Alguien me puede dar informacion sobre comercio online

Horst H. von Brand vonbrand en inf.utfsm.cl
Lun Sep 15 13:59:05 CLT 2008


Luis Muñoz Urrutia <angelofdarkenator en gmail.com> wrote:
> Haber si ahora logro explicarme bien, en la lista solo considerare la parte
> informatica, en el trabajo tengo pensado tener en cuenta los aspectos
> legales, la parte financiera, la infraestructura, la parte comercial y otros
> datos, en cuanto a la parte informatica las cosas que mas me interesan y es
> donde tengo mas dudas vienen dadas por:
> 
> Servidor: el servidor sera local, para ello he pensado en una para paginas
> web, uno de base de datos, uno de impresion y uno de correo interno. si aqui
> alguien me puede orientar....

Puede ser una sola maquina (si es un negocio chico) hasta cientos con
funciones muy especificas (Amazon.com), y todo el rango intermedio.

> Para la zona de seguridad: he considerado usar tor y privoxy, firewalls
> software y hardware, aparte de algunas ideas que pretendo obtener de Open
> Source Security tools, aunque he contemplado seguridad contra fraudes
> estafas y robos, seguridad contra accesos no permitidos, darle al cliente la
> seguridad de que es un sitio seguro mediante certificados, no se si se me
> olvida algo...

Necesitas asegurar a nivel de red (cortafuegos, tanto "en la red" como
locales); hardware y software de base (elegir bien lo que uses de sistema
operativo, elegir que paquetes instalar, configuracion cuidadosa,
administrar actualizaciones, monitoreo (rendimiento, "eventos raros", ...),
respaldos); software de aplicacion (RDBMS, servidor web, ...); aplicaciones
propias (politicas de seguridad, protocolos, desarrollo, puesta en marcha,
operacion, auditoria, ...). Sazonar liberalmente con reglamentos y leyes
aplicables, estandares de la industria aplicables, politicas de la
empresa. Aderezar con recomendaciones y sugerencias para un amplio rango de
temas, desde alimentacion electrica pasando por administracion de sistemas
y desarrollo seguro hasta manejo de la contabilidad.

> Luego la pagina: independiente de el lenguaje o forma de programacion usada
> creo que se debe implementar una forma de seguridad dada por encriptacion
> algo como md5(los datos del cliente), obviamente no seria md5 ya que este no
> es seguro, aunque aca me salta una duda...

Hummm....

> Aca mis preguntas:
> El servidor ¿hacer uno fisico o varios (una para cada tipo)?

Depende de la carga. Depende de que tan criticos sean los datos manejados
(puede llegar a una copia solo lectura de la base de datos de productos,
que se copia via cinta/CD desde una maquina nunca conectada a la red hasta
tenerla en linea en la misma maquina, y modificada remotamente por una
pagina web).

> ¿Es conveniente usar un servidor local?

Depende.

> ¿Deberia agregar o quitar alguno de estos servidores?

Depende.

> La seguridad..
> ¿que metodos de seguridad podria usar?

Hay muchos. Tienes que definir que es lo que quieres lograr, y cuanto estas
dispuesto a pagar por ello.

> ¿Como lograr crear un sistema seguro?

No existen, solo hay mas o menos seguros. El que tanto estas dispuesto a
pagar determina que tan seguro es.

> Alguien me puede dar referencias sobre metodos de ocultamiento de
> datos...

Supongo que si; aunque primero debes preguntarte lo que andas buscando,
especificamente.

> En cuanto a la pagina:
> ¿que metodo de encriptado existe que sea seguro?

"Encriptar" == "poner en la cripta"... depende del modelo de cripta,
probablememente un par de viejitos con chuzo y pala. En casos de vampirismo
se recomienda complementar con ajo y una buena estaca.

Si te refieres a "cifrado", depende del nivel de paranoia aplicable... hay
uno solo que es /demostrablemente/ seguro ("one time pad"), claro que mal
usado igual se puede quebrar (proyecto Venona, p.ej.); hay bastantes
"razonablemente seguros" (3DES, AES, ...), pueden hacerse mas seguros
combinando con sistemas como RSA; hay montones de sistemas "extremadamente
seguros" segun sus proponentes/desarrolladores, que en la practica ni
sospechan de criptografia y son sistemas mas o menos triviales de quebrar
(revisa lo que paso con CSS, o el sistema de cifrado de Adobe en sus
e-books y un Sr. Skylarov).

> ¿Sera suficiente tener un certificado para dar a entender que la pagina es
> segura?

No.

> ¿Como hacer que las personas no tengan acceso al codigo fuente de la pagina,
> para que no sea mostrado el sistema de encriptacion?...

Si tu sistema de cifrado depende de que nadie sabe como funciona, estas
cayendo en lo que se conoce como "security through obscurity", y el
comentario estandard es que eso no es seguridad en lo absoluto ("Security
through obscurity, isn't").


Para detalles algo mas a fondo, son lecturas recomendables (si, es /mucho/
material; pero si no te interesa lo suficiente para invertir este (minimo!) 
estudio, en realidad no es importante para ti):

"Security Engineering", de Ross Anderson
<http://www.cl.cam.ac.uk/~rja14/book.html>

Las paginas del grupo de seguridad de Cambridge
<http://www.cl.cam.ac.uk/research/security>

La enorme coleccion de cosas relacionadas con criptografia de Peter Gutmann
<http://www.cs.auckland.ac.nz/~pgut001>

Para una perspectiva mas "blanda", ver el blog de Bruce Schneier
<http://www.schneier.com>

Un clasico (aunque ya un tanto an~ejo, igual de lectura divertida) sobre
que clase de cosas evitar como la peste en criptografia es
<http://www.interhack.net/people/cmcurtin/snake-oil-faq.html>
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000       Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux