
Reduccin considerable de inventarios.
Agilizar las operaciones del negocio.
Proporcionar nuevos medios para encontrar y servir a clientes.
Incorporar internacionalmente estrategias nuevas de relaciones entre clientes y proveedores.
Reducir el tamao del personal de la fuerza.
Menos inversin en los presupuestos publicitarios.
Reduccin de precios por el bajo coste del uso de Internet en comparacin con otros medios de promocin, lo cual implica
mayor competitividad.
Cercana a los clientes y mayor interactividad y personalizacin de la oferta.
Desarrollo de ventas electrnicas.
Globalizacin y acceso a mercados potenciales de millones de clientes.
VENTAJAS
Para los clientes

Reducir los costos y precios
Da poder al consumidor de elegir en un mercado global acorde a sus necesidades
Un medio que da poder al consumidor de elegir en un mercado global acorde a sus necesidades.
Brinda informacin pre-venta y posible prueba del producto antes de la compra.
Inmediatez al realizar los pedidos.
Servicio pre y post-venta on-line.
Reduccin de la cadena de distribucin, lo que le permite adquirir un producto a un mejor precio.
Mayor interactividad y personalizacin de la demanda.
Informacin inmediata sobre cualquier producto, y disponibilidad de acceder a la informacin en el momento que as lo
requiera.
Permite el acceso a ms informacin.

DESVENTAJAS

Desconocimiento de la empresa. No conocer la empresa que vende es un riesgo del comercio electrnico, ya que sta puede
estar en otro pas o en el mismo, pero en muchos casos las "empresas" o "personas-empresa" que ofrecen sus productos
o servicios por Internet ni siquiera estn constituidas legalmente en su pas y no se trata mas que de gente que esta
"probando suerte en Internet".
Forma de Pago. Aunque ha avanzado mucho el comercio electrnico, todava no hay una transmisin de datos segura el 100%.
Y esto es un problema pues nadie quiere dar sus datos de la Tarjeta de Crdito por Internet.
Intangibilidad. Mirar, tocar, hurgar. Aunque esto no sea sinnimo de compra, siempre ayuda a realizar una compra.
El idioma. A veces las pginas web que visitamos estn en otro idioma distinto al nuestro; a veces, los avances tecnolgicos
permiten traducir una pgina a nuestra lengua materna
Conocer quien vende. Ya sea una persona o conocer de que empresa se trata.
Poder volver (post y pre-venta). Con todo ello podemos reclamar en caso de ser necesario o pedir un servicio "post-venta". Al
conocerlo sabemos donde poder ir. El cliente espera recibir una atencin "pre-venta" o "post-venta.
Privacidad y seguridad. La mayora de los usuarios no confa en el Web como canal de pago. En la actualidad, las compras se
realizan utilizando el nmero de la tarjeta de crdito, pero an no es seguro introducirlo en Internet sin conocimiento
alguno. Cualquiera que transfiera datos de una tarjeta de crdito mediante Internet, no puede estar seguro de la identidad
del vendedor.
USOS COMERCIO ELECTRONICO

El comercio electrnico puede utilizarse en cualquier entorno en el que se intercambien documentos entre empresas: compras
o adquisiciones, finanzas, industria, transporte, salud, legislacin y recoleccin de ingresos o impuestos. Ya existen compaas
que utilizan el comercio electrnico para desarrollar los aspectos siguientes:
Creacin de canales nuevos de marketing y ventas.
Acceso interactivo a catlogos de productos, listas de precios y folletos publicitarios.
Venta directa e interactiva de productos a los clientes.
Soporte tcnico ininterrumpido, permitiendo que los clientes encuentren por s mismos, y fcilmente, respuestas a sus
problemas mediante la obtencin de los archivos y programas necesarios para resolverlos.
Mediante el comercio electrnico se intercambian los documentos de las actividades empresariales entre socios comerciales
Seguridad en el comercio electrnico
A pesar de las grandes ventajas del comercio electrnico, resulta vital la incorporacin de la
seguridad jurdica de las transacciones realizadas por este medio, como base para estimular
la expansin en beneficios de todos los agentes que intervienen en el.

La Seguridad Jurdica debe garantizar el valor probatorio Judicial y extrajudicialmente de
las firmas digitales y los mensajes de datos. Para esto se debe:

Identificar cabalmente las personas que realizan las transacciones.
Verificar la integridad de los contenidos de los documentos electrnicos

Con el fin de garantizar esto existen buenas practicas, estndares y normas internacionales que
proponen la creacin de un ambiente de seguridad para el buen desempeo del comercio
electrnico.
SEGURIDAD EN EL COMERCIO ELECTRONICO

. Para ello es necesario disponer de un servidor seguro a travs del cual toda la informacin confidencial es
encriptada y viaja de forma segura,

Como toda actividad comercial, en el comercio electrnico existen riesgos uno de estos es :

El comprador teme por la posibilidad de que sus datos personales (nombre, direccin, nmero de tarjeta de
crdito, etc.) sean interceptados por "alguien", y suplante as su identidad; de igual forma el vendedor necesita
asegurarse de que los datos enviados sean de quien dice serlos.

Con el fin de garantizar la seguridad existen buenas practicas, estndares y normas internacionales que proponen la
creacin de un ambiente de seguridad para el buen desempeo del comercio electrnico.

Dentro de un sistema de seguridad para las transacciones por Internet existen tcnicas, esquemas y acuerdos como
son:

Encriptacin
Firma Digital
Certificado de Calidad
SEGURIDAD EN EL COMERCIO
ELECTRONICO

La encriptacin: es el conjunto de tcnicas que intentan hacer inaccesible la informacin a personas no autorizadas. Por lo
general, la encriptacin se basa en una clave, sin la cual la informacin no puede ser descifrada. Con la encriptacin la
informacin transferida solo es accesible por las partes que intervienen (comprador, vendedor y sus dos bancos).


Protocolo SET: Secure Electronic Transactions es un conjunto de especificaciones desarrolladas por VISA y MasterCard, con el
apoyo y asistencia de GTE, IBM, Microsoft, Netscape, SAIC, Terisa y Verisign, que da paso a una forma segura de realizar
transacciones electrnicas, en las que estn involucrados: usuario final, comerciante, entidades financieras, administradoras
de tarjetas y propietarios de marcas de tarjetas.

SET constituye la respuesta a los muchos requerimientos de una estrategia de implantacin del comercio electrnico en Internet,
que satisface las necesidades de consumidores, comerciantes, instituciones financieras y administradoras de medios de
pago.
Por lo tanto, SET dirige sus procesos a:
Proporcionar la autentificacin necesaria.
Garantizar la confidencialidad de la informacin sensible.
Preservar la integridad de la informacin.
Definir los algoritmos criptogrficos y protocolos necesarios para los servicios anteriores.

FIRMA DIGITAL
Una firma digital a un esquema matemtico que sirve para demostrar la autenticidad de un mensaje digital o de un documento
electrnico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado
durante la transmisin. Las firmas digitales se utilizan comnmente para la distribucin de software, transacciones financieras
y en otras reas donde es importante detectar la falsificacin y la manipulacin.

La firma digital, evita que la transaccin sea alterada por terceras personas sin saberlo. El certificado digital, que es
emitido por un tercero, garantiza la identidad de las partes.


La firma electrnica, como la firma holgrafa (autgrafa, manuscrita), puede vincularse a un documento para identificar al autor,
para sealar conformidad (o disconformidad) con el contenido, para indicar que se ha ledo y, en su defecto mostrar el tipo de
firma y garantizar que no se pueda modificar su contenido.
Los trminos de firma digital y firma electrnica se utilizan con frecuencia como sinnimos, pero este uso en realidad es incorrecto.
Mientras que la firma digital hace referencia a una serie de mtodos criptogrficos, la firma electrnica es un trmino de naturaleza
fundamentalmente legal y ms amplio desde un punto de vista tcnico, ya que puede contemplar mtodos no criptogrficos.
FIRMA DIGITAL
La firma digital de un documento es el resultado de aplicar cierto algoritmo matemtico, denominado funcin hash, a su contenido
y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operacin anterior,
generando la firma electrnica o digital. El software de firma digital debe adems efectuar varias validaciones, entre las
cuales podemos mencionar:

Vigencia del certificado digital del firmante,
Revocacin del certificado digital del firmante (puede ser por OCSP o CRL),
Inclusin de sello de tiempo.

La funcin hash es un algoritmo matemtico que permite calcular un valor resumen de los datos a ser firmados digitalmente.
Funciona en una sola direccin, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la
entrada es un documento, el resultado de la funcin es un nmero que identifica inequvocamente al texto. Si se adjunta este
nmero al texto, el destinatario puede aplicar de nuevo la funcin y comprobar su resultado con el que ha recibido. Ello no
obstante, este tipo de operaciones no estn pensadas para que las lleve a cabo el usuario, sino que se utiliza un software
que automatiza tanto la funcin de calcular el valor hash como su verificacin posterior.

SELLADO DE TIEMPO
El sellado de tiempo o timestamping es un mecanismo on-line que permite demostrar que una serie de datos han existido y no
han sido alterados desde un instante especfico en el tiempo. Este protocolo se describe en el RFC 3161 y est en el
registro de estndares de Internet.
Una autoridad de sellado de tiempo acta como tercera parte de confianza testificando la existencia de dichos datos electrnicos
en una fecha y hora concretos.

Pasos para generar un sello de tiempo:
Un usuario quiere obtener un sello de tiempo para un documento electrnico que l posee.
Un resumen digital (tcnicamente un hash) se genera para el documento en el ordenador del usuario.
Este resumen forma la solicitud que se enva a la autoridad de sellado de tiempo (TSA).
La TSA genera un sello de tiempo con esta huella, la fecha y hora obtenida de una fuente fiable y la firma electrnica de la TSA.
El sello de tiempo se enva de vuelta al usuario.
La TSA mantiene un registro de los sellos emitidos para su futura verificacin.
SELLADO DE TIEMPO
Dnde se aplica:
Factura electrnica.
Proteccin de la propiedad intelectual.
Registro electrnico / libros financieros / apuestas / pedidos
Trazas (logging) seguras.
Transacciones seguras en comercio electrnico.
Voto electrnico.
Visado electrnico.
Transparencia en Gobierno
Otras muchas reas

Empleo del Sellado de tiempo en la firma electrnica
Las normas europeas TS 101 733 y TS 101 903 establecen dos modalidades de firma que incluyen sellado de tiempo. La variante
ES-T aade el sellado a una firma bsica (BES) y la variante ES-C aade, adems del sellado de tiempo, informacin sobre
la ruta en la que se puede verificar la validez del certificado obtenido de una consulta OCSP o de CRL. Adems estas
normas prevn la modalidad ES-XL que incluye informacin sobre el estado de revocacin del certificado. De esta forma se
obtiene una firma completa que libera al receptor de la firma del problema de deducir de la firma o del certificado la forma
de comprobar la validez del certificado que puede variar de PSC en PSC.

CERTIFICADO DIGITAL
Certificado digital
Un certificado digital (tambin conocido como certificado de clave pblica o certificado de identidad) es un documento digital
mediante el cual un tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la identidad de un sujeto o
entidad (por ejemplo: nombre, direccin y otros aspectos de identificacin) y una clave pblica
.
Este tipo de certificados se emplea para comprobar que una clave pblica pertenece a un individuo o entidad. La existencia de
firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificacin, por ejemplo) que la
informacin de identidad y la clave pblica perteneciente al usuario o entidad referida en el certificado digital estn vinculadas.
Un aspecto fundamental que hay que entender es que el certificado para cumplir la funcin de identificacin y autenticacin necesita
del uso de la clave privada (que slo el titular conoce). El certificado y la clave pblica se consideran informacin no sensible
que puede distribuirse perfectamente a terceros. Por tanto el certificado sin ms no puede ser utilizado como medio de
identificacin, pero es pieza imprescindible en los protocolos usados para autenticar a las partes de una comunicacin digital,
al garantizar la relacin entre una clave pblica y una identidad.
El ejemplo por excelencia es la firma electrnica: aqu el titular tiene que utilizar su clave privada para crear una firma electrnica. A
esta firma se le adjuntar el certificado. El receptor del documento que quiera comprobar la autenticidad de la identidad del
firmante necesitar la clave pblica que acompaa al certificado para que a travs de una serie de operaciones criptogrfica
se comprueba que es la pareja de la clave privada utilizada en la firma. Es esta operacin de asociacin al dato secreto del
firmante lo que har la funcin de comprobar su identidad.
CERTIFICADO DIGITAL
Si bien existen variados formatos para certificados digitales, los ms comnmente empleados se rigen por el estndar UIT-T
X.509. El certificado debe contener al menos lo siguiente:
La identidad del propietario del certificado (identidad a certificar),
La clave pblica asociada a esa identidad,
La identidad de la entidad que expide y firma el certificado,
El algoritmo criptogrfico usado para firmar el certificado.

Los dos primeros apartados son el contenido fundamental del certificado (identidad y clave pblica asociada), en tanto que los otros
dos son datos imprescindibles para poder validar el certificado.

Esta informacin se firma de forma digital por la autoridad emisora del certificado. De esa forma, el receptor puede verificar que
esta ltima ha establecido realmente la asociacin.
CERTIFICADO DIGITAL
Formato de certificado digital
Un certificado emitido por una entidad de certificacin autorizada, adems de estar firmado digitalmente por sta, debe contener por
lo menos lo siguiente:
Nombre, direccin y domicilio del suscriptor.
Identificacin del suscriptor nombrado en el certificado.
El nombre, la direccin y el lugar donde realiza actividades la entidad de certificacin.
La clave pblica del usuario.
La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
El nmero de serie del certificado.
Fecha de emisin y expiracin del certificado.
Emisores de certificados
Cualquier individuo o institucin puede generar un certificado digital, pero si ste emisor no es reconocido por quienes interacten
con el propietario del certificado, el valor del mismo es prcticamente nulo. Por ello los emisores deben acreditarse: as se
denomina al proceso por el cul entidades reconocidas, generalmente pblicas, otorgan validez a la institucin certificadora, de
forma que su firma pueda ser reconocida como fiable, transmitiendo esa fiabilidad a los certificados emitidos por la citada
institucin.
La gran mayora de los emisores tiene fines comerciales, y otros, gracias al sistema de anillo de confianza otrogan certificados
gratuitamente en todo el mundo, como CAcert.org, emisor administrado por la comunidad con base legal en Australia.

CERTIFICADO DIGITAL
Pero para que un certificado digital tenga validez legal, el prestador de Servicios de Certificacin debe acreditarse en cada
pas de acuerdo a la normativa que cada uno defina.
Encargados de autorizar la creacin de una autoridad de certificacin o prestador de servicios de certificacin de algunos pases
hispanos son:
En Argentina, la Jefatura de Gabinete de Ministros.
En Chile, el Ministerio de Economa.
En Colombia, la Sociedad Cameral de Certificacin Digital Certicmara y GSE Gestin de Seguridad Electronica.
En Costa Rica, el Ministerio de Ciencia y Tecnologa, bajo el Sistema Nacional de Certificacin Digital.
En Ecuador, el Banco Central del Ecuador.
En Espaa, la Fbrica Nacional de Moneda y Timbre, el Ministerio de Industria, Turismo y Comercio, la Agencia Catalana de
Certificacin, la Autoritat de Certificaci de la Comunitat Valenciana, etc.
En Guatemala, el Ministerio de Economa.
En Mxico, la Secretara de Economa.
En Per, el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual.
En la Repblica Dominicana, el Instituto Dominicano de las Telecomunicaciones (INDOTEL)
En Uruguay, la Administracin Nacional de Correos (ANC - Correo Uruguayo).
En Venezuela, la Superintendencia de Servicios de Certificacin Electrnica (SUSCERTE).

ONLINE CERTIFICATE STATUS
PROTOCOL
Online Certificate Status Protocol (OCSP) es un mtodo para determinar el estado de revocacin de un certificado digital X.509
usando otros medios que no sean el uso de CRL (Listas de Revocacin de Certificados). Este protocolo se describe en el
RFC 2560 y est en el registro de estndares de Internet.
Los mensajes OCSP se codifican en ASN.1 y habitualmente se transmiten sobre el protocolo HTTP. La naturaleza de las
peticiones y respuestas de OCSP hace que a los servidores OCSP se les conozca como "OCSP responders".

Ventajas sobre las CRL (Certificate Revocation List)

OCSP fue creado para solventar ciertas deficiencias de las CRL. Cuando se despliega una PKI (Infraestructura de Clave Pblica),
es preferible la validacin de los certificados mediante OCSP sobre el uso de CRL por varias razones:
OCSP puede proporcionar una informacin ms adecuada y reciente del estado de revocacin de un certificado.
OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL, ahorrando de este modo trfico de red y
procesado por parte del cliente.
ONLINE CERTIFICATE STATUS
PROTOCOL
.El contenido de las CRL puede considerarse informacin sensible, anlogamente a la lista de morosos de un banco.
Un "OCSP responder" puede implementar mecanismos de tarificacin para pasarle el coste de la validacin de las transacciones al
vendedor, ms bien que al cliente.
OCSP soporta el encadenamiento de confianza de las peticiones OCSP entre los "responders". Esto permite que los clientes se
comuniquen con un "responder" de confianza para lanzar una peticin a una autoridad de certificacin alternativa dentro de la
misma PKI.
Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa secuencialmente para decir si es vlido o
no. Un "OCSP responder" en el fondo, usa un motor de base de datos para consultar el estado del certificado solicitado, con
todas las ventajas y estructura para facilitar las consultas. Esto se manifiesta an ms cuando el tamao de la CRL es muy
grande.

REGULACIONES EXISTENTES
EN DIFERENTES PAISES
El marco comn de firma electrnica de la Unin Europea
El mercado interior de la Unin Europea implica un espacio sin fronteras interiores en el que est garantizada la libre circulacin de
mercancas. Deben satisfacerse los requisitos esenciales especficos de los productos de firma electrnica a fin de garantizar
la libre circulacin en el mercado interior y fomentar la confianza en la firma electrnica.
En ese sentido la Directiva 1999/93/CE sienta un marco comn para la firma electrnica que se concret con la transposicin de la
Directiva a las diferentes legislaciones nacionales de los pases miembros.
Ley sobre firma electrnica en Mxico
Esta ley fue publicada el 15 de septiembre del ao 2003 por el Ministerio Secretara General de la Presidencia, la Ley 19.799
sobre Documentos Electrnicos, Firma Electrnica y Servicios de Certificacin de dicha firma, reconoce que los rganos del
Estado podrn ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su mbito de
competencia, suscribindolos por medio de firma electrnica simple. Igualmente seala que estos actos, contratos y
documentos, suscritos mediante firma electrnica, sern vlidos de la misma manera y producirn los mismos efectos que los
expedidos en soporte de papel.
[

Firma digital en Costa Rica
En Costa Rica, la Ley de Certificados, Firmas Digitales y Documentos Electrnicos (Ley 8454) es firmada el 22 de agosto del 2005.
Esta Ley faculta la posibilidad de vincular jurdicamente a los actores que participan en transacciones electrnicas, lo que
permite llevar al mundo virtual transacciones o procesos que anteriormente requeran el uso de documentos fsicos para
tener validez jurdica, bajo el precepto de presuncin de autora y responsabilidad, adems lo anterior sin demrito del
cumplimiento de los requisitos de las formalidades legales segn negocio jurdico.
REGULACIONES EXISTENTES
EN DIFERENTES PAISES
La ley de firma electrnica en Espaa
En Espaa existe la Ley 59/2003, de Firma electrnica, que define tres tipos de firma:
Simple. Datos que puedan ser usados para identificar al firmante (autenticidad)
Avanzada. Adems de identificar al firmante permite garantizar la integridad del documento y la integridad de la clave usada,
utilizando para ello un DSCF (dispositivo seguro de creacin de firma, el DNI electrnico). Se emplean tcnicas de PKI.
Reconocida. Es la firma avanzada y amparada por un certificado reconocido (certificado que se otorga tras la verificacin
presencial de la identidad del firmante). En ocasiones, esta firma se denomina cualificada por traduccin del trmino ingls
qualified que aparece en la Directiva Europea de Firma Electrnica.
Firma electrnica en Guatemala
En Guatemala, la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrnicas (Decreto 47-2008), fue publicada en el
diario oficial el 23 de septiembre de 2008. El Ministerio de Economa de ese pas tiene bajo su responsabilidad el regular este
tema, y abri en el mes de Junio de 2009 el Registro de Prestadores de Servicios de Certificacin, publicando su sitio web
con copia de la ley e informacin importante sobre el tema.


REGULACIONES EXISTENTES
EN DIFERENTES PAISES
Firma digital en Nicaragua
El 2 de julio de 2010 se aprob en Nicaragua la Ley de Firma Electrnica
[5]
, siendo la Direccin General de Tecnologa, adscrita al
Ministerio de Hacienda y Crdito Pblico, la entidad acreditadora de la firma electrnica.
Sin embargo, la implementacin de dicha Ley, ser dentro de un ao calendario, contado a partir del 30 de agosto de 2010.
La Ley de firma digital en Per
En el Per se ha dictado la Ley de Firmas y Certificados Digitales (Ley 27269), la cual regula la utilizacin de la firma electrnica,
otorgndole la misma validez y eficacia jurdica que el uso de una firma manuscrita u otro anloga que conlleve manifestacin
de voluntad.
Firma electrnica en la Repblica Dominicana
En la Repblica Dominicana, la Ley 126-02 de Comercio Electrnico, Documentos y Firmas Digitales, de fecha 29 de septiembre
de 2002, regula toda relacin comercial, estructurada a partir de la utilizacin de uno o ms documentos digitales o mensajes
de datos o de cualquier otro medio similar. Y se designa al Instituto Dominicano de las Telecomunicaciones (INDOTEL) como
el rgano Regulador.


ESTANDARES PARA LAS
TRANSACCIONES ELECTRONICAS
REGULACIONES EXISTENTES PARA LAS TRANSACCIONES ELECTRONICAS.-
Existen una serie de iniciativas nacionales e internacionales desarrollados para asistir a los auditores e implementadores de
tecnologas de ICP, basndose para el caso de la ICPRD en el Estndar ANS9.79:2001 de la American National Standard
Institute (ANSI).
As, para cada uno de los procedimientos de control especificados ms adelante, se indican referencias a otros estndares
aplicables vigentes, a fin de facilitar la identificacin del requerimiento y la bsqueda de informacin adicional. En algunos
casos y ante la ausencia de estndares, los procedimientos de control se basan en las mejores prcticas de
organizaciones reconocidas internacionalmente.
El empleo de estndares internacionales y a otros documentos provenientes de organizaciones reconocidas en el desarrollo de la
tecnologa de certificacin digital tiene los siguientes objetivos:
Reflejar el ltimo estado del arte en materia de tecnologa de firma digital, tanto en los aspectos operativos como en
cuanto a la seguridad;
Garantizar la interoperabilidad entre las entidades que conforman la ICPRD y de sta con entidades e infraestructuras
externas;
Facilitar el proceso de actualizacin de estos criterios, mediante el seguimiento de los estndares y documentos
referenciados, y la eventual incorporacin de sus actualizaciones y modificaciones a esta norma, previa determinacin
de su aplicabilidad;
Proveer una base consistente para la verificacin del cumplimiento de las normas aplicables y la evaluacin del ambiente
de control de las EC sujetas a evaluacin; y,
Mejorar la calidad de las implementaciones, aumentando su eficiencia operativa.

ESTANDARES PARA LAS
TRANSACCIONES ELECTRONICAS

A continuacin se indican brevemente los orgenes y objetivos de cada estndar empleado para Sistemas de Auditora.

ANS 9.79:2001
Este Estndar, aprobado en enero de 2001 por el Instituto Americano de Estndares Nacionales (American National Standard
Institute, ANSI), se refiere al Marco de Prcticas y Polticas de las Infraestructuras de Claves Pblicas (PKI Practices and
Policy Framework, por sus siglas en ingls). Aunque originariamente elaborado para atender las necesidades de las
entidades financieras, su uso puede ser adaptado y extendido a otras organizaciones. Su Anexo A establece los
componentes de una Poltica de Certificacin y de un Manual de Procedimientos de Certificacin, mientras que su Anexo B
detalla los objetivos de control de las EC. Sus anexos C y E se refieren a las extensiones de los certificados X.509 y los
identificadores de objetos (OID). El objetivo del Estndar es atender las necesidades de gerentes y analistas de negocios
interesados en la tecnologa de ICP, diseadores e implementadores tcnicos y auditores y gerentes de operacin. En la
actualidad, este estndar de la ANSI est siendo revisado para su incorporacin futura como la norma ISO 21188 sobre
polticas y prcticas de ICP.

ISO 17799
Basado originalmente en la Norma ISO 17799 del Instituto Britnico de Estndares (British Standard Institute), este constituye un
cdigo de prctica para la gestin de la seguridad de la informacin. Fue emitido por la Organizacin Internacional para la
Estandarizacin (International Organization for Standardization-ISO). Contiene recomendaciones aplicables por los
responsables de iniciar, implementar o mantener aspectos de seguridad en las organizaciones. Provee una base comn
para el desarrollo de polticas y procedimientos de seguridad y de prcticas efectivas de administracin de la misma,
promoviendo la confianza en las relaciones entre entidades. Es una de las referencias ms importantes a la hora de analizar
aspectos de seguridad de ambientes computarizados. Esta norma se especifica en 12 elementos:
1. Alcance,
2. Trminos y Definiciones,
3. Poltica de Seguridad,
4. Organizacin de la Seguridad,
5. Clasificacin y Control de Activos,
6. Seguridad del Personal,
7. Seguridad Ambiental y Fsica,
8. Gestin de Comunicaciones y Operaciones,
9. Control de Accesos,
10. Desarrollo y Mantenimiento del Sistema,
11. Administracin de la Continuidad de los Negocios,
12. Conformidad/Cumplimiento.
ESTANDARES PARA LAS
TRANSACCIONES ELECTRONICAS
RFC 2527
Constituye un documento de trabajo del Grupo de Trabajo de PKI (PKIX Working Group), del Grupo de Tareas de Ingeniera de
Internet (Internet Engineering Task Force IETF). Este documento, el cual est siendo revisado en la actualidad, presenta
un marco para asistir a los responsables de la redaccin de polticas y procedimientos de certificacin aplicables a ICP.
Particularmente, lista, en forma detallada, una serie de asuntos que deben ser incluidas en una PC y en un MPC.

ISO 15782-1
Este documento, al igual que el ANS9.79, surge como respuesta a necesidades especficas del sector financiero, pero los
conceptos a los que hace referencia son aplicables a otras reas. An en etapa de revisin, fue redactado por la ISO y se
refiere a la administracin de los certificados digitales para el sistema bancario.

X9.57
Este estndar, publicado en 1997 por la ANSI, se refiere a la Administracin de certificados en el campo de la criptografa de
clave pblica para la industria de los servicios financieros.

ISO 10202-1
Este estndar fue publicado por la ISO en 1991, y se refiere a las tarjetas de transacciones financieras. Especficamente trata la
arquitectura de seguridad para los sistemas transaccionales de entidades financiares, que emplean tarjetas de circuitos
integrados. En su parte 1, se refiere al ciclo de vida de las tarjetas.


ESTANDARES PARA LAS
TRANSACCIONES ELECTRONICAS
FIPS 140-1
Este documento es un Estndar para el procesamiento de informacin federal del gobierno de los EEUU, y se refiere a los
requerimientos de seguridad para los mdulos criptogrficos. Fue emitido en 1993. Esta norma tiene como caracterstica la
utilizacin de elementos de hardware revestidos con resinas epoxdicas y los sellos resistentes a las manipulaciones
indebidas.

CARAT
La sigla responde a la denominacin del documento llamado Confiabilidad y Clasificacin de Autoridades de Certificacin: Guas
para la construccin de Polticas relativas al uso de certificados de clave pblica basados en la identidad (Certification
Authority Rating and Trust: guidelines for constructing Policies Governing the Use of Identity based Public Key Certificates).
Fueron emitidos por la National Automated Clearing House Asociation (NACHA).

ISO 9594/X.509
Recomendacin de la ITU-T, de 1997, relativa a Tecnologas de la Informacin, Interconexiones en sistemas abiertos, marcos de
autenticacin para los directorios.
ESTANDARES PARA LAS
TRANSACCIONES ELECTRONICAS
X9.30
Este estndar publicado en 1997 por el ANSI, se refiere a la criptografa de clave pblica para la industria de los servicios
financieros, y especficamente al Algoritmo de firma digital (Digital Signature Algorithm - DSA).

X9.31
El estndar ANS X9.31, de 1998, emitido por la ANS, se refiere a las firmas digitales utilizando criptografa de clave pblica
reversible (Reversible Digital Signature Algorithm - rDSA), para la industria de los servicios financieros.

X9.62
Este estndar, publicado por la ANS en 1998, se refiere a la criptografa de clave pblica para la industria de los servicios
financieros, y particularmente al Algoritmo de curvas elpticas para firma digital (Elliptic Curve Digital Signature.

ESTANDARES PARA LAS
TRANSACCIONES ELECTRONICAS
Atendiendo a las buenas practicas
formuladas en ITIL.
Gestin del nivel de servicio. Garantizar que se proporciona un nivel de servicio
adecuado a las necesidades del comercio electrnico. Inspeccionar la satisfaccin
del cliente. Por ejemplo, el servicio de comercio electrnico debe presentar una
indisponibilidad del 0,2% anual, lo que implica que, en la practica, cualquier
ventana horaria de cambios y actualizaciones del portal web debe adaptarse a
horarios con pocos accesos. Solo as se garantizara una disponibilidad en torno
al 99,8% anual.
1. Gestin de incidentes
2. 3. Gestin de problemas.
3. 4. Gestin de la configuracin.
4. 5. Gestin de cambios.
5. Gestin de versiones.
Marco Legal del Comercio Electrnico
El primer antecedente claro de una regulacin sobre Comercio Electrnico, esta planteado
por el Documento de las Naciones Unidas sobre una Ley Marco de Comercio Electrnico.
La Comisin de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI),
Ley Modelo sobre Comercio Electrnico (...) en junio de 1996.

El objeto principal de la Ley Modelo es facilitar el comercio electrnico ofreciendo un
conjunto de reglas internacionalmente aceptables que puedan ser empleadas por los Estados
en la sancin de legislacin para superar los obstculos e incertidumbres jurdicas que
existan en relacin con el uso de medios de comunicacin electrnicos en el comercio
internacional. Tambin ofrece a los comerciantes directrices para eliminar algunas de las
barreras jurdicas al comercio electrnico al preparar acuerdos contractuales.
Ley 126-02
Para responder a las exigencias del manejo de las nuevas tecnologas en torno al
comercio, en nuestro pas fue aprobada la Ley 126-02 promulgada el 29 de septiembre
del ao 2002 y su reglamento dictado mediante el decreto 335-03.

Esta Ley tiene como finalidad principal garantizar la autenticacin y seguridad de los
documentos y mensajes digitales, de modo que las partes puedan operar en un ambiente
regulado.


mbito de aplicacin de la Ley

La Ley 126-02 sobre Comercio Electrnico, Documento y Firma Digital regula todo tipo de
informacin en forma de documento digital o mensaje de datos, salvo dos casos
excepcionales previstos en su artculo primero:
a) En las obligaciones contradas por el Estado Dominicano en virtud de convenios o
tratados internacionales;
b) En las advertencias escritas que, por disposiciones legales, deban ir necesariamente
impresas en ciertos tipos de productos en razn al riesgo que implica su comercializacin,
uso o consumo.

En su primer captulo la Ley nos proporciona una definicin de ciertos conceptos que son
reiteradamente utilizados en el texto: documento digital, mensajes de datos, intercambio
electrnico de datos, firma digital, entidad de certificacin, certificado, repositorio,
suscriptor, usuario, entre otros.


Ley 126-02 y su reglamento
Artculo 38 : Nuestra ley establece que los certificados de firmas digitales emitidos por
entidades de certificacin extranjeras pueden ser reconocidos en los mismos trminos y
condiciones que los certificados de las entidades de certificacin nacionales, siempre y
cuando tales certificados sean reconocidos por una entidad certificadora autorizada por la
Ley.
Nuestra normativa describen ciertos requisitos de fondo y procesales, para lograr que la
informacin contenida en un documento digital o mensaje de datos pueda ser utilizada
vlidamente como medio de prueba.
El articulo 14 del reglamento establecen criterios de conservacin, para aquellos casos en
que la ley requiera que ciertos documentos, registros o informaciones sean guardados.




Funciones de Auditora en el
marco de La Ley


El artculo 56 de la ley asigna al INDOTEL la funcin de vigilancia y control de las
actividades desarrolladas por las Entidad Certificadora (EC) y de manera particular, se
efectuarn auditoras sobre estas actividades.
Por otro lado, los artculos 38 y 40 de La Ley, obliga a las EC a:
a) Facilitar la realizacin de auditoras por parte del INDOTEL (Art. 40, inc. i);
b) Publicar el resultado de la evaluacin obtenida en la ltima auditora realizada (Art. 38,
inc. c); y,
c) Publicar en un repositorio el resultado de la auditora (prctica de auditora de
certificacin) (Art.40, inc. j).
El Art. 45 establece que las inspecciones tanto ordinarias como extraordinarias podrn ser
practicadas por medio de funcionarios de planta del INDOTEL o por peritos especialmente
contratados y habilitados para estos fines por dicho Instituto, los que en el ejercicio de sus
funciones, podrn requerir a las EC informacin adicional a la proporcionada
originariamente.


Controles del Entorno de la
Entidad de Certificacin

Los objetivos y procedimientos de control estn basados en el Anexo B del estndar
ANSX9.79:2001, con las adaptaciones relativas a las particularidades de la ICPRD, la Ley
No.126-02, su Reglamento de Aplicacin y las normas complementarias dictadas por el
INDOTEL.
Los mecanismos, procesos y objetivos de control referenciados se orientan a evaluar y
establecer la situacin de las Entidad Certificadora con relacin a su entorno tecnolgico
para la gestin del ciclo de vida de los certificados digitales y de otros servicios que se
encuentren habilitadas a prestar.
Segn el Art. 49 trata acerca de la independencia del auditor respecto de la entidad auditada.

Que verificaran las Auditorias


La Ley No.126-02 sobre Comercio Electrnico, Documentos y Firmas Digitales;
El Reglamento de Aplicacin de la Ley No.126-02, aprobado por el Decreto No.335-03;
Los Estndares Tecnolgicos de Firma Digital de la ICPRD;
Los lineamientos trazados sobre los criterios mnimos para las Polticas de Certificacin
dictados por el INDOTEL;
Las normas dictadas por el INDOTEL como rgano regulador en materia de firma digital;
y,
Otras normas vigentes aplicables.

Los controles debern estar incorporados en los procedimientos de la EC, cuando esto sea
aplicable. Adicionalmente, se sugiere su empleo por las reas de auditora interna de los
proveedores de servicios de certificacin con el fin de optimizar la eficiencia y efectividad
de sus procesos internos.

FUNCIONES DEL AUDITOR
El auditor debe realizar pruebas sustantivas y de cumplimiento que le permitan verificar la
existencia, el cumplimiento y la eficacia de los procedimientos de control implementados.
Debe de revisar las polticas y los manuales de la Entidad de Certificacin y asegurarse que
los mismos son conocidos y aplicados por el personal correspondiente. Las pruebas podrn
incluir revisiones de la documentacin, utilizacin de software especfico de auditora, de
programas utilitarios adecuados para la revisin, as como inspecciones oculares y
entrevistas al personal y todo otro procedimiento que juzgue conveniente
Consideraciones de Auditora de Sistemas.

Objetivo: Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los
problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo.

Durante las auditoras de Sistemas deben existir controles que protejan los sistemas de
operaciones y las herramientas de auditoria.

Asimismo, se requiere una proteccin adecuada para salvaguardar la integridad y evitar el
uso inadecuado de las herramientas de auditoria.

1.29 Procedimiento de verificacin de
Firma Digital
Dicho proceso debe constar por lo menos, de los pasos siguientes:

a) La verificacin de que dicha firma digital ha sido creada durante el perodo de
validez del certificado digital del suscriptor;
b) La comprobacin de que dicha firma digital ha sido creada utilizando los datos
de creacin de firma digital correspondientes a los datos de verificacin de firma
digital indicados en el certificado del suscriptor; y,
c) La verificacin de la autenticidad y la validez de los certificados involucrados;
Resolucin nmero 142-06
Trata sobre la proteccin de los derechos de los consumidores y usuarios.
Regula los derechos y deberes de los consumidores, usuarios y sujetos regulados en lo que
respecta a los productos y servicios que ofrezcan los sujetos regulados.
Establece tambin los procedimientos de proteccin de los derechos de los consumidores,
en lo que respecta a los productos y servicios que reciban de los sujetos regulados, as como
las normas de seguridad que habrn de observarse durante la recogida, uso, tratamiento y
conservacin de la informacin y datos de los consumidores y usuarios.
La medida regula, adems, el alcance de la responsabilidad que habrn de asumir los sujetos
regulados frente a los consumidores y usuarios respecto a productos y servicios.
La resolucin dispone crear un Centro de Atencin al Consumidor y al Usuario, aplicar un
sistema de solucin de controversias
NORMAS COMPLEMENTARIAS
a) Norma sobre Proteccin de los Derechos de los Consumidores y Usuarios;

b) Norma sobre Proteccin de Datos de Carcter Personal por los Sujetos Regulados;

c) Norma sobre Publicidad y Difusin de Informacin de los Consumidores y Usuarios por
los Sujetos Regulados;

d) Norma de Aplicacin de la Ley No. 126-02 a los Procedimientos Aduaneros;

e) Norma sobre Medios de Pagos Electrnicos;

f) Norma de Aplicacin de la Ley No. 126-02 a Derechos Reales sobre Bienes Inmuebles; y,

g) Norma sobre la Determinacin de la Hora Oficial en Medios Electrnicos e Internet.