10.4. Formas de pago en Internet

Uno de los requisitos más importantes del comercio y de la banca electrónica es el de la confidencialidad, junto con las garantías de autentificación, integridad de la información, e imposibilidad de repudio; el contenido de las transacciones y operaciones bancarias realizadas en un entorno electrónico y la identidad de las partes deben mantenerse, en todo momento, inaccesibles a terceros.

Esta garantía de confidencialidad se refiere claramente a aspectos como:

- control de accesos

- cifrado de la información

- clave pública y clave privada

Las técnicas de autenticación ya han sido presentadas en el apartado de “Firma electrónica”. En particular, la criptografía simétrica es la técnica de autenticación y la emisión documental utilizada en el ámbito de la banca electrónica.

Esa técnica funciona por medio de la combinación de claves, una clave secreta elaborada por el banco e incorporada en la banda magnética que figura en el dorso de nuestras tarjetas bancarias, de modo que introduciendo la tarjeta con ese código digital incorporado en la banda magnética se tiene acceso al sistema aunque todavía no se pueda operar con él; es decir, el sistema nos permite ingresar, nos saluda, nos reconoce, pero nos impide hacer ningún tipo de operación a partir de ahí, sino que nos requiere otro tipo de clave que cada uno de nosotros elabora para operar con el cajero automático y esa combinación de claves es la que efectivamente nos permite no solo ingresar al sistema sino operar con él.

Actualmente los bancos han añadido nuevos sistemas de seguridad para garantizar la autenticidad de las transacciones en medios electrónicos. Por ejemplo, al realizar una transferencia y una vez firmada con nuestra clave personal, el sistema nos envía al teléfono móvil que hayamos asignado un mensaje SMS con una segunda clave adicional que debemos introducir en el espacio previsto para ello en la página web en un corto espacio de tiempo.

También es cada vez más frecuente la opción de acceder a Banca electrónica mediante DNI electrónico.

La forma más habitual de pago en la Red es a través de las tarjetas de crédito y débito como Visa, Mastercard, American Express, etc. “Es un sistema fácil de usar, aceptado universalmente, muy líquido, fraccionable, incorruptible, seguro, puede realizarse el pago con intimidad y a la vez “deja huella”, de forma que a través del sistema bancario el comprador puede demostrar que ha hecho el pago y saber en qué cuenta ha hecho el abono”. Para encriptar los datos de las tarjetas de crédito en la Red, se utiliza el sistema de encriptación SSL (Secure Sockets Layers) que combina encriptación simétrica y asimétrica, fácil de usar e incorporado de serie en todos los navegadores de Internet. La transacción en Internet es similar a la realizada por medios tradicionales e igualmente segura. El punto débil en la seguridad del sistema no está en la transmisión de los datos sino en su almacenamiento, lo que exige un alto grado de confianza del cliente en el vendedor, pues éste puede hacer un uso fraudulento de los datos o no poner las medidas necesarias para garantizar la protección de los datos de sus clientes.1

SSL (Secure Sockets Layers)

El protocolo de seguridad SSL puede ser utilizado en tiendas virtuales que dispongan del software correspondiente. El vendedor debe disponer de un par asimétrico de claves certificadas.

El comprador no necesita ni claves ni certificados.

Cuando el usuario accede a la tienda virtual con SSL, inicia automáticamente una fase de saludo. El servidor envía su clave pública y certificación. El navegador cliente recibe estos datos y se prepara para la comunicación con sistema de seguridad.

El usuario envía sus datos sin ser necesariamente consciente de los intercambios que se han producido. El navegador codifica esto datos mediante clave simétrica. La función resumen de los datos y la clave simétrica son codificadas con la clave pública que acaba de recibir el vendedor. El resultado de estas operaciones es enviado al vendedor. Los datos viajan a través de Internet encriptados, de forma que sólo la tienda virtual podrá interpretarlos.

MARTINEZ COLL, J.C. http://cursos.asmoz.org/file.php/129/jcmc/12CE/ssl.htm

No obstante, se han creado otras maneras alternativas que pretenden aportar una mayor seguridad y mitigar los miedos que puedan existir hacia la compra en Internet, entre ellos:

- Paypal

- Google Checkout

- Amazon Payments

- Bill Me Later: crédito por transacción.

- Tarjetas pre-pago: Continúan su desarrollo

- Web 2.0 pagos

Las tarjetas de crédito como VISA, MasterCard y American Express han sido tradicionalmente las más populares para las compras on line, especialmente en los Estados Unidos. En los últimos años, sin embargo, otros métodos de pago se han hecho cada vez más habituales, como por ejemplo:

- tarjetas de débito

- tarjetas de prepago, que son utilizadas generalmente como tarjetas de regalo o encaminadas a aquellos con poco o ningún acceso a otros métodos de pago.

- La banca electrónica permite habilita a sus clientes / consumidores a pagar en línea directamente desde su portal en Internet. Especialmente en Europa, estos métodos de pago están creciendo rápidamente. Ejemplos son los pagos de Vault de iDEAL, Giropay, seguro y Interac.

- E-carteras son métodos de pago por los cuales se carga un monedero en línea con fondos desde el que se pueden pagar compras posteriores. Algunos ejemplos son PayPal o WallieCard.

- Los pagos de SMS son los que se realizan compras a través de un mensaje SMS enviado desde un teléfono móvil.

- Existen otros métodos que pueden ofrecer los PSP, como por ejemplo, proporcionar crédito instantáneo o TrialPay que ofrece un método de publicidad transaccional.

Pagos en línea / métodos de pago fuera de línea

- Métodos de pago en línea:

Proporcionan al comerciante información inmediata sobre la situación de pago. Cuando el pago es autorizado, el comerciante puede iniciar directamente el cumplimiento de la orden. Ejemplos son: las tarjetas de crédito, PayPal y pagos de internet del tipo “banca electrónica”.

- Métodos de pago fuera de línea:

Son métodos que precisan cierto tiempo entre orden y la confirmación por la institución financiera que de que se acepta el pago. Ejemplos son: la transferencia bancaria regular o de débito directo. Durante esta etapa, la transacción tiene el estado de “pendiente”. Estos tipos de transacciones tienen una mayor probabilidad de fracasar porque los compradores tienen la posibilidad de cambiar de idea durante el proceso. Para ellos este también es un proceso manual, que es más complicado y propenso a errores. Para el comerciante conlleva costos más altos de back-office debido una tasa mayor de los pagos no identificables.

Modelo de servicio directo o redirigido

- En el modelo de redirección el consumidor es reenviado desde la página web del comerciante a la pantalla de selección de pago en el entorno de PSP, donde se puede iniciar el pago.

- En el modelo directo es en el sitio Web de la tienda donde se ofrecen los métodos de pago, y toda la información se recoge en el sistema de la tienda.

Una ventaja del modelo de redirección es que todos los métodos de pago proporcionados por el PSP están disponibles. La evaluación de riesgo está activa y se transfieren los datos confidenciales, como los detalles del pago, de una forma segura.

Una ventaja del modelo directo es que, dado que los datos de orden y el pago se almacenan en el sistema de la tienda, el comerciante puede ofrecer pagos recurrentes para los clientes que compren más de una vez. Un ejemplo son las suscripciones mensuales. Los consumidores sólo deben introducir sus datos una vez.

No obstante, en el modelo directo la seguridad es un gran problema: la recogida y el almacenamiento de información como números de tarjeta debe hacerse en un entorno seguro y cumplir con las reglas PCI.

En general cada PSP proporciona herramientas contra el fraude, tales como:

- Abordar la comprobación de servicio (AVS), que compara los datos del comprador con datos de la institución emisora.

Código de verificación — tarjeta (CVC, también CVN)

- Módulo de gestión del fraude, que ayuda a los comerciantes a detectar pagos fraudulentos por medio de módulos de software. Estas incluyen listado blanco y negro, período de cheques de sesiones, cheques de velocidad o un registro del país de origen-dirección IP.