Modelo Transaccional utilizado en WebPay y posibles otros usos

ELO-322 Redes de Computadores I Anggelo Urso Goddard 2504078-3 Primer Semestre 2010

Resumen El poder comprar un producto y/o servicio a trav es de Internet es una tendencia que cada vez va cobrando m as fuerza en Chile, es por esto que diversas tecnolog as se han desarrollado para proteger a los usuarios y sus datos privados. Pero estas tecnolog as tambi en han abierto la puerta a otros potenciales usos en sistemas que requieran tambi en una sensibilidad en los datos transferidos, es as como nace WebPay y se tratar a como implementarlo de manera efectiva en un sistema real. WebPay es un servicio de pago con Tarjeta de Cr edito, desarrollado por la empresa Transbank para realizar transacciones a trav es de Internet. Hoy en d a constituye una herramienta clave para el desarrollo de un comercio electr onico ecaz y seguro en Chile. Este software permite, adem as de su tradicional uso en transacciones bancarias, su aplicaci on en diversos desarrollos en los cuales el

acceso a los datos es sensible permitiendo que, en el caso de una tienda virtual, los datos sean solamente conocidos por el usuario del sistema y una entidad previamente autorizada (ya sea de facto o de iure1 ), con lo cual otorga un nivel de seguridad en la transferencia de los datos. Una de las posible aplicaciones (y que ser a tratada en el presente informe) corresponde a su uso en el desarrollo de una aplicaci on para el sistema de postulaci on a ayudant as (mencionando su actual funcionamiento en el Departamento de Inform atica, y posteriormente como este ser a extensible a los campus Santiago y Casa Central de la UTFSM y sus diversos departamentos), en donde el sistema utilizado corresponder a a una versi on adaptada de KCC para los datos que la universidad maneja a trav es del sistema SIGA.

1 De Facto : Acuerdo t acito entre dos entidades relacionadas, De iure : Acuerdo con reconocimiento jur dico - Referencias: Wikipedia http://es.wikipedia.org/wiki/De_iure

Redes de Computadores I

1.

Introducci on

Para poseer una visi on m as amplia respecto a otros usos para la interfaz WebPay, es importante preguntarse Qu e es WebPay? y c omo es que esta funciona.

5. En caso de que la tienda opere con Webpay Plus, se solicita la autenticaci on del tarjeta habiente en su banco emisor. 6. El banco despliega p agina de autenticaci on para el tarjeta habiente. 7. El tarjeta habiente ingresa los datos solicitados para autenticaci on, estos dependen de cada banco. 8. El banco env a a Transbank el resultado de la autenticaci on, si esta es positiva continua con los pasos siguientes, en caso contrario, Webpay rechaza la transacci on. 9. Webpay solicita la autorizaci on de la transacci on al autorizador del banco emisor de la tarjeta de cr edito. 10. Autorizador responde (aprobado, rechazado) a Transbank. 11. Transbank responde a Webpay el resultado de la autorizaci on de la transacci on. 12. Luego se le env a una respuesta positiva o negativa a la tienda virtual, as esta puede cerrar la transacci on ya sea en forma exitosa o no.

1.1.

Qu e es WebPay?

Webpay es un servicio de pago con Tarjeta de Cr edito, desarrollado por Transbank para realizar transacciones v a Internet. Hoy en d a constituye una herramienta clave para el desarrollo de un comercio electr onico ecaz y seguro en Chile. Este servicio se sustenta a trav es de un software de aplicaci on, que se separa en dos componentes independientes que interact uan entre s . Una de ellas esta ubicada f sicamente en la tienda virtual, dentro del Servidor de Comercio en donde se genera una posible compra por intermedio del browser de un cliente y la otra en el denominado Servidor de Pago de Transbank a trav es del cual se realiza la transacci on. La secuencia que sigue Webpay es la siguiente:2 1. Esta comienza cuando el potencial cliente de una tienda virtual presiona el bot on pagar. 2. En ese instante la tienda se comunica con Transbank, por medio del KCC, para solicitar autorizaci on para transar la compra. 3. En este punto, la aplicaci on ubicada en el Servidor de Pago toma el control de la transacci on comunic andose directamente con el cliente, solicitando los datos de su tarjeta. 4. Una vez realizado el env o de dicha informaci on directamente a Transbank, se verica la disponibilidad de cursar la transacci on.
2

1.2.

Qu e es el KCC?

Es la aplicaci on que se instala en el Servidor de Comercio que permite conectar el software utilizado por la tienda para vender sus productos y/o servicios, con el Servidor de Pago de Transbank. Es un Kit De Conexi on al Comercio, identicado con la sigla KCC. Para que el KCC se conecte y logre comunicarse sin problemas con el Servidor de Pago es necesario su correcta instalaci on y conguraci on por parte del comercio aliado al servicio Webpay de Transbank.

V ease Anexo de Figuras, gura 4 para gr aco de secuencia

ELO-322

A AUG/L TEX 2

Redes de Computadores I

La integraci on del KCC, consta de 2 etapas: Etapa de Certicaci on: Corresponde a la etapa en donde se valida el correcto funcionamiento de la integraci on del KCC en la tienda del comercio. Etapa de Producci on: Corresponde al funcionamiento productivo de la soluci on en r egimen de operaci on normal. Actualmente la interfaz de KCC se encuentra desarroll andose en el lenguaje J2EE, pero en teor a puede encontrarse programado en cualquier lenguaje (las primeras versiones de este software se encontraban desarrolladas en C). Es por esto que nos otorga todas las facilidades para un desarrollo y una portabilidad a otros sistemas en los cuales se requieran las caracter sticas de KCC.

Encriptaci on de mensajer a y rma digital. Permite la elecci on del tipo de moneda de pago de la compra del producto y/o servicio. Dado a que cada comercio es u nico, permite tambi en implementarse en una tienda virtual o en una modalidad de Mall Virtual, en donde un conjunto de tiendas realizan compras, generando s olo un total de venta. Permite diferentes tipos de pagos (ya sea cuotas comercio, tres cuotas sin inter es, cuotas normales, y pago normal).

2.
2.1.

El Sistema de Ayudant as
Un caso de Exito - Departamento de Inform atica

1.3.

Atributos de WebPay

Los atributos que otorga el sistema WebPay permiten que su uso se extienda a sistemas que requieran una sensibilidad de los datos, dado a que: Permite realizar transacciones seguras y en l nea a trav es de Internet. La informaci on de la Tarjeta de Cr edito del cliente s olo es manejada por Transbank, y no es de conocimiento en ning un momento por el comercio. Transacciones con Webpay Plus se solicita al tarjeta habiente autenticarse con su banco emisor, protegiendo de esta forma al comercio por eventuales desconocimientos de compra. La seguridad es reforzada por medio de la utilizaci on de servidores seguros, protegidos con SSL (Secure Socket Layer). ELO-322 3

En el Departamento de Inform atica se encuentra en funcionamiento hace algunos a nos un sistema basado en LDAP, para la postulaci on de sus alumnos a las ayudant as de las c atedras que dicta (v ease [1]). Si bien el sistema otorga funcionalidades para la postulaci on, a un no se implementan las necesarias para un an alisis de los datos contenidos. La conexi on al sistema de LDAP se realiza a trav es de la instrucci on contenida en el anexo de c odigos (gura 1), donde es posible apreciar que la conexi on al sistema se desarrolla en una funci on externa que recibe como par ametros el usuario y la contrase na y luego las verica en el sistema, discriminando por profesor o alumno (en un tercer caso por alguna persona externa). Luego en alguna p agina solamente se llama a la funci on autentica ldap, con los par ametros correspondientes para su uso.
A AUG/L TEX 2

Redes de Computadores I

2.2.

El nuevo sistema de postulaci on a ayudant as

Actualmente muchos departamentos de la Universidad se encuentran a un realizando las postulaciones a las diversas ayudant as de las c atedras que dictan a trav es del llenado de un documento (escrito a mano por parte de los postulantes), lo cual lleva a una desoptimizaci on de recursos y un gasto innecesario, destinados u nicamente al an alisis de los postulantes. Adem as este sistema, no otorga ninguna herramienta sencilla de an alisis de dichos datos, con lo cual el sistema se encuentra completamente obsoleto. En la Universidad existe un sistema en el cual los datos de cada uno de los alumnos y funcionarios se encuentra almacenado, conocido como Sistema de Gesti on de Acad emica (o por sus siglas SIGA), en donde se manejan las cuentas de cada uno de ellos para usos ociales (inscripciones de cursos, registro de alumnos en cursos, etc). Dado a que los datos contenidos son sensibles (se encuentra informaci on valiosa de funcionarios y alumnos) la principal dicultad es el acceso a ellos. Desde este punto KCC y WebPay nos otorgan las herramientas necesarias para que el acceso a dichos datos sea de manera condencial para cada uno de los departamentos y sean conocidos s olo por las entidades autorizadas. Tal como se muestra en el Anexo de guras (gura 5) la idea general consiste en el desarrollo de una interfaz intermedia que permita el acceso a los datos contenidos en la base de datos de SIGA de manera condencial y segura, utilizando para ello SSL y la idea detr as de KCC para las transacciones necesarias. En la gura 6 es posible apreciar la interfaz del sistema a desarrollar. A trav es de los siguientes pasos, es posible implementar el funcionamiento de la versi on modicada de KCC al sistema en si: Se realiza una p agina sencilla en la ELO-322 4

cual se solicita el nombre de usuario y la contrase na para cargar los datos correspondientes (guras 2 y 7) Se env an los datos a la interfaz programada por el encargado de SIGA (gura 3). El c odigo ejecuta la consulta en la base de datos de SIGA (gura 3) y retorna los datos solicitados. Se carga la p agina de usuario correspondiente con los datos retornados por la interfaz de SIGA (gura 8) El sistema provee las directivas de seguridad (a trav es del uso de SSL y rmas digitales) necesarias para una transferencia conable y segura de los datos contenidos en SIGA. Dado a que el algoritmo utilizado ser a de uso exclusivo de las autoridades pertinentes, la protecci on de dichos datos ser a el punto fundamental en el desarrollo, dado a que no se permitir an modicaciones a ellos (la consulta se encuentra preconstruida en el ejemplo), tanto el desarrollador de la aplicaci on como el usuario, desconocer a completamente como se encuentra esta conformada, dedic andose exclusivamente a la programaci on de la aplicaci on de acuerdo a los datos retornados y a su correcto uso (correspondientemente).

3.

Conclusi on

Es posible ver que las tecnolog as actuales de desarrollo de software son transversales y cada vez m as es posible implementar soluciones existentes y diferentes (como en este caso WebPay) para otros usos en el area. La seguridad es base fundamental en el desarrollo de toda aplicaci on que maneje datos sensibles, con lo cual un buen modelado de las redes existentes en cada uno de los casos permite reutilizar y construir aplicaciones nuevas sobre un m odelo probado
A AUG/L TEX 2

Redes de Computadores I

en su seguridad. As como ahora el sistema de ejemplo mostrado en el documento para la implementaci on de un sistema de ayudant as basado en un sistema de comercio virtual, es posible extender la idea a otras areas (como por ejemplo salud, educaci on, etc) utilizando las normas de seguridad de transmisi on de datos, instauradas en sistemas ya existentes.

Referencias
[1] Departamento de Inform atica UTFSM. Sistema de postulaci on a ayudant as. http://spa.inf.utfsm.cl, 2003. [2] Transbank S.A. Manual de integraci on, kit de conexi on a comercio. Restringido a personal autorizado, no es posible su referencia externa, salvo autorizaci on expresa, 2009.

ELO-322

A AUG/L TEX 2

Redes de Computadores I

4.

Anexo C odigos

f u n c t i o n a u t e n t i c a l d a p ( $ u s e r , $ password ) { $ l d a p c o n n = ldap connect ( l d a p . i n f . utfsm . c l ) o r die ( No e s p o s i b l e c o n e c t a r con e l s e r v i d o r ) ;

$ r e s u l t=l d a p s e a r c h ( $ l d a p c o n n , ou=i n f , o=utfsm , c=c l , u i d= $ u s e r ) ;

i f ( $entry = ldap first entry ( $ldap conn , $ r e s u l t ) ) { $ dn = ldap dn2ufn ( ldap get dn ( $ l d a p c o n n , $ e n t r y ) ) ; $ binddn = ldap get dn ( $ l d a p c o n n , $ e n t r y ) ; $ l d a p b i n d = @ldap bind ( $ l d a p c o n n , $ binddn , $ password ) ; i f ( $ l d a p b i n d and eregi ( p r o f e s o r e s , $ binddn ) ) { return 1; } e l s e i f ( $ l d a p b i n d and eregi ( alumnos , $ binddn ) ) { return 2; } else { return 0; } } } Figura 1: C odigo de conexi on a LDAP, Depto. Inform atica, archivo: ldap.php

ELO-322

A AUG/L TEX 2

Redes de Computadores I

< d i v c l a s s= r i g h t > <br /> <form method= p o s t > <f i e l d s e t > < l e g e n d >Login </l e g e n d > <t a b l e > <t r > <td >U s u a r i o : < / td > <td ><i n p u t type= t e x t s i z e= 16 name= u s u a r i o /></td > </t r > <t r > <td >Password : < / td > <td ><i n p u t type= password s i z e= 16 name= password /></td > </t r > </ t a b l e > <p><i n p u t type= submit v a l u e= Entrar /></p> < i n p u t type= hidden name= l o g g e d v a l u e= 1 /> <? i f ( i s s e t ( $ userwrong ) && $ userwrong == y e s ) : ?> <p s t y l e= c o l o r : r e d ; f o n t s i z e : 1 2 px ; > Datos de u s u a r i o i n c o r r e c t o s </p> <? e n d i f ;? > </ f i e l d s e t > </form > </div > Figura 2: C odigo para el index.php

ELO-322

A AUG/L TEX 2

Redes de Computadores I

function retorna dato ( $usuario , $pass ) { $ s q l = SELECT nombres , a p e l l i d o s , d i r e c c i o n , rut , r o l , c a r r e r a , c u r s o , pponde , p r i o r i d a d , r e p r o b a d a s , t e r c e r a s FROM D a t o s p e r s o n a l e s INNER JOIN Alumnos ON ( D a t o s p e r s o n a l e s . r u t = Alumnos . r u t ) WHERE D a t o s p e r s o n a l e s . l o g i n = $ u s u a r i o ; $ r e s p = mysql query ( $ s q l , b a s e s i g a ) ; $ d a t o s = mysql fetch assoc ( $ r e s p , MYSQL BOTH) ; return $datos ; } Figura 3: Ejemplo de c odigo de consulta en SIGA

ELO-322

A AUG/L TEX 2

Redes de Computadores I

5.

Anexo de Figuras

Figura 4: Secuencia de Transacci on Electr onica con Webpay Plus

ELO-322

A AUG/L TEX 2

Redes de Computadores I

Figura 5: Idea general del sistema

Figura 6: Modelo propuesto para sistema de ayudant as

ELO-322

10

A AUG/L TEX 2

Redes de Computadores I

Figura 7: P agina inicial del sistema de postulaci on

Figura 8: P agina de usuario del sistema

ELO-322

11

A AUG/L TEX 2