Story Transcript
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Resumen ejecutivo
El comercio electrónico es el resultado de la compra venta de distintos bienes y servicios a través de Internet. Para un desarrollo sostenible del mismo son necesarios distintos mecanismos que protejan la información tanto de los usuarios de los portales de Internet, como de las empresas que ofrecen sus productos por este canal.
A lo largo de este trabajo se describirán los distintos mecanismos que existen en la actualidad que ayudan a las empresas a brindar un servicio seguro y confiable. El lector tendrá la posibilidad de conocer las mejores prácticas que existen en la actualidad acerca de la seguridad del comercio electrónico. Se abordarán temas como la política de seguridad corporativa, la confianza del usuario en el sistema y los distintos elementos técnicos relacionados a la seguridad del comercio electrónico. También podrá conocer la situación actual tanto nacional como internacional del comercio electrónico y las proyecciones que se hacen del mismo.
El trabajo trata de un estudio descriptivo, en donde se analiza la situación del comercio electrónico y la seguridad electrónica que existe en el mismo, para luego dar lugar a los casos de estudio, MercadoLibre y LeShop, como ejemplos de empresas que han sabido gestionar la seguridad electrónica y ser exitosas en sus sectores. La información se recabó a partir de entrevistas realizadas a distintos empleados de las empresas como así también a través de sus sitios de Internet. En cuanto a la elaboración del marco teórico se han utilizado distintos papers y libros especializados en el tema.
Como se podrá observar, se llegó a la conclusión que el comercio electrónico puede ser un canal de comercialización con muchos beneficios si se gestionan correctamente los distintos disponibles en el mercado y analizados en el presente estudio.
La implementación de nuevas tecnologías es una constante para este tipo de sector, en donde la adaptación y flexibilidad a nuevas tecnologías pueden hacer la diferencia entre el éxito y el fracaso.
1
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Palabras clave: Comercio electrónico, E-Commerce, Internet, información, seguridad electrónica, confianza, transacción, encriptación, certificado / firma digital, autoridad certificadora.
2
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Índice
Introducción………………………………………………………………..……….. 5 Planteo de la problemática…………………………………………………………. 5 Preguntas de Investigación, objetivos, metodología y fuentes de información……. 6 Guía de lectura…………………………………………………………………….. 8 Capítulo 1: E-Commerce………………………………………………………… 10 1.1 Introducción…………………………………………………………..……… 10 1.2 Definición, clasificación y participantes del E-Commerce…………………… 10 1.3 Beneficios y riesgos………………………………………………..……......... 14 1.4 Medios de pago………………………………………………………………. 15 1.5 El E-Commerce en el contexto mundial y argentino…………………………. 17 1.6 Marco regulatorio del E-Commerce en Argentina…………………….,…….. 19 1.7 Desafíos del E-Commerce……………………………………………………. 21
Capítulo 2: Seguridad en el E-Commerce…………………………………..….. 23 2.1 Introducción………………………………………………………………….. 23 2.2 La seguridad como Política Corporativa…………………………………….. 25 2.2.1 Elaboración de la política de Seguridad……………………………….. 25 2.2.2 Presupuesto y retorno de la inversión…………………….…………….. 26 2.3 Requerimientos de la seguridad del E-Commerce……………………….….. 29 2.3.1 El uso de certificados digitales……………………………………………. 29 2.3.2 Selección de protocolos y medios de encriptación………………..…… 30 2.3.3 Evaluación de riesgos en E-Commerce, amenazas y vulnerabilidades 32 2.4 El rol de la confianza en el E-Commerce…………………………………….. 36
Capítulo 3: Casos de Estudio……………………………………………………. 40 3.1 LeShop……………………………………………………………………….. 40 3.1.1 Introducción………………………………………………………………… 40 3.1.2 LeShop en el E-Commerce Argentino…………………………………… 41 3.1.3 Política y Sistemas de Seguridad utilizados por la Empresa……….... 42 3.1.4 Evaluación de Costos y Beneficios…………………………………. 46 3
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
3.1.5 Impacto de la implementación de medidas de seguridad electrónica. 46 3.1.6 La visión del consumidor. Percepción y confianza en el sistema de seguridad de LeShop………………………………………………………….….. 48 3.2 MercadoLibre…………………………………………………………………. 51 3.2.1 Introducción………………………………………………………………… 51 3.2.2 MercadoLibre en el E-Commerce Argentino………………………….. 52 3.2.3 Política y Sistemas de Seguridad utilizados por la Empresa………… 53 3.2.4 El sistema de calificaciones utilizado por ML y su repercusión en el usuario. La confianza en el mismo………………………………………… 57 3.2.5 Medios de pago en ML……………………………………………… 59 3.2.6 Evaluación de Costos y Beneficios………………………………….. 60 Conclusiones…………………………………………………………..………….. 61 Aporte Profesional……………………………………………………………….. 64 Líneas de Investigación abiertas………………………………………………… 67 Bibliografía……………………………………………………………………….. 68 Anexos……………………………………………………………………………. 71 Anexo 1: Proyecto de Ley sobre el E-Commerce…………………………….. 71 Anexo 2: Entrevista Pablo Alvis – Gerente de Sistemas Leshop………..... 86 Anexo 3: Encuesta acerca del uso y conocimiento del Comercio Electrónico…………………………………………………………………......… 91 Anexo 4: Pantallas de una transacción en LeShop………………………..... 94 Anexo 5: Pantallas de una transacción en MercadoLibre………………… 101
4
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Introducción Planteo de la Problemática, Con el desarrollo de Internet y el avance de nuevas tecnologías para la realización de transacciones comerciales, es cada vez mas frecuente la utilización de éstas para concretar compras, pagos y cobranzas a través de la Web, conformando así el denominado E-Commerce.
Sin embargo, el avance de estas nuevas tecnologías en las transacciones comerciales genera diversos inconvenientes, que deben ser tenidos en cuenta para el pleno desarrollo y para brindarle seguridad a las partes involucradas en el comercio virtual. De esta forma, surge la necesidad de desarrollar mecanismos de seguridad que puedan asegurar a los consumidores y a las empresas involucradas, que su información llegue correctamente al destino y que no sea robada, alterada o manipulada. En un mundo globalizado, donde el comercio electrónico crece exponencialmente, la seguridad relacionada al E-Commerce, es el mayor inconveniente que se debe superar para que el crecimiento continúe y no se vea afectado por delitos o hechos ilícitos, que se traduce en una disminución de la confianza en el sistema y consecuentemente en su progreso. A medida que el E-Commerce crece, también lo hacen los riesgos y vulnerabilidades del sistema. En la medida en que estos desafíos sean resueltos los usuarios podrán realizar transacciones seguras y tener plena certeza de las identidades de las personas con quienes realizan la misma.
Para que el comercio pueda desarrollarse conforme se describió anteriormente se han desarrollado diversos mecanismos de seguridad, entendida como el conjunto orgánico y coordinado de acciones y recaudos específicos que posibilitan eliminar o atenuar los efectos adversos de las múltiples vulnerabilidades que atentan contra la información transmitida por la Web.
En este marco, la Argentina también se ve involucrada en el desarrollo de los distintos aspectos relevantes a la seguridad sobre las transacciones comerciales que brinden confianza a los usuarios.
5
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Con el desarrollo de portales como Deremate.com, Mercadolibre.com y todos aquellos sitios vinculados al sueprmercadisimo y la banca online, el desarrollo de seguridad en los mismos es fundamental para su éxito y confiabilidad. La seguridad del E-Commerce no sólo debe ser entendida como una política de la empresa sino también, entran en juego terceras partes como las Autoridades Certificadoras y en última instancia el Estado, quien debe velar por los derechos de los consumidores. Más aún, no se trata solamente de la compra e instalación de tecnología de seguridad y la detección de ingresos no autorizados. Debe ser tratada como un sistema que continuamente crea distintos procesos de negocios alrededor de la seguridad en las transacciones, el acceso de los usuarios y que requiere que la información, tanto de la empresa como de los usuarios sea considerada como uno de los principales activos de la organización. Este trabajo de investigación tiene como objetivo “analizar la relación existente entre la seguridad brindada por los portales de comercio virtual y el impacto que tienen sobre las transacciones on line”, describiendo los aspectos de seguridad electrónica clave para el éxito que deben poseer estos portales. Preguntas de Investigación Para poder tener un eje central a lo largo del trabajo, es necesario plantear diversas cuestiones.
¿Cuál es la relación existente entre las transacciones online (transacciones de compra, pago, cobro, etc) a través de portales virtuales y la seguridad que brindan los mismos? ¿Cuál es el aporte del management a la seguridad de la organización? ¿Cuáles son los elementos clave en la seguridad en TI? ¿Cuál es su aporte? ¿Qué inversión es necesaria para una seguridad total? ¿Es posible? ¿Cuál es su retorno? ¿Cuál es la percepción que tienen los usuarios del sistema? ¿Cómo lo afecta? ¿Qué aspectos de MercadoLibre y LeShop hicieron de ambos, principales jugadores de su sector?
6
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Objetivos del trabajo de Graduación. Con respecto a los objetivos que tendrá el trabajo de graduación, los mismos servirán de eje y como medio de evaluación al momento de finalizar la tesina.
Analizar el impacto de la introducción de distintas herramientas de seguridad en portales virtuales sobre las compras online (transacciones). Comprender como es el manejo de la seguridad en sitios con canales de venta por Internet. Entender el papel que cumple la confianza de los usuarios. Analizar los componentes de seguridad en TI claves para las transacciones virtuales. Estudiar el caso LeShop como un claro ejemplo del modelo B-to-C. Estudiar el caso MercadoLibre como un ejemplo de los modelos B-to-B y C-to-C.
La confección de los objetivos enunciados fueron seleccionados por ser los elementos clave, que toda empresa con ventas por Internet debe tener para un exitoso desarrollo de su canal de E-Commerce.
Metodología y Fuentes de Información. En un mercado dónde cada vez se realizan mayores compras online1, es necesario entender cuales son los distintos mecanismos que protegen tanto a consumidor como empresa y que permiten un desarrollo sostenido del comercio virtual. De esta forma, y como hemos planteado es necesario explorar, cuáles son dichos elementos y condiciones del comercio electrónico. Consecuentemente, el presente trabajo de graduación se presenta con un carácter exploratorio en un primer momento para luego, transformarse en un estudio descriptivo.
La primera instancia se concentrará en la investigación y recolección de datos tanto de fuentes primarias como a la investigación de fuentes secundarias. Con respecto a esta última se realizará una investigación de datos tanto de carácter cuantitativo como _________________________________________ 1: En los últimos 2 años el comercio electrónico creció 163% en la Argentina, superando el promedio regional situado en 121%.
7
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
cualitativo que permitan analizar y entender el rol de la seguridad en otros sitios de venta por Internet, el papel que cumple el management y los datos referidos al impacto tanto favorable como desfavorable de los riesgos del E-Commerce. Como soporte a estas fuentes secundarias también se empleará material secundario a través de informes y datos de Internet, revistas especializadas en E-Commerce y seguridad en Internet, artículos periodísticos, etc. Más aún se utilizarán fuentes primarias a través de entrevistas a empleados de los casos de estudio que aportarán datos de la situación del mercado y particularmente de cada una de las empresas.
Durante el mes de abril de 2008 se realizaron dos entrevistas semi estructuradas con Pablo Alvis, Gerente de Sistemas de LeShop y Mariano Pettinato, Asistente de cuenta de LeShop, con una duración de 45 minutos. Por otro lado durante el mes de octubre se realizo una reunión con el personal de sistemas de MercadoLibre. También se realizaron cerca de 50 encuestas estructuradas para comprender cual es la percepción que se tiene del comercio electrónico, el conocimiento sobre las empresas involucradas en los casos de estudio y distintos aspectos económicos relacionados al E-Commerce.
Los casos de estudio se seleccionaron tomando como criterios la accesibilidad a cada uno de ellos y el espectro que se quiere abarcar con ellos. La accesibilidad a ellos ha sido por medio de contactos personales como por contactos aportados por el mentor, Gabriel Aramouni. Por último creemos que a través de la selección de los casos de estudio se puede estudiar la mayoría de los modelos del E-Commerce y su relación con la seguridad de Internet. Guía de Lectura.
El primer capítulo comprende los aspectos básicos del comercio electrónico, aportando una visión mundial y local de este mercado. Se identifican los beneficios y riesgos de participar en este negocio, se definen los participantes del E-Commerce. Por otro lado se describen los distintos medios de pago involucrados en las transacciones virtuales, como así también el proyecto de ley que regirá este mercado. Por último se plantean los desafíos del comercio electrónico de cara el futuro.
8
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
En el segundo capítulo, se exponen los distintos aspectos relacionados a la seguridad del E-Commerce, comenzando con los aspectos indispensables que una política de seguridad corporativa debe tener, hasta el estudio del rol que la confianza juega en el comercio electrónico. También se analizan los aspectos económicos relacionados a las inversiones y retornos en seguridad electrónica. Más aún, se exponen los aspectos técnicos que los portales involucrados en este canal deben poseer para proteger tanto a clientes como a la empresa, concluyendo con los riesgos, amenazas y vulnerabilidades del E-Commerce.
El capítulo 3 se centra en el estudio de los casos LeShop y MercadoLibre, exponiendo sus principales atributos y la forma en la cual estas 2 organizaciones pudieron introducirse con gran éxito en el comercio virtual. También se describen los distintos aspectos relacionados a la seguridad electrónica, aspectos económicos, y políticas corporativas de ambas empresas.
Por último, se presentan las recomendaciones tanto para los usuarios de este canal, como para las empresas que venden sus productos a través de la red, y las conclusiones a las que se llega en este estudio.
9
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Capítulo 1: E-Commerce 1.1 Introducción El avance de la llamada Sociedad de la información, junto con las nuevas tecnologías en comunicaciones han permitido un uso más frecuente de Internet para realizar diversas actividades. Las mismas, en un principio consistían en el intercambio de información, mensajes y en la colaboración a la hora de realizar distintos trabajos. Luego, la rápida expansión de la World Wide Web ha permitido el surgimiento de nuevas actividades permitiendo que empresas u organizaciones, sin importar su tamaño, puedan ofrecer y vender sus productos en una escala global, haciendo posible la aparición del denominado Comercio Electrónico o E-Commerce.
Desde sus comienzos el E-Commerce tuvo un notable crecimiento, incrementándose en forma exponencial en la última década. Recientes estudios han demostrado que el crecimiento continúa siendo de 2 dígitos y esto se debe principalmente a una mayor confianza de los clientes en el sistema y en las ventajas que presenta, las cuales serán enunciadas posteriormente.
El presente capítulo tiene como objetivo, introducir las nociones básicas y más importantes del comercio electrónico, sus beneficios y riesgos y el marco en el cual se encuentra inserta la Argentina, a partir del contexto mundial, como así también las normas que regulan dicha actividad. 1.2 Definición, clasificación y participantes del E-Commerce. Según la OECD (2002), el E-Commerce puede ser definido como la compra o venta de bienes o servicios, ya sea entre empresas, individuos, gobiernos y otras organizaciones públicas o privadas, realizadas a través de Internet. Los bienes o servicios son ordenados o pedidos a través de la red, pero el pago y finalmente la entrega del bien o servicio puede ser realizado sin la necesidad de estar conectado a la red (de forma offline).
10
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
En este proceso de compra o venta intervienen distintas actividades entre las cuales se pueden mencionar: marketing, venta, despacho, presentación de servicio y pago de productos y servicios adquiridos por los consumidores entre otras.
A continuación puede observarse en la Figura 1 el ciclo del E-Commerce, con las distintas partes involucradas.
USUARIO / CLIENTE
EMPRESA INDIVIDUO
EMPRESA SITIO WEB
INDIVIDUO PRESTADOR SERVCIO / INTERMEDIARIO
SELECCIÓN DEL PRODUCTO CARRO DE COMPRAS ENCRIPTACION SSL
EFECTIVO ENVIO DEL PRODUCTO
DEPOSITO / PARTICULAR
OTRAS PROCESAMIENTO TARJETA CREDITO
CHECK OUT
TARJETA CREDITO
E-MAIL AL VENDENDOR PAGO
EFECTIVO CONTRA ENTRGA
Figura 1: Ciclo del comercio electrónico
VENDEDOR
Fuente: Elaboración propia
Cabe describir la Figura 1 para su mejor interpretación. Toda transacción virtual comienza con el ingreso a un sitio web, ya sea un portal de un individuo, una empresa o un intermediario (MercadoLibre, DeRemate), por parte del particular ( B2C ) o por parte de una empresa ( B2B ). Luego de seleccionar el producto que desean adquirir, y al ingresar al check out, el sistema de seguridad del portal encripta el sitio para la protección de los datos que el usuario ingresará en la página. Para que esta encriptación sea exitosa, como se describirá en el Capítulo 2, entran en juego las autoridades certificadoras que verifican la autenticidad de los sitios y de las medidas que estos contienen a partir de sus certificados digitales. Ya situado en el check out y luego de confirmado el pedido, se selecciona el medio a través del cual se pagarán los productos. En caso de seleccionar el pago por medio de tarjeta de crédito, los datos del cliente son 11
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
enviados a las terminales de las mismas o a la entidad financiera que intermedia, luego se envía un mail al vendedor aprobando la transacción. En caso de seleccionar el pago a través de contra entrega o efectivo, se paso por alto el paso descrito anteriormente. Una vez aprobada la transacción, se continúa con el armado del pedido en el depósito de la empresa para su posterior envío o en caso de tratarse de un particular se envía directamente el producto, o se coordina con el comprador la forma en la cual recibirá el mismo. Por último, el comprador recibe el producto y en caso de haber escogido efectivo o contra entrega, paga al vendedor el dinero correspondiente, finalizando la transacción virtual.
Clasificación del E-Commerce. Para Aspis, Pertusi y Nieva (2006; 9) el comercio electrónico puede ser clasificado según la forma de intercambio, según la forma de pago y por último, según el vínculo comercial de las partes.
El primero de ellos distingue entre dos formas de comercio: “el Comercio Electrónico Directo y uno Indirecto. Directo es aquel en donde el bien o servicio se recibe inmediatamente (intercambio de bienes y servicios intangibles a través de medios digitales ( p.e. audio, software, videos, servicios de información, etc); el indirecto aquel que se recibe después de cierto lapso ( intercambio de bienes y servicios materiales a través de medios digitales (p.e. libros, indumentaria, etc).”
El segundo, distingue por la forma de pago: “se puede hablar de Comercio Electrónico Completo e Incompleto. En el primer caso, el pago se realiza directamente por medio del sistema electrónico, mientras que el Comercio Electrónico Incompleto será mediante el pago del bien o servicio adquirido, fuera del sistema electrónico.”
Por último la tercera de las clasificaciones se realiza por el vínculo comercial de las partes: “comprende, principalmente, cuatro variantes. La primera de ellas y las que más éxito tiene corresponde al Business-to-Business, el negocio a negocio entre una empresa y sus proveedores. (…) La segunda, el Business-to-Consumer es aquella por la cual la mayoría de las empresas están apostando en un futuro próximo”. “B2C aplica a 12
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
cualquier organización o empresa que vende sus productos o servicios a consumidores o clientes a través de Internet para su propio uso” (CIO; 2007). Como lo señala el artículo de dicho sitio, apoyándose en una investigación de Forrester Research, durante el 2007 el volumen negociado en Estados Unidos fue de U$S 175 billones, estimando un gasto por parte de los usuarios en U$S 329 billones para el año 2010. Siguiendo la clasificación enunciada por Aspis, Pertusi y Nieva (2006; 10), “la tercera variante es el Business-to-Goverment, desarrollado en una escala menor, pero que podría ser de enorme utilidad en el futuro considerando que, en la mayoría de los países de Latinoamérica, por legislación está estipulado que una cantidad de los bienes adquiridos por el Estado tienen que ser a las pequeñas y medianas empresas, siendo el uso del comercio electrónico, en este aspecto, el más útil para dicho fin. Finalmente, la cuarta variante, estará dada por el Citizen-to-Goverment, es decir, la figura en la cual el ciudadano y el Estado entran en una relación por medio electrónico, para pago de tributos, pagos de seguridad social, entre otros temas”.
Los distintos modelos de E-Commerce pueden ser resumidos en la Figura 2, introduciendo una nueva variante: “Business-to-Employee: se refiere en general al sistema de e-mails entre los empleados de una entidad o entre distintos grupos de empresas” (Aspis, Pertusi y Nieva , 2006; 103).
NEGOCIO
CONSUMIDOR
GOBIERNO
EMPLEADO
NEGOCIO
B2B
B2C
B2G
B2E
CONSUMIDOR
C2B
C2C
C2G
-
GOBIERNO
G2B
G2C
G2G
G2E
Figura 2: Clasificación del E-Commerce. Fuente Aspis, Pertusi y Nieva (2006; 102)
Otra clasificación que aplica a las empresas que utilizan el comercio electrónico, se relaciona con los sistemas de información y las tecnologías utilizadas, la figura 3 describe esta clasificación.
13
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Planning Systems examples
Control systems examples
Operational Systems examples
Sales forecasting operational plans capacity planning, profit forecasts, business mix analysis, financial modelling. Sales analysis, budgetary control, managemet, accounting, inventory management, quality analysis, expense reporting, market research, requirements planning, supplier analysis, etc
Order entry, processing, tracking shipping doc., vehicle scheduling, invoicing, sales and purchase ledgers, cost, accounting, stock control, shop-floor scheduling, bill of materials, purchase orders, receiving, employee records, payroll, word processing.
Figura 3: Evolución de los sistemas de información y tecnología. Fuente: Peppard y Ward ( 2002,9)
1.3 Beneficios y Riesgos Como se señalo anteriormente, el comercio electrónico da la oportunidad a distintas organizaciones de competir y negociar sus productos y servicios en forma global, aumentando sus ventas y reduciendo costos. Sin embargo, toda expansión trae aparejada mayores amenazas que deben ser tratadas con gran cuidado.
Para poder analizar los beneficios, estos deben ser atacados desde dos puntos de vista, por un lado los beneficios que puede distinguir el consumidor y por otro los que aprecia el vendedor o empresa. Para el primero de ellos, se pueden enunciar las siguientes ventajas para que se realice una transacción electrónica: mejores precios, mayor y mejor oferta, mayor comodidad y por último en muchos casos se da una mejor atención y un seguimiento personalizado de la compra. Luego con respecto a los sujetos vendedores, se presentan ventajas como: menores costos de comercialización, menores costos operativos, mayor mercado (con posibilidad de trascender los límites nacionales), posibilidad de mantener un stock mínimo de bienes, un acceso más rápido y directo a clientes (el marketing 1 a 1) y la posibilidad de incorporar a Internet como un nuevo canal de ventas fácilmente y con una relativa baja inversión. También la introducción
14
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
del E-Commerce en distintas empresas puede ser visto como una señal de imagen y de competitividad.
Con respecto a los riesgos, también es necesario distinguir en riesgos para el consumidor como riesgos para la empresa. Los primeros son riesgos asociados a la seguridad de las transacciones principalmente. Muchos sitios desconocidos no poseen los sistemas de seguridad necesarios para resguardar los datos que los usuarios les otorgan. Más aún, distintos riesgos como el robo de datos, adulteración de identidad y otros, se encuentran presentes en este canal de ventas. Desde el lado de la empresa, la misma debe poder asegurar que los datos provistos por los usuarios no serán modificados ni usados con otros fines que la compra del bien o servicio. Al incorporar un canal de venta por Internet, la organización incorpora los riesgos propios de la misma, virus, spam, hackers y otras amenazas que serán explicadas con mayor profundidad en el Capítulo 2.
1.4 Medios de Pago
Los medios de pago constituyen un aspecto importante de la seguridad del ECommerce, ya que dependiendo de la forma en la cual se concrete la compra, la misma podrá estar sujetas a mayores o menores riesgos. De esta forma creemos conveniente hacer una pequeña referencia a los distintos medios de pago que presenta el sector, dejando la seguridad involucrada en los mismos para el Capítulo 2. Toda transacción podrá ser concretada utilizando distintas formas de pago. Entre estas se pueden señalar, la tarjeta de crédito o débito (mayormente utilizada por consumidores en el rango 20-40 años), dinero en efectivo (disminuyendo el riesgo de la seguridad en Internet), transferencia bancaria, pago por contra reembolso, cheque digital, dinero electrónico o monedero electrónico. Éstos últimos medios digitales, todavía no se encuentran difundidos en el caso de la Argentina. Sin embargo como se explicará luego, MercadoLibre presenta un sistema llamado MercadoPago, dónde el consumidor elige el medio por el cual pagará la transacción. De esta forma podrá enviar el dinero a MercadoPago a través de una transferencia bancaria, por medio de los locales de PagoFácil, por una tarjeta de crédito, etc y a través de MercadoPago, realizar el pago
15
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
correspondiente al vendedor. Este sistema se aproxima al monedero electrónico, si bien éste último se encuentra en pleno desarrollo.
Por otro lado el cheque electrónico según el Ministerio de Economía puede ser definido como el pago que “se instrumenta mediante un software que permite a los usuarios crear el equivalente al cheque común (de papel) el cual puede ser transmitido electrónicamente y que tiene como consecuencia la transferencia de fondos a través de la estructura tradicional de "clearing" desde una cuenta bancaria”. Mientras que define al dinero electrónico “como aquellas unidades o cospeles de valor dinerario que tienen forma digital y son transmitidos por una red electrónica.”
Figura 3 – Clasificación Medios de pago Online. Fuente: OECD (2006).
Por otro lado y siguiendo un estudio de la Cámara Argentina de Comercio Electrónico, los medios de pago más utilizados son la transferencia bancaria o depósito en primer lugar con el 37%, seguido por la tarjeta de crédito con el 20% de las transacciones. En la Figura 3 se puede observar los resultados del estudio, respecto de los medios de pago utilizados en el E-Commerce.
16
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Medios de Pago más utilizados
13%
5%
37%
15% 10%
20%
Depósito/Transferencia Tarjeta de crédito Contraentrega Efectivo Pago en mostrador Otro
Figura 4: Medios de Pago más utilizados. Fuente CACE (2007)
1.5 El E-Commerce en el Contexto Mundial y Argentino.
Durante los últimos años, el E-Commerce ha sido un sector que como se enuncio anteriormente no ha parado de crecer. De esta forma es conveniente introducir ciertos números macros del Comercio Electrónico que demuestran dicho crecimiento.
Internacionalmente y tomando como punto de partida a Estados Unidos, “durante el 2007, el 60% de los usuarios de Internet mayores a 18 años gasto en promedio U$S 100, representando un gran aumento respecto al año previo” (Center for the Digital Future; 2007). Como se puede observar en la Figura 4, el volumen tranzado en el E-Commerce, continua creciendo a un ritmo sostenido.
Figura 5: Proyección E-Commerce en USA 2006-2011(billones U$S). Fuente Forrester (2007)
17
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Con respecto a Europa, siguiendo un estudio de Forrester, el número de compradores online crecerá de 100 millones a 174 millones, tomando como año final de la proyección el 2011. Otro dato que aporta la consultora, es el gasto por usuario, el cual crecerá de € 1000 a € 1500, consiguiendo un volumen negociado de € 263 billones para el final del período de la misma proyección.
En el caso de la Argentina, según un estudio de la Cámara Argentina de Comercio Electrónico, los usuarios de Internet ya superan los 16 millones, de los cuales el 17% (2.7 millones) realizo durante el 2007 algún tipo de compra a través de la red y el volumen negociado durante el mismo año fue de 20.000 millones de pesos (incluye movimientos en cajeros, por celular y distintas formas de comercio electrónico). Si bien el 2007 mostró una tasa de crecimiento menor a la de años anteriores, (60%) la misma no es para nada despreciable si se tiene en cuenta que en los años precedentes, las tasas de crecimiento eran del orden del 100%. Un estudio de Visa Internacional, asegura que el comercio electrónico crecerá un 40% entre 2006 y 2011. Sin embargo, de acuerdo a la apreciación del presidente de CACE, ese porcentaje se alcanzará entre el 2008 y el 2009.
La Figura 6 muestra las ventas relacionadas al comercio electrónico en Argentina, en su clasificación BtoC. No se encuentran incluidas las ventas entre empresas (BtoB), ni las transacciones generadas a través de portales de subastas como MercadoLibre. Ventas E-Commerce en Argentina 25% 5000
48%
4000
41% $2.200
3000 MM de $
2000
24% $5.100
$4.100 $3.257
$1.563
1000 0
2005
2006
2007
2008
2009
Figura 6: Ventas del E-Commerce en Argentina. Fuente: Elaboración Propia y Cámara Argentina de Comercio Electrónico.
18
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
1.6 Marco Regulatorio del E-Commerce en Argentina. Como consecuencia del gran crecimiento que ha experimentado el comercio electrónico surgen nuevos vínculos entre las partes contratantes, que requieren una correcta regulación y
marco de seguridad jurídica que garanticen las transacciones y los
derechos de las partes involucradas.
En este marco distintas leyes forman parte del marco jurídico que protegen tanto a consumidor como empresa. “La ley 24240 de Octubre de 1993, refuerza y salvaguarda los derechos de los consumidores. Los compradores de Internet tienen un espacio de 5 días, en el cual pueden devolver sus bienes compradores sin costo, en el caso de no haberlos usado antes. En el sector privado, American Express (entre otras) provee un seguro que protege a sus clientes contra el fraude, en todas las transacciones pagadas con tarjeta de crédito. El clima legal en la Argentina ha sido reforzado con el pasaje de una ley de protección de datos personales en Noviembre del 2000 (Ley 25326/2000) y la ley de firma digital, de Noviembre del año 2001 (Ley 25506)” (The Economist Intelligence Unit Limited; 2007). Si bien la firma digital será explicada en el Capítulo 2, cabe hacer una pequeña referencia a la misma. En este sentido y como lo expresan los autores Aspis, Pertusi y Nieva , (2006; 123), las condiciones que debe cumplir una firma digital para ser considerada como tal, se refieren a que debe ser susceptible de verificación por terceras partes, de tal manera que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Sus dos principales características son, presunción de autoría y presunción de integridad.
En el año 2006, Jorge Capitanich ha elaborado y presentado a la Cámara de Senadores de la Argentina, un proyecto de ley para regular la actividad del comercio electrónico. “El objetivo fundamental del presente proyecto de ley es establecer la garantía de seguridad jurídica y dar confianza a los consumidores, mediante un marco claro y de carácter general para determinados aspectos jurídicos del comercio electrónico en el mercado argentino” (Jorge Capitanich; 2006). Según el autor, para la elaboración del presente proyecto de ley se continuaron los lineamentos generales del ordenamiento jurídico argentino como así también y más específicamente relacionados al comercio 19
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
electrónico, lineamientos internacionales: la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de la Unión Europea; la ley 34 del 11 de julio de 2002 del Reino de España y la Ley Modelo sobre Comercio Electrónico de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).
El proyecto ley, en sus 16 artículos abarca temas referidos a las responsabilidades y obligaciones de las partes contratantes, definiciones de los involucrados, como así también los distintos contratos que entran en juego en la transacción2.
Un apartado independiente corresponde a gravar o no el comercio electrónico. Los autores Aspis, Pertusi y Nieva , (2006; 186) avanzan en este tema, distinguiendo argumentos en contra y a favor de gravar el comercio electrónico. En cuanto a los argumentos más importantes que señalan los autores, en contra del gravamen al comercio electrónico, sostienen que el E-Commerce es una industria “en pañales” (infant industry), por lo cual debería estar exenta de todo impuesto hasta tanto logre su madurez. Sin embargo como se ha señalado en el presente trabajo, el ritmo de crecimiento que mantiene el sector, lo han alejado ya de una industria en pañales. Otro de los argumentos, sostiene que toda actividad relacionada a Internet (el comercio electrónico es una de ellas), debería estar exenta de carga impositiva, para evitar restringir el acceso a dichas tecnologías a usuarios de un determinado nivel socioeconómico, disminuyendo así la llamada “brecha digital”. Por último, los autores señalan que gravar con impuestos al consumo al E-Commerce, implicaría la pérdida de competitividad de aquellos prestadores situados en las jurisdicciones donde se aplique el tributo.
El E-Commerce y los impuestos. Asuntos bajo análisis.
Con respecto a los argumentos a favor de gravar las transacciones electrónicas, estos se basan en los principios de neutralidad y equidad. Dichos argumentos también son sostenidos por la OECD, quien señala que dichos principios pueden ser adaptados a las distintas formas de comercio, sin discriminar entre tradicional o electrónico. El primero ______________________________________ 2: Proyecto de ley disponible en el Anexo.
20
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
señala que se deben gravar las distintas actividades económicas sin producir diferencias positivas o negativas a favor o en contra de ningún sector de la producción o los servicios, caso contrario se originarían distorsiones en la economía. En el E-Commerce dichas distorsiones consisten en que sectores con mayores cargas tributarias podrían volcarse al mundo virtual, dejando de lado y afectando las formas tradicionales de comercialización. El segundo de los principios, señala que no resulta adecuado gravar con impuestos a aquel comerciante que lo hace a través de las vías tradicionales, y no hacerlo con quien comercia pero de a través de un portal en Internet. Por último la OECD señala que la imposición al comercio electrónico debería realizarse de la siguiente manera: @ El sistema debe ser equitativo: los contribuyentes en situaciones similares y que realizan transacciones similares deben pagar los mismos impuestos. @ El sistema debe ser sencillo: deben reducirse al mínimo los costos administrativos de las autoridades fiscales y los costos de control. @ El sistema debe ser eficaz: debe producir el volumen de impuestos necesario reduciendo al mínimo las posibilidades de elusión o evasión fiscal. @ Debe evitar distorsiones económicas: las contribuyentes deberían realizar sus opciones con criterios comerciales, no fiscales. @ El sistema debe ser flexible y dinámico: para que las normas impositivas sigan el ritmo de la evolución tecnológica y comercial.
Como se puede observar, tanto argumentos a favor como en contra existen en la actualidad e internacionalmente se ha avanzado en este tema, teniendo la Argentina que comenzar a regular dicha actividad a través de la promulgación de las leyes necesarias.
1.7 Desafíos del E-Commerce
Según el artículo publicado en el sitio CIO.com (2007), el E-Commerce presenta distintos desafíos de cara al futuro. Estos, pueden ser resumidos en cuatro aspectos.
@ Enfocarse en la personalización: “un amplio espectro de software se encuentra disponible para ayudar a los sitios de E-Commerce en la creación de boutiques 21
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
únicas que puedan enfocarse a un target específico de clientes. El caso más relevante es Amazon.com quien ha desarrollado su propio CRM (customer relationship management), reconociendo las preferencias del cliente.” @ Sitio de fácil uso. @ Creación de una aplicación de servicio al cliente de fácil acceso. @ Cumplimiento. El E-Commerce ha aumentado el aumentado el foco en la satisfacción del cliente y el cumplimiento de la entrega. Los distintos problemas referidos al cumplimiento podrán ser resueltos con inversión y un mayor enfoque en la cadena de suministro y las operaciones logísticas.
22
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Capítulo 2: Seguridad en el E-Commerce 2.1 Introducción
Como se ha señalado hasta el momento, a través del uso de las tecnologías del ECommerce, las organizaciones tiene la posibilidad de compartir y diseminar la información electrónicamente y desarrollar negocios online, de manera que los consumidores, sin importar su ubicación puedan obtener bienes y servicios. Mediante el uso efectivo de las herramientas de seguridad que brinda el comercio electrónico, las empresas pueden aumentar sus ingresos, reducir sus costos y al mismo tiempo aumentar la satisfacción de los clientes.
Sin una seguridad total en Internet, es muy difícil aprovechar todas las oportunidades señaladas que brinda el E-Commerce. Más aún, sin herramientas ni prácticas de seguridad es casi imposible ganarse la confianza de los consumidores para que utilicen las distintas plataformas ofrecidas. La seguridad en el E-Commerce debe ser entendida como una arquitectura de seguridad, diseñada para proteger las operaciones de la empresa de amenazas internas como externas. De la misma forma, esta arquitectura debe tener las propiedades de escalabilidad, para poder ir creciendo a medida que la empresa se desarrolla y debe ser flexible para adaptarse a las nuevas amenazas o vulnerabilidades que surgen en un mundo interconectado.
Cualquier sistema de
seguridad
transacciones
debe
garantizar
tres
características
de
las
online:
confidencialidad, integridad y autenticidad de los datos. El primero de ellos se refiere a la protección contra la revelación deliberada, accidental o de mala fe de los datos confidenciales contendidos en una determinada comunicación; la integridad de los datos pretende garantizar que el mensaje no sufra alteraciones en el tránsito, es decir, se debe tener la certeza en todo momento de que los datos que llegan al receptor de una comunicación coinciden plenamente con los datos que fueron enviados por el emisor de la comunicación; por último, la autenticidad de los datos pretende asegurar la identidad de las personas que intervienen en la transacción y de los datos que éstas proporcionan electrónicamente. La autenticación puede ser tanto de los datos del emisor como de la información correspondiente al receptor.
23
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Dos elementos clave en la seguridad del E-Commerce se relacionan con el top management de la organización. Los niveles superiores, deben entender la significativa importancia del tema y deben comprometerse al desarrollo y operatividad de una seguridad total. También deben entender que la seguridad en Internet se encuentra enfocada en la protección de los activos de la empresa (tangibles o no), y entender como regla general que es un costo y no un generador de dinero.
Según un estudio realizado por el Internet Crime Complaint Center del FBI, durante el 2007 se reportaron 207.000 quejas por fraude en Internet y el total de pérdidas fue de U$S 239 millones. “El correo electrónico (e-mail) (73.6%) y las páginas Web (32.7%), fueron 2 de los principales mecanismos a través de los cuales el contacto fraudulento tuvo lugar” (Internet Crime Report 2007; 2). Como se puede observar en la Figura 4, con el transcurso de los años, las pérdidas ocasionadas por los ataques a Internet fueron aumentando. En primer lugar debido a que año a año un gran número de personas se incorporan a la red para utilizarla como medio de pago de diversas actividades y también por un avance de los Hackers, quienes utilizan nuevas técnicas para obtener los datos de los usuarios.
Pérdidas Anuales en U$S (en millones) $ 239,09
$ 250,00 $ 198,44 $ 183,12
$ 200,00 $ 150,00
$ 125,60
$ 100,00
$ 68,14
$ 54,00 $ 50,00
$ 17,80
$2001
2002
2003
2004
2005
2006
2007
Figura 4: Pérdida anuales en U$S. Fuente IC3 (2007)
24
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
2.2 La Seguridad como Política Corporativa.
El objetivo de establecer una política de seguridad, es definir los medios a través de los cuales la organización se va a proteger de las amenazas y vulnerabilidades tanto internas como externas. La política de seguridad puede ser definida como “la documentación de decisiones de seguridad en Internet. Al tomar dichas decisiones los gerentes enfrentan difíciles elecciones, involucrando la estrategia de la empresa, el cumplimiento de objetivos y la distribución de recursos. Estas elecciones involucran la protección de recursos técnicos e información, como así también el seguimiento de la conducta de los empleados” (Vacca, 2007; 49). El elemento esencial de la política de seguridad es que debe ser una decisión.
2.2.1 Elaboración de la Política de Seguridad. Teniendo como base la decisión del top management de elaborar una política de seguridad, la misma debe incluir dos partes, una regla general y normas específicas. La primera señala la aproximación general con respecto a la seguridad, mientras que la segunda específica que está y que no está permitido. Estas reglas pueden estar definidas a su vez por procedimientos u otro tipo de regla interna.
La política de seguridad, a su vez, provee la base para la implementación de controles de seguridad que reduzcan las vulnerabilidades y en consecuencia el riesgo del contexto que rodea a la empresa. Para elaborar una política de seguridad efectiva, desde el punto de vista financiero, que proteja los aspectos fundamentales de las conexiones a Internet que permiten la interacción con el cliente, diversos análisis de riesgos deben ser llevados adelante para determinar el rigor de la política de seguridad, que en definitiva establecerá el costo de los controles de seguridad requeridos por la política. Se deben tener en cuenta ciertos factores fundamentales a la hora establecerla: @ El nivel de amenaza que enfrenta la organización y la apertura al exterior de la misma. @ La sensibilidad de la organización a las consecuencias de potenciales incidentes de seguridad.
25
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
@ Aspectos legales y normativos que determinen distintos niveles de análisis de riesgos.
La política de seguridad debe ser introducida en la empresa de forma que se asegure el soporte del management inferior, especialmente en ambientes donde los empleados se sientan colmados de reglas, directivas y procedimientos. La política es la forma de resaltar el compromiso del management a la seguridad del negocio y la forma de establecer las expectativas que poseen de parte de los empleados en temas como performance y comportamiento.
2.2.2 Presupuesto y Retorno de la inversión. En un contexto mundial donde los recursos económicos se encuentran cada vez más concentrados y el acceso a la financiación es más difícil, la inversión en los aspectos de seguridad deben mostrar retornos positivos. “La seguridad puede ser vista como una inversión que permita reducir los costos operacionales o permitir la apertura de nuevos canales de comercialización, o como una inversión protectora, previniendo costos potenciales o impactos negativos en la empresa o negocio” (Vacca 2007; 59).
Uno de los primeros aspectos a considerar en la inversión de seguridad, es el presupuesto destinado en este sector. Como se puede observar en la Figura 6, de acuerdo a un estudio realizado por CA y TechTarget, alrededor de un 50% de las empresas encuestadas en las diferentes regiones creen que poseen el presupuesto suficiente para enfrentar el incremento en los recursos de seguridad de TI.
26
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Pequeñas Empresas Medianas Empresas Estados Unidos Gran Bretaña Francia Alemania Profesionales de TI No - Profesionales de TI
Figura 6: Presupuesto suficiente para manejar el incremento de seguridad en Ti. Fuente: CA – TechTarget (2005)
Un dato relevante de la precedente figura es que el 61% de los profesionales no ligados directamente a aspectos de seguridad en TI, piensan que poseen el suficiente presupuesto para hacer frente a los recursos de TI, mientras que sólo el 48% de los profesionales de TI piensan de igual forma.
Por otro lado y siguiendo el mismo estudio, “45% de las compras en recursos de seguridad, fueron destinadas a renovar la licencia de los productos comprados previamente. Esto sugiere, que la mayoría de las empresas no invierte lo suficiente en distintos tipo de software, para cubrir todas las amenazas potenciales en seguridad de TI que puedan afectar su negocio.
Luego de analizar los temas relacionados al presupuesto, se debe hablar de la inversión en los recursos de seguridad relacionados a la seguridad del E-Commerce. La evaluación de dicha inversión presenta diversos problemas, ya que es difícil detectar cuales serán los costos y beneficios de la misma. Este problema se presenta ya que se puede hablar de 4 categorías de costos. “Los costos y beneficios tangibles abarcan la parte de la decisión de inversión, dónde el profesional puede fácilmente identificar e imputarle un valor contable. Por el otro lado, los elementos intangibles, se refieren a los costos de la inversión, que comúnmente no poseen una forma física ni un valor contable en términos de valor futuro” (Cohen, Kallirroi 2006; 47). 27
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Más aún en los temas referidos a los costos podemos identificar costos directos e indirectos que deben ser tenidos en cuenta a la hora de analizar el TCO (Total Cost of ownership) de la inversión. “Los costos directos son aquellos factores que pueden ser fácilmente atribuidos a la implementación y operación de una aplicación de ECommerce o de un sistema de TI en general. Estos costos generalmente son subestimados y suelen ir más allá del hardware, software y costos de instalación. Los costos directos, también suelen incluir accesorios adicionales inesperados, soporte de consultoría, etc. Sin embargo los costos indirectos asociados a proyectos de ECommerce suelen ser los más significantes” (Cohen, Kallirroi 2006; 47). Los costos indirectos se componen de factores organizacionales (cambio de viejas a nuevas prácticas de negocio) y humanos (tiempo del management). De acuerdo al estudio, generalmente las empresas subestiman el TCO de los proyectos de seguridad en TI, con un 30-50% de costos fuera del presupuesto original.
A la hora de analizar los retornos sobre la inversión realizada en la seguridad del ECommerce, las técnicas que mejor se aproximan en la estimación de un valor monetario, están referidas a los
costos no incurridos por haber optado por una seguridad
determinada. De esta forma, en el libro E-Commerce Security enuncian y estiman el retorno de la inversión a partir de dos aproximaciones, “a) la intangible: costos operativos directos no incurridos dada la presencia de procesos de seguridad en TI y la implementación de tecnología en su lugar que detiene los ataques DOS3, reduce el impacto de virus y acceso no autorizado o el robo de datos a través de la red. Se computan los ahorros, basados en actividades de trabajo que no se realizan, b) los retornos directos comprenden, nuevos negocios y referencias gracias al éxito en la seguridad de la información, y cumpliendo con las obligaciones éticas y contractuales que involucren la seguridad de los datos de los clientes” (Medí Khosrow-pour 2004; 49).
________________________________ 3: ataque DOS: (denial of service) ataque externo que afecta el uso de un recurso de la red (email o el sitio web).
28
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
2.3 Requerimientos de la seguridad del E-Commerce.
La seguridad en el comercio electrónico comprende diversos procesos, certificados digitales, firewalls, encriptación de datos, etc, que unidos conforman una seguridad total asegurando la protección de los datos de los consumidores.
La utilización de estos mecanismos son indispensables para el éxito de cualquier empresa o negocio que venda sus productos o servicios por Internet, y son también requerimiento de las empresas que garantizan la seguridad del sitio. 2.3.1 El uso de certificados digitales.
El comercio electrónico posee distintos procesos que muchas veces son ignorados por los usuarios que realizan sus transacciones a través de la web. Uno de estos procesos, es el uso de los certificados digitales que son vitales para la seguridad del sitio y para encriptar la comunicación entre el consumidor y el vendedor, de forma que los datos no puedan ser interceptados ni leídos en la transmisión de la información.
Los certificados digitales poseen determinada información en su interior que garantizan a través de infraestructuras de claves públicas y privadas, que el sitio con el cual se comercia sea quien dice ser y no uno ficticio que le provoque daño al cliente. Para asegurar una transmisión segura, los certificados digitales trabajan con el protocolo SSL (secure socket layer) que es aquel por medio del cual se encripta la información. Los certificados digitales son emitidos por las autoridades certificadoras4, que son terceras partes que garantizan la veracidad del sitio con el cual se negocia. Para garantizar dicha veracidad, los certificados digitales funcionan con claves públicas y privadas. La calve pública es emitida por la autoridad certificadora y es una identificación que posee el certificado digital y que se encuentra embebida dentro del navegador o browser (Internet Explorer, Mozilla) del usuario, mientras que la clave privada también es emitida por la autoridad certificadora pero la posee únicamente el servidor del vendedor y es utilizada para desencriptar los datos de la transacción. ________________________________ 4: Las autoridades certificadoras son aquellas que emiten los certificados digitales y garantizan la seguridad del sitio. Internacionalmente VeriSign y Thawtte son 2 de ellas.
29
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
“La firma digital junta la identidad del vendedor con la clave pública de encriptación. De esta forma la autoridad certificadora es la entidad que emite y se compromete por los certificados digitales. La infraestructura de clave pública es el proceso y tecnología que realiza el trabajo. Se crea una clave pública y una privada y un certificado conteniendo información de la identidad del vendedor y su calve pública. Se presenta a la infraestructura de clave pública. La infraestructura de clave pública verifica la identidad, almacena los datos de la identidad y la clave pública digitalmente firma el certificado y lo devuelve al vendedor. Esa firma digital de la autoridad certificadora confirma que la identidad del vendedor esta asociada a la calve pública”(Vacca 2007; 351). A través de este proceso se cierra el ciclo por el cual la información transmitida entre cliente y vendedor, cumple con los estándares de seguridad, resguardando los datos de los usuarios.
2.3.2 Selección de Protocolos y medios de Encriptación. La encriptación de datos y la utilización de determinados protocolos son vitales para la seguridad del E-Commerce, ya que garantizan determinados niveles de seguridad indispensables para el éxito del comercio a través de este canal.
El protocolo elegido para la realización de transacciones seguras a través de la Web, es el denominado Secure Sockets Layer (SSL). SSL fue desarrollado por Netscape Communications para permitir un acceso o transmisión segura entre el navegador y el servidorWeb. De esta forma SSL se ha convertido en el estándar aceptado para la seguridad en la Web, impactando directamente en el comercio electrónico. “El rol principal del protocolo SSL es proveer seguridad al tráfico en la Web. La seguridad incluye confidencialidad, integridad del mensaje e identificación. SSL logra estos elementos de seguridad a través del uso de firmas digitales, certificados y criptografía” (Cisco Systems 2002; 1). El protocolo SSL utiliza una combinación de sistemas de criptografía simétrica (hace uso de una función hash para verificar la integridad de los datos intercambiados durante la conexión SSL) con sistemas de criptografía asimétrica (utiliza un sistema de 30
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
certificados digitales para autentificar tanto al servidor como al cliente). Para poder lograr las transacciones seguras se deben cumplir determinados pasos en la comunicación entre los sistemas del cliente y vendedor, que describen el funcionamiento del protocolo SSL. 1) el cliente se conecta con un sitio y accede a una dirección segura (URL segura): una página segura a través de un Certificado SSL (indicada por una URL que empieza con https y no por http, o a través de un mensaje del browser). 2) El browser del cliente envía automáticamente al servidor, la versión SSL, ajustes de cifrado, y datos generados aleatoriamente que el servidor necesita para comunicarse con el cliente utilizando el protocolo SSL. 3) El servidor responde automáticamente enviando al browser del cliente, el certificado digital del sitio, junto con la versión SSL, ajustes de cifrado, etc. 4) El browser del consumidor examina la información contenida en el certificado del servidor y verifica que: i. El certificado del servidor sea válido y tenga una fecha válida. ii. La autoridad certificadora que ha emitido el certificado sea una autoridad valedera o de confianza y que se encuentro embebido en el browser. iii. La clave pública emitida por la autoridad certificadora, embebida en el browser, valide la firma digital del emisor. iv. El domino especificado en el certificado del servidor, concuerde con el actual dominio del servidor.
Si el servidor no puede ser verificado, el cliente es advertido que una conexión autenticada y encriptada no puede ser establecida.
5) si el servidor puede ser verificado exitosamente, el browser del cliente genera una única “session key” para encriptar toda comunicación con el sitio utilizando encriptación asimétrica. 6) El browser del usuario encripta la “session key” con la clave pública del sitio de forma tal que solamente el sitio pueda leer la “session key” y la envía al servidor. 7) El servidor desencripta la “session key” utilizando su clave privada. 31
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
8) El browser envía un mensaje al servidor informándole que los mensajes futuros emitidos desde el cliente serán encriptados con la “session key”. 9) El servidor luego envía un mensaje al cliente informándole que los mensajes futuros emitidos desde el servidor serán encuitados con la “session key”. 10) Una sesión o conexión SSL-segura se encuentra establecida. Luego SSL utiliza encriptación simétrica para encriptar y desencriptar mensajes a través del “tubo” SSL-seguro. 11) Una vez que se completa la conexión, la “session key” es eliminada.
Todo el proceso transcurre en cuestión de segundos y no requiere ninguna acción por parte del usuario o cliente.
Si bien SSL es el protocolo de mayor difusión para la seguridad de las transacciones online, existe el denominado protocolo SET. El protocolo Secure Electronic Transaction fue desarrollado por Visa y MasterCard, con el objetivo de asegurar el proceso y envío seguro de los datos de la orden de compra y la tarjeta de crédito. La principal diferencia respecto del protocolo SSL se encuentra en la necesidad de poseer un software especializado tanto en el comprador como en el vendedor, que realiza el trabajo de cifrado de los datos y creación de certificados como garantías de seguridad en la transacción.
2.3.3 Evaluación de riesgos en E-Commerce, amenazas y vulnerabilidades. Las nuevas formas de comercio brindan grandes oportunidades de crecimiento, de éxito, sin embargo también presentan nuevos desafíos relacionados a la seguridad que deben brindar para garantizar la continuidad del negocio.
Las organizaciones que poseen canales de venta a través de la red, tienen mucho para ganar (beneficios descriptos anteriormente), pero también se encuentran expuestas a diversos tipos de ataques que pueden generar catastróficas pérdidas. Consecuentemente las organizaciones que quieran participar de este canal deben desarrollar diversos estudios de análisis de riesgos y vulnerabilidades de los sistemas a los que se encuentran expuestos. 32
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Para comenzar este estudio es necesario conocer los riesgos específicos del ECommerce y las distintas formas a través de las cuales los hackers pueden acceder al sistema.
Como se puede observar en la figura 7, durante el 2007 distintos tipos de riesgos fueron denunciados por los usuarios del comercio electrónico. El más importante de ellos se relaciona con el fraude en subasta, ubicándose en segundo lugar la no entrega o recepción del producto comprado. En conjunto, representan el 60% de las denuncias del comercio electrónico. Siguiendo con los riesgos de los usuarios, en los últimos años, una técnica conocida como “phishing”, ha crecido considerablemente, provocando grandes daños. Esta técnica se encuadra dentro de los fraudes y consiste en enviarle un mail falso al comprador, simulando ser la empresa vendedora, e intentando adquirir información confidencial. Estos tipos de riesgos son denunciados desde la perspectiva del usuario o cliente final, sin embargo también existen diversos riesgos para las empresas o organizaciones que comercializan sus productos o servicios a través de este canal. 2007 Top Ten Categorías de Riesgos
1,6%
Amenaza
2,7%
Fraude de entidades financieras Robo de identidad
2,9% 5,3%
Fraude de Computadora
6,0% 6,3%
Fraude con cheque Fraude de tarjeta de crédito/débito
6,7%
Fraude de confidencialidad
24,9%
Delivery no recibido
35,7%
Fraude en subasta 0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
35,0%
40,0%
Figura 7: Top Ten Categorías de Riesgos. Fuente IC3 (2007)
Por parte de las empresas y los mayores riesgos a los que se enfrentan, son:
33
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
@ “Hackers, o programadores expertos cuyo desafío se presenta en lograr introducirse al sistema de distintas organizaciones, representan uno de los mayors riesgos para la seguridad del comercio electrónico @ Malware, (virus, gusanos, etc) son piezas de código disfrazadas, diseñadas para causar un evento no deseado, como por ejemplo la alteración de archivos de computadora, o la caída del sistema. @ Servicio de red denegado, (denial of service, DoS) es un ataque en dónde el perpetrador, priva de acceso a los recursos de la red de una determinada organización, a través del envío de gran cantidad de tráfico en la red que explota una debilidad en el sistema que actúa de receptor” (Vacca 2007; 31).
Si bien estos son los mayores riesgos que presenta el comercio electrónico en la red, los empleados, proveedores y clientes también presentan un riesgo ya que pueden utilizar los recursos de la organización para su propio beneficio.
Una vez entendidos los riesgos a los que se enfrenta la organización que utiliza este canal de ventas, se deben realizar distintos tipos de estudio de vulnerabilidad y amenazas que presenta el sistema.
Una primera aproximación que propone Mehdi Khosrow-Pour, en su libro E-Commerce Security, es un estudio denominado Risk and Security Management (RSM). El proceso de este análisis se puede observar en la figura 8. El objetivo final de dicho proceso es asegurar la continuidad del negocio, protegiendo los activos tangibles e intangibles de la empresa.
La necesidad de realizar un detallado estudio de las amenazas y vulnerabilidades que posee el sistema se basa en el cambiante entorno en el cual el negocio se desarrolla. De la misma forma el análisis debe describir las formas de dar respuesta a esas amenazas o vulnerabilidades detectadas. Si bien este proceso se basa o se construye alrededor de los principios fundamentales del buen management, es necesario describir los principales puntos de este análisis:
34
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
@ “Comprensivo: debe cubrir distintos tipos de escenarios técnicos y de negocio, que son parte de los distintos tipos de E-Commerce (B2B, B2C, etc), de las distintas fases del desarrollo del E-Commerce (desde el planeamiento hasta la implementación) y del ciclo de vida de las operaciones (desde la orden hasta el pago).
Evaluar
Requiere Determinar
Asegurar
Figura 8: Proceso de Risk and Security Management del E-Commerce. Fuente E-Commerce Security (2004)
@ Inclusivo: la aproximación debe cubrir todo tipo de activos, vulnerabilidades y amenazas. @ Flexible: debe ofrecer una variedad de técnicas que puedan ser aplicadas a través de algunas o de todas las fases del E-Commerce. Tradicionalmente, los activos y políticas de una organización han sido estáticas, sin embargo las amenazas del comercio electrónico son móviles y mutable. @ Proactivo: la metodología debe ser flexible y promover la pro actividad para anticiparse a los cambios del entorno del E-Commerce. Debe alentar la pro actividad en el uso del RSM para ganar y crear ventajas competitivas.
35
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
@ Relevante: RSM debe liderar la identificación y aplicación de medidas de seguridad relevantes para el comercio electrónico. Entre estas medidas se incluye firewalls, certificados y firma digital, encriptación, etc”. (Mehdi Khosrow-Pour 118; 2004)
Con un estudio detallado de las amenazas y vulnerabilidades y con respuestas eficientes a determinados escenarios, el negocio de las distintas organizaciones involucradas en este nuevo canal puede estar garantizado.
En el futuro, la rapidez con la cual el entorno del E-Commerce cambiará, presentará mayores desafíos al management del riesgo y seguridad, alentándolos a desarrollar nuevas técnicas, habilidades y respuestas al cambiante mundo del comercio electrónico.
2.4 El rol de la confianza en el E-Commerce. Muchos estudios se han escrito acerca del rol de la confianza en el comercio electrónico y como influye la misma en la percepción que poseen los consumidores de este canal. El siguiente apartado tiene como finalidad dar una visión general del papel que la confianza cumple en el E-Commerce.
La confianza es central para las relaciones interpersonales y comerciales, ya que es crucial en cualquier ambiente donde el riesgo, la incertidumbre o la interdependencia existan. Según diversos estudios, la confianza juega un rol importante dentro del ECommerce de esta forma a medida que la complejidad en las transacciones aumenta volviendo las condiciones inciertas, la necesidad por confiar aumenta.
“La psicología social caracteriza la confianza en términos de expectativas y voluntad de iniciar una transacción y los factores del contexto que inhiben o activan el desarrollo de dichas expectativas positivas. La confianza es la creencia de un grupo de personas en una acción particular de la contraparte. En el contexto de internet, la creencia que el vendedor puede ser confiado es significante, dada la ausencia de garantías prácticas que aseguren que el vendedor no realice prácticas indeseables como violaciones a la privacidad, 36
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
seguimiento no autorizado de las transacciones, etc. Siguiendo en este contexto los estudios han demostrado 3 áreas primarias de la confianza: capacidad, benevolencia e integridad. La primera se refiere a las competencias y habilidades que posibilitan a un individuo tener influencia en una determinada área. Benevolencia es la expectativa, de que la parte confiada tendrá una orientación positiva o un deseo de actuar de buena fe. La integridad es la expectativa que se actuará de acuerdo a los estándares de honestidad o a un set de principios socialmente aceptados” (Lee, Ahn y Han 3;2006).
Para reforzar los lazos entre vendedor y cliente y crear un ambiente de confianza mutua, donde ambas partes se beneficien, el flujo de información entre ellos debe ser constante y suministrar los datos necesarios para que la confianza aumente, creando un círculo virtuoso. Los vendedores pueden influenciar a los consumidores para comprar y cooperar en el flujo de información a través de las intervenciones del vendedor en Internet. “las intervenciones del vendedor en la web son acciones, un vendedor realiza para asegurarle a los clientes la veracidad del sitio. Estas intervenciones le aseguran al cliente que ese sitio en particular es seguro a pesar de cualquier deficiencia que exista en el ambiente de Internet. Con el correr del tiempo, si estas intervenciones se transforman en una práctica estándar, el conjunto de Internet será percibida como un lugar más seguro, aumentando la confianza institucional” (Harrison Knight & Chervany 2002; 51).
Concretamente estas intervenciones que realiza el vendedor en el sitio pueden ser resumidas en 5 acciones que tienen como objetivo fortalecer los vínculos con los consumidores. @ “Política de privacidad y sello de privacidad de una 3era parte (ej: VeriSign): Si un vendedor coloca una política de privacidad o un sello de privacidad de una 3era parte, el cliente debería creer que este vendedor es ético en relación a la captura y distribución de los datos personales. Por consiguiente, el cliente estará más dispuesto a compartir información privada @ Interacción con consumidores: si el vendedor interactúa online con los consumidores, debería ser capaz de convencerlos de que es benevolente,
37
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
competente, honesto, etc., de esta forma les otorga la evidencia necesaria para que los consumidores confíen en él y estén dispuestos a realizar transacciones, cooperar y otorgarle dato personales. @ Construcción de reputación: el vendedor debería publicar su buena reputación como una forma de inducir a la realización de transacciones. Mejorando su reputación también mejorarían las creencias de que el sitio es confiable, ya que la reputación es el segundo rumor de que se tienen buenos tratos, impactando directamente en la confianza del sitio. @ Links a otros sitios: links a otros sitios con buena reputación, ayudan a activar intenciones de compra u otros comportamientos en Internet. @ Garantías o otros sellos: garantías o sellos de 3eras partes relacionados a la seguridad del sitio ayudarían a aumentar la confianza en la integridad del vendedor, mejorando la voluntad a depender del mismo.
Durante el 2007 ScanAlert, empresa que otorga certificados denominados HackerSafe que aseguran que el sitio se encuentra resguardado contra el robo de información y otros delitos informáticos, ha realizado un estudio, llegando a la conclusión que la presencia del sello HackerSafe aumenta un 14% en promedio la intención de compra, contra aquellos sitios que no poseen ningún sello. Del mismo modo el CEO de Symantec, John Thompson, asegura que “el robo de identidad continua siendo la mayor preocupación de los consumidores ante la Federal Trade Comisión, también el surgimiento de nuevos baches o agujeros en la seguridad de los datos son reportados y la técnica de phishing en aumento deterioran notablemente la confianza en el comercio digital.”
Si bien se ha expuesto una visión reducida del rol de la confianza en el comercio electrónico, la misma posee un papel sumamente importante ya que la misma es la que alienta o desalienta el comportamiento de los consumidores a realizar transacciones en la Web. Por otro lado la confianza se encuentra íntimamente relacionada a los distintos elementos de seguridad utilizados por los sitios, de forma tal que a mayor seguridad que pueda ser percibida por los clientes, (dicha percepción puede ser inducida a través de
38
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
las intervenciones del vendedor), es altamente factible que los lazos entre consumidor y vendedor se incrementen, concluyendo en mayores intenciones de compra.
Para concluir este aspecto cabe destacar que a partir de una encuesta realizada entre 50 personas, el 74,4% confía en las medidas de seguridad del comercio electrónico, con un 30% de ellos con conocimientos de las medidas utilizadas para la protección de los datos. También como resultado de la encuesta se puede apreciar que dado el rango de edad de los encuestados en su mayoría (22-30) la tarjeta de crédito es el medio de pago más utilizado con el 61,7% de los encuestados, seguido por el efectivo con el 27,6% y por último la transferencia bancaria con el 10,6%,
39
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Capítulo 3: Casos de Estudio: LeShop, el súper en tu casa 3.1 LeShop 3.1.1 Introducción
LeShop es un supermercado cuyo único canal de venta es la web. Nace en el año 1998 en Suiza como el único supermercado de venta exclusiva a través de Internet, con un concepto muy simple: hacer de las compras del Súper algo ameno, sencillo y distendido.
En 2000 se lanza en Argentina como operación independiente, pero conservando el formato original de LeShop Suiza y adaptando gran parte de los procedimientos allí aplicados a nuestro mercado. Durante el 2007 tuvo ventas por 25 millones de pesos, estimado un crecimiento en las mismas del 40% para el 2008. Por otro lado poseen un promedio de 10.000 transacciones mensuales.
En cuanto al sector en el cual se desarrolla la actividad de LeShop, Disco Virtual y Coto Digital son los principales competidores, siendo este último el líder en ventas. Como explica Pablo Alvis, Gerente de Sistemas de LeShop, la diferencia con respecto a LeShop se da en que estos 2 competidores poseen locales físicos, dónde tienen la posibilidad de realizar el picking. Otro elemento diferenciador con respecto a LeShop es la posibilidad que tiene éste de garantizar el stock que se observa en el sitio web, ya que todos los pedidos se concentran en el depósito y centro de distribución que posee la empresa. En el caso de los competidores, los pedidos llegan a una central y luego son derivados a la sucursal más cercana al pedido, lo que no garantiza que los productos escogidos en el sitio web se encuentren finalmente en la sucursal.
La logística del pedido.
Cabe describir cómo es el sistema de logística que posee la empresa desde el momento en el que el cliente entra al sitio, hasta el check out dónde se finaliza la compra. En primer lugar las gran mayoría de los usuarios de esta organización poseen un usuario y una clave ya registrada, dónde se guardan datos personales de cada cliente como dirección, teléfono y datos personales. Sin embargo, también es posible realizar una 40
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
compra accediendo “sin comodín”, dónde no es necesario registrarse en el sitio. En segundo lugar, a medida que se seleccionan los productos (stock online con el depósito) a través de una interfaz amigable y se confirma el pedido, el mismo llega en tiempo real al centro de distribución, dónde se le asigna un número de orden a la compra. Luego el sistema le asigna una grilla determinada para ese numero de pedido. La grilla es el lugar específico en el que va a estar guardado el pedido, es un sistema parecido a que utilizado cuando se busca una calle en la Guía "T". El sistema divide el pedido por áreas, esto significa que el pedido se desglosa en almacén, lácteos y quesos, verdulería, congelados, refrigerados y el sector de bajo llave, que es donde se guardan los artículos de mayor valor y que son fácil de hurtar, por ejemplo, los perfumes importados. Ya en el piso del centro de distribución, los pickeadores, que son las personas que se encargan de armar el pedido, imprimen las planillas que tienen un código de barra, y a través de un scanner identifican el numero de pedido, la grilla que se le asigno y los artículos que tiene ese pedido en esa área, acá es donde comienzan a armar el pedido. Una vez escaneados todos los productos, el scanner les pide que cierren la compra, para poder procesar la orden y de esta forma facturar el pedido. Este último punto se puede realizar una ves que todos los sectores cerraron la compra a través del scanner. Por último cuando el pedido se cierra y se guarda en la grilla que ya tiene asignada, las bromatólogas controlan que en los pedidos no falta nada y que los productos salgan con la fecha que le corresponde.
En forma sintética ésta es la logística y la integración de sistemas que posee LeShop, para lograr que los pedidos lleguen de forma correcta a cada uno de los clientes y junto con las políticas que serán descriptas a continuación hacen de LeShop uno de los principales jugadores del sector, con un amplio margen para seguir creciendo.
3.1.2 LeShop en el E-Commerce argentino. LeShop se clasifica como un modelo B2C, destinando casi la totalidad de sus ventas a consumidores finales. Como se menciono anteriormente posee un volumen de 10.000 transacciones mensuales y ventas por 25 millones de pesos en el 2007.
41
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Su único canal de venta es la web, dónde ofrece distintas opciones de pago. Actualmente, las compras pueden pagarse con efectivo, tarjeta de crédito o transferencia bancaria. Ésta última opción, introducida años atrás, se logró a través de acuerdos con el Banco Río y el Banco Francés, donde los consumidores realizan el pago a través del home banking. Según los datos que nos pudo brindar Pablo Alvis, la forma de pago predominante es la tarjeta de crédito y la transferencia bancaria que en conjunto representan el 60% de las ventas, mientras que el efectivo suma el 40% restante.
3.1.3 Política y Sistemas de Seguridad utilizados por la Empresa.
La política de seguridad corporativa debe ser el eje alrededor del cual se desarrollan todos los sistemas y procesos de seguridad de la empresa. En este sentido LeShop cuenta con una política corporativa que comienza con las máquinas de los empleados y finaliza con el envío de un mail al consumidor final, indicándole la hora, empleado y patente de la camioneta que entregará el pedido. Con respecto a la configuración de las máquinas, solo se permiten los puertos habilitados para cada usuario, en lo posible la política es cerrar absolutamente todo lo innecesario. Siguiendo esta línea, las autorizaciones internas de las maquinas, como menciona Pablo, “es difícil depender de la buena voluntad de los usuarios sea por desconocimiento o lo que fuere, la política es nadie puede instalar nada, las máquinas están instaladas todas iguales, todo el mundo tiene permiso para utilizar diversos programas guardar sus archivos y nada mas. No se puede cambiar ni una coma de la configuración de la maquina”. Con estas normas se pretende bajar lo máximo posible el riesgo de diversos ataques de hackers que pueden entrar al sistema a través de una máquina mal configurada o la infección del sistema por un virus que ingresa por la instalación de un programa no autorizado.
Por otro lado, la política de LeShop es brindarle la mayor seguridad y confianza posible al cliente. En los últimos años ha incorporado un sistema en dónde media hora antes del envío del pedido, la empresa envía al cliente un mail indicándole la media hora dentro de la cual llegará el pedido, la foto del empleado que estará a cargo del mismo y la patente de la camioneta que llevará el pedido. Si bien esto no es parte del sistema de seguridad del comercio electrónico propiamente dicho, son elementos que generan un
42
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
vínculo positivo entre vendedor y cliente y que ayudan a reforzar la confianza entre los mismos.
Sistemas de seguridad electrónica de LeShop.
La seguridad electrónica en LeShop es el aspecto de mayor importancia ya que al ser una empresa cuyas ventas se desarrollan en Internet, el éxito de la organización depende entre otros factores de la seguridad electrónica que puedan brindarle al cliente y el vínculo de confianza que pueden generar con él. En primer lugar, cabe destacar que desde el inicio de las actividades en el año 2000 hasta la fecha, la empresa no ha recibido ningún tipo de ataque (hackers, robo de datos, fraude, etc). También es necesario destacar que originalmente en el 2000, el sistema fue traído de Suiza. Se realizo el back end y a partir de ese momento con los años se fue separando el sistema, desarrollando el propio y actualmente hay grandes diferencias entre uno y otro.
La evaluación de riesgos y vulnerabilidades que realiza la empresa se encuentra dentro de los estándares mundiales, actualizando constantemente las bases de datos de los riesgos que día a día surgen en el mundo.
La seguridad electrónica en la empresa esta conformada por los aspectos básicos, firewalls, antivirus, sistemas de login para los empleados, configuraciones predeterminadas de las máquinas y luego sistemas más sofisticados que son implementados para poder brindar a los clientes distintos medios de pago. El primer punto a destacar en estos aspectos específicos de seguridad electrónica es la utilización del protocolo https, que indica que se está en un sitio seguro y garantizado por una entidad certificadora, (aspecto descripto en el capítulo 2) y la utilización del puerto Secure Socket Layer (SSL) que utiliza los certificados digitales para garantizar la encriptación de los datos introducidos por los clientes en el sitio web. Por otro lado, para garantizar que todos estos aspectos de seguridad sean exitosos se utiliza a VeriSign a través de su filial local CertiSur. La encriptación de los datos es de 128 bits, la de mayor potencia en la actualidad, lo que permite la utilización de tarjetas de créditos y las transferencias bancarias como medio de pago. Más aún los datos de las tarjetas de crédito no son captados en el software de la empresa, sino que a través de una línea X43
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
25 pasan directamente en un game boy de pagos (conjunto de pagos) a las terminales de las tarjetas de crédito. Las líneas X-25 son líneas de transmisión de datos punto a punto que se dirigen directamente a las tarjetas de crédito (Visa, Master Card y Amex), de esta forma los datos no pasan por internet, sino a través de la línea punto a punto.
Para brindar mayor información respecto del sistema y los procesos involucrados en una transacción con tarjeta de crédito, y aportar datos para que en un futuro los interesados a partir de la lectura puedan confiar en los sitios web que poseen la seguridad requerida, es necesario describir sintéticamente los procesos que corren y garantizan la seguridad de los datos de los clientes.
El caso LeShop es un caso particular ya que si bien trabajan con tarjetas de crédito, no tienen contacto directo con los datos de la misma. Para la implementación de las tarjetas de crédito el primer paso es la homologación con las marcas que se quieran ofrecer. LeShop a través de distintas consultoras realizó una homologación con Visa, Master Card y Amex. Estas consultoras analizan la arquitectura de seguridad que posee la empresa, realizan una devolución con las instrucciones de correcciones que deben ser efectuadas. A partir de la homologación que se efectuó no está permitido guardar los datos de la tarjeta de crédito, a diferencia de lo que sucede en Estados Unidos, dónde por ejemplo en Amazon.com los datos de las tarjetas de crédito son guardados en la base de datos de la empresa, facilitando el momento del check out ya que no es necesario cargar los datos cada vez que se realiza una compra sino que simplemente se clickea la tarjeta con la cual se realizará la compra y los datos aparecen en la pantalla para seguir con la compra. En el caso de LeShop, en el check out el cliente tipea el número de la tarjeta, código de seguridad, fecha de vencimiento y ese número de tarjeta pasa por la línea X-25 a las tarjetas. Luego estas responden aprobado o no aprobado a la transacción y devuelven un número de transacción. Cada vez que el cliente realiza una compra debe volver a tipear los datos de la tarjeta. A partir del cambio efectuado con la homologación, lo único que permiten guardar son los 4 últimos dígitos de la tarjeta a modo de referencia.
Como se puede observar, en este caso la irrupción de alguien en la cuenta de un usuario ajeno, no tiene consecuencias de ningún tipo, ya que el dato de la tarjeta no esta en el 44
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
profile del cliente y en definitiva no puede hacer ningún daño, como máximo puede obtener el historial de compras de ese cliente. No existe un punto crítico en este caso y los clientes pueden otorgar con plena confianza los datos personales al sitio web. El único caso dónde los clientes se pueden ver afectados es con un fraude o riesgo llamado phishing, donde se simula el sitio web o se envía un mail simulando ser la empresa y los usuarios introducen los datos pensando que están en un sitio seguro, pero lo hacen en un sitio ficticio elaborado para el robo de información.
En el apartado 3.1.6 se podrá observar como la presencia del candado de VeriSign en la barra de los distintos frames del sitio genera una percepción de mayor seguridad en el usuario final, si bien el sistema siempre se encuentra resguardado por la misma empresa a pesar de la no presencia del mencionado candado.
Como conclusión y a modo de resumen se pueden mencionar los puntos más destacados del sistema de seguridad electrónica que posee LeShop, que garantizan los datos provistos por los clientes.
@ Antivirus & Firewalls @ Sistemas de login y configuración de máquinas uniformes para los empleados @ Sistemas de seguridad garantizados por VeriSign @ Protocolo SSL y https, que poseen embebidos los certificados digitales y las entidades certificadoras. @ Encriptación 128 bits @ Líneas X-25 con las terminales de las tarjetas @ Homologación por parte de consultoras. @ Envío de mail con los datos de la entrega del pedido.
Como se puede observar, as través de la correcta implementación de distintos elementos de seguridad electrónica, se puede brindar al cliente una plataforma segura para poder realizar las transacciones requeridas por el mismo.
45
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Todas las organizaciones vinculadas al comercio electrónico tienen como desafío una constante actualización de las bases de datos relacionadas con los riesgos y nuevas amenazas que día a día surgen y sus respectivas soluciones, para asegurar un correcto funcionamiento del E-Commerce.
3.1.4
Evaluación de Costos y Beneficios.
Muchas empresas poseen distintos mecanismos para medir cual es el retorno de sus inversiones. Entre ellos podemos mencionar el ROI, VAN, etc. Con respecto a las inversiones que se realizan en materia de seguridad informática, el TCO puede ser estimado con exactitud, sin embargo los retornos no son tangibles. Esto se debe a que las distintas inversiones de esta área están destinadas a evitar perjuicios y no a la búsqueda de futuras ganancias. Si bien existen métodos para medir cuales son los costos evitados, estas evaluaciones son hechas en potencial ya que no se sabe con exactitud cuan grande puede ser el daño, tanto monetario como de imagen de empresa ocasionado por un ataque de los mencionados en el capítulo 2.
En el caso de LeShop, Pablo Alvis explica que ellos no tienen métodos para medir cuales son los retornos de las inversiones que han hecho en materia de seguridad electrónica. Para la empresa, la decisión es si quiere ofrecer tarjetas de crédito y transferencia bancaria como medio de pago. Si la decisión es positiva, se deben adaptar a las normas que exigen las emisoras de las tarjetas y los bancos, y realizar las inversiones que sean necesarias. La posibilidad de ofrecer tarjetas de crédito como medio de pago sin certificados digitales o encriptación no es una opción.
De esta forma se puede hablar o asimilar las inversiones a costos hundidos, costos o inversiones que son necesarias para aumentar las ganancias de la organización y ofrecer un mejor servicio a los clientes. 3.1.5 Impacto de la implementación de medidas de seguridad electrónica. Como se menciono anteriormente, el primer paso en la implementación de un sistema de seguridad electrónico corporativo para resguardar los datos de los clientes, fue la
46
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
introducción del sistema que LeShop poseía en Suiza y a partir del cual se desarrollo el sistema propio de LeShop Argentina.
A lo largo de la
corta historia de LeShop Argentina, distintas medidas fueron
implementadas. Entre ellas podemos mencionar la homologación realizada para la introducción de las tarjetas de crédito como medio de pago, los protocolos SSL, https que aseguran la encriptación de los datos, el uso de certificados digitales y las líneas X25 con las terminales de las tarjetas de crédito que aseguran el envío de los datos personales de los clientes.
Si bien todas estas medidas aseguran la seguridad de la información en el comercio electrónico, los clientes tienen una percepción o una idea formada acerca de los elementos o símbolos que para ellos le brindan seguridad. De esta forma ante la consulta de si las medidas de seguridad introducidas en el canal de ventas tuvieron una directa relación con las ventas, Pablo Alvis señala que no existe tal relación, “la gente no tiene conocimiento técnico, tiene sus prejuicios fundados o no y ven 2 o 3 detalles que los hacen confiar o no”. El trasfondo de todo el sistema que protege los datos de los usuarios no es conocido por la mayoría de las personas, por lo que las medidas en cierta forma son más importantes para la empresa en su afán por brindar un excelente servicio que para el común de las personas que desconocen si el protocolo https le brindará seguridad o no.
De esta forma como se menciono en el capítulo 2, una de las
recomendaciones y aspectos de seguridad que no deben faltar en cualquier portal que venda sus productos a través de la web, es la introducción de una sección en dónde se explique claramente cuales son los procesos que posee la empresa que garantizan la seguridad de los datos personales.
Como conclusión podemos mencionar que las distintas medidas implementadas a lo largo de los años en la empresa fueron más importantes para la organización que para los clientes. Si bien es muy importante que los consumidores comprendan cuales son los aspectos que deben ser tomados en cuenta para sentirse seguros, solo algunos detalles son observados, desconociendo el sistema integral que toda empresa debe poseer. Por otro lado, para la empresa es sumamente importante poseer dicho sistema integral ya
47
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
que puede estar segura que sus clientes no experimentarán ningún robo de datos, afectando su imagen corporativa.
3.1.6
La visión del consumidor. Percepción y confianza en el sistema de seguridad de LeShop.
El vínculo que los sitios Web generan con sus clientes es uno de los puntos clave en el éxito de cualquier organización dedicada al E-Commerce. Para generar dichos vínculos es necesario brindar información para que los consumidores puedan entender como es el sistema que utiliza la empresa para proteger sus datos.
Por otro lado es necesario comprender también como es el proceso a través de la cual el cliente forma su visión acerca del comercio electrónico y cuales son los elementos que observa como signo de seguridad. Todos estos datos pueden ser obtenidos a través de encuestas estructuradas y a partir de su análisis, brindarle al cliente las medidas necesarias para su seguridad. En esta línea Pablo Alvis y Mariano Pettinato señalan que luego de haber realizado diversas encuestas entre los clientes de LeShop y por las consultas que los mismos realizan, se puede notar una marcada diferencia entre los grupos de edades 20-40 años y mayores de 40 años en introducir el número de la tarjeta de crédito. Mientras que los primeros confían en el sistema, los segundos se encuentran más reticentes por desconfianza en la seguridad que puede brindar internet.
Por otro lado si bien esta barrera que existe entre ciertos clientes se esta perdiendo, hay ciertos aspectos o elementos del sitio web en los que los consumidores se fijan y que deben estar. En el caso de LeShop, por ejemplo el candadito en el Explorer es uno de los aspectos que los clientes observan como signo de seguridad. El candadito significa encriptación, encriptación es un proceso que corre tanto en el servidor como en el browser del cliente. La empresa tenía en el checkout distintas frames que indicaban plazos de entregas, otras opciones y un frame estaba dedicado a la parte de pago. LeShop encriptaba únicamente el frame de tarjeta de crédito, ya que la otra opción era encriptar imágenes y demás que lo único que hacia era consumir tiempo, pero al encriptar solo el frame no aparecía el candadito y eso era una barrera muy importante para el cliente por mas que se le informara que observando las propiedades de ese 48
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
frame, se encontraría con el certificado de seguridad. Últimamente se realizo un cambio, haciendo aparecer el candadito en el frame principal, disminuyendo así las consultas por seguridad. De esta forma se puede observar que el cliente lo único que ve es el candadito u otros detalles que forman su percepción acerca de lo que es introducir los datos de una tarjeta de crédito en Internet
Otro de los aspectos que contribuyen a formar el vínculo de confianza entre la empresa y el cliente son las distintas alianzas con empresas de excelente reputación y trayectoria. En esta línea a partir de una encuesta que realizó LeShop, se pudo observar que la incorporación del Banco Río y Banco Francés al sistema de pago, específicamente los logos de los mismos en el check out de una organización como LeShop que no posee un gran branding da confianza. Esos 2 logos más allá de que trajeron ventas por clientes de los bancos, fue un elemento que aumento notablemente la confianza en el sistema de LeShop.
De la misma forma, cuando la empresa comenzó a poner publicidad de proveedores y mandar folletería de los productos comercializados por LeShop, la asociación de una marca de trayectoria con la empresa, también generó vínculos de confianza.
Por último, el mail de confirmación del pedido indicando el vendedor, hora y camioneta que entregará los productos solicitados, es muy bien recibido por los clientes de la empresa, actuando como un reforzador más de los vínculos de confianza.
Si bien hay muchos aspectos que no se encuentran directamente relacionados con la seguridad del comercio electrónico, los mismos ayudan a generar en el cliente una percepción propia sobre que es la seguridad para él. Esta percepción puede variar de usuario en usuario en la medida en que cada uno le asigna mayor importancia a determinados elementos.
Como se puede observar, muchos clientes forman su percepción de la seguridad a partir de la relación de la empresa con otras o a partir de la seguridad electrónica que el portal posee y que es indicada de distintas formas, ya sea a través del candadito que señala
49
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
encriptación o por medio de la descripción de cómo LeShop protege los datos de sus clientes.
En conclusión, se puede observar que más allá de la seguridad que la empresa pueda brindar a sus clientes, la percepción que el cliente forma acerca de que es para él la seguridad electrónica, muchas veces se forma a partir de relaciones con otras empresas, restándole importancia a las distintas medidas que el cliente no pueda percibir y que contribuyan a reforzar su confianza en el sistema.
50
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Casos de Estudio: MercadoLibre 3.2 MercadoLibre 3.2.1 Introducción
Mercado Libre (ML) es la plataforma de comercio electrónico más grande de Latinoamérica, con presencia en Argentina, Brasil, Chile, Colombia, Ecuador, México, Uruguay, Venezuela y recientemente ha iniciado actividades en Costa Rica, Panamá y República Dominicana. En conjunto, estos países 550 millones de habitantes y posibles usuarios de la plataforma, en uno de los lugares con mayor penetración de Internet en el mundo. ML es básicamente un sitio de subastas que ofrece en Internet todo tipo de productos, nuevos o usados: diferentes piezas coleccionables, electrodomésticos, computadoras, cámaras digitales, accesorios, insumos industriales y automóviles.
ML fue fundado en el año 1999 por Marcos Galperín, adoptando el modelo de negocios de Ebay, actualmente uno de sus principales accionistas. Durante el 2008 la empresa tuvo una importante repercusión en el mercado ya que en el mes de Agosto inició su cotización en la bolsa de comercio de New York en el índice Nasdaq, con una gran aceptación, aumentando el valor de su acción en un 58.33% en el primer día. Por otro lado, también en el mes de Agosto, adquiere a su principal competidor, DeRemate.com en un valor cercano a los USD 40 millones, aumentando su participación en el mercado a cerca del 80%.
Actualmente ML recibe 800.000 visitas únicas por día, posee alrededor de 33.7 millones de usuarios inscriptos y hace en promedio 3 millones de ofertas por mes. El 90% de la comunidad que participa de sus operaciones está compuesto por individuos y pequeñas y medianas empresas. Entre sus usuarios se encuentran importadores, comercios, grandes marcas y outlets. En el tercer trimestre de 2008, se vendieron más de 5.6 millones de artículos
En 2007, el volumen de transacciones alcanzado (GMV por sus siglas en inglés -Gross Merchandise Volume- que es una medida del valor total de productos comprados y vendidos a través de la plataforma de MercadoLibre exceptuando las categorías 51
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
propiedades inmuebles, servicios y vehículos) fue de U$S 1.500 millones. En el tercer trimestre de 2008, el volumen alcanzado fue de U$S 590,1 millones.
A septiembre de este año y según los datos suministrados por la empresa, la facturación aumentó un 77.9%, de USD 58.2millones año pasado a USD 103.6millones en el mismo período de este año. Por otro lado la ganancia neta fue de USD 10.9millones, aumentando un 149.2% respecto del mismo período año anterior.
Respecto a los artículos más vendidos, las principales categorías son de computación y electrónica (informática, TV y audio, etc.).
Como vas adelante se describirá, MercadoPago es el servicio de ML que brinda soluciones de pago a través de Internet. Sólo a través de este sitio, durante el 2007 tuvo un volumen de operaciones de más de U$S 158 millones, aumentando en el 2008 a U$S 255 millones.
Cómo se puede observar en esta pequeña introducción, ML es un gigante del ECommerce adoptando constantemente las últimas tecnologías al servicio del usuario y reflejando esta constante actualización en sus volúmenes de transacciones y ganancias.
3.2.2 ML en el E-Commerce argentino. ML se puede clasificar de diversas formas ya que dentro del portal interactúan tanto individuos como pequeñas y medianas empresas. De esta forma ML puede ser clasificado como un modelo B2C, B2B y C2C. Como se menciono anteriormente posee un volumen de 800.000 visitas únicas diarias y una facturación de USD 102 millones para los primeros nueve meses del año 2008.
Como se describirá más adelante, la plataforma de ML, ayudada por su sitio de pagos MercadoPago, acepta una amplia variedad de formas de pago, desde tarjeta de crédito hasta efectivo, pasando por depósito o transferencia bancaria. Este último sitio, logró concentrar el 14% de las transacciones realizadas en ML.
52
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
En el Figura 9, se puede observar los grandes saltos que ha experimentado la ganancia de ML, la cual se encuentra en sintonía con los porcentajes de crecimiento del ECommerce, tanto a nivel mundial como local como se describió en el capítulo 1.
Ganancia Neta ML (en USD MM) 12
10.9
Ganancia Neta
10 8 6
4.4
4 2
-0.8
0 -2
2006
2007
2008
Año
Figura 9: Evolución ganancia neta de ML. Fuente: Elaboración Propia
3.2.3 Política y Sistemas de Seguridad utilizados por la Empresa.
Mercado Libre, líder en Latinoamérica en comercio electrónico posee los más avanzados sistemas de seguridad para proteger los datos e información de sus clientes. También posee una política de seguridad conocida por todos los empleados y disponible en su sitio web para conocimiento de sus usuarios.
En primer lugar, describiremos los lineamientos generales descriptos en esta política de seguridad que como se mencionó en el capítulo 2, es uno de los requisitos más importantes para todo sitio que comercialice sus productos a través del comercio electrónico o haga uso del mismo.
La política de seguridad de ML comienza describiendo los datos que el sitio puede solicitar y almacenar, entre esta información se encuentra: nombre, apodo para operar en el sitio, número de documento, etc. Ésta información ML la podrá verificar con 53
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
terceros para garantizar el correcto uso de su sitio por parte de los usuarios. Por otro lado, automáticamente se almacena información referida a las páginas que visita, dirección de IP y navegador que utilizan. Cabe destacar que toda la información de datos personales recogida se almacena en distintos servidores en Estados Unidos bajo estrictas medidas de seguridad.
El almacenamiento de información personal tiene como fin brindar al usuario un mejor servicio, desarrollar estudios internos
sobre los intereses, comportamientos y
demografía de los usuarios entre y compartir la información con empresas contratadas para mejorar operaciones de pago, transporte, seguros, intermediación, etc.
Dentro de la política de seguridad de ML, existe una frase que fue señalada en el capítulo 2 y describe el espíritu y el compromiso que posee la empresa con los datos de los usuarios y la seguridad en el comercio electrónico: “MercadoLibre considera a los datos de sus usuarios como un activo que debe ser protegido de cualquier pérdida o acceso no autorizado”.
Distintas alianzas refuerzan el compromiso de ML con la seguridad del E-commerce, como la alianza con TRUSTe, Verisign, eCONFIANZA.org y la dirección nacional de protección de datos personales.
ML ha sido el primer sitio argentino en sumarse al programa de TRUSTe, que vela por la información personal de los usuarios del sitio. En su sitio web se puede leer los lineamientos que tiene este programa de protección para el cliente del comercio electrónico. “Los programas de TRUSTe están de acuerdo con muchas pautas gubernamentales e industriales relativas al uso de la información personal, incluyendo la Ley de Protección de la Confidencialidad en Línea del Estado de California [California Online Privacy Protection Act], la Ley Federal CAN-SPAM, los Reglamentos para el Uso Justo de la Información patrocinados por la Comisión Federal de Comercio y los Principios de Confidencialidad Safe Harbor del Departamento de Comercio de los Estados Unidos”.
54
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Con respecto a la seguridad en el E-Commerce que el portal utiliza, la misma se destaca por su actualización permanente y la vanguardia en sus sistemas. De acuerdo a las palabras del personal de sistemas de ML, “como empresa líder en Latinoamérica en comercio electrónico, ML necesita proteger el amplio volumen de información que recibe, transmite y almacena. Por esta razón, cuenta con la tecnología más avanzada en materia de seguridad: Digital ID y Secure Server ID. Son dos sistemas que le permiten garantizar transacciones seguras, mediante la autenticación digital. En otras palabras, la comunicación con sus usuarios se realiza dentro de un canal de absoluta privacidad”.
Como se comentó en el capitulo 2, toda organización que quiera disponer de los beneficios que brinda el comercio electrónico, debe garantizar la seguridad en las transacciones a sus clientes con determinados componentes que son indispensables para este fin, de esta forma ML cuenta con: sistemas de login con clave personal para sus empleados, certificados digitales, alianzas con ONGs destinadas a velar por la seguridad de la información (TRUSTe), garantía de seguridad en el comercio electrónico por parte de autoridades certificadoras (VeriSign y CertiSur), protocolos de seguridad de última generación y encriptación de datos de 128 bits y lo más importante, un equipo de gente real destinada a responder cualquier pregunta que pueda surgirle al cliente. Si bien este último dato puede parecer irrelevante, según una encuesta realizada por Cisco, uno de los requerimientos de los usuarios del comercio electrónico, es tener una persona real dispuesta a ayudarla en caso de presentarse algún inconveniente y no una máquina con respuestas predeterminadas.
Con la incorporación de eBay como socio de ML, se realizó y se realizan constantemente distintos benchmarkings para actualizar las distintas plataformas de seguridad, amenazas y riesgos del E-Commerce, tanto a nivel mundial como a nivel local y estar un paso delante de los posibles hackers que son la mayor amenaza para estos sitios.
Cabe destacar que no nos proporcionaron datos concretos acerca de algún tipo de ataque virtual que haya podido sufrir ML, sin embargo con el nivel de transacciones que realiza a diario, ML no se encuentra exenta de haber recibido algún tipo de ataque menor.
55
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Por otro lado, como se describirá en el apartado 3.2.4, ha desarrollado una plataforma de pago llamada MercadoPago, a través de la cual canaliza gran cantidad de las transacciones que se realizan en el portal. Este punto es importante para la seguridad del comercio electrónico en esta organización ya que a partir de esta plataforma el cliente puede escoger entre diferentes formas de pago no viéndose obligado a introducir datos personales, el mayor miedo de los usuarios del E-Commerce.
Otro punto a destacar en la seguridad electrónica de ML, que es resultado de la excelente Política de Seguridad Corporativa que posee la organización, es el instructivo que posee en su página web acerca de los e-mails falsos que pueden llegarle al usuario del sistema, como identificarlos y que hacer con ellos. El instructivo completo se encuentra disponible en el anexo y a continuación destacaremos los puntos más importantes.
Esta práctica conocida mundialmente como “phishing”, envía un e-mail falso, haciéndose pasar por uno verdadero y le solicita la usuario información personal como número de tarjeta de crédito, documento, calves personales, etc. Generalmente estos emails falsos poseen un saludo general, ponen plazos de tiempo dentro de los cuales se debe enviar la información solicitada, caso contrario se cerraran las cuentas del usuario y poseen links a sitios falsos.
A modo de resumen, al igual que realizamos con LeShop, destacaremos los puntos más importantes de la seguridad del comercio electrónico que posee ML;
@ Sistemas de login con clave personal y configuraciones uniformes de las máquinas para los empleados @ Antivirus y Firewalls @ Alianza con TRUSTe que garantiza los procedimientos y la seguridad que posee ML @ Certificación de seguridad por parte de VeriSign y CertiSur. @ Convenio con la dirección Nacional de Protección de Datos Personales 56
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
@ Certificados digitales y Secure Server ID para identificarse con el navegador del cliente y garantizar la encriptación de los datos @ Protocolos de seguridad SSL y https
Todas estas mediadas y alianzas de seguridad fueron implementadas progresivamente en ML, y si bien el sitio no nos aportó datos concretos acerca de la relación directa entre la creación de éstas alianzas y el aumento de ventas en el portal, como se describió en el capítulo 2, en el apartado sobre confianza, indudablemente para los usuarios más aversos al comercio electrónico, los sellos de TRUSTe, VeriSign y la dirección nacional de protección de datos han ayudado a que se decidan por realizar la transacción. El personal de sistemas de ML, sin embargo si nos dijo, a diferencia de los que sucedió en LeShop, que hay una relación directa entre la implementación de nuevas medidas de seguridad para el portal y un aumento en las transacciones. Esta percepción se puede entender desde el punto de vista de los usuarios que interactúan en cada uno de los sitios, mientras que en LeShop lo hacen amas de casa con escaso conocimiento, los usuarios de ML, se encuentran informados acerca de las mejores prácticas en seguridad electrónica.
Por último cabe señalar que a partir de la encuesta realizada, el 59.5% de los mismos consideran al sitio seguro, mientras que el 40.4% lo considera muy seguro.
Se puede observar que trabajando correctamente, implementando las distintas medidas de seguridad para el comercio electrónico disponibles en el mercado se pueden obtener resultados muy satisfactorios que garanticen el éxito del negocio.
3.2.4 El sistema de calificaciones utilizado por ML y su repercusión en el usuario. La confianza en el mismo. En ML, la trayectoria de los usuarios se refleja en las calificaciones que recibió de los demás usuarios que han realizado algún tipo de transacción con éste. Luego de finalizada la misma, las partes se califican en forma positiva, neutral o negativa según su experiencia.
57
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Compradores y vendedores pueden conocer las calificaciones de su contraparte antes de realizar una operación, y decidir a partir de su confianza o percepción la forma de pago más apropiada para cerrar la operación. También pueden interactuar, a través de preguntas que el comprador le realice al vendedor y así poder obtener respuestas para tranquilidad del comprador.
En la figura 10, se puede observar este sistema de calificaciones, viendo en primero lugar el ranking del vendedor, luego el comprador puede observar el detalle de esta calificación y ver la cantidad de calificaciones positivas y/o negativas que obtuvo el usuario de ML. Por último, una práctica muy recurrente a la hora de comprar a través del comercio electrónico es observar los comentarios de otros usuarios como referencia del vendedor.
Figura 10: Sistema de Calificación de ML. Fuente: MercadoLibre (2008)
Este sistema de calificaciones que utiliza ML, es muy bien percibido por los compradores y vendedores del portal y es un elemento que ayuda definitivamente a reforzar los vínculos de confianza entre los usuarios del comercio electrónico. Otro dato que surge de la encuesta realizada a alrededor de 50 personas, es la confianza en este sistema, respondiendo afirmativamente 76.5% de los encuestados. 58
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
3.2.5 Medios de pago en ML.
ML acepta prácticamente cualquier forma de pago, sin embargo la decisión final acerca de la forma de pago la tiene el vendedor que puede aceptar determinadas formas de pago.
El portal de ML se encuentra preparado para que el vendedor pueda ofrecer una amplia variedad de formas de pago entre las que podemos mencionar, efectivo, tarjeta de crédito, contra reembolso, transferencia bancaria, etc, con toda la seguridad del comercio electrónico que ML ofrece y descripta anteriormente.
Por otro lado, ML también ofrece a sus usuarios, que se asocien a MercadoPago que es el sitio creado por ML para realizar transacciones de dinero en Internet. Este sitio es una plataforma para acercar al comprador y vendedor y facilitarles una transacción segura.
Cabe destacar que esta plataforma no trabaja exclusivamente con ML, sino que también se pueden pagar compras realizadas en otros sitios web y que acepten MercadoPago. Más aún, se puede enviar dinero a través de la plataforma, al estilo Western Union.
La seguridad electrónica relacionada al comercio electrónico que posee el sitio, es idéntica a la que posee ML, con beneficios tanto para los vendedores como compradores. Por el lado de los compradores, las compras están aseguradas por el programa de protección al comprador hasta un determinado monto, dependiendo de la calificación del vendedor, respecto a este último, el mismo puede ofrecer como medio de pago: tarjeta de crédito, transferencia bancaria, depósito bancario, efectivo a través de Pago Fácil o RapiPago, etc y también posee el beneficio de financiar sus ventas en cuotas y recibir el dinero en un solo pago.
Cabe destacar, como se mencionó anteriormente, durante el 2007 el sitio tuvo un volumen de operaciones de más de U$S 158 millones y en el tercer trimestre de 2008, el volumen fue de U$S 81,5 millones, representando aproximadamente el 14% de las transacciones de ML.
59
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
3.2.6 Evaluación de Costos y Beneficios. Como se mencionó en el caso LeShop, los distintos mecanismos que tienen las empresas para medir cual es el retorno de sus inversiones son: el ROI, VAN, etc. Con respecto a las inversiones que se realizan en materia de seguridad informática, el TCO puede ser estimado con exactitud, sin embargo los retornos no son tangibles. Esto se debe a que las distintas inversiones de esta área están destinadas a evitar perjuicios y no a la búsqueda de futuras ganancias. Si bien existen métodos para medir cuales son los costos evitados, estas evaluaciones son hechas en potencial ya que no se sabe con exactitud cuan grande puede ser el daño, tanto monetario como de imagen de empresa ocasionado por un ataque de los mencionados en el capítulo 2.
Si bien el personal de sistemas no posee los datos acerca de los resultados que realiza ML sobre retornos de inversión, nos explicaron que ellos cuentan con un presupuesto para la seguridad del comercio electrónico y la mejor evaluación costo – beneficio que realizan es ver que las adquisiciones que realizan tanto de renovación de viejas licencias como adquisición de nuevas, es observar que las mismas funcionen correctamente, y cumplan con el objetivo con el cual fueron compradas.
Por otro lado, al igual que mencionó la gente de LeShop, hay inversiones que se deben realizar sin excepción si se quieren ofrecer los distintos medios de pago que ofrece ML. Como conclusión se puede mencionar que a lo largo de la historia de ML, su éxito se debió principalmente a una fuerte política de seguridad corporativa, que es conocida y entendida por todo el personal de ML y a una constante evolución tanto de su management como de los sistemas que utiliza la empresa para protección de sus usuarios con los cuales se encuentra fuertemente relacionados.
60
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Conclusiones Cómo primera aproximación a las conclusiones que se desprenden del presente trabajo, las siguientes tablas resumen en gran medida, las respuestas a las preguntas iníciales y a los ejes de análisis de los casos de estudio.
Respuestas a las preguntas de investigación. Pregunta inicial ¿Cuál
es
la
relación
Resultado del trabajo de investigación. existente
entre
las
transacciones online a través de portales virtuales y la seguridad que brindan los mismos? ¿Cuál es el aporte del management a la seguridad de la organización? ¿Cuáles son los elementos clave en la seguridad en TI? ¿Cuál es la percepción que tienen los usuarios del sistema? ¿Cómo lo afecta?
Los usuarios solo observan pequeños detalles desconociendo los procesos de seguridad que posee el sitio. Es una relación de confianza. Ver caso LS y ML. Muy importante, con alta incidencia en el éxito de una organización. Ver apartado 2.2 y los casos LS y ML. Alianzas con autoridades certificadoras, encriptación, sellos de seguridad, etc. Ver capítulo 2, apartado 2.3 y casos de estudio. Los usuarios observan pequeños detalles de seguridad que son los que los impulsan a realizar la transacción. Es un sistema basado en la credibilidad y confianza. Ver apartado 2.4 y resultados de la encuesta realizada (Anexo).
Conclusiones respecto a los ejes de análisis de los casos de estudio. Principales ejes de análisis
LeShop
MercadoLibre
Principales sistemas de seguridad utilizados.
Encriptación 128 bits, homologación tarjetas de crédito, línea X-25 punto a punto con la terminal de la tarjeta de crédito, etc. Ver apartado 3.1.3 No poseen un estudio detallado de retorno de la inversión, la consideran necesaria y un costo hundido. Ver apartado 3.1.4.
Encriptación 128 bits, alianzas con autoridades certificadoras internacionales, certificados digitales, etc. Ver apartado 3.2.2
Evaluación costos y beneficios.
Percepción y confianza de los usuarios en el sistema.
Medios de Pago
Marcada diferencia en los rangos de edades 20-40 y > 40. Confianza de los usuarios a partir de distintas alianzas. Efectivo, tarjetas de crédito, transferencia bancaria, etc.
Poseen un presupuesto el cual es destinado a renovación de licencias y adquisición de nuevas. La inversión es considerada necesaria y un costo a realizar. Ver apartado 3.2.6 Gran influencia del sistema de ranking de usuarios, determina la realización de una transacción. Ver apartado 3.2.3 Efectivo, tarjeta de crédito, etc. Fuerte presencia de MercadoPago, Ver apartado 3.2.5.
61
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Respecto a las conclusiones, podemos mencionar que distintos aspectos relacionados al comercio electrónico han sido tratados en este trabajo de graduación, confianza, seguridad electrónica, políticas de seguridad corporativa, etc. Como se mencionó en la introducción la correcta gestión del conjunto de estos elementos son vitales para que el comercio electrónico continúe su senda de crecimiento, y a través de los casos de estudio analizados se pudo ratificar esta afirmación.
Las empresas de comercio electrónico analizadas han podido gestionar y coordinar correctamente los distintos aspectos descritos a lo largo de la tesina y modificar sus prácticas para asegurar a sus usuarios la máxima protección posible de su información.
Ambas empresas coincidieron en que no se puede efectuar un análisis certero acerca de los retornos de las inversiones realizadas en seguridad electrónica, contradiciendo a la teoría de seguridad en comercio electrónico. Sin embargo señalaron que diversas inversiones se deben realizar sin falta para poder garantizar la seguridad de las transacciones que realicen y para poder brindar distintas formas de pago. En el caso de LeShop, la seguridad electrónica se fue desarrollando a partir de una plataforma traída desde Suiza la cual luego fue evolucionando a medida que se realizaban distintos tipos de alianzas. En el caso de ML, su seguridad electrónica también se fue desarrollando con el tiempo, realizando benchmarkings internacionales con ebay.com y generando alianzas con organismos internacionales y nacionales.
La confianza ha sido otro de los aspectos importantes tratados en este trabajo de investigación. La confianza como se señaló en el capítulo 2 determina la realización o no de una determinada transacción. Distintos mecanismos posee la teoría que ayudan a generar un vínculo de confianza entre la empresa y el comprador. En el caso de LeShop, a partir de un estudio realizado se pudo determinar que la existencia del candado de encriptación de datos en la frame principal del portal era un requerimiento que sus usuarios solicitaban como medio de confianza hacia el sitio.
El caso de ML es particular, ya que los usuarios deben confiar tanto en las medidas de seguridad electrónica brindadas por la empresa en su portal como en los vendedores con los cuales realizan la transacción. Para esto ML creó el sistema de calificaciones de sus 62
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
usuarios, y como se pudo observar en el capítulo 3, este sistema es muy bien aceptado por los compradores, ayudándolos a decidir en su compra.
Otro aspecto tratado en este trabajo ha sido la política de seguridad corporativa. La teoría señala que sólo a partir de una política de seguridad corporativa sostenida por el top management de la organización, la empresa puede llegar al éxito. Ambos casos de estudio han coincidido en la necesidad de esta política de seguridad corporativa, ya que los empleados necesitan una guía que les indique que aspectos están permitidos y cuales no. No se puede dejar un aspecto tan frágil como la seguridad de la información de los clientes librada a la buena voluntad de los empleados. En el caso de ML, esta política es más amplia y detalla también los usos que la empresa hace de la información de los clientes recibida.
No hay que dejar de mencionar el constante reto que sufren las empresas de este sector al tener que estar diariamente actualizando sus bases de amenazas y riesgos. El mundo interconectado en el cual se desarrollan estas empresas, enfrenta diariamente a los hackers, los cuales desde cualquier lugar del planeta tratan de robar información de los usuarios y utilizarla para cometer distintos tipos de delitos.
A través de una buena gestión de los aspectos señaladas y de los distintos mecanismos de seguridad electrónica disponibles para protección de la información tanto de usuarios como de la empresa, se pueden lograr empresas exitosas como son casos MercadoLibre y LeShop.
Por último, como se pudo observar en la teoría y en los casos de estudio, si bien la seguridad total no es posible, si es posible ser perfeccionista y tratar de brindar a los usuarios de este canal la mejor tecnología disponible en materia de seguridad del comercio electrónico. De esta forma se estará brindando un ambiente seguro y sin riesgos para que los usuarios sigan operando en plataformas confiables como en la actualidad.
63
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Aporte Profesional Recomendaciones para un uso adecuado del Comercio Electrónico. Las sugerencias que a continuación se señalan surgen del presente estudio y son una guía para todos aquellos que quieran utilizar de forma segura este canal.
Para la empresa vendedora. @
Elaborar una política de seguridad conocida por los empleados, respaldad por el management superior y flexible. Darla a conocer a los clientes a través del portal de Internet.
@
Diseñar un presupuesto acorde a los requerimientos de seguridad de la empresa. Pensar no solo en la renovación de las licencias de los sistemas sino también en actualizaciones de los mismos a medida que la organización se desarrolle, estando a la par de las nuevas técnicas fraudulentas.
@
Temer en claro que la inversión en seguridad es un costo y no un generador de dinero. La inversión ayudará a generar vínculos de confianza con los consumidores y aportará a la empresa la tranquilidad de saber que los datos que posee se encuentran asegurados evitando cualquier riesgo futuro
@
Uso de certificados digitales, protocolos de seguridad (SOL, SSL), firewalls y encriptación de datos (128 bit)
@
Desarrollar distintos tipos de estudios de análisis de riesgos y vulnerabilidades del sistema de seguridad de comercio electrónico que posea la empresa.
64
a y su impacto – claves para el éxito”
@
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Exponer en el sitio los diversos mecanismos que posee el sitio para la protección de los datos de los clientes.
@
Enviar siempre un mail de confirmación de compra / venta.
@
Acuerdos con bancos de primera línea que generen vínculos de confianza con los usuarios
Para el cliente o usuario del comercio electrónico.
@
Verificar la existencia de los logos de empresas certificadoras de seguridad en el sitio
@
Analizar la reputación del vendedor
@
Nunca introducir datos en correos electrónicos enviados por el vendedor o cualquier persona en nombre de este.
@
Nunca divulgar los passwords personales.
@
Informarse acerca de las características que tiene el E-Commerce y los distintos mecanismos de protección de datos.
@
En caso de realizar la compra desde una computadora pública, introducir los datos con un teclado virtual.
@
Leer las condiciones de venta y seguros que pueda llegar a tener el vendedor.
65
a y su impacto – claves para el éxito” @
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Utilizar los botones de Log in y Log off del sitio. Al no utilizar los mismos, puede suceder que la información completada en el sitio (usuario y contraseña) sea fácilmente rastreada.
@
Solamente llene formularios en la web, en los que se esté utilizando el protocolo https://.
@
Por último mantenga actualizado su software de protección (antivirus y firewalls) y el navegador de internet con las actualizaciones recomendadas por el fabricante
66
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Líneas de Investigación abiertas
El presente trabajo de graduación tuvo un alcance parcial, tratando de abordar las cuestiones principales de la seguridad del comercio electrónico, presentando los últimos avances tecnológicos en dicha cuestión.
De esta forma, a continuación plantearemos distintos temas para que puedan ser estudiados y contribuyan al desarrollo del comercio electrónico.
@ La tributación en el E-Commerce. ¿Qué tributos aplicar?, ¿Cómo aplicarlos?, justificaciones a favor y en contra de la tributación.
@ Nuevos negocios a desarrollar, teniendo como base las transacciones virtuales.
@ ¿Cómo seguir hacia el E-Business? Pasos necesarios y requisitos para llegar a la empresa digital.
67
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Bibliografía
Aspis Analía, Nieva Hugo G. y Pertusi Ileana C.; “Comercio electrónico (e-commerce). Régimen contractual. Aspectos tributarios. Nuevas bases para gravarlo”, Errepar, 2006
Bureau of Justice Assistance, Federal Bureau of Investigation, National White Collar Crime Center; “Internet Crime Report”, Internet Crime Complaint Center, 2007
Cohen, S. y Kallirroi, G.; “E-Commerce Investments from an SME perspective: Costs, Benefits and Processes”, The Electronic Journal of Information Systems Evaluation; 2006
Khosrow-Pour,
Mehdi.;
“Cases
on
Electronic Commerce Technologies
and
Applications”, Idea Group, 2006 Khosrow-Pour, Mehdi.; “E-Commerce Security, Advice from Experts”, CyberTech, 2004. Lee, HyoungYong. Ahn, Hyunchul y Han Ingoo, “Analysis of trust in the E-Commerce adoption”, Korea Advanced Institute of Science and Technology, 2006
Lundquist, Eric.; “Security Strategies”, eWeek, 2004 McKnight, Harrison D y Chervany, Norman L. “What Trust Means in E-Commerce Customer Relationships: An Interdisciplinary Conceptual Typology”, International Journal of Electronic Commerce, 2002 Molla Alemayehu y Heeks Richard.; “Exploring E-Commerce Benefits for Businesses in a Developing Country”, The Information Society, 2007
O´Brien, James A.; “Sistemas de Información Gerencial”. Séptima Edición. McGrawHill. Capítulo 13, 2006
68
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Palmer, Malcom.; “Information Security Policy Framework: Best Practices for Security Policy in the E-commerce Age”, Information Systems Security; May/Jun2001. Peppard J. y Ward J.; “Strategic Planning for Information Systems”, Wiley, 2002.
Richardson Robert.; “ Computer Crime and Security Survey”, Computer Security Institute, 2007 Smith, Gordon E.; “Control and Security of E-Commerce”, Wiley, 2003
TechTarget.; “Internet Security: eCommerce Growth Drives SMB Security Concerns”, TechTarget & ca, 2004 Vacca, John R.; “Practical Internet Security”, Springer, 2007
Páginas web consultadas www.cio.com www.gartner.com www.hbs.edu www.idc.com www.infobae.com www.lanacion.com www.verisign.com www.oecd.org www.princecook.com www.cace.org.ar www.forrester.com www.eiu.com 69
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
www.cisco.com www.techtarget.com www.mercadolibre.com www.leshop.com.ar www.mecon.gov.ar www.truste.org www.oxfordjournals.org
70
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Anexo Anexo 1: Proyecto de Ley sobre el E-Commerce Senado de la Nación Secretaría Parlamentaria Dirección Publicaciones (S-3812/06)
PROYECTO de LEY Senado y Cámara de Diputados,.. COMERCIO ELECTRONICO
Artículo 1º. Objeto
La presente ley tiene por objeto el establecimiento del régimen jurídico de la contratación por vía electrónica, en lo referente a las comunicaciones comerciales, a la información previa y posterior a la celebración de contratos por esa vía y a las condiciones relativas a su validez y eficacia, así como a las obligaciones de los prestadores de los servicios empleados en la formulación de ofertas y en la celebración de los contratos, tales como los operadores de telecomunicaciones y de mercados virtuales, los proveedores de acceso a Internet y de servicios de alojamiento de datos, los portales, los motores de búsqueda y cualquier otro sujeto que disponga de un sitio en Internet a través del que realice alguna de esas actividades. Ninguna de las disposiciones de la presente ley se interpretará en el sentido de limitar el alcance de normas que tengan por finalidad la defensa nacional, la seguridad pública, la defensa de la competencia y de los derechos del consumidor, la protección de los datos personales, el régimen tributario y las normas internacionales incorporadas al derecho interno.
Artículo 2º. Definiciones En la aplicación de la presente ley, los siguientes términos tendrán el significado que en cada caso se indica.
71
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Comunicación comercial: todo mensaje transmitido por vía electrónica destinado a formular una oferta a personas físicas o jurídicas, tendiente a la celebración de un contrato a título oneroso. También comprende todo mensaje de naturaleza informativa referido a bienes o servicios que eventualmente podrían ser objeto de contratos a título oneroso. Consumidor o usuario: la persona física o jurídica que contrata la locación o adquisición de bienes, o la prestación de servicios, a título oneroso, para su consumo propio o de su grupo familiar, o para una actividad comercial. Consumidor o usuario final: el consumidor o usuario que no contrata ni bienes ni servicios para una actividad comercial. Destinatario: persona designada por el emisor de una comunicación comercial para recibirla, siempre que no esté actuando como intermediario de dicha comunicación. Emisor: la persona física o jurídica de la que emana una comunicación comercial, que no revista carácter de intermediario ni de mero prestador de un servicio utilizado en la transmisión de dicha comunicación. Prestador de servicios: comprende al operador de telecomunicaciones y de portales y al proveedor de acceso a Internet, de servicios de alojamiento de datos o de motores de búsqueda. También comprende al operador o intermediario de mercados virtuales, cuando tales redes o mercados sean utilizados en la compraventa y otros contratos celebrados por vía electrónica referidos a bienes o servicios. Transmisión: procedimientos técnicos a través de los cuales una comunicación es emitida por el emisor o un intermediario y recibida por un intermediario o el destinatario.
Artículo 3º. Ámbito de Aplicación Esta ley será de aplicación a los emisores de comunicaciones comerciales y a las partes que celebren contratos por vía electrónica en la República Argentina, a los prestadores de servicios establecidos en la República Argentina y a los servicios prestados por ellos. Se entenderá que un prestador de servicios está establecido en la República Argentina cuando su residencia o domicilio legal se encuentre en territorio argentino o cuando en él esté efectivamente centralizada la gestión
72
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
administrativa y la dirección de sus negocios. También se considerará establecido en la República Argentina si una de las condiciones mencionadas en el presente artículo se cumpliera con respecto a una sucursal del prestador de servicios o a una sociedad vinculada al mismo. La utilización de medios electrónicos situados en la República Argentina para la prestación o el acceso al servicio no determinará, por sí solo, el establecimiento en la República Argentina del prestador de servicios. Los prestadores de servicios establecidos en la República Argentina estarán sujetos a las demás disposiciones del ordenamiento jurídico argentino que les fueren aplicables, en función de la actividad que desarrollen. Los prestadores de servicios que dirijan sus servicios específicamente al territorio argentino quedarán sujetos a las obligaciones previstas en esta ley, siempre que ello no contravenga lo establecido en tratados o convenios internacionales que fueren aplicables. Asimismo, esta ley será de aplicación a los servicios alcanzados por ella para el caso en el cual el prestador de servicios, residente o domiciliado en otro Estado, lo ofrezca a través de un establecimiento permanente, situado en la República Argentina, de manera continuada o habitual y cuente con instalaciones o lugares de trabajo y realice actividades.
Artículo 4º. Principio de no autorización previa. Los prestadores de servicios no deberán obtener autorización previa ni cumplir ningún otro requisito con efectos equivalentes para prestar servicios utilizados en el comercio electrónico. Esta disposición no afectará la vigencia de normas que establecen el requisito de autorización previa para realizar actividades que no tengan por objeto específico y exclusivo tales servicios. Tampoco afectará las normas que regulan los servicios de telecomunicaciones.
Artículo 5º. Información general que debe proporcionar el prestador de servicios El prestador de servicios permitirá a los destinatarios del servicio y a las autoridades competentes acceder con facilidad y de forma directa, gratuita y permanente como mínimo a los datos siguientes: 73
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Nombre del prestador de servicios; Dirección
geográfica
donde
está
establecido
el
prestador
de
servicios;
Información que permita ponerse en contacto rápidamente con el prestador de servicios y establecer una comunicación directa y efectiva con él; Si el prestador de servicios estuviera inscripto en un registro mercantil u otro registro público similar nombre de dicho registro y número de inscripción asignado en él al prestador de servicios, u otros medios equivalentes de identificación en el registro; Si una determinada actividad estuviera sujeta a un régimen de autorización, los datos de la autoridad de supervisión correspondiente; Si el prestador de servicios perteneciera a un colegio profesional o institución similar, datos de dicho colegio o institución y título profesional, CUIT
y
situación
frente
al
impuesto
sobre
el
valor
agregado
(IVA);
Cuando se haga referencia a precios, éstos indicarán claramente y sin ambigüedades, importes, moneda en la que están expresados, forma de pago y se hará constar, en particular, si están incluidos los impuestos y los gastos de envío.
Artículo 6º. Códigos de Conducta La Autoridad de Aplicación fomentará la elaboración y aplicación de códigos de conducta voluntarios por parte de las asociaciones y cámaras empresariales y las asociaciones y colegios profesionales, en las materias reguladas por la presente ley. Los códigos de conducta podrán tratar, en particular, sobre los procedimientos para la detección y retiro de contenidos ilícitos y la protección de los destinatarios frente al envío por vía electrónica de comunicaciones comerciales no solicitadas, así como sobre los procedimientos extrajudiciales para la resolución de los conflictos que surjan de los actos regulados por la presente ley. Los códigos de conducta a los que se hace referencia en el presente artículo deberán ser accesibles por vía electrónica.
Artículo 7º. Contratos por vía electrónica Los contratos celebrados por vía electrónica producirán todos los efectos previstos por las normas vigentes para los mismos contratos celebrados por otros medios, cuando concurran el consentimiento y los demás requisitos necesarios para su validez. Para que
74
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
sea válida la celebración de contratos por vía electrónica no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos.
Se considerará que la parte aceptante ha expresado su consentimiento al completar el procedimiento electrónico indicado claramente con ese propósito en la oferta. El emisor, o el operador de un mercado virtual en su caso, deberá otorgar al consumidor, en forma clara, precisa y de fácil acceso, los medios técnicos para identificar y corregir errores de introducción de datos antes de efectuar la transacción y un mecanismo de confirmación expresa de la decisión de efectuar la transacción, a efectos de que el silencio del consumidor no sea considerado como consentimiento. Cuando otras normas exijan que el contrato, o cualquier información relacionada con el mismo, conste por escrito, y como tal sea conservado, este requisito se entenderá satisfecho si el contrato, o la información, está contenida en un soporte electrónico, siempre que se cumplan las condiciones siguientes: Que la información que contenga sea accesible para su ulterior consulta; Que la información intercambiada sea conservada con el formato en que se hubiera generado, enviado o recibido o con algún formato respecto del cual sea demostrable que reproduce
con
exactitud
la
información
generada,
enviada
o
recibida;
y
Que se conserve, de haber alguno, todo dato que permita determinar el origen y el destino del mensaje, y la fecha y la hora en que fue enviado o recibido.
No será obligatorio conservar aquellos datos que tengan por única finalidad facilitar el envío o recepción del mensaje. Toda persona podrá recurrir a los servicios de un tercero para observar el requisito mencionado en el inciso c) siempre que se cumplan las condiciones enunciadas en los apartados 1), 2) y 3) del mismo inciso.
Los actos jurídicos para cuya validez o efectos otras normas exijan instrumento público, formas sacramentales, o la intervención de órganos jurisdiccionales o autoridades públicas, registros públicos o escribanos, se regirán por su legislación específica. También se exceptúan de las disposiciones de la presente Ley los actos referidos al Derecho de Familia y a las sucesiones.
75
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Artículo 8º. Prueba de los contratos celebrados por vía electrónica Serán aplicables a la prueba de la celebración de contratos por vía electrónica la normativa vigente sobre firma digital y, supletoriamente, las demás normas vigentes sobre la prueba de los contratos. El soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio al menos como principio de prueba por escrito.
Artículo 9º. Obligaciones previas al inicio del procedimiento de contratación Información exigida a) Además de otros requisitos en materia de información contemplados en la presente ley, el emisor está obligado a informar al destinatario de manera clara, comprensible e inequívoca, y antes de que el destinatario efectúe un pedido o acepte una oferta por vía electrónica, lo siguiente: b) Los diferentes pasos técnicos que deben darse para celebrar el contrato; Si el emisor, o un prestador de servicios en lugar del emisor, va a archivar el documento electrónico en que se formalice el contrato una vez celebrado, y si éste va a ser accesible; c) Los medios técnicos para identificar y corregir los errores de introducción de datos antes de adquirir la cosa o el servicio; d) Los idiomas ofrecidos para la celebración del contrato. El emisor no tendrá la obligación de suministrar la información señalada en el apartado anterior cuando ambos contratantes así lo acuerden y ninguno de ellos tenga la calidad de consumidor o usuario final y el contrato se haya celebrado exclusivamente por intercambio de correo electrónico u otra comunicación electrónica equivalente, siempre que estos medios no sean utilizados con el exclusivo propósito de eludir el cumplimiento de tal obligación. Cuando la comunicación comercial y el pedido o aceptación de la oferta se efectúen con la intervención del operador de un mercado virtual, las obligaciones a cargo del emisor que se establecen en el inciso a) precedente recaerán exclusivamente sobre el operador del mercado virtual. Las ofertas o propuestas de contratación contenidas en comunicaciones comerciales realizadas por vía electrónica serán válidas durante el período que 76
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
fije el oferente o, en su defecto, durante todo el tiempo que permanezcan accesibles a los destinatarios. e) Con carácter previo al inicio del procedimiento de contratación, el prestador de servicios deberá poner a disposición del destinatario las condiciones generales a que deba sujetarse el contrato, de manera que éstas puedan ser almacenadas y reproducidas por el destinatario. Artículo 10. Obligaciones del emisor en el procedimiento de celebración del contrato
Cuando el destinatario de una oferta efectúe su pedido, o acepte una oferta, por vía electrónica, se aplicarán los principios siguientes: El emisor debe acusar recibo del pedido, o de la aceptación, del destinatario sin demora indebida y por vía electrónica. Se considerará que se han recibido el pedido, o la aceptación, y el acuse de recibo cuando las partes a las que se dirigen puedan tener acceso a los mismos, almacenarlos y reproducirlos. El emisor pondrá a disposición del destinatario del servicio los medios técnicos adecuados, eficaces y accesibles que le permitan identificar y corregir los errores de introducción
de datos,
antes
de realizar el
pedido o
aceptar
la oferta.
Estas condiciones podrán ser suprimidas por acuerdo de las partes, siempre que ninguna de ellas revista el carácter de consumidor o usuario final. Cuando la comunicación comercial y el pedido o aceptación de la oferta se efectúen con la intervención del operador de un mercado virtual, las obligaciones del emisor recaerán exclusivamente sobre el operador del mercado virtual.
Artículo 11. Responsabilidad de los operadores de redes y proveedores de acceso. Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio que consista en transmitir por una red de telecomunicaciones datos facilitados por el prestatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado o seleccionado los datos o seleccionado a los destinatarios de dichos datos. Los prestadores del servicio aquí mencionado no están obligados a supervisar la información trasmitida por su intermedio ni almacenada por 77
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
ellos. Tampoco deberán realizar búsquedas activas de hechos o circunstancias que puedan indicar actividades ilícitas. No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alojen los datos, que tiene lugar durante su transmisión. Las actividades de transmisión y provisión de acceso a que se refiere el apartado anterior incluyen el almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente necesario para ello.
Artículo 12. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios. Los prestadores de servicios que transmitan por una red de telecomunicaciones datos facilitados por un prestatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios, los almacenen en sus sistemas de forma automática, provisional y temporal, no están obligados a supervisar la información almacenada por ellos ni deberán realizar búsquedas activas de hechos o circunstancias que puedan indicar actividades ilícitas. Asimismo, no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si: No modifican la información, Permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el prestatario cuya información se solicita, Respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información, No interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información, y Retiran la información que hayan almacenado, o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de: (1) que ha sido retirada del lugar de la red en que se encontraba inicialmente, (2) que se ha imposibilitado el acceso a ella, (3) o que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella.
78
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Artículo 13. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos.
Los prestadores de un servicio consistente en alojar datos proporcionados por el prestatario de este servicio no están obligados a supervisar la información almacenada por ellos ni realizar búsquedas activas de hechos o circunstancias que puedan indicar actividades ilícitas. Asimismo, no serán responsables por la información almacenada a petición del prestatario, siempre que:
No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el inciso a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retiro o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución. Sin perjuicio de lo establecido en el párrafo precedente, el prestador de servicios podrá, a su exclusivo juicio, retirar la información cuestionada o hacer imposible el acceso a ella, en base a una presentación formal efectuada al prestador de servicios por el presunto damnificado, alegando la ilicitud.
Artículo 14. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda.
Los prestadores de servicios que faciliten enlaces a otros contenidos, o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos, no están obligados a supervisar la información facilitada por su intermedio ni realizar búsquedas activas de hechos o circunstancias que puedan indicar actividades ilícitas. Asimismo no serán responsables por la información a la que dirijan a los prestatarios de sus servicios, siempre que:
79
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
No tengan conocimiento efectivo de que la actividad, o la información, a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente. Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el inciso a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retiro o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución. Sin perjuicio de lo establecido en el párrafo precedente, el prestador de servicios podrá, a su exclusivo juicio, retirar la información cuestionada o hacer imposible el acceso a ella, en base a una presentación formal efectuada al prestador de servicios por el presunto damnificado, alegando la ilicitud.
Artículo 15. Autoridad de Aplicación El Ministerio de Economía y Producción de la Nación será Autoridad de Aplicación de la presente ley. La reglamentación establecerá su organización, procedimientos para su actuación y facultades.
Artículo 16. Comuníquese al Poder Ejecutivo.
Jorge M. Capitanich.
FUNDAMENTOS
Señor Presidente:
El comercio electrónico de Argentina alcanzaría en el periodo 2006 un volumen de 2.200 millones de pesos, lo que representaría un incremento de un 60% de sus transacciones online respecto a 2005. El incremento de éste último respecto a 2004 se estimó en aproximadamente 41 por ciento. El aumento de usuarios de Internet en Argentina, acompañó la tendencia en adquirir por la red todo tipo de artículos o servicios. Argentina tenía a fines de 2005 unos 10 millones de usuarios de Internet y 80
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
podrá cerrar 2006 con más de 13 millones. Estos datos confirman que uno de los nuevos impulsores del comercio electrónico son los compradores del interior del país, que encuentran en el comercio electrónico la manera de acceder a aquellos productos que no tienen en sus pueblos y ciudades.
Las ventas online y el comercio electrónico sigue creciendo y los jóvenes son los principales usuarios de este medio para comprar todo tipo de novedades apuntadas principalmente a la tecnología y el entretenimiento, según la consultora Prince & Cooke. Sin embargo, la proporción de los internautas que hacen compras por la red se mantiene entre 12 por ciento y 14 por ciento, lo que en definitiva supone una masa de compradores virtuales de entre 1,2 y 1,5 millones de personas. La compra promedio del mercado local pasó de 50 pesos hace tres años a 150 pesos este año, empujada especialmente por los artículos electrodomésticos y electrónicos, pero se pronostica que el valor promedio de las operaciones llegará a ubicarse este año por encima de 300 pesos.
Según otra encuesta realizada el 35,25 % de las personas que compra por Internet lo hace por "la comodidad que ofrecen las diferentes variantes de comercio electrónico que existen". Un 29,51 % señaló que lo hace porque es allí donde encuentra los mejores precios y un 23,77 % dijo que usa este medio debido a que le facilita encontrar productos que tienen particularidades que hacen que sea complejo encontrarlos de otro modo. Asimismo, el 36,88 % de los encuestados aseguró que encontró el producto que luego adquirió por recomendación de un conocido, mientras que un 34,38 % lo hizo a través de un buscador, lo que muestra que en más del 70 % de los casos la influencia de la publicidad fue baja. Otro dato relevante es que el 97,33 % de las personas que compraron por Internet manifestó que volvería hacerlo, lo cual "resulta consistente con las motivaciones para usar este medio, referidas a la comodidad y al buen precio".
El comercio electrónico es un hecho, aunque no haya legislación reguladora sobre el tema.
En general, el comercio electrónico involucra a cualquier transacción comercial 81
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
efectuada a través de medios electrónicos tales como fax, teléfonos e internet. En el último de los casos se puede distinguir al que se lleva a cabo íntegramente por vía electrónica con la entrega de bienes intangibles; del otro, en el cual los bienes y servicios se entregan a través de canales normales de distribución física.
El principal tema en esta cuestión es determinar claramente los aspectos que hacen a la contratación, toda vez no se trata de una nueva modalidad contractual, sino de contratos calificados por razón del medio en el que se realiza. El contrato electrónico ya ha sido de algún modo reconocido en el artículo 33 de la Ley de Defensa del Consumidor, la 25.240,
al
establecer
sobre
la
venta
desarrollada
por
medios
postales,
telecomunicaciones, electrónicos o similar. En este sentido, hay contrato cuando varias personas se ponen de acuerdo sobre una declaración de voluntad común, destinada a reglar sus derechos y por lo tanto no deben estar ausentes el consentimiento, el objeto y la causa; según la doctrina tradicional. El consentimiento debe ser exteriorizado y manifiesto (artículos 913 y 1144 del Código Civil). El consentimiento se forma de la oferta y la aceptación. La oferta y la aceptación- entre otras- son válidas si se actúa con disernimiento, intención y libertad y si es recepticia. Entonces, lo que en este proceso se modifica por los avances tecnológicos son las formas de manifestación de la oferta y la aceptación.
Como regla general el contrato electrónico será un contrato a distancia por lo cual se tiene que aceptar características de tiempo y espacios jurídicos distintos de los empíricos ya que, por ejemplo, la contratación electrónico puede realizarse desde una computadora en viaje.
El objetivo fundamental del presente proyecto de ley es establecer la garantía de seguridad jurídica y dar confianza a los consumidores, mediante un marco claro y de carácter general para determinados aspectos jurídicos del comercio electrónico en el mercado argentino. Con ese criterio, se ha preferido seguir en la medida que resulta adecuada a los lineamientos generales de nuestro ordenamiento jurídico, antecedentes internacionales tales como la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de la Unión Europea; la ley 34 del 11 de julio de 2002 del Reino de España y la
82
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Ley Modelo sobre Comercio Electrónico de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).
El espíritu subyacente en el presente proyecto de ley es la defensa del consumidor y por lo que se procura en la contratación electrónica la provisión de la información necesaria y suficiente como para aplicar el principio del consentimiento informado. Esta obligación se proyecta en dos momentos diversos que se sitúan antes (artículo 9°) y después de la celebración del contrato (artículo 10). Se establece que la información estará disponible de manera clara y fácilmente identificada por parte del consumidor, respecto de los trámites que se han de seguir para celebrar el contrato, si el documento en que se formalice el contrato va a ser archivado por el prestador de servicios y si el mismo será accesible y los medios técnicos a disposición del consumidor para, en su caso, corregir los errores sufrido en la introducción de datos. También se incluirá información acerca de las circunstancias de la contratación tales como el idioma y plazos de validez de ofertas. La información posterior a la celebración del contrato se centra en la confirmación de la recepción de la aceptación y confirmación de la contratación efectuada. En este punto se establece una diferenciación respecto a la perfección del contrato en el momento en el que se tenga acceso a la comunicación (artículo 10)
Para mayor claridad en la interpretación de la norma, se ha considerado conveniente incluir en el articulo 2º un conjunto de definiciones que incorporan a la legislación nacional términos de uso internacional.
En el artículo 3º se enfoca sobre el ámbito de aplicación de la presente ley que se extiende a las personas que formulen ofertas, a las partes que celebren contratos por vía electrónica así como a los prestadores de servicios establecidos en la República Argentina y a los servicios prestados por ellos. También se comprende a los servicios prestados por prestadores extranjeros a través de un establecimiento permanente situado en la República Argentina y a los prestadores de servicios que, sin contar con tal establecimiento, dirijan sus servicios específicamente al territorio argentino.
En consonancia con los textos legales que se han tomado como fuente, la presente ley 83
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
acoge el principio de la libre prestación de servicios de la sociedad de la información. La adopción de este principio no implica ninguna alteración a las regulaciones y controles aplicados a los servicios de telecomunicaciones, radiodifusión televisiva y radiofónica y otros servicios públicos para cuya prestación otras normas exigen autorización
previa.
Tal como lo expresa la directiva europea arriba citada, si bien las comunicaciones comerciales son esenciales para financiar los servicios de la sociedad de la información y el desarrollo de una amplia variedad de servicios nuevos y gratuitos, en interés de los consumidores y en beneficio de la lealtad de las transacciones, las comunicaciones comerciales -incluidas las rebajas, ofertas y concursos o juegos promocionales- deben respetar determinadas obligaciones en cuanto a su transparencia.
Los códigos de conducta, según lo incorporado en el artículo 6°, constituyen un instrumento privilegiado para determinar las reglas aplicables a la comunicación comercial. Por ello se insta a la Autoridad de Aplicación a fomentar su sanción por parte de asociaciones y colegios profesionales.
Se han incluido en los artículos 8º y 9º normas claras sobre la validez y efectos de los contratos celebrados por vía electrónica, así como sobre la prueba de los mismos.
Para dar adecuada protección a las partes intervinientes en los contratos que se celebren por vía electrónica se han establecido diversas obligaciones que debe cumplir el prestador de servicios en los artículos 12 a 14. Con el mismo sentido, el artículo 10 incluye disposiciones sobre el procedimiento mismo con el que se celebrará el contrato.
Con el fin de evitar la incertidumbre sobre responsabilidades de los prestadores de servicios que pudiera afectar el desarrollo del comercio electrónico, y los costos adicionales que las incertidumbres traen aparejados, la presente ley sigue el principio consagrado por las normas citadas al establecer exenciones de responsabilidad a favor de los prestadores de servicios de la información cuando su intervención en la formulación de ofertas comerciales, en la celebración de los contratos de comercio electrónico y en la conservación de las pruebas de los mismos, su actividad se haya 84
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
limitado al proceso técnico de explotar y facilitar el acceso a una red de comunicación mediante la cual la información facilitada por terceros es transmitida o almacenada temporalmente, con el fin de hacer que la transmisión sea más eficiente. Esa actividad es de naturaleza meramente técnica, automática y pasiva, lo que implica que el prestador de servicios de la sociedad de la información no tiene conocimiento ni control de la información transmitida o almacenada.
Un prestador de servicios puede beneficiarse de tales exenciones cuando no tenga participación alguna en el contenido de los datos transmitidos y no los modifique, salvo las manipulaciones de carácter técnico que tienen lugar en el transcurso de la transmisión, puesto que no alteran la integridad de los datos contenidos en la misma.
Las limitaciones de la responsabilidad de los prestadores de servicios intermediarios establecida en la presente ley no afecta a la posibilidad de entablar acciones tendientes a lograr el cese de la transmisión y alojamiento de los datos cuestionados.
Para beneficiarse de una limitación de responsabilidad, el prestador de un servicio de la sociedad de la información consistente en el almacenamiento de datos habrá de actuar con prontitud para retirar los datos de que se trate o impedir el acceso a ellos cuando así lo ordene una autoridad administrativa o judicial competente. La norma designa como Autoridad de Aplicación al Ministerio de Economía y Producción de la Nación, en el artículo 15.
Por todo lo expuesto, y teniendo en cuenta la importancia que reviste este proyecto de ley es que propicio la sanción del presente.
Jorge M. Capitanich.
85
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Anexo2: Entrevista Pablo Alvis – Gerente de Sistemas Leshop 25-Abr-08. Duración 40’ Mariano Pettinato asesor de cuenta de LeShop, también comento la marcada deferencia que hay entre los grupos de edades 20-40 años y mayores de 40 años en introducir el número de la tarjeta de crédito. Mientras q los 1reos confían en el sistema, los 2dos se encuentran más reticentes x desconfianza en la seguridad que puede brindar internet
Luego de una presentación del trabajo que se estaba llevando adelante con la tesina. Se formularon en términos generales las preguntas o lineamientos a seguir en la entrevista. Una vez finalizada dicha presentación Pablo Alvis comenzó con su relato de la seguridad en LeShop.
Como 1er dato del 2000 hasta ahora no tuvimos ningún ataque, obviamente siempre hay alguien tratando de hacer algo, viendo que sistema operativo tenés, y demás si virus y todo ese tipo de cosas. (pero ataque tratando de obtener los datos de las tarjetas de crédito de los usuario no).no de ese tipo de ataques no tuvimos. De hecho nuestro caso es un poco particular, porque si bien trabajamos con tarjeta de crédito, no tenemos contacto directo. En nuestro caso como es la implementación de la tarjeta de crédito, nosotros hacemos una homologación con visa, AMEX y Master Card a través de las consultoras esas consultoras viene hacen un análisis de la arquitectura q posee el local. Te dan las instrucciones de correcciones que tenes q hacer por seguridad se hace toda esa implementación pero aun así, la tarjeta de crédito en el caso del E-Commerce x lo menos a partir q introducimos la homologación no te permiten guardar los datos de la tarjeta de crédito, a diferencia de lo que pasa en USA con Amazon que no tenes q cargar la tarjeta cada vez q realizas una compra, ya la tiene almacenada en la base de datos. Acá no se puede guardar la tarjeta en la base de datos, acá en el check out el cliente tipea el número de la tarjeta, código de seguridad, fecha de vencimiento y ese número de tarjeta pasa x un túnel lo q sea va x una línea X 25 a las tarjetas, las tarjetas me responden aprobado no aprobado y me dan un numero de transacción, cada vez q realizan una compra tiene q tipear la tarjeta. Acá lo único q me permiten guardar son los 4 últimos dígitos de la tarjeta. Solo para tener una referencia. En nuestro caso el tema de 86
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
que alguien entre en la cuenta de un usuario ajeno no tiene consecuencias de ningún tipo porque el dato de la tarjeta no está en el profile del cliente y en definitiva no puede hacer ningún daño puede como máximo tener el historial de compras de ese cliente. No es una situación, tampoco ha pasado. Pero no tenemos ahí ningún punto crítico
Otro tema es hackers q quieren entrar al sistema. Con respecto a eso tratamos de estar al día con las políticas normales de estar cuidando de q no haya ninguna intromisión y adentro tenemos una estructura donde solo se permiten los puertos habilitados en lo posible la política es cerrar absolutamente todo por supuesto y después el tema de las autorizaciones internas de las maquinas, es difícil depender de la buena voluntad de los usuarios ósea x desconocimiento o lo q fuere. La política es nadie puede instalar nada, las pc están instaladas todas iguales, todo el mundo tiene permiso para utilizar diversos programas guardar sus archivos y nada más. No se puede cambiar ni una coma de la configuración de la maquina.
Después otro tema con respecto al aspecto técnico, el comercio es a través de https, puerto seguro SSL, nosotros usamos Verisign a través de Certisur q es la filial local, la encriptación es de 128 q es lo q te exigen más o menos y después otro tema nosotros tenemos arreglo con el Banco Río y el Banco Francés. De modo q el cliente puede pagar a través de home banking entonces en ese caso tenemos un link directo donde el cliente se dirige y paga a través de Banco Francés, hay un paso previo donde de hecho entra al home banking de su cuenta, realiza el pago y termina el check out en nuestro sitio, digamos eso lo tenemos integrado. Tanto en la implementación del Banco Francés y el Banco Río nosotros nos adaptamos a las soluciones q ellos tienen no hay una estándar cada uno tiene su receta. Ahí también se realizan los certificados etc. (Con respecto a la Inversión, hay alguna evaluación que ustedes hacen del retorno q hay con respecto a la inversión en seguridad) Si es importante el momento en el q el cliente tipea la tarjeta de crédito tener las cosas bien hechas. Con los clientes si bien hay, un tema con meter la tarjeta de crédito, cada vez menos pero hay una barrera todavía, en realidad se fijan en cosas q tienen q estar. Por ejemplo el candadito en el Explorer, el candadito significa encriptación, encriptación es un proceso q corre tanto en el servidor como en el cliente. Nosotros por ejemplo en el check out teníamos que ya no lo tenemos mas pero teníamos frames que 87
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
teníamos donde decía plazos de entregas otras opciones y un frame estaba dedicado a la parte de pago. Nosotros ecriptábamos únicamente el frame de tarjeta de crédito. Porque lo otro era decir encriptar imágenes y demás q lo único q hacia era consumir tiempo pero al encriptar solo el frame no aparecía el candadito y eso era una barrera muy importante para el cliente por mas que le digas q miren las propiedades del frame ese q estaba el certificado. Ahora hicimos para que aparezca el candadito en la frame principal (y una vez q pusieron el candadito en la frame principal las ventas aumentaron?). No, no es que aumentaron pero hubo menos consultas. (No es q a medida que aumentaron la seguridad aumentaron las ventas)NO. El cliente lo único q ve es el candadito q son detalles y nada más y después tiene su propia percepción de lo q es meter una tarjeta en Internet. Que le parezca arriesgadísimo q es un poco paradójico, le parece muy arriesgado meter la tarjeta en Internet q supuestamente está vigilado por Visa, quién audita la gente q tiene instalado pero se la da al mozo sin ningún problema q va y vuelve a los 20’. Pero el pánico es me van a robar el número de tarjeta en Internet. y además está el tema de q el cliente no sabe todo lo q hay adentro en caso de q le roben la tarjeta de crédito porque simplemente desconoce la compra. De esos casos si tuvimos tarjetas robadas o hasta documentos falsos tuvimos de gente q hacia el pedido con un número de tarjeta robado con un DNI falsificado (nosotros pedimos el documento en la 1er compra con esa tarjeta de crédito x normas de auditoría). Tuvimos fraude de de ese tipo se compro con una tarjeta robada se presentó un DNI falsificado x las circunstancias de la compra el lugar de la entrega fue levantando sospechas se actuó hasta con la policía, en esos casos el dueño de la tarjeta llama a visa dice q eso no lo compro lo desconoce, no le cargan la compra y den definitiva el que termina perdiendo es el comercio. Evaluación de costo beneficio? No hay mucho costo beneficio q hacer porque como son normas que exigen las mismas entidades emisoras, la pregunta es quiero tener tarjeta de crédito o no, no hay un tema de voy a tener tarjeta de crédito sin partidas de certificados, no es una opción. Lo mismo con los bancos, hay q hacerlo como lo dicen los bancos.
Evaluación de riesgos y vulnerabilidades y amenazas Se siguen más o menos los estándares de seguridad de computación de equipos. Ahí lo que tenes es el tema de las pc de usuarios y el tema de los virus mas q dañino es molesto 88
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
porque la maquina deja de andar y entonces ahí si tenés un costo beneficio por que decidís cerrar la maquina y el costo beneficio es te ahorras un montón de tiempo de horas hombre en cuestión de mantenimiento de las maquinas. La decisión es tengo 60 puestos de trabajo los cierro todos y me ahorro mantenimiento en ese caso si hay costo beneficio en los otros no hay mucha opción. A partir de la lectura de casos, en USA muchas veces hay ataques al sistema introduciéndose en él lo q hace caer el servidor y las conexiones generándose tiempo muerto en el cual se deja de vender. Como es el caso en LeShop
Las mediciones no las tenemos asociadas a problemas de seguridad por que te repito no tuvimos ataques y demás si lo tenemos en el caso de q algún servidor nuestro se cae no anda el sistema durante una cantidad de minutos y eso es una pérdida de ventas q tiene un valor y se puede estimar perfectamente.
El aumento de seguridad no tuvo un impacto real en el aumento de ventas.
La gente no tiene conocimiento técnico, tiene sus prejuicios fundados o no y ven 2 o 3 detalles q los hacen confiar o no. Existe algún seguimiento de clientes o encuesta para ver cómo está la confianza de los clientes. Hicimos una encuesta hace un tiempo, y hay detalles q si q es difícil de medir q dio confianza es mas allá de q no cambio nada la seguridad en tarjetas cuando implementamos lo de banco Río y banco Francés aunque no fuesen clientes de ellos ver los logos de los bancos en el check out de una empresa como la nuestra q no tiene un gran branding da confianza. Esos 2 logos más allá de q nos trajeron ventas x clientes de los bancos
si dieron confianza.
Lo mismo pasa con los productos, cuando empezamos a poner publicidad de proveedores y mandar folletería de ellos la gente asocia una marca con la otra y se generan vínculos de confianza.
Cómo es el porcentaje de los medios de pago? Es una proporción 60-40. 60 % tarjetas y bancos y un 40% en efectivo.
89
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
A la hora de implementar la seguridad allá por el 2000, se hablo de una prioridad como política corporativa y a partir de ahí se fue bajando línea? Nosotros originalmente en el 2000 el sistema lo trajimos de suiza. Trajeron todo el sistema tal cual estaba ahí, se hizo el back end y a partir de ahí con los años nos fuimos separando del sistema desarrollando el propio sistema y ahora ya no tiene nada q ver in sistema con otro.
Con tarjetas la implementación es el cliente pone los datos de la tarjeta en el site eso no se ve y pasa directamente en un game boy de pagos q es uno de los proveedor de software de las tarjetas de ese gambe boy de pago tenemos líneas X-25 directas con visa con AMEX y master, son líneas punto a punto directas con las terminales de las tarjetas y viaja directamente ahi. La transacción no viaja por internet viaja x una línea punto a punto con la tarjeta de crédito (las pasarelas de pago).
Las ventas anuales para el 2007 fueron de 25 millones de pesos y esperando un aumento del 40%. Poseen unas 10000 transacciones mensuales. Competidores: disco virtual y coto digital (líder en ventas). Sus operaciones son distintas, tienen la posibilidad de hacer el picking en los locales físicos no pueden garantizar el stock q ves en el site sea el stock de la sucursal donde se realiza el pedido nos garantizamos q tenemos el stock q aparece en el site.
90
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Anexo 3: Encuesta acerca del uso y conocimiento del Comercio Electrónico Objetivo: poder observar la percepción que los consumidores poseen de este canal de ventas. 1) ¿Posee Internet? SI 100%
NO -
2) ¿Tipo de conexión? ADSL 26%
MODEM 10%
CABLE 64%
3) ¿Realizo alguna compra por internet? SI 96%
NO 4%
¿En los últimos 6 meses, que cantidad? 10 12.7%
4) ¿Cual es su gasto promedio de las compras por internet? 0-250 68%
250-500 21.4%
500-1000 4%
>1000 6.5%
5) ¿Que productos compra habitualmente por este canal? Electrónicos 32.8%
Libros 14.6%
Tickets 20.9%
Supermercado 20%
Otros 11.7%
6) ¿Que medio de pago utiliza en el comercio electrónico? Tarjeta de Crédito 59.7%
Efectivo 26.1%
Trasnf. Bancaria 9.1%
Otro 5%
7) ¿Se le presento algún inconveniente? SI 4%
NO 96%
91
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
¿Cuál? El pedido trajo mayores artículos de los solicitados, el pedido fue de libros únicamente, y trajo otras cosas por lo que tuve que ir a la aduana a pagar impuestos. 8) ¿Confía en las medidas de seguridad del comercio electrónico? SI 74.4%
NO 25.5%
¿Que medios conoce? Nombre los sistemas de seguridad electrónica conocidos. Secure Socket Layer, Firewall, Antivirus y Encriptación de datos.
9) Ordene los siguientes beneficios del comercio electrónico según su importancia. (1-6) 1
2
3
4
Precios Posibilidad de comprar en otro país Comodidad Rapidez
5 Mayor Oferta
6 Seguridad
10) ¿Conoce los sitios MercadoLibre y Leshop? ML: SI 100%
NO -
LS: SI 70.2%
NO 29.7%
Para Mercado Libre. 11) ¿Con qué frecuencia lo utiliza? ¿Qué cantidad de compras ha realizado en los últimos 6 meses? 1 51%
2 25.5%
3 10.6%
4 6.3%
>5 4.2%
12) ¿Qué resultados obtuvo? No volvería a utilizarlo 2%
Aceptable 58.5%
Muy Satisfactorios 40.4%
92
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
13) ¿Cómo evalúa las medidas de seguridad del sitio? Nada Seguro 10.6%
Seguro 74.4%
Muy Seguro 14.8%
14) ¿Confía en el sistema de ranking de usuarios utilizado por ML? SI 76.5%
NO 23.4%
Para LeShop. 15) ¿Con qué frecuencia lo utiliza? ¿Qué cantidad de compras ha realizado en los últimos 6 meses? 1 -
2 -
3 4%
4 2%
>5 2%
16) ¿Qué resultados obtuvo? No volvería a utilizarlo -
Aceptable 44.6%
Muy Satisfactorios 55.3%
17) ¿Cómo evalúa las medidas de seguridad del sitio? Nada Seguro -
Seguro 36.1%
Muy Seguro 63.8%
93
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Anexo 4: Pantallas de una transacción en LeShop. 1- Formas de ingresar a LeShop.
94
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
2- Selección de Productos.
95
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
3- Check out. Clickeando en el candadito se pueden observar los datos de la autoridad certificadora y el certificado digital.
96
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
4- Check out. Certificado Digital
97
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
5- Check out. Sellos de las autoridades certificadoras.
98
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
6- Resumen del pedido
99
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
7- Confirmación del pedido.
100
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
Anexo 5: Pantallas de una transacción en MercadoLibre.
1- Página de inicio ML
Alianzas de ML
101
a y su impacto – claves para el éxito”
“Impacto de la seguridad en el E-Commerce Aspectos calves para el éxito”
2- Formas de Pago Disponible en la compra
102