Negocios Electrónicos e-business Modalidades de Negocios Electrónicos Cliente Gobierno B2C Compañía B2B CERTIFICADO DIGITAL Documento Digital de identidad emitidos a una persona (natural o jurídica). Vendría a ser el equivalente a un Documento de Identidad, Licencia, pasaporte o carné de empresa. La emisión está bajo la responsabilidad por una entidad de certificación debidamente autorizada por la SIC. Esta entidad garantiza la veracidad de los datos relativos a una persona y contenidos en el citado documento. Mediante un conjunto de claves asociadas a una identidad, un Certificado sirve para identificarse ante terceros, y previene suplantación de la identidad en Internet. Este hecho lo convierte en herramienta clave para la identificación de las partes contratantes en el comercio electrónico. Aportes de los Certificados Digitales a los Negocios Electrónicos CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD NO REPUDIO ENTIDAD DE CERTIFICACIÓN Entidad de Certificación Es un Tercero de Confianza “Es aquella persona que, autorizada conforme a la presente Ley, está facultada para Emitir certificados en relación con las firmas digitales de las personas ,...” Art. 2 Ley 527 1999 Autorización de Funcionamiento de una Entidad de Certificación Toda actividad de Entidad de Certificación requiere autorización estatal. Es decir, cumplir estrictamente con la regulación colombiana: Ley 527 de 1999 Decreto 1747 de 2000 Resolución 26930 de 2000 (de la Superintendencia de Industria y Comercio). Confiabilidad de un certificado digital La confiabilidad de un Certificado depende primeramente de la credibilidad de quien lo emite, es decir de la entidad de certificación. Depende también del método y los recursos utilizados para su emisión: soporte, identificación, seguridad, etc. Finalmente la confiabilidad también depende del ámbito de reconocimiento de este certificado. Qué es una Firma Digital ? “Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación” Ley 527 art. 2 literal c Atributos de la firma digital Es única Es verificable Está bajo control exclusivo del iniciador Está ligada a la información del mensaje Está de acuerdo con la reglamentación Art. 28 Ley 527 1999 Sistema PKI (Infraestructura de Llave Pública) Dos llaves Pública Pública y Privada. Complementarias. no derivables. RSA y DSA. Privada Almacenada en medio seguro. Ej: tarjeta inteligente • • • • Autenticación Confidencialidad Integridad No repudio Firma Digital - Creación Llave Privada del emisor Algoritmo de Firmado Digital Documento Firma Digital - Verificación Llave Pública del emisor Documento firmado Algoritmo de verificación de Firmas Digitales Documento fue firmado con llave privada del emisor (Sí, No) Documento fue modificado durante el recorrido (Sí, No) Transacciones de Alta Seguridad Ejemplos Montos económicos de alta cuantía Transacciones económicas muy frecuentes Estricto control de acceso Aplicaciones de seguridad estatal Transacciones con grandes implicaciones legales (ej. Consulta de pasados judiciales) Acceso a Bases de Datos confidenciales, Gestión de información sensible o crítica, Transacciones de Banca Empresarial y Corporativa. No repudio de movimientos financieros (ej. BVC). Relaciones seguras con el Estado (Gobierno en línea, información tributaria, reportes Superintendencias, ...) Contratos, convenios, acuerdos, ... Relaciones entre empresas (proveedores/clientes) En general transacciones B2B y B2G Transacciones de Alta Seguridad Exigencias Medio de almacenamiento de la llave privada de alta seguridad: Tarjeta inteligente • Microchip (procesador, memoria, software) • Pin • En el futuro : tokens, biométricos,... Identificación Meticulosa Procedimientos estrictos: Presentación de documentos, Verficación en el contexto laboral, familiar,otros, Referenciación, Presentación personal,... Lector & Tarjeta Inteligente MECANISMOS DE IDENTIFICACION 2500 Empresas de EEUU Fuente: Forrester Research, Inc. 26 Contraseñas 98 2 Tokens 8 32 Tarjetas Inteligentes 4 52 Certificados 2 Biométricas 0 4 0 Otros 0 % Futuro Actualidad 0 20 40 60 80 100 120