ÉTICA EN EL COMERCIO ELECTRÓNICO
Se refiere a los principios de los correcto o lo incorrecto, que los individuos en su calidad de agentes morales libres emplean para normar su comportamiento.
Las dificultades éticas particulares del comercio electrónico normalmente giran alrededor de tres cuestiones: la intimidad o privacidad y la identidad, ambas referidas al comprador, y la no- reusabilidad de la transacción.
Sin embargo se puede añadir otra: la de allanamiento, intrusiones, entradas abusivas o no autorizadas en los equipos informáticos, páginas web, buzones electrónicos, etc.
Dentro de esta cuestión está el famoso “hacking” (secuestro informático), el cual atenta contra la misma computadora, contra un sistema informático particular o contra la red en general, en cuanto almacén de datos o medio de comunicación; pone en peligro la confidencialidad, la integridad o la disponibilidad de la información almacenada en computadoras o de los servicios que la computadora presta.
Anteriormente los actos de hacking se hacían a manera de broma, pero en la actualidad se llevan a cabo con malicia a fin de perjudicar a terceras personas, lo cual se ha constituido como un delito, ya que atentan contra la privacidad.
Así que teniendo en cuenta que la privacidad nunca puede ser absoluta, y que el grado de la misma para cada transacción virtual depende de múltiples factores, se recomienda observar algunos principios:
1.- AVISO: las empresas deben avisar en su pagina web si recogen o no información sobre el usuario, para qué sirve esa información y quién la va a utilizar.
2.- OPCIÓN: los consumidores deben de poder controlar sus datos personales y el uso que las empresas hacen de ellos. Por eso, se les
presentara la posibilidad de negarse (opt- out) a la recolección de sus datos.
3.- ACCESO: los consumidores han de poder acceder a los archivos que las empresas guardan de sus datos personales y revisarlos, para corregir errores, borrar, etc.
4.- SEGURIDAD: las empresas deben asumir la responsabilidad de la seguridad de los datos, y cuando esta no se respeta, deben someterse a sanciones y castigos proporcionados.
Se refiere a los principios de los correcto o lo incorrecto, que los individuos en su calidad de agentes morales libres emplean para normar su comportamiento.
Las dificultades éticas particulares del comercio electrónico normalmente giran alrededor de tres cuestiones: la intimidad o privacidad y la identidad, ambas referidas al comprador, y la no- reusabilidad de la transacción.
Sin embargo se puede añadir otra: la de allanamiento, intrusiones, entradas abusivas o no autorizadas en los equipos informáticos, páginas web, buzones electrónicos, etc.
Dentro de esta cuestión está el famoso “hacking” (secuestro informático), el cual atenta contra la misma computadora, contra un sistema informático particular o contra la red en general, en cuanto almacén de datos o medio de comunicación; pone en peligro la confidencialidad, la integridad o la disponibilidad de la información almacenada en computadoras o de los servicios que la computadora presta.
Anteriormente los actos de hacking se hacían a manera de broma, pero en la actualidad se llevan a cabo con malicia a fin de perjudicar a terceras personas, lo cual se ha constituido como un delito, ya que atentan contra la privacidad.
Así que teniendo en cuenta que la privacidad nunca puede ser absoluta, y que el grado de la misma para cada transacción virtual depende de múltiples factores, se recomienda observar algunos principios:
1.- AVISO: las empresas deben avisar en su pagina web si recogen o no información sobre el usuario, para qué sirve esa información y quién la va a utilizar.
2.- OPCIÓN: los consumidores deben de poder controlar sus datos personales y el uso que las empresas hacen de ellos. Por eso, se les
presentara la posibilidad de negarse (opt- out) a la recolección de sus datos.
3.- ACCESO: los consumidores han de poder acceder a los archivos que las empresas guardan de sus datos personales y revisarlos, para corregir errores, borrar, etc.
4.- SEGURIDAD: las empresas deben asumir la responsabilidad de la seguridad de los datos, y cuando esta no se respeta, deben someterse a sanciones y castigos proporcionados.
DEFINICION
DE TRANSACCION.
Del latín transactio, transacción es un término definido por el diccionario de la Real Academia Española (RAE) como la acción y efecto de transigir (acordar
voluntariamente con otra parte algún punto litigioso para compartir la
diferencia de la disputa, consentir a fin de terminar con una diferencia).
Para el comercio, una transacción es una operación de compra y venta. Cuando alguien vende un producto a un comprador, está
llevando a cabo una transacción. Retomando la definición original del término,
puede decirse que el vendedor acuerda entregar el producto al comprador y éste
acepta dar dinero al vendedor a modo de compensación.
TIPOS DE TRANSACCIONES ELECTRÓNICAS.
Los tipos de transacciones electrónicas que podemos
encontrarnos son:
- Transacciones entre las Administraciones y otras personas físicas o jurídicas (e-government). La aplicación de las TIC por las Administraciones Públicas da lugar a la Administración electrónica (e-Administración), que hace referencia a aquellos mecanismos electrónicos que permiten la prestación de servicios públicos de la Administración tanto a los ciudadanos como a las empresas. El servicio de e-Administración en España está accesible mediante www.060.es, y la idea es crear una “ventanilla virtual única” que permita la prestación de todos los servicios públicos haciendo uso de la interactividad, rapidez, eficiencia y personalización que ofrecen las nuevas tecnologías.
- Transacciones interorganizacionales (business-to-business). Las tecnologías del comercio electrónico hacen posible transmitir múltiples documentos entre empresas, como pedidos, facturas y notificaciones de entregas, y efectuar cobros y pagos a proveedores y distribuidores. El empleo de estas tecnologías da lugar a ahorro de tiempo y costes en actividades como el aprovisionamiento, expedición de pedidos y cobros. Por ejemplo, desde el sitio Web de Cisco, www.cisco.es, las empresas y operadoras de telecomunicaciones pueden comprar distintos equipos de datacom para sus redes y descargar manuales, información detallada sobre sus productos, parches sw, etc.
- Transacciones entre empresas y consumidores finales (business-to-consumer).Las tecnologías del comercio electrónico también hacen posible que los clientes finales contacten directamente con las empresas, consultando información sobre múltiples ofertas comerciales y estableciendo una relación de comunicación personalizada con los vendedores que derive en la compra de productos. Este sería el caso dewww.sonyericsson.es, el sitio Web de Sony Ericsson, desde el que los internautas pueden acceder a información detallada y comprar teléfonos móviles y accesorios.
- Transacciones entre particulares (consumer-to-consumer). Las redes de telecomunicación permiten que los particulares puedan comunicarse e intercambiar bienes y servicios, lo que hasta la aparición de Internet era bastante inusual. Por ejemplo, desdewww.eBay.es, se pueden poner en contacto distintos particulares para la venta de productos y posibles compradores.
- Transacciones entre las Administraciones y otras personas físicas o jurídicas (e-government). La aplicación de las TIC por las Administraciones Públicas da lugar a la Administración electrónica (e-Administración), que hace referencia a aquellos mecanismos electrónicos que permiten la prestación de servicios públicos de la Administración tanto a los ciudadanos como a las empresas. El servicio de e-Administración en España está accesible mediante www.060.es, y la idea es crear una “ventanilla virtual única” que permita la prestación de todos los servicios públicos haciendo uso de la interactividad, rapidez, eficiencia y personalización que ofrecen las nuevas tecnologías.
- Transacciones interorganizacionales (business-to-business). Las tecnologías del comercio electrónico hacen posible transmitir múltiples documentos entre empresas, como pedidos, facturas y notificaciones de entregas, y efectuar cobros y pagos a proveedores y distribuidores. El empleo de estas tecnologías da lugar a ahorro de tiempo y costes en actividades como el aprovisionamiento, expedición de pedidos y cobros. Por ejemplo, desde el sitio Web de Cisco, www.cisco.es, las empresas y operadoras de telecomunicaciones pueden comprar distintos equipos de datacom para sus redes y descargar manuales, información detallada sobre sus productos, parches sw, etc.
- Transacciones entre empresas y consumidores finales (business-to-consumer).Las tecnologías del comercio electrónico también hacen posible que los clientes finales contacten directamente con las empresas, consultando información sobre múltiples ofertas comerciales y estableciendo una relación de comunicación personalizada con los vendedores que derive en la compra de productos. Este sería el caso dewww.sonyericsson.es, el sitio Web de Sony Ericsson, desde el que los internautas pueden acceder a información detallada y comprar teléfonos móviles y accesorios.
- Transacciones entre particulares (consumer-to-consumer). Las redes de telecomunicación permiten que los particulares puedan comunicarse e intercambiar bienes y servicios, lo que hasta la aparición de Internet era bastante inusual. Por ejemplo, desdewww.eBay.es, se pueden poner en contacto distintos particulares para la venta de productos y posibles compradores.
SEGURIDAD DE LAS TRANSACCIONES.
El comercio electrónico necesita
garantizar una seguridad técnica y jurídica que impida un anormal
funcionamiento del negocio o una desconfianza en el medio utilizado para
comerciar.
En este sentido se han aportado una
serie de soluciones, propuestas por los organismos de normalización, para
evitar los posibles peligros u operaciones ilegales a los que puede estar
sometida Internet. Básicamente se trataría de garantizar cuatro principios.
1. Principio de autenticidad:
que la persona o empresa que dice estar al otro lado de la red es quién dice
ser.
2. Principio de integridad:
que lo transmitido a través de la red no haya sido modificado.
3. Principio de intimidad:
que los datos transmitidos no hayan sido vistos durante el trasiego
telemático.
4. Principio de no repudio:
que lo transmitido no pueda ser repudiado o rechazado.
En la actualidad, el comercio
electrónico no está garantizando completamente estos principios mencionados.
El principio de la intimidad se
consigue gracias a la implantación de un protocolo de comunicación seguro, como por ejemplo el SSL (Secure Sockets Layer). Los servidores seguros SSL los
podremos identificar porque en al esquina inferior izquierda del navegador (en
el caso de Netscape) cambia de un candado abierto a uno cerrado y además en la
URL o Location cambia de Http:// a Https:// (Hipertext Transport Protocol
Secure). Gracias a este protocolo de comunicación segura, se pueden transmitir
los datos de la tarjeta sin que nadie los pueda capturar. A pesar de la
seguridad en la comunicación, la utilización de este protocolo de comunicación
en el pago de los productos y servicios podría producir desconfianza en el
Cliente, ya que potencialmente el vendedor puede realizar cualquier tipo de
fraude con total impunidad al poseer su número de tarjeta y no quedar
garantizada la integridad del documento de pago. Sólo las empresas con muy
buena reputación podrían, a priori, contar con la confianza del consumidor.
Por otro lado, el consumidor que paga
con tarjeta puede negar la compra del producto y el banco estará obligado a
devolver el dinero si "no ha sido presentada directamente o identificada
electrónicamente. El problema surgiría sobre todo cuando se utilizase para
comprar bienes o servicios intangibles, es decir, bienes que no necesitan
traslado físico, ya que sería más difícil de probar donde ha ido a parar el
producto o servicio y por tanto si se comete el fraude. El perjudicado en este
caso es sin duda alguna el proveedor, ya que sería muy difícil recuperar el
servicio o producto vendido. Además, el posible fraude con números de tarjetas
robados, hace que las Entidades de Crédito añadan una comisión en las compras
bastante elevada (un 5% +/-) para compensar estas prácticas fraudulentas. Esto
hace que el precio de la compra se incremente considerablemente, lo que anula
el atractivo inicial de comprar por Internet: los precios bajos. Para
proporcionar mayor seguridad jurídica al comercio electrónico, se idea la
combinación del protocolo de comunicación seguro SSL con la firma electrónica,
garantizando entonces el efecto de no repudio, ya que al firmar la oferta de
compra existe una prueba con igual valor jurídico que la firma manuscrita(art.
3 del RDL 14/99 sobre Firma Electrónica), y por tanto en caso de negar la
compra del producto, el comerciante puede probar ante los tribunales que el
mismo fue comprado por el tenedor de dicha firma.
Existe otro problema a salvar que es
la posible obtención de la base de datos de números de tarjetas de los
clientes, ya que la misma esta en posesión del comercio para realizar los pagos
con el banco. Así se podría dar el caso que un fallo o agujero de seguridad en
nuestra web provoque la entrada de un empleado descontento o de un pirata
informático, apoderándose de las base de datos de tarjetas para utilizarla con
fines ilícitos. Para evitar esto, se han ideado los TPV virtuales que lanzan los servidores de los
bancos para que el pago lo haga directamente el comprador con el banco y no
tenga que pasar por el comercio el número de tarjeta, o bien el protocolo SET (Secure Electronic
Transaction)que garantiza íntegramente los principios antes
mencionados y un total anonimato por parte de las tres partes intervinientes,
de forma que el banco no conoce la compra que realiza el consumidor y el
comercio no conoce el número de tarjeta o de cuenta que tiene el comprador.
Medidas
de autenticación
La
autenticación es el proceso mediante el cual se confirma que quien se conecta y
solicita acceso a un servicio es realmente quien dice ser, es decir, el
legítimo usuario. Los siguientes elementos son los principales encargados de
autenticar el proceso desde su inicio (tras la conexión con el servidor
destino).
La
elección de unos u otros dependerá siempre de la infraestructura proporcionada
por el comercio o banco online y las posibilidades de la conexión o dispositivo
mediante el que se realice el proceso.
Claves
de acceso
Hasta
ahora, el elemento más utilizado para comprobar la legitimidad del usuario que solicita
realizar la transacción ha sido el uso de claves de acceso. Existen multitud de
mecanismos que se han ido mejorando y adoptando lo largo de los años, los
ejemplos más significativos son:
•
PIN (Personal Identification Number), número de identificación personal o contraseña
•El
número de identificación personal es la medida más sencilla y clásica de
identificación: el banco o tienda online facilita una clave numérica o código
alfanumérico para identificarnos, que deberá ser introducido en el formulario
correspondiente en el momento de la autenticación.
TAN
(Transaction Authentication Number) o número de autenticación de transacción
Instituto
Nacional de Tecnologías de la Comunicación. Se trata de una evolución del PIN.
Está formado por una lista o tabla de códigos que, en función de las
circunstancias, pueden haber sido previamente generados y distribuidos de
manera física (papel o tarjetas) o distribuirse instantes antes de la
transacción a través de medios digitales o dispositivos electrónicos.
Para
cada transacción se solicitará una clave distinta. Algunas variantes de este sistema
son:
Antes
de la transacción el banco envía el número de identificación a través del móvil
del cliente, en un SMS por ejemplo. Tabla de códigos que utiliza índices y que
se corresponde con las conocidas tarjetas de coordenadas bancarias que
facilitan las entidades para realizar la confirmación de pagos o transacciones.
Por ejemplo, se puede solicitar introducir la clave correspondiente con la fila
C columna 2.
Los
CAPTCHAS son imágenes con información en su interior que se supone solo podrán
ser leídas por humanos y no por programas automatizados. El CAPTCHA mostrado
puede identificar el TAN a introducir, o utilizarse como método de comprobación
de identidad (mostrando por ejemplo la fecha de nacimiento del usuario).
Completely
Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing
pública y automática para diferenciar máquinas y humanos). Un ejemplo son las
imágenes en las que se incluyen letras o números suficientemente distorsionados
como para que un software no puede reconocerlos de forma automática, mientras
que un ser humano sí podría identificarlos.
Dispositivos
electrónicos que generan los códigos según un patrón interno. Se hablará de
ellos en el apartado de tokens.
(One
Time Password) o contraseña de un solo uso. Se trata de una clave de un solo
uso, que generalmente es enviada por correo electrónico o SMS y que también
puede ser generada a través de dispositivos tokens.
El
código OTP deja de ser efectivo en el momento en el que se realiza la transacción.
Tokens
Son
dispositivos electrónicos independientes o con conexión USB a un PC. Permiten generar
claves privadas aleatorias según un patrón o mediante sincronización con un servidor
externo. En un momento dado el banco solicita que se introduzca la clave de acceso
generada por el token del cliente. Generalmente sólo se tendrá que activar un botón
para que se calcule.
Smartcards
También
conocidas como tarjetas inteligentes. Son dispositivos de identificación del mismo
tamaño que las tarjetas de crédito, que cuentan con un chip en el que guardan información.
Muchas de las nuevas tarjetas de crédito son en realidad smartcards, abandonando
progresivamente la obsoleta banda magnética para la identificación. Este tipo
de tarjetas necesitan lectores conectados al ordenador y permiten la identificación
cuando el software o web que se está utilizando lo necesite. Su potencial es la
capacidad de albergar información privada dentro del chip y, dependiendo del
tipo de chip utilizado, pueden ser reprogramados posteriormente para incorporar
o actualizar los datos internos.
Su
principal función es guardar los certificados personales de usuario. Un ejemplo
claro de smartcard es el actual DNI electrónico español.
Dispositivos
biométricos2
Los
dispositivos biométricos se basan en una cualidad e incorporan el factor de autenticación
“cómo se es", es decir, buscan una manera precisa e inequívoca de identificar
al usuario utilizando para ello partes de su cuerpo. Los más usados son:
•
Lectores de huellas dactilares.
•
Lectores de palma de la mano.
•
Lectores de retina.
•
Identificadores de voz.
Aunque
puedan parecer dispositivos destinados a grandes empresas y organismos, en realidad
están siendo adoptados a todos los niveles de forma gradual y ya existen iniciativas
bancarias para implementarlo como medida principal de identificación de usuario.
Teclados
virtuales
No
son un sistema de identificación en sí, sino un medio de introducir (de manera
más o menos segura) las credenciales de usuario, por ejemplo su PIN. Este
método está recibiendo una gran aceptación en muchas webs bancarias para los
formularios de introducción de contraseña o en el momento de solicitar las
coordenadas. Los teclados virtuales también existen dentro del sistema
operativo o el software antivirus como mecanismo de introducción de datos de
manera virtual sin utilizar el teclado físico. Su objetivo es evitar los
keyloggers o registradores de pulsaciones en el teclado.
Firmas
Digitales
Estas
firmas están destinadas a comprobar la integridad de los datos transferidos
durante una comunicación. Permiten comprobar si la comunicación sobre la
transacción ha sido alterada en algún momento en su paso por las redes que
separan origen y destino. Trabajan conjuntamente con los certificados digitales
y los diferentes sistemas de cifrado disponibles.
Certificados
digitales
Junto
a las firmas digitales, son un elemento imprescindible para iniciar una
conexión segura. Los certificados digitales son archivos que identifican
usuarios, empresas, organismos y, más comúnmente, la página a la que se accede.
En resumen, se trata de una serie de datos personales unidos a una clave
pública, y todo ello firmado por una entidad que les da validez. Normalmente
los certificados son expedidos por las CA, Autoridades de Certificación. Los
certificados se pueden utilizar:
•
A través de los navegadores, que utilizan los certificados digitales
(personales o corporativos) instalados en el equipo cuando los necesitan.
•
A través de smartcards o tarjetas inteligentes donde residen y que añaden una capa
física de seguridad.
Un
certificado típico está compuesto por:
•
Nombre completo de la persona u organismo a identificar.
•
Nombre de la autoridad CA.
•
Número de serie.
•
Firma digital de la CA.
Es
estándar tecnológico más usado por los certificados es el UIT-T X.509, que
regula su contenido antes de ser asignados por una CA.
No hay comentarios:
Publicar un comentario