Download entidad de certificación
Document related concepts
Transcript
ENTIDADES CERTIFICADORAS CERTICAMARA II Jornadas Nacionales de Seguridad Informática - ACIS 2002 Fernando Fernández Agenda Qué es Certicámara ? Algunas Estadísticas Negocios Electrónicos Certificación Digital Portafolio de Productos Qué es CERTICAMARA ? Empresa privada constituida como una Sociedad Anónima Entidad de Certificación Digital creada por las Cámaras de Comercio del país Entidad de certificación abierta lo cual significa que está aprobada y sometida al control y supervisión de la Superintendencia de Industria y Comercio. Cumple con los más altos estándares tecnológicos, de seguridad y operativos. Servicios en todo el territorio nacional a través de las Cámaras de Comercio . Contribuye a desarrollar : • La competitividad de las empresas y su participación en la nueva economía. • El crecimiento de los negocios electrónicos seguros en el país Principales objetivos de CERTICAMARA Brindar seguridad a las transacciones que se realizan por medios electrónicos. Proporcionar soluciones a las empresas en materia de implementación y utilización de nuevas tecnologías. Contribuir a la competitividad de las empresas y su participación en la nueva economía. Contribuir al desarrollo y crecimiento de los negocios electrónicos en el país, con estándares de seguridad que permitan el crecimiento de los negocios internacionales. Algunas Estadísticas USUARIOS DE INTERNET USUARIOS DE INTERNET EN EL MUNDO MILLONES 700 602 521 600 500 427 328 400 240 300 200 144 90 100 0 1997 1998 Fuente: International Data Corporation IDC 1999 2000 2001 2002 2003 USUARIOS DE INTERNET USUARIOS DE INTERNET AMERICA LATINA 37.670 MILES 40.000 29.498 35.000 22.588 30.000 16.162 25.000 20.000 10.199 15.000 10.000 3.041 6.293 5.000 0 1997 Fuente: International Data Corporation IDC 1998 1999 2000 2001 2002 2003 USUARIOS DE INTERNET USUARIOS DE INTERNET COLOMBIA MILES 1517 1600 1204 1400 1200 955 735 1000 800 429 600 400 574 208 200 0 1997 1998 Fuente: International Data Corporation IDC 1999 2000 2001 2002 2003 COMERCIO ELECTRONICO VALOR DE E-COMMERCE EN EL MUNDO MILLONES 1.640.221 $ 1.800.000 $ 1.600.000 $ 1.400.000 $ 1.200.000 $ 1.000.000 $ 800.000 $ 600.000 $ 400.000 $ 200.000 $0 930.795 515.197 268.614 130.546 15.450 60.365 1997 Fuente: International Data Corporation IDC 1998 1999 2000 2001 2002 2003 COMERCIO ELECTRONICO VALOR DE E-COMMERCE EN AMERICA LATINA MILLONES 10.957 $ 12.000 $ 10.000 6.420 $ 8.000 $ 6.000 3.331 $ 4.000 $ 2.000 43 203 600 1.453 $0 1997 Fuente: International Data Corporation IDC 1998 1999 2000 2001 2002 2003 COMERCIO ELECTRONICO VALOR E-COMMERCE COLOMBIA MILLONES 444,64 $ 500 $ 400 251,55 $ 300 $ 200 $ 100 52,28 2,28 7,77 124,77 21,44 $0 1997 Fuente: International Data Corporation IDC 1998 1999 2000 2001 2002 2003 PERSPECTIVAS DE INTERNET EN COLOMBIA PARA EL 2.001 Tasas de crecimiento para el 2.001 TRAFICO LOCAL: CLIENTES CONMUTADOS CLIENTES CON ACCESO DEDICADO CUENTAS DE CORREO NUMERO DE USUARIOS COMERCIO ELECTRÓNICO 453 % 41 % 90 % 60 % 30 % 138 % Negocios Electrónicos e-business e-Business e-Commerce Modalidades de Negocios Electrónicos Cliente Gobierno B2C Compañía B2B Puntos clave del Comercio Electrónico Se ha convertido en un nuevo mercado. No es un costo, es una inversión y por tanto una nueva fuente de ingresos. El riesgo de no estar en la red es que nuestros clientes y competidores si lo estén. La seguridad en la red es ya posible. Los certificados digitales y la nueva legislación contribuyen de una forma decisiva a ello. Beneficios del Comercio Electrónico Desaparición de límites del mercado tradicional: Económico Temporal Geográfico Aparición de nuevas relaciones empresariales. Fidelización de clientes. Más utilidad (no intermediarios) y menos costos. Misma seguridad que en el comercio físico. Inconvenientes a la expansión de los Negocios Electrónicos CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD NO REPUDIO Certificación Digital Qué es la Certificación Digital? Es un sistema que garantiza la identidad y otras cualificaciones de una persona que actúa a través de la red informática. A petición de una persona, una entidad de confianza comprueba fehacientemente su identidad y cualificación, y emite un Certificado Digital a favor de esa persona. CERTIFICADO DIGITAL Documento Digital de identidad emitidos a una persona (natural o jurídica). Este documento digital vendría a ser el equivalente a un Documento de Identidad, Licencia, pasaporte o carné de empresa. La emisión está bajo la responsabilidad por una entidad de certificación debidamente autorizada por la SIC. Esta entidad garantiza la veracidad de los datos relativos a una persona y contenidos en el citado documento. Mediante un conjunto de claves asociadas a una identidad, un Certificado sirve para identificarse ante terceros, y previene suplantación de la identidad en Internet. Este hecho lo convierte en herramienta clave para la identificación de las partes contratantes en el comercio electrónico. Utilidad de los Certificados Digitales El Poseedor de un certificado digital está en la capacidad de: Identificarse cuando le sea solicitado (garantía de identidad y cualificación) Firmar digitalmente un documento electrónico (firma digital, con el mismo valor legal que una firma manuscrita) Garantizar la integridad y confidencialidad de las comunicaciones (integridad y confidencialidad) Por qué las Cámaras de Comercio son ideales para emitir Certificados Digitales ? La ley 527 de Agosto de 1999 de Comercio Electrónico faculta a las Cámaras de Comercio, previo cumplimiento de los requisitos, a actuar como Entidades de Certificación digital. Dentro del marco del Desarrollo Empresarial, las Cámaras de Comercio tienen la misión de promover la competitividad de las empresas hacia la nueva economía para lo cual se deberá generar la cultura del uso del Internet dentro de la comunidad empresarial. Las Cámaras de Comercio administran el registro mercantil y dan publicidad a los actos de los comerciantes reflejándolos en los certificados que para tal propósito se expiden. El futuro debe contemplar que este proceso de certificación sea en un entorno digital y se reduzca la certificación en papel. Las cámaras de comercio son entidades que generan confianza a los empresarios y disponen de reconocimiento, los recursos y la infraestructura para llegar a ser la entidad de certificación empresarial más importante del país. Aportes de los Certificados Digitales a los Negocios Electrónicos CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD NO REPUDIACION El Comercio Electrónico es ágil, moderno y eficiente. Ahora también es SEGURO. Confiabilidad de un certificado digital La confiabilidad de un Certificado depende primeramente de la credibilidad de quien lo emite, es decir de la entidad de certificación. Depende también del método y los recursos utilizados para su emisión: soporte, identificación, seguridad, etc. Finalmente la confiabilidad también depende del ámbito de reconocimiento de este certificado. Qué es una Firma Digital ? “Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación” Ley 527 art. 2 literal c Atributos de la firma digital Es única Es verificable Está bajo control exclusivo del iniciador Está ligada a la información del mensaje Está de acuerdo con la reglamentación Art. 28 Ley 527 1999 Sistema PKI (Infraestructura de Llave Pública) Dos llaves Pública Pública y Privada. Complementarias. no derivables. RSA y DSA. Privada Almacenada en medio seguro. Ej: tarjeta inteligente • • • • Autenticación Confidencialidad Integridad No repudio Firma Digital - Creación Llave Privada del emisor Algoritmo de Firmado Digital Documento Firma Digital - Verificación Llave Pública del emisor Documento firmado Algoritmo de verificación de Firmas Digitales Documento fue firmado con llave privada del emisor (Sí, No) Documento fue modificado durante el recorrido (Sí, No) Alto grado de Sofisticación tecnológica pero con una gran Facilidad de utilización Internet ENTIDADES DE CERTIFICACIÓN Entidad de Certificación Es un Tercero de Confianza “Es aquella persona que, autorizada conforme a la presente Ley, está facultada para Emitir certificados en relación con las firmas digitales de las personas ,...” Art. 2 Ley 527 1999 Autorización de Funcionamiento de una Entidad de Certificación Toda actividad de Entidad de Certificación requiere autorización estatal. Es decir, cumplir estrictamente con la regulación colombiana: Ley 527 de 1999 Decreto 1747 de 2000 Resolución 26930 de 2000 (de la Superintendencia de Industria y Comercio). Clases de Entidades de Certificación (Ley 527) CERRADAS ABIERTAS Entidad de Certificación Cerrada Entidad de Certificación Cerrada Subscriptor Subscriptor Entidad de Certificación Subscriptor Entidad de Certificación Abierta Entidad de Certificación Abierta Subscriptor Subscriptor Entidad de Certificación Subscriptor Esquema Funcional Certicámara Autoridad de Certificación CA RA Autoridad Central de Registro Cámaras de Comercio LRA LRA LRA Autoridades locales de Registro Manejo de Solicitudes Certicámara 5 Generación del certificado CA 4 Visto bueno Envío del certificado RA Solicitud del certificado 3 Envío de notificación 2 LRA Verificación de datos 1 Solicitud del certificado Solicitante 7 6 CERTICAMARA Una Entidad de Certificación Abierta El medio adecuado e indispensable para la implementación de Transacciones de Alta Seguridad Transacciones de Alta Seguridad Ejemplos Montos económicos de alta cuantía Transacciones económicas muy frecuentes Estricto control de acceso Aplicaciones de seguridad estatal Transacciones con grandes implicaciones legales (ej. Consulta de pasados judiciales) Acceso a Bases de Datos confidenciales, Gestión de información sensible o crítica, Transacciones de Banca Empresarial y Corporativa. No repudio de movimientos financieros (ej. BVC). Relaciones seguras con el Estado (Gobierno en línea, información tributaria, reportes Superintendencias, ...) Contratos, convenios, acuerdos, ... Relaciones entre empresas (proveedores/clientes) En general transacciones B2B y B2G Transacciones de Alta Seguridad Exigencias Medio de almacenamiento de la llave privada de alta seguridad: Tarjeta inteligente • Microchip (procesador, memoria, software) • Pin • En el futuro : tokens, biométricos,... Identificación Meticulosa Procedimientos estrictos: Presentación de documentos, Verficación en el contexto laboral, familiar,otros, Referenciación, Presentación personal,... Lector & Tarjeta Inteligente Necesidades del Mercado Las empresas buscan: Expandir sus negocios a través de Internet. Efectuar negocios con “desconocidos”. Ser participes de la nueva economía. Convertir en realidad los principios comerciales de Internet Estar protegidos por la ley colombiana. Hacer transacciones electrónicas. Pero... de una manera SEGURA. Respuesta al Mercado Necesidades del mercado Portafolio de Productos : Certificado de Representación de Empresa Certificado de Pertenencia a Empresa Certificado de Servidor Seguro MECANISMOS DE IDENTIFICACION 2500 Empresas de EEUU Fuente: Forrester Research, Inc. 26 Contraseñas 98 2 Tokens 8 32 Tarjetas Inteligentes 4 52 Certificados 2 Biométricas 0 4 0 Otros 0 % Futuro Actualidad 0 20 40 60 80 100 120 Porqué la Certificación Digital en su negocio... Ofrece seguridad a sus transacciones electrónicas Permite implementar Negocios Electrónicos de manera segura Comunicarse de una manera segura Hacer economías importantes, al usar internet de manera segura. Tiene todo el amparo de la ley Cumple con altos estándares tecnológicos y operativos. Evita implementaciones largas y costosas Resultados rápidos Especialización vs Generalidad La seguridad es más que un concepto. No sólo es contar con hardware, software y servicios que protejan los sistemas de información. Debe ser una actitud cultural y una filosofía empresarial. Computerworld