Lo que debe saber el Auditor de E-Commerce - Lista de codigos SWIFT

Vaya al Contenido

Menu Principal:

Lo que debe saber el Auditor de E-Commerce

Publicaciones

Lo que debe saber el Auditor de E-Commerce
A continuación describiremos los 5 puntos clave que debe conocer el auditor antes de comenzar a elaborar un plan de auditoría en un entorno de Comercio Electrónico:

1. El riesgo de las transacciones vía Web Las transacciones de comercio electrónico usualmente requieren números de tarjeta de crédito, direcciones, números telefónicos entre otra información necesaria para completar la transacción. La información puede viajar por la Web en forma encriptada o sin encriptar. Si no esta encriptada, los datos pueden ser interceptados por cualquiera con acceso a la red entre la computadora del usuario y el servidor Web.

2. Cuáles son las formas de pago utilizadas en el comercio electrónico? Si bien la forma tradicional es hacer pagos vía tarjeta de crédito, hay otras posibilidades de pagos que lentamente van logrando la aceptación. Las formas alternativas de pagos surgen para responder una variedad de preocupaciones y problemas que aparecen en el comercio electrónico. Algunas de estas son: · Fraude · Falta de autenticación segura del usuario · Falta de voluntad de realizar transacciones en forma electrónica. · Cobros de cargos adicionales por el procesamiento electrónico.
Soluciones a estos problemas varían dependiendo el problema que se quiera atender. A continuación describimos algunas formas de pagos: o Transferencia bancaria: Es la forma más tradicional y tediosa de realizar pagos mediante giro, transferencia o deposito bancario. Si bien hoy en día las transferencias se pueden hacer vía e-banking esto facilita la realización. Como desventaja las transferencias bancarias tienen alrededor de 24 a 72 horas dependiendo si son locales, internacionales y también del banco que opera. Debido a este tiempo de demora puede llegar a ser no eficiente cuando se requiere pago o cobro inmediato. o Pagos a través de "proveedores de servicios proxy": Con un servicio de pago "proxy", un cliente abre una cuenta con el proveedor del servicio y le provee información sobre su tarjeta de crédito o cuenta de ahorro o cuenta corriente. Cuando el cliente desea hacer un pago, se loguea en el sitio Web del proveedor e ingresa la información de la venta (monto, cuanta a debitar el monto, ect.). El proveedor proxy luego provee al vendedor el pago sin revelar la información de la cuenta personal del cliente, eliminando también al vendedor la necesidad de almacenar los números de las tarjetas de crédito y demás detalles. o Letra de crédito: Usualmente se usa en las transacciones internacionales para asegurar que el pago va a ser emitido. Es una carta del banco que garantiza que el pago del comprador va a ser realizado por el monto correcto y en tiempo correspondiente. La desventaja es que este medio de pago incrementa los costos. También hay que realizar un exhaustivo checklist para comprobar que la "letra de crédito" es legítima y provee el tipo de pago y seguridad que el vendedor espera. Por ejemplo, se debe preguntar si la misma es revocable (sujeta a una cancelación sin previo aviso) o irrevocable, etc. o Servicios financieros de Escrow: El servicio de Escrow puede ayudar a asegurar los pagos. El proveedor de Escrow es una tercera parte imparcial que opera para facilitar las compras y las ventas en red garantizando seguridad, confianza y conveniencia a ambas partes. El Escrow reduce los riesgos de fraude a quien compra o vende en Internet, en el caso de que se trate de una transacción consumer-to-consumer, business-to-consumer o business-to-business. El esquema de Escrow es como sigue: · el Comprador paga al proveedor de Escrow · el Vendedor envía la mercancía · el Comprador aprueba la compra · el Vendedor recibe el pago Es un sistema seguro para vender y comprar on-line. El Comprador controla la calidad de la mercancía antes de autorizar el pago y permite disfrutar al Vendedor de un modo seguro para aceptar los pagos.

3. Se pueden asegurar los pagos por las transacciones electrónicas de compra - venta? Si compra productos o servicios en Internet, sabe cuáles son los peligros potenciales con los que se puede encontrar al comprar a vendedores desconocidos. Si vende mercancías en subastas en red, en páginas web reservadas, web pages personales o a través de Internet newsgroup, los compradores también son desconocidos. En cualquiera de estos casos si se puede asegurar razonablemente la transacción. Y de este modo se protege tanto al comprador que recibe el producto o servicio como al vendedor que debe recibir el dinero por el producto o servicio brindado.

4. Es legitimo el sitio Web? Incluso si el sitio Web dispone de la información apropiada de la compañía, esto no significa que el sitio sea legítimo. Que pasaría si el autor de un sitio no legal o falso ha copiado el sitio de una compañía legal? Este seria un sitio Web troyano preguntando por información para su posterior uso indebido. A estos métodos se los denomina también "Fishing" (pescando). Hay técnicas para falsear la URL en la barra de direcciones y en la barra de estado aprovechando vulnerabilidades y/o "funcionalidades" del navegador. Estos ataques suelen estar destinados a usuarios de sitios bancarios. El delincuente envía miles y miles de mail vía spam, el engaño consiste en crear una ventana emergente justo en la posición donde aparece la URL, de forma que se superpone y oculta la dirección real del servidor Web del atacante donde realmente se encuentra el usuario, mostrando en su lugar la URL de la entidad bancaria. A efectos prácticos, el usuario recibe un mensaje, aparentemente de la entidad bancaria, donde le invita a visitar el sitio de la entidad con alguna excusa, normalmente relacionada con la seguridad. El mensaje incluye un enlace que supuestamente le dirige a la Web de la entidad. Si el usuario pincha en el enlace, puede observar como aparece la Web de la entidad y que en la barra de direcciones del navegador aparece la URL correcta, incluyendo el prefijo https:// como si estuviera en una conexión segura. En realidad el usuario está navegando en el servidor Web del atacante, que ha copiado los contenidos de la Web de la entidad, y ha aprovechado la vulnerabilidad del navegador para falsear la dirección en el navegador y que el usuario no sospeche. Si el usuario introduce las claves para acceder a su cuenta, éstas son enviadas directamente al atacante, que podrá utilizarlas para suplantar la identidad del usuario legítimo y entrar en su cuenta. Dado el auge del Fishing, las entidades también deberían plantearse el implantar nuevos sistemas para mitigar este tipo de fraudes. Los ataques Fishing no deben contemplarse únicamente como una responsabilidad del cliente, ya que existen numerosas estrategias y tecnologías que pueden desplegarse desde la entidad para asegurar las conexiones de sus usuarios. En el caso de las entidades financieras un método para evitar los fraudes vía fishing podría ser que la entidad financiera para la autenticación del cliente utilice o bien una lista de cancelación de claves de modo que una vez utilizada no se pueda volver a utilizar o algún método de tarjeta u otra combinación de formas para autenticar al usuario.

5. Control de las comunicaciones para un negocio montado sobre E-Commerce
El comercio electrónico puede comprender el uso de intercambio electrónico de datos (EDI), correo electrónico y transacciones en línea a través de redes públicas como Internet. El comercio electrónico es vulnerable a diversas amenazas anteriormente descriptas, que pueden tener como resultado actividades fraudulentas, divulgación o modificación de información. En consecuencia, el auditor debe verificar la aplicación de los siguientes controles para proteger al comercio electrónico de dichas amenazas: · Existencia de un área de comunicaciones con administradores de red que estén monitoreando los distintos eventos que se produzcan como consecuencia de la interacción entre la organización y los clientes. · Deben existir adecuadas protecciones físicas en las redes internas y externas de la organización, que cumpla con la norma EIA/TIA-568-A sobre el tendido y protección físico-ambiental del cableado estructurado. · Utilización de técnicas criptográficas para proteger la información de la organización y del cliente que circula por la red de telecomunicaciones con acceso a redes ya se trate de internet, intranet o extranet. · Todas las conexiones entre las redes de la organización y terceras partes sobre IP deben hacerse vía firewall. · Los firewalls deben configurare para rechazar todo, solo aceptando aquellos protocolos que se requieren explícitamente. · Se recomienda el uso de doble indemnización, en la implementación de firewalls, en la cual se utilizan dos tecnologías diferentes para asegurar que la debilidad en uno no comprometa al otro. · Deben grabarse los siguientes detalles y mantenerse seguramente por los administradores de firewalls : 1. Redes y routers conectados a los firewalls. 2. Localización de los firewalls. 3. Nombre del dispositivo, e IP del firewall. 4. Propietario de firewall. 5. Que es lo que se permite y porqué. 6. Quien autorizó y firmo la conexión y configuración. · Implementación de Firma digital, como medio de protección de la autenticidad e integridad de los documentos electrónicos. · Supervisión permanente de los logs y de las informaciones depositadas por los dispositivos de protección y de operaciones de las redes instaladas. · Utilizar protocolos de seguridad - SSL, SET - para la protección de la información proporcionada por el cliente y la organización.

Conclusión
El desarrollo del Comercio Electrónico ha favorecido las transacciones entre empresas, las comunicaciones dentro de las mismas y su comunicación con los clientes finales, por la velocidad de transmisión de datos que proporciona, la infinita gama de oportunidades disponibles, y la seguridad que brindan los principales portales de ofertas de productos y servicios en Internet. Pero así como encontramos portales muy seguros, se encuentra que la mayoría de los portales de comercio electrónico no contemplan las medidas de seguridad necesarias para garantizar la integridad de la información que se maneja. Por eso consideramos necesaria la implementación de controles internos, que tengan en cuenta todos los riesgos y amenazas existentes en el comercio electrónico. Para aquellas empresas que exploten completamente su potencial, el comercio electrónico ofrece la posibilidad de grandes cambios que modifiquen radicalmente las expectativas de los clientes y redefinan el mercado, o creen mercados completamente nuevos.

Bibliografía · Auditoria en Contextos Computarizados - Leopoldo Cansler - Ed. Ediciones Corporativas · Trusted Computer System Evaluation Criteria (Libro Naranja) · ISO 17799 · Técnicas criptográficas de protección de datos. 2da. Edición. Editorial Alfaomega Ra-Ma · Computer Security Handbook - 4ª Edición - Edited by Seymour Bosworth - M. E. Kabay · Auditing Information System - 2ª Edición - Jack J. Champlain
Páginas de Internet consultadas: · http://www.hispasec.com · http://www.investopedia.com/ · www.paypal.com · www.moneybookers.com · www.dineromail.com · http://www.sitpro.org.uk/trade/lettcred.html · http://www.opengroup.org/public/tech/security/pki/ Public Key Infrastructure Open Group. · http://seguridad.proydesa.org/ Curso NSP Network Security Program curso cerrado para alumnos Proyectos y Desarrollos Argentinos.
© ASC Consulting

 
Regreso al contenido | Regreso al menu principal