ESPECIFICACIÓN SET

(Secure Electronic Transaction)

 Especificación SET

Objetivos:
• Describir una forma segura de transacciones
comerciales seguras por Internet
• Conocer los requisitos y aspectos claves contenidos
en la especificación SET
• Analizar el concepto de firma Dual y su aplicación
al comercio electrónico
• Estudiar las transacciones SET más comunes:
Petición de compra, autorización de pago, cobro de
la operación
 Especificación SET
Índice:
• Requisitos y aspectos clave de la
especificación SET
• Concepto de Firma Dual
• Transacciones SET
– Petición de Compra
– Autorización de pago
– Cobro de la operación
 ¿Qué es SET
(Secure Electronic Transaction)?

• Es una especificación de seguridad diseñada para

proteger las transacciones comerciales con tarjetas
de crédito
• No es un sistema de pago
• Es un conjunto de protocolos de seguridad que
permiten a los usuarios utilizar la infraestructura
existente de pago con tarjeta en una red abierta
como es Internet de forma segura
• Un gran número de entidades financieras y de
Internet apoyan su desarrollo
 REQUISITOS SET
• Proporcionar confidencialidad en el pago
• Asegurar la integridad de todos los datos transmitidos
• Asegura que el cliente de una transacción es el legitimo
usuario de una cuanta asociada
• Proporciona autenticación de que un comerciante puede
aceptar transacciones con tarjeta
• Asegurar el uso de las mejores técnicas criptográficas
• Crear un protocolo que no dependa de mecanismos de
seguridad de nivel de transporte
• Facilitar y animar la interoperatividad entre
proveedores de software y de red
 ASPECTOS CLAVES DE SET
• Confidencialidad de la Información
– El comerciante no tiene acceso al número de la
tarjeta de crédito
– La información va cifrada con DES
• Integridad de los datos
– Firmas digitales RSA y códigos Hash
• Autenticación de la cuenta del cliente y de los
comerciantes
– Certificados Digitales X.509v3
 PARTICIPANTES SET

• El cliente (Cardholder)
• El comerciante (Merchant)
• La institución emisora de la tarjeta
(issuer)
• El Banco (Acquirer-Payment Gateway)
• La autoridad de Certificación (CA,
Certification Authority)
 RESUMEN SECUENCIA
EVENTOS SET
• Un cliente abre una cuenta y obtiene una
tarjeta de crédito
• El cliente recibe un certificado digital
• Los comerciantes tienen sus propios certificados
• Un cliente hace un pedido
• El comerciante es verificado
• Se envía la orden y el pago
• El comerciante pide autorización de pago
• El comerciante confirma la orden y proporciona
los servicios
• El comerciante cobra sus servicios al banco
 FIRMA DUAL
IP: Información
del Pago

HIP KPrCliente
H
HP FIRMA DUAL

IT: Información
H E
Transacción

HIT
H

HIP: Hash IP FD = EKPr [H (H (IP ) H (IM ))]

HIT: Hash IT Cliente

HP: Hash Pedido

 VERIFICACIÓN FIRMA DUAL
COMERCIANTE

FIRMA DUAL
KPuCliente

D
HP

HIP

COMPARAR

IT: Información HP
Transacción
H

H HIP: Hash IP (Información Pago)

HP: Hash Pedido
 VERIFICACIÓN FIRMA DUAL
ENTIDAD BANCARIA
K PuCliente
FIRMA DUAL

D
HP

HIT

COMPARAR

IP: Información HP
del Pago
H

H HIT: Hash IT (Información Transacción)

HP: Hash en Pedido
TRANSACCIONES SET (I)

 Petición de compra
(Purchase Request)
 Autorización de pago
(Payment authoritation)
 Cobro por el Comerciante
(Payment Capture)
 ..........
 TRANSACCIONES SET (II)
INICIAR PETICIÓN

RESPUESTA INICIO PETICIÓN

CLIENTE PETICIÓN DE COMPRA COMERCIANTE

RESPUESTA PETICIÓN DE COMPRA

BANCO
 PETICIÓN DE COMPRA
CLIENTE COMERCIANTE

CLIENTE INICIAR PETICIÓN

INICIA
PETICIÓN COMERCIANTE
ENVÍA
CERTIFICADOS
CLIENTE RESPUESTA INICIO PETICIÓN
RECIBE
RESPUESTA
Y ENVÍA
PETICIÓN DE COMPRA
PETICIÓN COMERCIANTE
PROCESA
CLIENTE PETICIÓN
RECIBE RESPUESTA PETICIÓN DE COMPRA
RESPUESTA
PET. COMPRA
Msj. “Iniciar Petición”
Cliente->Comerciante

MENSAJE INICIAR PETICIÓN

•Tipo de Tarjeta de Crédito

•Identificador de uso único: N1
•Identificación Bancaria
.
.
.
 Msj.“Respuesta Inicio Petición”
Comerciante ->Cliente

RESPUESTA MENSAJE DE RESPUESTA

INICIO PETICIÓN
IdT, N1, N2,..
FIRMA

R RESPUESTA
+
H E
KPrComerciante

+
Firma = Re spuesta + KPrComerciante [H (Re spuesta ) ]
 Msj.“Respuesta Inicio Petición”
Verificaciones en el Cliente
MENSAJE DE RESPUESTA
INICIO PETICIÓN

FIRMA
VERIFICACIÓN FIRMA
+

VERIFICACIÓN CERTIFICADO

+
VERIFICACIÓN CERTIFICADO
 Msj. “Petición de Compra”
Cliente->Comerciante
MENSAJE DE PETICIÓN DE COMPRA
IP: Información
del Pago E IP+FD+HIT
+
KS 1 KS 1 ENVOLTURA
DIGITAL 1
+
+ E HIP
FIRMA DUAL
+
KPu 2Banco
IT: Información
+ Transferencia
HIT
+
FIRMA DUAL

HIP: Hash IP
+
HIT: Hash IT
 Msj. “Petición de Compra”
Verificaciones del Comerciante
MENSAJE DE PETICIÓN DE COMPRA

IP+FD+HIT

+ INFORMACIÓN
PARA EL BANCO
KS 1 ENVOLTURA
DIGITAL
+ HP

HIP H
+ HIM
COMPARAR
IT: Información
Transferencia H
HP
+
FIRMA DUAL D
+
KPuCliente

VERIFICACIÓN CERTIFICADO
 Msj. “Respuesta Petición Compra”
Comerciante ->Cliente
MENSAJE DE RESPUESTA DE
RES. PET. COMPRA PETICIÓN DE COMPRA
IdT, N1, ..
FIRMA

H RES. PET. COMPRA +

H E

KPrComerciante

Firma = Re s _ Pet _ Compra + KPrComerciante [H (Re s _ Pet _ Compra ) ]

 Msj. “Respuesta Petición Compra”
Verificaciones en el Cliente
MENSAJE DE RESPUESTA DE
PETICIÓN DE COMPRA

FIRMA
VERIFICACIÓN FIRMA
+
VERIFICACIÓN CERTIFICADO

H RES. PET. COMPRA H RES. PET. COMPRA

H D KPuComerciante

Firma = Re s _ Pet _ Compra + KPrComerciante [H (Re s _ Pet _ Compra ) ]

 AUTORIZACIÓN DE PAGO

COMERCIANTE BANCO

COMERCIANTE
PIDE PETICIÓN DE AUTORIZACIÓN BANCO
AUTORIZACIÓN
PROCESA
PETICIÓN
COMERCIANTE AUTORIZACIÓN
PROCESA RESPUESTA DE AUTORIZACIÓN
RESPONDE
 Msj. “Petición de Autorización”
Comerciante ->Banco
MENSAJE DE PETICIÓN DE AUTORIZACIÓN

PET. AUTORIZACIÓN IP+FD+HIT

IdT,Inf Transac., .. +
KS 1 ENVOLTURA
FIRMA DIGITAL 1
+
H PET. AUTORIZACIÓN
+
H E E KS 2
ENVOLTURA
DIGITAL 2

KPrComerciante KS 2 +

E +
KPu 2Banco

Firma = Pet _ Aut + KPrComerciante [H ( Pet _ Aut ) ]

 Msj. “Petición de Autorización”
Verificaciones en el Banco
MENSAJE DE PETICIÓN DE AUTORIZACIÓN IP: Información
del Pago HP
Ks 1
IP+FD+RIM D H
+ HIT
ENVOLTURA
DIGITAL 1 K D COMPARAR
+
S1

KPr 2Banco FIRMA DUAL

HP
+ D
ENVOLTURA
DIGITAL 2
KS 2
+ KPr 2Banco
K PuCliente
FIRMA
D D VERIFICACIÓN FIRMA

+ KPu 1Comerciante
Ks 2

+ VERIFICACIÓN CERTIFICADOS
 Msj. “Respuesta de Autorización”
Banco ->Comerciante
MSJ. DE RESPUESTA DE AUTORIZACIÓN
AUTORIZACIÓN_PAGO

KPr 1Banco FIRMA

E AUTORI.

H. RES. AUTORI. PAGO

KS 3 +
H E ENVOLTURA
KS 3
DIGITAL 3
E

TOKEN_PAGO KPu 2Comerciante

TOKEN

KPr 1Banco FIRMA

E
+
H. TOKEN_PAGO KS 4 ENVOLTURA
DIGITAL 4
H E KS 4 +
E
KPu 2Banco
 Msj. “Respuesta de Autorización”
Verificaciones del Comerciante
MENSAJE DE RESPUESTA DE AUTORIZACIÓN

AUTORI.

+ KPr 2Comerciante
FIRMA
KS 3 ENVOLTURA
DIGITAL 3 D D VERIFICACIÓN FIRMA

KPu 1Banco
KS 3
TOKEN

+
KS 4 ENVOLTURA
DIGITAL 4
+

VERIFICACIÓN CERTIFICADO
 COBRO DE LA OPERACIÓN

COMERCIANTE BANCO

COMERCIANTE
SOLICITA EL PETICIÓN DE COBRO BANCO
COBRO PROCESA
PETICIÓN
COMERCIANTE DE COBRO
RECIBE RESPUESTA DE PET. COBRO
RESPUESTA
 Msj. “Petición de Cobro”
Comerciante->Banco

PET_COBRO MENSAJE DE PETICIÓN DE COBRO

KPr 1Comerciante
FIRMA
PET. COBRO
E
H. PET_COBRO +
H E KS 5 ENVOLTURA
KS 5 DIGITAL 5

+
E TOKEN
KPu 2Banco
+
KS 4 ENVOLTURA
DIGITAL 4
+

+
 Msj. “Petición de Cobro”
Verificaciones Banco
MENSAJE DE PETICIÓN DE COBRO

PET. COBRO
KPu 1Comerciante
+ KPr 2Banco
FIRMA
KS 5
D D
ENVOLTURA
DIGITAL 5 VERIFICACIÓN FIRMA
PETICIÓN_COBRO
+ KS 5

TOKEN COMPARAR
DATOS
KPr 2Banco
+
KS 4
ENVOLTURA
DIGITAL 4 D D TOKEN

+ KS 4

VERIFICACIÓN CERTIFICADO
+
VERIFICACIÓN CERTIFICADO
 Msj. “Respuesta Petición de Cobro”
Banco -> Comerciante

MENSAJE DE RESPUESTA
RES_PET_COBRO DE PETICIÓN DE COBRO

KPr 1Banco
FIRMA
RES_PET_COBRO
E
H. RES_PET_COBRO
+
H E KS 6 ENVOLTURA
DIGITAL 6
KS 6

+
E
KPu 2Comerciante
 Msj. “Respuesta Petición de Cobro
Verificaciones Comerciante

MENSAJE DE PETICIÓN DE COBRO

RES_PET_COBRO

+ KPr 2Comerciante
FIRMA
D D VERIFICACIÓN FIRMA
ENVOLTURA
DIGITAL 6 KS 6

+ KPu 1Banco
KS 6

VERIFICACIÓN CERTIFICADO