Sumario

Tanto las personas como las instituciones necesitan conocerse antes de realizar negocios.

Las nociones de identidad y autenticación, son por tanto conceptos fundamentales en cualquier negocio. En el mundo físico, las personas confían en credenciales físicas, - un documento de identidad personal- para probar sus identidades y asegurarse que la otra parte puede llegar a realizar el negocio.

El comercio electrónico requiere la utilización de métodos para el establecimiento de identidades, de sistemas de pago y de mecanismos de resolución de disputas legales similares a los tradicionales. Los servicios de ACE, Autenticación, Pago, y Validación, proporcionan una infraestructura digital de confianza para el negocio electrónico.

Esta guía trata de la Autenticación. En ella se describen cómo los Servicios de Autenticación de ACE proporcionan los fundamentos necesarios para establecer identidades y crear relaciones de confianza en el mundo digital.

Independientemente de si el comercio se realiza online o en el mundo físico, las partes involucradas deben de contestar a estas preguntas:

• ¿Quién eres?
• ¿A qué comunidad perteneces? ¿Todavía eres un miembro de confianza?
• ¿Cómo puedes probar tu identidad?

Es decir, cualquier persona que desee realizar comercio electrónico debe establecer su identidad y presentar credenciales, que prueben de su identidad a cualquier otro participante del intercambio. Asimismo, debe ser administrado el ciclo de vida y la presentación de credenciales . Finalmente, los credenciales deben ser accesibles a las partes involucradas, en cualquier tipo de directorio. Los servicios de autenticación de ACE utilizan estos aspectos para establecer un negocio electrónico de confianza.

En 1996, VeriSign lanzó el primer producto online. La autoridad de certificación, basada en Internet, sirve como soporte a la seguridad de sitios web en internet. Hoy en día es el mayor proveedor de Servicios de Autenticación en el mundo, habiendo prestado servicios a cientos de miles de negocios en red y millones de usuarios finales. Si sus aplicaciones son seguras para la captura de ordenes de tarjetas de crédito, seguridad B2B, redes VPN, firma de códigos de software, seguridad internacional, e-mail seguro, redes de radiofrecuencia u otro aspecto sobre la seguridad en la red, los servicios de autenticación de ACE, proporcionan la infraestructura digital global necesaria para comerciar en el mundo digital.

Presentación de los Servicios de Autenticación de ACE

En la actualidad, la economía comienza a moverse online. Realizando operaciones a través de Internet, los negocios pueden ganar competividad alcanzando mercados de todo el mundo, a unos costes muy bajos.

La World Wide Web presenta un conjunto de seguridades que cualquier negocio tendrá que utilizar para minimizar el riesgo. Por ejemplo, los clientes enviarán información en línea sólo si tienen la confianza de que su información personal, como el número de tarjeta de crédito, datos financieros, o historial médico, es segura. Pero esta información valiosa que se envía a través de la red demanda una autenticación mayor por parte de los usuarios de la conexión.

El desafio de la confianza Online

Para establecer transacciones comerciales fiables desde el punto de vista de la seguridad, una empresa debe ser capaz de identificar y verificar la identridad de sus usuarios dentro del dominio de su negocio.

Muchas empresas emiten credenciales a sus empleados utilizando tarjetas de identidad y passwords para el control y acceso a los recursos de la compañía. Estas tarjetas de identidad y passwords se utilizan para autenticar a los empleados, facilitar el acceso a la información y proteger los recursos de accesos no autorizados. Pero esta autenticación "interna" no es fácil de extender a terceras partes como clientes y socios comerciales.

¿Por qué pasa esto? Primeramente, es posible que la empresa no tenga fuentes de datos apropiadas, procesos y políticas para establecer la identidad de empresas externas. ¿Cómo se puede estar seguro de que un nuevo socio es quien dice ser? La empresa seguramente no poseerá información internaque pueda ser utilizada para identificar empresas externas. Sin una fuente de datos de confianza, la empresa debe inventar un proceso totalmente nuevo para comprobar la identidad de sus socios de negocios. ¿Pero qué conlleva este proceso? ¿Qué tipo de información debe ser verificada? ¿Cómo puede una empresa estar segura de que el negocio proviene de la empresa legitimada para hacerlo? ¿Quién va ha llevar a cabo la verificación? ¿Debería garantizar individuos? Una vez que la calidad y la consistencia dentro del proceso está definida, ¿cómo se podrá garantizar? ¿Qué tipo de auditorias serán necesarias? En el caso de aparecer un error ¿cuáles son las obligaciones de la empresa? ¿Cómo debería ser manejado el riesgo? Todas estas preguntas deberían de realizarse antes de que nuestros socios puedan tener acceso a recursos importantes de nuestra compañía.

Las dificultades continúan. Una vez que la identidad de otra compañía se ha verificado, su empresa podría necesitar establecer relaciones de confianza con individuos que están asociados con aquella. Por ejemplo, un comprador podría tener agentes de compras que adquieran mercancía. ¿Cómo puede su empresa sentirse seguro acerca de la identidad de los empleados de la compañía compradora? ¿Qué ocurrirá si un empleado abandona ésta.? ¿Qué tendrá que hacer su empresa. para que la compañía compradora asuma su responsabilidad en las transacciones fraudulentas emitidas por uno de sus agentes?

Para limitar las responsabilidades de una empresa, el administrador de identidades debe delegar en terceras partes.

Estos temas no se limitan a políticas y practicas. La empresa también debe abordar desafíos tanto tecnológicos como operacionales. Los mecanismos utilizados para controlar el acceso a Intranet no son suficientes en la actualidad, porque el socio de negocios no está físicamente en la misma red. Hoy son necesarias nuevas tecnologías de autenticación de aplicaciones y de redes. Además, el riesgo es mayor desde que los datos están abiertos a mucha más gente. Las obligaciones actualmente son un tema muy importante, porque las empresas protegen sus datos que no solo son importantes para ellas mismas, si no también para sus socios comerciales. La seguridad se ha convertido en crucial.

El entendimiento es también importante. Para conseguir que otras empresas participen en sus negocios, a menudo deben proporcionar pruebas a sus socios que demuestren que los procesos de negocio son seguros. Por ejemplo, si se elige utilizar passwords de autenticación, éstas deben custodiarse adecuadamente. Si las passwords son "robadas" o su seguiridad queda comprometida las consecuencias no solo se limitan a una empresa si no que también afectan a sus socios comerciales. Un centro de datos seguro y un personal de confianza son imprescindibles.

Autenticación: Los cuatro pilares

Para entender en profundidad los servidios de autenticación es necesario comprender cada una de las siguientes áreas:

Establecer la identidad
Antes de realizar transacciones debe establecerse la identidad de las partes. En toda transacción, las empresas deben evaluar los niveles de esfuerzo y la asunción de riesgos asociados con el establecimiento de una identidad.

En el nivel más básico, debe existir un proceso que verifique que una empresa o individuo existe, tiene nombre, y usa ñegítimamente. Este proceso puede también establecer otros atributos de identificación: por ejemplo, la afiliación de la empresa, segmento de la industria, o certificación profesional. Las Terceras partes confiables (Autoridades de Certificación) o autoridades delegadas tienen el papel de respaldar la identidad de las personas que participan en el momento en el que la identificación se realiza.

Administración de credenciales
Una vez que la identificación se establece y verifica, se puede emitir una credencial que podrá usarse para probar una identidad.

En el mundo "físico", estas credenciales podrían ser un carnet de identidad o de conducir. En el mundo digital, la credencial más completa es el certificado digital. Una vez que los certificados se encuentran en su sitio, los usuarios de B2B pueden identificar socios de negocios, proveedores y clientes, bien consultando los certificados o buscándolos en sitios web.

Los certificados digitales proporcionan la base tecnológica requerida para asegurar comunicaciones entre negocios o entre socios. También crean el armazón técnico para que no se puedan repudiar las transacciones a la vez que generan registros de transacciones firmadas digitalmente.

Validación de la identidad
Una vez que el usuario ha sido identificado y posee un credencial (certificado digital), está preparado para realizar negocios.

En este momento le será requerida su identidad, esto es su autenticación. En el mundo digital, este proceso requiere que la aplicación pregunte al usuario por la credencial, la verifique y una vez validada proporcione el acceso.

Catálogo de Servicios

A diferencia que el "nombre de usuario y password", los certificados digitales pueden ser tratados como "credenciales públicos", esto es, pueden ser compartidos en un directorio que puede ser utilizado para realizar intercambios comerciales. Este directorio debe soportar tanto atributos públicos como privados, y permitir a los usuarios manipular de forma segura su propia información. Debido a que muchos aspectos de la adquisición de clientes, manejo de riesgos, seguridad, modificación de datos y fiabilidad son requeridos en cualquier negocio de red, una implementación efectiva de unos servicios de directorio, hace que la flexibilidad sea nuevamente un factor clave.

Entornos de autenticación típicos

Mientras que identificar y autenticar es fundamental para todo tipo de comercio electrónico, cada cliente asociado puede tener necesidades diferentes dependiendo de su entorno.

Empresas con Intranet
Normalmente, las empresas usan intranets privadas para facilitar las comunicaciones internas entre sus empleados. Por ejemplo, las intranets pueden ser usadas para administrar los reportes de gastos o las peticiones del personal.

En este entorno aparentemente simple, las propuestas clave incrementan la productividad y reducen costes. Todos los usuarios son conocidos por la empresa y estos deben seguir sus reglas. Debido a que los usuarios son pocos y bien conocidos, la autenticación puede realizarse en conexión con procesos establecidos y a fuentes de datos internas de la empresa.

Empresas con B2B Extranet
Las empresas añaden extranets B2B para generar valor añadido a sus relaciones con clientes, socios o proveedores. Por ejemplo, un fabricante puede usar un extranet para comunicarse con sus plantas de producción.

Aquí, la clave está en la eficiencia y la reducción de costes. La mayoría de usuarios son conocidos por la empresa y mientras no se requiere que se sigan las reglas al pie de la letra, están altamente motivados para hacerlo.

Empresas con B2C Extranet
Las empresas que emplean extranets B2C ofrecen servicios a los consumidores en Internet. Por ejemplo, bancos online, o corredurías de servicios online.

Aquí, la clave consiste en la satisfacción de los clientes. Específicamente, las empresas desean establecer la identidad de nuevos clientes, clientes desconocidos, con la menor fricción posible. Esto significa que mientras los actuales usuarios son conocidos para la empresa, por definición, la mayoría de sus potenciales usuarios son desconocidos. En este escenario, la autenticación de los clientes existentes se hace usando passwords, después de haber sido examinado por un proceso del propio banco. Por lo tanto, el desafío radica en identificar a los nuevos clientes.

Comercio electrónico B2B en mercados electrónicos
El comercio electrónico B2B (empresas a empresas)en mercados electrónicos une negocios entre clientes y proveedores.

Por ejemplo intercambios orientados a compradores como Ariba, orientados a ventas y mercados verticales como Ventro y Neoforma.

Aquí la clave consiste en incrementar el volumen de transacciones añadiendo cuantos más compradores y proveedores cualificados, y reducir el riesgo, compratiendo con terceras partes las responsabilidades cuando sea posible. La alta convicción en la verificación de identidades, la identificación de atributos y una tercera parte imparcial, evalúa a los usuarios que son clave.

Comercio electrónico B2C en mercados electrónicos
El comercio electrónico B2C (empresas a consumidores) en mercados electrónicos junta al consumidor, al comprador y al proveedor. El mejor ejemplo son sitios de subastas para consumidores como eBay. La clave consiste en reducir el fraude identificando individualmente a los usuarios e impidiendo el acceso a aquelos que se encubren en una falsa identidad.

Soluciones de autenticación de ACE

Son los servicios de autenticación de ACE, y cómo simplifican la autenticación en sus correspondientes entornos de clientes.

Administración PKI (Infraestructura de Clave Pública) para empresas
Para empresas y mercados electrónicos que deseen emitir credenciales a un usuario "conocido", el servicio OnSite de ACE es un intuitivo y robusto servicio de administración PKI, que proporciona a las empresas control total sobre sus políticas de confianza y seguridad en su arquitectura. OnSite se diseñó sobre la premisa de ser una infraestructura de clave pública totalmente integrada. Su metodología de servicios de administración permite a las empresas la emisión de certificados digitales a socios, clientes y empleados - a la vez que a servidores, routers, firewalls - en cualquier parte del mundo, 24 horas al día, para mejorar la seguridad en Internet, extranet, redes virtuales privadas (VPN), y aplicaciones de comercio electrónico.

Utilizando OnSite, las empresas implementan rápidamente funciones de administración de credenciales usando aplicaciones Web-facing. Estas funciones incluyen la inscripción, renovación, revocación de certificados, la verificación de estados, control administrativo por medio de administración de páginas web, soporte de aplicaciones, herramientas de administración, servicios de distribución del directorio de certificados, administración de claves y servicios de custodia.
Los componentes más importantes de OnSite de ACE, son los siguientes.

• OnSite CA Centro de Control es una aplicación intuitiva basada en la red, que da a la empresa total control sobre la emisión de certificados, el contenido asociado del certificado, y las operaciones de servicio de gestión como Autoridad de Certificación.
• Servicios Go Secure! posibilitan a los certificados digitales autenticación, privacidad y firmas digitales para ser integradas dentro de aplicaciones e-mail, directorios, dispositivos, servidores web y soluciones ERP. (Busque abajo para obtener más información).
• Conectividad del proceso de certificación de ACE posibilita servicios de certificación altamente disponibles, al permitir al usuario utilizar el conocimiento y los servicios profesionales de ACE. Conectándose a ACE, la empresa evita la carga que supone el diseño, abastecimiento y mantenimiento de una PKI.

Cientos de grandes empresas, incluyendo el Banco de América, Texas Instruments, UPS y la Universidad de Pittsburgh han elegido el servicio OnSite para asegurar aplicaciones en red, utilizando certificados digitales.

Administración PKI para proveedores de servicios
Para empresas o mercados electrónicos de red que necesiten delegar una parte o todo el proceso de autenticación de una empresa externa, el Centro de Servicios Globales de ACE proporciona una plataforma para administrar PKI complejas y multicapa.

Basado en el concepto de jurisdicción, la arquitectura del Centro de Servicios Globales de ACE agrupa a los usuarios en diferentes grupos. Cada jurisdicción puede tener sus propias políticas y formas de administrar, con papeles y privilegios específicos. Sólo a los administradores asignados a una jurisdicción en particular se les permite administrar y ver los datos de usuario.

Las jurisdicciones admiten agrupaciones dentro de las jerarquías multicapa para apoyar modelos organizativos complejos. Este enfoque jerárquico permite una administración delegada, en la cual la empresa más próxima al usuario establece el máximo control.

Una empresa puede delegar todo o parte del flujo de trabajo. Por ejemplo, un comerciante on line podría delegar toda o parte del proceso de verificación en un comerciante más grande, una fuente de datos pública como Dun & Bradstreet o el departamento de servicios de autenticación de ACE (que se describe más abajo)

Departamento de servicios de autenticación
para empresas o mercados electrónicos de red que deben identificar usuarios "desconocidos", ACE utiliza el Departamento de Servicios de Autenticación.

La misión del departamento de autenticación es la de establecer la identidad de las empresas e individuos con gran seguridad. Utilizando este servicio, la empresa evita los gastos y el trabajo de mejorar la política, la tecnología que requiere autenticar a usuarios desconocidos.

El departamento de autenticación verifica la existencia de una persona o empresa, su nombre y si está autorizado a utilizar ese nombre, a través de comprobaciones manuales. Las mejoras de los servicios pueden realizarse a medida, para la verificación de otros atributos, como empresa o afiliación. En todos los casos ACE apoya el proceso de verificación estableciendo una política estricta, auditorias anuales contra estas políticas y garantía de protección.

El departamento de servicios de autenticación de ACE, es un servicio global con agentes, afiliados y asociados en más de 22 países. Los clientes del departamento de servicios de autenticación pueden comprobar los asociados de ACE con los mayores proveedores de "identificación de información" como Dun & Bradstreet para usuarios de negocios, y TransUnion para consumidores.

La combinación de conocimientos de personal, integración de tecnologías y líderes asociados de industria, permite al departamento de identificación ofrecer este servicio en gran variedad de mercados.

Soluciones Go Secure!
Las soluciones de ACE Go Secure! proporcionan los componentes de "unión" necesarios para conectar los servicios de ACE a la infraestructura de aplicaciones de una empresa.

Actualmente los servicios de Go Secure! son:

• Go Secure! para Microsoft Exchange y Go Secure para Lotus Notes R5 asegura que el correo electrónico permanece seguro de intercepciones. Conjuntamente con OnSite, Go Secure! proporciona a empleados, clientes y socios, la adquisición de certificados digitales para autenticar y encriptar e-mails. Los certificados están disponibles para usuarios a través de una interface de usuario fácil de implementar.
• Go Secure! para Redes virtuales privadas incluye ayudas para productos VPN desde CheckPoint, Nortel y Cisco Systems. Aquí, OnSite permite la extensión de intranets para conectar usuarios remotos, oficinas, asociados y clientes sobre Internet a través de IPSec.
• Go Secure! para aplicaciones Web permite la unión entre los servicios de ACE y los ERP de PeopleSoft, SAP, J.D. Edwards, y Oracle con una combinación de tecnología de desglose de certificados, herramientas de migración de passwords, y módulos de validación de certificados.

Servicios añadidos al comercio electrónico

El servicio de autenticación es sólo uno de los componentes de los servicios de confianza B2B de ACE. ACE ofrece también servicios de pago y validación de servicios para automatizar el pago y para proporcionar un camino seguro a las transacciones. Mientras estas son ofertas modulares, integrando estos servicios, Ace es capaz de incrementar significativamente el valor de sus propuestas a través de sus servicios añadidos.

Ejemplos de estas ofertas de servicios combinados incluyen lo siguiente:

Autenticación del pago de ACE:
Internet no tiene el equivalente al modelo de "presencia física" para transacciones de crédito que son tan importantes en el mundo físico. Esto significa que el pago en Internet, con tarjeta de crédito o por instrumentos B2B como tarjetas de compra, está sujeto a altos índices de fraude. Por ello, las empresas que emiten tarjetas de crédito cargan altas comisiones en las transacciones que se realizan en Internet.

En un entorno de B2B donde el valor de la transacción es mucho más elevado, el riesgo del fraude aumenta drásticamente. Combinando la autenticación con servicios de pago, la autenticación de pago de ACE simula el modelo de "tarjeta-presente " en el entorno online, reduciendo significativamente el riesgo y el fraude.


Recibos de pago XML

ACE combina sus servicios de autenticación de pago y de validación para proporcionar recibos de pago mediante XML - el equivalente digital de un recibo de pago firmado.

Los recibos de pago XML se incluyen en XMLPay, una especificación de los servicios del pago de ACE que define un conjunto de tipos de documento XML para las transacciones de pago y los recibos digitales XML. Aunque XMLPay sigue aproximadamente tres formatos de datos en la tarjeta de compra, utiliza una variedad de instrumentos de pago más allá de las tarjetas de compra.

XMLPay es adaptable a las especificaciones del grupo de funcionamiento IETF/W3C para XML firmado digitalmente. El servicio asociado del recibo de pago de XML permite a compradores y vendedores firmar digitalmente transacciones de pago mientras que pasan a través de la infraestructura de servicios de pago de ACE. Además, el servicio de la validación de ACE se puede configurar automáticamente ante notario como una transacción de pago, aplicando sello de tiempo y la firma de una tercera parte al recibo de la transacción. El resultado es undocumento XML de confianza para las transacciones del pago que se puede consultar más adelante para resolver conflictos.

Las soluciones

Las dos tablas siguientes resumen cómo las soluciones de los servicios de autenticación de ACE satisfacen varias necesidades del cliente mediante un acercamiento flexible a la combinación de la tecnología recibida por el cliente y el outsourcing.

Necesidades y Servicios

Outsourcing e Insourcing

Los servicios de autenticación de ACE tienen una configuración única que permite a las empresas y proveedores subcontratar aspectos del proceso de autenticación según sus necesidades. Los componentes de la inscripción, la verificación y del directorio, son módulos diferentes que pueden ser hospedados por ACE o por la empresa. Albergando algunas de estas funciones locales, el cliente consigue mayor flexibilidad y puede integrarlas de forma invisible en el entorno existente. Por otra parte, los clientes pueden elegir que ACE realice todos los aspectos del servicio. En cualquier modelo, los clientes disponen de la seguridad más rigurosa y las necesidades de disponibilidad de una Autoridad de Certificación y de validación en tiempo real, siempre realizados por ACE, permitiendo que la empresa utilice la infraestructura de ACE.

Los siguientes diagramas ilustran los diferentes modelos:

• Ousourcing completo: En el escenario 1 la empresa eligió la externalización a ACE de todos los aspectos de la autenticación. La inscripción de usuario, el directorio, la Autoridad de certificación y la validación son realizados por ACE. Además, está utilizando la oficina de servicio de la autenticación de ACE para verificar la identidad de sus usuarios.
  

• Outsoucing del Software y el Hardware: El escenario 2 es similar al primer escenario, excepto que el cliente elige realizar el proceso de verificación por sí mismo. ACE se encarga de todo el hardware y software pero la empresa utiliza una aplicación Web para verificar la identidad de sus usuarios.
  

• Inscripción a medida con la verificación de ACE: En el escenario 3, la empresa eligió recibir el proceso de inscripción de usuario aprovechando la verificación de ACE. La realización del proceso de inscripción permite a la empresa modificar y gestionar la experiencia del usuario. Esto requiere que el servidor web sea capaz de conectarse con el centro de datos de ACE usando Internet mediante HTTP y HTTPS.
  

• Inscripción a medida con verificación manual: En el escenario 4, la empresa eligió recibir la inscripción de usuario e implementará su propio proceso de verificación. Es necesario un servidor web para la inscripción, pero la administración requiere solamente un navegador web.
  

• Verificación automatizada: En el escenario 5, la empresa tiene una fuente de datos, una base de datos o un directorio, que puede utilizar para automatizar el proceso de verificación. ACE continúa gestionando los servicios del directorio, de Autoridad de Certificación y de validación. La empresa dispone del kit de Administración Automática y alberga localmente las inscripciones. En esta configuración, la empresa necesita implementar el servidor web para realizar hosting local y un segundo servidor para el kit de Administración Automática, que debe poder conectarse con la fuente de datos de la verificación. También debe tener una conexión con Internet para el centro de datos de ACE usando HTTPS. Debido a que la fuente de datos de la verificación contiene datos personales del usuario, los servidores de la inscripción y de la verificación deben aislarme mediante un firewall.
  

• Integración de directorios: En este último escenario, la empresa elige gestionar su propio directorio además de la inscripción y la verificación. ACE gestiona los servicios de Autoridad Certificadora y de Validación. En este escenario, el kit de Administración Automática se puede configurar para publicar automáticamente el certificado en un directorio o una base de datos.
  

¿Por qué ACE?

ACE como administrador de servicios de autenticación es la única que proporciona conjuntamente una plataforma PKI y una oficina de servicio al cliente, ofreciendo una solución completa para el comercio electrónico.

Controlar el proceso de autenticación
Para clientes que desean controlar el proceso de autenticación, OnSite de ACE ofrece las siguientes ventajas:

Fácil de desplegar: El servicio de administración de ACE le permite establecer un marco de autenticación adaptado a las necesidades de su organización, y le sitúa en una posición de crecimiento con una configuración flexible y extensible. No tendrá que establecer un centro de datos seguro o de formar a más personal que uno o dos administradores, porque ACE sostiene el proceso hasta el final, proporcionando un ambiente accesible al momento.

Soporte de aplicaciones de clientes: La metodología Open PKI de Verisign, utilizada por sociedades colaboradoras, con más de 200 vendedores de software, significa que sus certificados digitales funcionaran inmediatamente y serán reconocidos instantáneamente por más de 200 aplicaciones comunes. Esto significa que las credenciales de ACE se pueden utilizar con aplicaciones estándar, como navegadores, E-mail, y sistemas VPN y ERP, sin ninguna modificación en el sistema. Además, Go Secure! de ACE proporcionan un componente "aglutinador" para integrar los servicios de ACE con la infraestructura de las aplicaciones de su empresa. Actualmente Go Secure! soporta Microsoft Exchange y Lotus Notes para asegurar e-mail, CheckPoint, Nortel y Cisco para VPN; y el ERPs de SAP.

Obtención a bajo coste: El coste completo de una solución PKI de ACE es generalmente más bajo que el de un PKI construido internamente. El ahorro se realiza debido a los costes de la empresa como la distribución y mantenimiento del software, del establecimiento de recursos de alta seguridad e infraestructura, y de un establecimiento de medidas de recuperación de desastre, integrados en la solución de ACE.

Incomparable flexibilidad en administraciones delegadas: La plataforma de PKI de ACE es la única solución probada actualmente en el mercado que le deja emitir y manejar credenciales para miles de organizaciones jerarquizadas, cada una con su propio administrador. Con los productos tradicionales del software PKI, cada nuevo socio de negocio que necesita emitir credenciales a sus empleados puede necesitar una nueva instancia para ejecutar el software PKI. Con los servicios de administración de ACE, usted puede disponer de un servicio completo de PKI para su socio comercial en cuestión de minutos. Desde que ACE utiliza el mismo servicio para ejecutar su proceso de autenticación, la tecnología y la infraestructura ha sido probada por millares de organizaciones y millones de usuarios.

Outsourcing del proceso de autenticación
Quizás la ventaja más importante de los servicios de autenticación de ACE es que permiten a su empresa gestionar usuarios nuevos y existentes con la misma infraestructura. A diferencia de un Intranet corporativo, el negocio electrónico implica casi siempre el intercambio con socios existentes y nuevos y con empresas con las que se desea realizar negocios. De hecho, el valor más importante del comercio electrónico B2B reside en su capacidad de abrir su red para aumentar sus ingresos.

El Servicio de Adminsitración PKI de ACE se puede combinar opcionalmente con la Oficina de Servicios de Autenticación de para entregar credenciales a usuarios que no tienen una relación con la empresa o el mercado virtual. El mismo servicio, herramientas e infraestructura, que se utiliza para administrar usuarios ya existentes se integra de forma invisible con la Oficina de Servicios de Autenticación.

Las ventajas más importantes del departamento de autenticación de ACE son:

Establecimiento de políticas y experiencia: VeriSign ha verificado la identidad de aproximadamente 250.000 empresas emitiendo y administrando certificados de servidor web SSL. Estas empresas utilizan sus certificados para establecer su presencia en la Web y para realizar transacciones seguras en Internet. Este proceso está respaldado por políticas documentadas y revisadas que se han sido aceptadas universalmente, y realizadas por un personal cualificado que pueden ayudar eficientemente a sus usuarios. Además, una red global con más de 30 afiliados y agentes locales en 22 países, permite que VeriSign proporcione un servicio verdaderamente internacional.

Asociados líderes: VeriSign ha establecido relaciones de partner con suministradores de información como Dun & Bradstreet, TransUnion, y Equifax. Estos socios proporcionan a ACE acceso a los datos necesarios para verificar tanto a individuos como empresas.

Obligación de protección: Las prácticas de ACE están respaldadas por un seguro de responsabilidad civil de 120.000 €.

Herramientas de autenticación y Tecnologías

Realizar servicios de autenticación de calidad requiere situar adecuadamente a parners propios, herramientas, y tecnologías apropiadas para utilizar los cuatro pilares de la tecnología de autenticación arriba mencionadas.

Establecer identidades
Establecer la identidad de usuarios finales y de empresas es el fin de los servicios de autenticación. Según lo explicado anteriormente, el método de ACE es ofrecer un marco flexible de autenticación que permita que el proceso de identificación sea ejecutado enteramente en ACE o por al propia empresa conjuntamente con los servicios de outsourcing de ACE.

Proveedores de información
ACE ha establecido relaciones de partner con proveedores de información como Dun & Bradstreet, TransUnion, y Equifax. Estos socios proveen a ACE de los datos necesarios para verificar identidades individuales y de empresas.

Revisión
Los procesos internos de revisión de ACE, incluyendo la confirmación telefónica, la dirección de la credencial y los procesos relacionados con la atención al cliente conectados con proveedores de información de terceras personas, están siempre disponibles para resolver los problemas de identidad.

Kit Local hosting
ACE facilita la inscripción del usuario ofreciendo servicio de preinscripción con páginas HTML y con componentes del web server (plug-in y CGI). El servicio de preinscripción se puede realizar a medida para integrar a los clientes de la web. Este grupo de programas tiene la posibilidad de enviar o de cambiar la petición con diversos mecanismos de identificación basados en las entradas del usuario. Este servicio puede ser utilizado por el cliente o por ACE.

Kit de Administración Automatizada
Este grupo de herramientas proporciona un interfaz para verificar los atributos del usuario contra cualquier base de datos en tiempo real durante el proceso de inscripción. Tiene conectores estándar que se conectan a la fuente de datos de ODBC o de LDAP, y los parámetros de configuración para trabajar con cualquier esquema de datos. Esto significa que el kit de herramientas se puede utilizar en muchos entornos sin programación adicional. Un servidor que utilice este kit de herramientas puede ser hospedado localmente en el sitio de cliente, o en ACE. En un entorno distribuido " cliente-hospedado ", el kit de herramientas utiliza tecnología pública para digitalizar la firma, para encriptarla y para transmitir la petición a ACE a través de una conexión estándar HTTP y para emitir el credencial o para mover la petición al siguiente estado. Esto asegura la autenticación y privacidad de todas las peticiones.

Autenticación de la password
Para los clientes que no desean utilizar una infraestructura de base de datos o un directorio, los passwords son un mecanismo simple para mejorar la identificación en la fuente de datos. El cliente puede utilizar una aplicación Web para transmitir datos de usuarios y los atributos de identificación a la base de datos de ACE. ACE crea un conjunto de passwords usadas para identificar al usuario durante la inscripción. Estas contraseñas están almacenadasen una base de datos compartida con el cliente y hospedada en ACE. El cliente puede gestionar la distribución del password directamente, o mediante el outsourcing administrado por ACE. Otra posibilidad es que el cliente especifique las passwords durante el proceso de transferencia de datos. Con esta opción se puede emitir identidades si el certificado digital y los passwords ya existen. Los clientes certificados por SSL se aseguran la autenticación y la privacidad del proceso de transferencia de datos.

Administración de credenciales

Una vez que se ha confirmado la identidad se emite un credencial que puede utilizarse más adelante para probar identidades. El servicio de autenticación debe proporcionar herramientas tanto para usuarios como para administradores para que estos puedan utilizar las credenciales.

ACE proporciona un amplio abanico de herramientas y tecnologías para facilitar la utilización, almacenamiento y publicación de claves y certificados una vez que han sido emitidos.

Agentes de confianza personal
El agente de confianza personal de ACE (Personal Trust Agent) es un programa que gestiona de forma transparente credenciales PKI desde el ordenador cliente. El PTA gestiona claves privadas y almacenamiento de certificados, utiliza firmas digitales para autenticar al usuario en las aplicaciones Web, y permite a los usuarios firmar digitalmente transacciones o documentos.

Además de manejar credenciales locales, el PTA es una plataforma universal para la administración de almacenamiento de claves y certificados en una gran variedad de ambientes: almacenaje local del software, hardware (como tarjetas inteligentes), y almacenaje en red. En el caso anterior, puede ser configurada para extraer una credencial desde el servicio de redireccionamiento de ACE (véase abajo) si no existe uno localmente. Esta credencial se borra de la máquina del cliente una vez que el usuario salga o termine la sesión.

Servicio de redireccionamiento
El servicio de redireccionamiento de ACE es un servicio de credenciales basado en la red. Este servicio almacena de forma segura la clave privada del usuario en la red. Debido a que las ventajas de las firmas de PKI digitales y no-repudiables dependen del almacenaje seguro de las claves locales, los servicios de redireccionamiento de ACE utilizan un diseño patentado para preservar estas ventajas incluso si las claves privadas se almacenan encriptadas en la red. Este diseño preserva estas ventajas mientras que hace posible para los usuarios " redireccionar " y utilizar con seguridad las credenciales por medio de la autenticación de la password desde cualquier máquina.

El diseño utiliza una aproximación multi-servidor para garantizar el no-repudio. ACE utiliza este servicio en dos configuraciones: 1) un servidor de ACE conjuntamente con uno utilizado por el cliente, o 2) un outsourcing con ACE y otra tercera parte de confianza que utiliza los servidores de redireccionamiento. El protocolo patentado asegura que ninguno de los dos operadores del servidor pueda atacar al otro. Los ataques al diccionario no son posibles puesto que la password nunca se comunica al servidor. Por lo tanto, el riesgo de seguridad puede ocurrir solamente si cooperan todos los operadores del servidor. Para las empresas intermediarias, (como los compradores y vendedores de un B2B) hay una ventaja derivada importante: es técnicamente imposible que un ataque interno comprometa las credenciales y la empresa gana una medida de protección. El compromiso sólo es posible con la colaboración con terceros, eliminando la necesidad de políticas costosas de revisión o de personal, empleadas típicamente para convencer a los usuarios de intercambios de "confianza".

Soporte de tarjetas inteligentes
Para los clientes que necesitan lo último en seguridad, ACE proporciona servicios de integración para tarjetas inteligentes. El PTA es capaz de realizar la interconexión de las tarjetas inteligentes usando interfaces estándar como PKCS11. Además, ACE proporciona un conjunto de herramientas y un servicio de proceso por lotes para individuos o para la personalización de la tarjeta inteligente por lotes. El conjunto de herramientas puede ser utilizada para la personalización de ordenadores que solicitan certificados de los servicios de administración PKI de ACE. El proceso batch está diseñado específicamente para inicializar tarjetas inteligentes en grandes volúmenes. Para utilizar este servicio, el cliente utiliza una aplicación Web para transmitir datos a un fichero de texto con la información del usuario y opcionalmente, la clave pública. Si no hay ninguna clave pública incluida, ACE genera un par de claves privada/publica y el certificado. La clave y el certificado se escriben en un fichero encriptado. ACE utiliza un pequeño programa que utiliza la clave única de ese cliente para desencriptar e interpretar este fichero y para incluir la clave y certificado en el proceso de producción.

Validación de identidades

Como una parte integral del proceso de autenticación PKI se desprende el hecho de que el par de claves usado para generar la firma todavía está controlado por el usuario (que significa que el certificado perteneciente al usuario debe ser validado antes de conceder acceso al usuario). ACE proporciona dos formas para validar certificados:

Listado de revocación de certificados (CRLs)
Siempre que se revoque un certificado, su número de serie se agrega a la lista de la revocación del certificado. Este proceso es un diseño asíncrono: los CRLs se ponen al día siempre con un cierto tiempo de espera, normalmente unas 24 horas.

Protocolos de estado de certificados online (OCSP)
OCSP es un protocolo estándar IETF que proporciona la validación en tiempo real del certificado. Un solicitante envía un mensaje al servidor de OCSP de ACE solicitando el estado del certificado, y ACE envía una respuesta "yes/no" a través de un mensaje firmado y con sello de tiempo.

Como el valor y la velocidad de las transacciones del comercio electrónico B2B aumentan, la capacidad de obtener la información sobre el estado del certificado es vital. Con el servicio OCSP de ACE, las redes privadas virtuales, los intercambios B2B, las subastas en línea, los mercados de red, y las instituciones financieras pueden validar certificados haciendo click en la base de datos en tiempo real, pudiendo realizar un rastreo de todos los certificados publicados por VeriSign y ACE. Este mismo servicio en tiempo real está disponible para clientes que se aprovechan del servicio del directorio de outsource de ACE, para recibir los certificados publicados por las Autoridades de Certificación que no sean de ACE.

Validación de identidades para aplicaciones web
ACE Go Secure! para aplicaciones Web, comentada arriba, es una solución para implementar la validación de la identidad en una aplicación Web. También incluye un servidor plug-in llamado Módulo de validación del Certificado (CVM). El propósito de este módulo es permitir que la validación del certificado sea una operación sencilla de añadir a las aplicaciones existentes. Es capaz de comprobaciones CRL y de validar en tiempo real el certificado usando OCSP. El plug-in proporciona al cliente una conexión integrada entre el control de acceso al certificado del servidor y el servicio en tiempo real para la validación del certificado OCSP de ACE.

Todos los navegadores y servidores web estándar pueden utilizar autenticaciones a clientes como parte del protocolo SSL. De esta forma, cuando las peticiones de un usuario tienen acceso a un ítem protegido en un servidor web, el servidor solicita el certificado del cliente. El servidor web, autentica este certificado y lo envía a CVM para su validación. Si el certificado es válido concede el acceso al usuario. Los recursos se protegen no sólo contra el acceso no autorizado, sino que también el fichero diario CVM proporciona un rastreo que se pueda utilizar para administrar los actuales certificados asociados del cliente y para asegurar políticas de acceso.

Una alternativa a la autenticación del cliente SSL es utilizar las firmas digitales generadas por el agente de confianza personal para autenticar al usuario. Esta implementación desvía la implementación estándar construida en el navegador. La ventaja es un interfaz de usuario mejorado. Cuando el usuario utiliza la aplicación usando esta opción, el agente de confianza personal firma una porción de datos usando la clave privada del usuario. El mensaje firmado se transmite a la aplicación del servidor web donde un plug-in de ACE verificar la firma, valida los certificados y autentica al usuario. Como en el caso de CVM, este plug-in utiliza la validación de CRL y de OCSP.

Kit de herramientas OCSP
Para las aplicaciones que no son Web, ACE proporciona un kit de desarrollo de software de validación (SDK), que puede codificar y enviar peticiones OCSP e interpretar respuestas del centro de operaciones de ACE. Este grupo de herramientas está disponible en C y Java y permite que las aplicaciones incorporen fácilmente la validación del certificado en tiempo real.

Directorios

ACE proporciona un servicio de directorio de outsourcing para administrar usuarios y credenciales. Todos los clientes de ACE OnSite pueden publicar sus certificados en el directorio de ACE. Además, cualquier infraestructura de claves pública (PKI) de la empresa o de la autoridad de certificación (CA), puede emitir certificados digitales que se publicarán en los directorios digitales globales de ACE. Este servicio de directorio es opcional. Los clientes que no deseen publicar datos de usuario o quieran administrar su propio directorio dentro de una red privada, no necesitan este servicio.

Además, ACE proporciona un directorio de integración como parte del grupo de programas de administración automática. Este grupo de herramientas publica automáticamente el certificado u otros atributos del usuario en una base de datos o directorio dentro de la empresa, como parte del proceso de inscripción.

Ejemplo: Mercados en red B2B

Un escenario con clientes ilustra el funcionamiento del Servicio de Autenticación de ACE en el contexto de un sistema típico de autenticación B2B.

En este ejemplo, en un mercado de red el " Intercambio" se especializa en productos químicos. Su objetivo de negocio es maximizar el número de compradores cualificados y de proveedores en su red de negocios químicos. Para lograr este objetivo, el Intercambio debe implementar un nuevo proceso que establezca que el nuevo proveedor o comprador tiene un negocio legítimo y es miembro de la industria química. El Intercambio también desea asegurarse de que el proveedor o el comprador no han tenido en el pasado o en la actualidad ningún pleito legal.

Requerimientos de autenticación

Asociando lo anterior con las necesidades:

Es razonable suponer que el Intercambio ya tiene una gran base de usuarios, tanto compradores como proveedores, que necesiten ser incorporados en este nuevo proceso. Puesto que muchos participantes del Intercambio son grandes compañías con muchos agentes que compran, el Intercambio puede también quere conocer la identidad de los empleados de la empresa.

Los modelos de verificación que debe soportar este escenario son:

• Verificar a los proveedores existentes - El Intercambio necesita emitir rápidamente credenciales a los proveedores existentes. Puesto que se conocen las relaciones, el Intercambio puede automatizar el proceso de emisión de certificados, usando una base de datos o distribuyendo secretos compartidos.
• Verificar a los proveedores desconocidos - Esnecesario un proceso del alta seguridad, respaldado por políticas de revisión, para verificar a los "proveedores desconocidos" y la identidad de sus empresas.
• Verificación delegada - El Intercambio debe delegar la verificación de los agentes de compra de los proveedores a las mismas empresas de los proveedores. Ésta es la única manera viable de verificar la identidad de los empleados del proveedor. También ayuda a la red a distribuir el riesgo de los proveedores que participan.

Soluciones de Servicios de Autenticación de ACE

Veamos las soluciones que usan los Servicios de Autenticación de ACE:

Por supuesto, no todos los pasos anteriormente mencionados son necesarios. Sólo ayudan a clarificar el uso de los Servicios de Autenticación de ACE, en un escenario particular.

Configuración Operacional de ACE

Desde su aparición, el comercio electrónico B2B ha llegado a ser crítico para empresas de todo tipo. Consideraciones operacionales como el funcionamiento, seguridad y la disponibilidad son factores críticos del éxito.

Fiabilidad

El sistema de ACE, la red, y la configuración del software se diseña con un alto grado de redundancia. Todos los sistemas se duplican con capacidad automatizada en caso de fallo, y son vigilados constantemente por un sofisticado marco de la error-detección. Estos sistemas se conectan con avanzados sistemas de almacenamiento que proporcionan la protección de los datos con técnicas como reflejo y réplica. ACE tiene conexiones múltiples T3 en Internet. Para ahondar en esta redundancia, estas redes están abastecidas por diversos Proveedores de Servicios de Internet (ISPs) en lugares claves de Internet.

Además, todos los componentes se pueden duplicar para la mejora de la aplicación así como su redundancia. Cada componente se diseña automáticamente para evitar fallos,o errores de software o hardware. En el caso de un desastre natural, ACE ha desarrollado un plan de recuperación de desastres para recuperar operaciones y recursos alternativos. El tiempo estimado en el plan de recuperación no es mayor a 24 horas para recuperar todas las funciones en línea críticas del cliente.

Rendimientos

La configuración del software de ACE se diseña para distribuir el proceso y para evitar embotellamientos en el funcionamiento. Servidores adicionales se pueden agregar según se necesite, cuando el volumen de la transacciones aumenta. La plataforma proporciona un detector de fallos automático, carga-balanceando, y vigilancia en servidores críticos.

Este diseño por capas proporciona una pequeña mejora para un rendimiento más alto. Los componentes existentes se pueden mejorar fácilmente sin impacto en el servicio al cliente. Para los servicios que requieren una respuesta casi instantánea, sofisticadas técnicas de almacenamiento en memoria son utilizadas para alcanzar un alto rendimiento. ACE ha procesado cargas máximas de certificados de aproximadamente 1.500 por hora (sobre 13 millones al año), y cargas de OCSP con más de cuatro millones de peticiones al día, con casi ningún impacto en el funcionamiento y rendimiento para el usuario.

Seguridad

ACE sigue rigurosas políticas que administran sus sistemas y protegen sus recursos contra amenazas en la seguridad. ACE realiza funciones críticas en un centro de datos altamente seguro, que funciona 24 horas al día, siete días a la semana. ACE ha identificado " empleados de confianza ", incluyendo técnicos, ejecutivos, servicio al cliente, y personal de operaciones. ACE refuerza la seguridad de su personal en su emplazamiento las 24 horas al día, siete días a la semana; control multicapas, control de acceso físico avanzado; protección redundante y por capas.

Desde la perspectiva de la aplicación, todos los componentes que se comunican con el centro de datos de ACE usan Secure Socket Layer (SSL). Además, los componentes tales como el Grupo de Administración Automatizada pueden controlar el proceso de aprobación de credenciales, firman a la vez que encriptan todas las transacciones usando un par de claves únicas para la empresa.

Para obtener más información

Las guías que se mencionan a continuación describen servicios de autenticación, pago, y de validación que están disponibles en ACE. Además, la documentación está disponible para los servicios mencionados en este white paper. Estos servicios incluyen:

• ACE OnSite
• Grupo de Administración Automatizada
• Departamento de Servicios de Autenticación
• Centro de Servicios Universales
• Servicios de Redireccionamiento
• Agencia de Confianza Personal
• Servicios de Directorio
• Servicios OCSP
• Equipo OCSP
• Go Secure! para Web Applications
• Go Secure! para Microsoft Exchange
• Go Secure! para Lotus Notes
• Go Secure! para CheckPoint VPN
• Go Secure! para Nortel VPN
• Go Secure! para SAP

VeriSign tiene una presencia en todo el mundo con más de 25 empresas afiliadas, servicios en más de 50 países, operando desde la misma fundación de plataformas de confianza en el mundo. Para obtener más información sobre los servicios de confianza B2B de VeriSign, visite nuestra web en http.//www.verisign.com