COMERCIO ELETRONICO
Anuncio
Compilación de documentos presentados para los Congresos de Derecho e informática. Trabajo presentado en VIII Congreso Iberoamericano de Derecho e Informática. “Por la Universalización del Derecho”. Organizado por la FIADI y el Departamento de Derecho del Instituto Tecnológico de Monterrey. Campus Estado de México. Del 21 al 25 de Noviembre del año 2.000. Derechos reservados a favor del autor, se prohíbe cualquier reproducción total o parcial que no sea autorizada por el titular de los derechos. Tema 3: COMERCIO ELETRONICO Subtema 7: SEGURIDAD EN LOS PAGOS EN EL COMERCIO ELECTRONICO Dra. Esc. Beatriz Rodríguez Acosta.* SEGURIDAD EN LOS PAGOS EN EL COMERCIO ELECTRONICO Dra. Esc. Beatriz Rodríguez Acosta . Uruguay Tema 3: COMERCIO ELECTRONICO SUMARIO: I. INTRODUCCION. II. COMERCIO ELECTRONICO. II.A. Definición. III. FRAUDES EN LAS COMPRAS CON TARJETA. III.A. Tarjeta Presente: Face to Face. III.B. Transacciones electrónicas vía Web. IV. TRANSACCION/COMPRA ELECTRONICA. IV.A. Etapas. IV.B. Participantes IV.C. Transacciones Electrónicas seguras. V.COMERCIO ELECTRONICO CON PAGOS CON TARJETAS. V. A Análisis de la situación Actual. V.B. Adaptación de la propuesta al mercado uruguayo. VI. CONCLUSIONES. VII. BIBLIOGRAFIA. INTRODUCCION.Desde la antigüedad existieron actividades vinculadas al comercio, en las cuales los hombres habían desarrollado un comercio local. Con el transcurso del tiempo ese comercio se fue intensificando y los medios por los que se fue desarrollando también han aumentado, como ser transporte, comunicaciones, medios de pago, seguridad, etc. En la última década del siglo XX se ha producido una nueva revolución, una nueva revolución tecnológica, que produjo cambios, no solo en el mundo económico, sino también en el mundo social, y jurídico, que se materializa mediante el comercio o negocios electrónicos, utilizando como medio o vehículo a la red de redes, o más comúnmente llamada Internet. Esta red desde sus comienzos fue una red concebida con el claro objeto de mantener la conectividad y hacer posible la transmisión de mensajes aún en condiciones adversas (cuando se caen las líneas). No fue su propósito principal el mantener la seguridad de los mensajes y mucho menos la realización de transacciones electrónicas seguras. Por tales motivos, para la realización de transacciones de comercio electrónico sobre esta res, básicamente insegura, se hace necesario la implementación de un protocolo que brinde un nivel de seguridad aceptable, cuyas principales características tendrían que ser: Confidencialidad : de los mensajes de forma tal que sean visibles únicamente por los participantes involucrados. Integridad: de los mensajes de forma que lo que se envía es lo mismo que se recibe. Autenticación: de forma que cada una de las partes tenga la certeza de la identidad de la otra. No repudiación: lo que asegura a cada una de las partes que la transacción se realizó y la misma no puede ser negada. A pesar que es posible obtener información de cuentas (de tarjetas válidas) en otros ambientes, hay una alta preocupación acerca de este potencial riesgo sobre las redes públicas. Esta preocupación refleja la posibilidad de un alto volumen de fraudes, fraudes automáticos ( como el utilizar filtros en todos los mensajes que pasan por la red para extraer todos los números de pagos). Al tratarse de transacciones sin tarjeta presente, los comercios y sobre todo las empresas emisoras de tarjetas, están particularmente sensibles sobre este tema y exigen incluso un nivel de seguridad aún mayor que en otras modalidades de compra. Estas relaciones que se producen en este nuevo mundo, Internet, se producen entre empresas, entre empresas y particulares o consumidores, dentro o fuera del país de origen o en diversos Estados. Debido al gran avance de la tecnología, el derecho en estos aspectos está quedando un tanto atrás, produciéndose así vacíos normativos, por los que vemos que, al no estar contemplado legítimamente, estos vacíos significan piedras en el camino de la modernización, en la forma de comerciar, porque nadie querrá gozar de los beneficios que éste comercio le brinda, si no está seguro de poder realizar una transacción efectiva, y protegida por una legislación que les de seguridad en el tráfico. II. COMERCIO ELECTRONICO DEFINICION Si hablamos de comercio electrónico nos obliga a tratar varios problemas que pueden surgir con su implementación y en especial la necesidad de revisar las reglas jurídicas que serán aplicadas en las nuevas formas de negociación electrónica para su mayor seguridad. Podemos definir al comercio electrónico como: Cualquier forma de transacción o intercambio de información comercial basada en la transmisión de datos sobre redes de comunicación como Internet. i Una nueva forma de intercambiar los bienes y servicios que se realiza a través de redes informáticas ii Incluye no solo la compraventa electrónica de bienes, información o servicios, sino también el uso de la red para actividades preparatorias o posteriores a la venta, como ser la publicidad, la oferta, el período de negociación que se produce entre comprador y vendedor en cuanto a las condiciones de venta y de compra como ser: el precio, la entrega del bien. III. FRAUDES EN LAS COMPRAS CON TARJETAS III.A. TARJETA PRESENTE. FACE TO FACE Este tipo de compras tienen la particularidad de exigir la presencia física de la tarjeta (plástico) y del titular de la misma. En algunos casos, como en el Uruguay, se exige además la cédula de identidad. Por tal motivo, éste tipo de fraudes queda restringido a los casos de robo, pérdida, o falsificación de la tarjeta y la cédula de identidad, y por el período que transcurra antes que el titular de la misma denuncie la pérdida o robo, o el reclamo ante el emisor por discrepancias en el estado de la cuenta si se trataba de un caso de falsificación. Un caso particular de este tipo de fraudes es el que se genera cuando el empleado del comercio, sin consentimiento del titular de la tarjeta utiliza la misma pasándola una vez más por el POS para validar una compra particular o en complicidad con un tercero. A pesar que podríamos suponer que este tipo de compras es segura, y que no pueden generarse demasiados fraudes, es sin embargo el origen de la mayor cantidad de fraudes hoy en día, debido a otra modalidad de compra llamada MOTO (Mail Order/Telephone Order). Está comprobado estadísticamente que la mayor parte de los fraudes en las compras con tarjetas se debe a los comercios y sus empleados y no a hackers que los obtengan en transacciones electrónicas. Esta es una preocupación de las instituciones financieras que procesan las tarjetas ya que el número de la cuenta de la tarjeta no es confidencial y está en manos de los comerciantes. III.B. TRANSACCIONES ELECTRONICAS VIA WEB Es bien conocido, que Internet es una red pública insegura, ya que en sus orígenes fue pensada para transportar datos de una manera segura y mucho menos para satisfacer los requisitos de las transacciones electrónicas. Por tal motivo, se hace necesario buscar un protocolo adecuado que brinde el nivel de seguridad que las mismas requieren para hacer viable este tipo de comercio. Son muchos los protocolos existentes para transportar información de una forma más o menos segura según las necesidades del usuario, y el nivel de seguridad que ofrece cada uno de ellos. Todos estos protocolos están asados en la criptografía iii. Aquí veremos un protocolo estándar que es diseñado y especificado para el comercio electrónico por dos de las tarjetas más famosas en el mundo que son VISA y MASTERCARD, el cual se llama Secure Electronic Transaction, más comúnmente conocido como SET iv. IV. TRANSACCION /COMPRA ELECTRONICA IV.A. ETAPAS En cuanto a la transacción electrónica tenemos varias etapas, siendo éstas: el poseedor de la tarjeta recorre los items de diferentes formas: usando un browser o navegador para ver el catálogo on line en una página web. Viendo un catálogo proporcionado por el comerciante en un CD ROM Mirando un catálogo de papel. el comprador selecciona los bienes que desea comprar. Al poseedor de la tarjeta se le presenta una orden conteniendo una lista de los bienes, sus precios, el precio total incluyendo el gasto de envío, impuestos, etc. este formulario de orden puede ser enviado electrónicamente por el servidor del comerciante o puede ser creado en la máquina del cliente por algún software de comercio electrónico. Algunos comerciantes permiten la posibilidad que el cliente negocie el precio de los bienes en forma on line. El comprador selecciona la forma de pago. Esta especificación se enfoca en el caso en que la forma de pago es con tarjeta de crédito. El comprador envía al comerciante una orden completa junto con las instrucciones de pago. En esta especificación, la orden y las instrucciones de pago son firmados digitalmente por los poseedores de tarjeta que poseen certificados. El comerciante solicita autorización de pago a la institución financiera del poseedor de la tarjeta. El comerciante envía la confirmación de la orden. El comerciante envía los bienes o realiza los servicios requeridos en la orden. El comerciante solicita el pago a la institución financiera del poseedor de la tarjeta. IV.B. PARTICIPANTES En el comercio electrónico se da una interacción entre los participantes, la cual es más segura, como vimos, si se utiliza un protocolo seguro como el SET (Security Electronic Transations), cambiando así su forma de interactuar en los sistemas de pago, ya que mediante esta vía el procesamiento electrónico comienza con el propietario de la tarjeta. En un ambiente de comercio electrónico, los compradores interactúan con los comercios desde sus PC’s. Teniendo un protocolo seguro en las interacciones entre el poseedor de la tarjeta y el comercio la información de la cuenta de la tarjeta con la que se realiza el pago se mantiene confidencial. IV.C. TRANSACCIONES ELECTRONICAS SEGURAS No hay dudas que el comercio electrónico, debido a la popularidad de Internet, está teniendo un enorme impacto sobre la industria de servicios. Ninguna institución financiera evitará ser afectada por el comercio electrónico. Con más de 30 millones de usuarios y 90 millones proyectados, la Internet es una nueva vía para establecer negocios cibernéticos basados en recursos que pueden ser accedidos por los consumidores así como otros participantes del negocio alrededor del mundo. Con las redes abiertas los pagos iran incrementándose cada vez más hacia el consumidor. A medida que avanza la tecnología será más práctico y posible, mover el mercado de un lugar rígido hacia lugares más convenientes como la casa o la oficina. Mientras los servicios financieros evolucionan, los consumidores consolidarán sus necesidades de pago en una relación multifuncional que permita el acceso a estos bienes a cualquier hora. Las motivaciones primarias para las empresas que emiten tarjetas de crédito en la búsqueda de un protocolo estándar para el comercio electrónico son: Incentivar a la comunidad que utiliza pagos con tarjeta a tomar una posición de liderazgo estableciendo una especificación para pagos seguros y evitar futuros costos de reconciliación entre las implementaciones existentes. Los requerimientos del negocio para el procesamiento seguro de los mecanismos de pago utilizado tarjetas sobre ya sea redes públicas o privadas. La seguridad en el ámbito del comercio electrónico debe ser vista como una característica no competitiva en los intereses de las instituciones financieras, los comercios y los propietarios de las tarjetas. V. COMERCIO ELECTRONICO CON PAGOS CON TARJETAS. V.A. ANÁLISIS DE LA SITUACION ACTUAL En el mercado internacional, existen numerosos comercios que aceptan el pago con tarjeta de crédito internacional. Muchos de estos comercios utilizan software para validar estas transacciones de una forma segura, como por ejemplo: Cybercash (v) y otros similares. Algunos de estos comercios, de gran difusión en el mercado del Web son: JCPenny (www.jcpenny.com) y fundamentalmente Amazon (www.amazon.com), esta última de gran aceptación no solo en el mercado interno de USA sino en el internacional también, así como numerosas casas de venta de CDs. Microsoft está trabajando en este tema. Existe una implementación de una billetera electrónica, diseñada para el cliente, que se puede utilizar por ejemplo con Cybercash. En cuanto a la propiedad del autenticador y organismo certificador, existen intereses encontrados, por un lado está Microsoft, que cuenta con el mayor poder de aceptación a nivel de los PCs clientes, y por el otro están las instituciones financieras y bancarias, que cuentan con la confianza de los comercios. V.B. ADAPTACION AL MERCADO URUGUAYO En Uruguay no se han desarrollado sistemas que permitan comprar y pagar con tarjeta de crédito en Internet de forma segura. No existe en la legislatura uruguaya impedimento para la realización de transacciones de comercio electrónico en el mercado interno. El hecho que no se hayan realizado implementaciones de comercio electrónico se debe básicamente a que ninguna empresa asumió el riesgo de la inversión y tomó la iniciativa en este sentido. Si bien está clara la necesidad de adoptar un protocolo estándar para transacciones electrónicas seguras, como podría ser el SET, existe la preocupación de que las implementaciones del mismo también sean un estándar. Si bien existen empresas internacionales que producen software de validación de transacciones de comercio electrónico, estas empresas tienen convenios con tarjetas de crédito internacionales (VISA, MASTERCARD) que ha su vez tienen contratos con instituciones bancarias que las respaldan. VI. CONCLUSIONES Los sistemas de pago y las instituciones financieras jugarán un rol predominante en establecer especificaciones abiertas para los pagos con tarjetas para transacciones que: provean un mecanismo de transmisión que asegure la confidencialidad autentique las partes involucradas asegure la integridad del pago de los bienes y servicios y otros datos autenticar la identidad del poseedor de la tarjeta y del comerciante en ambos sentidos Para satisfacer estas necesidades se utiliza la criptografía por el protocolo seguro para. proveer confidencialidad a la información asegurar la integridad del pago autenticar al comercio y al dueño de la tarjeta Esto animará a los consumidores e incentivará los negocios para hacer un amplio uso de los pagos con tarjetas en este mercado emergente. Los objetivos de la aceptación del mercado son: Alcanzar una aceptación global vía la facilidad de implementación e impacto mínimo en los usuarios ya sea en el comercio como en el poseedor de la tarjeta. Permitir la utilización de un protocolo de pago seguro para las aplicaciones existentes. Minimizar los cambios de la relación entre los adquirentes y los comercios, y entre los poseedores de las tarjetas y las firmas que las respaldan. Permitir un impacto mínimo en las aplicaciones, los sistemas de pago y la infraestructura existente de los comercios y los adquirentes. Montevideo, octubre 2000 Uruguay VII. BIBLIIOGRAFIA Cybercash: http://www. Cybercash.com. SET. “Secure Electronic Transactions” http:// www. Visa.com/ Pallas Gustavo y otros: “Seguridad en el comercio electrónico”. 1998 Worls Wide Web Journal. Volumen 2. Tercera edición. 1997. “Web Security. A matter of trust”. i Pedro Juez Martel. “El comerio electrónico: Hacia una nueva Revolución Económica y Jurídica?”. VII Congreso Iberoamericano de Derecho e Informática. Perú. 2000 iiJuan Pablo Palazzi. “Firma digital y comercio electrónico en Internet”. VI Congreso Iberoamericano de Derecho e Informática. Uruguay 1998. iiiCriptografía es una tecnología fundamental que protege la información cuando viaja por Internet. ivProtocolo diseñado para la realización de transacciones de comercio electrónico con pagos con tarjeta de crédito de una forma segura sobre Internet. vCybercash: Protocolo de pago electrónico, similar en su propósito al SET, que permite el uso de las tarjetas de crédito convencionales sobre la web.