Transacciones seguras (X)
por Luciano Moreno, del departamento de diseño web de BJS Software.

SET - Certificaciones.-

El protocolo SET es constituye el primer proyecto de certificación a escala global que se va a realizar. Los certificados SET se estructuran siguiendo una jerarquía piramidal única, cuya cúspide la ocupa la Autoridad Certificadora Raiz (Root CA), que es la encargada de certificar a todas las demás autoridades certificadoras.

Bajo la Autoridad Certificadora Raiz se encuentran las Brand CA, o Autoridades de Certificación de Marca, propiedad de las entidades emisoras de trajetas de crédito, entre las que destacan las pertenecientes a Visa International y MasterCard International, propulsoras del protocolo SET. Estas entidades son certificadas por la Autoridad Certificadora Raiz. Por lo tanto, cuando una Brand CA deséa obtener un certificado SET debe realizar una petición a la Root CA, en un archivo de formato estándar, el PKCS#107. Si dicha solicitud es aprobada se genera otro archivo de respuesta, denominado PKCS#7, que es remitido a la CA solicitante.

Las Autoridades de Certificación de marca se encargan principalmente de emitir certificados SET a Autoridades de Certificación Geopolítica. También son responsables de la generación de los archivos BCI de certificados revocados, recopilando para ello las CRL de las CA por debajo de ellas. Una vez confeccionados estos archivos son enviados a las Geopolitical CA, que son las encargadas de su distribución.

Las Brand CA pueden autorizar a su vez a otras entidades, denominadas Geopolitical CA o Autoridades de Certificación Final, para que funcionen como autoridades certificadoras. Un ejemplo de entidad de este tipo es ACE, Agencia de Certificación Española. Las Autoridades de Certificación Final se encargan de emitir los certificados SET a los usuarios finales del sistema, clientes, vendedores y pasarelas de pago.

A la hora de obtener un certificado SET se requiere un proceso de autentificación de los datos que en él van a figurar, al igual que sucede con los certificados X.509 v3. En el caso de SET la verificación de datos corresponde a unas entidades creadas al efecto, que se denominan Autoridades de Registro.

Su labor es la actuar como avaladores ante la CA de los usuarios que solicitan el certificado, encargándose también de tramitar los mismos. Las entidades destinadas a asumir el papel de Autoridades de Registro son los propios bancos, permitiendo con ello que los certificados estén asociados a cuentas bancarias y no a personas físicas, con lo que hace posible la compra anónima por Internet, al no aparecer en ningún momento el nombre del cliente que va a efectuar el pedido.

Las Autoridades de Registro actúan en nombre y por cuenta de la Autoridad de Certificación correspondiente, y deben superar un proceso de homologacoión antes para garantizar su fiabilidad. Sus principales misiones son validar solicitudes de certificado en base a determinados procedimientos de identificación según el tipo de certificado, solicitar luego el correspondiente certificado a la Autoridad Certificadora y entregar el mismo, una vez obtenido, al usuario final del mismo, usando para ello un disquete u otro soporte adecuado.

Toda Autoridad de Registro debe tener a disposición de los solicitantes un documento, denominado Prácticas de Registro, que especifique claramente los procedimeintos operativos y de garantía de seguridad que exije y facilita.

Este sistema jerárquico y modular de las Autoridades de Certificación proporciona una grán flexibilidad a SET para adaptarse a todo tipo de necesidades, desde la pequeña empresa que tan sólo deséa certificar a sus compradores hasta la grán empresa que quiere ofrecer a sus clientes una solución SET completa.

La Agencia de Certificación Española.-

La Agencia de Certificación Española se constituyó en 1997, y está formada por el Grupo Telefónica (40%), SERMAPA-Visa España (20%), CECA (20%) y Sistema 4B (20%). Su misión principal es dar respuesta a las necesidades derivadas de la implementación de protocolos seguros para transacciones por Internet por medio de la emisión de certificados electrónicos, documentos capaces de facilitar el intercambio de información en redes telemáticas abiertas bajo las máximas garantías de seguridad para todas las partes, proporcionando también una infraestructura tecnológica sustentada en la tecnología de clave pública (PKI).

Pretende con ello constituirse en una parte mediadora de confianza entre usuarios, vendedores y entidades financiares. Los certificados SET de ACE se emiten al titular de la tarjeta de crédito o débito, al comercio, a la pasarela de pago y a las entidades financieras emisora y adquiriente, garantizando con ellos la total seguridad e intimedad en el proceso de compra.

Tipos de certificados ACE.-

Al igual que ocurre con los certificados X.509 v3, los certificados SET expedidos pos ACE pueden ser de diferentes tipos, en función del grado de confianza exigido para cada tipo de operación. Buscando una claridad formal en los certificados y en sus posibles usos, éstos se han dividido en categorías y subcategorías, de la que las más importantes son:

1. Certificados de Categoría 0 o Intranet: son emitidos bajo responsabilidad exclusiva de una entidad u organización, que actúa como Autoridad Certificadora, para usuarios dentro de su ámbito de acción, nunca para su uso por terceros que deban confiar en la existencia de tales usuarios. Se exije que la entidad emisora de este tipo de certificados haya recibido previamente un certificado de Categoría 1A. Estos certificados presentan dos modalidades: entidad no comprobada y entidad comprobada mediante información en base de datos, y en ambos casos es total y única responsabilidad de la entidad emisora la veracidad de la información contenida en los certificados.

2. Certificados de Categoría 1 o Privada: que a su vez se duividen en siete tipos diferentes:

- 1A Particulares: que aseguran la identidad de los suscriptores particulares mediante identificación de los mismos ante una Autoridad Certificadora o ante una Autoridad de Registro homologada, presentando documentación suficiente para demostrar su identidad personal.

- 1B Profesionales: permiten asegurar la identidad de suscriptores que ejercen como profesionales independientes (propietarios de empresas individuales o personas con poderes otorgados por dicho profesional), siendo necesario presentar ante la Autoridad Certificadora o ante la Autoridad de Registro homologada documentación suficiente que demuestre su condición de profesionales, además de los requisitos necesarios para el certificado de clase 1A.

- 1Ca Personal de empresas: que aseguran la existencia y denominación de sujetos que trabajan en diversas entidades de derecho público y privado (empresas, corporaciones y agencias gubernamentales), con especificación del departamento al que pertenecen y del cargo que ocupan. Se requiere para su expedición documentación que asegure su posición dentro de la empresa, acreditada por el representante legal de la entidad ante la Autoridad Certificadora o ante la Autoridad de Registro homologada.

- 1Cb Departamentos de empresa: aseguran la existencia y denominación de departamentos de entidades de derecho públicas y privadas, con las mismas garantías de certificación que en el caso anterior.

- 1C c Master técnico: que aseguran la responsabilidad del gestor , responsable o administrador de sistemas de una entidad concreta, siendo el responsable de los certificados emitidos para dicha empresa y la persona ante la que hay que acudir en referencia a las cuestiones técnicas que se plantéen en los sistemas web de comercio electrónico.

- 1D Entidad: aseguran la existencia y denominación de diversas entidades de derecho públicas y privadas de forma análoga a los certificados anteriores, pero con mayor grado de garantías, ya que el titular del certificado de Entidad es una persona que ostenta poderes dentro de la misma, pudiendo obligar a dicha Entidad de acuerdo con esos poderes, contenidos en los estatutos de la misma.

- 1S Servidor seguro: emitidos únicamente a empresas, aseguran la existencia y denominación de empresas, agencias gubernamentales y corporaciones en Internet y otras redes. Implican la identificación de un servidor seguro, asociándolo con la empresa responsable del mismo y con la URL (dirección de Internet) por la que se debe acceder al servidor´, elementos que debe acreditar su representante legal ante la Autoridad Certificadora o ante la Autoridad de Registro homologada.

Los certificados de Categoría 1A, 1B, 1C en todas sus variantes y 1D son utilizados por los suscriptores para garantizar frente a terceros su identidad, la autenticidad e integridad de sus mensajes y para cifrar y firmar mensajes, empleándose también para permitir la identificación del suscriptor en aplicaciones de servidor seguro HTTP con SSL v3 activado.

Los certificados de categoría 1S se usan para aplicaciones de banca electrónica, comercio electrónico y en todas otras aquellas aplicaciones que precisan la identificación del servidor seguro que interviene en las mismas, tanto en entornos de Internet como en Intranet.

Los certificados de categoría 1 tienen naturaleza de documento privado, no pudiéndose usar en aplicaciones como la firma de código binario.

3 . Certificados de Categoría 2 o Categoría Oficial, que se difernecia de los de la Categoría 1 en que el proceso de identificación debe realizarse ante una entidad u organismo oficial, y que se presentan seis tipos diferentes:

- 2B Empresa individual: permiten asegurar mediante la intervención de un organismo oficial (como una Cámara de Comercio) la identidad de los suscriptores que ejercen como empresas individuales, exigiendo para la identificación que éstos presenten la documentación suficiente para ello.

- 2Ca Simple: aseguran la existencia y denominación de sujetos que trabajan en diversas entidades de derecho público y privado (empresas, corporaciones, etc.), con especificación del departamento y cargo que ocupan, elementos que debe acreditar el representante legal de la entidad, previamente, ante un organismo oficial.

- 2Cb Departamentos de empresas: aseguran la existencia y denominación de los departamentos de las diversas entidades de derecho público y privado citadas anteriormente, con las mismas garantías que en el caso de certificación simple, pero realizada ante un organismo oficial.

- 2Cc Master técnico: que aseguran la responsabilidad del gestor, responsable o administrador de sistemas de una entidad concreta, siendo el responsable de los certificados emitidos para dicha empresa y la persona ante la que hay que acudir en referencia a las custiones técnicas que se plantéen en los sistemas web de comercio electrónico.

- 2D Sociedad: aseguran la existencia y denominación de diversas entidades de derecho públicas y privadas de forma análoga a los certificados anteriores, con mayor grado de garantías que en el caso de certificados de categorías inferiores, ya que el titular del Certificado der Sociedad es la persona que ostenta poderes dentro de la misma, pudiendo obligar a dicha Entidad de acuredo con esos poderes, contenidos en los estatutos de la sociedad.

- 2S Servidor seguro: emitidos únicamente a empresas, aseguran la existencia y denominación de empresas, agencias gubernamentales y corporaciones en Internet y otras redes. Implican la identificación de un servidor seguro, asociándolo con la empresa responsable del mismo y con la URL (dirección de Internet) por la que se debe acceder al servidor´, elementos que debe acreditar su representante legal ante un organismo oficial competente.

Los usos de estos certificados son análogos a los de la Categoría 1, pero son más estrictos a la hora de verificar la veracidad de los datos que en ellos figuran.

4. Certificados de Categoría 3, que ofrecen los mayores niveles de comprobación y seguridad, ya que son validados por un fedatario público, y de los que existen seis modalidades:

- 3A Particulares: que ofrecen las medidas más importantes identidad de los suscriptores particulares mediante identificación de los mismos ante un fedatario público, presentando documentación suficiente para demostrar su identidad personal.

- 3B Profesionales: permiten asegurar la identidad de suscriptores que ejercen como profesionales independientes (propietarios de empresas individuales o personas con poderes otorgados por dicho profesional), siendo necesario presentar ante un fedatario público documentación suficiente que demuestre su condición de profesionales, además de los restantes datos de identidad personal.

- 3Ca Personal de empresa: que aseguran la existencia y denominación de sujetos que trabajan en diversas entidades de derecho público y privado (empresas, corporaciones y agencias gubernamentales), con especificación del departamento al que pertenecen y del cargo que ocupan. Se requiere para su expedición documentación que asegure su posición dentro de la empresa, acreditada por el representante legal de la entidad, previamente, ante un fedatario público.

- 3Cb Departamentos de empresas: aseguran la existencia y denominación de los departamentos de las diversas entidades de derecho público y privado citadas anteriormente, con las mismas garantías que en el caso de certificación simple, pero realizada ante un fedatario público.

- 3Cc Master técnico: que aseguran la existencia de un gestor, responsable o administrador de sistemas de una entidad concreta, siendo el responsable de los certificados emitidos para dicha empresa y la persona ante la que hay que acudir en referencia a las custiones técnicas que se plantéen en los sistemas web de comercio electrónico. La documentación de identificación necesaria se debe presentar previamente ante un fedatario público.

- 3D Entidad: aseguran la existencia y denominación de diversas entidades de derecho públicas y privadas de forma análoga a los certificados anteriores, pero con mayor grado de garantías, ya que el titular del certificado de Entidad es una persona que ostenta poderes dentro de la misma, pudiendo obligar a dicha Entidad de acuerdo con esos poderes, contenidos en los estatutos de la misma.

Los certificados de Categoría 3 son empleados por los suscriptores cuando la Ley exija la intervención de un fedatario público en la transacción, y suponen el mayor nivel posible de autenticación previa del suscriptor del certificado. En este caso, los certificados gozan de la naturaleza jurídica de documentos públicos. Los documentos firmados son, en todo caso, documentos privados.