Avanzada
 Especial Seguridad

PROTOCOLO SET


Asia es líder mundial en términos de crecimiento económico global e incremento del número de propietarios de tarjetas de crédito y nuevos usuarios de Internet. Esto explica que para MasterCard Internacional y Visa Internacional, en el sector bancario, y para Gemplus y CP8 Transac, en el negocio de tarjetas inteligentes, Asia represente un objetivo más que apetecible.
Pero el crecimiento económico ha llegado acompañado de un problema social prácticamente indisoluble: la delincuencia. Conscientes de los beneficios pontenciales que puede reportar el comercio en Internet, y sin olvidar la necesidad de seguridad fiscal, MasterCard y Visa están promoviendo la adopción del estándar Secure Electronic Transaction (SET).

SET utiliza la criptografía de clave pública, para garantizar la seguridad de las transacciones. Otro dispositivo de seguridad de SET consiste en el uso de firmas digitales, que certifican aún más la validez del mensaje. Para ello, SET emplea compendios (digest) de mensaje.

 

TRANSACCIÓN ELECTRÓNICA SEGURA (SET)

El estándar SET para transacciones electrónicas seguras en redes abiertas como Internet fue desarrollado por Visa y MasterCard con la asesoría de empresas como IBM, Netscape y RSA entre otras. Está basado en la criptografía más segura, la criptografía de llaves públicas y privadas RSA. SET agrupa a las siguientes entidades en un solo sistema de pago:

  • Tarjeta-habiente: aquella persona poseedora de una tarjeta de crédito.
  • Emisor : entidad financiera que emite la tarjeta.
  • Comerciante : conocido en la literatura SET como el mercader, es la empresa que vende bienes o intercambia servicios por dinero.
  • Adquirente : institución financiera que establece una cuenta con el Comerciante y procesa autorizaciones y pagos.
  • Intermediario para pago : dispositivo operado por un adquirente o designado a un tercero para que procese los mensajes de pago, incluyendo instrucciones de pago de un tarjetahabiente.
  • Marcas : Las instituciones financieras emiten tarjetas con marcas en ellas, para hacer publicidad a la marca y establecen ciertas reglas de uso y aceptación de sus tarjetas y proveen redes que las interconectan a las instituciones financieras.
  • Terceros: los emisores y los adquirentes pueden asignar a terceros para el procesamiento de las transacciones.

Para poder hacer una transacción SET cada uno de los participantes debe estar registrado por una entidad certificadora, que como su nombre lo indica emite un certificado electrónico en el que hace constar la identidad de una entidad.

SET pretende masificar el uso de Internet como "el mayor centro comercial del mundo", pero para hacerlo SET fue diseñado para lograr:

  • Confidencialidad de la información.
  • Integridad de los datos
  • Autenticación de la cuenta del tarjetahabiente
  • Autenticación del comerciante
  • Interoperabilidad

A diferencia de una transacción o compra persona a persona, por teléfono o correo, donde la transacción la inicia el comerciante, en SET la transaccioón la inicia el tarjetahabiente.

Una vez todos los participantes estén registrados ante una utoridad certificadora, pueden empezar a realizar transacciones seguras. Veamos una solicitud de compra:

El tarjeta-habiente inicia la solicitud luego de haber seleccionado los ítems a comprar, antes de iniciar el proceso SET, el tarjetahabiente ha sido presentado con un formulario que ha aprobado y en donde se especifican las mercancías a comprar y los términos del pago y por supuesto que tarjeta de crédito a utilizar (no el número). Para poder enviar mensajes SET, es necesario obtener una copia de la llave pública del intermediario de pago. El proceso se inicia cuando se hace una solicitud del certificado del intermediario. El mensaje del tarjetahabiente indica que tarjeta va a ser utilizada para la transacción.

El comerciante asigna un identificador único a la transacción y le envía al tarjetahabiente su certificado y el certificado del intermediario de pago para la tarjeta seleccionada además del identificador de la transacción.

El tarjetahabiente recibe la respuesta, verifica la autenticidad de los certificados. El software SET del tarjetahabiente genera la órden de compra y la información de pago y una firma doble para ambas obteniendo y concatenando los message digest (hash) de las dos, computando el digest de la concatenación y encriptándolo utilizando su llave privada. El software SET del tarjetahabiente genera una llave aleatoria simétrica de encripción y la utiliza para encriptar la firma doble. Luego se encripta el número de cuenta del tarjetahabiente así como también la llave simétrica utilizando la llave pública del intermediario de pago. Finalmente se transmite el mensaje que contiene la órden de compra y la información de pago.

Cuando el comerciante recibe la órden, verifica la firma del tarjetahabiente utilizando su certificado y además chequea que el mensaje no haya sido alterado, haciendo uso del message digest. El comerciante envía la información de pago al intermediario. Luego de procesar la información de la órden, el comerciante genera y firma un mensaje de respuesta en el que indica que la órden fué recibida. Si luego se logra autorización del pago, el comerciante envía las mercancías o presta el servicio por el que se le pagó.

Cuando el software del tarjetahabiente recibe la respuesta del comerciante, verifica la autenticidad de éste, si todo sale bien, entonces muestra al usurio un mensaje de que la órden se realizó exitosamente. El tarjetahabiente puede luego averiguar el estado de su órden enviando una solicitud en un mensaje diferente, para saber si fué aprobado el pago, cuendo le fué enviada la mercancía, etc.

Como se pudo haber dado cuenta, no es necesario hacer la autorización antes de enviar un mensaje al tarjetahabiente, este proceso se puede llevar a cabo después entre el comerciante y el intermediario de pago. El proceso es el siguiente:

El software del comerciante genera y firma una solicitud de autorización, la cual incluye la cantidad a ser autorizada, el identificador de la transacción de la información de la órden y otra información sobre la transacción. La solicitud es encriptada utilizando una nueva llave simétrica generada aleatoriemente, que a su vez se encripta utilizando la llave pública del intermediario. La solicitud de autorización y las instrucciones de pago son entonces enviadas al intermediario.

Cuando el intermediario de pago recibe la solicitud, desencripta y hace las verificaciones necesarias tanto del comerciante como del tarjetahabiente, también se verifica que el identificador de la transacción sea el mismo para el tarjetahabiente y para el comerciante. El intermediario entonces formatea y envía la solicitud de autorización al emisor de la tarjeta. Luego de recibir una respuesta, el intermediario firma y envía la respuesta al comerciante. La respuesta incluye la respuesta del emisor y una copia del certificado del emisor, opcionalmente puede haber un token de captura que el intermediario puede necestitar para procesar una solicitud de captura. Este token solo es necesario si es requerido por el adquirente.

El comerciante recibe la respuesta del intermediario, desencripta y hace las verificaciones. Almacena la respuesta de autorización y captura el token que será utilizado a través de una solicitud de captura. El comerciante entonces puede proceder a enviar las mercancías o prestar el servicio.

Luego de procesar la órden de un tarjetahabiente, el comerciante solicitará que se le pague, habrá un lapso de tiempo significativo entre la solicitud de autorización y la solicitud de pago (captura), veamos el proceso:

El softare del comerciante genera y firma una solicitud de pago que incluye la cantidad final de la transacción, el identificador de la misma y otra información adicional. Nuevamente se genera una llave simétrica aleatoria, que se encripta con la llave pública del intermediario de pago. Se envía al intermediario la solicitud de captura y opcionalmente el token de captura si esté venía en la respuesta de autorización. Varias solicitudes de captura pueden ser enviadas en un mismo mensaje para su procesamiento por lotes.

El intermediario de pago verifica la autenticidad e integridad del mensaje que le llega y utiliza esta información para hacer una solicitud de pago al emisor a través de un sistema de pago. Cuando llegue la respuesta el intermediario firma y encripta el mensaje y se le envía la respuesta al comerciante.

El comerciante almacena la respuesta para hacer balance con el pago recibido del adquirente.


Volver a Seguridad

Miguel A. Ruz
miguelruz@delitosinformaticos.com

 
Gratis Servicio de noticias
Suscribir Borrado
Sus Sugerencias son bienvenidas
Pincha Aquí
¡¡Lista de correo!!
Introduzca su correo:




www.delitosinformaticos.com . webmaster@delitosinformaticos.com . Delitosinformáticos

© Copyright 2000-2005 Delitosinformaticos.com -.