análisis de la problemática de los medios de pago en el
TRANSCRIPT
ANÁLISIS DE LA PROBLEMÁTICA DE LOS MEDIOS DE PAGO EN EL COMERCIO
ELECTRÓNICO APLICADO AL CASO COLOMBIANO.
JAVIER MAURICIO PARDO
SANTIAGO RODRÍGUEZ OLIVOS
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2005
ANÁLISIS DE LA PROBLEMÁTICA DE LOS MEDIOS DE PAGO EN EL COMERCIO
ELECTRÓNICO APLICADO AL CASO COLOMBIANO.
JAVIER MAURICIO PARDO
SANTIAGO RODRÍGUEZ OLIVOS
Proyecto de Investigación presentado para
optar al título de Ingeniero de Sistemas
Director
Ing. Juan Carlos Cárdenas
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2005
NOTA DE ACEPTACIÓN
________________________________________
________________________________________
________________________________________
________________________________________
_______________________________________
Director del Proyecto
_____________________________________
Jurado
____________________________________
Jurado
III
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
RECTOR MAGNIFICO: R.P. GERARDO REMOLINA VARGAS S.J. DECANO ACADÉMICO: ING. FRANCISCO JAVIER REBOLLEDO MUÑOZ DECANO DEL MEDIO UNIVERSITARIO: R.P. ANTONIO JOSÉ SARMIENTO. DIRECTOR DE CARRERA: ING. HILDA CRISTINA CHAPARRO LÓPEZ DIRECTOR DE DEPARTAMENTO ING.: ING. GERMÁN ALBERTO CHAVARRO FLORES DIRECTOR DE PROYECTO: ING. JUAN CARLOS CÁRDENAS ROMERO
IV
ARTÍCULO 23 DE LA RESOLUCIÓN NO. 01 DE JUNIO DE 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en los
proyectos de grado.
Solo velará porque no se publique nada contrario al dogma y la moral católica porque no
contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el anhelo
de buscar la verdad y la justicia”
V
Puede ser un héroe tanto el que triunfa como el que sucumbe, pero jamás el que abandona el
combate.
Thomas Carlyle
VI
AGRADECIMIENTOS
Los autores Javier Mauricio Pardo y Santiago Rodríguez agradecen especialmente a:
• Dios, quien nos iluminó, guió y acompañó durante el desarrollo de nuestra investigación.
• Ing. Juan Carlos Cárdenas, quien con sus conocimientos nos orientó para cumplir los
objetivos de nuestro proyecto y a nuestro crecimiento profesional con la experiencia en la
materia.
• Empresas que nos ayudaron en la obtención de información importante para nuestra
investigación como: Almacenes Éxito, Carulla Vivero, Suramericana de Seguros, VISA, La
tienda de las rosas y TODO1.
• Personas que nos respondieron amablemente a nuestras entrevistas como: Ing. Luís
Ignacio Suárez de VISA, Francy Roncancio de Carulla Vivero, Álvaro García Arroyave de
Suramericana de Seguros, Ximena Tello de la Tienda de las Rosas, Juan Carlos Rentería
de E-pagos TODO1, Catalina Jiménez Estrada de Almacenes Éxito y el Profesor Héctor
Orlando Huyo.
• Familia, Amigos y Profesores de la comunidad universitaria por sus aportes y apoyo
durante la investigación
VII
TABLA DE CONTENIDO
Pág.
INTRODUCCIÓN..................................................................................................................10
JUSTIFICACIÓN ..................................................................................................................11
OBJETIVOS.........................................................................................................................12
OBJETIVO GENERAL............................................................................................................ 12
OBJETIVOS ESPECÍFICOS.................................................................................................... 12
RESUMEN EJECUTIVO .........................................................................................................13
CAPÍTULO 1. MARCO TEÓRICO............................................................................................16
1.1 ANTECEDENTES: ...................................................................................................... 16
1.2 ARQUITECTURA DEL COMERCIO ELECTRÓNICO:........................................... 19
1.3 CERTIFICADOS DIGITALES:................................................................................... 22
1.4 CERTICÁMARAS : ..................................................................................................... 28
1.5 CERTIFICADOS DIGITALES EN CERTICÁMARA: .............................................. 28
1.6 SECURE SOCKET LAYER (SSL):............................................................................. 29
1.7 SECURE ELECTRONIC TRANSACTIONS (SET) : ................................................. 31
1.8 FRAUDES: ................................................................................................................... 35
1.9 PROCESO DE PAGO SUGERIDO POR VERISIGN :................................................ 38
1.10 PROCESO DE PAGO E CHECK : .............................................................................. 42
1.11 PROCESO QUICK COMMERCE PRO : ..................................................................... 45
1.12 ¿CÓMO CREAR UN SITIO WEB PARA COMERCIO ELECTRÓNICO SUGERIDO
POR VERISIGN? ..................................................................................................................... 47
1.13 PROCESO DE PAGO TODO1: ................................................................................... 48
1.14 E-CARD:....................................................................................................................... 51
1.15 BONOS:........................................................................................................................ 51
1.16 VERIFIED BY VISA (3d Secure) : ................................................................................ 52
1.17 PROCESO PORTAL – ENTIDADES FINANCIERAS: ............................................. 54
1.18 PRODUCTOS PARA EL MANEJO DEL COMERCIO ELECTRÓNICO: ............... 57
1.19 ASPECTO LEGAL:...................................................................................................... 59
CAPÍTULO 2. RECOLECCIÓN DE INFORMACIÓN...................................................................61
VIII
2.1 PREPARACIÓN DE LAS ENTREVISTAS:............................................................... 61
2.2 PREPARACIÓN DE LAS ENCUESTAS:................................................................... 62
2.3 ESTADÍSTICAS: ......................................................................................................... 64
CAPÍTULO 3. ANÁLISIS DE LA INFORMACIÓN OBTENIDA.....................................................65
3.1 ANÁLISIS DE LAS ENTREVISTAS: ........................................................................ 65
3.2 ANÁLISIS DE ENCUESTAS...................................................................................... 70
3.3 ANÁLISIS DE ESTADÍSTICAS:................................................................................ 72
CAPÍTULO 4 FORMULACIÓN DEL PROBLEMA Y APORTE FINAL ..............................................75
4.1 FORMULACIÓN FINAL DEL PROBLEMA:............................................................ 75
4.2 COMPROBAR HIPÓTESIS CON PROBLEMAS ENCONTRADOS: ...................... 76
4.3 APORTE FINAL: ......................................................................................................... 78
CONCLUSIONES..................................................................................................................82
BIBLIOGRAFIA ....................................................................................................................86
GLOSARIO..........................................................................................................................88
ANEXOS .............................................................................................................................91
IX
INTRODUCCIÓN
En este trabajo se muestra una investigación realizada a la situación actual del comercio
electrónico en Colombia, enfocado hacia el tipo de comercio electrónico negocio-consumidor (B2C
por sus iniciales en inglés). Esta investigación busca principalmente estudiar y analizar los
problemas por los cuales aún este tipo de comercio electrónico no se ha desarrollado
ampliamente en nuestro país, como sí lo ha hecho en otros países del mundo. Para esto se
planteó una hipótesis inicial, según la cual el principal problema del comercio electrónico, en la
rama B2C, se encuentra en los medios de pago que se han implementado para este tipo de
comercio electrónico.
La investigación comenzó con la búsqueda de información que ayudará a sustentar la hipótesis
inicial planteada: se realizaron entrevistas, encuestas y búsquedas de información para
comprender en su totalidad la situación actual del comercio electrónico en nuestro país y
compararla con el desarrollo del mismo en otros países.
Después de la obtención de información y su respectivo análisis, se pudo establecer que la
hipótesis de investigación no abarcaba en su totalidad los aspectos que componían el problema,
por lo cual para las etapas siguientes, se tuvieron en cuenta los aspectos que se consideraron
relevantes para la formulación de nuevas soluciones.
Por último, se propusieron alternativas y recomendaciones a los problemas encontrados durante
el proceso de investigación, además se elaboraron algunos productos para exponer la aplicación
de las soluciones encontradas.
10
JUSTIFICACIÓN
Partiendo de la base de que el comercio electrónico se divide en dos ramas principales, Negocio a
Negocio (Business to Business, de aquí en adelante B2B) y Negocio a consumidor (Business to
Consumer, de aquí en adelante B2C), se ve que en el área de B2C se puede encontrar un buen
tema de investigación, dado que tiene un gran campo de acción y no se encuentra
completamente desarrollado, sobre todo en Latinoamérica.
El comercio electrónico en la rama B2C, se ha convertido en un medio muy particular de adquirir
productos de manera “sencilla” y rápida. Este tipo de comercio se ha ido desarrollando de manera
eficiente en países europeos y en los Estados Unidos en donde se tiene un gran mercado por este
medio. Pero en Colombia no se ha masificado el uso de este tipo de comercio para realizar
transacciones comerciales. Por razones a investigar, los diferentes intentos de implementar
servicios de comercio electrónico han sido muy poco exitosos. Ahí radica la importancia de la
investigación: saber porqué no se ha desarrollado e implantado satisfactoriamente este modelo
en Colombia
Para esto se parte de la hipótesis según la cual el principal problema del comercio
electrónico, en la rama B2C, se encuentra en los medios de pago que se han
implementado en este sistema basado en la investigación previa realizada para la propuesta
de éste proyecto.
11
OBJETIVOS
OBJETIVO GENERAL
Analizar cómo se presenta la relación entre el vendedor y el consumidor (B2C) en el comercio
electrónico Colombiano, especialmente en el momento de realizar el pago, para así aclarar los
diferentes problemas y dificultades que ha tenido este aspecto y finalmente concluir cuál o cuáles
han sido las razones que han impedido su correcto desempeño en nuestro país.
OBJETIVOS ESPECÍFICOS
• Analizar el desarrollo del comercio electrónico en los países avanzados en esta materia
hasta llegar a Colombia.
• Manifestar la función que han desempeñado empresas representativas dentro del
comercio electrónico tanto en Colombia como en otros países.
• Estudiar las diferentes propuestas existentes para medios y procesos de pago en comercio
electrónico y su desempeño actual en la red.
• Investigar que soluciones se han planteado de comercio electrónico en Colombia para
encontrar sus ventajas, desventajas y posibles mejoras.
• Establecer la influencia del marco legal en el desarrollo del comercio electrónico en
Colombia.
• Analizar las causas y condiciones por las cuales en Colombia no se ha podido implementar
de una manera correcta y popular los medios de pago electrónicos.
• Establecer un documento tipo manual, en el cual se haga un análisis de los aspectos
principales de los medios de pago del comercio electrónico en Colombia, donde se
indiquen observaciones y recomendaciones que debe tener una persona o entidad para
implementar un tipo de servicio relacionado con este tema en el país.
12
RESUMEN EJECUTIVO
En este Proyecto de investigación, el objetivo general a cumplir es el de analizar el desempeño
del comercio electrónico B2C en el país, como se había enunciado antes, especialmente en el
momento de realizar el pago. Para llevar a cabo este objetivo se propusieron y realizaron un
conjunto de actividades buscando encontrar los problemas actuales del comercio electrónico en
Colombia y se plantearon soluciones que fueran abordables por esta investigación.
En el primer objetivo, se analizaron los diferentes tipos de comercio electrónico existentes en el
mundo, enfatizando en el área B2C dado que es a la cual se orienta la investigación. Este objetivo
se ve claramente plasmado en el desarrollo de los antecedentes y en el artículo del estado del
arte, donde se muestra el desarrollo que ha tenido el comercio electrónico en el mundo.
En el segundo objetivo, se analizaron portales que trabajan de manera exitosa
internacionalmente, analizando sus procesos de venta y medios de pago. Llegando a Colombia,
donde se obtuvieron entrevistas de los principales portales colombianos (ej: Éxito, Carulla, Tienda
de las rosas, etc.), para entender su funcionamiento. Además se realizó una entrevista a VISA en
Colombia, de donde se consiguió información importante acerca del proceso entre portales y
bancos.
En el tercer objetivo se investigaron los medios y procesos de pago más utilizados para realizar
transacciones en línea. Se encontró que el principal medio utilizado en la red es la tarjeta de
crédito (de aquí en adelante TC) y se notó que lo que varía es el proceso de soporte para la
aceptación y verificación de este medio de pago. Existen diversos sistemas para soportar el
proceso de pago (PayFlow de Verisign, Authorize.net, Verified By VISA, etc.), los cuales marcan la
diferencia en seguridad y facilidad en el proceso de compra en un sitio. Además de esto se
investigaron otras opciones como débitos automáticos (Ej: TODO1 en Colombia), e-cards y otros
menos relevantes como pago contra entrega y consignaciones. Sin embargo, hay que tener en
cuenta que estos dos últimos no son realmente pagos en línea. También se investigó el servicio y
la certificación nacional que presta Certicámaras para las transacciones en el comercio electrónico
colombiano. Como avance en este objetivo encontramos que principalmente el problema
13
planteado no se encuentra directamente en el medio de pago que se utiliza, sino que existen
detalles adicionales en el proceso completo que pueden mejorar el desempeño del comercio
electrónico.
Para el cuarto objetivo específico, como se enunció antes, se trabajó con los principales portales
de Colombia para entender los procesos que utilizan para vender en Internet. Estos procesos no
son muy diferentes a los que se plantean en portales internacionales, pero se encontraron ciertos
aspectos que pueden ser mejorados y tenidos en cuenta para prestar un excelente servicio e
incentivar el desarrollo del comercio electrónico en Colombia. Uno de los principales problemas es
que en Colombia los pagos completamente en línea son escasos, por ejemplo la mayoría de
transacciones con tarjeta de crédito se realizan en batch. Los problemas y soluciones propuestas
se pueden ver en el desarrollo de este documento y en el manual producto de esta investigación.
En el quinto objetivo específico, investigamos los aspectos legales que han de tenerse en cuenta
a la hora de querer realizar comercio electrónico en Colombia. Encontramos principalmente la ley
527 de 1999, la cual busca establecer unas pautas mínimas para la transmisión de los mensajes
de datos, una reglamentación sobre el transporte de mercancías compradas por medio del
comercio electrónico, unas normas sobre los certificados y firmas digitales y establecer las
funciones de las entidades certificadoras para este medio.
En el sexto objetivo específico, se analizaron las principales causas por las cuales en Colombia, el
comercio electrónico no ha podido tener un desarrollo mejor al actual, se encontraron razones de
diferentes tipos, no solo de proceso en los medios de pago, sino también en los procesos de
venta en general. Aparte de esto encontramos problemas tecnológicos, económicos y culturales,
los cuales enunciamos, pero se abarca principalmente los que iban de acuerdo con el alcance de
nuestra investigación.
Para finalizar, en el séptimo objetivo específico se realizó un manual, como se había propuesto
inicialmente, con la finalidad de que quien lo use tenga el conocimiento para poder implantar un
portal de comercio electrónico, con características particulares para que se acople mejor al
mercado colombiano.
14
Cabe notar que como actividad adicional, se realizó un portal de muestra no funcional, que busca
mostrar las características adicionales que se enuncian en el manual y que se sugieren para la
implantación de un portal de comercio electrónico colombiano.
15
CAPÍTULO 1. MARCO TEÓRICO
En el marco teórico se muestra al principio los antecedentes sobre el comercio electrónico,
seguido de la arquitectura que se debe realizar para el buen desarrollo de éste, las tecnologías
que intervienen, los procesos, productos, una sección sobre fraudes, para finalizar con el aspecto
legal que abarca el comercio electrónico.
1.1 ANTECEDENTES:
Cuando inicialmente se habló de comercio electrónico se pensó en una nueva posibilidad de
negocios por medio de Internet, que podrían revolucionar por completo los diferentes mercados
alrededor del mundo, facilitando los intercambios de productos y servicios entre vendedores y
compradores que antes no podían hacerlo. Durante su desarrollo algunos países tomaron la
delantera en esta materia, en especial Estados Unidos y los países europeos, lo cual estimuló
mucho el mercado en algunos sectores.
El comercio electrónico tiene dos ramas principales: B2C (Business – to – Consumer, Negocios a
consumidor) y B2B (Business – to – Business, Negocios a Negocios). Si se busca una definición de
estos tipos de comercio electrónico, se encontrará: “En las transacciones B2C, las transacciones
en línea se realizan entre negociantes y consumidores individuales, como cuando las aerolíneas
venden pasajes a compradores. En las relaciones B2B, los negociantes realizan negocios con
otros negociantes, como por ejemplo cuando se compran partes, gasolina, o servicios para
atender un negocio”I. Existen otros tipos de comercio electrónico como B2E, G2C, P2P, pero por
alcance y objetivo de nuestra investigación nos vamos a especializar en el tipo B2C.
El comercio electrónico es mucho más que un portal Web, es un conjunto de muchas más
aplicaciones, dentro de las que se puede incluir: comprar en línea, comprar acciones, encontrar
un trabajo, intercambiar productos, etc. Para llevar a cabo este proceso se requiere la interacción
I TURBAM, Efrain. Electronic Commerce, a Managerial Perspective. PEARSON EDUCATION, 2002,. P 14. (Consulta: Agosto de 2004)
16
de diferentes aspectos tanto humanos como tecnológicos. Una implementación exitosa de
comercio electrónico depende de 5 grandes áreas: gente, ley pública, Marketing y publicidad,
socios y servicios de soporteII. Aparte de lo anterior, el sistema como tal requiere una
Infraestructura que identifica la funcionalidad de los componentes de hardware y software donde
describe la administración y operación de todo el sistemaIII. La infraestructura debe ser
compartida por varias aplicaciones para dar un servicio confiable y eficiente a los clientes.
Servidores Web, servidores transaccionales y servidores de bases de datos son los componentes
típicos de software utilizados en comercio electrónico, mientras que los componentes de
hardware incluyen piezas estándar como servidores, redes, hardware especializado como
servidores proxy, sistemas de balanceo de carga, firewalls, dispositivos de ciframiento entre
otrosIV .
Sobre el aspecto de la situación actual, el comercio electrónico en nuestro país aún se encuentra
en desarrollo. Si se mira en el tiempo, el primer portal de comercio electrónico en Colombia fue
lanzado por EPM (Plaza Orbital en 1998) y desde ese momento hasta ahora no ha sido mucho el
crecimiento; algunos portales como el de almacenes Éxito (virtualexito.com), el de ETB
(alafija.com), Carulla y otros pocos másV. Algunos han implementado buenas medidas de
seguridad para poder aumentar la cantidad de servicios prestados, pero al parecer esto no ha
sido suficiente para lograr el crecimiento deseado.
A nivel latinoamericano, se ven inconvenientes no sólo de cultura y metodología, sino también de
tecnología. Una de las principales barreras del comercio electrónico en nuestro mercado se
encuentra en la falta de acceso a los medios que debe tener el mercado objetivo. Además por el
lado de los vendedores, falta que las pequeñas y medianas empresas (PYMES) accedan a este
tipo de tecnologías; principalmente por la necesidad que tienen de acceder a Internet con un
gran ancho de banda (superior a 256k) a un precio bajo, por lo cual se ve que sólo las empresas
II Ibid, p 20 (Consulta: Agosto de 2004) III Menascé, Daniel. Scaling for E-Business. Prentice Hall, 2000, p 35. (Consulta: Agosto de 2004) IV Ibid, p 39. (Consulta: Agosto de 2004) V Autores Varios, Colombia: E-commerce retailing hampered by lack of payments system. ebusinessforum.com, Abril de 2002, Disponible en Internet: [http://www.ebusinessforum.com/index.asp?layout=rich_story&channelid=4&categoryid=28&doc_id=5634] (Consulta: Agosto de 2004)
17
de tamaño considerable pueden acceder a este tipo de servicios sin afectar fuertemente sus
gastosVI.
Dentro de la legislación del comercio electrónico, existe una ley en Colombia, la 527 de 1999VII,
que trata sobre este tema. Esta ley contempla varios aspectos tales como: El envío de mensajes
de datos entre las partes, comercio electrónico en el transporte de mercancías, certificados
digitales, firmas digitales, entidades de certificación y las obligaciones de la Superintendencia de
Industria y Comercio para el desarrollo adecuado de este tipo de comercio. Esta ley busca
proteger tanto al cliente como al vendedor, proveedor o prestador de servicios dentro del
comercio electrónico. También se establecen las normas que deben cumplir las entidades que
otorgan los certificados digitales: en Colombia, las otorga Certicámaras de manera abierta de
acuerdo con ciertos requerimientos para personas naturales y jurídicas.
Otro aspecto que contempla esta ley, es sobre la validez de la transacción a través de los
mensajes de datos, donde se debe tener un soporte para consultar origen, destino de los
mensajes y el contenido de dicho mensaje.
Esta ley también contempla que para tener soporte jurídico en Colombia en caso de fraude por
alguna de las partes, el certificado digital obtenido por el portal para su identificación, debe ser
expedido en el país por alguna entidad que preste el servicio de expedición de certificados
digitales, o por una entidad de certificación extranjera, siempre y cuando dicho certificado sea
reconocido por una entidad de certificación autorizada colombiana que garantice en la misma
forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así
como su validez y vigencia.
VI HILBERT, Martin. Building and information society: a Latin American and Caribbean perspective. ECLAC, United Nations, 2003,. P 27 (Consulta: Agosto de 2004). VII Ley 527 de 1999 de la República de Colombia, Disponible en Internet: [www.secretariasenado.gov.co/leyes/L0527_99.htm] (Consulta: Agosto de 2004).
18
1.2 ARQUITECTURA DEL COMERCIO ELECTRÓNICO:
El comercio electrónico debe utilizar una arquitectura multinivel por su alto grado de
transacciones, en donde intervienen los clientes Web, los servidores Web, los servidores de
aplicaciones, donde se encuentran las reglas del negocio, y el servidor de base de datos. Esta
arquitectura se da con el objetivo de que haya mayor rendimiento, escalabilidad, robustez, y
facilidad de mantenimiento en las aplicaciones. A continuación se muestra la figura de la
arquitectura multinivel o multicapa.
Figura 1. Arquitectura Comercio Electrónico VIII
1.2.1 Capa de datos (Bases de datos):
Tener una base de datos es supremamente importante, aquí se guardará la información de
productos, clientes y sus transacciones. Ésta deberá cumplir con un buen nivel de diseño en sus
tablas (Modelo entidad — relación) y con una normalización adecuada (se sugiere 3er nivel).
Los motores de bases de datos a utilizar dependen mucho del tamaño del negocio y de los
recursos que se dispongan para trabajar. Si posee un gran negocio recomendamos trabajar con
Oracle en una versión reciente ó con Microsoft SQLServer. Para un sistema mediano puede
utilizar MySql que se comunica fácilmente con otras aplicaciones y es freeware. No se recomienda
utilizar Microsoft Access o este tipo de motores pequeños, porque la información que se maneja
es muy importante y además se requiere una alta disponibilidad, para lo cual estos pequeños
motores no fueron diseñados.
VIII Romero John Jairo, Arquitecturas Multinivel – Negocios en Intertnet, (Consulta Mayo de 2005).
19
Para manejar una buena capa de datos, es necesario que se tengan en cuenta conceptos como
replicación de la información en diferentes bases, puesto que al depender de una única base de
datos, se corre el riesgo de perder la información en algún momento.
Otro aspecto importante, es que para un manejo exitoso de las bases de datos, estas deben
manejar muy bien la seguridad en la información que guardan, tener bien establecidos un manejo
de roles de acceso para mantener la integridad de la información.
1.2.2 CAPA DE APLICACIONES (Servidores de aplicaciones):
Los servidores de aplicaciones son necesarios para que administren el manejo de las bases de
datos y las actividades de los clientes en el sistema. Son los encargados del manejo de sesiones,
transacciones, seguridad y procedimientos del negocio.
La importancia principal de los servidores de aplicaciones es que en ellos se encuentran las
“reglas del negocio”, esto quiere decir que aquí es donde realmente se modelan los procesos de
ventas e interacción con el cliente. Para esta parte, se utilizan desarrollos en .NET o en J2EE
generalmente, los cuales son diseñados específicamente para cumplir las necesidades de un
negocio particular, pero como en el caso anterior, existen herramientas ya diseñadas para
manejar esta capa del modelo como por ejemplo: Microsoft Commerce Server, IBM WebSphere.
En el caso del comercio electrónico, es necesario que en esta capa se maneje lo referente a la
seguridad del proceso, las aplicaciones que se utilizan dentro de estos servidores deben
garantizar métodos de validación y seguridad con los clientes (Ej: Certificados digitales de
Verisign utilizando SSLIX para la comunicación entre cliente y negocio). Además se debe manejar
el procesador de pagos para las transacciones que realice el cliente (revisar sección de medios y
procesadores de pago), para realizar la comunicación respectiva con el banco.
1.2.3 CAPA WEB (Servidores WEB):
Los servidores Web son los encargados de realizar la primera conexión con el cliente y de
mostrarle la información referente a los proceso que este manejando. En esta capa se maneja
IX SSL (Secure Socket Layer) Definición sección 1.6 del marco teórico
20
toda la parte de la información que se muestra al cliente y la manera de hacerlo. Desde esta capa
se invocan todos los servicios de aplicación y se presentan al cliente, la tecnología que se maneja
en esta parte es en cierta forma “sencilla” porque no requiere niveles muy altos de programación
para realizar una buena presentación. Las tecnologías que se utilizan generalmente son:
• http (HiperText Transfer Protocol): Es el protocolo utilizado para la comunicación desde el
navegador del cliente a la capa WEB.
• HTML (HiperText Major Language): Utilizado para la construcción básica de paginas y
formularios WEB, es el lenguaje básico de construcción en Internet.
• XML (eXtreme Major Language): Es un modelo extendido para mostrar información mejor
estructurada, no es un reemplazo de HTML, pero si complementa bien en algunos casos.
• Servlets y JSPs (Java Server Pages): Los servlets son buenos para realizar peticiones
complejas al servidor de aplicación, claro que se complementan mejor cuando se manejan
con JSPs para la parte de presentación al cliente.
• ASP y ASPx (Microsoft): Al igual que los JSP Son páginas con código incluido para realizar
peticiones al servidor de aplicaciones y presentar la información.
1.2.4 CLIENTES WEB (Web Navegador):
En los clientes Web se despliegan todas las interfaces de usuario, muestra la información y
captura las peticiones del cliente. Por ser solo capa de presentación tiene una lógica simple, pero
esto no quiere decir que su diseño sea fácil, sobre todo para el comercio electrónico donde la
manera de presentar los productos y la imagen del negocio al cliente, pueden influir en su
decisión de compra.
Para esta parte de presentación se utilizan las siguientes tecnologías que se ejecutan y muestran
en la maquina del cliente:
• Applets (Java): son pequeñas aplicaciones que se ejecutan en la maquina del cliente, para esto
el cliente debe tener instalado unos plugins en su computador.
• Flash (Macromedia): muy utilizadas actualmente, las animaciones realizadas en flash pueden
darle una muy buena presentación a sus productos y realizar peticiones al servidor.
21
• JavaScript: Pequeñas porciones de código sencillo que soportan la mayoría de navegadores
(navegadores), no deben ser utilizadas para la lógica del negocio, sino mejor para la presentación
y validación de datos.
1.3 CERTIFICADOS DIGITALESX:
Ante la posibilidad de fraudes y suplantaciones invalidas que pueden existir en Internet durante
los procesos que requiere el comercio electrónico, se ve la necesidad de implementar métodos
que aseguren a los clientes contra fraudes a la hora de realizar sus pagos a los respectivos
vendedores, por esto hemos incluido el tema de certificados digitales en la investigación dado que
es un tema de vital importancia a conocer para los objetivos del proyecto.
1.3.1 QUÉ ES UN CERTIFICADO DIGITAL:
Los certificados digitales son creados buscando cubrir las necesidades de seguridad existentes en
el manejo de información en un medio de transmisión no seguro como lo es Internet. Las
necesidades (según ingenieroseninformática.org) que deben cumplir son las siguientesXI:
• confidencialidad: la información sólo está disponible para usuarios autorizados.
• integridad: permite asegurar que no se ha adulterado la información.
• accesibilidad: permite asegurar quién puede acceder a la información y cuándo.
• autenticidad: permite asegurar el origen y el destino de la información.
• no rechazo: permite asegurar que una entidad que envía o recibe no puede negar ante
terceros su envío o recepción.
Los certificados digitales básicamente sirven para asegurar el envío de información entre dos
participantes. Principalmente se basan en dos principios: autenticidad e integridad. La
autenticidad consta en que el receptor conoce y está seguro de que la información recibida X SACRISTÁN, Ruben. La ley de firma digital . Disponible en internet [http://www.ucm.es/info/cyberlaw/actual/1/con01-01-01.htm]. (Consulta: Noviembre 2004). XI Autores Varios. Tutorial de firma electrónica. Ingenieros en informática .org, 2000-2005. Disponible en Internet [http://ingenieroseninformatica.org/recursos/tutoriales/firmaelectronica/index.php]. (Consulta: Noviembre 2004).
22
pertenece al emisor, mientras que la integridad le garantiza al receptor que el mensaje no tuvo
ningún tipo de cambio desde el envío del emisor.
Los usos más comunes de los certificados digitales son el ciframiento de datos y las firmas
digitales. En ambos se utilizan llaves publicas y privadasXII, la diferencia es que el ciframiento
busca proteger un paquete de información para enviarlo por un canal seguro (canal seguro se
refiere que la información al estar cifrada puede viajar por un canal publico, pero al ser ilegible,
se dice que está en un canal seguro), mientras que la firma digital busca garantizar que la
información que se envía es aprobada completamente por su emisor, (es similar a una firma en
un papel y es utilizada por ejemplo, para garantizar que el contenido de un correo electrónico fue
efectivamente, escrito por quien dice ser).
Para obtener un certificado digital, este debe ser solicitado a una entidad certificadora (Ej.
Verisign), en Colombia para este fin existe Certicámaras, la cual es la entidad abierta Colombiana
para certificados digitales (Entidades abiertas son las entidades certificadoras reconocidas por la
ley, que pueden otorgar certificados digitales tanto a personas naturales como jurídicas)., existen
otras también en Colombia como la Aeronáutica, Instituto Colombiano de codificación, Banco de
la República y ATH, claro que estas últimas son menos reconocidas para estos fines por ser
entidades cerradas (Entidades cerradas son las entidades certificadoras no reconocidas, que
utilizan generalmente sus certificados para comunicaciones entre sus organizaciones).
1.3.2 ¿CÓMO FUNCIONA UN CERTIFICADO DIGITAL?:
Un certificado digital contiene un número de identificación de la entidad certificadora, el nit del
titular del certificado, en el caso de Certicámaras, el nombre del titular, periodo de validez del
certificado, código del certificado, la firma digital de la entidad que emitió el certificado y los
límites de uso del certificado y de la responsabilidad del proveedor de servicios de certificación.
La idea de esto es dejar completamente claro quien es la persona que emite la información y a su
vez, cual es la entidad que lo certifica.
XII Ver glosario para definición de llaves publicas y privadas
23
El funcionamiento físico de los certificados digitales, se hace por medio de algoritmos de cifrado
de llaves públicas y privadas. Su uso depende de la finalidad que tenga el certificado digital. Si el
certificado es usado para cifrar un mensaje entre un emisor y un receptor, generalmente sigue el
siguiente modelo:
Emisor
Entidad Certificadora
Proceso cifrado con llavesy certificados
Destinatario
PUBLICA PRIVADA
Encripta Desencripta
Cert Digital
PUBLICA
PUBLICA
2.PUBLICA
Cert DigitalPUBLICA
3.
1.
4. Valida
Cert DigitalPUBLICA
INFO ABC #$&&@@Info5. 6.
INFO ABCInfo
Info encriptada
Emisor
Entidad Certificadora
Proceso cifrado con llavesy certificados
Destinatario
PUBLICA PRIVADA
Encripta Desencripta
Cert Digital
PUBLICA
PUBLICA
2.PUBLICA
Cert DigitalPUBLICA
3.
1.
4. Valida
Cert DigitalPUBLICA
INFO ABC #$&&@@Info5. 6.
INFO ABCInfo
Info encriptada
Figura 2. Proceso de cifradoXIII
Los pasos del modelo son los siguientes:
1. El destinatario del mensaje crea dos llaves una privada y una pública respectiva, (a veces
este paso es realizado también por la entidad certificadora).
2. La entidad certificadora recibe la llave pública y entrega un certificado al destinatario para
que le garantice a quienes le envían mensajes que es su llave pública y no de un
suplantador.
3. El destinatario envía al emisor su llave pública con el certificado.
4. El emisor revisa el certificado con la entidad certificadora y valida así la llave pública.
24
XIII SACRISTÁN, Ruben. La ley de firma digital . Disponible en internet [http://www.ucm.es/info/cyberlaw/actual/1/con01-01-01.htm]. (Consulta: Noviembre 2004).
5. Ya con la seguridad de la llave, el emisor cifra su información con la llave pública y la
envía.
6. El mensaje lo descifra el destinatario con su llave privada con la seguridad de que nadie
pudo abrirlo.
Ahora en el caso de que el certificado se utilice como firma para garantizar que un paquete de
información fue aprobado por el emisor y que no ha sido modificado desde entonces, el proceso
generalmente sigue el siguiente modelo:
Destinatario
Entidad Certificadora
Proceso Firma con llavesy certificados
Emisor
Verifica FirmaPUBLICA PRIVADA
Firma
Cert Digital
PUBLICA
PUBLICA
2.PUBLICA
Cert DigitalPUBLICA
3.
1.
4. Valida
Cert DigitalPUBLICA
INFO ABC #$&&@@Info6. 5.
INFO ABCInfo
Info Firmada
Figura 3. Proceso de FirmaXIV.
Los pasos del modelo son los siguientes:
1. El emisor crea dos llaves una privada y una pública respectiva, (a veces este paso es
realizado también por la entidad certificadora).
2. Envía la llave pública a la entidad certificadora para que esta le entregue un certificado
para enviar a los destinatarios.
25
XIV SACRISTÁN, Ruben. La ley de firma digital . Disponible en internet [http://www.ucm.es/info/cyberlaw/actual/1/con01-01-01.htm]. (Consulta: Noviembre 2004).
3. El emisor envía la llave pública y certificado para su destinatario.
4. El destinatario verifica la llave publica para la firma del emisor
5. El emisor envía su mensaje firmado con la llave privada.
6. El receptor comprueba la autenticidad de la llave pública con la entidad certificadora y
luego con esta, comprueba la firma del mensaje del emisor.
Cuando se instala el certificado en la máquina, se puede establecer una conexión segura
mediante el protocolo https con el servidor, que garantiza a los usuarios que la información que
se intercambia entre el cliente y el servidor se encuentra cifrada, y por lo tanto no es legible para
terceros.
Los certificados digitales deben cumplir con los estándares internacionales X.509XV. Cada
certificado provee la llave pública del usuario y es firmado con la llave privada de la entidad
certificadora.
El certificado digital expedido por Certicámara tiene la estructura de un certificado X.509 V3,
donde el formato incluye los siguientes elementosXVI:
• Versión: La versión del formato del certificado, por defecto es la versión 1. Aunque
dependiendo de la situación en particular podría variar hasta la versión 3.
• Número serial: Es un valor entero, único dentro de la CA emisora.
• Identificador de algoritmo de firma: Identificador del algoritmo usado para firmar el
certificado. .
• Nombre del emisor: Es el nombre X.500 de la CA que creó y firmó el certificado.
• Período de validez: Este periodo consiste de dos fechas, la primera es la fecha de
expedición del certificado digital y la segunda es la fecha hasta cuando el certificado
digital es válido.
• Nombre de asunto: Hace referencia al nombre del usuario propietario del certificado.
• Información de la llave pública del sujeto: Este campo contiene la llave pública del sujeto
junto con un identificador del algoritmo para el cual esta llave será usada, junto también,
con algunos parámetros asociados. XV Autores Varios, Certificados digitales, disponible en Internet [www.certicamara.com] (Consulta Enero 2005) XVI Autores Varios, Certificados digitales, disponible en Internet [www.certicamara.com] (Consulta Enero 2005)
26
• Identificador único del emisor: Campo usado para identificar a la CA emisora en el evento
de que el nombre X.509 haya sido reutilizado por diferentes entidades.
• Extensiones: un conjunto de uno o más campos de extensiones. Cada extensión consiste
de:
o Un identificador de extensión.
o Un indicador de criticidad.
o Un valor de extensión.
• Firma: Contiene el código hash de los otros campos, cifrado con la llave privada de la CA.
Este campo incluye el identificador del algoritmo de firma.
Figura 4. Certificado Digital XVII
XVII Imagen tomada de Microsoft Internet Explorer 6.0, sección de Certificados Digitales.
27
1.4 CERTICÁMARAS XVIII:
Esta entidad se autodefine como: “Entidad de certificación digital creada por las Cámaras de
Comercio de Bogotá, Medellín, Cali, Bucaramanga, Aburrá Sur, Cúcuta y la Confederación
Colombiana de Cámaras de Comercio, Confecámaras, con el fin de promover el comercio
electrónico y brindar una mayor seguridad en las transacciones que se realizan vía Internet”.
Tiene varios objetivos entre los que se encuentran:
• Brindar alta seguridad a las transacciones que se realizan por medios electrónicos a través
de la emisión de certificados digitales.
• Proporcionar soluciones a las empresas en materia de implementación y utilización de
nuevas tecnologías de seguridad.
• Contribuir al desarrollo y crecimiento del comercio electrónico en el país, con estándares
de seguridad que permitan el crecimiento de los negocios nacionales e internacionales.
• Los productos que ofrece Certicámara son:
• Certificado de Representación de Empresa: Permite a quien tenga este certificado,
efectuar transacciones en la red, con los poderes propios de un representante legal. Esta
persona puede comprometer a la empresa.
• Certificado de Pertenencia a Empresa: Permite al tenedor de estos certificados efectuar
transacciones propias al cargo que ocupa dentro de su empresa.
• Certificado de Servidor Seguro: Garantiza que un sitio Web pertenece legalmente a una
empresa que tiene dicho certificado.
1.5 CERTIFICADOS DIGITALES EN CERTICÁMARAXIX:
Certicámara solo emite certificados de alta seguridad donde se verifican la identificación física del
solicitante y los datos que son aportados por el solicitante, todo en función de los procedimientos
de registro que se encuentran en la declaración de prácticas de certificación.
XVIII AUTORES VARIOS, Certicamara, Certicamara 2003, Disponible en Internet: [www.certicamara.com] XIX AUTORES VARIOS, Certificados digitales, Certicamara 2003, Disponible en Internet: [www.certicamara.com]
28
Los certificados digitales emitidos por Certicámara tienen validez a nivel nacional, en otra
instancia tendrá validez en los países donde se alcance un acuerdo de reconocimiento mutuo y
armonización de los procedimientos.
El certificado digital se guarda en una tarjeta inteligente, donde contiene la identificación del
usuario y su capacidad de firma, que es la llave privada, la cual solo puede ser accedida por su
propietario cuando introduzca su número de identificación personal (PIN). La utilización de
tarjetas inteligentes agrega un nivel alto de seguridad a la información que se almacenan en
ellas, en particular a la llave privada del propietario.
1.6 SECURE SOCKET LAYER (SSL)XX:
Ante la posibilidad de fraudesXXI y suplantaciones invalidas que pueden existir en Internet durante
los procesos que requiere el comercio electrónico, se ve la necesidad de implementar métodos
que aseguren a los clientes contra fraudes a la hora de realizar sus pagos a los respectivos
vendedores, por esto hemos incluido el tema de SSL en la investigación porque es un tema de
vital importancia a conocer para ampliar los conocimientos de seguridad en el comercio
electrónico.
1.6.1 DEFINICIÓN XXII:
SSL es un protocolo creado por Netscape a mediados de los años noventa, con el fin de
garantizar de modo seguro la transmisión de datos por Internet. SSL utiliza un sistema de
codificación a través de dos llaves: llave pública y llave privada.
1.6.2 UTILIDAD DE SSL:
Para que se pueda establecer una comunicación con SSL, es necesario que el servidor, ya sea de
un comerciante o de cualquier otra empresa, tenga instalado un certificado digital, con el fin de
garantizar que se establecerá una comunicación con alguien legitimo. XX ALVAREZ, Gonzalo, SSL, 1997-2000, Disponible en Internet en [http://www.iec.csic.es/criptonomicon/comercio/ssl.html] XXI Ver Sección Fraudes 1.8. XXII Ibid, p 29 (Consulta: Abril de 2005).
29
Así mismo SSL proporciona seguridad en el proceso de comunicación mediante la autenticación
del servidor y la codificación de mensajes para que solamente el receptor del mismo pueda
entenderlo y no un tercero.
1.6.3 SSL EN EL COMERCIO ELECTRÓNICO:
Dentro del comercio electrónico SSL juega un papel muy importante, puesto que es el encargado
de trasmitir de forma segura los datos tanto del cliente como del servidor por la red, garantizando
así la integridad, la autenticidad y el bloqueo de información a terceros. Sin embargo no realiza
otras operaciones que son de gran importancia en una transacción de comercio electrónico entre
las que se encuentran la de no verificar, por ejemplo, la validez del número de tarjeta de crédito
recibido del cliente.
1.6.4 PROCESO SSL:
A continuación se muestra el proceso de funcionamiento del protocolo SSL entre un cliente y un
servidor:
Proceso SSL
Cliente Servidor
1 - 3 - 6 - 7 - 9
2 - 4 - 5 - 8
Figura 5. Proceso SSL XXIII
30
XXIII ARIAS Jorge, Memorias de la asignatura Sistemas Distribuidos, Pontificia Universidad Javeriana 2003 [www.certicamara.com]
1. El cliente hace una petición para establecer un canal de seguridad.
2. El servidor envía su llave pública en un certificado digital y un resumen.
3. El cliente valida la autenticidad del certificado. Con la llave pública de la entidad
certificadora descifra el resumen y genera su propio resumen. Compara los
resúmenes: si son iguales confía en la comunicación, sino rompe la comunicación.
4. El cliente genera una llave simétrica, una llave de sesión.
5. Cifra la llave de sesión con la llave pública del servidor y se guarda en un sobre digital.
6. El cliente envía sobre digital.
7. El servidor abre el sobre digital con su llave privada, descifra el mensaje.
8. El servidor envía mensajes cifradas con la llave de sesión.
9. El cliente descifra los mensajes con la llave se sesión.
1.7 SECURE ELECTRONIC TRANSACTIONS (SET) XXIV:
Este tema es importante para la investigación, teniendo en cuenta que esta tecnología se utiliza
para realizar transacciones en el comercio electrónico. Fue desarrollada con la intención de
garantizar que las transacciones realizadas fueran seguras. Esto permite identificar lo que se ha
trabajado en el tema de seguridad en el comercio electrónico, para mostrar esta solución
planteada, de modo que ayude en mostrar una posible solución sobre el proceso de realizar
transacciones.
Esta tecnología está implementada para realizar el comercio electrónico utilizando tarjetas de
crédito. Su uso esta basado en la utilización de certificados digitales para asegurar la
identificación de cada una de las partes que intervienen en el proceso de transacción. Lo que
busca es que los datos se mantengan confidenciales e íntegros y se pueda verificar la
autenticidad de los mismos.
Estas son algunas características de SET:
XXIV AUTORES VARIOS, Protocolo SET, Enero 2005, Disponible en Internet: [http://www.htmlweb.net/seguridad/ssl/ssl_8.html
31
• Es un estándar abierto y multiplataforma, en el que se especifican protocolos, formatos de
mensaje, certificados, entre otras. No hay limitación con respecto al lenguaje de
programación, sistema operativo o tipo de máquina usados.
• Su principal objetivo es la transferencia segura de números de tarjetas de crédito.
• Utiliza codificación estándar ASN.1 y DER.
• Es independiente del medio de comunicación utilizado. Fue diseñado para su uso en
Internet, pero permite la conexión a través de cualquier tipo de red siempre que se
definan las interfaces adecuadas. Además, el protocolo SET se puede transportar
directamente sobre TCP (Transmission Control Protocol), correo electrónico basado en
SMTP (Simple Mail Transfer Protocol) o MIME y HTTP en páginas Web.
• Utiliza estándares criptográficos reconocidos: PKCS, Certificados X.509, entre otros.
• El formato de los mensajes usados, está basado en el estándar PKCS-7, al igual que SSL y
S-MIME.
• Se basa en el uso de la criptografía de llave pública.
• Realiza una autenticación de todas las partes participantes en la transacción usando
certificados digitales.
El protocolo SET incluye varias entidades que en SSL no participan, estas son:
• El Procesador de Pagos, que es el medio a través de Internet donde se comunican el
comerciante y las redes bancarias.
• El banco que ha emitido la tarjeta de crédito.
• El banco del comerciante donde tiene la cuenta.
• La empresa propietaria de la tarjeta de crédito como Visa, Mastercard, etc.
• Las autoridades de certificación, encargadas de emitir los certificados digitales.
El proceso de pago utilizando SET es el siguiente XXV:
1. El cliente, después de seleccionar los artículos a comprar en el sitio Web, envía a éste un
formulario de pedido, siendo respondido por el comerciante, con el envío de su certificado
XXV Ibid, p 31, (Consulta Enero 2005).
32
digital y el del procesador de pagos. El cliente comprueba la validez de los certificados y
envía entonces al comerciante una orden de pago, que está dividida en dos documentos
diferentes: la información de pedido (OI), en la que figuran los datos de los productos
comprados, su precio y la demás información necesaria para la compra, y la instrucción de
pago (PI), en donde se describen sus datos bancarios y se dan instrucciones para el pago
a la entidad vendedora.
2. Esta orden de pago se firma digitalmente por medio de un mecanismo especial,
denominado Firma Dual, que se realiza uniendo primero los resúmenes hash de los dos
documentos generados y cifrando esta unión con su llave privada, para luego cifrar la
Firma Dual mediante una llave simétrica generada por su software SET. Luego, se cifran la
llave simétrica generada y el número de la tarjeta de crédito con la llave pública del
procesador de pagos.
De esta forma el vendedor no puede conocer los datos bancarios del comprador, y el
banco no puede conocer la información sobre los productos comprados, a pesar de que
ambos documentos están ligados por la misma firma.
3. El vendedor recibe la orden de compra y la firma dual del cliente. Este se queda con la
descripción de la compra y luego de comprobar la autenticidad del comprador, utilizando
para ello la firma digital de éste y su certificado, y la integridad de los datos recibidos
envía los datos financieros al Procesador de Pagos cifrados con la llave pública de la
misma.
4. El Procesador de Pagos comprueba la autenticidad del comprador y la integridad del PI del
mismo, y con el mensaje del vendedor, comprueba la relación existente entre la
descripción de la compra enviada al vendedor y la usada para la firma dual recibida.
5. Si todo es correcto, el Procesador de Pagos envía mediante las redes de comunicación
bancarias el PI al banco del vendedor y solicita autorización para realizar el pago,
mediante un documento denominado Petición de autorización de pago.
33
6. El banco del vendedor comprueba que la tarjeta de crédito es válida y permite el cargo del
importe de la compra, enviando un documento al procesador de pago, denominado
Autorización de pago, que autoriza el proceso de compra.
7. Una vez informado el vendedor de la autorización procede al envío de los artículos
comprados al cliente, y después de la entrega física del producto pide el importe de la
venta al Procesador de Pagos, proceso que se conoce con el nombre de Solicitud de pago.
8. Luego el Procesador de Pagos pide al banco del comprador la transferencia del importe de
la venta al banco del vendedor, petición que recibe el nombre de Solicitud de
compensación. Entonces se le hace efectivo al vendedor el importe, con lo que se cierra el
proceso total de compra.
Todos los documentos implicados en el proceso anterior deben llevar un número identificador
único de transacción, conocido como ID.
El proceso completo de pago mediante el protocolo SET se puede observar en el siguiente
gráfico:
Figura 6. Proceso SET XXVI
Internet Red Bancaria
Cliente Comerciante Pasarela depagos
Banco Cliente
Banco Comerciante
Proceso SET
Monedero TPV v
Internet Red Bancaria
Cliente Comerciante Pasarela depagos
Banco Cliente
Banco Comerciante
Proceso SET
Monedero TPV v
34
XXVI Ibid, p 31, (Consulta Enero 2005).
Los monederos electrónicos son aquellos que simulan la funcionalidad de un monedero habitual,
y que permite al cliente disponer de un lugar para guardar los números de sus tarjetas de crédito
y los recibos de las compras realizadas.
Las ventajas de SET es que proporcionan seguridad, integridad, autenticidad y no repudio en las
transacciones de comercio electrónico, efectuando el pago con tarjetas de crédito.
La desventaja que tiene SET es que se tienen que hacer varias verificaciones de identidad e
integridad en cada una de las entidades que participan en la transacción lo que lo hace muy
complejo y lento a la hora de realizar la transacción.
1.8 FRAUDES:
Este tema es muy importante para la investigación para mostrar el porqué muchas personas
tienen “miedo” de realizar compras por Internet. Aunque en la realidad no es falta de seguridad
en un sitio Web, sino la creación de páginas Web falsas o ficticias para el robo de información.
Los fraudes en Internet a nivel mundial tienen un nivel alto de incidencia, alcanzando niveles
comoXXVII:
• En el 2003 el fraude en Internet les costo 1.8 billones de dólares a los comerciantes.
• 1 de 6 consumidores, ha sido victima de un fraude con su tarjeta de crédito.
• 1 de 12 consumidores, ha tenido su identidad robada para fraudes en Internet.
Los fraudes en Internet se pueden presentar de diferentes formas, atacando al cliente o atacando
al vendedor.
XXVII Autores Varios, Fraud Prevention, Verisign 2003. Disponible en Internet [http://www.verisign.com/products-services/payment-processing/online-payment/payflow-pro/how-it-works.html] (Consulta: Enero de 2005).
35
Para atacar el vendedor, los asaltantes utilizan sistemas para detectar los sitios con más baja
seguridad, también buscan maneras de suplantar identidades con acceso completo para realizar
las transacciones deseadas, este proceso puede ser visto como si “abrieran la caja registradora” y
sacaran el dinero o los números de tarjeta de crédito.
Para estos robos a vendedores, buscan momentos especiales cuando las transacciones tienen un
tráfico alto (ej: cuando hay una promoción que mucha gente aprovecha), en estos momentos es
cuando la seguridad y la detección de fraudes es más vulnerable. Claro que aun así, el robo a
vendedores no es tan viable para los asaltantes, en primer lugar porque requiere un nivel alto de
conocimientos en software y redes, dado que por lo general todos ellos tienen algún tipo de
protección contra ataques y fraudes. Ahora por esto, los fraudes tienden a presentarse más del
lado del cliente, porque por lo general, no tienen mecanismos de seguridad ni conocimientos
sobre las diferentes maneras de las cuales pueden ser victimas.
Sobre las maneras que utilizan los asaltantes para robar a sus victimas, se destaca el Phishing, la
cual es una técnica utilizada para robar información financiera a los clientes tanto de un banco
como una tienda virtual.
Funciona de la siguiente manera:
• El delincuente envía un correo electrónico a la victima, haciéndose pasar por un
representante del banco o tienda virtual donde el cliente realiza sus transacciones, aunque
el correo remitente tenga el dominio del sitio, el nombre de usuario es una combinación
de letras y números.
• Este correo le avisa al cliente que debe actualizar sus datos personales para impedir que
su cuenta sea suspendida temporalmente.
• Dentro del correo se coloca un enlace a una página ficticia, parecida al sitio real, donde se
construye un formulario para que el cliente ingrese sus datos.
• Al enviar el formulario diligenciado, este llega al correo de los delincuentes con la
información financiera y personal del cliente, lo que facilita el robo de dinero o utilizando
el número de tarjeta de crédito para utilizarla en diferentes sitios.
36
• Esta modalidad de robo es mas frecuente en Estados Unidos y otros países en Europa.
También existen otras modalidades de engaño comoXXVIII:
• Spoofing: Esta técnica permite al delincuente apropiarse del navegador del cliente y
llevarlo a una página Web falsa o ficticia. Esta técnica solo es viable si el delincuente sabe
a que páginas entra el usuario y lo que hace es hacer un diseño copiando dichas páginas.
• Spyware: Este es un tipo de software que se instala en el PC del usuario, sin que este se
de cuenta. Ya instalado el software, el “espía” puede monitorear las actividades que el
usuario hace, por ejemplo a que páginas Web visita, que información busca, etc.
• Key Logger: Son programas o dispositivos que se instalan en el computador y sirven para
guardar información que el usuario escribe en el teclado. Luego el delincuente consulta
esa información y la utiliza para ejecutar el robo. Esta modalidad se da más en los cafés
Internet Colombianos.
• Screen Login: Esta modalidad lo que hace es capturar la pantalla o “video” del
computador donde esta un usuario, justo en el momento que esta digitando la
información para realizar una transacción. En Colombia se creo una solución a este
problema, llamado Azuan Banking, realizado por la compañía Azuan, que protege a los
usuarios de capturas de pantallas y de teclas que hacen los espías. El programa por
ejemplo puede permitir configurar un PC para que solo ese pueda entrar como autorizado
a realizar transacciones, también solicitar al cliente que digite una clave a través de una
memoria flash.
1.8.1 ¿POR QUÉ LAS MÁQUINAS DE LOS CLIENTES SON LAS MÁS SUSCEPTIBLES A SER
AFECTADAS POR LOS FRAUDES?:
Porque la seguridad en estas máquinas no es tan alta con respecto a las máquinas servidores y
se aprovecha la falta de conocimiento de los clientes para poder ejecutar los fraudes más
fácilmente.
XXVIII Periodico EL Tiempo, sección Tecnología, Consultado Abril de 2005.
37
Además algunos clientes suponen que por tener un PC en casa con buena tecnología, no creen
que van a tener problemas de seguridad, lo cual es falso puesto que cuando descuidan este
aspecto, se convierten en un blanco fácil de ataques basados en software (Spyware, entre otros).
Hay que aclarar que las compañías de software se han percatado de este problema y se han
venido desarrollando soluciones como por ejemplo Service Pack 2 de Windows XP, que contiene
un Firewall o el Norton Internet Security que es un programa especialmente diseñado para
mantener la seguridad del equipo cuando ingresa a Internet.
En conclusión, el cliente es el principal atacado en los fraudes, dado que por lo general no posee
ningún mecanismo de seguridad para proteger su información valiosa o no tiene conocimiento de
cómo protegerla, porque si vé, muchos de los métodos de fraude no se basan en un software
complejo, sino en el desconocimiento de los clientes sobre los procedimientos y políticas de
seguridad de los sitios.
1.9 PROCESO DE PAGO SUGERIDO POR VERISIGN XXIX:
El proceso de pago es fundamental en la investigación porque nos muestra los pasos que se han
de ejecutar para que se realice de manera efectiva una transacción comercial entre vendedor y
comprador. Esto ofrece los pasos que se han desarrollado para ver sus aportes, las ventajas y
desventajas que tienen cada uno, para observar si es posible encontrar otras soluciones en este
aspecto.
Se escogió como modelo el propuesto por Verisign, puesto que incluye los pasos básicos que
deben existir en un proceso exitoso y además esta respaldado por una empresa con un gran nivel
de experiencia en transacciones en línea y comercio electrónico
Proceso General de autorización de pagos en línea:
XXIX AUTORES VARIOS, Online Payment Processing, Verisign 2003. Disponible en Internet: [http://www.verisign.com/products-services/payment-processing/online-payment/payflow-pro/how-it-works.html].
38
1. El cliente decide hacer una compra en un sitio Web, donde digita la información de la
tarjeta de crédito.
2. El sitio Web recibe la información del cliente y envía la información de la transacción al
servicio de procesamiento de pagos.
3. El servicio de procesamiento de pagos enruta la información al procesador.
4. El procesador envía la información al banco emisor de la tarjeta de crédito del cliente.
5. El banco emisor envía el resultado de la transacción, es decir, envía la autorización o el
rechazo de la misma, al procesador.
6. El procesador enruta el resultado de la transacción al servicio de procesamiento de pagos.
7. El servicio de procesamiento de pagos pasa el resultado de la información al comerciante.
8. El comerciante acepta o rechaza la transacción y el envío si es necesario. Esto se da,
porque hace una transacción con una tarjeta que no esta presente y el comerciante puede
tomar precauciones adicionales para asegurar que la tarjeta no halla sido robada y que el
cliente es el actual poseedor de la tarjeta.
Figura 7. Proceso de pago VerisignXXX.
Cliente
Comerciante Pasarela depagos
Banco Cliente
Banco Comerciante
Proceso Verisign
Procesador
Cliente
Comerciante Pasarela depagos
Banco Cliente
Banco Comerciante
Proceso Verisign
Procesador
XXX Autores Varios. Online Payment Processing – What You need to know. Verisign 2003. Disponible en Internet [http://www.verisign.com/products-services/payment-processing/online-payment/payflow-pro/how-it-works.html] (Consulta: Enero de 2005).
39
Aspectos a tener en cuenta para obtener una solución en el proceso de pagos basado en la
propuesta de Verisign:
1. Son necesarios la Fiabilidad, costo-beneficio aceptable para el comerciante y una
variabilidad en los tipos de pagos incluyendo tarjetas de crédito y cheques electrónicos.
Esto no solamente reduce perdidas en las ventas, sino que los clientes tienen la libertad y
la flexibilidad para pagar rápido y de la mejor forma.
2. Proveer en tiempo real el resultado de la autorización de la tarjeta de crédito permitiendo
al comerciante aceptar o rechazar órdenes inmediatamente y así reducir riesgos de
transacciones fraudulentas.
3. Poder actuar como una terminal virtual para permitir el procesamiento de las
transacciones fuera de línea. Esto da flexibilidad para procesar órdenes hechas por
teléfono, fax, e-mail o en persona.
4. Proveer y almacenar registros de transacciones permitiendo su fácil búsqueda y poder
crear reportes de transacciones.
5. Proveer flexibilidad, fácil integración con el sitio Web. Se puede comenzar aceptando
pagos, y así empezar a generar ingresos del sitio.
6. Proveer un nivel estándar de procesamiento antifraudes teniendo algo semejante como
una Tarjeta de Código de Seguridad y un Servicio de Verificación de Dirección.
7. Ofrecer la opción de actualizarse a programas de Autenticación de Comprador como
SecureCode de Master Card y Verified by Visa para proveer al comerciante protección
contra fraudes.
Payflow de Verisign es un servicio de procesamiento de pagos por Internet, que simplifica el
proceso de pagos en línea, proporcionando confiabilidad, seguridad y proporcionando
conectividad de pagos entre comerciantes, clientes y redes financieras.
Verisign cuenta con dos tipos de Payflow:
• Payflow Pro.
• Payflow Link.
El servicio Payflow Pro está diseñado para comerciantes con un alto nivel de transacciones, es un
proceso más costoso pero proporciona más herramientas para el comerciante.
40
Figura 8. Proceso Payflow Pro XXXI
Comerciante Verisign
Proceso Payflow Pro de Verisign
Carros de compra Aplicaciones WEB
Legacy Systems
PAYFLOW PRO SDK
Verising Payflow
Internet SSL
Comerciante Verisign
Proceso Payflow Pro de Verisign
Carros de compra Aplicaciones WEB
Legacy Systems
PAYFLOW PRO SDK
Verising Payflow
Internet SSL
El servicio Payflow Link esta diseñado para comerciantes que requieren una solución simple para
vender en la red. Para usarlo, el comerciante necesita adicionar una pequeña porción de código
HTML, que se va a vincular al cliente desde el sitio Web, para ordenar formularios dados por
Verisign.
Figura 9. Proceso Payflow Link.XXXII
Comerciante Verisign
Proceso Payflow Link de Verisign
Carros de compra Páginas estaticas
Aplicaciones Web
PAYFLOW Link
Verising Payflow
Internet HTTP SSL
Comerciante Verisign
Proceso Payflow Link de Verisign
Carros de compra Páginas estaticas
Aplicaciones Web
PAYFLOW Link
Verising Payflow
Internet HTTP SSL
XXXI AUTORES VARIOS, Online Payment Processing, Verisign 2003. Disponible en Internet: [http://www.verisign.com/products-services/payment-processing/online-payment/payflow-pro/how-it-works.html]. XXXII Ibid, p 41 (Consulta Enero 2005).
41
1.10 PROCESO DE PAGO E CHECK XXXIII:
ECheck.Net es un servicio de pagos ofrecido por Authorize.net a los comerciantes para que estos
puedan recibir cheques electrónicos a través de su portal.
Este servicio es relevante en la investigación para conocer que métodos de procesos o servicios
de pago se ofrecen a los portales de comercio electrónico con diferentes medios de pago, en este
caso, con cheque electrónico.
Echeck.Net utiliza la red ACH para facilitar la transferencia del monto de la compra del banco del
cliente al banco del comerciante.
Este servicio solo esta disponible para aquellas empresas que tengan cuentas bancarias en
Estados Unidos, no importa si la empresa es extranjera.
1.10.1 PROCESO DE TRANSACCIONES CON ECHECK.NET:
Cuando se va a realizar una transacción entre el cliente y el comercio, este último debe poner la
opción de pago con cheque electrónico vía eCheck.net y solicitar al cliente: el número de 9 dígitos
de enrutamiento del banco ABA, el número de cuenta del banco, el tipo de cuenta, nombre del
banco y el valor de la transacción.
Después se ejecuta el siguiente proceso:
1. Cuando se envía la transacción, esta información viaja por Internet al servidor de
entrada de pagos de Authorize.net, donde esta información es validada.
2. Si es válida la información de la transacción, el servidor envía esta información al
respectivo banco de Authorize.net como una transacción tipo ACH.
XXXIII AUTORES VARIOS, Proceso eCheck.net, Authorize.net 2004, Disponible en Internet [http://www.authorize.net/solutions/merchantsolutions/merchantservices/echeck]
42
3. Luego se envía la transacción a la red ACH. Esta red usa la información de la cuenta
del banco, enviada en la transacción, para encontrar el banco del cliente para efectuar
la operación.
4. La red ACH avisa al banco del cliente para realizar la transferencia. Luego el banco le
devuelve a la red los fondos a transferir a la cuenta del comerciante.
5. LA red ACH transmite los fondos al banco de Authorize.net.
6. Este banco los retorna al servidor Authorize.net.
7. Al final se realiza el depósito de la transacción en la cuenta del comerciante.
A continuación se muestra el flujo del proceso transaccional:
Figura 10. Proceso E-Check XXXIV
Internet
Cliente
Comercio
Authorize.NET
Red ACH
Banco Comerciante Banco Cliente
Banco Cliente
1
2
3
4
5
6
7
Proceso E-Check de Authorize.NET
43
XXXIV Ibid, p 42, (Consulta Abril de 2005).
Se debe tener en cuenta que debido a como esta constituida la red ACH, las transacciones de
eCheck.net no se realizan en tiempo real, lo que puede originar que las transacciones se demoren
por lo menos un día hábil para ser ejecutadas.
Existen varios tipos de transacciones ECheck.net dependiendo del tipo de comerciante. Sin
embargo se recomienda que se utilicen los siguientes tres:
• Concentración del efectivo o desembolso (CCD): Consiste en cobrar una transacción sobre
la cuenta del cliente.
• Prepago y entrada del depósito (PPD): Consiste en un cobro iniciado por el comerciante
sobre la cuenta del cliente. Estas transacciones deben ser enviadas como PPD.
• Entrada inicial de Internet (WEB): Consiste en el cobro de una transacción que se hace
sobre la cuenta del cliente vía Internet. En este tipo de transacciones, el comercio es el
responsable en caso de fraude.
En la parte de seguridad Authorize.net ofrece varias herramientas entre las que se encuentran:
• Sistema de Verificación de Direccionamiento : Este sistema compara la información del
cliente que se encuentra en la factura de compra con respecto a la información de la
tarjeta de crédito del cliente que se encuentra en el banco del cliente emisor de la tarjeta.
• Modo de Password Requerido: Este modo, como su nombre lo indica, se requiere que el
comerciante digite el password que le fue otorgado para que pueda comenzar con la
transacción de una compra.
• Referencia a URL: Este modo se usa en los comerciantes que utilizan un link para efectuar
las transacciones. Se utiliza una página Web como link dentro de la página principal del
portal cuando se desea efectuar una transacción.
Estas son solo algunas herramientas importantes que se deben tener en cuenta para ampliar la
seguridad y darle mayor confianza tanto al comerciante como al cliente.
44
1.11 PROCESO QUICK COMMERCE PRO XXXV:
QUICK COMMERCE PRO es un servicio de transacción de mercancía, que permite realizar
transacciones de forma segura con tarjeta de crédito sobre Internet.
Este servicio es relevante en la investigación para conocer que métodos de procesos de pago se
ofrecen a los portales de comercio electrónico y como estos actúan en cuanto a la parte de
seguridad de la transmisión de los datos tanto para el comerciante como para el cliente.
Quick Commerce Pro es desarrollado por la empresa E-Commerce Exchange y ofrece varios
métodos de procesamiento de transacciones:
• Orden de Compra.
• Envío de pagos utilizando una Web form.
• Envío de pagos utilizando una conexión vía socket.
• Envío de pagos en lotes utilizando FTP.
• Envío de pagos en lotes utilizando E-Mail.
Se mostrará un análisis de cada uno de estos métodos:
Orden de Compra: Este es un método que garantiza la seguridad, utilizando el protocolo SSL, en
las transacciones que ejecuta el cliente al realizar una compra, dado que captura los datos tanto
personales como de envío (ej. Dirección, teléfono, etc.) al cliente para que luego el quick
commerce pro ejecute la transacción. Esta transacción se termina cuando se muestra el cliente la
factura o recibo de compra.
Envío de pagos utilizando Web Forms: En este método el comercio tiene mayor control sobre la
información que los clientes pueden ver y acceder desde los navegadores. Este control se da
porque el comercio puede personalizar su sitio a través de ASPs, CGIs, HTMLXXXVI y otras
XXXV AUTORES VARIOS, Proceso Quick Commerce Pro, Quick Commerce Pro 2000, Disponible en Internet [http://www.ecx.com] XXXVI Ver definición en el glosario
45
aplicaciones, por eso se debe tener un gran conocimiento de la aplicación para que sea más
flexible para el cliente. En la parte de seguridad el quick commerce pro ejecuta esta parte sin
necesidad de que la página Web se encuentre en un servidor seguro. El quick commerce pro se
encarga de la parte de recolección de la información de la tarjeta de crédito del cliente para luego
realizar la transacción de manera segura y rápida para el cliente.
Envío de pagos utilizando una conexión vía socket: Este método es más avanzado que el anterior
porque el comercio tiene control total sobre lo que le muestra al cliente en el navegador. Este
método exige que el servidor del comercio sea seguro porque tiene el control total de su
contenido y debe estar con SSL. El envío de las transacciones entre el sistema del comercio y el
servidor del quick commerce pro se hace vía sockets con https.
En este proceso el comercio envía la transacción con la información del cliente al quick commerce
pro y este devuelve una respuesta inmediata con el resultado de la transacción.
Envío de pagos en lotes utilizando FTP: Este método es muy diferente a los anteriores dado que
en este no hay interacción directa con el procesamiento de las transacciones, sino que estas se
van acumulando hasta generar un lote en el servidor del comercio para al final enviarlas a
procesar luego de un tiempo. Quick commerce pro solo se comunicara con el servidor del
comercio vía FTP y ningún parámetro de este aparecerá en el navegador para ser visto por el
cliente. Por último el quick commerce pro enviará también vía FTP los resultados de las
transacciones al servidor del comercio. Hay que resaltar que el envío por FTP no es seguro y que
las transacciones pueden ser interceptadas por terceros, es algo que el comerciante deberá
asumir.
Envío de pagos en lotes utilizando E-Mail: Este método es el menos seguro de todos, puesto que
las transacciones se envian vía e-mail, por lo tanto, al enviar un archivo dentro de un e-mail, este
viaja por Internet a varios servidores de correo y en los cuales se pueden realizar modificaciones
y alteraciones a los archivos fácilmente.
46
1.12 ¿CÓMO CREAR UN SITIO WEB PARA COMERCIO ELECTRÓNICO SUGERIDO POR
VERISIGN?
Este es un aspecto muy importante a tener en cuenta porque muchos portales pueden pasar por
alto aspectos relevantes, ya sea por costos o por olvido. Lo importante a resaltar es que para
crear un sitio Web para realizar comercio electrónico de buen nivel, es necesario cumplir con un
número de pasos específicos.
A continuación presentamos los pasos propuestos por Verisign:
1. Establecer la propia identidad en línea con la dirección Web Correcta. Para escoger el
nombre apropiado se debe tener en cuenta:
• Un nombre corto.
• Que el nombre describa el negocio.
2. Construir un sitio Web de fácil uso. Se deben escoger las herramientas apropiadas para la
construcción del portal. Estos son algunos tips para la construcción de un sitio Web de
fácil uso:
• Obtener las cosas que más atrayentes de buenos sitios de comercio electrónico.
• Hacer la página inicial lo más llamativa posible.
• Hacer fácil la navegabilidad por el sitio.
• No recargar el sitio con gráficas y animaciones que puedan desviar al cliente de su
objetivo.
• Tiempos de respuesta cortos.
3. Preparar el servidor Web.
• Servidor dedicado.
• Suficiente espacio de disco duro.
• Disponibilidad 7X24.
• Tener cuentas de mail.
• Utilizar ciframiento mediante SSL.
47
• Tener un soporte 7X24.
4. Minimizar los riesgos del comercio electrónico.
• Certificados Digitales.
• SSL.
• Evitar fraudes.
5. Aceptar y manejar todos los tipos o medios de pago.
• Aceptar tarjetas de crédito de Visa, Master Card, American Express.
• Mirar las posibilidades de aceptar tarjetas débito y/o otros medios de pago.
6. Realizar las respectivas pruebas de funcionamiento.
• Pruebas del proceso.
• Pruebas de validación de datos e información.
• Pruebas de puntos funcionales.
• Pruebas de desempeño de hardware.
7. Promover el sitio Web.
• Registrar el sitio en motores de búsqueda como Google, Yahoo, Altavista entre
otros.
• Hacer publicidad al sitio en folletos, propagandas, medios de comunicación, etc.
A estos pasos anteriores propuestos por Verisign se le pudieran adicionar otros pasos que pueden
ayudar a mejorar el sitio de comercio electrónico como es el caso de utilizar procesadores de
pago, ya sea de Verisign o Authorize.net o de alguna otra empresa que preste estos servicios con
el fin de dar mayor garantía tanto en seguridad como eficiencia al comerciante y al cliente.
1.13 PROCESO DE PAGO TODO1:
Investigando en el mercado Colombiano, encontramos que TODO1 provee soluciones para pagos
en línea en Colombia, este numeral busca explicar los procesos de pago que implementa a través
de sus bancos asociados para portales de ventas.
48
TODO1 agrupa los pagos en Internet correspondientes a Conavi y Bancolombia, principalmente
se caracteriza por su servicio de e-pagosXXXVII, este se encarga de manejar los servicios para
pagos en Internet para usuarios con cuentas en Conavi o en Bancolombia.
Principalmente e-pagos es un medio de pago para el comercio electrónico que no utiliza tarjeta
de crédito, sino que se basa en la transferencia de fondos entre cuentas bancarias que se
encuentren en los bancos enunciados anteriormente (NOTA: las transacciones solo pueden
realizarse entre cuentas del mismo banco, sean de Conavi o Bancolombia), en este proceso se
deben cumplir las siguientes característicasXXXVIII:
• La tienda debe ser un sitio "Seguro".
• La tienda tiene que generar un número de referencia (o número de factura) para
identificar el pago.
• Es un recaudo con validación en el que la tienda suministra la información básica del pago
(referencia y valor) mediante un enlace dinámico, generado con la firma digital
proporcionada por TODO1.
• La transacción de pago se realiza directamente en los servidores de TODO1. Estos
servidores cuentan con la aprobación y certificación de BANCOLOMBIA y CONAVI para su
funcionamiento.
• La confirmación del pago por parte de TODO1 se realiza mediante un enlace dinámico a la
tienda.
• TODO1 habilita gratuitamente un servicio de consulta vía Web, para que la tienda virtual
pueda hacer seguimiento a los pagos recibidos.
XXXVII Autores Varios. Documento promocional de “Descripción general del servicio e-pagos”. Todo1 2000 – 2004. Disponible en Internet: [http://www.todo1.com/NASApp/cs/ContentServer?pagename=Empresas/Channel/index&pub=EmpCo_ComElect&cat=1010684911998&mode=cat]. (Consulta: Octubre de 2004) XXXVIII Ibid, p 49, (Consulta: Octubre de 2004)
49
• También a través del sistema En línea BANCOLOMBIA y de la Sucursal Virtual de
Empresas BANCOLOMBIA, se puede confirmar el abono de los pagos en tiempo real,
consultando los movimientos de la respectiva cuenta recaudadora en BANCOLOMBIA.
• Igualmente, a través del sistema Gerencia Electrónica CONAVI o de CONAVI.com*, se
puede confirmar el abono de los pagos en tiempo real, consultando los movimientos de la
respectiva cuenta recaudadora en CONAVI.
El proceso que siguen los clientes es muy similar en ambos bancos, solo tiene algunas
diferencias, a continuación se explica el proceso para ambos bancos:
Clientes BANCOLOMBIAXXXIX:
Ingresa a la tienda virtual, selecciona el(los) articulo(s) a comprar o la factura a cancelar,
selecciona la opción de e-pagos BANCOLOMBIA, la cual lo enviará a la sección de pagos de
TODO1.com, en la que el cliente ingresa su número de identificación y la clave de servicios
electrónicos. Una vez aprobada la validación de identificación, selecciona la cuenta desde donde
desea realizar el pago, verifica los datos (referencia y valor) que le suministra la pantalla de
confirmación del pago y lo efectúa. Una vez realizado el pago, presiona un hipervínculo que lo
regresa a la tienda.
Clientes CONAVIXL:
Ingresa a la tienda virtual, selecciona el(los) articulo(s) a comprar o la factura a cancelar,
selecciona la opción de e-pagos CONAVI, la cual lo enviará a la sección de pagos de TODO1.com,
en la que el cliente ingresa su número de cuenta y la clave de la tarjeta débito. Una vez aprobada
XXXIX Proceso clientes BANCOLOMBIA tomado: Ibid. Disponible en Internet: [http://www.todo1.com/NASApp/cs/ContentServer?pagename=Empresas/Channel/index&pub=EmpCo_ComElect&cat=1010684911998&mode=cat]. (Consulta: Octubre de 2004) XL Proceso clientes CONAVI tomado Ibid. Disponible en Internet: [http://www.todo1.com/NASApp/cs/ContentServer?pagename=Empresas/Channel/index&pub=EmpCo_ComElect&cat=1010684911998&mode=cat]. (Consulta: Octubre de 2004)
50
la validación de identificación, selecciona la cuenta desde donde desea realizar el pago, verifica
los datos del pago (referencia y valor) que le suministra la pantalla de confirmación del pago y
realiza el pago; una vez realizado el pago, presiona un hipervínculo que lo regresa a la tienda.
Al prestar sus servicios TODO1 recomienda a los portales que utilizan estos servicios, manejar
sistemas de seguridad para el proceso cliente – portal, porque como se explica, este servicio es
únicamente para el proceso de pago entre portales y bancos, TODO1 garantiza la seguridad de
sus transacciones portal - banco utilizando SSL y otros esquemas de seguridad (firma digital y no
repudio por parte de los bancos reconfirmando compras y personalizando estos servicios en las
cuentas).
1.14 E-CARD:
La e-card (o tarjeta prepago, el nombre depende del banco que preste el servicio), es una tarjeta
de crédito prepagada y con cupo generalmente pequeño diseñada especialmente para compras
en Internet. Funciona igual que una tarjeta de crédito dado que se les asigna un número valido y
es aceptada como tal, su cambio está es que su cupo es limitado y tiene una vigencia corta, lo
cual la hace más segura porque en el caso de que el número lo obtenga un delincuente, lo más
posible es que la encuentre sin cupo. Como se enunciaba inicialmente estas tarjetas son
entregadas por bancos, en Colombia Conavi y Bancolombia prestan el servicio de tarjetas
prepago.
1.15 BONOS:
En Internet, algunos sitios promueven vender bonos para comprar productos en línea, con una
tarjeta de crédito se compran estos bonos en un sitio seguro y se utilizan en diferentes portales
de comercio electrónico, esta modalidad aún no se utiliza en Colombia, pero tiene aceptación en
Estados Unidos y Europa.
51
1.16 VERIFIED BY VISA (3d Secure) XLI:
Verified By VISA es la propuesta de VISA para aumentar la seguridad en las transacciones con
sus tarjetas de crédito en Internet, aquí explicamos como es el proceso para autorizar la
transacción.
Cuando se realiza una compra a través del portal de comercio electrónico, que posee el servicio
de Verified By Visa, éste envía los datos del cliente hacia el servidor de Verified By Visa a través
de peticiones POST en HTTPS, en los cuales estas peticiones vienen los datos del cliente cifrados
para garantizar la seguridad y la autenticidad de los mismos. Este proceso se realiza por medio de
una VPN vía Internet entre el comercio y Visa.
En el proceso de Verified By Visa, el banco, que es a su vez el que se inscribe a Visa para ofrecer
a sus clientes la garantía de una transacción segura, es también el responsable de los efectos en
una transacción que se considere como fraude.
Existe un protocolo para verificación de pagos con Verified By Visa y Master Card Secure Code a
través de Internet, este se llama 3-D Secure. Este protocolo basado en tecnología de cifrado SSL,
utiliza un plug-in con el servidor del comerciante para la verificación y autenticación tanto de los
compradores como de las compras que estos realizan, es decir, protege la información de la
tarjeta que se envía por Internet.
3-D Secure se basa en un modelo de 3 dominios:
• Dominio del Emisor: El emisor realiza dos funciones: En la primera se encarga de
administrar la inscripción de los clientes en el servicio y de verificar su identidad y en la
segunda es la de administrar la autenticación de los clientes cada vez que vayan a realizar
una compra.
• Dominio del Receptor o Adquiriente: El adquiriente realiza 2 funciones: En la primera se
encarga de procesar las transacciones ya autenticadas y en la segunda define los
procedimientos que se realizan en los comercios que trabajan con transacciones por
XLI AUTORES VARIOS, Verified by Visa, VISA 2001, Disponible en Internet [http://www.visanet.com.pe/visa_tecnologia.htm]
52
Internet, se efectúen por un acuerdo que se haya establecido entre los comercios y el
adquiriente.
• Dominio de Interoperabilidad: Este dominio se encarga del intercambio de transacciones
entre los otros dos dominios utilizando un protocolo en común (Ejemplo: SSL) y donde se
establecen servicios compartidos.
3-D Secure cuenta con dos funciones principales:
• La Inscripción.
• La Autenticación.
La inscripción se encarga de realizar el proceso de autorización para que el cliente pueda utilizar
el servicio.
La Autenticación es el proceso en el que el cliente puede comprar en algún comercio que tenga
3-D Secure.
El proceso de autenticación consta de 7 pasos:
1. El cliente selecciona los artículos que va a comprar en la página del comercio y elige la
opción de comprar.
2. El Plug-in del Servidor del Comercio consulta al directorio de Visa si el cliente esta inscrito
o no. Si el número de tarjeta del cliente se encuentra, Visa solicita al Servidor de Control
de Acceso del Emisor que valide la inscripción del cliente y envía la respuesta al Plug-in
del Servidor del comercio.
3. El Plug-in del Servidor del Comercio envía una solicitud de autenticación al Servidor de
control de Acceso a través del navegador del cliente.
4. El Servidor de Control de Acceso solicita al cliente su contraseña, para ser verificada.
5. El Servidor de Acceso devuelve la respuesta de autenticación al Plug-in del Servidor del
Comercio a través del navegador del cliente. Luego transmite un registro con la
autenticación del cliente al Servidor de Historial de Autenticaciones del emisor.
53
6. El Plug-in del Servidor del Comercio valida la respuesta.
7. Si la autenticación fue realizada satisfactoriamente, se procede a la autorización del pago.
Para que el comercio pueda utilizar 3D Secure debe seguir los siguientes pasos:
1. Primero el comercio debe solicitar a un representante de Visa como se desarrolla el
proceso de inscripción.
2. Luego el comercio debe integrar un servidor con plug-in a sus servidores existentes. Esto
no generara cambio en la interacción con el cliente.
3. Este servidor con plug-in enviara mensajes al directorio de Visa y a los Servidores de
Control de Acceso para validar y verificar la autenticidad de cada cliente en el momento
de realizar una compra en el portal.
Luego de ver el funcionamiento del 3-D Secure, fácilmente encontramos que este beneficia no
solo al comercio, sino también a los clientes, y a los bancos. Estos son algunos beneficios para el
comercio:
• Fácil de integrar con los servidores del comercio. Solo se instalaría la parte del plug-in.
• Reduce el riesgo de fraudes en las transacciones.
• Puede incrementar las ventas, puesto que esta asegurando los datos del cliente durante
la transacción.
1.17 PROCESO PORTAL – ENTIDADES FINANCIERAS:
A continuación mostramos como se realiza el proceso cuando la información del cliente llega al
portal tanto en Colombia como en Estados Unidos:
54
1.17.1 PROCESO EN COLOMBIA:
Figura 11. Proceso portal – entidades en Colombia XLII
Cuando el cliente, al realizar una compra, envía sus datos personales y los datos de la tarjeta de
crédito, el portal envía la información en un archivo DLL que ha sido diseñado e implementado en
C o Java, donde se utiliza JNI (Java Native Interface) para su traducción de un .java o .c a DLL y
viceversa. Este archivo se envía a Visa o Master Card por medio del protocolo HTTPS para
mantener la seguridad de la información enviada. Otra forma de envío de los datos es por Web
Services pero solo Master Card los implementa. Los Web Services se han diseñado en JAXRPC e
implementados con WSDL (Web Services Description Language). Estos son más estandarizados
que los DLL.
El archivo DLL tiene 8 parámetros de entrada y 3 de salida, es decir, son 8 los que llegan a Visa o
Master Card y 3 son los que estos devuelven con la información de la autorización de la
transacción.
El portal se comunica con Visa o Master Card a través de un canal dedicado o a través de una
VPN (Virtual Private Net) en Internet, dependiendo de la cantidad de transacciones que se
realicen entre el portal y Visa o Marter Card.
El archivo DLL corre en la maquina del comercio.
XLII Galindo, Javier, Profesor Cátedra Pontifcia Universidad Javeriana, (Consulta Abril 2005).
55
1.17.1.1 VISA / MASTER CARD - BANCOS
Figura 12. Proceso Entidades Financieras VISA y Master Card en Colombia XLIII
Luego del proceso anterior, Visa o Master Card envían la información del cliente al banco
respectivo, pero no se hace al mismo tiempo de la transacción sino después de algún tiempo que
varia (Puede ser una hora después de la transacción). Pero esta información se hace a través del
ACH, dado que este tiene conexión a todos los bancos y puede direccionar la información al
banco respectivo. Esto se da porque sería muy costoso que Visa o Master Card tuvieran la
conexión independiente con cada banco.
El banco al recibir la información actualiza sus bases de datos en Batch.
1.17.2 PROCESO EN ESTADOS UNIDOS
Figura 13. Proceso portal – entidades en Estados Unidos XLIV
XLIII Galindo, Javier, Profesor Cátedra Pontifcia Universidad Javeriana, (Consulta Abril 2005).
56
Cuando el cliente, al realizar una compra, envía sus datos personales y los datos de la tarjeta de
crédito, el portal envía la información. El envío de los datos es por Web Services y no por DLL
como sucede en Colombia. Los Web Services se han diseñado en JAXRPC e implementados con
WSDL (Web Services Description Language). Este archivo se envía a Visa o Master Card por
medio del protocolo HTTPS para mantener la seguridad de la información enviada. El portal se
comunica con Visa o Master Card a través de un canal dedicado o a través de una VPN (Virtual
Private Net) en Internet, dependiendo de la cantidad de transacciones que se realicen entre el
portal y Visa o Marter Card.
1.18 PRODUCTOS PARA EL MANEJO DEL COMERCIO ELECTRÓNICO:
En Internet existen diferentes productos diseñados para portales que implementan comercio
electrónico, estos se caracterizan por manejar servidores de aplicaciones, servidores Web,
pasarelas de pago y demás dentro de una misma herramienta. Por ejemplo mostramos un
resumen del Microsoft Commerce Server 2000 para mostrar una herramienta entre varias
existentes
1.18.1 MICROSOFT COMMERCE SERVER 2000 XLV:
Está solución está diseñada para instalarse sobre un Web Server, la idea de esta aplicación es
generar páginas en ASP rápidamente para varios clientes y que se comuniquen con una base de
datos SQL Server.
La herramienta permite configurar un servidor para realizar comercio a través de Internet. Una de
las opciones que permite hacer esta herramienta es la de configurar el método de pago que se
utilizará en el proceso.
XLIV Galindo, Javier, Profesor Cátedra Pontifcia Universidad Javeriana, (Consulta Abril 2005). XLV AUTORES VARIOS, Microsoft Commerce Server, Disponible en Internet : [http://www.microsoft.com/commerceserver/default.mspx]
57
Dentro de las opciones de pago existentes se encuentra el pago con tarjeta de crédito y la orden
de compra, en el cual en el lado de las ventas se configura solo para habilitar la facturación del
producto con tarjeta de crédito mientras del lado del proveedor solo se ve la orden de compra.
Para esto se utilizan archivos .asp, en los que se procesa los datos, tanto de la información de la
tarjeta de crédito como la parte de la orden de compra. Dependiendo de la opción que se elija se
invocara un archivo asp que procesara dicha información.
Algunas acciones que realizan los archivos asp:
• confirm.asp: Despliega la orden y confirmación que fue recibido de la interfaz. Para los
pagos con tarjeta de crédito, esta página se llama cuando se presiona el botón de Enviar
en la página.
• crdtcard.asp. Para las órdenes de compra, esta página se llama cuando se presiona el
botón de enviar en la página de po.asp.
• crdtcard.asp: Despliega la página donde se revisa la información de la tarjeta de crédito.
• include\payment.asp: Contiene funciones usadas en las páginas de pago y ejecuta el
archivo checkout.pcf.
• po.asp: Despliega la página donde se adiciona el número de orden de compra en la
información del envío de la mercancía.
El Commerce Server trabaja también con las llamadas pipelines. Una pipeline es una
infraestructura de software que define una o más fases del proceso comercial. Esta pipeline
divide el proceso en diferentes fases y determinan la secuencia en que cada una de estas fases
se va ejecutando o desarrollando. Por ejemplo en el proceso de realizar una orden, se encuentran
las fases de solicitud de información al cliente, la fase del pago y la fase del envío.
Dentro de la herramienta se permite utilizar pipelines que puedan o no ejecutar transacciones
dependiendo de los requerimientos que se tengan. Las pipelines se manejan en el Commerce
Server como archivos .pcf.
A continuación se muestra una imagen de cómo se configura una pipeline:
58
Figura 14. Pipelines en Microsoft Commerce Server XLVI
1.19 ASPECTO LEGAL:
El aspecto legal en Colombia está basada en la ley 527 de 1999. En esta ley se contempla
aspectos y reglamentación en mensajes de datos, el comercio electrónico en cuanto al transporte
de mercancías, los certificados digitales, firmas digitales, entidades de certificación digital, y el
papel que desempeña la Superintendencia de Industria y Comercio.
De esta ley se pueden resaltar las siguientes características:
Es de origen internacional.
Garantiza seguridad e integridad en la transmisión de mensajes de datos.
La validez de los mensajes de datos, serán medidos de acuerdo a apreciaciones de las
pruebas que se contemplan en la ley.
La oferta y la aceptación de la misma tendrá validez a través de un mensaje de datos.
El acuse de recibo servirá para garantizar el envió de mensaje de datos entre la partes.
XLVI Ibid, p 58, (Consulta Mayo 2005)
59
Garantiza que el transporte de mercancías adquiridas en el comercio electrónico cumpla
con los requisitos de etiqueta de producto, recibo de facturación, confirmaciones de envío
y recibo de la mercancía, notificación de pérdida o daños en la mercancía, entre otros.
La firma digital se utiliza para firmar los mensajes de datos.
Establece requisitos específicos y necesarios para poder establecer una entidad
certificadora en el país para que cumpla adecuadamente sus funciones de expedición de
certificados y firmas digitales, promover la seguridad en la promoción del envío y recibo
de los mensajes de datos, entre otras funciones.
Describe las características que debe tener un certificado digital y como este puede ser
revocado.
La Superintendencia de Industria y Comercio es la encargada de autorizar el
funcionamiento, velar por el buen funcionamiento de las entidades certificadoras.
60
CAPÍTULO 2. RECOLECCIÓN DE INFORMACIÓN
Se visitaron varias empresas que utilizan comercio electrónico como parte de su negocio, algunas
respondieron las entrevistas, otras nos enviaron información de los procesos que utilizan para
realizar este tipo de comercio.
También se realizó una encuesta a los estudiantes de la universidad, para mostrar el
comportamiento de los clientes frente al comercio electrónico.
Por último se revisaron y analizaron diferentes estadísticas en Colombia y otros países para
determinar como ha sido el comportamiento de este comercio en los últimos años.
2.1 PREPARACIÓN DE LAS ENTREVISTAS:
A continuación se presenta el cuestionario de preguntas utilizado para los portales en Internet:
BÁSICO:
1. ¿Desde hace cuanto tienen su portal de ventas en Internet?
2. ¿Qué oportunidades y beneficios ven en el comercio electrónico?
3. ¿Cómo ve la posición de su portal con respecto a los portales de competencia en el
comercio electrónico Colombiano?
4. ¿Qué desventajas encuentra en este medio?
ENTIDADES FINANCIERAS:
1. ¿Qué medios de pago ofrecen?
2. ¿Qué tipo de soluciones le han ofrecido entidades financieras en general?
3. ¿Qué requerimientos les solicitan ustedes a las entidades o bancos? A su vez, ¿ Cuáles les
solicitan ellos a ustedes?
4. ¿Han tenido problemas con el proceso de pago?
61
TECNOLOGÍA Y SEGURIDAD:
1. ¿Qué tecnologías utilizan (Software y Hardware)?
2. ¿Cómo garantizan la seguridad de su sitio?
3. ¿Han detectado fraudes?
4. ¿Qué hacen para que los clientes tengan confianza en su portal?
ESTADÍSTICAS:
1. ¿Cuántas personas visitan su portal de ventas?
2. ¿Cuántas personas realizan compras en su portal de ventas?
3. ¿Qué porcentaje de ventas tienen en Internet con respecto a las ventas totales de la
compañía?
4. ¿Cómo se dividen las ventas en Internet con respecto a los diferentes medios de pago que
ofrecen en el portal? (Ej: % en tarjeta de crédito, % en tarjeta débito, etc.).
5. ¿Qué porcentaje de estas ventas resultan ser fraudes?
VISIÓN A FUTURO:
1. ¿Cómo esperan que crezca la compañía con estas tecnologías?
2. ¿Qué perspectivas tienen a futuro de su compañía en el comercio electrónico?
2.2 PREPARACIÓN DE LAS ENCUESTAS:
Se tomó una muestra de 100 estudiantes con el fin de dar una idea clara de cómo es el posible
comportamiento de los clientes frente al comercio electrónico.
El siguiente es el formato utilizado para la realización de encuestas:
Edad:___ Carrera:__________________________________
62
1. Ha realizado compras por Internet?
Si__ No__ ¿Por qué? ____________________________________
Si respondió SI en la anterior pregunta continúe con las siguientes:
2. En qué tipo de sitios ha realizado compras en Internet:
a. Supermercados d. Tecnología
b. Entretenimiento e. Otro
c. Subastas
¿Cuáles?_____________________________________________
3. ¿Qué medios de pago ha utilizado en sus compras por Internet?
a. Tarjeta de Crédito d. Contra entrega
b. Tarjeta Débito e. Otro ¿Cual?_____________
c. Consignación
4. ¿Cómo califica la confiabilidad de los sitios en los cuales ha comprado?
a. Excelente. c. Regular.
b. Bueno. d. Deficiente.
5. Cómo califica la facilidad en el proceso
Fácil 1___ 2___ 3___ 4___ 5___ Complejo
¿Por qué?_______________________________________________
6. ¿Ha sido víctima de un fraude en Internet?
a. Si, ¿donde?_______ b. No.
7. Si ha hecho compras han sido en:
a. Colombia. c. Europa, ¿País?________.
b. USA. d. Otro, ¿Cual?__________.
63
2.3 ESTADÍSTICAS:
Se revisaron estadísticas que pudieran dar algunos datos para la investigación, sin embargo se
encontraron algunos inconvenientes porque casi toda la información encontrada no era referente
a Colombia. Aún así se incluye esta información en los anexos de la investigaciónXLVII.
XLVII Estadísticas tomadas principalmente de: www.deltaasesores.com/esta, (Consulta Octubre de 2004).
64
CAPÍTULO 3. ANÁLISIS DE LA INFORMACIÓN OBTENIDA
3.1 ANÁLISIS DE LAS ENTREVISTAS:
3.1.1 PORTALES:
De las entrevistas en los portales se obtuvo el siguiente análisis:
Almacenes Éxito:
• Admiten que existe el miedo por parte de los usuarios para realizar transferencias en su
portal.
• Utilizan la mayoría de medios de pago existentes en el país para comercio electrónico
(tarjetas de crédito: VISA, American Express y Master Card. Tarjetas débito: todas menos
Davivienda y consignaciones).
• Existe inestabilidad en las plataformas e interfaces, es decir, problemas técnicos que
interfieren con el buen funcionamiento de las transacciones.
• Utilizan Microsoft Commerce Server para el manejo de las transacciones y VeriSign para la
seguridad en éstas.
• Han tenido fraudes pero los limitan a los casos de tarjetas de crédito robadas.
• Su portal lo utilizan en su mayoría personas del exterior que desean comprar artículos
para sus familiares en Colombia, son 93.000 aprox. Al mes y de 50 a 70 ventas diarias.
• Su fortaleza para el mercado internacional es que es más barato que hacer un giro y
además el dinero se esta utilizando para un fin deseado por la persona que hace el envío.
• Su meta es darse a conocer aun más en todo el país y en las colonias de colombianos en
otros países para ofrecer sus servicios de ventas por Internet.
• Las transacciones con tarjeta de crédito se realizan fuera de línea (off-line) en batch
(lotes).
• Las transacciones con tarjeta débito se realizan en línea (on-line).
• Utilizan el pago contra entrega para la venta de mercados.
65
La tienda de las rosas.com
• Ven Internet como la mejor plataforma para distribuir su mercancía, está dirigida en
especial a los colombianos en el exterior que quieran realizar compras de flores para
personas en Colombia.
• Ven a Internet como “una vitrina de 7x24 ( 7 días a la semana por 24 horas al día).”
• Se basan en que en Colombia la mayoría de portales que se dedican a este negocio no
ofrecen nuevas tecnologías, sino que copian viejas ideas ya realizadas, lo cual no genera
un avance significativo en este comercio.
• Ven varios problemas en el comercio electrónico colombiano como:
o No existe una entidad gubernamental que proporcione información sobre otras
empresas del medio.
o En Colombia la mayoría de portales están orientados a ser únicamente “páginas
informativas”, no está bien diferenciado los portales que realmente operan en
Internet y los que solo brindan información.
o No existe un banco de tarjetas “negras” para evitar fraudes en compras no
presénciales.
o El sistema financiero es un intermediario que encarece demasiado las ventas de los
productos.
• Utilizan como medios de pago las tarjetas de crédito (VISA, Master Card, Dinners,
Credencial y American Express), consignaciones y próximamente tarjeta débito.
• Las entidades financieras trabajan en soluciones para aumentar la seguridad en las
transacciones, como asignación de claves para compras no presénciales, el problema es
que trabajan “aisladamente” y ofrecen estas soluciones como un producto más que se
debe comprar.
• Utilizan tecnología .net para un buen desempeño en la página, y VeriSign para garantizar
la seguridad de las transacciones.
• Su proveedor de servicios es “Panda Consulting” quienes les ofrecen la tecnología de
Firewall, antivirus y otros para tener una plataforma segura.
• Los fraudes son mínimos y según ellos inevitables.
66
• En promedio los visitan 450 personas al día, 7000 personas han realizado por lo menos
una compra en su portal y dividen el porcentaje de sus ingresos en los medios de pago
que manejan así:
o 90% Tarjetas de crédito
o 10% Consignaciones.
• Solo un 1.5% de sus ventas resultan ser fraudes.
Suramericana
• Ven en el comercio electrónico un medio más económico, rápido y un mayor mercado con
más oportunidades para la gente joven.
• Ven que la principal desventaja en el comercio electrónico es la cultura dado que la gente
aún no confían en los medios electrónicos.
• Manejan TC.
• La falla principal en el proceso de pago es la caída del sistema.
• Trabajan .Net y Java.
• Utilizan Certificados Digitales, firmas públicas y privadas entre sitios de comercio.
• Nunca han tenido un fraude.
• 25000 usuarios al mes.
Carulla Vivero:
• Llevan 3 años con su portal (Oct 2002).
• Ven en Internet la oportunidad de innovar y crecer en el mercado.
• Por su portal venden mercados, Bonos y la inscripción para nuevos clientes.
• El problema principal que ven en el mercado es el estancamiento cultural y tecnológico
que existe en el país.
• Únicamente pocas personas acceden a estos servicios (Estratos 4, 5 y 6).
• Hay muy poco acceso por parte de la sociedad a la tecnología.
• Como medios de pago utilizan efectivo y bonos contra entrega después de haber hecho el
pedido en Internet. Tarjetas crédito y débito para pagos en línea.
67
• El sector financiero no presta buenas soluciones para pagos en línea, la mayoría de las
aplicaciones deben ser realizadas por ellos mismos.
• Poseen certificación de certicámaras.
• Han tenido fraudes, puesto que para ellos es muy difícil comprobar que el cliente que
realiza la compra es quien dice ser.
• En caso de fraudes solo responde el almacén.
• Su portal recibe 100 clientes al mes.
• En tecnología utilizan bases en Oracle, administradas con aplicaciones Java.
• Poseen 4 servidores, 2 para BD y 2 de aplicaciones con Apache.
Héctor Orlando Huyo (Administrador de Empresas con especialización en mercadeo):
• El comercio electrónico se encuentra solo en inicios.
• Aun no hay transacciones: más que todo existe información.
• Las compañías no utilizan sus páginas para recolectar información de sus clientes.
• Solo estamos a un 15% del desarrollo del comercio electrónico.
• La penetración de Internet en el país no pasa de un 5% al 10%.
• Falta desarrollo en B2C y en B2B
• No hay una buena penetración de la tecnología en el país.
• El cliente no confía en una conexión con velocidad baja porque le toma mucho tiempo.
• No existen políticas de estado para el desarrollo del comercio electrónico.
• Las compañías no invierten en el comercio electrónico y caen en un círculo vicioso de no-
desarrollo.
• No existen medios de pago directos en Internet sino con intermediarios (subastas).
• El cliente no tiene una facilidad en los medios de pago.
• El usuario no confía en los medios de pago, requiere una cultura de pago para utilizar este
servicio.
• Las empresas no han desarrollado bien sus páginas transaccionales, son solo informativas.
• Los Bancos no invierten en investigación por lo que aun no ven el desarrollo en el país.
• La solución se basa en varias partes:
• El estado debe tener una política de fomento del comercio electrónico.
68
• Los bancos deben garantizar buenos niveles de seguridad para que las empresas y
los clientes confíen (Ya existen los medios seguros).
• Las empresas deben popularizar sus servicios.
• Se requiere es que las empresas demuestren a sus clientes que este es una
oportunidad de comercio que puede ser muy exitoso.
• Un medio de pago alternativo puede ser un camino de mejoramiento del sistema.
3.1.2 ENTIDADES FINANCIERAS
De las entrevistas en las entidades financieras se obtuvo el siguiente análisis:
VISA:
• Prestan el servicio de pasar transacciones para el comercio electrónico.
• El comercio electrónico lleva 3 años.
• En Colombia el problema principal es el fraude y la gran cantidad de reglas que trabajan
para evitarlo
• Verified By VISA, Agrega una clave a la transacción, así la responsabilidad del fraude la
asume el banco.
• Si se realiza la transacción sin Verified By VISA, el comercio responde por el fraude.
• Picas: Reglas que establecen que tipo de transacciones se deben autorizar (niega
comercio electrónico).
• El único medio de pago que ofrecen es la tarjeta de crédito
• El comercio electrónico se maneja como un data fono especial, el cual incluye unos
campos especiales los cuales definen que es comercio electrónico.
• Verified By Visa es el principal método de seguridad para el comercio electrónico.
• Internamente se manejan redes neuronales que analizan los movimientos de una tarjeta
de crédito para revisar si son riesgosos los movimientos y si rompen el comportamiento
normal de un cliente.
• Es viable el comercio electrónico en Colombia, pero orientado a estratos altos los cuales
son los que tienen principal acceso a la tecnología y los recursos necesarios.
69
• El fraude es el principal problema en el comercio electrónico porque se manejan
transacciones no presenciales sin lectura de banco, lo cual facilita el robo.
TODO1:
Aunque TODO1 no respondió la entrevista como tal, nos dio un resumen de su servicio principal
para comercio electrónico que es “e-pagos”:
• Se trabaja por medio de tarjeta débito.
• Tanto portal como usuario deben tener una cuenta en Conavi o Bancolombia.
• El débito se realiza en la página de TODO1 después de que el cliente ha seleccionado el
producto que desea comprar.
• Cuenta con seguridad SSL (Se le otorga una llave al portal para sus transacciones).
• Exigen a los portales cierto nivel de seguridad antes de prestarles el servicio.
• Exigen una comisión por transacción realizada del 1.5% + IVA y $50.000 + IVA por
conexión realizada con cada banco, es decir una conexión que requiera una nueva llave
digital, no cobran cuota mensual.
• Este servicio no está diseñado para trabajarse con tarjetas de crédito.
• La entidad financiera responde por el no repudio de la transacción a diferencia de los
pagos con Tarjeta de Crédito.
• Las transacciones se realizan en los servidores de TODO1 directamente y no en los
Bancos.
3.2 ANÁLISIS DE ENCUESTAS
Sobre las encuestas se obtuvo la siguiente información:XLVIII
La población que realiza compras en Internet es muy reducida, teniendo en cuenta que la
encuesta se realizó entre población de la universidad Javeriana (Asumiendo estrados de 3 al 6).
XLVIII Cabe recordar que las gráficas de las encuestas se encuentran en un documento anexo, dado que de estas se saco gran parte del análisis de esta sección.
70
Las personas que realizan compras en Internet no superan el 39% de la muestra encuestada.
Esto muestra que el comercio electrónico se encuentra poco popularizado aún en la
población que tiene acceso a Internet y a medios de pago validos.
Sobre la seguridad y los fraudes se puede sacar una gran conclusión de las encuestas, esta sale
basado en que la principal razón de la no compra en Internet es la seguridad entre las personas
que no han realizado comercio electrónico. Pero si se revisan las opiniones y resultados de las
personas que lo han realizado, se observa que existe un buen nivel de confiabilidad en los sitios
(del 87% excelente - buena) y aunque existen fraudes, son solo del 10% en la población
encuestada. Por esto se puede mostrar que los fraudes afectan en un porcentaje el
comercio electrónico, pero en gran parte, es el miedo a los fraudes y a la falta de
seguridad lo que detiene a posibles compradores a que se desarrolle este comercio,
esto se puede deber a un efecto en cadena donde una sola historia de un fraude sin
conocerse a fondo, sugestiona a posibles compradores en Internet que hubieran
podido tener transacciones exitosas.
Se muestra que la tarjeta de crédito es el medio de pago más utilizado en las compras en
Internet, tanto en las compras en nuestro país como por fuera de este y se ve que es el medio de
pago más aceptado por los compradores en la red. Esto muestra que la tarjeta de crédito es
el medio de pago ideal para las compras y transacciones en el comercio electrónico.
La complejidad en los procesos de pago se encuentra entre los niveles 1 - 3 (facil – medio), lo
cual indica que la complejidad en las compras es relativamente sencilla en algunos casos, un
punto importante es que si se cruza la información del nivel de complejidad 1 con TC, no hay
ninguno en Colombia (Solo en USA), la TC en Colombia comienza a aparecer del nivel 2 hacia
arriba. Esto puede indicar que en nuestro mercado Colombiano hace falta simplificar
un poco los procesos de compra, para atraer aun más a los compradores al comercio
electrónico.
Aparte de las razones comunes de los no compradores en Internet (Seguridad o no necesidad),
encontramos una nueva: “No posee Tarjeta de crédito”. Si revisamos, el comercio electrónico
71
permite otros medios de pago aparte de la tarjeta de crédito. Esto hace evidente la falta de
conocimiento de los medios de pago en el comercio electrónico, lo puede influir en su
falta de desarrollo.
3.3 ANÁLISIS DE ESTADÍSTICASXLIX:
A continuación mostraremos un grupo de estadísticas relevantes a nuestra investigación, con el
objeto de observar el comportamiento de comerciantes y clientes en el comercio electrónico B2C,
no solo en Colombia sino en diferentes partes del mundo.
• En el año 2004 la empresa Cintel realizó una encuesta a 1300 personas colombianas,
acerca de los servicios que utilizan en Internet, aunque solo el 12,98% tienen acceso a la
red. El resultado más relevante, teniendo en cuenta nuestra investigación, es que solo el
17% de las personas que acceden a Internet realizan compras por este medio. Esto nos
da a entender, que es muy poca la cantidad de personas que utilizan o tienen
acceso a Internet y que además realizan compras por este medio.
• Según e-Marketeer en el año 2001, los ingresos en América Latina por ventas en el
comercio electrónico B2C ascienden al 20,1% y el 79,9% corresponden a las ventas en el
comercio electrónico B2B. Esto nos da a entender que el comercio electrónico B2C
es un medio poco utilizado en América Latina, tal vez por las razones que se
están encontrando en el desarrollo de esta investigación.
• Según IDC en el año 2004, la distribución del comercio electrónico a nivel mundial es el
siguiente: Estados Unidos 38%, Europa Occidental 33%, Japón 12%, Asia 5%, resto del
mundo 7%. Esto nos muestra que este tipo de comercio esta desarrollado en
Estados Unidos y Europa Occidental y en Colombia que se ubica en el 7% del
resto del mundo, esta en un nivel muy bajo de desarrollo.
XLIX Estadísticas, análisis basado en las investigaciones de Delta Asesores, Disponible en Internet [http://www.deltaasesores.com/esta/?pplest]
72
• Una encuesta realizada por Ipsos-Reid, durante diciembre de 2002, sobre los artículos que
los usuarios comprarían por Internet, entre los que se destacan: 65% Libros y Vídeo, 53%
CD de Música, 46% Ropa y Accesorios, 35% software y hardware. (Se permitieron
múltiples respuestas).
• En un estudio realizado por Nielsen/Netrating en el año 2003, se determinaron que tipos
de productos se compraron o adquirieron por Internet, entre los que mas se destacan:
58% Ropa, accesorios, zapatos, 53% Viajes y servicios relacionados con viajes, 47%
Equipos y programas de computo, 31% en Electrónica para el hogar.
• Una encuesta realizada por CyberSource y Mindwave Research el porcentaje de perdidas
por fraudes en Internet en Estados Unidos, ha disminuido en los últimos años: 3.6% de
las ventas en el 2000 3.2% de las ventas en el 2001, 2.9% de las ventas en el 2002,
1.7% de las ventas en el 2003. Este porcentaje nos muestra como se han tomado
medidas importantes en la parte de seguridad al realizar transacciones por
Internet en los Estados Unidos.
• Un informe presentado por la Comisión de Regulación de las Telecomunicaciones en
Colombia en el año 2002/2003, sobre los subscriptores a servicio conmutado a Internet
arroja los siguientes resultados: Bogota 28.3% , Medellín 25.3%, Cali 14.1%, Barranquilla
3.2%, Cartagena 2.2%, Manizales 2.5%, Pereira 2.6%, Bucaramanga 2.6% y Armenia
1.6%. Aquí se muestran como las principales ciudades del país tienen mayor
número de subscriptores lo cual las hace un mejor mercado objetivo a la hora
de ofertar productos por Internet.
• Asobancaria realizó un informe en el año 2003/2004 sobre los costos por transacción
bancaria, dependiendo del canal utilizado, entre los que destacamos están: US$0.14
Internet, US$0.72 ACH, US$0.34 ATM. (US$1 = $2725). Esto hace que los precios de
los productos que se venden por Internet disminuyan en este aspecto.
73
• Una encuesta realizada por Frank Linn y Asociados en el año 2003, sobre lo que las
personas buscan en una tienda virtual arroja los siguientes resultados: La gente lo que
más busca es un buen precio de los productos con el 89%, seguido de políticas de
devolución y facilidad en el proceso de compra con un 78% y 76% respectivamente,
terminando con una buena reputación del almacén y buenos métodos de despacho de los
productos con un 73% y 65% respectivamente. Es lo más natural solicitarle a un
portal de ventas en Internet que cuente con estas características para tener
éxito por Internet.
• El E-Tailing group reveló los mejores sitios de compras por Internet teniendo en cuenta: el
tiempo para comprar, el número de clics para pagar, días hábiles para recibir el pedido,
tiempo para contestar un e-mail y número de días para recibir el abono. Entre estos sitios
destacamos: Amazon.com, CDNow, drugstrore.com, JC Penney, entre otras. Estos sitios
ofrecen buenos precios y un proceso de compra adecuado para facilitar el trabajo a sus
clientes.
• En un estudio realizado en el año 2000 por Goldmann Sachs, Harris Interactive y Nielsen
NetRatings, muestran las inconformidades que tuvieron las personas al querer comprar
por Internet, entre las principales inconformidades están: El 16% no pudo encontrar lo
que buscaba, el 10% que el producto estaba agotado, el 9% decía que no había acceso al
sitio Web, el 6% que hubo falla en el sitio Web impidiendo la transacción,
el 3% decía que hubo falta de respuesta en Servicio al Cliente, el 2% que el pedido no
llegó en el tiempo prometido, el 1% obtuvo un producto incorrecto o defectuoso y menos
del 1% tuvo dificultad para devolver el producto.
• Forrester Research en un estudio en el 2001 hizo unos estimativos sobre el
comportamiento y crecimiento del comercio electrónico B2C en los usuarios de Internet.
Algunos productos que tienen buenas proyecciones para el 2005, según el estudio, son: la
comida y bebida, implementos deportivos, automóviles, elementos para mascotas, entre
otros. Aunque esto puede variar dependiendo de las necesidades que se tengan en algún
momento determinado.
74
CAPÍTULO 4 FORMULACIÓN DEL PROBLEMA Y APORTE FINAL
4.1 FORMULACIÓN FINAL DEL PROBLEMA:
Se encontraron varios problemas al realizar transacciones a través del comercio electrónico B2C
en Colombia, en diferentes aspectos:
Cultural:
• Las personas tienen miedo de sufrir fraudes en Internet, más por su falta de conocimiento
en el proceso.
• El comercio electrónico no se ve como una opción para realizar compras, muchas veces
por falta de conocimiento de los servicios que presta.
• Los clientes no siempre están lo suficientemente capacitados para evitar fraudes.
Tecnológico:
• Los bancos no prestan los servicios suficientes y necesarios para un buen Comercio B2C.
• Los clientes son muy susceptibles a fraudes, puesto que las máquinas que utilizan son lo
suficientemente vulnerables para ser blancos de los delincuentes debido a su falta de
seguridad en muchos casos.
Económico:
• Falta de recursos de las empresas para montar portales que permitan transacciones
seguras y correctas.
• Solo una pequeña parte de la sociedad posee los medios necesarios para realizar comercio
electrónico.
• Este medio continúa siendo costoso para clientes y comerciantes, por lo cual no siempre
es competitivo.
• Las entidades financieras encarecen los productos y prestaciones de servicios necesarios.
75
Proceso:
• Algunas veces existen demasiados pasos para realizar una compra lo cual hace incomodo
el proceso en el comercio electrónico.
• Solo muy pocos portales ofrecen varios medios de pago, la mayoría se limitan a la tarjeta
de crédito, lo cual restringe la cantidad de clientes que pueden realizar las compras.
4.2 COMPROBAR HIPÓTESIS CON PROBLEMAS ENCONTRADOS:
Partiendo de la hipótesis de que el principal problema del comercio electrónico, en la rama B2C,
se encuentra en los medios de pago que se han implementado en este sistema. Hacemos la
comparación con los anteriores problemas encontrados y vemos la relación que tienen estos con
la hipótesis:
Las personas tienen miedo de sufrir fraudes en Internet: El miedo existe cuando se utiliza el
medio de pago de la tarjeta de crédito, porque no se confía en la seguridad de la transacción.
Este es un problema cultural que se basa en la falta de conocimiento en los procesos de fraude y
en la seguridad de los sitios, por lo cual este problema no se soluciona cambiando los medios de
pago, sino revisando los procesos de pago ya que estos tienen una relación indirecta con los
medios porque son a través de los procesos como los medios actúan y algunas veces estos
procesos no son los mas efectivos y hacen que los clientes desconfíen del portal.
El comercio electrónico no se ve como una opción para realizar compras, muchas veces por falta
de conocimiento de los servicios que presta: Este problema no es referente a los medios de pago,
principalmente es un problema cultural y de falta de publicidad, por esta razón no se hará una
referencia muy profunda sobre este aspecto.
Los clientes no siempre están lo suficientemente capacitados para evitar fraudes: Los usuarios
que realizan comercio electrónico, muchas veces son victimas de fraudes por no conocer su
modus operandi, además muchas veces tampoco conocen los procedimientos de bancos y
76
portales para el manejo de la información, este aspecto no es relativo a los medios de pago, pero
si es importante y relevante en nuestra investigación, para determinar el origen de los fraudes
que son un gran problema del comercio electrónico.
Los bancos no prestan los servicios suficientes y necesarios para un buen comercio B2C: No
todos los medios de pago ofrecidos por los bancos cubren las necesidades del comercio
electrónico, ya sea, porque los procesos no son los más adecuados, o porque la prestación de sus
servicios encarecen los productos que se venden.
Los clientes son muy susceptibles a fraudes, dado que las máquinas que utilizan son bastante
atacadas por delincuentes por su falta de seguridad: En el proceso de compra, existen riesgos de
fraude los cuales siempre están latentes en el momento de hacer las compras, porque las
máquinas en las que trabajan los clientes son muy susceptibles a ataques y son el principal
blanco por la información que suministranL
Los problemas económicos no son abordables en este trabajo, solo se enuncian para mostrar el
resultado de la investigación inicial, pero no se trabajan porque no entran en el alcance del
proyecto.
Algunas veces existen demasiados pasos para realizar una compra lo cual hace incomodo el
proceso en el comercio electrónico: Este problema no hace referencia solo a los medios de pago,
es un problema de proceso en la transacción y compra. Algunas veces el problema es en el
proceso puesto que la comprobación de información exige varios pasos y conexiones. También
existe otro problema: en la mayoría de portales al realizar transacciones con tarjeta de crédito no
son en línea, como el caso de El Éxito, lo que trae como consecuencia demoras para confirmar la
transacción y eso hace que el cliente no quede a gusto con el proceso.
Solo muy pocos portales ofrecen varios medios de pago, la mayoría se limitan a la tarjeta de
crédito, lo cual restringe la cantidad de clientes que pueden realizar las compras: Este problema
L Ver marco teórico, sección de fraudes
77
concierne a los medios de pago, pero no en cuanto a su funcionamiento, sino en la falta de
ofrecer mayor cantidad de opciones a los compradores.
Después del análisis anterior podemos decir que el principal problema no solo se encuentra
en los medios de pago que se han implementado en este sistema, sino también en
aspectos culturales, económicos, tecnológicos y de proceso de transacción.
Ahora, proponer un nuevo medio de pago para nuestro mercado podría ser una buena solución,
por ejemplo, en países como Estados Unidos es muy utilizado el sistema de bonos prepago
electrónicos por Internet, el cual aún no se ha considerado implementar en Colombia y sería
posiblemente una buena opción para aumentar, tanto seguridad como clientes potenciales.
También se ve una buena solución proponer cambios y mejoras en los procesos de pago que
funcionan actualmente, ya que los medios de pago existentes pueden cubrir con las necesidades
de pago, mientras que sean corregidas fallas existentes en algunos procesos.
4.3 APORTE FINAL:
El aporte final de la investigación se dividió en 3 puntos:
4.3.1 MEDIO DE PAGO PROPUESTO:
Revisando los medios de pago existentes en el país, no se encontró un sistema de bonos
electrónicos, que pudieran disminuir el riesgo de robo de información financiera de los clientes y
que además, pudiera estar disponible para una mayor cantidad de personas para así aumentar
los clientes potenciales.
Por esto se propone un sistema de distribución de bonos electrónicos que cumpla con los
requerimientos mencionados anteriormente y que además sea lo más sencillo posible de
implementar, el bono debe poder ser comprado no solamente vía Web, sino también por un
agente comercial real, para las personas que no tienen acceso a medios de pago electrónicos.
78
En el caso de compra del bono con un agente el proceso es el siguiente:
1. El cliente se acerca a una de las agencias y paga por el bono si desea en efectivo o con
cualquier otro medio de pago de uso común en una compra física.
2. A el cliente se le asigna un código y se registra en el sistema por el valor que se compró el
bono.
3. El cliente ingresa a su portal de comercio electrónico y prepara una compra.
4. A la hora del pago, el cliente selecciona la opción en el portal de pagar con bonos.
5. El cliente ingresa el código de su bono en el sistema.
6. El comercio se comunica con la empresa emisora de bonos, lo valida y realiza la
transacción a su cuenta.
7. El comercio autoriza la venta para el cliente.
8. La compra fue realizada satisfactoriamente en línea.
En el caso de compra del bono en línea el proceso es el siguiente:
1. El cliente ingresa al sitio Web de la empresa emisora y solicita un bono el cual cancela por
un medio de pago habitual en Internet (Tarjeta crédito ó tarjeta débito).
2. El sitio Web valida la venta siempre teniendo en cuenta, que está registrado como un sitio
seguro, es decir que aparte de un certificado digital, posee la última tecnología en
procesadores de pago.
3. A el cliente se le asigna un código y se registra en el sistema por el valor que se compró el
bono.
4. El cliente ingresa a su portal de comercio electrónico y prepara una compra.
5. A la hora del pago, el cliente selecciona la opción en el portal de pagar con bonos.
6. El cliente ingresa el código de su bono en el sistema.
7. El comercio se comunica con la empresa emisora de bonos, lo valida y realiza la
transacción a su cuenta.
8. El comercio se comunica con la empresa emisora de bonos, lo valida y realiza la
transacción a su cuenta.
79
9. El comercio autoriza la venta para el cliente.
10. La compra fue realizada satisfactoriamente en línea.
Las ventajas de este modelo son las siguientes:
• Se aumenta la cantidad de clientes potenciales, porque la venta de bonos física permite
utilizar medios de pago no electrónicos.
• Disminución de riesgos por la información personal enviada por Internet, dado que la
información se envía a un solo portal confiable.
• El proceso de pago en el portal de comercio se realiza en línea.
• Disminuye el miedo de las personas a utilizar este medio de pago puesto que la cantidad
que está en riesgo por lo general será menor que el cupo de una tarjeta de crédito.
Al igual que todos los procesadores de pago, se requiere desarrollar una herramienta que sea
capaz de comunicarse fácilmente con el comercio y se puede cobrar una comisión sobre los
comerciantes por el uso de este servicio.
Para que el sistema tenga una mejor acogida por las personas, se recomienda que lo implemente
una empresa que ya tenga experiencia en manejo de bonos comerciales (Ej. Sodexho Pass), para
generar una mayor confianza en sus clientes.
La idea únicamente es proponer este medio de pago para una futura investigación o
implementación. Se sugiere este medio de pago basado en los resultados de la investigación
actual.
4.3.2 MANUAL PARA COMERCIO ELECTRÓNICO EN COLOMBIALI:
Buscando solucionar algunos de los problemas encontrados anteriormente, en esta investigación
se desarrollo un manual orientado a los comerciantes que desean implantar un portal de comercio
electrónico en Colombia, o para quienes ya tengan un portal y deseen mejorar sus procesos.
LI Manual de comercio electrónico en los Anexos
80
4.3.3 PORTAL DEMOLII:
Se desarrollo un pequeño portal de muestra No Funcional, que en conjunto con el manual,
busca orientar a los comerciantes en consejos básicos que se deben tener en cuenta a la hora de
implantar un portal de comercio electrónico
Con estos tres puntos no solamente se espera cubrir algunos de los objetivos de la investigación,
sino también demostrar el aporte final del proyecto de grado.
LII Portal incluido en CD adjunto al documento
81
CONCLUSIONES
1. La hipótesis planteada en la investigación es incompleta, dado que existen varios
problemas adicionales a los medios de pago, como fallas en los procesos de pago, problemas
culturales, económicos y tecnológicos. Estos problemas se encontraron a través de las encuestas
y entrevistas. En las entrevistas se vieron algunos problemas culturales y tecnológicos como el
caso de Suramericana que tiene algunas fallas con la estabilidad del sistema. En Éxito, Carulla y
latiendadelasrosas.com se muestra como los clientes no han adquirido una cultura de compra por
miedo a los fraudes y otros problemas relacionados a este. Igualmente en las encuestas, del 61%
de las personas que no realizan compras por Internet la mitad no lo hacen por seguridad.
2. Los medios de pago son correctos, es decir que los medios de pago encontrados como la
tarjeta de crédito y débito, son los que se usan tanto en el mercado colombiano como en el
mercado internacional. En las entrevistas realizadas a los portales se encontró que la tarjeta de
crédito es el principal medio de pago. Además las entidades financieras como Visa, ha realizado
soluciones muy efectivas como Verified by Visa, para darle mayor soporte de seguridad, agilidad
a la tarjeta de crédito y con transacciones en línea. Sin embargo con las otras tarjetas de crédito
como Master Card, Dinners y American Express las transacciones se realizan en batch. También
se debe tener en cuenta el medio de pago contra entrega, que se utiliza en el país en menor
proporción que la tarjeta de crédito. Según las encuestas realizadas el 10% de las personas que
realizan compras por Internet lo hacen a través del pago contra entrega, aunque este último no
es un pago en línea, si es una buena alternativa para incentivar las compras por Internet.
3. Se pueden mejorar los procesos de pago en algunas partes, sin embargo se debe revisar
el costo/beneficio para ver si esta mejora es necesaria. De acuerdo a las encuestas realizadas el
34% de las personas que compran en Internet encuentran el proceso de pago con un grado de
complejidad de medio a alto. La razón más común era que tenían que realizar muchos pasos para
efectuar la compra. Otro aspecto a tener en cuenta en el proceso de pago, es ver que en algunos
de los portales entrevistados tienen problemas de estabilidad en el sistema, lo cual hace que se
llegue a perjudicar a los clientes en el momento en que estos realicen la compra.
Mejorar los procesos de pago tiene ventajas y desventajas:
82
a. Ventajas:
• Aumento de clientes potenciales.
• Expandir su cobertura a nivel internacional.
• Existen las tecnologías para el buen desarrollo del B2C.
• Mayor eficiencia en los servidores.
b. Desventajas
• El mercado en Colombia es reducido, por lo cual la inversión no siempre
es justificable.
c. Mejoras generales de los procesos de pago:
• Reducir el número de pasos para que el cliente se sienta mas cómodo al
realizar la compra. Incluir más posibilidades de medios de pago para
ofrecer a los clientes.
• Revisar costos/beneficios en cuanto a la tecnología en hardware y
software para optimizar el rendimiento del portal.
4. Existe cierto nivel de atraso en el comercio electrónico en Colombia comparado con países
más desarrollados en este medio (Como Estados Unidos y algunos países europeos). Este atraso
se ve principalmente reflejado en los medios de pago utilizados en Internet ya que muchas de las
transacciones se realizan en batch generando una transacción fuera de línea. Este aspecto
mencionado detiene fuertemente el avance del comercio electrónico ya que le disminuye
competitividad sobre los diferentes mercados con respecto a los clientes, dado que ellos por lo
general cuando desean realizar una compra, esperan que el pago y la confirmación de éste sean
inmediatos. Igual se han visto intentos de mejorar y proponer nuevos medios de pago online
como la tarjeta débito lo cual puede apuntar a que a futuro el problema de los pagos fuera de
línea comience a desaparecer.
5. La población de consumidores potenciales es baja por la economía del país, pero igual se
justifica mantener un portal de comercio electrónico en Colombia. Por ejemplo, Carulla en donde
83
al realizar la entrevista, informaron que tienen buena cantidad de clientes por teléfono y quieren
que estos se conviertan en clientes del portal. Sin embargo, al revisar las estadísticas nos damos
cuenta de que en países como en Estados Unidos hay mayor cantidad de clientes y el mercado es
grande, mientras que en Colombia como muestran las estadísticas, solo el 12,98% tiene acceso a
Internet y solo el 17% de los que tienen acceso realizan compras por Internet, lo que muestra
que es muy baja la población que puedan realizar este proceso de comprar por la red. Esto trae
como consecuencia que no se efectúen grandes inversiones en este comercio y por ende no se
cuentan con tecnologías sofisticadas en varios de los portales.
6. Hacer un portal no es tan costoso como muchas veces se piensa. A nivel de software se
puede adquirir productos “open source” y “freeware” como Linux, la maquina virtual de java,
frameworks de apache, entre otros. A nivel de hardware el precio de los servidores varía
dependiendo de la necesidad de la empresa, si se habla de pequeñas empresas se podría ver que
no son muchas las necesidades que requieren, esto reduce los costos en la implantación del
sistema manteniendo una cobertura limitada. Por ejemplo se pueden encontrar servidores Dell
desde $1.400.000 LIII, IBM desde $1.900.000 LIV y HP desde $2.200.000 LV.
7. Basado en el mercado internacional, un medio de pago nuevo para Colombia puede ser
un sistema de pago a través de bonos electrónicos, su funcionamiento se basaría en que una
empresa reconocida en el sector se encargara de comercializar bonos, los cuales se compraran
previamente ya sea en el sitio Web o personalmente con un agente autorizado. Estos bonos
tendrían validez en diferentes sitios de comercio electrónico y esto disminuiría los riesgos sobre la
información personal que se envía por Internet, ya que solamente se trabajaría con el código del
bono. Esto no solamente mejora la seguridad en el sitio de compras, sino que también
aumentarían los clientes potenciales ya que más personas podrían acceder a comprar los bonos
sin necesitad de una cuenta de crédito. Esto lo concluimos basado en lo investigado con respecto
a los medios de pago existentes y funcionales en el mercado internacional y comparado con los
encontrados en el mercado nacional.
LIII Autores Varios, Servidores, Dell 2005, Disponible en Internet [www.dell.com] (Consultado Mayo de 2005). LIV Autores Varios, Servidores, IBM 2005, Disponible en Internet [www.ibm.com] (Consultado Mayo de 2005). LVAutores Varios, Servidores, HP 2005, Disponible en Internet [www.hp.com.co] (Consultado Mayo de 2005).
84
8. El marco legal en Colombia no se establece como un obstáculo para el desarrollo del
comercio electrónico. Esto se muestra en la ley 527 de 1999, que establece normas para un flujo
adecuado de los procedimientos a llevar a cabo en lo relacionado a éste comercio y no es un
inconveniente que impida su desarrollo como tal, de hecho esta ley fue basada en leyes
internacionales con el mismo fin.
85
BIBLIOGRAFIA
1. BURGOS, Daniel y De-León, Luz. Comercio electrónico, publicidad y marketing en Internet,
Mc GRAW – HILL / INTERAMERICANA DE ESPAÑA, S. A. U., 2001.
2. HILBERT, Martin. Building and information society: a Latin American and Caribbean
perspective. ECLAC, United Nations, 2003.
3. MARTING, Betty. Guía para la elaboración y presentación de trabajos de investigación,
Ediciones Jurídicas Gustavo Ibáñez C. Ltda, 1993.
4. MENASCE, Daniel. Scaling for E-Business. Prentice Hall, 2000.
5. TURBAM, Efrain. Electronic Commerce, a Managerial Perspective. PEARSON EDUCATION,
2002.
6. AUTORES VARIOS, Colombia: E-commerce retailing hampered by lack of payments
system, Disponible en Internet
[http://www.ebusinessforum.com/index.asp?layout=rich_story&channelid=4&categoryid=
28&doc_id=5634]
7. AUTORES VARIOS, Ley 527 de 1999, Secretaria del Senado de la República 1999,
disponible en Internet: [www.secretariasenado.gov.co/leyes/L0527_99.htm]
8. ALVAREZ, Gonzalo, SSL, 1997-2000, Disponible en Internet en
[http://www.iec.csic.es/criptonomicon/comercio/ssl.html]
9. Estadísticas, Disponible en Internet [http://www.deltaasesores.com/esta/?pplest]
10. AUTORES VARIOS, Verified by Visa, VISA 2001, Disponible en Internet
[http://www.visanet.com.pe/visa_como.htm]
11. AUTORES VARIOS, Verified by Visa, VISA 2001, Disponible en Internet
[http://www.visanet.com.pe/visa_tecnologia.htm]
12. AUTORES VARIOS, Proceso Quick Commerce Pro, Quick Commerce Pro 2000, Disponible
en Internet [http://www.ecx.com]
13. AUTORES VARIOS, Proceso eCheck.net, Authorize.net 2004, Disponible en Internet
[http://www.authorize.net/solutions/merchantsolutions/merchantservices/echeck]
14. AUTORES VARIOS, Proceso Master Card Secure Code, Master Card 2004, Disponible en
Internet [http://www.mastercardmerchant.com/securecode/index.html]
86
15. AUTORES VARIOS, Microsoft Commerce Server, Disponible en Internet :
[http://www.microsoft.com/commerceserver/default.mspx]
16. AUTORES VARIOS, Fraud Prevention, Verisign 2003. Disponible en
Internet :[http://www.verisign.com/products-services/payment-processing/online-
payment/payflow-pro/how-it-works.html].
17. AUTORES VARIOS, Online Payment Processing, Verisign 2003. Disponible en
Internet :[http://www.verisign.com/products-services/payment-processing/online-
payment/payflow-pro/how-it-works.html].
18. AUTORES VARIOS, How to Create an E-Commerce Web Site, Verisign 2003. Disponible en
Internet :[http://www.verisign.com/products-services/payment-processing/online-
payment/payflow-pro/how-it-works.html].
19. AUTORES VARIOS, Glosario sobre comercio electrónico, Disponible en Internet
http://personales.com/espana/leon/tristan/glosario.htm
20. AUTORES VARIOS, Glosario, Disponible en Internet [http://www.marketing-
xxi.com/glosario-de-terminos-de-marketing-en-internet- 149.htm]
21. AUTORES VARIOS, Glosario, Gobierno de Chile 2004, Disponible en Internet
[http://www.guiaweb.gob.cl/guia/glosario.htm]
22. AUTORES VARIOS, Servidores, Dell 2005, Disponible en Internet [www.dell.com]
(Consultado Mayo de 2005).
23. AUTORES VARIOS, Servidores, IBM 2005, Disponible en Internet [www.ibm.com]
(Consultado Mayo de 2005).
24. AUTORES VARIOS, Servidores, HP 2005, Disponible en Internet [www.hp.com.co]
(Consultado Mayo de 2005).
25. AUTORES VARIOS, Certificados digitales, Certicamara 2003, Disponible en Internet:
[www.certicamara.com]
87
GLOSARIO
ACH: Red bancaria encargada del intercambio de transacciones entre las diferentes entidades
financieras.
AGENCIA CERTIFICADORA: Entidad responsable de establecer identidades y crear los certificados
digitales que forman la asociación entre una identidad y una pareja de claves pública/privada.
ASP (Active Server Pages): Páginas que contienen código html y programas que se ejecuntan en
un servidor Microsoft Internet Information Server.
AUTORIDAD CERTIFICADORA: Entidad que da testimonio de la pertenencia o atribución de una
determinada firma digital a un usuario o a otro certificador de nivel jerárquico inferior.
B2C (Business-to-Consumer): Comercio de las empresas con el cliente final, al consumidor. Se
realiza en las tiendas on line que distribuyen al consumidor final.
CGI (Common Gateway Interface): Es un programa de interfaz que permite al servidor de
Internet utilizar programas externos para realizar una función específica.
CIFRAMIENTO: Operación que transforma datos legibles en ilegibles con el objeto de resguardar
cierta información que viaja por la red. Por ejemplo, los números de las tarjetas de crédito son
cifrados para luego ser descifrados sólo por el destinatario mediante una clave especial.
FIRMA DIGITAL: Datos cifrados de tal manera que el receptor pueda comprobar la identidad del
transmisor.
FTP (File Transfer Protocol): Protocolo que permite al usuario de un sistema acceder y transferir
ficheros de un ordenador a otro a través de Internet.
88
HASH: Valor numérico de longitud fija que identifica datos de forma unívoca. Se utilizan en firmas
digitales, dado que se pueden utilizar valores hash pequeños para representar cantidades de
datos de mayor tamaño, solo es necesario firmar el hash de un mensaje en lugar de los datos del
mismo.
HTML (HyperText Markup Language): Lenguaje informático utilizado para crear documentos
hipertexto.
HTTP (HyperText Transport Protoco): Protocolo para mover archivos de hipertexto a través de
Internet.
HTTPS: Protocolo http con seguridad SSL.
LLAVE PRIVADA: Llave que únicamente conoce un usuario y que aplica a los mensajes,
transacciones o archivos ya sea para cifrarlos, si los emite, o para descifrarlos si los recibe. Se
aplica en comercio electrónico a través de certificados digitales.
LLAVE PÚBLICA: Llave de un usuario que conoce la Autoridad de Certificación de modo que, o
bien pueda descifrar en destino un mensaje, transacción o archivo emitido con la llave privada, o
pueda emitir cifrado un mensaje, transacción o archivo que será descifrado.
MIME (Multipurpose Internet Mail Extension): Sistema que permite integrar dentro de un mensaje
de correo electrónico ficheros binarios (imágenes, sonidos, etc).
PÁGINA WEB: Archivo o unidad básica de información en la red que se construye con lenguaje
HTML. No tiene un límite en cuanto a su dimensión y se accede a ella a través de su dirección
específica o de un enlace. Es visible en un navegador o programa cliente WWW.
PKCS (Public Key Cryptography Standar´s): Conjunto de estandares de sintaxis para la
criptografía de llave pública que abarca funciones de seguridad como: métodos para firmar datos,
intercambiar llaves, solicitar certificados, cifrar y descifrar llaves públicas, entre otras.
89
PORTAL: Sitio Web que ofrece múltiples prestaciones y servicios con diferentes canales temáticos
y secciones de noticias, enlaces de interés, foros, etc. Su objetivo es convertirse en la página
referencia del mayor número de navegantes posible para captar un gran tráfico. Algunos de ellos
son Yahoo, Terra, etc. También se les denomina portales horizontales (en contraposición a portal
vertical) por ofrecer contenidos de varias áreas.
PROTOCOLO: Lista de comandos estandarizada a la que responde un servidor.
S-MIME: Sistema MIME en modo seguro y transparente.
SMTP (Simple Mail Transfer Protocol ): Protocolo utilizado para el manejo de correo electrónico en
Internet.
TCP (Transmission Control Protocol ): Protocolo para la transmisión de datos a través de la capa
de transporte en el modelo OSI.
WEB: Servidor de información WWW. Se utiliza también para definir el universo WWW en su
conjunto.
XML (eXtensible Markup Language): Lenguaje que nos ofrece un formato para la descripción de
datos estructurados.
90
ANEXO A. TABULACIÓN ENCUESTAS
91
ANEXO B. RESULTADOS ENCUESTAS
92
ANEXO C. ESTADÍSTICAS
93
ANEXO D. LISTA DE FIGURAS
Figura 1. Arquitectura Comercio Electrónico
Figura 2. Proceso de cifrado
Figura 3. Proceso de Firma
Figura 4. Certificado Digital
Figura 5. Proceso SSL
Figura 6. Proceso SET
Figura 7. Proceso de pago Verisign
Figura 8. Proceso Payflow Pro
Figura 9. Proceso Payflow Link
Figura 10. Proceso E-Check
Figura 11. Proceso portal – entidades en Colombia
Figura 12. Proceso Entidades Financieras VISA y Master Card en Colombia
Figura 13. Proceso portal – entidades en Estados Unidos
Figura 14. Pipelines en Microsoft Commerce Server
94
ANEXO F. MANUAL PRÁCTICO
95