SEGURIDAD EN EL COMERCIO ELECTRÓNICO
TIPOS DE AMENAZAS
los usuarios y propietarios de estos servicios son victimas de cierto tipos de amenazas o ataques.
*eavesdropping, este termino pudiera significar literalmente en el ámbito telefónico , como escuchar una conversación sin autorización , para nosotros significa interceptar y leer mensajes para una tienda virtual o un servicio de comercio electrónico.
*masquerading o enmascarado, se refiere al envió o recepción de mensajes utilizando la identidad de una tienda virtual o un servicio de comercio electrónico.
*message tampering, se utiliza para interceptar y modificar mensajes que son dirigidos a una tienda virtual o a un servicio de comercio electrónico.
*replaying, es la utilización de mensajes previamente enviados para engañar y obtener privilegios de una tienda virtual o un servicio de comercio electrónico.
*infiltration, se refiere al abuso de una tienda virtual o un servicio de comercio electrónico para ejecutar programas maliciosos o hostiles en la maquina del comprador.
*traffic analysis, se refiere al observar el trafico de y hacia una tienda virtual o un servicio de comercio electrónico.
*denial-of-service, se refiere a impedir a una tienda virtual o servicio de comercio electrónico acceder a algunos de sus recursos.
al realizar un análisis de los riesgos que implica el comercio electrónico, se debe definir una política de seguridad donde se especifique cual debe ser la información a asegurar.
*Autenticacion, la cual asegura que la identidad de la tienda virtual o servicio de comercio electrónico sea genuino.
*Control de acceso, la cual asegura que solo la tienda virtual o el servicio de comercio electrónico pueda tener acceso a recursos protegidos.
*Confidencialidad de la información, la cual asegura que solo personas autorizadas puedan leer los datos protegidos. también es llamado privacidad.
*Integridad de la información, la cual asegura que los datos no van a ser alterados por personas no autorizadas.
*Nonrepudiation, la cual asegura que la tienda virtual no puede ser impedida a realizar acciones o modificaciones sobre la información.
*manismo de encriptacion. protegen la confidencialidad de la información utilizando una clave disponible solo para una determinada persona o grupo.
*mecanismo de firma digital. es la misma que la firma electrónica y es el motivo para muchas dudas al respecto. la firma digital no es nada mas que la utilización de un sistema de encriptacion asimétrico en el cual existen dos "llaves" que consiste en una clave privada y una clave publica. La primera solo es conocida por el particular, de manera que solo utilizando su clave publica el mensaje enviado por el interesado podrá ser desencriptado y por tanto legible.
*mecanismo de control de acceso. están relacionados con la autenticacion. Cada tienda virtual o servicio de comercio electrónico tiene asignado una serie de permisos de acceso, cada acceso aun recurso protegido es mediado por una computadora la cual es llamada monitor de referencia y para poder utilizar estos permisos de accesos, este tiene que ser atendidos primero.
*mecanismos de integridad de la información. protegen la información de modificaciones no autorizadas, pudiendo utilizar diversos métodos como firmas digitales o algún otro.
*mecanismos de intercambio de autenticacion. esta basada en mecanismos de encriptacion entendibles entre las partes involucradas. en todo sistema de pagos, los participantes del sistema deben mostrar que son los que dicen ser.
Comentarios
Publicar un comentario