Características
El SET es un protocolo inventado exclusivamente para realizar comercio electrónico con tarjetas de crédito. Fue impulsado por las empresas de tarjetas de crédito Visa y MasterCard, las más extendidas e importantes del mundo. Han colaborado en su desarrollo las empresas más significativas del mundo de la telemática: GTE, IBM, Microsoft, SAIC, Terisa, Verisign, etc... La participación de estas empresas tan importantes y especialmente el impulso de las marcas de tarjetas Visa y MasterCard hacen que este protocolo tenga muchas posibilidades de convertirse en el futuro sistema de comercio electrónico seguro.
Es un sistema abierto y multiplataforma, donde se especifican protocolos, formatos de mensaje, certificados, etc... sin limitación de lenguaje de programación, sistema operativo o máquina. El formato de mensajes está basado en el estándar definido por la empresa SA Data Security Inc. PKCS-7, como los protocolos S-MIME y SSL.
La especificación del SET v1.0 está contenida en 3 volúmenes publicados en mayo de 1997 y es de libre distribución en la Web. El organismo SETco homologa los módulos de programación y los certificados desarrollados por empresas privadas, después de pasar unos tests técnicos y pagar unos derechos. El software homologado por SETco tiene derecho a llevar el logotipo de SET.
El protocolo SET se puede transportar directamente en TCP, mediante correo electrónico con SMTP o MIME y en Webs con HTTP.
Es un sistema abierto y multiplataforma, donde se especifican protocolos, formatos de mensaje, certificados, etc... sin limitación de lenguaje de programación, sistema operativo o máquina. El formato de mensajes está basado en el estándar definido por la empresa SA Data Security Inc. PKCS-7, como los protocolos S-MIME y SSL.
La especificación del SET v1.0 está contenida en 3 volúmenes publicados en mayo de 1997 y es de libre distribución en la Web. El organismo SETco homologa los módulos de programación y los certificados desarrollados por empresas privadas, después de pasar unos tests técnicos y pagar unos derechos. El software homologado por SETco tiene derecho a llevar el logotipo de SET.
El protocolo SET se puede transportar directamente en TCP, mediante correo electrónico con SMTP o MIME y en Webs con HTTP.
Agentes del comercio electrónico de SET
En SET se definen 5 agentes que pueden intervenir en transacciones comerciales:
- Comprador. Adquiere un producto utilizando la tarjeta de crédito de su propiedad.
- Banco o entidad financiera (Issuer). Emite la tarjeta de crédito del comprador.
- Comerciante (Merchant). Vende los productos.
- Banco del comerciante (Acquirer). Banco donde el comerciante tiene la cuenta.
- Pasarela de pagos (Payment gateway). Gestiona la interacción con los bancos. Puede ser una entidad independiente o el mismo banco del comerciante.
Dos agentes relacionados pero que no actúan directamente en las transacciones son:
- Propietario de la marca de la tarjeta. Avalan las tarjetas: Visa, MasterCard, American Expres, etc...
- Autoridad de certificación. Crea los certificados que se utilizan en las transacciones de la pasarela, el vendedor y el comprador. Pueden ser los bancos, los propietarios de la marca de la tarjeta o entidades independientes.
Módulos de programación
Para poder utilizar el SET se deben incorporar unos módulos de software que adaptan los programas existentes al protocolo. Se han definido 4 módulos:
- Cartera (Wallet). Es una aplicación que se instala en el navegador del comprador como plug-in.
- De venta (merchant). Se conecta a la Web del vendedor. Como se parece mucho a los actuales terminales punto de venta para tarjetas se le llama también TPV.
- Pasarela de pagos (payment geteway). Cumple las funciones de este agente.
- Autoridad de certificación (CA). Crea certificados de clave pública adaptados al estándar SET.
Los 4 módulos se pueden homologar por separado en la entidad SETco, actualmente ya hay varias empresas que ofrecen productos comerciales de alguno de los módulos con sello SET.
Firma dual
La firma dual es un concepto nuevo de firma inventado por el SET, para dos documentos relacionados resuelve el compromiso entre su privacidad mutua frente a la necesidad de demostrar que están relacionados comercialmente.
En una transacción SET:
- El vendedor no debe saber los datos bancarios del comprador.
- El banco no debe saber la información del producto vendido.
Pero los documentos con la información bancaria y la del producto deben estar ligados por la misma firma, de manera que se pueda comprobar que han sido generados por la misma persona y para el mismo fin. En las transacciones del SET el comprador genera dos documentos:
- Información de pedido (OI). Donde se describen los datos del producto, el precio y todas las informaciones necesarias para realizar la compra. Este documento sólo puede ser visto por el vendedor.
- Instrucciones de pago (PI). Donde se describen los datos bancarios del comprador y se dan instrucciones para el pago de la cantidad de venta. Este documento sólo puede ser visto por la pasarela de pago.
La firma dual del OI y el PI se realiza concatenando los resúmenes de los dos y después
encriptandolos con la clave privada del comprador.
encriptandolos con la clave privada del comprador.
El comprador no se conecta directamente con la pasarela de pagos, envía al vendedor todos los documentos pero la información para la pasarela se encripta con la clave pública de la pasarela. Cuando el vendedor ha comprobado la información dirigida a él, envía la parte encriptada a la pasarela.
Transacción de compra
En la transacción de compra actúan el comprador, el vendedor y la pasarela a través de Internet y la pasarela se comunica con los bancos por medio de la red bancaria. El comprador siempre se relaciona con la pasarela a través del vendedor, nunca directamente. La seguridad se gestiona de la siguiente manera:
- Confidencialidad. Se encripta utilizando claves de sesión encriptadas con las claves públicas de los receptores.
- Firma electrónica. Se utilizan firmas normales y duales encriptadas con las claves privadas de los firmantes.
- Suplantación de personalidad. Las claves públicas del vendedor, comprador y pasarela se deben enviar al principio mediante certificados avalados por una autoridad de certificación homologada por SET.
Los documentos utilizados son:
- Información de pedido (OI).
- Instrucciones de pago (PI).
- Petición de autorización de pago. El vendedor cuando ha comprobado que los datos enviados por el comprador son correctos envía este mensaje a la pasarela para que pida autorización de pago a los bancos. La pasarela cuando ha comprobado los datos que ha recibido del vendedor hace una petición de pago al banco del comprador.
- Autorización de pago. El banco envía una autorización de pago a la pasarela si la tarjeta del comprador es correcta y permite el cargo del importe.
- Solicitud de pago. Después de la entrega física del producto el vendedor pide cobrar a la pasarela el pago.
- Solicitud de compensación. La pasarela pide al banco del comprador la transferencia al banco del vendedor.
Todos los documentos llevan el identificador único de la transacción (ID). La transacción puede realizarse con o sin firma dual, mediante un protocolo inicial los agentes deciden el tipo de transacción.
No hay comentarios:
Publicar un comentario