4.

SEGURIDAD EN LAS TRANSACCIONES DE

VENTA ONLINE

Mapa conceptual

1
Para que las transacciones de venta online sean seguras, las empresas tienen
que poner mucha atención a todos los detalles de la tienda digital.
La reputación de un negocio en Internet va a depender principalmente de que
cumpla con cada uno de los requerimientos de seguridad.

Por ejemplo, ningún usuario va a confiar en una tienda que exponga sus

datos personales o los datos de sus tarjetas, sin embargo, existen otros
elementos importantes.

1. Requerimientos de seguridad en la venta Online

Una tienda online puede ser estable pero al mismo tiempo insegura, lo
que podría poner en riesgo la seguridad de los visitantes al sitio web y
generar problemas legales a los propietarios del negocio.

Por esta razón resulta muy importante que toda plataforma de e-commerce
tenga en cuenta los siguientes requerimientos de seguridad en la venta
online.

Incluir todos los datos de la empresa

Para empezar es imprescindible que la página web muestre los datos del
negocio en un lugar visible y de fácil acceso.

Estos datos son el nombre o denominación social, número de inscripción de

registro, número de identificación fiscal (o NIF), datos de contacto, domicilio,
actividad, etcétera.

A la iniciativa de poner estos datos al alcance de los visitantes se le conoce

como «Aviso Legal» y su propósito es facilitar información de la empresa o de
los productos y servicios que ofrece.

Suministrar esta información les sugiere a los usuarios que está ante una
empresa seria y profesional, de modo que le generará confianza.

Informar sobre las condiciones de uso

Una tienda online es poco confiable cuando no incorpora información acerca de

los factores asociados a los procesos de compra: precios, fecha de entrega,
gastos de envío, costes adicionales, formas de pago, garantías y plazos de
devolución.

2
Además, también debe incluir sus normativas de uso, propiedad intelectual,
política de privacidad, así como los derechos y obligaciones del usuario.

Adaptar la tienda online a las nuevas condiciones del uso de

cookies

No se trata solo de adaptar la plataforma de e-commerce a las nuevas

condiciones para el uso de cookies, también hay que añadir información
referente a la política sobre la que se prescribe: Qué y cuáles son, cómo hacer
para desinstalarlas…

Lo ideal es que este contenido se muestre a través de un pop-up (ventana

emergente), o que aparezca en la cabecera del sitio web para que le permita al
visitante acceder al documento explicativo y éste decline o acepte las
condiciones de uso de cookies.

Resulta conveniente dilucidar que un cookie es un fragmento de texto muy

pequeño que las páginas web envían al navegador, permitiendo que la tienda
online recuerde información acerca de la visita del usuario. Por ejemplo, el
idioma favorito del consumidor, entre otras opciones.

Esto hará más sencilla la navegación del usuario en su próxima visita al sitio

web. Por lo tanto, sin cookies el uso de una tienda online sería una experiencia
poco agradable, pues es a partir de la información producida por un cliente que
inicia la regulación de su uso en todo comercio electrónico.

Algunas cookies requieren la autorización de los visitantes. Por esto es muy

importante colocar un pop-up en el sitio web al inicio de sesión. Sin embargo,
hay otras cookies que no demandan ningún tipo de autorización, pero son
indispensables para el funcionamiento de la plataforma a nivel técnico.

Sin las cookies (que no requieren aprobación) el comercio online no

funcionaría adecuadamente y no se concretaría ninguna venta. Un buen
ejemplo es el carrito de la compra.

Aunque algunas cookies no necesiten autorización deben incluirse en

el aviso legal, como cuando un usuario no recuerda su contraseña.

Importante

Por otro lado, están las que aparte de colocarse en la ventana emergente
también ameritan una autorización. Estas son tres: cookies sin capacidad de
identificación del usuario, cookies con capacidad de identificación del usuario y
cookie aceptada en la configuración del navegador.

3
Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos.

Política de privacidad

Así como sucede con las cookies, todo negocio online está obligado a brindar
información a los usuarios sobre las condiciones y el uso interno de sus datos
personales mediante una «política de privacidad».

En el caso de las plataformas de e-commerce es necesario adaptarse al nivel

de protección y tratamiento de datos básicos o medios, según el tipo de datos
personales que solicite el sitio.

Cabe dilucidar que una política de privacidad es un documento legal que

muestra a los usuarios cómo la empresa retiene, procesa y maneja los datos
de sus clientes.

En otros términos, se trata de una póliza de privacidad o de un contrato donde

la empresa asegura mantener la información personal de los usuarios bajo
estricta confidencialidad.

Este documento es clave en sitios web donde los usuarios se suscriben o crean
una cuenta, como ocurre en todas las plataformas de e-commerce. Por
supuesto, cada comercio online cuenta con su propia política de
privacidad, lo que significa que cada una es diferente.

Cada usuario debería leer esta póliza para estar seguro de que no existen

condiciones que supongan un intercambio de información del usuario o que
violen el derecho a la privacidad.

La política de privacidad de un sitio web debe explicar de forma clara y

precisa los siguientes términos:

 Información personal recogida.

 Uso de los datos recogidos.
 Control de la información personal
 Cookies.
 Enlaces a terceros.

Agencia de protección de datos.

Garantizar el derecho de desistimiento

El derecho de desistimiento consiste en una garantía que les permite a los

usuarios renunciar a la compra, sin necesidad de fundamentarse en ninguna
causa antes de cumplirse 14 días naturales de la transacción.

4
 Las condiciones de este derecho tienen que especificarse en un formulario,
aunque suelen variar de acuerdo al tipo de producto. Incluso la Ley contempla
algunos casos singulares.

Centro Europeo del Consumidor en España.

Responsabilidad de los riesgos durante la entrega

La Ley de Consumidores establece que los empresarios o vendedores tienen la

responsabilidad de asumir los riesgos a los que se expone un producto
cuando se transporta de un lugar a otro.

La propiedad intelectual e industrial

En el «Aviso legal» no pueden faltar los derechos de propiedad intelectual de la

empresa. Todo contenido -sea diseño, código fuente, textos, vídeos, fotografías
y logos- publicado en la tienda online son titularidad de la organización, junto
con los nombres comerciales, marcas, productos…

De esta forma, la empresa está informando a los usuarios que utilizar el

contenido del sitio web para beneficio propio, sin la autorización de la
empresa podría traerle problemas legales.

Uso de pasarelas de pago seguras

Una tienda online que no ofrezca pasarelas de pago que cumplan con los
requisitos de transparencia, confidencialidad y seguridad, generará
desconfianza en los usuarios.

Es posible que una tienda online sea segura, tenga una buena navegación y
cuente con complementos que ayuden a los clientes a la hora de tomar una
decisión para comprar un producto, pero si la pasarela de pago presenta
errores no podrá realizarse la venta.

Este tipo de servicios es implementado por todas las tiendas digitales para
facilitar el pago de los clientes. De acuerdo a la pasarela que use una e-
commerece, el sitio podrá ofrecer una experiencia positiva o negativa al
momento de pagar.

 Un punto fundamental cuando se pretende elegir una pasarela de pago para una e-
commerce es que incluya tecnología SSL (Secure Socket Layer) o TLS (Transport
Layer Security). Esto es garantía de que la información será enviada de
forma encriptada por una clave secreta imposible de acceder.

5
 Importante

Aunque este no es el único elemento en el que hay que fijarse, también es

necesario determinar que la pasarela de pago no reúna otros elementos
desfavorables como:

 Que sea difícil de usar.

 Que genere confusión al momento de utilizarlo.
 Que redirija a otras páginas sin avisar al cliente.
 Que sea poco fiable para los usuarios.

En definitiva, para que la experiencia del consumidor en la tienda electrónica

tenga un «final feliz», resulta necesario escoger una pasarela de
pago transparente y segura.

Accesibilidad, claridad y rigurosidad

Un requerimiento de seguridad clave en la venta Online es que toda la

información en relación al servicio o los productos de la empresa sea
totalmente accesible, clara y completa.

Para lograrlo se deben colocar enlaces visibles en todo el sitio web.

Igualmente, el tamaño de letra no puede ser menor de un milímetro y es
importante asegurarse que el contraste del fondo no entorpezca la legibilidad
del contenido.

Por último, hay que explicar absolutamente todo de forma clara y precisa
dentro de la tienda online. Un error en la compra podría costar el prestigio
la empresa, incluso una forma de protegerse es demostrando que todo está
explicado correctamente en la página.

6
 Actividad

Responde a las siguientes cuestiones escogiendo la respuesta correcta.

¿Qué término se emplea para referirse al pequeño fragmento de texto que las
páginas web envían al navegador para que la tienda online recuerde
información sobre la visita del usuario?

Cookies.

Pop-up

¿Durante qué período podemos ejercer nuestro derecho de desistimiento de

una compra?

Antes de 14 días naturales desde la transacción.

Antes de 10 días naturales desde la transacción.

¿En qué consiste la garantía de que una pasarela de pago incluya tecnología
SSL o TLS?

Que la transacción se realizará al momento a través de un código

enviado al cliente.
Que la información será enviada de forma encriptada por una clave
secreta imposible de acceder.

¿Cómo se conoce al hecho de incluir los datos de la empresa en la página web

en un lugar visible y de fácil acceso?

Aviso legal.
Datos corporativos.

¿Cuál es el documento legal a través del cual la empresa muestra a los

usuarios cómo se retienen, procesan y manejan los datos de los clientes?

Política de privacidad.
Condiciones de protección y tratamiento de datos
personales.

7
 2. Protocolos de seguridad existentes y cómo deben seguirse

Los protocolos de seguridad son el mejor método de «blindaje» ante los

ataques cibernéticos. Actualmente millones de usuarios, aparte de ver
comprometida su información personal, también han perdido mucho dinero por
suscribirse a plataformas de e-commerce que no utilizan certificados de
seguridad.

Aunque, el verdadero propósito de usar estos protocolos de seguridad en

comercios electrónicos no deriva de la necesidad de proteger el dinero ante
posibles ciberataques, sino de ganar la confianza de los clientes.

Cuando se hace referencia a un protocolo de seguridad, se habla de una

identificación digital que tiene la capacidad de verificar la
identidad (incluso «la humanidad«) de los usuarios a través de un sistema de
encriptación o cifrado.

 La encriptación es uno de los recursos más eficientes para mejorar la seguridad de

cualquier tienda electrónica, ya que ayuda a proteger los datos confidenciales de los
usuarios, partiendo del punto de que la mayoría de los ciberataques son realizados
por bots (usuarios fantasmas).

Dato de interés

Un sistema de cifrado puede describirse de forma sencilla como el uso de un

código exclusivo, el cual le permite tanto al destinario como al receptor
descifrar los datos necesarios en la transacción.

Con este mecanismo los hackers o los ciberdelincuentes no tienen

posibilidades de descifrar los datos. En este sentido, este el papel de los
protocolos de seguridad: proteger las plataformas de e-commerce de ataques
cibernéticos para no perder la confianza de los consumidores.

En la actualidad, existen varios certificados de seguridad; unos más usados

que otros, pero lo importante es que una tienda electrónica cuente con estos
sistemas de encriptación para garantizar la seguridad de la empresa y de
los usuarios.

Protocolo de seguridad SSL

El certificado SSL (o Secure Sockets Layer) ha cambiado el mundo virtual en

materia de seguridad online. Se trata de un protocolo usado tanto por grandes
empresas como por pequeños bloggers.

8
La función principal de este certificado es proteger las transacciones de
datos entre un sitio web (el proveedor) y sus usuarios (destinatarios.

Un certificado SSL cifra los datos personales que se envían entre usuarios

para protegerlos de posibles espías y hackers. En otras palabras, este
protocolo de seguridad hace que la información confidencial sea inaccesible
para todo el mundo, excepto para el servidor del destinatario.

Saber cuándo estás ante una plataforma de e-commerce con certificado SSL
es sencillo, ya que en el navegador se puede visualizar un candado en color
verde, el cual sirve como indicador de que todos los datos del usuario están
seguros y protegidos.

Conseguir una conexión SSL segura amerita que el servidor de hosting cuente

con un certificado SSL previamente instalado. Hoy día estos protocolos no son
muy caros, incluso existen proveedores de hosting que ofrecen la
instalación gratuita de Let’s Encrypt y otros sistemas de Secure Sockets
Layer.

Los proveedores más reconocidos para adquirir un certificado SSL son

Symantec, Comodo y Digicert. Estas empresas se encargan de verificar si
una persona está gestionando la tienda online a la que quiere implementar
el protocolo.

En resumen, este tipo de certificado es útil para sitios webs en los que se
realizan transferencias de datos online, bien sea por motivos de seguridad o
para transmitir confianza en los usuarios.

Protocolo de Seguridad SET

Todo comercio online necesita un protocolo seguro de pago electrónico. Y

uno de los certificados más confiables en este aspecto es el SET (Secure
Electronic Transaction).

Consiste en un sistema de cifrado que garantiza la seguridad de las

transacciones monetarias en entornos digitales. Fue creado por Mastercard y
Visa en compañía de Microsoft, Nestcape e IBM, y funciona de forma muy
sencilla.

Básicamente provee una serie de certificados y firmas digitales entre la

empresa, el consumidor y la entidad bancaria, regulando la transacción de
dinero de principio a fin.

En este sentido, SET se encarga de ofrecer los datos para todas las
transacciones para que queden certificadas con la firma digital. Este sistema de
seguridad actúa como un gran consumidor de certificados que convirtió a
los bancos en gigantescos distribuidores de dichos certificados.

9
Otro dato importante es que este protocolo obliga al proceso de transacción
a <b>verificar regularmente la lista de las transacciones que se puedan
producir por pérdida o robo del certificado.</b

Además, resguarda la confidencialidad de los datos delicados, así como la

integridad de la información de pago y la autentificación del comerciante,
incluyendo la del titular de la tarjeta.

No es muy difícil de entender: SET protege el número de la tarjeta de crédito

del propietario de este producto financiero y garantiza que solamente pueda ser
utilizada por la persona autorizada.

Finalmente, este sistema de seguridad de pago electrónico le añade un plus a

las transacciones monetarias que se realizan en una tienda online.

Protocolo de seguridad TLS

 El certificado TLS (siglas de Transport Layer Security) es

una «mutación» del protocolo SSL y su finalidad es generar conexiones
seguras mediante el cifrado de los datos enviados entre dos partes.

Definición

Aunque, al igual que el SSL, este certificado tiene el objetivo de proporcionar

confidencialidad, integridad de datos, así como asegurar procesos de
identificación y autenticación empleando certificados digitales.

Por supuesto TLS y SSL son muy similares, pero tienen sus elementos
diferenciadores que les permite identificarse una de otra, incluso SSL 3.0 y las
distintas versiones de TLS no pueden interactuar.

Una de las peculiaridades de este certificado es que se usa especialmente en

entornos de correo electrónico. Es por esta razón que no es compatible con
SSL.

De manera que el protocolo TLS permite que ambas partes se identifiquen y

autentiquen entre sí, y que además puedan comunicarse con confidencialidad
e integridad de datos.

Durante el proceso de autenticación del cliente y servidor solo existe un paso

que demanda la encriptación de los datos con una de las claves de una par
de contraseñas asimétricas y, que se descifren con la otra clave del par. Por

10
 otro lado, para proveer la integridad de los datos se usa un resumen de
mensaje.

Ciertamente, el certificado TLS trabaja de una forma parecida a SSL por

tratarse de una evolución de este protocolo, sin embargo, sus algoritmos son
más potentes y versátiles.

Por último, la encargada de crear el protocolo TLS fue la organización

internacional IETF (o Internet Engineering Task Force).

Capa de seguridad HTTPS

HTTPS significa Hypertext Transfer Protocol Secure y se refiere a un protocolo

que se convirtió en un requisito de seguridad para sugerir que una tienda online
es fiable. Actualmente es considerada la evolución del HTTP e integra una
capa adicional de seguridad a los datos enviados en conexiones SSL y TSL.

Es por ello que tanto las grandes e-commerces como los pequeños
emprendimientos digitales cuentan con protocolos HTTPS, en vez de los
HTTP, creados por Eric Rescorla y Allan M. Schiffman en 1999.

Desde que el protocolo HTTPS comenzó a implementarse de forma masiva en

las tiendas electrónicas, el HTTPP dejó de ser importante y va rumbo a su
desaparición.

 El motivo por el que el protocolo HTTPS cobró más protagonismo se debe

al crecimiento de los ciberataques, teniendo en cuenta que el HTTP es más
frágil y vulnerable frente a estos ataques y no garantiza seguridad plena.

Dato de interés

Fue a partir del 2018 que el uso del HTTPS se masificó en los sitios web. Y
a pesar de que su implementación es recomendada por los expertos, existen
situaciones donde es necesario el protocolo S-HTTP.

Hoy día, cuando un usuario ve que una tienda online cuenta con el certificado
HTTPS, tienen la sensación de que están entrando a un sitio «blindado» ante
ciberataques, lo que le genera confianza y seguridad.

La confianza de un cliente significa mucho para una ecommerce.

11
 3. Cómo garantizar la seguridad en la pasarela de pago

Es normal que algunos usuarios encuentren productos que capten su atención

y posteriormente decidan colocarlo en el carrito de compra para adquirirlos.

Pero, es más común todavía que, al momento de querer realizar el

pedido, cambien de decisión y terminen abandonando el proceso tras notar
que deben introducir los datos de su tarjeta.

Esta situación ocurre bastante, sin embargo, no favorece a las plataformas de

e-commerce. Por lo tanto, ofrecer al consumidor una pasarela de pago
confiable y segura será de mucha importancia para alcanzar uno de los
principales objetivo del negocio online: vender.

Captar un cliente y hacer que entre al sitio web no es una tarea fácil. De hecho
puede considerarse un éxito que eche un vistazo a los productos que se ofrece
en la tienda, pero que se disponga a comprar y no lo haga porque la plataforma
no cuenta con una pasarela de pago segura es imperdonable.

 Así que garantizar la seguridad en la pasarela de pago es primordial para todo

negocio de venta online.

Importante

Importancia de la seguridad en la pasarela de pago

 Una pasarela de pago es un servicio que tramita la retribución económica entre un

comprador, una plataforma de comercio electrónico y sus respectivas entidades
bancarias.

Definición

Con esta definición está claro por qué este proceso tiene que ser fiable y
eficaz. Para lograrlo, las pasarelas seguras cifran la información e
implementan medidas de seguridad avanzadas.

12
El propósito de encriptar los datos y aplicar ciertas medidas de seguridad
es restringir el acceso -de usuarios no autorizados- a la información
confidencial del comprador. O, en caso de que logren entrar no puedan realizar
el fraude porque la información está codificada.

Por consiguiente, el medio de pago de tu negocio online debe asegurar la

autenticidad de la transacción que va a efectuar el consumidor, así como
garantizar la confidencialidad e integridad de sus datos. De esta forma se podrá
culminar el proceso exitosamente.

Es evidente que la empresa encargada de ofrecer el servicio de transacciones

online será la responsable de proveer esta seguridad a través de un sistema
de encriptado que cifra la información entre el comprador y el servidor.

Existen dos medidas importantes para que la entidad pueda garantizar un

método de pago seguro: la información cifrada y el certificado de
seguridad.

Pasarela de pago con información cifrada

Para que una pasarela de pago sea fiable es necesario que implemente un

sistema de cifrado SSL, el cual permite que solo la entidad bancaria receptora
pueda tener lectura clara de los datos emitidos para después autentificarlos.

El protocolo SSL hace que toda la información personal del comprador esté
protegida y se mantenga bajo confidencialidad. Parece simple, pero este
proceso pasa por una práctica denominada «túnel de cifrado».

- Túnel de cifrado -

En efecto, el sistema cubre el procedimiento desde el comienzo hasta el

final con el objetivo de evitar que se pueda acceder, cambiar, añadir o eliminar
información mientras se realiza la transacción.

Una vez que la transferencia de datos llega a la entidad bancaria, el sistema

de cifrado SSL se encarga de comprobar la autenticidad de la información,
contactado con el banco emisor de la tarjeta -con la que se ha hecho el pago- a
fin validar los datos y revisar que haya dinero suficiente para la transacción.

Cuando se comprueba que los datos son válidos, se confirma la compra y se

procede a abonar el importe en la cuenta del vendedor.

13
Pasarela de pago con certificado de seguridad

El sistema de cifrado no es quien se lleva todo el protagonismo a la hora de

garantizar la seguridad de una transacción financiera por Internet. Una
plataforma de e-commerce también tiene que contar con un certificado PCI.

Se trata de un conjunto de normas y estándares de seguridad establecidos que

se conoce como Estándar de Seguridad de Datos para la Industria de
Tarjeta de Pago o PCI DSS (siglas de Payment Card Industry Data Securrity
Standards).

La función principal de este certificado es brindarle protección tanto a las

empresas como a los consumidores ante posibles fraudes o robos de
información.

El más grande beneficio de tener una certificación PCI radica en las buenas
prácticas que acredita el cumplimiento de este estándar. Una vez que un
negocio de ventas online consigue esta certificación será más fiable y
segura ante los ojos de los potenciales clientes.

Además, será posible optimizar la eficiencia y la gestión integral de la tienda

digital. En caso de no cumplir con esta certificación se corre el riesgo
de afrontar multas o indemnizaciones, especialmente en situaciones donde
los datos de algún usuario se hayan visto comprometidos.

También existe la posibilidad de que disminuya el volumen de

transacciones de la plataforma de e-commerece hasta llegar al escenario que
ningún emprendedor o empresario desea: perder la confianza de los clientes,
incluyendo los proveedores.

Siempre es necesario recalcar que un cliente más allá de adquirir algún

producto de calidad, también quiere vivir una experiencia de lujo. Por ninguna
razón quiere que su información confidencial sea expuesta como si se
tratara de vitrina virtual.

Toda persona que lleve las riendas de un negocio online puede obtener la
ayuda del proveedor de la pasarela de pago para gestionar el certificado. Pero
antes, el proveedor considerará el número de ventas online que realiza la
tienda online al año y los métodos de pago que admite. Por otro lado, hay una
serie de requisitos que necesitan cumplir.

Medidas de seguridad adicionales en una pasarela de pago

El tema de seguridad en la pasarela de pago no resume en el cifrado SSL y el

certificado PCI. Según los especialistas en seguridad online cualquier medida
adicional nunca está de más para garantizar que las transacciones se realicen
de forma eficaz y sin riesgos de fraude.

14
Estas medidas extras buscan proteger el proceso de venta y, al mismo tiempo
pretenden generar confianza en los potenciales clientes. El hecho es que
todas las pasarelas de pago reconocidas integran métodos adicionales para
asegurar que el proceso de compra sea fiable.

Algunas de las medidas de seguridad que implementan para evitar posibles

fraudes durante las transacciones son las siguientes:

Filtrado del Valor de tarjeta (CVV)

El código de validación de la tarjeta o CVV es un código de 3 o 4 dígitos que se

pueden encontrar en todas las tarjetas de crédito que existen.

Dicho código no es guardado en la base de datos de los negocios de ventas

online. Pero, una vez que se realiza una transacción en la tienda online y el
CVV no coincide, la pasarela de pago procede a rechazar el pedido.

Servicio de verificación de dirección (AVS)

Es una de las medidas de seguridad más eficaces para detectar fraudes online.
Su forma de identificar estos casos es verificando si la dirección de facturación
y código postal que proporcionó el comprador al momento de hacer el pedido,
coinciden con los datos que el banco emisor de la tarjeta tiene registrado.

Cuando no coincide, por lo general, la pasarela no lo interpreta como un intento

de fraude porque puede que la persona haya escrito mal la información, así
que solicita otro tipo de datos como el CVV, por ejemplo.

Pero si la información sigue sin coincidir la pasarela nunca procesará el pago

por más que se intente.

Países de alto riesgo

Hay pasarelas que han habilitado filtros fundamentados en una lista de países
de alto riesgo. Estos filtros son activados cuando la dirección de envío no es la
misma que aparece en la facturación y el destino es para esas naciones
pertenecientes a dicha lista.

15
Estrategias combinadas

Cada pasarela de pago tiene sus propios métodos de seguridad. Existen

algunas que implementan estrategias combinadas o sistemas específicos como
la verificación de ubicación o dispositivos, incluyendo el 3-D Secure.

Este último es un mecanismo de autenticación basado en contraseñas que se

deben utilizar para verificar la compra, mientras que la verificación de ubicación
consiste en un sistema de comprobación de AVS/CV2 en tiempo real Dirección.

Fraudes electrónicos más comunes

Así como existe una variedad de métodos de seguridad adicionales, también

hay varias formas de realizar fraudes en el mundo del comercio electrónico.
Evidentemente algunas son más diseñadas que otras, sin embargo, tienen el
mismo propósito: conseguir dinero de forma ilegal.

Los tipos de fraudes electrónicos más comunes son:

 Fraude amigo. Se concreta cuando la compra se realiza y después se

establece contacto con el banco emisor para reclamar los cargos,
asegurando que el producto no fue recibido o que la compra fue
devuelta pero el dinero no fue reintegrado.
 Fraude limpio. Este tipo de fraude es más elaborado porque se vale de
bases de datos e información disponible en Internet. Los delincuentes
cibernéticos realizan compras usando datos reales, haciendo que sea
muy difícil detectar el acto ilícito.
 Triangulación. Se refiere a una técnica muy compleja y bien ejecutada,
ya que los cibercriminales elaboran sitios webs falsos ofreciendo
grandes descuentos con el fin de obtener información de usuarios
inocentes, quienes al hacer la compra, automáticamente reciben correos
de cancelación de compra, pero los delincuentes ya consiguieron sus
datos para usarlos en futuros pedidos.

 Las pasarelas de pago más seguras

 No importa cuál sea el escenario hay que evitar probar pasarelas que

no sean conocidas. Este es el mejor consejo que se puede seguir al
momento de buscar una solución de pago para una tienda online. Lo
más positivo es que hay bastantes opciones fiables y seguras.
 Una de ellas es PayPal que se ha convertido en uno de los métodos de
pagos más utilizados a escala mundial. A través de esta pasarela se
hacen millones de transacciones diarias, incluso se cree que tiene más
de 150 millones de cuentas activas.
 Otra solución de pago conocida y confiable es Google Wallet, un
sistema de pago móvil creado por el gigante estadunidense Google. Los

16
 usuarios que tienen cuentas en esta pasarela disponen de tarjetas de
débito, crédito, fidelidad o regalo para hacer sus pedidos telemáticos.
 Estas cuentas funcionan como una especie de monederos para
negocios al detal por Internet.
 Amazon Pay, también merece una mención. Con este medio, los
usuarios pueden enviar o recibir dinero utilizando la API de Amazon, de
manera que es posible pagar productos o servicios a través de los
medios de pago asociados a la cuenta de Amazon.
 Una opción que viene creciendo mucho es Dwolla, gracias a que ofrece
pagos online y red de pagos móviles. Su principal ventaja es que no
cobra comisiones para transacciones menores a 10 euros y permite
transferir dinero mediante teléfono móvil, correo electrónico y redes
sociales (Twitter, Facebook y Linkedin).
 Por otro lado, existen pasarelas de pago no tan conocidas, pero que
son casi igual de seguras y permiten realizar o recibir pagos por compra
de productos desde cualquier parte del planeta.
 Entre ellas destacan ACH Payments, 2CheckOut, Authorize.Net, WePay,
ACH Payments… Estos proveedores son garantía de transacciones
seguras.
 Aunque han existido medios de pago online que funcionan de manera
fiable y segura, pero luego dejan de operar quitándole dinero a quienes
lo usaban para enviar o recibir pagos. Por esto, la mejor decisión
es optar por un método con buena reputación que, además funcione
en diferentes países y lleve años ofreciendo el servicio.
 Por último, es recomendable que la pasarela de pago elegida sea
integrada perfectamente en la tienda online con la finalidad de no
generar desconfianza en el usuario. Que el comprador abandone la
tienda online para realizar un pago puede motivarlo a desertar y
finalmente no realizar la compra.

17
 Actividad

Completa las siguientes frases con el concepto al que hace referencia cada
una de las siguientes definiciones:

_____a1_____: es un código de 3 ó 4 dígitos. Dicho código no es guardado en

la base de datos de los negocios de ventas online. Una vez que se realiza una
transacción en la tienda online y el código no coincide, la pasarela de pago
procede a rechazar el pedido. .

_____b1_____: es una de las medidas de seguridad más eficaces para

detectar fraudes online. Consiste en verificar si la dirección de facturación y
código postal que proporcionó el comprador al momento de hacer el pedido,
coinciden con los datos que el banco emisor de la tarjeta tiene registrado..

_____c1_____: hay pasarelas que han habilitado filtros que se activan cuando
la dirección de envío no es la misma que aparece en la facturación y el destino
es para esas naciones pertenecientes a dicha lista..

_____d1_____: cada pasarela de pago tiene sus propios métodos de

seguridad. Existen algunas que implementan sistemas específicos como la
verificación de ubicación o dispositivos, incluyendo el 3-D Secure. .

a1:

b1:

c1:

d1:

18
4. Adquirir un certificado de seguridad digital

Obtener un certificado de seguridad digital le añadirá un valor agregado a

cualquier negocio de venta online. Aunque más allá de optimizar la plataforma
y protegerla de los hackers, la mayor ventaja de su adquisición es que los
usuarios verán el sitio web como un espacio confiable para comprar algún
producto sin comprometer sus datos sensibles.

- Recuerda -

Es conveniente repasar que estos certificados encriptan la información

confidencial de los usuarios, haciendo imposible que los ciberdelicuentes
accedan a estos datos o que otras personas los utilicen para cometer un fraude
así hayan accedido a ellos de manera accidental.

De igual modo, un certificado de seguridad digital permite verificar la

autenticidad de un sitio web y optimiza la conexión entre página y el navegador
web.

Ya una vez efectuada la verificación de la tienda online, cada uno de los datos
enviados mediante la conexión son codificados. Además, estos certificados
resultan útiles para comunicar servidores con otros y validar aplicaciones
fundamentadas en la red.

Por estos motivos es que al momento de escoger un certificado de seguridad

para un negocio online es necesario optar por el más completo con la
finalidad de resguardar la seguridad del consumidor.

Lo positivo es que actualmente existen distintos proveedores que ponen a tu

alcance la posibilidad de conseguir el certificado de seguridad. Pero, antes de
tomar una decisión hay que tener en cuenta las necesidades de la tienda
online.

Importancia de adquirir el certificado de seguridad digital

El acceso a Internet es más que una necesidad para los que les encanta
comprar desde la comodidad de su hogar. Por otro lado, está demostrado que
en los últimos años las ventas online han crecido de forma gigantesca con
el uso masivo de los dispositivos móviles que permiten hacer una compra
desde cualquier parte del mundo y a cualquier hora con solo pulsar un botón.

Esto da una idea de lo importante que son las plataformas de e-commerce y

cómo han transformado la forma de comprar de las personas, pues mediante
estos sitios web se puede adquirir casi cualquier producto de manera
rápida, cómoda y sin hacer ningún esfuerzo.

19
 Pero, el beneficio de recibir un producto en tu domicilio puede representar un
riesgo en cuanto a privacidad y seguridad. Situaciones desagradables como
la suplantación de identidad o el robo de datos personales y
corporativos son un ejemplo.

De este tipo de casos radica la importancia de adquirir un certificado de

seguridad digital, ya que reforzando la información y la confidencialidad de la
tienda online, ésta logrará garantizar un servicio óptimo y seguro.

 Se debe tener en cuenta que cuando un negocio de ventas online gestiona acciones
de transferencias digitales y no dispone de un protocolo de seguridad, está
exponiendo información sensible de los usuarios. Lo que supone un acto de
irresponsabilidad que puede pagarse con sanciones y multas considerables.
Importante

A nadie le gustaría verse envuelto en un caso de carácter legal porque no solo

se compromete datos personales de los usuarios, también afecta la
reputación de la empresa y le puede costar la pérdida de potenciales clientes.

Ventajas principales de adquirir un certificado de seguridad digital

Hay que tener en cuenta que al implementar un protocolo de seguridad, en

especial el certificado SSL, se consiguen los siguientes beneficios:

- Beneficios -

 Se legitima la tienda online y la empresa. El sitio web estará

patentando como un espacio cuyas actividades online se realizan en el
marco de valores y parámetros de seguridad.
 La información sensible de tu web está cifrada. Los usuarios no
correrán el riesgo de que sus datos privados sean robados o
interceptados por hackers.
 Protección ante malware. Los certificados de seguridad suelen
escanear el sitio web regularmente a fin de encontrar programas ilícitos
o malware que puedan poner en riesgo el funcionamiento de la tienda
online
 Mejor posicionamiento. Google premia los sitios web que disponen de
conexión SSL a través del uso de HTTPS, lo que ayuda mucho al
momento de querer conseguir una mejor posición en los resultados de
búsqueda.

Tipos de certificados de seguridad

20
En la actualidad es posible incorporar un certificado SSL o HTTPS en una
plataforma de e-commerce desde su creación. Esta acción no se podía
realizar haces años atrás, pues para incluir el certificado se tenía que llevar
cabo el cambio.

Hoy día aún hay sitios web que no cuentan con certificado de seguridad. En
estos casos, el cambio no requiere de mucho esfuerzo, incluso el primer
paso consiste en conseguir una conexión SSL para el dominio de la tienda
digital.

A.- Certificados con validación de dominios

Se trata de los certificados con el grado más básico de autenticación. La

Autoridad de Certificación solo se encarga de verificar si la persona solicitante
es el propietario del dominio, aunque los datos de la empresa no se
comprueban, lo que supone algunos riesgos.

Ya que el procedimiento de autenticación no demanda mucho tiempo, los

Certificados con validación de dominios son emitidos con gran rapidez, además
es el más económico de los tipos de certificados SSL.

Es importante destacar que este tipo de certificados se alinea mejor con

aquellos sitios web donde la credibilidad y la confianza de los usuarios están en
un segundo plano y no hay riesgos de fraude o robo de identidad.

Sin embargo, la recomendación de los especialistas en seguridad virtual

es conocer los tipos de certificados SSL que se diferencian especialmente
por el tipo de autenticación que ofrecen.

B.- Certificados de validación de la organización o empresa

Representa un tipo de autenticación más amplio y seguro que el certificado de

valoración de dominios. Aparte de verificar la propiedad del dominio, la
Autoridad de Certificación comprueba la información de la empresa como el
Registro Mercantil, por ejemplo.

Luego de verificar la información, los datos pueden ser vistos por los visitantes
del sitio web, lo que incrementa el nivel de confianza tanto en la tienda online
como en la empresa. Tras aportar un nivel más alto de seguridad, este
certificado es más caro.

En definitiva, esta autenticación es propicia para sitios web donde se realicen

transacciones que supongan el intercambio de datos confidenciales.

21
C.- Certificado de validación extendida

Con un nivel más elevado de autenticación, los certificados de validación

extendida son ideales para sitios web que reúnen datos de cuentas bancarias o
tarjetas de crédito, incluyendo otras informaciones sensibles.

A diferencia del certificado de validación de empresa, esta autenticación realiza

análisis profundos y pone en práctica estrictos criterios de adjudicación. Es una
opción tan segura que solamente lo puede asignar una Autoridad de
Certificación autorizada.

Esta Autoridad es la encargada de llevar a cabo el análisis detallado de cada

uno de los elementos importantes para la seguridad del sitio web, potenciando
su confianza y credibilidad. Por supuesto es el certificado más caro de todos.

No cabe duda de que esta es la autenticación que mejor cubre las necesidades
de una plataforma de e-commerce.

Instalación y configuración del certificado de seguridad

Una vez que se elija el tipo de certificación SSL adecuado para la tienda online
y se haya escogido un proveedor confiable, el siguiente paso es instalar el
certificado en el servidor.

Lo más habitual es que el propio proveedor del servicio realice la

instalación del certificado. Pero, hay casos donde permiten iniciar el proceso
desde el Panel de Control, agregando el certificado SSL al pack seleccionado.

El método de instalación siempre va a depender del proveedor que,

mayormente, pone al alcance de los usuarios las instrucciones pertinentes para
el procedimiento.

Sin embargo, que el protocolo se ejecute sin inconveniente influirá

especialmente de tres elementos:

1. La elección del certificado apropiado.

2. Cifrado correcto.

3. Configuración apropiada en el servidor.

Errores a evitar durante la implementación del certificado de

seguridad

22
Durante la implementación del certificado puede presentarse algunos fallos
que deben evitarse para prevenir problemas al momento de la clasificación en
el ranking de los buscadores o, al entrar a sitios web que esté inactivos.

Por lo tanto, los administradores web que implementan los certificados SSL y
HTTPS tienen que realizar varias acciones importantes. Entre ellas:

 Evitar los certificados caducados. Un protocolo SSL inválido arrojará

un mensaje de alerta en la ventana del navegador. Cuando esto sucede,
la intención de que tu negocio online transmita confianza y seguridad a
los visitantes se esfumará totalmente.
 Configurar una correcta redirección. Si se quiere evitar el contenido
duplicado, los administradores tienen que ocuparse de garantizar la
redirección 301 de sus dominios. De esta manera se evitará que los
motores de búsqueda interpreten la HTTP y la HTTPS como dos sitios
web distintos y que esperen contenidos distintos.
 Ajustar anuncios publicitarios (Google AdWords, Bing Ads, etc.).
En caso de una tienda online con HTTPS incorpore contenido no cifrado,
ya sea scripts, imágenes…, posiblemente se mostrará un aviso de
advertencia que no será una buena señal para los usuarios. Esto supone
un problema con los anuncios, debido a que gran parte de publicidad
suele ser entregada sin cifrar, en tanto, lo mejor es adaptarlos para
garantizar la seguridad máxima.
 Adaptar las Webmaster Tools y Google Analytics. Teóricamente la
versión HTTP y la HTTPS son dos webs diferentes. La versión HTTPS
debe ser adscrita en las Webmaster Tools tras ser implementado el
protocolo de seguridad.
 Actualización del Sitemap en XML. El mapa del sitio tiene que ser
actualizado y guardado en las Webmaster Tools.
 Comprobar enlaces externos e internos. A pesar de que las
redirecciones 301 esquiven los enlaces defectuosos, cada uno de los
enlaces deben ser reemplazados después de instalarse el certificado
HTTPS. Según la forma cómo se administre el contenido en el CMS, se
requerirá una configuración manual. Mientras que para los enlaces
externos se tiene que intentar cambiar los enlaces principales a su
respectiva dirección HTTPS.

23
 Actividad

Identifica el beneficio del que hablamos cuando implementamos un protocolo

de seguridad.

Cuando Google premia los sitios web que disponen de conexión SSL a través
del uso de HTTPS, lo que ayuda mucho al momento de querer conseguir una
mejor posición en los resultados de búsqueda.

Se legitima la tienda online y la empresa.

Mejor
posicionamiento.

Cuando los certificados de seguridad suelen escanear el sitio web

regularmente a fin de encontrar programas ilícitos que puedan poner en riesgo
el funcionamiento de la tienda online.

Protección malware.
Mejor posicionamiento.

Cuando los usuarios no corren el riesgo de que sus datos privados sean
robados o interceptados por hackers…

Protección ante malware.

La información sensible de tu web está cifrada

Cuando el sitio web está patentado como un espacio cuyas actividades online
se realizan en el marco de valores y parámetros de seguridad.

Se legitima la tienda online y la empresa.

Protección malware.

24
 5. Cumplir con la legislación vigente: protección de datos

Quien tenga un simple blog o una tienda digital está obligado a cumplir con
la legislación vigente en términos de protección datos. En especial, aquellos
que disponen de un negocio de venta online, ya que la «materia prima» de
estos sitios web es la información personal de sus clientes o potenciales
clientes.

En consecuencia, los propietarios de estas páginas web deben apegarse a la

nueva Ley de Protección de Datos europea, también conocida
como Reglamento General de Protección de Datos o
simplemente RGPD (vigente desde el 25 de mayo de 2018) y a la nueva Ley
Orgánica de Protección de Datos de Carácter Personal o LOPD española (que
entró en vigor desde el 6 de diciembre 2018).

 Ninguna persona puede gestionar información confidencial de otras, sin

conocer las normas que regulan esta actividad, de lo contrario, estará
expuesta a grande multas.

Importante

Por consiguiente, no saber cómo gestionar los datos personales de acuerdo al

reglamento o las normas establecidas, pondrá en riesgo el negocio online.

El Reglamento y la Ley de Protección de Datos

Aunque manejar información acerca de las normativas que regulan la gestión

de datos personales es clave para alcanzar los objetivos de un negocio de
ventas online, hay quienes no saben de qué trata, aun así, gestionan bases
de datos, contactos, leads o listas enormes de información sensible.

Por ello resulta conveniente destacar que el Reglamento y la Ley Orgánica de

Protección de Datos fueron creadas para fijar normas concretas alusivas a la
gestión de información personal, con el propósito de que esta actividad se
realice de forma segura y respetuosa frente a los derechos a la privacidad.

Sin embargo, la esencia de la LOPD y la RGPD no es cumplir estrictamente

con las reglas como una exigencia legal, sino de asumir que la información
privada es un recurso muy valioso de todo comercio electrónico y, que de su
protección depende la permanencia de la tienda digital en Internet.

25
 En otros términos, estas normativas tratan de promover la creación de
entornos fiables y seguros, donde los datos personales sean manejados
lícitamente y cada usuario sienta que su información está bien protegida.

Diferencias entre LOPD y RGPD

El tema acerca de la protección de datos es tan amplio que a veces los

conceptos se mezclan hasta el punto de generar confusión.

En España es normal escuchar las siglas LOPD, que hacen alusión a la Ley

Orgánica de Protección de datos de carácter personal, pero en el 2018 se
incorporó el RGPD o Reglamento europeo de Protección de datos para
complicar más todo.

Pero, el asunto es fácil de entender. La LOPD es una ley de corte nacional,

mientras que el RGPD es una normativa europea. El carácter del Reglamento
es de aplicación directa, lo que implica que no requiere de ninguna ley para su
implementación, solo requiere de un «aterrizaje local».

 Motivado a este hecho, el 6 de diciembre de 2018, la versión española del RGPD puso
en marcha nuevas siglas: LOPDGDD, que significan Ley Orgánica de Protección de
Datos Personales y Garantía de los Derechos Digitales.

Dato de interés

Debido a que las siglas suelen confundir mucho resulta más práctico
llamarla «la nueva LOPD», pero realmente se trata de la LOPDGDD, que tiene
como propósito adaptar el Reglamento al panorama nacional y que en
ninguna circunstancia puede transgredir ninguno de sus principios.

El RGPD solamente tiene el poder de regular aspectos específicos donde

cada país miembro puede pronunciarse.

26
El derecho fundamental de la protección de datos persigue
garantizar

La protección de datos aparte de garantizar y salvaguardar la información

privada, lo que realmente busca es un trato respetuoso de los datos
personales y los derechos fundamentales de las personas físicas;
principalmente el derecho al honor y la intimidad personal y familiar.

España fue precursora en el reconocimiento del derecho fundamental a la

protección de información sensible al establecer en su Constitución que la Ley
limitará el uso de la informática para salvaguardar el honor y la intimidad
personal y familiar de los ciudadanos.

Una gestión inadecuada de los datos personales afecta la intimidad, la

privacidad y la seguridad de cualquier usuario. Es por ello que la Ley exige a
todos los propietarios de tiendas online, blogs o páginas web que, traten
información confidencial de terceros, a que cumplan con una serie de requisitos
para no violar derechos y libertades a través de estos tratamientos.

Además, la Ley de Protección de Datos proporciona a los ciudadanos la

capacidad de controlar su información personal para que ellos mismos sean
los que puedan tomar decisiones al respecto. Por ejemplo, establecer quién
puede usar sus datos confidenciales, con qué objetivo, hasta qué tiempo, así
como limitar, rectificar u oponerse a esa posesión o uso.

Es el usuario quien tiene la potestad de aceptar la obtención y el acceso a

estos datos, incluyendo su posterior almacenamiento y tratamiento, incluso
decidir sobre los propósitos con los que puede ser tratada su información y con
quién puede ser compartida.

En síntesis, la gestión de datos personales de terceros mediante plataformas

de e-commerce no es un asunto que deba ser tomado a la ligera, ya que
darle un tratamiento seguro a la información confidencial es crucial para los
clientes.

Por esto la importancia de conocer el RGPD y LOPD, de este modo se evitan

problemas legales y se respetan los derechos de libertad.

A quién obliga la ley de protección de datos

Así se trate de un blogger o de un propietario de una web pequeña, la Ley de

Protección de Datos demanda el cumplimiento de la normativa.

27
 Pues, los lineamientos generales del Reglamento, establecen que cualquier persona
u organización que haga un tratamiento total o parcialmente automatizado de
información sensible entra dentro del ámbito de aplicación de esta Ley.

Importante

Aunque, el RGPD contempla algunas excepciones en el artículo 2, donde se

la excepción más predominante es concerniente a las “actividades
exclusivamente personales o domésticas”.

Esto significa que la agenda de contactos personales de tu dispositivo móvil no

está sujeta al Reglamento, sin embargo, una pequeña sección de
comentarios de un blog que recoja nombre y email del usuario que comentó
sí está enmarcada dentro de la normativa.

Adaptar la página web a las exigencias del RGPD y la nueva

LOPD

Todo sitio web tiene que contar con algunos textos básicos ya mencionados
en la sección de Requerimientos de seguridad en la venta Online. Estos son:

 Aviso legal.
 Condiciones de uso.
 Política de cookies.
 Política de privacidad…

Cabe agregar que cumplir la Ley de Protección de Datos no es realizar un

trámite ni publicar textos en una página web, sino de desarrollar un sentido de
respeto hacia la protección de información sensible en cada una de
las decisiones estratégicas del negocio electrónico.

28
Sanciones de la nueva LOPD

Una vez que la RGPD entró en vigor, las denuncias a la Agencia Española

de protección de datos aumentaron en un 33%, un acontecimiento que
muestra la sensibilidad referente al valor que tiene la información personal para
los usuarios.

Además, esto deja en evidencia que muchos españoles conocen sus

derechos y que cada vez son más exigentes con los profesionales y empresas
que gestionan sus datos privados.

En la nueva LOPD se continúa con la clasificación de la vieja LOPD

entre infracciones leves, graves y muy graves, teniendo en cuenta la
diferencia que el RGPD establece al determinar las sanciones.

Lo más impactante es que las sanciones han incrementado de forma

considerable. En la antigua LOPD, el importe tope no superaba los 600 mil
euros, ahora el máximo se ubicó en los 20 millones de euros o el 4% de la
facturación bruta anual.

Por otro lado, se ha establecido un nuevo sistema de indemnizaciones. Es

decir, que aparte de las sanciones, cualquier persona afectada puede solicitar
una indemnización en caso de demostrar que sus derechos fueron
transgredidos.

Para proteger cualquier negocio de ventas online se recomienda disponer de

las políticas adecuadas y los formularios ajustados a la Ley, si no, esto podría
ser una debilidad ante la vista de la competencia, lo que le dejaría camino libre
para que intenten tomar acciones legales con el fin de acabar con la empresa.

Resumen

Proteger el negocio online debe ser una de las prácticas obligatorias y

cotidianas de toda aquella persona responsable de la empresa en línea. No
solo estamos hablando de hackers, ni mucho menos. El spam, las aplicaciones
mal codificadas, el bloqueo o el robo de un ordenador, la falta de copias de
seguridad, demandas, reclamos de seguro, cambios en el algoritmo de Google,
fluctuaciones en el flujo de efectivo y una serie de otros factores internos y
externos pueden dañar o borrar por completo su negocio en un momento para
otro y puede que sin aviso previo.

La buena noticia es que hay muchas cosas que pueden hacer para proteger el
negocio y dejarlo a prueba de balas, de hecho hay algunas prácticas diarias
que puede emplearse para fortalecerlo y protegerlo de la mayoría de las
amenazas a las que probablemente se enfrentará en el transcurso del negocio.

29