auditoría sobre comercio electrónico

UNIVERSIDAD DE LA SERENA FACULTAD DE CIENCIAS

SOCIALES Y ECONÓMICAS ESCUELA DE AUDITORÍA

LA AUDITORÍA EN EL COMERCIO

ELECTRÓNICO:

UN NUEVO PARADIGMA

Memoria para optar al Título Profesional de: CONTADOR AUDITOR

PROFESOR GUÍA: JUAN GALLARGO VERDUGO.

JAVIER EDUARDO CHANDÍA ROJAS

LA SERENA – CHILE

2003

Universidad de La Serena Facultad de Ciencias Sociales y Económicas – Escuela de Auditoría

La Auditoría en Comercio Electrónico: Un nuevo Paradigma

1

A mi Familia, y a Yolanda

“Haz de ti un diamante, a cada golpe una faceta más,

en cada experiencia un aprendizaje, en cada conocimiento una aplicabilidad,

para que un día, sin necesidad de ostentar de lo material, seas valioso

por ser tu mismo.”



2

Agradecimientos La creación de esta tesis representó mucho trabajo y tiempo – bastante más de lo previsto al embarcarme en este proyecto -, y la razón fue el hecho de que la totalidad de la información sobre el WebTrust y otros datos de importancia no estuviesen disponibles en Chile, por lo que la investigación y recopilación de antecedentes se efectuó por Internet. Es por ello que mi primer agradecimiento es para todas aquellas personas con las cuales me contacté en Internet y que colaboraron con mi labor. A la Sra. Imma Roger, Coordinadora Internacional del Proyecto WebTrust e Integrante del Equipo de Innovación del AICPA, por su disposición y gentileza en responder mis consultas a través de correo electrónico y por establecer los contactos con los Institutos de Auditores de España y Argentina.

Al Sr. José María Gassó, Presidente del Instituto de Auditores Censores de cuentas de España, por proporcionarme información relativa al WebTrust y por dar respuesta a mis inquietudes.

Al Sr. Karyn Waller, Senior Technical Manager - Trust Services – del AICPA, por contestar mis preguntas enviadas por Mail.

Al Señor Nelson Traverso, Ingeniero en Firmas Digitales y CPA con Licencia WebTrust. Presidente de Saynet, Inc., Fundador y Director ejecutivo del primer laboratorio de investigación y entrenamiento en firmas digitales, tecnología de autenticación electrónica y procedimientos de seguridad y privacidad PKI en Puerto Rico.

Al Sr. Gonzalo Anabalón, Gerente Comercial Falabella Internet, y al Sr. Eduardo Casarino, Ingeniero de Operaciones de Almacenes Paris Internet, por su disposición en la realización de una entrevista en Santiago.

También quiero agradecer a mi profesor guía, Sr. Juan Gallardo Verdugo, por la revisión de esta tesis.

Gracias a mi Familia, y a Yolanda, por su comprensión y apoyo durante el desarrollo de mi trabajo, por el tiempo que dejé de estar con ellos por pasar frente a mi computador.

Por último, quisiera agradecer a todas las personas que de una forma u otra han estado implicadas en la realización de esta tesis.

Gracias a todos.



3

Contenido Introducción.……………………………………………………………………………………………….......... 6 CAPÍTULO I: LA NUEVA REVOLUCIÓN 1.1 Vivimos en una aldea global…………………………………………………………………………….. 9 1.1.1 El surgimiento de un nuevo modelo de eficiencia……………………………… 10 1.1.2 Efectos de la Globalización………………………………………………………………….. 11 1.1.3 Oportunidades de la Globalización…………………………………………………..... 11 1.1.4 Amenazas de la Globalización…………………………………………………………….. 12 1.2 La Revolución Tecnológica……………………………………………………………………………….. 12 1.3 La Sociedad de la Información…………………………………………………………………………. 14 1.3.1 Modelo de la Sociedad de la Información………………………………………….. 16 1.4 La Nueva Economía…………………………………………………………………………………………… 17 1.5 Internet…………………………………………………………………………………………………………….. 21 1.6 Comercio Electrónico………………………………………………………………………………….……. 26 1.6.1 Concepto……………………………………………………………………………………... ……. 26 1.6.2 Categorías dentro del Comercio Electrónico………………………………....... 26 1.6.3 Proceso del Comercio Electrónico………………………………………………..……. 29 1.6.4 Formas de pago…………………………………………………………………………… ……. 30 Medios de pago convencionales…………….……………………………………....... 30 Medios electrónicos de pago……………………….…………………………………….. 31 1.6.5 Problemas relacionados con el Comercio Electrónico……………………….. 32 1.6.6 Ventajas del Comercio Electrónico…………………………………………………….. 33 1.7 E-Seguridad……………………………………………………………………………………………………… 33 1.7.1 Aspectos en la seguridad de negocios electrónicos………………………….. 34 1.7.2 Asegurar la seguridad de las transacciones electrónicas…………………. 37 1.7.3 Encriptación………………………………………………………………………………………… 37 1.7.4 La Firma electrónica…………………………………………………………………………… 39 Funciones de seguridad……………………………………..………………………………. 40 Usos de la Firma electrónica…………………………………..…………………………. 40 1.7.5 Autoridades de Certificación………………………………….…………………………… 41 Entidades de Registro…………………………………………………….………………….. 42 1.7.6 Protocolos de Seguridad…………………………………………………………………….. 42 Qué es SSL…………………………………………………………………………….……………. 43 Cómo funciona SSL………………..……………………………………………………… 43 Uso de SSL en Comercio Electrónico…………………….………………………. 44 SET……………………………………………………………………………………………….…….. 45 Qué servicios ofrece SET………….…………………………………………………… 45 Quiénes participan en SET………………..………………………………………….. 46 El funcionamiento de SET en 10 pasos…………….………………………….. 46 1.8 Ejemplo Integrativo…………………………………………………………………………………………. 48 CAPITULO II: CHILE, CAMINO A LA ECONOMÍA DIGITAL 2.1 Evolución de Internet y el Comercio Electrónico a nivel Internacional…………… 51 2.1.1 Estados Unidos y Europa……………………………………………………………………. 51 Estados Unidos lidera en el Comercio Electrónico…………………………….. 52 2.1.2 América Latina, el Dorado en la Red…………………………………………………. 53 2.1.3 Asia: Oriente despierta a la Red………………………………………………………… 54 Comercio Electrónico: Menos euforia…………………………………………………. 54 2.2 Radiografía a Internet y al Comercio Electrónico: Estadísticas y Gráficos...…. 55 2.2.1 Usuarios de Internet a nivel mundial....……………………………………………. 55 2.2.2 La Torre de Babel: Distribución de idiomas en Internet…………………... 56 2.2.3 Lo que preferimos en Latinoamérica…………………………………………………. 58



4

2.2.4 El Comercio Electrónico………………………………………………………………………. 59 2.3 Chile: Acelerado crecimiento………………………………………………………………………….. 65 2.3.1 La brecha digital…………………………………………………………………………………. 65 Naturaleza de la brecha digital…………………………………………………………… 65 La brecha digital en Chile…………………………………………………………………… 66 2.3.2 Computadores en Chile……………………………………………………………………… 68 2.3.3 Usuarios de Internet………………………………………………………………………….. 72 Hábitos de uso……………………………………………………………………………………. 73 Hábitos de compra…………………………………………………………………………….. 74 Impacto sobre el empleo……………………………………………………………………. 76 2.3.4 Uso de Internet en las empresas………………………………………………………. 76 2.3.5 Aspectos legales de la Economía digital……………………………………………. 78 Legislación comparada……………………………………………………………………….. 79 Ley Chilena sobre Firma digital………………………………………………………….. 80 Nombres de Dominio………………………………………………………………………….. 81 Legislación aplicable y competencia entre distintas jurisdicciones….. 81 Mecanismos alternativos de solución de controversias……………………. 82 Tributación………………………………………………………………………………………….. 82 Doble tributación……………………………………………………………………………. 82 Impuestos al comercio en Internet……………………………………………………. 82 2.3.6 La seguridad en la Economía digital………………………………………………….. 83 Lo que ocultan las empresas………………………………………………………………. 85 La preocupación de las empresas………………………………………………………. 88 Uso de herramientas de seguridad en las empresas………………………… 89 Certificación electrónica en Chile………………………………………………………. 91 Modelo operacional de certificación electrónica en Chile……………… 93 Principales actores del mercado Chileno………………………………………. 93 2.3.7 Proyecciones del Comercio Electrónico…………………………………………….. 94 B2C……………………………………………………………………………………………………… 94 B2B……………………………………………………………………………………………………… 97 Medios de pago en Internet……………………………………………………………….. 99 Web Services…………………………………………………………………………………. 100 Micropagos…………………………………………………………………………………….. 101 Uso de pagos en sitios B2C…………………………………………………………… 102 2.3.8 Tamaño y proyecciones de la Economía Digital en Chile…………………. 102 Recomendaciones…………………………………………………………………………. 104 2.4 Encuesta a través de la Red…………………………………………………………………………… 106 CAPITULO III: LA AUDITORÍA Y EL WEBTRUST: SEGURIDAD Y CONFIANZA EN EL COMERCIO ELECTRÓNICO. 3.1 Nuevos negocios = Nuevos riesgos……………………………………………………………….. 110 3.1.1 La Confianza………………………………………………………………………………………. 111 3.1.2 Los riesgos…………………………………………………………………………………………. 111 3.1.3 Seguridad y confidencialidad……………………………………………………………. 111 3.2 Adaptarse a los cambios…………………………………………………………………………………. 112 3.2.1 Análisis del negocio y sus riesgos…………………………………………………….. 112 3.2.2 El Futuro: Los E-Auditores………………………………………………………………… 113 3.2.3 ¿Por qué el Auditor?................................................................. 114 3.3 WebTrust, la herramienta del Auditor en el Comercio Electrónico………………… 116 3.3.1 El concepto WebTrust……………………………………………………………………… 116 3.3.2 Cómo se obtiene…………………………………………………………………………….… 117 Qué deben de hacer los Auditores……………………………………………………. 117 Costos que involucra la licencia…………………………………………………… 117 Qué deben de hacer las empresas……………………………………………………. 118 3.3.3 Quién lo respalda……………………………………………………………………………… 119 3.3.4 Qué diferencia al sello WebTrust…………………………………………………….. 119 3.3.5 Beneficios de WebTrust……………………………………………………………………. 120 3.3.6 La Experiencia WebTrust en el mundo……………………………………………… 122 WebTrust en los Estados Unidos……………………………………………………….. 123 WebTrust en Puerto Rico……………………………………………………………………. 126 WebTrust en Argentina……………………………………………………………………… 127 WebTrust en España………………………………………………………………………….. 127 3.3.7 Marketing de WebTrust…………………………………………………………………….. 131



5

El punto de vista del cliente – características del servicio profesional 131 Desarrollar un plan de comercialización del WebTrust……………………. 132 3.3.8 Testimonios acerca del WebTrust…………………………………………………….. 135 3.3.9 Casos de Estudio………………………………………………………………………………. 137 H.D. Vest …………..…………………………………………………………………………….. 137 www.alpinebank …………….………………………………………………………………… 142 Resource Marketing………………………………………………………………………….. 144 3.3.10 Iniciando la Auditoría WebTrust……………………………………………………….. 146 3.3.11 Los Principios y Criterios WebTrust………………………………………………….. 149 Privacidad…………………………………………………………………………………….. 151 Seguridad………………………………………………………………………………………. 161 Prácticas de Negocios / Integridad en las transacciones……………. 164 Disponibilidad……………………………………………………………………………….. 168 Confidencialidad……………………………………………………………………………. 172 No repudiación……………………………………………………………………………… 174 Manifestaciones personalizadas…………………………………………………… 175 3.3.12 Programa WebTrust para Autoridades de Certificación…………………… 175 3.3.13 Programa WebTrust para Proveedores de Servicios……………………….. 179 3.3.14 El Sello WebTrust………………………………………………………………………………. 184 Obtención……….…………………………………………………………………………….. 184 Mantenimiento………………………………………………… ………………………….. 184 Proceso de gestión……………………………………………………………………….. 185 Autentificación………………………………………………………………………………. 186 Remoción………………………………………………………………………………………. 187 Tipos de Sellos……………………………………………………………………………... 187 3.3.15 Informes de Auditoría WebTrust………………………………………………………. 188 Referencia a los Principios y Criterios en el informe del Auditor… 188 Informe por múltiples principios…………………………………………………… 188 El informe inicial……………………………………………………………………………. 189 Consideraciones al restaurar un sello WebTrust removido…………. 190 Períodos de revisión diferentes…………………………………………………….. 190 Actualización de la Auditoría………………………………………………………… 190 Emisiones especiales para servicios compuestos……………………….. 191 Responsabilidad de comunicar la falta de conformidad………………. 191 Ejemplos de Informes…………………………………………………………………… 192 La Declaración de la Gerencia……………………………………………… 192 Informe emitido para un Sello Genérico…………………………….. 193 Informe emitido para un Sello de Privacidad…………………….. 198 Informe emitido para un Sello de Protección al Consumidor. 200 Informe emitido para un Sello de Autoridades de Certificación…………………………………………………………………………… 201 Informe emitido para un Sello de Proveedores de Servicios. 209 3.3.16 Preguntas Frecuentes………………………………………………………………………… 216 3.3.17 El Futuro de WebTrust……………………………………………………………………….. 218 CAPITULO IV: ADOPCIÓN DE WEBTRUST EN CHILE 4.1 ¿Por qué se debe aplicar en Chile?......................................................... 220 4.2 Sellos de confianza utilizados en nuestro país………………………………………………. 221 4.3 ¿Estamos preparados?......................................................................... 222 4.4 Obstáculos para su implementación………………………………………………………………. 224 4.5 Opiniones…………………………………………………………………………………………………………. 224 4.6 Chile, en la senda de WebTrust………………………………………………………………………. 229 Conclusiones………………………………………………………………………………………………………… 230 Bibliografía…………………………………………………………………………………………………………… 233 Material Adjunto…………………………………………………………………………………………………. 238



6

INTRODUCCIÓN Nuestro país y el mundo han sido testigos de una nueva revolución, en donde ha cambiado y cambiará aún más la forma en que las empresas interactúan, la organización y operación de los mercados, la manera en que las personas se educan, se informan, se comunican, trabajan, consumen, ahorran y se entretienen, entre otras muchas transformaciones asociadas a la Nueva Economía y a la informatización de la sociedad.

No podemos pensar que solamente es una revolución de las computadoras, lo que sucede actualmente es una revolución de la información ocasionada por el nacimiento, implementación y uso de nueva tecnología, e Internet es el mejor medio para canalizar estos conocimientos y hacerlos disponible a nivel mundial. Internet es hoy una síntesis de todos los medios de comunicación creados por el hombre hasta la fecha, es un periódico, es una tienda, es un banco, un mercado sin fronteras, sin límites y en continua expansión.

En virtud de estas transformaciones, está emergiendo una Nueva Economía. Se trata de un sistema económico y social donde la generación, procesamiento y distribución de conocimiento e información constituye la fuente fundamental de productividad, bienestar y poder.

Hasta el momento, Chile ha seguido estos desarrollos en forma tímida, transfiriendo y adaptando las nuevas tecnologías según lo permitido por su economía, normativa e infraestructura. A pesar de ello, la etapa actual de Internet permite avanzar hacia la Globalización, hacia progresos económicos, sociales y culturales, en definitiva permite ser parte de esta revolución.

Los efectos económicos de estas transformaciones son variados y complejos, afectando al estado, a productores, distribuidores y consumidores, cambiando los patrones de negocios conocidos, modificando su existencia y permanencia física a una virtual, con redes comerciales y financieras basadas en Internet. En donde clientes y proveedores intercambiarán toda clase de documentos y realizarán transacciones por medio de redes electrónicas, redefiniendo el concepto de lo local a lo global, cambiando el concepto de comercio y llevándolo a la Nueva Economía, surgiendo el Comercio Electrónico, que ya es una realidad.

El desarrollo de transacciones en ambientes virtuales, es decir, la realización de Comercio Electrónico, si bien es rápido, cómodo, abarata costos de funcionamiento, y por sobre todo, ahorra tiempo, trae consigo problemas, uno de los más importantes dice relación con la seguridad de los datos de los participantes, con el buen uso de la información de los clientes, con el acceso no autorizado a los registros de la empresa y por supuesto, con la transparencia con que actúen éstas.

Es necesario, si bien no eliminar pues ello es imposible, reducir el riesgo en este tipo de operaciones, y es aquí donde el Auditor debe asumir su merecido sitial en la evaluación y control de empresas y procesos.

Se han producido numerosos cambios, pero el Auditor como profesional no ha innovado y expandido su campo dentro de la Nueva Economía. Hoy existe la Auditoría Informática, pero ésta no posee el alcance suficiente para ser aplicada con criterios y parámetros focalizados a negocios de Comercio Electrónico, o como podríamos denominarlos, sobre un e-negocio1, o una e-empresa. El Profesional de la nueva era debe adaptarse a los cambios, pues “lo único constante es el cambio”, y según las estadísticas el número de usuarios de Internet y las transacciones vía electrónica aumentarán considerablemente, lo que acrecienta las posibilidades del surgimiento de una nueva área dentro de la Auditoría.

En nuestro país, si bien existen profesionales Auditores que operan en estas condiciones, ellos pertenecen a firmas Consultoras Internacionales, que ya poseen un Departamento para evaluar a empresas de Comercio Electrónico, a pesar de ello esta práctica de Auditoría no es conocida y el hecho de que empresas extranjeras monopolicen el conocimiento sobre esta área en cierta forma restringe y no permite que asociaciones de Auditores Chilenos se dediquen a esta actividad. Necesariamente

1 En Internet la "e" se utiliza, seguida de un guión, como abreviatura de "electrónico", a modo de prefijo de numerosas palabras para indicar que nos estamos refiriendo a la versión electrónica de un determinado concepto; así, por ejemplo, "e-negocio" es la abreviatura de "negocio electrónico".



7

para explorar y ser eficaz en este tipo de consultorías el Auditor debe especializarse, pero si no cuenta con las herramientas ni el conocimiento, ¿Cómo lo logra?

Para ello el Instituto Americano de Contadores Públicos Acreditados (AICPA) de Estados Unidos ha desarrollado y promociona un conjunto de principios y criterios para los negocios electrónicos, el cual se denomina WebTrust. Los profesionales Auditores u otras organizaciones de Auditorías autorizadas pueden proveer estos servicios a fin de evaluar y probar si un negocio en particular cumple con estos controles de resguardo y seguridad.

Pero, ¿Qué significa el WebTrust? ¿Cuáles son sus criterios y principios? ¿Cómo un negocio puede asegurar a sus clientes que ha sido auditado mediante el WebTrust?, consultas de este tipo serán respondidas en esta tesis, que tiene como objetivo principal el identificar y analizar estos criterios y principios internacionales de Auditoría sobre empresas de Comercio Electrónico y determinar su adopción en nuestro país.

En el primer capítulo se introducirá al Comercio Electrónico, indicando los elementos que posibilitaron su aparición y desarrollo, cuales son: La Globalización, la Revolución Tecnológica, la Sociedad de la Información, la Nueva Economía e Internet. Enseguida se analizará con mayor detalle, al considerarse, según el planteamiento de esta tesis, que es el nuevo campo para el Auditor. Para hacerlo entendible se describirá su proceso, se establecerán ciertas definiciones, el riesgo asociado y las medidas de seguridad tales como la criptografía y otras. En síntesis, este capítulo se refiere al ámbito en el cual el Auditor va a desenvolverse.

El segundo capítulo versará sobre las condiciones actuales, a nivel internacional y nacional, en el tema de Internet y Comercio Electrónico, en base a datos estadísticos y estudios se podrá proyectar su crecimiento, el cual influirá directamente en las perspectivas que se le presenten al profesional Auditor. Se expondrá las características de este tipo de negocios en Chile, cómo se ha ido incorporando nuestro país a esta tendencia y además cómo el gobierno a través de normativas especiales fomenta su desarrollo. Presente y futuro de esta revolución en las comunicaciones y en la forma de hacer negocios.

Qué es el WebTrust, las ventajas que ofrece y cómo el Auditor puede expandir su servicio insertándose en la Nueva Economía. A esto se referirá el tercer capítulo, en donde se identificarán los criterios y principios utilizados a nivel internacional por el AICPA para auditar empresas de Comercio Electrónico, asegurando su privacidad, confidencialidad, honradez y otras variables, destinadas a otorgar garantía, seguridad y confianza hacia los consumidores, clientes, gobierno y empresas relacionadas. Asimismo se señalará la importancia y necesidad de que el Auditor en Chile se adapte a los cambios del entorno e incorpore, a su labor, nuevos conceptos, que ya a nivel internacional, han permitido el desarrollo de la Auditoría en nuevas áreas. Finalmente, en el cuarto capítulo se analizará la posibilidad de adoptar este sistema en Chile, para ello es preciso determinar si estamos preparados para ello, la condiciones existentes, y los obstáculos que podrían surgir al implantarlo en nuestro país. Quizás en este sentido no solamente encontraremos barreras asociadas a la especialización que requerirá el ser Auditor en Comercio Electrónico, sino también a la falta de alguna institución chilena de la envergadura e importancia necesaria (como el caso del AICPA en Estados Unidos, o en Puerto Rico, España y otros países en donde existen instituciones de Auditores asociados) que obtenga la licencia del WebTrust, lo que hará más difícil la implantación del sistema en nuestro país.

En estos cuatro capítulos, se tratará de establecer la importancia de esta revolución de la información y comunicación, y sobretodo de dejar en claro la oportunidad que se presenta, de crecer como Auditor y adecuarnos a las transformaciones de la Sociedad, de la economía y de la educación. Es ingresar a la Nueva Economía, y ser el profesional de la nueva era.



8

CAPITULO I

LA NUEVA

REVOLUCIÓN



9

1.1.- VIVIMOS EN UNA ALDEA GLOBAL No existe sensación más representativa de la Globalización que cuando uno “navega” por Internet. Un clic en el mouse del computador y nos encontramos en la página de la NASA observando fotografías de los planetas, otro más y estamos en una biblioteca virtual de España. De clic en clic se tiene la impresión de hallarse conectado con todo el mundo, enlazado con áreas tan diversas como la cultura, educación, economía, y un sinfín de otras materias. Otra forma de describirla es aludir a las filas de productos extranjeros en el supermercado, o a la ropa importada en las tiendas o a algo tan normal como disfrutar de una hamburguesa en el MacDonald’s. El intercambio intenso de productos más allá de aranceles y costumbres, la simbiosis de las culturas o mejor dicho su adaptación y asimilación en nuevos contextos, la velocidad con que se transmiten informaciones de toda índole, forman parte de esa idea general a la que conocemos como Globalización. La Globalización es la omnipresencia, totalizadora y envolvente, de intercambios y recursos que a menudo hacen creer que el mundo es uno sólo. Definir la Globalización no es simple, podríamos encontrar una extensa variedad de expresiones para referirnos a ella, pero es aburridor y tiende a confundir el indicar demasiadas, por lo que solamente me limitaré a dos:

“Es un fenómeno complejo que afecta no sólo las economías de todos los países del mundo, sino que trasciende a la política, cultura, y prácticamente a todos los sectores de la sociedad, inclusive a las creencias religiosas. El origen es relativamente sencillo. El gran desarrollo de las comunicaciones en los últimos tiempos, en especial la televisión y las comunicaciones electrónicas vía satélite e Internet han hecho que se conozca, prácticamente para toda la población mundial, amén de su origen social, todo lo que pasa en el mundo en el mismo momento en que ocurre. Esto sucede no sólo en las noticias, sino para todo producto nuevo que sale al mercado e inclusive hay cada vez más acceso a cualquier área del conocimiento humano.”2

“La Globalización es el conjunto de procesos en virtud del cual las relaciones comerciales, políticas y culturales tienden a estar definidas por los mismos flujos de intercambio e intereses.”3

A través de estas definiciones podemos concluir que la Globalización involucra a toda la sociedad, las fronteras tienden a difuminarse, el conocimiento encuentra nuevos caminos por los cuales difundirse y los ciudadanos del mundo actual se sienten cada vez más contemporáneos en esta gama de interrelaciones. Sabemos más cosas con más rapidez. En las sociedades conectadas a los nuevos flujos comunicacionales, contamos con más opciones de información y recreación. Como hemos observado la Globalización infiere en varios sectores, pero su impacto en el ámbito económico es el que nos interesa. Este fenómeno es una realidad diaria, de todos los días, los periódicos están llenos de noticias que nos recuerdan que las organizaciones han adoptado un enfoque global. Los noticieros hablan, con frecuencia de asuntos como las balanzas comerciales internacionales y las fluctuaciones de las monedas. No es raro leer acerca de empresas japonesas que han avanzando en los mercados de Estados Unidos ni de empresas estadounidenses que han progresando en los mercados de Japón. Grandes empresas de distinta nacionalidad se unen para ofrecer nuevos servicios. Hoy, ningún gerente se puede dar el lujo de suponer que su organización esta aislada de todas estas actividades mundiales.

2 Ricardo Sarabasa García, “Economía cubana y economía mundial: Globalización e Integración”, http://www.cubanueva.com/economia/home.htm 3 Raúl Trejo Delarbre, “La Nueva alfombra Mágica”, Fundesco, México, 1994.



10

Es normal hoy encontrar una organización global4, con oficina matriz en Estados Unidos o en otro país, que cuente con operaciones fabriles en, por decir algo, Brasil, Alemania y Singapur; y que venda sus productos en varias partes del mundo. Las grandes organizaciones no son las únicas que han optado por la vía global, también es cada vez mayor la cantidad de pequeñas empresas que lo hacen. La Globalización es el reconocimiento por parte de las empresas de que deben tener un enfoque global y no un enfoque local. También puede ésta ser definida de muchas maneras, dependiendo de que nivel se desee analizar, se puede hablar de la Globalización del mundo entero, de un país, industrias especificas, empresas, hasta de un modelo económico y político. A escala mundial, la Globalización se refiere a la creciente interdependencia entre los países, tal como se refleja en los flujos internacionales de bienes, servicios, capitales y conocimientos. A escala nacional, se refiere a la magnitud de las relaciones entre la economía de una nación y el resto del país. 1.1.1.- El surgimiento de un nuevo modelo de eficiencia. En la economía mundial moderna, las relaciones entre las personas, las regiones y los países no son accidentales ni pasivas, sino que son mecanismos de integración activos que intensifican y cambian la vida económica internacional. La Globalización ha transformado la forma en que las empresas llevan a cabo sus operaciones, pero sobre todo, ha tenido un impacto muy importante en la organización misma, por lo que el perfil de sus integrantes es distinto. La formación de bloques económicos complementan y no obstruyen el proceso de Globalización, la apertura de los mercados y la liberación de flujos de capital iniciaron un movimiento entre cada bloque y se ha extendido gradualmente. Esto ha transformado la realidad del sector productivo a nivel mundial, las empresas, como motor de cada economía modifican la forma de llevar a cabo sus operaciones, a fin de adaptarse al nuevo entorno. Existen 3 importantes mecanismos que van a originar paradigmas de eficiencia, estos son el Comercio Global, Producción Global y Finanzas Globales5. El comercio internacional se mide con las exportaciones e importaciones de bienes y servicios. Al crecimiento de la producción y venta mundial se ha unido un crecimiento del comercio internacional desde principios del siglo XIX, por lo que se considera que el comercio internacional es un motor de crecimiento económico, ya sea como una causa de este crecimiento o como un factor favorecedor del mismo. Actualmente el dinamismo del comercio es un elemento esencial del crecimiento económico; la principal característica del actual comercio internacional es la multilateralidad, que contrasta con los acuerdos bilaterales entre los países. Esta característica es la que confiere al comercio internacional su carácter de fenómeno global. El comercio multilateral requiere la eliminación de los acuerdos bilaterales entre los países. Es común pensar que el comercio internacional se reduce al intercambio de bienes finales, pero lo cierto es que un elevado porcentaje de las transacciones se produce intercambiando bienes producidos en varios países y ensamblándolos en otros, que a su vez exportan el bien final a otros. Este proceso refleja la Globalización del proceso de producción y se debe a la planificación de esta por parte de grandes corporaciones multinacionales que producen cada componente del bien final para su fabricación. Esta división productiva ha sido motor importante de los cambios generados en la división internacional del trabajo, ya que la mano de obra de cada país, se ha especializado en la realización de componentes y piezas de un determinado producto.

4 Mac Donald’s contaba a finales del año 2000 con 26.452 locales en 119 países, esta empresa es el mejor modelo de la Globalización en los negocios. 5 Jaime Estay R., "La Globalización y sus significados" en José Luis Calva, coord., Globalización y bloques económicos. Realidades y mitos. Universidad de Guadalajara, Universidad Autónoma de Puebla y Juan Pablos Editor, México, 1995



11

Las finanzas son la fuerza vinculante más poderosa de la economía mundial, pero también la más volátil, ya que los flujos financieros se desplazaron y varían más rápido que los bienes manufacturados o las instalaciones productivas. En los últimos años los gobiernos han eliminado los controles y restricciones a los movimientos de capital entre países, liderizando los mercados financieros mundiales. Aunque existen argumentos para defender que el crecimiento de las finanzas internacionales igualará los tipos de intereses y los precios de los activos financieros de muchos países, la complejidad de los mecanismos financieros ha impedido que se creen relaciones estables, por lo que algunos consideran que los mercados financieros internacionales actúan en forma irracional. 1.1.2.- Efectos de la Globalización. Entre los efectos más importantes se encuentran la estandarización de productos y servicios, la reducción de barreras arancelarias y las economías de escala. La estandarización de productos significa que éstos tienen poca o nula variación entre los distintos países o regiones donde se distribuye. Si un producto necesita ser modificado significativamente para introducirse en otra región, este ya no es un producto estándar. La reducción de las barreras arancelarias, ha introducido el llamado consumo de productos masivos, permitiendo que tengan acceso a muchos países. La economía a escala puede hacer a las empresas más competitivas, con estrategias poco costosas, utilizando la capacidad de plantas ociosas, aumentando la productividad y distribuyendo los costos fijos entre un mayor número de unidades. La Globalización ha provocado la creación de grandes corporaciones en ciertos sectores industriales y de servicios, haciendo que las pequeñas y medianas empresas sean vendidas a esas corporaciones, y también ha provocado las fusiones entre grandes organizaciones. 1.1.3.- Oportunidades de la Globalización Las oportunidades están allí, en condiciones apropiadas este fenómeno ofrece posibilidades extraordinarias de progreso en términos de organización, eficacia, productividad, difusión de los conocimientos, mejora del nivel de vida y acercamiento entre los hombres. En suma, puede contribuir a que se produzca en un contexto mundial un crecimiento más fuerte, mejor equilibrado y más propicio para el desarrollo de los países pobres. La Globalización plantea la oportunidad de mejorar las condiciones de acceso a mercados que anteriormente se hallaban mas fragmentados, la expansión de los negocios es una gran ventaja pues hoy el empresario tiene una visión más amplia, hoy “su mercado es el mundo”. Los flujos de información, tecnología y capital han sido los que más han incrementado su movilidad y por consiguiente, constituyen los mercados donde más han mejorado las condiciones de acceso para economías con menor capacidad relativa de generación endógena. Sin embargo las condiciones para aprovechar estas oportunidades esta heterogéneamente distribuidas entre países. Un aspecto central, por consiguiente, reside en identificar los atributos que mejoran dicha capacidad y permiten revertir los aspectos negativos heredados de comportamientos pasados. La notable reducción de los costos del transporte y las comunicaciones ha facilitado la división del proceso productivo, permitiendo la participación de un mayor número de localizaciones geográficas según las ventajas que cada una aporta a la cadena de valor agregado. Este hecho ha ampliado las oportunidades para que economías individuales participen mas activamente de las redes internacionales de producción administradas por las grandes compañías multinacionales. El proceso de Globalización también crea nuevas oportunidades en tanto incrementa la competencia, la introducción de un país en la economía global induce a una gran presión de competitividad y eficiencia. Hoy debido a la competencia podemos gozar de mejores empresas productoras que luchan entre ellas para obtener el liderazgo, utilizando mejores medidas de producción, maquinarias e insumos de mejor calidad, los consumidores por su parte están más satisfechos ya que pueden obtener mayor variedad de productos, de mejor calidad y a un bajo costo, además sienta las bases



12

para el establecimiento de nuevas alianzas empresarias y sociales, y contribuye a la desarticulación de los oligopolios establecidos. 1.1.4.- Amenazas de la Globalización Un hecho salta a la vista, la heterogeneidad de un fenómeno que se aplica a los bienes, servicios, capitales y de manera bastante desigual, a los hombres. Todo transcurre como si de alguna manera la Globalización estuviera aún deshabitada. La economía global destruye los lazos de solidaridad entre los ciudadanos, enriquecen aún más a los mejores calificados a la vez que condenan a los demás al empeoramiento de su nivel de vida, particularmente a quienes detentan un empleo de producción o de servicio de carácter personal, condenado a una mayor precariedad y a remuneraciones más débiles. Este riesgo de marginamiento de los más pobres se ve aumentado por el hecho de que los países más avanzados tienden a concentrar la existencia para el desarrollo en los países pobres que menos manifiestan una voluntad de movilizar todos sus recursos para salir adelante por sí mismos. Dos de sus elementos importantes son la presión demográfica y las presiones migratorias masivas. Agreguemos a este panorama el peligro de que se exacerben los conflictos comerciales, de que se multipliquen las prácticas económicas ilegales y de que estallen las crisis financieras6. Bastaría con recordar que por lo menos en tres ocasiones en los últimos 10 años, la economía mundial se ha visto sacudida por el peso del endeudamiento excesivo que en 1995 puso en evidencia los riesgos financieros de la Globalización. Como hemos visto, el tema de la Globalización es realmente importante. Ha permitido una modernización en el mercado que nos afecta a todos en mayor o menor proporción, pero que en definitiva con sus grandes cambios ha transformado a una sociedad en la que se dice que es mejor vivir en un mundo moderno que en uno atrasado. 1.2.- LA REVOLUCION TECNOLÓGICA

"La más larga caminata comienza con un paso." (Proverbio Hindú)

Desde la última revolución industrial que no dábamos un paso tan grande para iniciar una caminata, que quién sabe cuándo terminará. Es una nueva revolución, que día a nos sorprende al presentarnos innovaciones que facilitan o mejoran nuestro nivel de vida. Pero, para comenzar es necesario identificar a qué nos referimos cuando hablamos de Revolución Tecnológica, ya que ella no solamente implica el poder trabajar (o entretenerse) frente a una pantalla, compartiendo información, en tiempo real, con otra persona que se encuentra al otro lado del mundo, ni es tan sólo el poder comunicarnos a través de un celular. Podríamos decir que es fundamentalmente un fenómeno concomitante a la Globalización de los mercados, una de las características distintivas del capitalismo de nuestro tiempo en sus diferentes expresiones. La Revolución Tecnológica ha producido un tremendo impacto sobre el conjunto de individuos y funcionamiento de la sociedad y está fuertemente determinada en su expansión por el desarrollo de los sistemas de comunicación a partir de la década de los sesenta. En términos muy básicos y sencillos, la Revolución Tecnológica es:

“El conjunto de cambios profundos que se derivan de la aplicación combinada de la tecnología informática agregada a la tecnología de las comunicaciones. El proceso digital está en la base de esta comunión revolucionaria y sus consecuencias.”7

6 La crisis asiática es un ejemplo de los riesgos de la Globalización, que produjo un efecto dominó por varios países y que en Chile tuvo serias repercusiones. 7 José Duduchark, “Qué significa la Revolución Tecnológica, sus alcances y consecuencias”, http://www.palermo.edu.ar/e-conomics/articulos_profesores/index.html



13

Los avances digitales han multiplicado exponencialmente las posibilidades de transmisión de datos dando lugar a la creación de una verdadera economía y también a una sociedad basada en la información. Es, en términos técnicos, lo que se llama Tecnología de Integración. Es decir "tecnologías que constituyen el fruto de la convergencia de varias técnicas y que, lejos de producir un paso más en la evolución del sistema, modifican sustancialmente el conjunto del mismo." Por ejemplo (considerando nuevamente lo que más se asocia a la Revolución Tecnológica), desde la invención de la computadora portátil y la telefonía celular, el trabajo basado en la información puede ser realizado desde cualquier lugar. Es decir, se puede trabajar en todas partes, en la oficina propia o la del cliente, arriba del auto, del avión, en el living o el jardín de casa, en la cama incluso. Y no es necesario hacerlo en soledad, pues con un mínimo equipamiento adicional es posible interactuar con más personas de las que podrían caber en cualquiera de los ambientes mencionados; incluso con aquellos que habitan otros husos horarios y tienen que alterar sus horas de vigilia y descanso para participar de la reunión virtual, y todo gracias a los nuevos dispositivos, todo gracias a esta revolución. De allí que ha emergido un nuevo modelo económico y social caracterizado por la confluencia de cinco procesos8: • La integración digital de sonido, datos e imagen, así como la convergencia

entre telecomunicaciones computación y televisión. De esta forma, las distinciones tradicionales entre telefonía, TV, ondas radiales y TV cable tienden a desaparecer. Se tornará cada vez más irrelevante la diferencia entre medios de acceso (computador, TV u otros artefactos) a las redes digitales de información, mientras éstas ofrecerán nuevos servicios cada vez más interactivos.

• La difusión cada vez más genérica de las nuevas tecnologías de

información y comunicación. Sus usos tenderán a extenderse a todos los ámbitos de la vida económica y social, se combinarán con otras tecnologías y facilitarán los procesos de cambio organizacional de comunidades, empresas e instituciones.

• La maximización de la eficiencia y eficacia social de las nuevas tecnologías

cuando operan en redes. Es decir, no sólo se trata de redes físicas con computadores y cables de fibra óptica, sino redes sociales y comerciales de información y conocimiento, que aumentarán su utilidad para los usuarios y para la sociedad, en la medida que más personas y empresas estén conectadas a ellas.

• La aceleración de la producción y difusión global del conocimiento y la

información. Las nuevas tecnologías potencian la sinergia entre conocimiento e innovación. Esto implica que mientras más invierta cada país en recursos humanos, mayor será su dominio sobre estas nuevas tecnologías y mayor será su capacidad de innovar, generando nuevas bases de competitividad y bienestar social.

• El desarrollo de una nueva infraestructura de información. Su rol será tan

vital para el crecimiento y el bienestar, como actualmente lo es la infraestructura física. La multiplicación de las redes digitales y el enriquecimiento del contenido que viaja por ellas, facilitará el desarrollo de empresas y mercados, el funcionamiento eficiente y descentralizado del sector público, así como el tránsito hacia una sociedad civil cada vez más abierta y comunicativa.

El extraordinario desarrollo y difusión de estos procesos ha generado y continuará generando enormes transformaciones que se acelerarán en esta década. En el ámbito económico, la automatización de la producción, la informatización de empresas y la difusión de mercados electrónicos se incrementará rápidamente. Surge, entonces, el desafío de construir nuevas ventajas competitivas. Para lograrlo, es necesario aumentar la incorporación de nuevos conocimientos e innovaciones a la producción de bienes y servicios, formar una fuerza de trabajo de calidad mundial y estimular la emergencia de nuevos sectores intensivos en tecnologías digitales, tales como servicios productivos, industria del turismo, servicios financieros, servicios de educación, así como las industrias culturales y audiovisuales, entre otros.

8 Comisión Nuevas Tecnologías de Información y Comunicación, “Informe de Modernización Tecnológica”, Gobierno de Chile, 1999



14

Vastos estratos de nuestra sociedad experimentarán cambios sustantivos en su vida cotidiana, puesto que un verdadero arsenal de innovaciones transformará radicalmente sus formas de trabajo y estudio, sus hábitos de cultura y entretención, el modo como comercian, se informan o comunican, y la manera como acceden a servicios básicos como el transporte, la educación y la salud. Acelerar la masificación y la universalización del acceso a los beneficios que conllevan estas nuevas tecnologías, adquiere entonces una importancia estratégica.

“Una revolución que se ha tornado en una evolución tecnológica” El Estado, en tanto productor de servicios e información por excelencia, sufrirá importantes mutaciones en la medida que siga incrementando su informatización y el uso de las redes electrónicas. El desafío en este ámbito consiste en acelerar el cambio institucional para maximizar el uso eficiente de las nuevas tecnologías. Así, se podrá modernizar la gestión pública y profundizar la descentralización del Estado, abriendo nuevos caminos para lograr el desarrollo sustentable, el bienestar social y la expansión de una sociedad civil más abierta, participativa y ciudadana. En síntesis, dichas tecnologías no sólo pueden ofrecer nuevas vías de acceso, distribución y manejo de información en sus diversas formas (texto, sonido, imágenes, vídeo), sino que su empleo ya ha transformado nuestro modo de vivir y trabajar, trasladándonos de una sociedad basada en los bienes físicos a una sociedad cada vez más centrada en el conocimiento y la información, transportándonos a la Sociedad de la Información. 1.3.- LA SOCIEDAD DE LA INFORMACIÓN Hoy, un economista, un doctor, o un estudiante, podría escribir un artículo y a través de las nuevas tecnologías, en este caso Internet, lo haría llegar a cualquier persona que tuviese acceso a la red, es decir, lo haría global, la información por él suministrada pasaría a ser un conocimiento a adquirir, disponible instantáneamente. Esta es una característica de lo que se llama Sociedad de la Información, expresión que está de moda. Se usa con profusión en ambientes políticos y académicos, y a través de los medios de comunicación ha llegado a incorporarse al lenguaje cotidiano. La Sociedad de la Información se nos presenta, a grandes rasgos, como una nueva fase en la evolución de la sociedad, en la que apenas estamos empezando a adentrarnos, y cuyo origen y fundamento se encuentra en el espectacular desarrollo y uso creciente de los sistemas electrónicos de información y comunicación. Dada la multiplicidad de significados que se atribuyen a la Sociedad de la Información, y ya que no se ha impuesto una definición que se pueda reconocer como aceptada comúnmente, se considera conveniente concretar el significado que se da a la expresión Sociedad de la Información en el ámbito de esta tesis:

“Sociedad de la Información es un estadio de desarrollo social caracterizado por la capacidad de sus miembros (ciudadanos, empresas y administración pública) para obtener y compartir cualquier información, instantáneamente, desde cualquier lugar y en la forma que se prefiera”.9 9 Manuel Castells, “La era de la información”, Alianza Editorial, 1998.



15

“El término Sociedad de la Información se refiere a una forma de desarrollo económico y social en el que la adquisición, almacenamiento, procesamiento, evaluación, transmisión, distribución y diseminación de la información con vistas a la creación de conocimiento y a la satisfacción de las necesidades de las personas y de las organizaciones, juega un papel central en la actividad económica, en la creación de riqueza y en la definición de la calidad de vida y las prácticas culturales de los ciudadanos”.10 Lo peculiar de la Sociedad de la Información es el precisamente carácter de ilimitado que en ella tiene el acceso a recursos de información. Gracias a las nuevas tecnologías, la forma de actuar se modifica. Un ejemplo claro: Internet, que ha sido la infraestructura que ha abierto el camino hacia la Sociedad de la Información, pues supuso un aporte fundamental: un medio universal de comunicación de datos. Lo que representa la red telefónica en términos de voz, es decir, el acceso universal a cualquier teléfono del mundo, lo representa Internet en términos de datos: la posibilidad de acceso universal a cualquier computador del planeta. El computador e Internet ha llegado a ser accesible a toda la población, la forma en que se hacen ciertas cosas cambia: la forma de comprar, de estudiar, de trabajar, muchos procesos se han modificado, la propia forma de ser se ve afectada. Los valores y actitudes llegan a modificarse y podemos incluso decir que la cultura, la propia sociedad, han cambiado. La forma que finalmente adquirirá la Sociedad de la Información no es previsible. Todavía estamos en la fase inicial de creación de infraestructuras y tan sólo estamos percibiendo los primeros efectos de su aplicación a los procesos. El impacto final en los valores y actitudes, además de ser imprescindible, no será en absoluto el resultado de un mecanismo que deba producir inevitablemente un resultado determinado. La disponibilidad de infraestructuras que permiten el acceso generalizado a la información debe considerarse como un elemento meramente posibilitador, un factor que amplia enormemente las posibilidades de elección. Las tecnologías de la informática y las comunicaciones son los vehículos que conducirán a las sociedades humanas allí donde quieren llegar. Y, en el momento presente, el vehículo es relativamente conocido, mientras que el camino y el destino al que se quiere llegar son todavía un interrogante. Muy a grandes rasgos, puede dibujarse el impacto que la disponibilidad generalizada de estas tecnologías razonablemente producirá en diferentes ámbitos11: En el ámbito económico significa: • Una mayor productividad, especialmente en los sectores industriales y de servicios,

gracias a su contribución a la mejora de la eficacia de los procesos de toma de decisiones, operaciones, administración, gestión y realización de las funciones auxiliares y administrativas.

• La aparición de nuevas formas de actuación empresarial y de numerosas

oportunidades de negocios. En el ámbito de las formas de organización humana significa: • La modificación de las actuales estructuras organizativas, haciéndolas más planas,

flexibles y ágiles. • La aparición de nuevas formas de organización, sin limitaciones territoriales o de

distancia, para la colaboración, la cooperación, el trabajo o la participación más activa en la vida pública.

En el ámbito personal, de los individuos, supone: • La obtención instantánea de cualquier información. • Una mayor facilidad para la obtención de servicios relacionados con la salud, la

educación y adquisición permanente de conocimientos, el entretenimiento, el acceso a los bienes culturales y la compra de bienes y servicios.

10 Misión para la Sociedad de la Información, Libro verde sobre la Sociedad de la Información en Portugal, 1997. 11 Telefónica España, “Informe sobre la Sociedad de la Información”, 2000.



16

• En este ámbito, por fin, la Sociedad de la Información permitirá mayor confort y

bienestar personal, una mayor libertad en cuanto a los desplazamientos, y de forma inequívoca, una mayor libertad en la elección del tiempo y la forma en que se efectúen las comunicaciones interpersonales.

1.3.1.- Modelo de la Sociedad de la Información Es muy útil disponer, a partir de lo anteriormente señalado, de un modelo de la Sociedad de la Información12, en la que aparezcan los actores fundamentales y las relaciones entre ellos. Este modelo o representación no será completamente exacto, ni contendrá todos los elementos componentes de la Sociedad de la Información con su infinita riqueza de matices, sino que será una versión simplificada de la realidad, que nos puede ayudar a entender mejor esta compleja máquina que llamamos Sociedad de la Información. Modelo de la Sociedad de la Información

En la figura aparecen los cuatro grandes elementos que configuran la Sociedad de la Información: Usuarios: Son las personas u organizaciones que acceden a los contenidos a través de las infraestructuras. Infraestructuras: Son los medios técnicos que hacen posible el acceso a distancia a los contenidos. Contenidos: Llamamos así a la información, productos o servicios (en el sentido de sector terciario) a los que se puede acceder sin necesidad de desplazarse obligatoriamente a un lugar determinado. Puesto que la creación de contenidos online es una técnica nueva, será imprescindible disponer de un conjunto de servicios de soporte, para la creación de contenidos, que se representan explícitamente en el modelo. Entorno: Son factores o agentes de tipo social y económico, que influyen en cualquier fenómeno que tenga lugar en la sociedad y que, por lo tanto, también afectarán poderosamente a la orientación y ritmo de implantación de la Sociedad de la Información. Podríamos indicar, además, que esta Sociedad de la Información, globalizada a partir de los modernos medios de comunicación, es partícipe en lo que hoy se denomina Nueva Economía.

12 Telefónica España, “Informe sobre la Sociedad de la Información”, 2000.



17

1.4.- LA NUEVA ECONOMÍA Hacia finales de la década de 1990 surgió en Estados Unidos un fenómeno que ha provocado una verdadera revolución en los mercados y en las empresas, el cual está basado en resultados tangibles, transacciones sin límites y ausencia de regulaciones, es llamada la Nueva Economía, a continuación algunas acepciones:

“Cuando hablamos de Nueva Economía, nos referimos a un mundo en el que la gente trabaja más con su cabeza que con sus manos. Un mundo en el que la tecnología de comunicaciones crea una competición global [...,]. Un mundo en el que la innovación es más importante que la producción masiva. Un mundo en el que la inversión adquiere nuevos conceptos, o los medios para crearlos, en lugar de adquirir nuevas máquinas. Un mundo en el que el cambio es rápido y constante. Tan diferente de la era industrial como esta lo fue de la agrícola que la precedió. Un mundo tan diferente que su aparición sólo puede ser descrita como una revolución"13

“La Nueva Economía es el término acuñado para reflejar el impacto que ha tenido la entrada de los avances tecnológicos y los medios masivos de comunicación sobre la economía. Se fortalece con la convergencia de tres sectores principales: (computación, comunicaciones y contenido) creando un nuevo sector industrial que se define como Nueva Economía”14

“El concepto de Nueva Economía arranca de la existencia de ciertas innovaciones tecnológicas, especialmente en el campo de los sistemas de información y comunicación; dichas innovaciones causan cambios en parámetros económicos básicos (métodos de organización, precios relativos, productividad, eficiencia, relaciones entre variables macroeconómicas) que dan como resultado tasas más elevadas de crecimiento económico no inflacionista durante períodos más prolongados de tiempo. El concepto de Nueva Economía tiene que ver por tanto con una causa (innovación tecnológica), con una correa de transmisión (métodos de organización, productividad, etc.) y con un resultado final (más crecimiento sostenido con estabilidad durante más tiempo)”.15 El núcleo del concepto de Nueva Economía es por tanto la existencia de innovación tecnológica que permite mejorar la organización, aumentar la eficiencia y la productividad. Esta nueva industria está cambiando la manera de hacer negocios y el comercio, que pasa ahora a apropiarse de tecnologías que le permiten mayor alcance y lo transforman. Dichos avances crean nuevas oportunidades de negocio, facilitan y hacen más rápidas las oportunidades de generar valor, así como acrecientan la velocidad de las transacciones en el mundo. Los cambios que marcan la Nueva Economía tienen que ver, básicamente, con la posibilidad de superar limitaciones de tiempo y de espacio. Con Internet es posible estar conectado y ser accesible desde cualquier lugar del planeta donde haya un terminal de acceso: pasamos del "lugar" físico al "espacio" digital. En cuanto al tiempo, Internet permite el envío y recepción instantáneos de todo tipo de información "en tiempo real". Esto crea oportunidades de acción y allí es donde están las oportunidades. Éstas crean nueva competitividad, deben hacer más eficientes y dinámicas a las Empresas y se entiende que si no se utilizan los nuevos medios, será imposible subsistir en el futuro. La automatización, también crea nuevos negocios; servicios y necesidades hacia las personas lo que crea una "Nueva Economía"; no es que cambien la actual, sino que existen oportunidades de nuevas formas de negocio. Internet facilita la conectividad y la simultaneidad de acción, lo que permite a los nuevos proyectos surgir y desarrollarse con una rapidez desconocida hasta hoy. Esto supone que la innovación es constante y que las empresas que operan en la Nueva

13 Enciclopedia of the New Economy. Wired. www.idg.es/iworld 14 http://www.gestiopolis.com/recursos/experto/catsexp/pagans/eco/no8/nueva%20economía.htm 15 Eugenio Domingo Solans, “Europa y la Nueva Economía” ,Conferencia inaugural del curso "Comunicación y empresa en la era digital", organizado por la Fundación General de la Universidad de Málaga. Málaga, 26 de marzo de 2001.



18

Economía prosperen. La introducción de Internet cambia el funcionamiento económico en la gestión de la empresa, en la inversión del capital y en la organización del trabajo. Esos cambios conducen a un aumento de productividad y competitividad que difunde el nuevo modelo económico en el ámbito mundial. El trabajo también cambia en la Nueva Economía. Es la fuente esencial de aumento de la productividad. Pero requiere un trabajo de alta calificación y alta flexibilidad. Con un nivel de educación y una adaptabilidad personal que permita al trabajador cambiar a lo largo de su vida, en sus tareas y en la forma de realizarlas, con una autonomía creciente en el proceso de trabajo. En el siguiente cuadro, se expone los cambios entre esta Nueva Economía y la opacada Vieja Economía.16

CAMBIOS EN LA ECONOMÍA

Vieja Economía Nueva Economía

Mercados Estables Dinámicos

Competencia Nacional Global / Local

Organización Jerarquizada, burocrática

En red

Producción Masiva Flexible

Factores dominantes

Capital / Trabajo Innovación / Conocimiento

Competitividad Mecanización Digitalización

Ventajas comparativas

Costos / Escala Calidad / Costos

Empresas Singulares Alianzas

Educación Habilidad / Titulación

Formación continua

Empleo Estable Inestable

Esta "Nueva Economía" está organizada por la interrelación de las siguientes características: a. Una economía basada en la información y en el conocimiento La "Nueva Economía" se caracteriza porque añade valor, genera productividad y consigue competitividad, esencialmente sobre la base de información y de conocimiento. Ellos siempre han sido importantes en todas las economías y en todas las sociedades, esto no es nuevo. Sí es nueva la capacidad de procesamiento de esta información, en términos de velocidad y complejidad, gracias a nuevas tecnologías de información y nuevas tecnologías de red. Al aplicarse este poder de procesamiento a la

16 Existen discrepancias en torno al concepto de Nueva y Vieja Economía, algunos autores indican que, si bien es cierto, las innovaciones tecnológicas han permitido transformaciones en las empresas, ellas no han alterado las leyes que regulan las relaciones entre las variables económicas. Ejemplifiquémoslo mediante un automóvil, el "nuevo" coche (Nueva Economía) no es conceptualmente nuevo. Es sólo un nuevo modelo. El motor será más potente, el chasis más equilibrado, los amortiguadores mejores, la carretera por la que circula mejor trazada y el límite de velocidad no temeraria menor, pero no hemos inventado ahora ni las carreteras, ni los automóviles, ni los riesgos de accidente. Y, sobre todo, no hemos inventado las leyes de la física (Leyes económicas) relativas a la fuerza, el rozamiento, la velocidad y la inercia, que explican porqué se mueven y a veces lamentablemente se estrellan los automóviles.



19

propia información y al conocimiento, somos capaces de utilizarlos en tiempo real y en cualquier circunstancia. Ejemplifiquemos esta nueva realidad en la empresa Coca Cola. Esta organización ha optimizado sus procesos y es así como cada vendedor de la firma lleva un pequeño recolector de datos, un equipo parecido a una calculadora pero de mayor tamaño, en donde procesa rápidamente las órdenes o pedidos de los clientes, allí quedan almacenadas las características fundamentales de cada transacción con cada uno de ellos: cantidad, precio, descuentos, productos, etc. Al llegar el vendedor a la oficina conecta esta máquina a un terminal y esta información es traspasada inmediatamente a la base de datos, es procesada y, en unas pocas horas el pedido estará listo para ser despachado, con su correspondiente guía de despacho y factura. Antiguamente el vendedor completaba manualmente una nota de pedido, la cual al ser recepcionada en la empresa era digitada, con el consiguiente margen de error y lentitud, y al día siguiente, si no existían errores en la orden y en la digitación, si no ofrecieron mercadería que no había en bodega, si se preocuparon de evitar todos estos “detalles” el cliente recibía su pedido. Demostrativo es este ejemplo, en donde la utilización de las nuevas tecnologías de red de información y de incorporación al proceso de producción activo, el uso de la información y el conocimiento como base de productividad que derivan en competitividad, constituyen lo fundamental en la "Nueva Economía". b. Una economía Global Por global no se quiere decir que sea una economía simplemente internacionalizada, pues ésta existe desde hace muchos siglos, sino una economía en la que las actividades centrales, las actividades estratégicas tienen la capacidad de funcionar en tiempo real, como una unidad, en ámbito planetario. Es decir, la Nueva Economía tiene la capacidad tecnológica necesaria (sin nuevas tecnologías no habría mercado financiero globalizado trabajando en tiempo real), la capacidad organizativa (las unidades económicas están organizadas para acceder directa o indirectamente a mercados globales y consumos globales) y la capacidad institucional (sin la ola de desregulación y liberalización que se ha producido en todo el mundo en los últimos diez o quince años, no habría tampoco esta capacidad de circulación global de dinero, personas, bienes y servicios). Vemos que el mundo está convirtiéndose en un lugar cada vez más pequeño. Las tecnologías de comunicación, incluyendo los teléfonos móviles y el correo electrónico, están contribuyendo a este hecho. El establecimiento de Acuerdos Comerciales entre los países está reduciendo las barreras comerciales y geográficas y alentando una mayor integración política y económica. Estos acuerdos conducen inevitablemente a un incremento de la competencia lo que obliga a las empresas a cambiar para adaptarse a los nuevos tiempos. Por tanto, el segundo elemento de la Nueva Economía es el cambio de las organizaciones en términos de Globalización. c. Una economía organizada a través de empresas-red La empresa en la Sociedad de la Información es una "empresa-red". Esto resulta fundamental en la transformación del proceso de trabajo y, por tanto, del proceso de aprendizaje. En primer lugar, las grandes empresas se han descentralizado en los últimos años constituyendo unidades cada vez más autónomas e independientes, que trabajan por objetivos y se relacionan entre ellas. En segundo lugar, las pequeñas y medianas empresas son competitivas, dinámicas y flexibles, pero sólo si articulan sus recursos en redes de colaboración que permitan aunar recursos, porque, si no, serían demasiado pequeñas para entrar en el mercado. En tercer lugar, las redes de pequeñas y medianas empresas trabajan para redes descentralizadas de grandes empresas. Por último, las grandes empresas constituyen alianzas estratégicas, no permanentes sino en productos determinados o para una tarea específica. Es decir, la organización económica actual se basa en redes de redes de redes, organizadas en torno a proyectos. La unidad ya no es la empresa; la empresa es la unidad de acumulación de capital, es la unidad de gestión general de segmentos de la red, pero hay un proyecto de negocio concreto que reúne elementos de distintas empresas y sub-empresas y, una vez ejecutado, esa red queda desmantelada para crearse otra en torno a otro proyecto. Esto es lo que caracteriza la Nueva Economía: la constante movilidad de los



20

factores de producción, de capital. Esta "empresa-red" solamente es capaz de funcionar sobre la base de tecnologías de la información interactivas. Las redes son una forma muy antigua de organización social. Su gran ventaja es la flexibilidad para adaptarse a un entorno cambiante. Su gran inconveniente es la articulación y coordinación de los distintos componentes de la red en una unidad de propósito. La tecnología de la información y de la comunicación permite mantener la flexibilidad y, además, asegura la coordinación del proyecto, el cumplimiento del objetivo. Queda claro, por tanto, la "empresa-red" es la forma de organización característica de nuestras sociedades. d. El uso de tecnología En la última década ha habido una revolución en la forma en que las personas y los negocios se comunican entre sí: la tecnología digital, el teléfono móvil y el uso extendido de Internet son tres elementos clave de esta nueva era. Los componentes tecnológicos en la empresa están abandonando progresivamente el ámbito de los sistemas de procesamiento de transacciones y de gestión operativa interna. De este posicionamiento, fundamentalmente centrado en el ámbito del “backoffice”17, han pasado a erigirse como instrumentos imprescindibles de los sistemas y formas de interrelación con los clientes y proveedores y como vía esencial de informar y comunicar al entorno sobre aspectos relevantes de marketing y producto. La tecnología pasa a ser un elemento fundamental para la captación y mantenimiento de las relaciones con los clientes, proveedores y aliados de la empresa. Y este componente implica progresivamente unas mayores exigencias de conectividad, integración on-line, respuesta fiable y versatilidad con los sistemas de información de la organización. El caso más significativo de esta transformación, dado por la tecnología de Internet, se produce cuando la empresa establece un nuevo canal virtual de interrelación con su entorno que determina en buena medida la percepción y valoración de la calidad de la organización. e. La lucha por el talento Las personas, con sus habilidades e ideas, son un recurso indispensable de la Nueva Economía. Las personas capacitadas representan un recurso que está escaseando progresivamente, ya que las empresas contratan de forma muy competente y agresiva a las personas dotadas de visión para los negocios y con conocimientos tecnológicos para ayudar a sus organizaciones a triunfar en la Nueva Economía. La situación se complica aún más por el hecho de que hay un número cada vez mayor de empresas buscando entre este grupo tan selecto de candidatos. Ya no son sólo las grandes empresas las que pueden hacer ofertas atractivas para los profesionales altamente calificados; también las start-ups18 pueden ahora fichar a los ejecutivos de las empresas más importantes del mundo ofreciéndoles acciones, “stock options”19 y nuevas oportunidades profesionales. f. Intangibles La revalorización del activo intangible ha sido un fenómeno clave en el crecimiento de la Nueva Economía. Las empresas han caído en la cuenta de que pueden crear valor a través de sus activos intangibles: marcas, propiedad intelectual, relaciones con los consumidores y los proveedores, etc. Las compañías están cada vez más centradas en consolidar este tipo de activos.

17 Por ejemplo, backoffice. En el ámbito del Comercio Electrónico se refiere a los sistemas automáticos que respaldan las acciones que acompañan a una transacción: facturación, emisión del pedido, control de bodega, etc. Está el frontoffice, es decir, lo que ve el usuario: la página web y el backoffice. Otra definición es: Métodos, aplicaciones y bases de datos que almacenan y gestionan procesos empresariales de los clientes y proveedores. 18 Denominación de las empresas nacidas al amparo de Internet y que se basan en la plataforma Web como principal medio de comunicación e interacción con el público objetivo. Presentan grandes expectativas de crecimiento y elevada volatilidad y riesgo. 19 Opción de compra de acciones por parte del personal



21

El futuro: aprovechar las oportunidades de la revolución empresarial La generalización de los avances tecnológicos está produciendo grandes cambios en las estructuras económicas y sociales, con importantes repercusiones en los modelos empresariales. En este modelo de Nueva Economía, las empresas que abanderan el liderazgo de transformación están revolucionando los criterios de generación de valor. El mercado les atribuye las expectativas de un rol privilegiado y catalizador en la articulación de las nuevas estructuras de competitividad. La Nueva Economía no es tecnología, es pensar en hacer cosas mejores, entregar nuevos servicios usando como facilitador la tecnología. Este modelo de Nueva Economía no está aún completamente definido, ya que es demasiado pronto para prever las consecuencias finales de los cambios que se están produciendo. Pero ya sí se puede hablar de un mercado global, poco regulado y despiadadamente competitivo. 1.5.- INTERNET En los temas tratados anteriormente, fundamental resulta la participación de Internet, y es que con más de 600 millones de usuarios20 en todo el mundo es evidente que este medio de comunicación, el más extendido en toda la historia de la humanidad, ha transformado a la sociedad. La palabra Internet es el resultado de la unión de dos términos: Inter, que hace referencia a enlace o conexión y Net (Network) que significa red. Es decir, Internet no es otra cosa que una conexión integrada de redes de computadores o redes interconectadas. Algunos definen a Internet como "La Red de Redes", y otros como "La Autopista de la Información". Efectivamente, Internet es una Red de Redes porque está hecha a base de unir muchas redes de computadoras. Por Internet circulan constantemente cantidades increíbles de información, por este motivo se le llama también La Autopista de la Información. Desde su inicio como una red de investigación y de uso militar21, ha pasado a ser un medio con un público masivo y es el que más rápidamente ha alcanzado esa condición. La radio tardó 38 en alcanzar 50 millones de radioescuchas y la televisión demoró 13 años en tener la misma cantidad de televidentes, Internet logró esa meta en 5 años. No se pretende en este apartado explicar detenidamente el funcionamiento de Internet, o qué perspectivas técnicas tiene la red de redes, pero sí nos es útil reconocer su importancia en nuestra sociedad, junto con sus singularidades en términos de comunicación e instrumento para llevar a cabo nuevas formas de negocios. Necesario resulta además, en términos muy simples, el comprender que la conexión que hacemos desde nuestro hogar, oficina u otra locación, pasa por varias etapas y debemos contar con un proveedor del servicio de Internet (ISP, Internet Service Provider; tales como Entel o Terra), para ingresar a ese océano de computadoras e información.

20 Según el “Informe sobre Comercio Electrónico y desarrollo 2002” elaborado por la Conferencia de las Naciones Unidad sobre Comercio y el Desarrollo (UNCTAD). 21 Para mayor información sobre el origen, historia y desarrollo de Internet, consulte www.monografias.com, allí existen varios documentos sobre el tema.



22

Esquema básico de una conexión a Internet

Sabemos que esta red de redes no sólo ha modificado nuestra forma de comunicarnos, sino que también ha cambiado radicalmente nuestras modalidades de trabajar, realizar actividades económicas, interactuar, divertirnos, obtener información y aprender. Aparte del comercio y las empresas, ¿Cuáles serían los sectores más beneficiados por su incorporación a Internet? Primero, la Salud. De los 50 millones de muertes que se producen en el mundo durante el año, más de 40 millones ocurren en el mundo en desarrollo y más de 12 millones de ellas corresponden a niños menores de cinco años, la mayoría de los cuales murió de causas evitables. Muchas de estas muertes fueron absurdas y algunos de los problemas a los que hicieron frente los profesionales de la salud podrían haberse superado si se hubiera dispuesto de la información adecuada cuando era necesaria. Pero hay que ser realistas, para los países en desarrollo, dada su infraestructura deficiente y el acceso inadecuado a la informática en los hogares y en las instituciones públicas, las posibilidades de consulta paciente-sitio Internet son escasas. Lo que por el contrario es viable, y podría tener una repercusión importante, es la consulta entre profesionales médicos a través de Internet o que éstos visiten sitios de la red. Gracias a Internet, el acceso a la información es más rápido. Una Universidad de medicina típica de los Estados Unidos se abona a más de once mil publicaciones, mientras que las instituciones similares de los países en desarrollo sólo pueden tener acceso a menos del 5% de dicha cifra. Además los conocimientos tardan hasta cinco años en darse a conocer, incluso para aquellos profesionales que están razonablemente bien conectados al flujo internacional de información, fuera de la capital y de los grandes centros urbanos de los países en desarrollo, este lapso puede ser, incluso, muy superior. Otra área en que Internet tiene mucho que decir es la educación, sobre todo si se considera que a fines de la década de los noventa casi 1.500 millones de niños y adultos de todo el mundo eran analfabetos. Los expertos creen que la educación a distancia a través de la red ofrecería oportunidades de aprendizaje a estudiantes que por una serie de razones -lejanía geográfica de los centros de educación, horarios de trabajo, limitación de recursos financieros y otros- están excluidos del sistema educativo. Como hemos visto varios sectores de la sociedad se verán afectados y beneficiados por Internet, pero enfocándolo a los negocios y a empresas, ¿Qué ventajas involucra su utilización?



23

1. Mejoras en el área comercial y en la gestión de las relaciones con los clientes 2. Mejoras en el área de la gestión de compras 3. Mejora de los procesos de la empresa 4. Aprovechamiento de nuevas oportunidades de negocio 5. Desarrollo de nuevas ventajas competitivas 6. Mejora en la utilización y distribución de la información interna 7. Mejora de la comunicación interna 8. Ofrecer productos diferenciados 9. Reducir costos de infraestructura 10. Suministro on-line (en línea) 11. Refuerzo de la imagen corporativa 12. Aprovechamiento de las posibilidades de colaboración 1.- Mejoras en el área comercial y en la gestión de las relaciones con los clientes

• Acciones de marketing y comunicación personalizadas • Mejora de la comunicación a los clientes y la información que tienen de los

productos o servicios • Acciones económicas de comunicación • Mejora de la atención al cliente y automatización • Medición e incremento de la satisfacción del cliente • Interacción los 365 días del año y 24 horas al día • Mayor conocimiento de las necesidades de los clientes • Desarrollo de planes de fidelización

1.1.- Mejoras en el área comercial y en la gestión de las relaciones con los clientes Efectos en el área comercial

• Incremento de las ventas • Fidelización de los clientes • Captación de nuevos clientes • Posibilidad de acceso a mercados dispersos geográficamente • Expansión internacional a bajo costo

1.2.- Mejoras en el área comercial y en la gestión de las relaciones con los clientes Efectos sobre la empresa

• Disminución de costos en el área comercial • Incremento de los márgenes comerciales • Aumento de los beneficios de la empresa

2.- Mejora de la gestión de compras

• Disminución de los precios de adquisición de las compras entre un 5 y un 15%

(Fuentes: Forrester Research, Aberdeen Group y Arthur Andersen). • Disminución de los costos de los procesos en torno a un 50% debido a la

mejora de la eficiencia de los mismos • Reducción de costos de compra debido a la eliminación de intermediarios • Ampliación del número de proveedores potenciales y disminución del tiempo de

localización • Disminución del tiempo de aprovisionamiento entre un 50 y un 70% • Mejoras en la gestión de stocks y disminución de los niveles de inventario • Mayor aprovechamiento de los recursos humanos del área de compras • Información precisa sobre el estado del proceso de compra

3.- Mejora de los procesos de la empresa

• La reingeniería de procesos debe aprovechar la posibilidad de comunicación, información y tratamiento de la información que ofrece Internet.

• Conseguiremos procesos más eficientes y eficaces y con la consiguiente reducción de costos y disminución de los tiempos de ejecución.

• Aumento de productividad y flexibilidad



24

4.- Aprovechamiento de nuevas oportunidades de negocio

• Con la Nueva Economía e Internet aparecen nuevos modelos de negocio • Un modelo de negocio es un modelo que describe los roles de los distintos

actores que intervienen en el negocio y que describe tanto los beneficios para los distintos actores como una descripción de la fuente de ingresos

• La empresa tradicional debe analizar los distintos modelos de negocio existentes y no conformarse con emplear en la red el mismo modelo que emplea en el mundo real (que suele ser una tienda virtual)

• Existen otros modelos de negocio como marketplaces22, creación de comunidades, e-shop (tienda virtual), etc.

•• Además deberá analizar los modelos de negocio adoptados por la competencia 5.- Desarrollo de nuevas ventajas competitivas

• El desarrollo de negocios en Internet va a ser una ventaja competitiva a corto-mediano plazo

• Los que se posicionen como líderes podrán levantar barreras de entrada • Distintos tipos de barreras de entrada: desarrollo de tecnologías, clientes fieles,

liderazgo, etc.

5.1.- Desarrollo de nuevas ventajas competitivas. Ejemplos

• Disminución de la cadena de distribución • Liderazgo en Internet • Desarrollo de know how

6.- Mejora en la utilización y distribución de la información interna

• Uso de la intranet y extranet • Ejemplo 1: Uso intensivo de e-mail y videoconferencia • Ejemplo 2: Workflow23 • Ejemplo 3: Gestión del conocimiento • Ejemplo 4: Comunicación interna

7.- Mejora de la comunicación interna

• Mejora de la comunicación interna empleando Internet y consiguiendo así la mejora de la motivación y de los equipos de trabajo

8.- Ofrecer productos diferenciados

• Empleando las posibilidades de las nuevas tecnologías, se puede dar un valor añadido a los productos consiguiendo su diferenciación de la competencia

• Ejemplo: Amazon (Empresa en Internet que se dedica a la venta de libros, sin necesidad de contar con un negocio físico)

9.- Reducir costos de infraestructura

• Empleando las nuevas tecnologías se consiguen reducir los costos de infraestructura evitando la infrautilización de recursos

10.- Suministros on-line

• En determinados productos (como por ejemplo software, libros, etc.) se puede distribuir el producto a través de Internet evitando así los costos de la cadena de distribución

22 Sitio en la red donde se ofrece la posibilidad de que las empresas intercambien sus bienes y servicios. 23 Es la automatización de un proceso de negocio durante el cual “documentos”, “información” y “tareas” son pasados de un participante a otro acorde a un conjunto de reglas procedimentales.



25

11.- Refuerzo de la imagen corporativa

• Internet nos da la posibilidad de comunicación segmentada y a bajo costo con lo que se conseguirá refuerzo de la imagen de marca

• Además, esta imagen irá asociada a las nuevas tecnologías con lo que reflejará la innovación

• Por otro lado, el conseguir una posición de liderazgo en Internet también conseguirá un refuerzo en la imagen corporativa

12.- Aprovechamiento de las posibilidades de colaboración

• Internet consigue facilitar las posibilidades de colaboración al hacer desaparecer el espacio físico ya que todos los sitios están a “un clic” de distancia

Como se ha observado varios son los beneficios que conlleva el utilizar Internet, los puntos más destacables son el ahorro en costos y el aumento de eficiencia al aplicarse a los procesos, la interacción con los clientes logrando una retroalimentación que resulta en una fidelización y el acceso ilimitado a la información global. No se detectan grandes desventajas al incluir Internet en las empresas o al incluir a las empresas a Internet, lógicamente se van a presentar ciertos costos que antes no existían, como la contratación de un plan de acceso con un proveedor (En relación al plan los gastos variarán: SLM, Banda Ancha, etc), el hospedaje a un servidor para colocar la página de la empresa en Internet, la adquisición del dominio y algunos más, sin embargo, colocando en una balanza las ventajas y posibles desventajas, sin lugar a dudas ella se inclinará a favor de su adopción en la empresa. Lo fundamental es que Internet está enfocado a todo nivel: gobiernos, empresas (de cualquier tamaño), personas, universidades, hospitales, colegios, todos pueden utilizarlo y en el futuro quizás sea un servicio básico, accesible para todos sin costo. A nivel de instituciones es necesario destacar al Servicio de Impuestos Internos con sus declaraciones de impuestos vía Internet y al INP por su recientemente programa de recaudación electrónica. La mejor forma de explicar la destacada participación de Internet en los negocios es mediante un ejemplo: “Dell Computer, con sede en Texas, se creó en 1984, antes de que Internet fuera una fuerza. Cuando Michael Dell fundó la empresa, tenía un plan simple: eliminar distribuidores (minoristas como ComputerLand y BusinessLand) del proceso de compra de computadoras y vender directamente por teléfono. Esta fue su primera fase. En su segunda fase, a partir de 1996, Dell cambió otra vez su enfoque de distribución, eliminando más ineficiencias. Se desprendió de su gran inventario de partes, productos terminados y computadoras armadas una vez que eran encargados. El enfoque funcionó bien pero entonces Internet entró en escena y le permitió armar un montaje mas ajustado. En su tercera y actual fase, ya como una empresa dentro de la red, Dell se mueve muy bien on line. Cerca de 30 por ciento de sus ingresos -más de 18 millones de dólares - se generan en la red y la firma intenta ir más lejos. Este Sistema le permite eliminar intermediarios, reducir costos y, simultáneamente, ayudar a los clientes a tomar mejores decisiones acerca de qué comprar. Está vertiendo información de sus productos y servicios en su web site, permitiendo a los consumidores personalizar las órdenes. Más aún, está armando, para cuentas corporativas, sitios a medida que se integran con cada uno de los sistemas de compra de la compañía. El reparto de productos en la puerta de los clientes se lo encarga a firmas como Federal Express y UPS, a un costo más bajo. Y cuanto más veloces y baratos sean los servicios logísticos que brindan estas dos firmas, habrá más oportunidad para que los modelos de Dell y Amazon, por ejemplo, tengan éxito”. Esta Empresa, además de incursionar en Internet ha implementado un nuevo sistema para vender sus productos, es una nueva forma de hacer negocios, nacida bajo la sombra de Internet y que utiliza su infraestructura, es el Comercio Electrónico.



26

1.6.- COMERCIO ELECTRÓNICO

"El mundo tiene una oportunidad única en la década actual para utilizar los mercados globales en beneficio de todos los países y pueblos... Los mercados

son el medio. El desarrollo humano, el fin". --- Informe de Naciones Unidas sobre el Desarrollo Humano, 1992---

Imaginemos a una pareja de turistas estadounidenses que visitan un pueblito en la zona rural de Chile, llamado la Ligua, en donde se fabrican tejidos….. Cuando se presentan y mencionan que vienen de Illinois, el anciano que atiende en la tienda responde: “¡Ah, Illinois! Vendemos nuestros productos allí, y también en Florida, California, Nueva York, Arizona, Colorado, Alaska…” Y él sigue mencionado lugares y la lista se va alargando más y más. A través de este relato una verdad queda de manifiesto, que gracias a la presencia de Internet, los minoristas y cualquier empresa pueden llegar potencialmente a millones de clientes en el mundo entero. No estamos lejos de hacer realidad el ejemplo anterior, y es que la Globalización, la Revolución Tecnológica, la Nueva Economía, Internet y una sociedad basada en la información, han permitido el desarrollo del Comercio Electrónico, ofreciendo posibilidades inimaginables, con acceso a un mercado global en donde las oportunidades de encontrar clientes para cualquier producto aumenta proporcionalmente. En definitiva, el primer paso en Comercio Electrónico es una decisión filosófica acerca del negocio: ¿Debo ingresar en la Nueva Economía o me conformo con mantener el almacén de la esquina? ¿Ser o no ser punto COM?. Lamentablemente no es opcional, las empresas deben de estar presentes en la red, de lo contrario simplemente “no serán”, esto no significa que desaparecerán, sino que perderán ventajas que le imposibilitarán de ser competitivos en el futuro. 1.6.1.- Comercio Electrónico: Concepto:

“Conjunto de actividades con propósito mercantil que se realizan a través de sistemas y redes computacionales interconectadas por los medios de telecomunicaciones normales. Las actividades y procesos así desarrollados relacionan a las personas y empresas participantes de manera virtual; a través de este medio se ofrecen y demandan bienes y servicios, la actividad comercial se origina y perfecciona sin que se produzca un encuentro físico de las personas, inclusive la facturación y el pago se realizan de esta forma. Cuando el producto comercializado es un intangible, éste se entrega al cliente a través de la red, y todas las operaciones que de esa relación comercial deriven ocurre por esta vía.24

“Se puede definir como cualquier forma de transacción comercial en la que un suministrador provee de bienes y servicios a un cliente a cambio de un pago, donde ambas partes interactúan electrónicamente en lugar de hacerlo por intercambio o contacto físico directo. En definitiva, el Comercio Electrónico supone hacer negocios en línea o vender y comprar productos y servicios a través de escaparates ubicados en la Web. Los productos comercializados pueden ser productos físicos (como libros, muebles, etc.) o servicios (como viajes, consultas médicas en línea, educación a distancia, etc.). También pueden ser productos digitales como noticias, imagen y sonido, bases de datos, software y todos los tipos de productos relativos a la información.25 1.6.2.- Categorías dentro del Comercio Electrónico En el Comercio Electrónico participan como actores principales las empresas, los consumidores y las Administraciones Públicas (Estado). Así, se distinguen normalmente cinco tipos básicos de Comercio Electrónico: · Entre empresas (B2B, Business to Business). · Entre empresa y consumidor (B2C, Business to Consumer). · Entre empresa y Administración (B2A, Business to Administration, o B2G, Business to 24 Berta Silva Palavecinos, “Consideraciones en torno al Comercio Electrónico”, Revista de Contabilidad, Auditoría e Impuestos Nº 92. 25 Robotiker, Aimme, Cetemmsa, Iat, Ibit, “Modelos de Comercio Electrónico”, http://www.5campus.com/



27

Government) · Entre ciudadano y Administración (C2A, Citizen to Administration). · Entre ciudadanos (C2C, Citizen to Citizen).

ADMINISTRACIÒN PÙBLICA B2A C2A EMPRESA CONSUMIDOR BC2 B2B C2C

Tipos básicos de Comercio Electrónico. Las empresas intervienen como usuarias (compradoras o vendedoras) y como proveedoras de herramientas o servicios de soporte para el Comercio Electrónico: servicios de certificación de claves públicas, instituciones financieras, etc. Un ejemplo de la categoría empresa-empresa (B2B) sería una compañía que usa una red para ordenar pedidos a proveedores, recibiendo los cargos y haciendo los pagos (pensemos en las compañías mineras, como La Escondida, que cotiza, compra y cancela a través de la red). En definitiva es la interacción de empresas por medio de Internet, incluyendo intercambios de información, plataformas de subastas y mercados de negocios. Esta modalidad está establecida desde hace bastantes años, usando en particular Intercambio Electrónico de Datos (EDI, Electronic Data Interchange) sobre redes privadas. En la actualidad este tipo de Comercio Electrónico se encuentra en la etapa de los usuarios adelantados. Se estima que más de un 31% de las PYMES (pequeñas y medianas empresas) estadounidenses utilizaron Internet para abastecerse de insumos, mientras que un 11% la utilizó como plataforma de ventas26 . Al mismo tiempo, la mayoría de los observadores sindican al Comercio Electrónico entre empresas como la categoría más promisoria de Comercio Electrónico en los próximos años. Se espera que la participación de este segmento en el total de transacciones electrónicas aumente desde poco más del 70% a cerca de un 90% a nivel mundial entre 1999 y el año 2004. Lo anterior se basa en tres aspectos esenciales: 1. La penetración de la informática y del uso de redes está mucho más difundida

entre las empresas que entre las personas. Mientras un 48% de los hogares estadounidenses dispone de un PC, en las empresas este índice asciende a un 66%.Lo mismo ocurre con las redes (29% versus 59%)27 .

2. La migración de las empresas hacia el Comercio Electrónico involucra ahorros

significativos y conocidos en las áreas operacionales, por lo que constituye un imperativo de competitividad. Las personas, en cambio, enfrentan la opción de realizar compras a través de Internet, la cual constituye un canal adicional a sus hábitos regulares.

3. Tanto el precio como el valor promedio (en dinero) de cada compra es

sensiblemente superior en el segmento de empresas que en el de personas. Hasta la fecha la adopción masiva de tecnologías de la información en las empresas ha estado bloqueada por el costo de las soluciones. Tanto los sistemas EDI como otros pueden costar varios millones de pesos e involucrar un período relativamente largo de desarrollo. Sin embargo, con la creciente penetración de Internet, se ha producido una rápida consolidación entre estándares y tecnologías aplicadas, surgiendo una 26 Fuente: www.IDC.com 27 Veronis, Suhler & Associactes, US Census Byreay



28

plataforma transaccional de gran poder y a bajo costo, vinculando empresas de todos los tamaños y localizaciones geográficas. Desde esta perspectiva es posible vislumbrar una fuerte y profunda reestructuración en la manera en que se seguirá produciendo valor en las cadenas de producción y distribución a lo largo de la economía mundial. Tanto los insumos que una empresa requiere como el producto o servicio generado pueden ser intercambiados a través de Internet. Se estima que entre el 50 y el 70% de los costos de un producto corresponden al costo de adquisición de bienes intermedios, mientras que el proceso de elaboración representa el restante 50%-30%. Adoptar un modelo de Comercio Electrónico tipo empresa-empresa (B2B) puede reportar ahorros de hasta un 20% en la adquisición de productos y entre un 10 % y 25 % mediante la racionalización de los procesos. Estos ahorros, junto con permitir la reducción de inventarios a niveles de eficiencia o just in time, reducen a su vez las necesidades de capital de trabajo. Los más entusiastas hablan de una “cadena de valor plenamente integrada”, y de un proceso de colaboración que optimiza las actividades y permite entregar un mayor valor al usuario final. Sin embargo, ello depende de una serie de factores, entre los cuales se puede mencionar la complejidad y número de actores de la cadena de abastecimiento, la cultura organizacional más o menos familiarizada con las nuevas tecnologías y las presiones por reducir gastos. Industrias como la electrónica, la química, la automotriz y los equipos médicos, por ejemplo, reúnen estas características y son las que exhiben los mayores niveles de penetración del Comercio Electrónico entre empresas en Estados Unidos. Para las Pymes, en tanto, el Comercio Electrónico B2B representa la posibilidad de abrir nuevos mercados geográficos y establecer relaciones comerciales con grandes empresas hasta la fecha inaccesibles por la distancia geográfica y el costo de los sistemas EDI. Muchas empresas de Comercio Electrónico están ofreciendo servicios especiales para PYMEs, incluyendo desarrollo, mantención y promoción de sitios transaccionales. De este modo, el comercial difundido por una cadena internacional de noticias, en el que un pequeño industrial venezolano recibe por e-mail una solicitud de cotización de parte de una gran multinacional japonesa, corresponde a la realidad creada por el Comercio Electrónico global. La categoría empresa-consumidor (B2C) se suele igualar a la venta electrónica. Se ha expandido con la llegada de la Word Wide Web. Hay ahora galerías comerciales sobre Internet ofreciendo todo tipo de bienes consumibles, desde dulces y vinos a computadores y vehículos a motor. La empresa provee una plataforma en línea en donde los usuarios pueden adquirir productos o servicios a un costo considerablemente menor que los canales tradicionales. Con la explosión de Internet a nivel mundial, estos pequeños negocios se han transformado en grandes corporaciones con capitalizaciones millonarias y ventas a nivel mundial, mientras que decenas de grandes cadenas tradicionales de supermercados, tiendas por departamentos y de especialidades están dedicadas a crear versiones virtuales de sus salas de venta. En su calidad de nuevo medio de comunicación, una página web combina elementos de una tienda, un catálogo, una revista interactiva y un teléfono con capacidades de radio y televisión. De esta manera, para tener éxito los comerciantes y tiendas virtuales deben poseer un conjunto de habilidades que incluya un cierto conocimiento en marketing directo y desarrollo de contenidos. Sin embargo, no todos los bienes y servicios exhiben el mismo potencial de comercialización. Ni aún mediante un formato sofisticado se puede obviar el hecho de que existen productos que, tanto por su naturaleza como por la de sus compradores, son más propicios que otros para la venta en línea. Actualmente, la prensa y los medios de comunicación se han enfocado principalmente en aquellas formas de Comercio Electrónico B2C que intercambian bienes tangibles (libros, vinos, flores, computadores). Sin embargo, en los mercados desarrollados la mayor proporción corresponde a intangibles (entretención y software). En esta categoría caben las diversas formas de entretención electrónica (juegos), diarios y revistas digitales, servicios financieros, servicios de viajes, seguros, etc. La interactividad permite además vender productos personalizables de manera más eficiente que en el comercio tradicional, al disponer de una mayor variedad y capacidad de exhibición de las distintas combinaciones de un determinado producto, lo mismo es válido para los productos regalables como flores, juguetes, vajilla y herramientas de cocina, incluyendo todos aquellos que puedan formar parte de una lista de matrimonio, la cual puede ser administrada electrónicamente con mayor eficiencia que en el comercio tradicional. También son relevantes para evaluar el potencial de un producto en la red la relativa comodidad o incomodidad de las tiendas



29

físicas, así como algunas características financieras del producto en relación a sus costos de distribución y almacenamiento; la estrechez de pasillos y locales, o la atención deficiente de los vendedores puede incentivar la migración a la compra en línea; por otra parte existen productos cuyos costos de distribución son bajos en relación al margen de utilidad bruta, o bien exhiben una baja rotación y una demanda de nicho, como por ejemplo instrumentos musicales y árboles bonsai, que pueden ser comercializados más eficientemente a través de una tienda virtual que en una tienda física. La categoría empresa-Administración (B2A) o empresa-Gobierno (B2G) cubre todas las transacciones entre las empresas y las organizaciones gubernamentales. Por ejemplo, en nuestro país28 las disposiciones gubernamentales se publicitan en Internet y las compañías pueden responder electrónicamente. Además, las administraciones pueden ofrecer también la opción del intercambio electrónico para transacciones como determinados impuestos y el pago de tasas corporativas. Los consumidores pueden participar en dos formas adicionales de Comercio Electrónico además del B2C: por una parte, el Comercio Electrónico directo entre consumidores (C2C), que es la venta directa entre particulares, como son las subastas virtuales entre personas29 y, por otra, las transacciones económicas entre ciudadano y la Administración. La categoría consumidor-Administración no acaba de emerger. Sin embargo, a la vez que crecen tanto las categorías empresa-consumidor y empresa-Administración, los gobiernos podrán extender las interacciones electrónicas a áreas tales como los pagos de pensiones o el autoasesoramiento en devoluciones de Impuestos. 1.6.3.- Proceso del Comercio Electrónico. Comprar en Internet es mucho más práctico que hacerlo en el mundo físico. Basta con ingresar a un sitio web y comenzar a clicear sobre los productos que se desean y luego esperar a que lleguen por correo o vía courier hasta el propio domicilio. A continuación se señala el proceso de comprar por el ciberespacio (categoría B2C)

LA COMPRA: 1. El internauta ingresa a una tienda virtual y comienza a navegar por ella

seleccionando (con clics del mouse sobre el ícono carro de compras) los productos que le interesa adquirir.

28 El Programa de Modernización del Sistema de Compras y Contrataciones del Sector Público dio en 1999 el primer paso para llevar las operaciones de abastecimiento del Estado chileno a Internet. Como su nombre lo indica, se trata de un sistema a través del cual se puede publicar, almacenar y distribuir la información referente a las compras y contrataciones estatales. Todo aquel que esté en condiciones de ofrecer productos o servicios puede inscribirse en el Sistema como proveedor potencial del Estado. De esta forma el Estado cuenta con una herramienta transparente y dinámica para controlar su función de abastecimiento. 29 Ver www.deremate.com o www.mercadolibre.com



30

2. Cada vez que se selecciona un producto se le preguntará cuántas unidades desea adquirir y también se le pedirán ciertas especificaciones como tamaño y color, entre otras.

3. Con la intención de no perder la noción del volumen de la compra la mayoría de los sitios contemplan la posibilidad de ver un resumen de los productos y los precios acumulados cada vez que el navegante lo desee.

4. Una vez finalizada la elección de productos, el sitio muestra un formulario en el que se publica la lista de los bienes adquiridos y el precio total de la transacción. Aquí es donde se señala el valor que tendrá el envío, el que varía dependiendo de la distancia y el tiempo en el que se espera llegue el producto a destino. En algunos sitios es posible escoger entre un despacho económico.(que puede tardar semanas) y uno expedito a través de empresas de courier (lo que demora en la mayoría de los casos cerca de 48 horas)

5. En caso de que el cliente cambie de opinión respecto a algún producto siempre existe la posibilidad de cancelar una compra.

EL PAGO: 1. Lo más común es que se pueda pagar con tarjeta de crédito. En Chile, muchos

sitios permiten pagar en efectivo o cheque contra entrega (al hacerlo de este modo no cumplen a cabalidad con la definición de Comercio Electrónico, ya que la compra se cancela en forma directa al ser recepcionado el producto), o en línea a través de una tarjeta de crédito. Si se selecciona la opción tarjeta de crédito como medio de pago entonces los sitios comienzan a operar en ambientes seguros30.

2. Una vez establecidos los protocolos de seguridad el usuario ingresa su número de tarjeta de crédito y activa la opción pagar. Hay que definir el tipo de tarjeta, su número y la fecha de vencimiento de la misma.

3. La orden comienza a ser procesada. En segunda instancia se verifican los datos y se entrega la autorización o el rechazo de la solicitud de compra.

4. Si la respuesta es afirmativa, se sale del sitio seguro y se vuelve a la tienda virtual. La tienda se comunica con el usuario, señalándole que su compra ha sido materializada.

5. La tienda despliega un registro con los antecedentes de la compra, ficha que el cliente puede imprimir y guardar como comprobante de la transacción.

LA ENTREGA: 1. Los productos llegarán a destino en el plazo que la tienda virtual haya

comprometido. Dentro de Chile se acostumbran tiempos de entrega que varían entre dos y tres días.

2. Una vez que se reciben los productos, quien pague contra entrega deberá abonar el valor del pedido y del envío al mismo repartidor.

3. Los productos se podrán devolver si llegan defectuosos, deteriorados o si no corresponden a lo solicitado. En estos tres casos generalmente no se contempla ningún cargo adicional.

1.6.4.- Formas de pago Medios de pagos convencionales. Para comenzar el análisis, es importante tener en cuenta la utilización o potencial utilización en el Comercio Electrónico de los mecanismos de pago más usados en las formas tradicionales de comercio:

• Dinero en efectivo • Cheques • Tarjetas de crédito y/o débito

De los tres mecanismos precedentemente señalados, se podría decir que el dinero en efectivo es de imposible utilización en el Comercio Electrónico. Si bien el cheque ha servido de base para la creación del denominado cheque electrónico, actualmente la tarjeta de crédito es el método de pago más utilizado en el Comercio Electrónico. Ello es consecuencia, en parte, de que este mecanismo ya ha sido probado y utilizado como medio de pago en el comercio tradicional. Asimismo, las tarjetas de crédito gozan de aceptación internacional. Sin perjuicio de los beneficios señalados precedentemente, la utilización de tarjetas de crédito en el Comercio Electrónico presenta ciertos inconvenientes que se relacionan, principalmente con los siguientes aspectos:

30 Significa que la información que se intercambie entre la partes está encriptada o protegida.



31

• Seguridad. Al utilizar la tarjeta de crédito como medio de pago, se requiere la

transmisión al vendedor del número de tarjeta de crédito31. Si el mensaje no está encriptado32, se corre el riesgo de que la transmisión sea interceptada y que la información allí contenida sea utilizada por terceros. En tal sentido es interesante mencionar que una encuesta realizada por el periódico norteamericano "USA Today" pone de manifiesto que sólo el 5% de los usuarios de Internet encuentran confiable enviar la información de su tarjeta de crédito por dicha vía electrónica.

• Costos de transacción. Los emisores de tarjetas de crédito incurren en costos al proveer el sistema de pago, los cuales en general son trasladados a los vendedores. Ello torna inconveniente el sistema para compras de poco valor.

• Limitación en la cantidad de personas que tienen tarjeta de crédito. Utilizar la tarjeta como medio de pago en el Comercio Electrónico exige que, tanto el comprador como el vendedor deben estar adheridos al mismo sistema de tarjeta de crédito, caso contrario no podrá ser utilizado este mecanismo.

Medios electrónicos de pago. A pesar de los inconvenientes señalados con relación a la utilización de la tarjeta de crédito en el Comercio Electrónico, dicho mecanismo, así como el denominado cheque electrónico, constituyen válidas adaptaciones de los medios tradicionales de pago que son actualmente utilizados o en desarrollo en el Comercio Electrónico. Resultaría imposible describir cada uno de los mecanismos de pago que se utilizan en el Comercio Electrónico, puesto que constantemente en distintas partes del mundo se están probando nuevas alternativas que van evolucionando de acuerdo al avance tecnológico. Sin embargo, se podría mencionar algunos mecanismos disponibles en el mercado y cuya aceptación (teórica o práctica) es generalizada:

• Ordenes de tarjetas de crédito contenidas en un mensaje (encriptado o no) y transmitidas por correo electrónico;

• Cheque electrónico, que se instrumenta mediante un software que permite a los usuarios crear el equivalente al cheque común (de papel) el cual puede ser transmitido electrónicamente y que tiene como consecuencia la transferencia de fondos a través de la estructura tradicional de "clearing" desde una cuenta bancaria;

• Notas electrónicas, las cuales son emitidas una vez que han sido pagadas previamente por el consumidor y son promocionadas en general como medio de pago de sumas de escaso monto;

• Home-banking, en el cual la vía electrónica es utilizada como red de transporte para las órdenes de pago.

Si bien los mecanismos precedentemente mencionados pueden ser caracterizados como medios electrónicos de pago, sólo algunos de ellos son considerados dinero electrónico. Podría definirse el dinero electrónico como aquellas unidades de valor dinerario que tienen forma digital y son transmitidos por una red electrónica. La mayoría de los consumidores que han comerciado electrónicamente han utilizado como medio de pago el envío por la red de su número de tarjeta de crédito. La generalización en la utilización del dinero electrónico y otros medios de pago de igual naturaleza han planteado la posibilidad de cometer delitos a través de computadores que afecten estas nuevas formas pago. Por un lado se están desarrollando medidas de seguridad informática pero por el otro resulta necesario actualizar nuestra legislación penal para que contemple los delitos cometidos por medios informáticos.

31 Existen empresas que se encargan de validar la compra e implantan un sistema con el cual el Nº de tarjeta no es conocido por el vendedor, en Chile tenemos el caso de www.webpay.cl de transbank. 32 Quiere decir que si alguien que quiere mandar información confidencial aplica técnicas criptográficas para poder “esconder” el mensaje (lo llamaremos cifrar o encriptar), manda el mensaje por una línea de comunicación que se supone insegura y después solo el receptor autorizado pueda leer el mensaje “escondido” (lo llamamos descifrar o descencriptar), la palabra criptografía proviene del griego kryptos, que significa esconder y gráphein, escribir, es decir, escritura escondida. La criptografía ha sido usada a través de los años para mandar mensajes confidenciales cuyo propósito es que sólo las personas autorizadas puedan entender el mensaje.



32

1.6.5.- Problemas relacionados con el Comercio Electrónico. Aunque el Comercio Electrónico está creciendo muy rápidamente, aún quedan temas abiertos que deben ser resueltos para obtener de él todo su potencial · Apertura contractual y financiera: Supóngase que una compañía de Tailandia encuentra un catálogo electrónico de una empresa rusa y realiza un pedido electrónico de productos de distribución electrónica y cuyo pago también se hará electrónicamente. Este escenario tan simple genera una serie de cuestiones fundamentales que aún están por resolver. - ¿Con precisión, hasta qué punto es un contrato oculto establecido entre empresas? - ¿Cuál es el status legal de ese contrato? - ¿Qué cuerpo jurídico lo recoge? - ¿Cómo puede ser hecho y confirmado el pago, dadas las diferentes prácticas y

regulaciones financieras? - ¿Qué tasas e impuestos se aplicarían a estos productos? - ¿Cómo se cargan, controlan y recaudan estas tasas? - ¿Pueden resolverse los pagos y tasas por el simple procedimiento de mantener una

manufacturación electrónica en un tercer país? · Propiedad: Particularmente en el caso de los bienes que pueden distribuirse electrónicamente, y pueden ser fácilmente copiados, la protección de la propiedad intelectual y de los derechos de copia representan un hito aún por solucionar. · Direcciones IP (Internet Protocol) y DNS (Domain Name System): Desde un punto de vista legal, la institución de los DNS plantea distintos problemas. Por un lado pueden surgir disputas entre particulares respecto a un DNS concreto. Varios son los casos de dominios de famosos que ya han sido inscritos por particulares y que luego de juicios y sumas de dinero son devueltos a quien corresponden, por ejemplo el de Madonna. Por otro, un DNS puede entrar en conflicto con una marca registrada o suponer una práctica de competencia desleal, al producir confusión en el mercado, como es el caso McDonalds en USA. · Privacidad y seguridad: El Comercio Electrónico necesita de mecanismos eficaces para garantizar la privacidad y la seguridad de las redes abiertas. Estos mecanismos deben proporcionar confidencialidad, autenticación, esto es, permitir a cada parte que intervenga en una transacción asegurar la identidad de la otra parte y fidelidad o no repudio, esto es, asegurar que las partes que intervienen en una transacción no puedan posteriormente negar su participación. Ya que el reconocimiento de mecanismos de seguridad y privacidad depende de certificaciones de una tercera parte calificada (tales como el cuerpo gubernamental), el Comercio Electrónico requiere el establecimiento de un sistema de certificación global. · Interconectividad e interoperatividad: Llevar a cabo todo el potencial del Comercio Electrónico requiere acceso universal; cada empresa y cada consumidor deben poder acceder a todas las organizaciones que ofrezcan productos o servicios, sin importar la localización geográfica o la red específica a la que dicha organización esté conectada. Esto a su vez exige una normalización universal para la interconexión e interoperatividad de redes. En general, el Comercio Electrónico plantea una serie de nuevos problemas o agudiza algunos ya existentes en el comercio tradicional:

La validez legal de las transacciones y contratos sin papel. La necesidad de acuerdos internacionales que armonicen las legislaciones sobre

comercio. El control de las transacciones internacionales, incluido el cobro de impuestos. La protección de los derechos de propiedad intelectual. La protección de los consumidores en cuanto a publicidad engañosa o no deseada,

fraude, contenidos ilegales y uso abusivo de datos personales. La dificultad de encontrar información en Internet, comparar ofertas y evaluar la

fiabilidad del vendedor (y del comprador) en una relación electrónica. La seguridad de las transacciones y medios de pago electrónicos. La falta de estándares consolidados y la proliferación de aplicaciones y protocolos

de Comercio Electrónico incompatibles. La congestión de Internet y la falta de accesos de usuario de suficiente capacidad.



33

1.6.6.- Ventajas del Comercio Electrónico. Cualquier forma de Comercio Electrónico pone a disposición del usuario (sea comprador o vendedor) lo más vanguardista de la tecnología para garantizarle ventajas competitivas.

Consumidor Ambos Vendedor No hay intermediarios, por lo que los productos llegarán directamente del productor al comprador.

Rapidez

No hay intermediarios, los productos llegan directamente al cliente.

Puede elegir los productos (sean bienes o servicios) independientemente del lugar que estos provengan; de esta manera contará con mayores alternativas para tomar una sabia decisión.

Cobertura global

Puede colocar sus productos en cualquier región geográfica, con la garantía que siempre estarán a disposición de los clientes los modelos más recientes.

Al tener comunicación directa con el proveedor garantiza que los productos son lo que usted espera de ellos, abriendo la posibilidad de adecuación de productos y asegurando que las dudas que le surjan puedan ser resueltas de manera clara y pronta.

Personalización

Al tener trato directo con el mercado (intercambio de información en tiempo real) podrá determinar fácilmente la aceptación que su producto tiene, permitiéndole realizar ajustes que garanticen su venta. Asimismo, la posibilidad de detectar nichos se incrementa para usted.

Los catálogos y especificaciones de productos serán los más actuales, garantizando información precisa y existencias de productos.

Actualidad

Podrá ofrecer información actualizada y ampliada, mantener catálogo de existencias al día y controlar la información que se difunde de sus productos.

Pagará el precio justo por los productos, no la publicidad de los mismos ni las ganancias de múltiples intermediarios.

Mejor precio

Al reducir sus costos de operación (necesidad de catálogos impresos, distribución de ellos y demás gastos inherentes a la publicidad y colocación de productos) sus gastos disminuirán drásticamente, lo cual le permitirá ofrecer mejores precios y aumentar sus ganancias.

Posibilidad de reunir todos los elementos para tomar una buena decisión (información del producto, y posibilidad de clasificarlo); viabilidad de realizar una compra directa.

Facilidad

Al contar con una solución de Comercio Electrónico articulada el control de inventarios, facturación y demás tareas administrativas se realizarán de forma automática.

Además de las ventajas mencionadas es importante destacar la creación de relaciones más estrechas entre los participantes, debido a que hay una comunicación más personalizada y recíproca; mejora la fidelización del cliente y el servicio ya que facilita el acceso a información más reciente y el sitio está siempre abierto, las 24 horas del día todo el año; y el servicio post-venta es on-line. Queda claro que los negocios que aceptan transacciones vía Web pueden ganar una ventaja competitiva alcanzando a una audiencia mundial, a un costo muy bajo. Pero la Web plantea un grupo de características de seguridad único, donde los negocios deben tratar de minimizar todo riesgo. Los clientes someterán la información vía Web solamente si tienen la confianza de que su información personal, tal como números de tarjeta de crédito, datos financieros, o historial médico, son seguros, entonces, ya estamos hablando de la e-seguridad. 1.7.- E-SEGURIDAD

“El 40% de los Usuarios Falsean Datos al Registrarse en Servicios en Internet”33

Según un estudio de la empresa Trust-e, el 40% de los usuarios de la Red Internet falsean sus datos en los formularios de registro de servicios on-line. Tanto es así que se ha confirmado que el 97% de los internautas estadounidenses se muestran completamente reacios a exponer información personal en la Red. La Universidad Tecnológica de Georgia ha realizado un estudio sobre una población de 15.000 internautas en el que se ha apunta que un poco menos de la mitad de los internautas, un 40%, falsean sus datos en el momento de registrarse a servicios en Internet. En otra encuesta, esta vez realizado por Boston Consulting Group, para Trust-e (cuyo principal cometido es preservar la intimidad), es que la tendencia general de los

33 http://www.laempresa.net/noticias/2001/0106/20010601_13.htm



34

usuarios es mentir en el momento que se le solicitan datos de IPI. Así según Charles Jennnins y Lori Fena en un libro de recién publicación “la centésima ventana”, “No defendemos la mentira total como práctica, pero creemos que es una buena estrategia cuando no se conocen las normas de privacidad que aplica el sitio web".

“Seguridad para los Clientes de Comercio Electrónico”34

Los piratas quieren acceder a todos los sitios, pero hay algunos muy interesados en conocer la información de la tarjeta de crédito de los clientes de webs de Comercio Electrónico. Esta es la mayor pesadilla del vendedor y de algunos clientes inseguros. Pero hay cosas que se pueden hacer para tener seguridad en las transacciones on-line. El departamento de Amazon.com, Bibliofind, fue hackeado en febrero y en un primer momento, los propietarios pensaron que solamente su homepage había sido atacada. Pero cuando la compañía observó sus registros del servidor, se dio cuenta de que alguien había estado teniendo acceso a ficheros de datos de los clientes desde octubre, exponiendo los números de la tarjeta de crédito de 98.000 compradores de Bibliofind. “Detienen a Hacker35 de 63 años”36 La policía rusa detuvo a un hombre de 63 años acusado de dirigir una banda de hackers que usaban cibercafés de Moscú como centros de operación. Desde ahí el grupo de cinco personas – una de las cuales era un ex policía- robaban números de tarjetas de crédito occidentales que habían sido utilizadas para hacer compras en línea. Luego canalizaban ese dinero a Rusia a través de un sitio fraudulento que ellos mismos habían creado y donde supuestamente se vendía información sobre la industria maderera rusa. “Los Fraudes en Internet Causan Pérdidas de casi 23.450 Millones de Pesetas, lo Que Dificulta el E-Commerce”37 Los fraudes en la Red, que solamente en Estados Unidos ya han afectado a 56.000 personas, han causado unas pérdidas de casi 23.450 millones de pesetas y una desconfianza generalizada hacia el e-commerce. Subastas, fraudes electrónicos, falsificación, apropiación indebida de firma electrónica, empresas que no entregan las mercancías pagadas previamente, hackers, etcétera, parecen dar al traste con la ingente actividad del departamento del FBI dedicado a garantizar la transparencia de las prácticas comerciales en Internet. Por el momento, la "Operación ciber-pérdida" ha dado con 90 personas ante los jueces norteamericanos, pero aún queda más por hacer. “Revelan Cuantioso Fraude Informático38” Debido a una vulnerabilidad en un software de carro de compras llamado "PDG" que expuso toda la información de los clientes de 4,000 sitios web, se han reportado muchos casos de fraude en los clientes de un sitio web llamado SawyerDesign.com. A pesar que la falla fue detectada en abril y que el FBI emitió una alerta pública dirigida a los clientes del software, Regal Plastic Supply, los operadores de SawyerDesign.com, no se enteraron de la situación por lo que no aplicaron el parche que PDG Software emitió para reparar la vulnerabilidad. Alarmantes resultan las noticias anteriores, y no es para menos. Las intrusiones, sabotajes, fraudes y errores en sitios web pueden tener consecuencias muy perjudiciales para todos los participantes de los negocios electrónicos. Para las empresas que están empezando a crear una presencia en Internet, las alteraciones de su página web o los errores en sus procesos supone una amenaza muy importante, ya que pueden afectar muy seriamente la credibilidad, imagen y reputación de toda la compañía. Los daños causados pueden ir desde la pérdida de la confianza de los clientes a una disminución de ingresos. Una tienda online puede perder buena parte de su clientela si los compradores la ven insegura. Las instituciones financieras, que ponen gran énfasis en la seguridad y credibilidad, pueden perder una parte significativa de su volumen de negocio debido a haber sufrido violaciones de seguridad. Por supuesto, la pérdida de la confianza y la lealtad del cliente en este tipo de organizaciones tiene implicaciones muy serias. 1.7.1.- Aspectos en la seguridad de negocios electrónicos Para satisfacer eficazmente las necesidades de seguridad de una organización, y evaluar y elegir entre distintas políticas y productos de seguridad, el responsable necesita algún modo sistemático de definir los requerimientos en materia de seguridad y las formas de acercamiento. Un acercamiento posible es considerar tres aspectos:

34 http://www.elcorreodigital.com/cibernauta/datos/art/01053104.htm 35 Existe una confusión entre hackers y crakers , es necesario aclarar que los hackers no son dañinos, para mayor información consultar el CD que se adjunta a esta tesis. 36 (La Tercera, Mundo Digital, 28/05/2001) 37 http://www.comercioelectronico.enlaweb.com/ZT_ComercioElectronico_News_detail.asp?IdNews=3376 38 http://www.diarioti.com/noticias/2001/may2001/15195124.htm



35

Servicios Aquéllos que procuran la seguridad de los sistemas de procesamiento de datos y la transferencia de información. Mecanismos Aquellos diseñados para detectar, prevenir o recuperarse de un ataque. Ataques Cualquier acción que comprometa la seguridad de la información perteneciente a una organización. Servicios Podemos pensar en servicios de seguridad en la información haciendo una analogía con los tipos de funciones normalmente asociadas con los documentos físicos. Gran parte de la actividad humana, en áreas tan diversas como el comercio, política exterior, acción militar e interacciones personales, dependen de la utilización de documentos, y en la confianza que las partes de una transacción depositan en la integridad de los mismos. Los documentos llevan firmas y fechas, pueden no estar protegidos contra su divulgación, alteración o destrucción, pueden haber sido otorgados ante un notario o testigos, etc. Dado que los sistemas informáticos se tornan cada día más esenciales en la conclusión de los negocios, la información electrónica asume muchos de los roles tradicionales reservados a los documentos basados en papel. En el mismo sentido, las funciones tradicionalmente asociadas a los documentos basados en papel deben lograrse en los documentos electrónicos. La Seguridad en la red implica la adopción de algunos pocos servicios que resumen las diversas funciones requeridas:

• Confidencialidad Significa la protección de los datos transmitidos contra ataques pasivos39. Pueden identificarse diversos niveles de protección con relación al contenido de un mensaje. Los servicios más amplios protegen todos los datos transmitidos entre dos usuarios durante un período de tiempo determinado. Por ejemplo, si se ha establecido un circuito virtual entre dos sistemas, esta protección comprenderá todos los datos transmitidos dentro de dicho circuito virtual. Las formas más específicas de este servicio incluyen, por ejemplo, la protección de un único mensaje o de un campo específico dentro de un mensaje. Estas últimas formas son menos útiles que las generales o amplias, resultando más complejas y onerosas en cuanto a su implementación. Otro aspecto de la confidencialidad es la protección del tráfico contra el análisis. Esto requiere que el atacante no pueda observar el origen, el destino, la frecuencia, la longitud y otras características del tráfico de información a través de los canales de comunicación.

• Autenticación Este servicio procura asegurar que una comunicación es auténtica. Tratándose de un mensaje, la función del servicio es la de asegurar al que lo recibe que el mensaje proviene del origen o persona del que dice provenir.

• Integridad Al igual que sucede con la confidencialidad, este servicio puede ser aplicado a un canal de mensajes, a un mensaje determinado o un campo específico de un mensaje. Los servicios amplios aseguran que los mensajes son recibidos como han sido enviados, y que no han sufrido duplicación, agregados o modificaciones. Comprende asimismo la destrucción de la información. Cuando se trata de la aplicación a un mensaje determinado o parte del mismo, el servicio solo provee protección contra la modificación del mensaje.

• No Repudio Previene tanto al emisor como al receptor de un mensaje de la posibilidad de negar su transmisión o recepción. Es decir que cuando un mensaje es enviado, el receptor pueda probar que el mismo fue enviado por el emisor. Por otro lado, cuando un mensaje es recibido, el emisor pueda probar que fue recibido por el receptor.

39 En éstos el propósito del oponente es obtener información durante su transmisión.



36

• Control de acceso Consiste en la capacidad de limitar o controlar el acceso a un sistema comunicacional.

Mecanismos No existe un sólo mecanismo que provea todos los servicios enumerados. Sin embargo, se puede afirmar que existe un elemento que participa de todos los mecanismos en uso: las técnicas criptográficas. El encriptado es el medio más común utilizado para proveer de seguridad a la información. Ataques La Seguridad en la red tiene como objetivo prevenir los ataques, y si ello no resultare posible, detectarlos, en aquellos sistemas donde la información no tiene existencia física. Los ataques más comunes pueden ser: ➠ Acceder a información sin estar autorizado; ➠ Tomar el lugar de otra persona a efectos de originar información fraudulenta,

modificar información legítima, acceder a información reservada o autorizar transacciones;

➠ Desviar responsabilidad por información originada por el intruso; ➠ Asegurar haber recibido información de otra persona, habiendo sido creada por el

intruso; ➠ Asegurar haber enviado, en una fecha u hora determinada, información que en

realidad nunca fue enviada, o transmitida en una fecha u hora diferente; ➠ Negar la recepción de información que en realidad fuera recibida, o asegurar

haberla recibido en fecha u hora distinta a la verdadera; ➠ Ampliar la licencia o autorización legítima del intruso, por ejemplo para obtener

acceso a otro tipo de información, vedada para ese tipo de licencia; ➠ Modificar, sin estar autorizado para ello, la licencia o autorización de otros; ➠ Conocer quien accede a qué información; ➠ Provocar que otros violen un protocolo introduciendo información incorrecta; ➠ Impedir la comunicación entre otros usuarios, por ejemplo produciendo

interferencias que provoquen que comunicaciones auténticas sean rechazadas.

Los tipos de ataques que pueden sufrir los sistemas o redes pueden caracterizarse observando la función del sistema como proveedor de información. En general, existe una corriente de información que fluye de un origen, archivo o región de una memoria, a un destino, como podría ser otro archivo o usuario.

• Interrupción. Parte del sistema es destruido o se vuelve indisponible o inutilizable. Consiste en un ataque a la disponibilidad. Como ejemplos se pueden incluir la destrucción de una pieza de hardware, cortar una comunicación telefónica o poner fuera de servicio un sistema de administración de archivos (mediante virus).

• Intercepción. Un sujeto no autorizado accede a un archivo. Consiste en un ataque a la confidencialidad. El intruso puede ser una persona, un programa o una computadora. Como ejemplos podemos nombrar la interceptación de líneas telefónicas para capturar datos en una red (Nº de tarjetas de créditos) y la copia ilícita de archivos o programas.

• Modificación. El intruso no sólo accede al sistema sino que además puede manipularlo. Este es un ataque a la integridad. Se puede citar como ejemplos a la modificación de valores de un archivo, la alteración de un programa para que funcione de forma diferente a la normal, la modificación de páginas web y la adulteración de mensajes transmitidos en una red.

• Fabricación. El intruso ingresa al sistema objetos o información extraña al mismo. Nos encontramos con un ataque a la autenticidad. Podemos dar como ejemplos la inserción de mensajes en una red o la adición de entradas en un archivo.

Los Cuadros siguientes muestran en forma gráfica lo explicado:



37

1.7.2.- “Asegurar” la seguridad de las transacciones electrónicas En transacciones personales, la seguridad se basa en señales físicas. Los consumidores han venido a aceptar los riesgos de usar tarjetas de crédito en lugares como tiendas grandes porque pueden ver y tocar los productos y hacer juicios sobre la tienda misma. En Internet, sin esas señales físicas, es mucho más difícil determinar la seguridad de un negocio. Estando enterados de los riesgos de transacciones basadas en Internet, los negocios pueden adquirir las soluciones de la tecnología que superan esos riesgos:

• Spoofing- el bajo costo de creación del sitio Web y la facilidad de copiar las páginas existentes hace todo demasiado fácil para crear sitios ilegítimos que simulan ser publicados por organizaciones establecidas. De hecho, los artistas han obtenido ilegalmente números de tarjetas de crédito creando diseños de web profesionales que son una réplica de negocios legítimos.

• Acceso No Autorizado - cuando la información de la transacción se transfiere “en la red”, los piratas pueden interceptar las transmisiones para obtener la información sensible de sus clientes.

• El Competidor No Autorizado de la Empresa A o el cliente furioso puede alterar un sitio Web de modo que rechace servicios a los clientes potenciales o cause mal funcionamiento.

• La alteración de los datos - el contenido de una transacción se puede interceptar y alterar en el camino, premeditada o accidentalmente. Los nombres del usuario, los números de la tarjeta de crédito, y las cantidades de dinero enviadas “en la red” son todos vulnerables a tal alteración.

• Errores – por descuido, al efectuar un proceso en forma indebida o al no velar por la seguridad en el resguardo de los datos, en ocasiones información confidencial queda disponible en la red.

La seguridad en Internet, en definitiva, consiste en implementar mecanismos para que cuando se reciba un mensaje o se realice una transacción por medios electrónicos, se asegure la integridad del contenido y la identidad del remitente y del receptor. Las contraseñas y palabras clave ya no son un mecanismo suficientemente fiable y seguro, ya que éstas pueden ser interceptadas durante su transmisión, de lo que desgraciadamente nos damos cuenta muy tarde o cuando la prensa se hace eco de un caso de estafa electrónica. Se trata de un problema de mentalización y sentido común. ¿De qué vale disponer de un canal de alta tecnología si ello redunda en posibles pérdidas y falta de seguridad? Ningún negocio en Internet podría decir que su sitio es 100% seguro. Cuando se habla de seguridad en Internet surgen infinidad de preguntas y términos como: integridad, autentificación, encriptación, autoridad de certificación, claves, certificados, firmas digitales y un sinfín de acrónimos. El primer concepto fundamental en este asunto es el de encriptación o cifrado. 1.7.3.- Encriptación (proviene de criptografía)

- ¿Qué significa “habla, amigo y entra”? - preguntó Merry. -Es bastante claro -dijo Gimli-. Si eres un amigo, dices la contraseña y las puertas se

abren y puedes entrar. -Sí- dijo Gandalf-, es probable que estas puertas estén gobernadas por palabras. . .

El Señor de Los Anillos J.R.R. Tolkien



38

El objetivo básico de la criptografía40 es encontrar sistemas que permitan hacer llegar determinada información considerada secreta, desde un lugar origen a otro destino, de forma tan segura que, si el mensaje es interceptado, un atacante no pueda reconocer el mensaje. Consiste en aplicar un proceso matemático o algoritmo a un texto legible para convertirlo en algo totalmente ininteligible. Este proceso matemático (algoritmo) necesita de una clave tal, que al aplicar el mismo algoritmo a un texto con claves diferentes, el resultado es diferente y único para cada clave. Al considerar el proceso de surgen dos tipos de sistemas: sistemas simétricos (o de clave única) y sistemas asimétricos (o de clave pública, PKI= Public Key Infrastructure). En los sistemas simétricos la clave para utilizada para descifrar es la misma que la que se utilizó para cifrar o es una variación directa de ella. Para encriptar un mensaje hay que tener el algoritmo de encriptación, un programa y una clave personal, que tiene que ser distribuida a todas aquellas personas a las que pretendamos enviar mensajes encriptados, ya que ellos deben utilizarla para desencriptar. Si alguien no autorizado consigue esa clave, podrá leer todos los mensajes encriptados con ella, lo que se considera un gran agujero de seguridad. Veamos un ejemplo: Supongamos que tenemos una caja con una cerradura. Si hacemos una sola copia de la llave y se la damos a nuestro interlocutor, disponemos de un mecanismo para intercambiar objetos o mensajes de forma confidencial y segura con él. De esta forma se puede comprobar que el envío lo hemos hecho nosotros porque somos los únicos que hemos podido introducir el documento (el uso de la caja actúa como firma) y además sabemos que nadie más puede conocer su contenido mientras viaja (uso como sobre seguro). El mayor problema aparece cuando deseamos que un conjunto numeroso de interlocutores puedan mantener comunicaciones entre ellos. En este caso son necesarias muchas cajas y el doble de llaves. No pueden tenerse cajas y llaves iguales para interlocutores distintos, ya que ello conllevarla el riesgo de suplantación o de pérdida del secreto en el mensaje. Este mecanismo es práctico para establecer un sistema de Firma Electrónica, sólo si se trata de comunicar mensajes con un único interlocutor y se emplea ampliamente en Banca. El responsable de las claves, comunica mediante un sistema seguro, la clave secreta al usuario. Además, custodia esa clave de forma segura en su sistema informático. Cuando recibe un mensaje cifrado del usuario, puede descifrarlo utilizando la misma clave, con lo cual tiene la certeza de que proviene ciertamente de dicho usuario. Debido a las falencias del sistema de encriptación simétrica es que aparecieron los sistemas asimétricos. En ellos cada usuario dispone de dos claves, una privada y otra pública, de tal forma que lo que uno cifra, la otra lo descifra. Lo importante en este proceso es que la clave privada sólo la conoce el usuario propietario de ella, y es la pública la que se distribuye para que el resto del mundo la utilice para enviarnos mensajes. De esta forma cuando un usuario desea mandarnos un mensaje protegido, cifra el mensaje con nuestra clave pública, para que sólo nosotros, únicos conocedores de la clave secreta podamos descifrar el mensaje. Si alguien capta el mensaje no podrá descifrarlo, ya que sólo se descifra con la clave privada y está en nuestra posesión. De esta forma la clave pública se utiliza para encriptar y la privada para desencriptar, es decir, si queremos enviar un mensaje cifrado a una persona, debemos conocer su clave pública. El cifrado asimétrico es difícil de entender, y, a veces, incluso difícil de creer. Para intentar explicarlo, sin recurrir a las matemáticas, recurriremos de nuevo a un símil de cajas y de llaves. En este caso, no utilizamos cajas normales, sino cajas de mago. Supongamos que tengo una caja de doble fondo, cuyo anterior propietario era un mago, con una tapa que se abre de dos formas distintas con diferentes llaves. La

40 La palabra criptografía proviene del griego kryptos, que significa esconder y gráphein, escribir, es decir, escritura escondida. Mayor información en el CD que acompaña la tesis.



39

propiedad de la caja es que lo que se introduce cuando se abre con una llave pasa a un compartimento al que solo se puede acceder si se utiliza la otra llave. En esto, ambas llaves son equivalentes, es decir, lo que se introduce usando una llave sólo puede recuperarse utilizando la otra. Si una de las llaves la guardo de la forma más segura de que soy capaz, y de la otra hago copias que reparto ampliamente o que difundo a través de un medio público, cualquiera que tenga una de esas llaves podrá entregarme sólo a mi un objeto sin que los demás lo conozcan. Sólo yo seré capaz de recoger el envío. En ese caso, la caja se utiliza como sobre seguro. Por otro lado, si decido demostrar que sólo yo he tenido acceso a determinado dato u objeto, puedo introducirlo con mi llave en la caja. Cualquiera que abra la caja y encuentre el objeto, sabe que sólo yo lo he podido introducir allí. En este caso, la caja es la herramienta que me permite realizar mi firma electrónica. Si cada persona dispone de una caja como la mía y reparte las llaves públicas a las demás, todos disponemos de un sistema para enviarnos mensajes de forma segura o para firmar envíos. En el caso de 1000 personas, necesitamos 1000 cajas y cada uno tenemos nuestra clave privada y las claves públicas de las otras 999. Para poder comparar, hay que pensar que con el sistema de cifrado simétrico, con cajas convencionales, serían necesarias 499.500 cajas y el doble de llaves (Combinaciones de 1.000 elementos tomados de dos en dos). Para efecto de negocios electrónicos el cifrado asimétrico es el utilizado. 1.7.4.- La Firma Electrónica

La firma manuscrita permite certificar el reconocimiento o conformidad sobre un documento por parte del firmante, de forma que tiene una gran importancia desde el punto de vista legal. Aunque existen diferentes formas de mostrar o demostrar conformidad con diferentes actuaciones, o de cerrar acuerdos entre personas o empresas, la firma manuscrita, tiene un reconocimiento particularmente alto. Se considera que la firma, pese a que puede ser falsificada, tiene

peculiaridades que la hacen fácil de realizar, fácil de comprobar y vincula a quien la realiza. La firma manuscrita tiene las siguientes propiedades:

• Sólo puede ser realizada por una persona • La puede comprobar cualquier persona, con la referencia de una muestra

Cuando la firma se realiza sobre un documento, la propia irreproducibilidad del papel y de las tintas permite distinguir cuando se trata del documento original y cuando se trata de una fotocopia o de cualquier otra reproducción. El problema del reconocimiento de firma se resuelve, cuando ésta es manuscrita, mediante la comparación con una muestra (la del carné de identidad, la de la licencia de conducir). Ocasionalmente, puede solicitarse una autentificación de firma, que se obtiene en los bancos y otras entidades. Así que nuestra firma figura en el carné de identidad, en el carné de conducir, en nuestras tarjetas de crédito, en las solicitudes y formularios que completamos, en los contratos que establecemos, en las certificaciones que hacemos. La firma figura en todas las ocasiones en las que debe reconocerse conformidad o presencia del firmante. Algo que es tan fácil de hacer y comprobar en el mundo real, no es tan sencillo en el mundo virtual. Requiere el uso de la Criptografía y el empleo de propiedades matemáticas de los mensajes codificados. La firma electrónica se basa en los sistemas criptográficos de clave pública. En estos sistemas se tiene un algoritmo que toma un texto en claro y lo cifra con una clave. El texto cifrado se restituye al texto original mediante otra clave distinta y vinculada a la de cifrado. Si la clave de cifrado (Privada) sólo la tiene una persona y la de descifrado (Pública) la conoce todo el mundo, lo que cifre esa persona podrá ser utilizado como su firma electrónica, ya que sólo ella la puede realizar y en cambio todo el mundo la puede reconocer. Con la clave privada que mencionamos anteriormente se firma digitalmente un mensaje para asegurar la identidad del autor del mensaje (autentificación) y que no ha existido manipulación posterior de los datos (integridad). La firma digital o electrónica al igual que su similar manuscrita, pretende hacer responsable a una persona de cierta transacción o documento enviado Además de los anteriores atributos, un documento firmado es capaz de mantener la confidencialidad, esto se debe a que permite que el documento sólo sea leído por los



40

destinatarios. Además, una vez firmado, el documento no puede ser repudiado por el que estampó su rúbrica. Una firma digital es un bloque de caracteres que acompaña a un documento, y el proceso de la firma digital lo realiza un software (por ejemplo, PGP, Eudora, Outlook…), que aplica un algoritmo sobre el texto firmado, obteniendo un número de longitud fija y único para ese mensaje. Este número, cuya longitud oscila entre 128 y 160 bits, se somete a continuación al cifrado mediante la clave privada del autor. Al recibir el mensaje se necesita disponer de la clave pública del firmante para desencriptar el extracto y comprobar la integridad del documento; esto lo hace aplicando un algoritmo al texto y comparando el extracto resultante con el recibido; mediante la clave pública verifica la validez de la firma en segundos. Si alguien intercepta un mensaje cifrado y lo modifica, al llegar al destinatario y comprobar la firma digital, observará que ha sido modificado, ya que el cálculo del extracto no se corresponderá con el original. Lógicamente la encriptación y la firma digital no son excluyentes. Funciones de Seguridad Un sistema de Firma Electrónica permite cumplir las siguientes funciones de seguridad:

Autenticación de origen.- Es posible saber que el emisor del mensaje es, efectivamente, quien dice ser.

Irrefutabilidad de origen.- Quien emite el mensaje no puede negar haberlo hecho.

Integridad de contenido.- No es posible que el contenido del mensaje sufra ninguna modificación accidental o intencionada.

Integridad de secuencia.- No es posible incorporar o duplicar mensajes suplantando al emisor legítimo, ni eliminar alguno de los efectivamente originados por él.

Irrefutabilidad de recepción.- Quien recibe el mensaje no puede negar que lo ha recibido.

Confidencialidad.- El mensaje es ininteligible salvo para el destinatario. Unicidad de fin.- El mensaje sólo puede ser utilizado para lo que fue destinado, y

su replicación no surte el efecto del original. Temporalidad.- El documento sólo puede ser utilizado dentro de un período de

tiempo, y es posible identificar inequívocamente el momento de su creación. Acreditación.- El documento lo emite o lo ratifica una entidad o persona con

capacidad suficiente y reconocida para hacerlo. Además existen otros principios de seguridad que igualmente se satisfacen, como disponibilidad, auditabilidad, fiabilidad y evidencia legal.

Usos de la Firma Electrónica De forma semejante a los compromisos adquiridos con la firma manuscrita, que se valoran de forma diferente según los documentos a los que se incorpora, la firma electrónica irá adquiriendo nuevas aplicaciones en el futuro. En la actualidad, la firma electrónica se utiliza como llave del sistema de telefonía celular digital, con la peculiaridad de que el diseño y administración del sistema se reserva a la operadora de comunicaciones. En este caso la llave electrónica autentifica al usuario y constituye su compromiso de pago por los servicios de tráfico recibidos. Contratos, órdenes de compra, declaraciones de impuestos (ya en uso) o solicitud de patentes y marcas son otras de las operaciones que abandonarían el papel para ponerse “en Línea”; los Bancos e instituciones financieras también serán beneficiadas, pues la firma digital va a garantizar que quienes hagan operaciones por la red se sientan más seguros al saber con quién están negociando; los inversionistas podrán comprar y vender acciones en Internet firmando electrónicamente estas transacciones; las declaraciones y pagos a Instituciones privadas y públicas serán validadas por este medio; los certificados de avalúo fiscal disponibles para “bajar” de Internet, etc. La firma electrónica puede ser el sistema común de pago del futuro, cabe pensar en una tarjeta chip que constituya el dispositivo de cifrado y de custodia de claves, y que mediante un número secreto autentifique a su usuario (para evitar su uso por terceros), si esta tarjeta se utiliza en los documentos electrónicos, certificará el compromiso adquirido por el firmante respecto a ellos, si se utiliza en transacciones económicas de bajo importe, no existe necesidad de comunicación con el banco y equivale al tradicional "apúntalo en mi cuenta" de las tiendas de barrio.



41

Igualmente, en Internet se ha hecho muy popular el empleo de los protocolos de seguridad41 SSL (Secure Sockets Layer, Capa de Comunicaciones Segura) y SET (Secure Electronic Transactions, Transacciones Electrónicas Seguras), que hacen uso de un sistema de firma electrónica que permite garantizar la identidad del centro servidor web. Además gracias a este protocolo también se tiene la garantía de que las comunicaciones intercambiadas entre el servidor web y el visualizador se realizan de forma cifrada. Ya se ha analizado la firma electrónica, pero todavía es necesario un elemento fundamental: la Autoridad de Certificación. Para ver su necesidad, podemos plantearnos el caso en el que dos personajes, Yolanda y Javier, se intercambian sus claves públicas mediante un sistema de comunicaciones. Es posible que se produzca la intercepción de los mensajes y que tanto Yolanda como Javier queden confundidos acerca de sus identidades y claves. Una vez intercambiadas las claves a través de este atacante, sería posible para él decodificar y recodificar los mensajes sin que Yolanda ni Javier se percataran de que todos sus mensajes son conocidos y suplantados por el atacante. Y es que los sistemas de encriptación y firma digital tienen un punto débil: nadie asegura que la clave pertenece a quién dice poseerla, y en este mundo de hoy claro está que no podemos confiar ciegamente en personas o entidades que no conocemos. 1.7.5.- Autoridades de Certificación (CA) Para evitar engaños a través de suplantación por parte de un interlocutor ilegítimo que se inserta en el circuito de intercambio de claves, se cuenta con una entidad reconocida por parte de los participantes denominados Autoridades de Certificación. Esta entidad de certificación recibe la petición de un participante para que emita un certificado que garantice que su clave pública es precisamente la suya, para lo cual realiza las indagaciones necesarias que permitan confirmar la identidad del peticionario. Cuando tiene certeza de esta identidad emite un certificado en el que se recogen los datos de identificación e inseparablemente la clave pública del peticionario. En el certificado, todos estos datos van cifrados con la clave privada de la entidad de certificación. Dado que la clave pública de la entidad de certificación es conocida por todos los interlocutores, cualquiera es capaz de extraer los datos del certificado. Sin embargo, nadie es capaz de suplantar a la entidad de certificación emitiendo certificados falsos, ya que carece de su clave privada. Una vez que Yolanda y Javier cuenten con sus respectivos certificados, ya no intercambiarán las claves a través del medio de transmisión, sino que intercambiarán sus certificados. Volviendo al símil de las cajas, la entidad de certificación comunica su clave pública a través de los periódicos y proporciona pruebas de que es una entidad de confianza por lo que sus certificados pueden ser considerados válidos. Utiliza su caja, cifrada con su llave privada para proporcionar la información sobre la identidad que se certifica. Entre la información proporcionada está la clave pública asociada a la identidad del certificado. A partir del certificado, es posible, por tanto, obtener la clave pública de nuestro interlocutor y, a partir de allí reconocer su firma o tener la posibilidad de enviarle mensajes confidenciales. Cuando un participante comunica a otro su certificado, indica la entidad de certificación utilizada. La llave pública de la entidad de certificación debe ser conocida por todos y es la única que necesita ser conocida previamente. Habitualmente está incorporada al software de realización y verificación de firmas electrónicas, o es posible obtenerla a partir de sistemas de difusión públicos, tales como servidores Web. Por lo dicho hasta ahora, vemos que la entidad de certificación debe ser una entidad de confianza (Trusted Third Party), conocida ampliamente, cuya política de certificación incluya cláusulas aceptables por los diferentes interlocutores, que permita, entre otras cosas, la verificación de identidad, que dé información sobre uso y validez de los certificados y que realice gestión de certificados revocados (para impedir que claves privadas expuestas puedan tener vigencia) y ofrezca la lista de certificados expedidos. Dado que en una red existe más de una entidad de certificación, la selección de las autoridades de certificación adecuadas para cada uso vendrá dada por las características de su política de certificación, o por el reconocimiento de alguna de ellas por parte de entidades que aceptan sus certificados. Se están desarrollando sistemas jerárquicos en los cuales todas las autoridades de certificación que pertenezcan a una jerarquía dada puedan realizar certificaciones mutuas. Los parámetros que definen a una entidad de certificación son su dirección de red (nombre distinguido) y su clave

41 Se explicarán más adelante.



42

pública. Además es necesario especificar en su identificación: entidad emisora del certificado, departamento u organización responsable de la custodia de la clave privada y ubicación (ciudad, país). Ejemplos de certificados digitales

Entidad de registro Puesto que al realizar la comprobación de la identidad del usuario en la primera certificación es necesario realizar unas actividades especiales, la entidad de certificación lleva asociada una entidad de registro. Esta entidad de registro mantiene información sobre los aspectos relevantes del registro y sobre los procedimientos de identificación utilizados, así como la vinculación del registro con la identidad que garantiza la entidad de certificación. Además de este tipo de entidades de registro, existen otras, que demuestran la realización en el tiempo de determinados actos electrónicos: certificaciones en presencia de un fedatario (como en el caso de contratos firmados ante notario), certificaciones de acreditación respecto a la capacidad suficiente para obrar o para representar a terceros, registro de contratos o transmisiones patrimoniales. Ya existen algunos casos concretos, como el que permite la transmisión y negociación de acciones mediante el sistema de anotaciones en cuenta, que se utiliza en el Mercado de Valores. Algunas de estas entidades tienen actividades independientes y adicionales a las de las autoridades de certificación, que se centran en la autenticación de los intervinientes y las funciones derivadas. 1.7.6.- Protocolos de Seguridad Un protocolo de seguridad es un mecanismo que permite que la transmisión de datos a través de la red se haga de forma segura y sin riesgo de que terceros tengan acceso a dicha información para fines fraudulentos (crackers). También pueden ser descritos como un convenio sobre un conjunto de reglas para el intercambio de información entre computadoras con el que se establecen parámetros específicos que garantizan la seguridad de la transacción. Cualquier protocolo procura cumplir los criterios de seguridad, como la integridad, la confidencialidad, la autenticación y el no rechazo42, mediante sus diferentes características.

42 Estos criterios son: Confidencialidad: Ninguna persona ajena a la transacción puede tener acceso a los datos. Más aún, las entidades implicadas en la compra no deberían conocer más datos que los imprescindibles para realizar su función. De este modo, el Vendedor no tendría porque tener acceso a los datos financieros del cliente y el banco tampoco debería conocer la lista de los artículos adquiridos. Integridad: Ningún dato puede ser modificado ni durante ni después de la conexión. Autentificación: Todas las entidades participantes en la transacción deben estar debidamente autentificadas antes de comenzar la compra. Por razones de privacidad, el cliente solo debería garantizar que es el legitimo propietario de la Tarjeta de Crédito, sin necesidad de hacer publica su identidad. No Repudio: Debe garantizarse que una vez finalizada la compra ninguna de las partes pueda negar haber participado en ella. Es decir, al finalizar la transacción debe quedar algo equivalente a un recibo de compra firmado.



43

Las características de los protocolos se derivan de las múltiples posibilidades con que se puede romper un sistema, es decir, robar información, cambiar información, leer información no autorizada, y todo lo que se considere no autorizado por los usuarios de una comunicación por red. Sobre la seguridad por Internet se deben de considerar los siguientes tres componentes: seguridad en el browser (Netscape o Explorer), la seguridad en el Web server (el servidor al cual nos conectamos) y la seguridad de la conexión. Es un hecho de todos conocido que Internet constituye un canal de comunicaciones inseguro, debido a que la información que circula a través de esta vasta red es fácilmente accesible en cualquier punto intermedio por un posible atacante. Los datos transmitidos entre dos nodos de Internet (por ejemplo su computador y el servidor web desde el que quiere descargar una página) se segmentan en pequeños paquetes que son encaminados a través de un número variable de nodos intermedios hasta que alcanzan su destino. En cualquiera de ellos es posible leer el contenido de los paquetes, destruirlo e incluso modificarlo, posibilitando todo tipo de ataques contra la confidencialidad y la integridad de sus datos. El símil más conocido y gráfico para ilustrar esta situación es el de la tarjeta postal, que puede ser fisgada por los empleados de correos, por los vecinos o por la familia, por lo que no suele confiársele información sensible. Ahora bien, ¿qué se puede hacer en el caso de que se necesite enviar datos confidenciales? Se utilizaría un sobre cerrado y lacrado. En el caso de Internet, la solución más comúnmente adoptada para construir el análogo digital de este sobre se basa en la utilización del protocolo SSL. Qué es SSL SSL (Secure Sockets Layer) fue diseñado y propuesto en 1994 por Netscape Communications Corporation, proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP. SSL goza de gran popularidad, por lo que se encuentra ampliamente extendido en Internet. Viene soportado por los dos principales navegadores del mercado, Netscape Navigator 3.0 ó superior, así como por Internet Explorer 3.0 ó superior. No se necesita realizar ninguna acción especial para invocar el protocolo SSL, basta con seguir un enlace o abrir una página cuya dirección empieza por https://. El navegador se encarga del resto. Si un usuario somete la tarjeta de crédito o la otra información a un sitio con una identificación válida del servidor y una conexión del SSL, la advertencia no aparece. La conexión segura es invisible, haciendo la experiencia en línea de las compras más agradable.. Los visitantes pueden estar seguros que las transacciones con su sitio son aseguradas buscando las señales siguientes:

El URL en la ventana de browser " https " al principio, en vez del HTTP En el Netscape Communicator, el candado en la esquina izquierda más baja de la

ventana del navegador será cerrado en vez de abierto. En Internet Explorer, un icono del candado aparece en la barra en

el fondo de la ventana del navegador. Cómo funciona SSL Durante el protocolo SSL, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes fases (de manera muy resumida):

1. La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. El navegador le informa al servidor de los algoritmos que posee disponibles. Normalmente se utilizarán los más fuertes que se puedan acordar entre las dos partes. En función de las posibilidades criptográficas del navegador, el servidor elegirá un conjunto u otro de algoritmos con una cierta longitud de claves.

2. La fase de autenticación, en la que el servidor envía al navegador su certificado x.509v3 que contiene su clave pública y solicita a su vez al cliente su certificado X.509v3 (sólo si la aplicación exige la autenticación de cliente).

3. La fase de creación de clave de sesión, en la que el cliente envía al servidor una clave maestra a partir de la cual se generará la clave de sesión para cifrar los datos intercambiados posteriormente haciendo uso del algoritmo de cifrado simétrico acordado en la fase 1. El navegador envía cifrada esta clave maestra



44

usando la clave pública del servidor que extrajo de su certificado en la fase 2. Posteriormente, ambos generarán idénticas claves de sesión a partir de la clave maestra generada por el navegador.

4. Por último, la fase Fin, en la que se verifica mutuamente la autenticidad de las partes implicadas y que el canal seguro ha sido correctamente establecido. Una vez finalizada esta fase, ya se puede comenzar la sesión segura.

De ahí en adelante, durante la sesión segura abierta, SSL proporciona un canal de comunicaciones seguro entre los servidores Web y los clientes (los navegadores) a través del cual se intercambiará cifrada la información relevante, como el URL y los contenidos del documento solicitado, los contenidos de cualquier formulario enviado desde el navegador, las cookies enviadas desde el navegador al servidor y viceversa y los contenidos de las cabeceras HTTP. Uso de SSL en Comercio Electrónico SSL constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de Comercio Electrónico. Su mayor mérito radica en ofrecer respuesta al principal problema que afronta el comercio en línea: la renuencia de los usuarios a enviar su número de tarjeta de crédito a través de un formulario web por el temor de que caiga en manos de un cracker y por la desconfianza generalizada hacia Internet. El usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar con su banco las compras. Sin embargo, este enfoque, aunque práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura. A medida que el comercio crece, esta arquitectura podría llegar a resultar difícil de expandir o de incorporar nuevas tecnologías y componentes a medida que vayan apareciendo. Existen una serie de desventajas43 al utilizar exclusivamente SSL para llevar adelante ventas por Internet:

• Por un lado, SSL ofrece un canal seguro para el envío de números de tarjeta de crédito, pero carece de capacidad para completar el resto del proceso comercial: verificar la validez del número de tarjeta recibido, autorizar la transacción con el banco del cliente, y procesar el resto de la operación con el banco adquiriente y emisor, para suplir esta carencia la empresa debe utilizar otros mecanismos como es el sistema Webpay de transbank.

• Por otro lado, es importante recalcar que SSL sólo garantiza la confidencialidad e integridad de los datos en tránsito, ni antes ni después. Por lo tanto, si se envían datos personales al servidor, entre ellos el ya citado número de tarjeta de crédito, la dirección, el RUN, etc., SSL solamente asegura que mientras viajan desde el navegador hasta el servidor no serán modificados ni espiados. Lo que el servidor haga con ellos, está ya más allá de la competencia de este protocolo. Los datos podrían ser manipulados irresponsablemente o caer en manos de un atacante que asaltara el servidor con éxito.

• Además, SSL permite realizar ataques sobre servidores de comercio creados deficientemente, para averiguar números de tarjeta reales. Un programa escrito por el cracker va probando números de tarjeta válidos, pero que no se sabe si corresponden o no a cuentas reales, realizando compras ficticias en numerosos servidores. Si el número de tarjeta no sirve, el servidor devuelve un error, mientras que si es auténtico, el servidor lo acepta. El programa entonces cancela la compra y registra el número averiguado, para seguir adelante con el proceso. De esta forma, el cracker puede hacerse en breve con cientos de números auténticos.

Todos estos inconvenientes convierten a SSL en una solución deficiente desde el punto de vista del pago electrónico, lo cual no significa que no se deba utilizar ni que no sea útil en otras muchas facetas igualmente necesarias de la actividad empresarial. Al proporcionar un canal seguro de comunicaciones, el comerciante puede ofrecer al cliente de manera confidencial una serie de servicios para estrechar las relaciones de confianza: autenticación del cliente frente al comercio, trato personalizado, evitar que terceras partes espíen las compras de los clientes, intercambio de información privada, etc.

43 Mayor información en el apartado sobre seguridad informática en el CD adjunto.



45

Dado que SSL es un protocolo seguro de propósito general, que no fue diseñado para el comercio en particular, se hace necesaria la existencia de un protocolo específico para el pago. Este protocolo existe y se conoce como SET. Proceso mediante protocolo SSL

SET Transacciones Electrónicas Seguras (Secure Electronic Transaction o SET) es un protocolo estandarizado y respaldado por la industria, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet. El estándar SET fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, RSA, VeriSign y otras. Qué servicios ofrece SET

• Autenticación: Todas las partes implicadas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden autenticarse mutuamente mediante certificados digitales. De esta forma, el comerciante puede asegurarse de la identidad del titular de la tarjeta y el cliente, de la identidad del comerciante. Se evitan así fraudes debidos a usos ilícitos de tarjetas y a falsificaciones de comercios en Internet imitando grandes web comerciales. Por su parte, los bancos pueden verificar así las identidades del titular y del comerciante.

• Confidencialidad: La información de pago se cifra para que no pueda ser espiada. Es decir, solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado, debe recurrirse a un protocolo de nivel inferior como SSL.

• Integridad: Garantiza que la información intercambiada, como número de tarjeta, no podrá ser alterada de manera accidental o maliciosa mientras viaja a través de la red. Para lograrlo se utilizan algoritmos de firma digital.

• Gestión del pago: SET gestiona tareas asociadas a la actividad comercial de gran importancia como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

Quiénes participan en SET El pago mediante tarjeta es un proceso complejo en el cual se ven implicadas varias entidades:

• El banco emisor: emite la tarjeta del cliente, extiende su crédito y es responsable de la facturación, recolección y servicio al consumidor.

• El banco adquiriente: establece una relación con el comerciante, procesando las transacciones con tarjeta y las autorizaciones de pago.



46

• El titular de la tarjeta: posee la tarjeta emitida por el banco emisor y realiza y paga las compras.

• El comerciante: vende productos, servicios o información y acepta el pago electrónico, que es gestionado por su entidad financiera (adquiriente).

• La pasarela de pagos: mecanismo mediante el cual se procesan y autorizan las transacciones del comerciante. La pasarela puede pertenecer a una entidad financiera (adquiriente) o a un operador de medio de pago, el cual procesa todas las transacciones de un conjunto de entidades.

• El procesador (redes de medios de pago): proporciona servicios adicionales operando la infraestructura de telecomunicaciones sobre las que se realizan las transacciones.

• Autoridad de certificación: certifica las claves públicas del titular de la tarjeta, del comerciante y de los bancos.

En una compra convencional mediante tarjeta de crédito, en la que el cliente paga en la tienda haciendo uso de su tarjeta, la transacción sigue los siguientes pasos: 1. El titular de la tarjeta la presenta al comerciante. 2. Éste la introduce en el Terminal de Punto de Venta (POST), que su banco le ha

proporcionado. 3. Los datos de la transacción se envían a través del sistema de redes de medios de

pago hasta el banco emisor. 4. El banco emisor comprueba que todos los datos son correctos y remite su

aprobación. 5. De ahí llega al banco adquiriente y al terminal del comercio, de donde saldrá el

recibo de la operación. 6. El comerciante tendrá ingresado el dinero en su cuenta en la mañana del día

siguiente. 7. Por su parte, el cliente no lo verá descontado de su cuenta corriente hasta el mes

siguiente, en función de cuándo realice la compra. A continuación se describe cómo SET realiza este mismo proceso a través de Internet. El funcionamiento de SET en 10 pasos Una transacción SET típica funciona de forma muy parecida a una transacción convencional con tarjeta de crédito y consta de los siguientes pasos:

1. Decisión de compra del cliente. El cliente está navegando por el sitio web del comerciante y decide comprar un artículo. Para ello rellenará algún formulario al efecto y posiblemente hará uso de alguna aplicación tipo carrito de la compra, para ir almacenando diversos artículos y pagarlos todos al final. El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar.

2. Arranque del monedero. El servidor del comerciante envía una descripción del pedido que despierta a la aplicación monedero44 del cliente.

3. El cliente comprueba el pedido y transmite una orden de pago de vuelta al comerciante. La aplicación monedero crea dos mensajes que envía al comerciante. El primero, la información del pedido, contiene los datos del pedido, mientras que el segundo contiene las instrucciones de pago del cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco adquiriente. En este momento, el software monedero del cliente genera un firma dual, que permite juntar en un solo mensaje la información del pedido y las instrucciones de pago, de manera que el comerciante puede acceder a la información del pedido, pero no a las instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago, pero no a la información del pedido. Este mecanismo reduce el riesgo de fraude y abuso, ya que ni el comerciante llega a conocer el número de tarjeta de crédito empleado por el comprador, ni el banco se entera de los hábitos de compra de su cliente.

44 Estos monederos o carteras, conocidos también con el nombra de Wallets, se pueden integrar en la actualidad en cualquiera de los navegadores estándar, y permiten a los usuarios realizar compras por Internet de forma cómoda y segura, usando el protocolo SET. Los datos de las tarjetas de crédito y de la compra se transmiten y se almacenan de forma segura en el PC (encriptados con un sistema simétrico), garantizando la Autenticidad y la Confidencialidad en el proceso de compra de forma totalmente transparente al usuario, que sólo se debe preocupar de elegir los productos que desea adquirir y decir con qué tarjeta de las contenidas en el monedero desea pagarlos.



47

4. El comerciante envía la petición de pago a su banco. El software SET en el servidor del comerciante crea una petición de autorización que envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transacción y otra información relevante acerca de la misma, todo ello convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la petición de autorización junto con las instrucciones de pago (que el comerciante no puede examinar, ya que van cifradas con la clave pública del adquiriente).

5. El banco adquiriente valida al cliente y al comerciante y obtiene una autorización del banco emisor del cliente. El banco del comerciante descifra y verifica la petición de autorización. Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente, que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la integridad de los datos. Se comprueban los identificadores de la transacción en curso (el enviado por el comerciante y el codificado en las instrucciones de pago) y, si todo es correcto, se formatea y envía una petición de autorización al banco emisor del cliente a través de la red de medios de pago convencional.

6. El emisor autoriza el pago. El banco emisor verifica todos los datos de la petición y si todo está en orden y el titular de la tarjeta posee crédito, autoriza la transacción.

7. El adquiriente envía al comerciante un testigo de transferencia de fondos. En cuanto el banco del comerciante recibe una respuesta de autorización del banco emisor, genera y firma digitalmente un mensaje de respuesta de autorización que envía a la pasarela de pagos, convenientemente cifrada, la cual se la hace llegar al comerciante.

8. El comerciante envía un recibo al monedero del cliente. Cuando el comerciante recibe la respuesta de autorización de su banco, verifica las firmas digitales y la información para asegurarse de que todo está en orden. El software del servidor almacena la autorización y el testigo de transferencia de fondos. A continuación completa el procesamiento del pedido del titular de la tarjeta, enviando la mercancía o suministrando los servicios pagados.

9. Más adelante, el comerciante usa el testigo de transferencia de fondos para cobrar el importe de la transacción. Después de haber completado el procesamiento del pedido del titular de la tarjeta, el software del comerciante genera una petición de transferencia a su banco, confirmando la realización con éxito de la venta. Como consecuencia, se produce el abono en la cuenta del comerciante.

10. A su debido tiempo, el dinero se descuenta de la cuenta del cliente (cargo). El protocolo definido por SET especifica el formato de los mensajes, las codificaciones y las operaciones criptográficas que deben usarse. No requiere un método particular de transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en aplicaciones web, sobre correo electrónico o cualquier otro método. Como los mensajes no necesitan transmitirse en tiempo presente, son posibles implantaciones de SET eficientes basadas en correo electrónico u otros sistemas asíncronos. En su estado actual SET solamente soporta transacciones con tarjeta de crédito/débito, y no con tarjetas monedero. Se está trabajando en esta línea para extender el estándar de manera que acepte nuevas formas de pago. Al mismo tiempo se están desarrollando proyectos para incluir los certificados SET en las tarjetas inteligentes, de tal forma que el futuro cambio de tarjetas de crédito a tarjetas inteligentes pueda incorporar el estándar SET.



48

Proceso mediante protocolo SET

1.8.- EJEMPLO INTEGRATIVO Todos los temas tratados anteriormente, como son la Globalización, la Revolución Tecnológica, la Sociedad de la Información, la Nueva Economía e Internet, permitieron que el Comercio Electrónico naciera y de desarrollara, y junto a él la e-seguridad. Pero todos estos fenómenos no existen por sí solos, es decir, todos van de alguna u otra forma enlazados y unos posibilitaron el origen de los otros. Quizás, al tratarlos en forma separada, imposibilitó vislumbrar el escenario general en el que actúan, la forma en que lo hacen y cómo transforman a la sociedad en todos sus ámbitos. Los negocios pequeños y tradicionales quizás sean los más beneficiados al incorporar nuevas formas de transar sus bienes y de llegar a ser realmente competitivos en este mundo globalizado. A través del siguiente ejemplo podremos contemplar cómo se pueden implementar y poner en práctica los conceptos que hemos analizado: “Pedro Cortés Carvajal es un artesano de piedra Combarbalita, de generación en generación se ha ido traspasando este arte de trabajar la piedra y convertirla en hermosos objetos. Vive en Combarbalá y vende directamente los productos en su casa. Hace un tiempo que Pedro participa y expone en ferias artesanales y por ello ha tenido la oportunidad de viajar y de mostrar sus creaciones en varias regiones. Sus obras no solamente son compradas por personas de este país, ha ocurrido que turistas extranjeros que visitan la ciudad adquieren diversas figuras y luego de un tiempo vuelven o se contactan con él para que les envíe productos específicos. Sin pensarlo ni quererlo Pedro se encuentra inmerso en la Globalización, ya no sólo vende localmente, sino que sus productos son conocidos y comprados por clientes de diversos lugares. Su mercado ya no lo constituye solamente sus vecinos, e incluso ha tenido que personalizar algunos encargos y ello le permite ampliar su variedad. El negocio ha ido bien y Pedro ha tenido que recurrir a la nueva tecnología para ir acorde con los tiempos, se compró un celular y ante la insistencia de su hijo tuvo que adquirir un computador. Al principio veía a este equipo como algo inservible, que no aportaba nada y muy complicado de usar, pero poco a poco ha ido aprendiendo y es así como ya hace sus cartas comerciales y de toda índole en el procesador de textos, usa la planilla electrónica para llevar estadísticas de sus ventas y tiene una base de datos de sus compradores habituales. Con esta herramienta ha optimizado la administración de sus recursos y le ha permitido organizarse. Cierto día Pedro pasaba por una calle de Combarbalá y vio un letrero que decía “Internet, $ 1000 la hora”, ya había escuchado y leído sobre este tema, así que entró al local y las persona que atendía le guió por este nuevo mundo, el interés que



49

despertó en Pedro fue tal que no pasó más de una semana para que instalara Internet en el computador de su casa. Varias semanas después, en su incursionar dentro de esta red se encontró con algo que lo maravilló, era un catálogo electrónico de ropa, imágenes permitían conocer lo ofrecido por la empresa que confeccionaba y distribuía estos artículos, junto a las fotos de las prendas se ubicaban algunas opciones para modificar el color, tamaño, etc. Y más abajo se indicaba el mail y más datos para contactarse con la organización. Una idea surgió en la mente de Pedro e hizo los contactos necesarios para llevar su trabajo de piedra combarbalita a la red. Pero no bastaba solamente con tener la idea, necesitaba más información: tal como una estrategia de marketing en la red, el lograr hacer atractivo su sitio en Internet, dónde alojar su página, qué equipo necesitaría para sacar las fotografías, etc. Haciendo uso del mail consultó a especialistas y visitó cuanto sitio sobre catálogos y negocios en Internet hay. Pedro era ya un usuario en la Sociedad de la Información. Invirtió unos cuantos miles de pesos en equipo – amplió la capacidad de su computadora, un scanner, una cámara web, programas -, se asesoró para confeccionar la página web, y pasó a tener una presencia en la red, en donde promocionaba sus productos, y obtenía reacciones instantáneas. A través del correo electrónico se contactaban con él y ello le permitía ahorros importantes y una comunicación constante con sus posibles compradores. Pedro iba más allá de la descripción de productos e información de contacto, incluía en su página relatos reales de su vida como artesano, videos de los procesos de producción en piedra combarbalita, de esta manera ponía de relieve el contenido intrínseco de cada artículo asociado a la cultura del entorno. Todo un nuevo tipo de negocio bajo el amparo de la Nueva Economía. Una presencia en el mundo real y virtual, así es el negocio actualmente de Pedro, del nivel actual al Comercio Electrónico solamente hay un paso y él es el implementar una plataforma segura. Tal como al comienzo con su ingreso a la red; no tiene idea de esta nueva modalidad de operaciones, pero ello no le preocupa, ya ha avanzado mucho y le ha tomado el gustito, ya está buscando asesoría, ya sea física o virtual, está evaluando los pro y los contra, e investigando en Internet todo lo relacionado con el tema. Pedro no le teme al futuro, es más, ha aprendido que él, como su negocio, debe adaptarse a un mundo en constante cambio.



50

CAPITULO II

CHILE, CAMINO A LA

ECONOMIA DIGITAL



51

Camino de 700 millones de internautas en todo el mundo, la Red no para de crecer y de inundar con sus beneficios a todo el planeta. Contra crisis, cataclismo bursátil y desconfianza de los inversores, Internet se abre paso sin remisión y no sólo entre los navegantes hogareños. La Red es hoy una herramienta imprescindible también para las empresas, según afirma el barómetro tecnológico45 presentado por PriceWaterhouse Coopers, que destaca que contar con Internet, como ya hemos analizado, incrementa considerablemente la productividad. La Red de redes ya no tiene vuelta atrás, y la mejor forma de medir su avance e implicancias es con estadísticas; ya sea en valores absolutos o en porcentajes, modestos o desmesurados, con algunos decimales o seguidos de varios ceros, los números de Internet constituyen un bien preciado. Hoy, la red de redes trae consigo una buena dosis de datos para confirmar tendencias y proyectar escenarios. Pese a ello es necesario entender que, por ser un fenómeno en constante cambio, las cifras también varían46, y para efectos de esta tesis se incluyeron datos disponibles hasta fines del 2002 o anteriores. De no colocar un límite de fecha implicaría estar actualizando frecuentemente este capítulo, lo cual no es posible por razones obvias. Las proyecciones permiten vislumbrar el futuro, aunque a veces pueden ser superadas por la realidad, a modo de ejemplo se cita un estudio que predijo que para el 2003 serían 545 millones los usuarios de Internet en todo el planeta, si pensamos que ya, en el año 2002, sobrepasamos los 600 millones, no sería difícil que para el año 2003 hubiesen 750 o más millones de internautas. Hasta el momento a nivel mundial y fundamentalmente en nuestro país se ha producido un crecimiento que ha sobrepasado cualquier pronóstico. 2.1.- EVOLUCIÓN DE INTERNET Y DEL COMERCIO ELECTRÓNICO A NIVEL INTERNACIONAL 2.1.1.- Estados Unidos y Europa Un estudio de Nielsen Netrating47 constata que Estados Unidos es el líder mundial en el uso de Internet desde el hogar, ya que 167 millones de estadounidenses se conectaron desde casa en Mayo del 2002. Tras ellos, pero bastante alejados, Japón con 61 millones de internautas; China con 58; Alemania con 35 e Inglaterra con 29. La supremacía de Estados Unidos en la Red se refleja también en aspectos fundamentales como la paridad en su uso por parte de hombres y mujeres. Aunque aún no se ha llegado a la igualdad total, ya que un 4,6% de hombres se conecta más a Internet que las mujeres (un 52,2% frente a un 47,8%), todos los expertos auguran que la brecha sexual será inexistente. No pueden presumir de lo mismo el resto de los países europeos, los que más cerca se encuentran de lograrlo son los franceses, en donde el porcentaje es de un 58,4% del sexo masculino frente a un 41,6% de las mujeres. España ocupa la última posición con un 66,5 de internautas masculinos y un 33,5% femeninos.

Una buena muestra de crecimiento de la población online la vuelve a dar EEUU, donde parecía que la cosa ya empezaba a estancarse, pues Zogby Internacional48 afirma que ya son tres de cada cuatro estadounidenses los que han navegado alguna vez, y el 81% de ellos pasa al menos una hora a la semana conectado, aunque puede que le haga sombra Japón, donde el 48% actual se convertirá en el 80% en el 2005, según IDC49. Pero es que además de navegar compran. Hasta el 72% de los navegantes de EEUU se animaron a comprar algo el año 2002 según Greenfield Online50. Pero Internet no se acaba en Estados Unidos; desde allí se realizan el 80% de las e-compras actuales, pero en el 2005 sólo será el 56%. Mientras que en Europa ya son más de 169 millones los que navegan desde sus casas, según el último informe de NetRattings. Un total de 101 millones de usuarios se

45 http://www.baquia.com/com/20010312/not00022.html 46 En mi investigación pude constatar que las estadísticas y proyecciones de la diversas empresas consultoras varían, en ocasiones, en gran margen entre sí, pero independiente de ello lo rescatable es que todas apuntan a que Internet y el Comercio Electrónico tendrán un aumento explosivo en los próximos años. 47 www.eratings.com 48 www.zogby.com/news/ReadNews.dbm?ID=235 49 www.IDC.com 50 www.greenfieldonline.com



52

conecta una media hora durante un promedio de trece veces al mes. ¿Y qué sitios prefieren los internautas europeos? Los sitios más visitados son los portales y buscadores, a los que acuden una media de 8 de cada 10 internautas. Tras ellos se sitúan las webs de Internet y de telecomunicaciones. Otros de los sitios favoritos de los europeos son las páginas de información financiera, donde pasan unos 20 minutos en promedio. El total de internautas en EE.UU que disponen de conexión de banda ancha a Internet desde el hogar creció en un 59 por ciento en 2002 respecto al año anterior, alcanzando los 33,6 millones de usuarios. Ello contrasta con el "declive" en el número de los usuarios de conexiones "dial-up", que cayó en un diez por ciento hasta los 74,4 millones, según un estudio realizado por Nielsen/NetRatings. De este modo, la penetración del uso de la banda ancha se ha producido en detrimento de las conexiones conmutadas que han registrado una caída en el número de sus usuarios. El informe también apunta que los internautas de banda ancha pasan más tiempo, acceden con más frecuencia a Internet y visitan más páginas Webs a lo largo del mes que los usuarios que disponen de accesos tradicionales. Aquellos que disfrutan de conexiones a alta velocidad registraron un promedio de navegación de 17 horas y 20 minutos el pasado mes, frente a las diez horas del internauta conectado a través de un módem telefónico. En lo referente a visitas y webs visualizadas, los usuarios de alta velocidad de conexión doblan a los que no disponen de esta tecnología, con una media de cerca de quince visitas y 1.300 webs vistas por persona.

Estados Unidos lidera en el Comercio Electrónico En los Estados Unidos, según el Departamento de Comercio, el negocio B2C creció un 19.3 % en el primer cuarto del 2002 relacionado con el mismo período del 2001, para finales del 2002 se estimó un aumento de alrededor del 30% en comparación con el año anterior. En Europa, los volúmenes transados en B2C permanecen considerablemente más pequeños, pero se predice que la utilización de una moneda única como lo es el Euro posibilitará un mayor desarrollo en esta región. Por otro lado, el mercado Europeo de B2C enfrenta barreras de tipo cultural/lingüísticas y preferencias diferentes de los consumidores. Otra señal positiva para el Comercio Electrónico de B2C en Estados Unidos, particularmente después de la pérdida de credibilidad por los fracasos de las empresas punto com, es el hecho de que un 56% de minoristas en línea obtuvo ganancias en el 2001, mientras que solamente el 43% las logró en el 2000. Los resultados parecen confirmar la óptima posición competitiva de modelos comerciales que combinan la eficiencia de operaciones en línea con su correspondiente logística y las ventajas del contacto directo de una presencia física. Aunque en los Estados Unidos el peso del comercio B2C es pequeño dentro del total de transacciones al detalle (bajo el 3 por ciento en las valoraciones más optimistas) su progreso se ha reflejado en varios sectores que ya suman un 18% de sus ventas totales, algunos de ellos como la venta de software, servicios de viajes y turismo, y música, podría representar excelentes oportunidades para los proveedores que se inician en el negocio. En el área de B2B, la aplicación de estrategias de negocios electrónicos en Europa continuará consolidándose de acuerdo a los modelos establecidos por sus colegas americanos, a pesar de la gran diferencia en las cantidades comercializadas con Estados Unidos, con volúmenes de este último siete veces mayores a lo acumulado de todos los países desarrollados de Europa. Las previsiones indican que un 26% se comercializará en Estados Unidos en el 2006, principalmente B2B, mientras que las ventas online europeas significarán un 19.3% del total transado. Otros estudios predicen que Europa concentrará el 21% de B2B en el 2004, asimismo se espera un crecimiento en este mismo año de las industrias, los servicios financieros, eléctricos y ventas de equipos electrónicos, otras actividades de negocios y transporte, maquinarias y metales, químicas y petroleras, postales y de telecomunicaciones, vehículos e industria del papel.



53

2.1.2.- América Latina, el Dorado en la Red Un informe del BSCH51 y Accenture52 titulado "latino@mérica online", concluye que el mercado latinoamericano crecerá un 44% durante los dos próximos años, en contraste con el crecimiento promedio a nivel mundial que será tan sólo del 20%, con lo que sitúa a la población internauta de la zona en 44 millones de usuarios para el 2003 y representará cerca del 10 por ciento del total de los internautas a nivel mundial, contra el siete por ciento del año 2001. En 1999, el número de usuarios en esta región fue de 8.5 millones y en un año después pasó a 14.8 millones, un aumento del 74 por ciento, para el 2004, predice la empresa de investigación eMarketer, los usuarios de Internet alcanzarán los 60,6 millones. El propio informe reconoce que "los bajos ingresos y la elevada concentración de la riqueza, que dificulta la existencia de una clase media significativa" retrasan la penetración de la Red. ¿Acaso estos indicadores serán distintos en dos años? A nuestro favor, y según el informe, el acceso gratuito a Internet, el desarrollo del e-commerce, la financiación de equipos y el incremento de la publicidad online, que parece ser aumentará un 83% anual (frente al 69 por ciento en Europa y 42 por ciento en Estados Unidos), son puntos importantes. Más buenas vibraciones para el futuro de Internet en Latinoamérica: según un estudio de Júpiter Research53, el crecimiento de la población conectada a Internet experimentará un espectacular aumento en los próximos cinco años. En el 2005 México, Brasil y Chile seguirán siendo los principales mercados de Internet en Latinoamérica y monopolizarán más de dos terceras partes del uso total de la Red en la región. El fuerte impulso que tendrá Internet en América Latina detonará la inversión publicitaria y el Comercio Electrónico en línea, aunque los analistas señalaron que el escaso ancho de banda supone un freno al desarrollo de estos negocios. El Comercio Electrónico en Latinoamérica se concentra en cuatro mercados relativamente desarrollados (Argentina, Brasil, Chile y México), que juntos abarcan más de las dos terceras partes del número de usuarios de Internet en la región. Mientras los proveedores de acceso a la red están introduciendo en estos mercados los servicios satelitales y de banda ancha (En Chile las conexiones mediante banda Ancha experimentaron el año 2002 un 330% de crecimiento) los problemas enfrentados por la mayoría de los demás países imposibilitan su inserción. En los cuatro países mencionados anteriormente (y en otros pequeños mercados, especialmente en el área caribeña), las empresas se han percatado de los beneficios y ventajas del Comercio Electrónico, y esta situación ha mejorado rápidamente en otros países en la región (Colombia y Perú). Se estima que entre el 50 y 70 % de las empresas latinoamericanas tengan acceso a Internet y se espera que todas las entidades con 200 o más empleados posean un website, aunque no necesariamente realicen transacciones en línea a través de él. Dado el volumen relativamente grande de industrias en la región, se espera que el comercio B2B se extienda vertiginosamente. El pronóstico de algunos estudios indica que en la región se alcanzará la suma de 67 mil millones de dólares en transacciones B2B en el 2004. Las corporaciones transnacionales, específicamente en el sector automotriz, están cobrando una gran importancia en el desarrollo del comercio B2B, sobretodo en Brasil y México. Con respecto a B2C, la región ha experimentado un robusto crecimiento en los recientes años. No hay ninguna sorpresa acerca de los mayores obstáculos a la expansión del Comercio Electrónico minorista en la región que es similar a las características observadas en otras regiones en vía de desarrollo: tasas de penetración bajas de Internet, sistemas de pago inadecuados, desconfianza. Por otro lado, el progreso significativo en lo que se refiere a la creación de conocimiento, evidenciado en la proporción en alza de las empresas con acceso a Internet y el desarrollo de una armazón legal para el Comercio Electrónico

51 www.bsch.es 52 www.accenture.com 53 www.jmm.com



54

2.1.3.- Asia: Oriente despierta a la red Un estudio de Netvalue54 confirma el despertar de Oriente a Internet y ofrece resultados sorprendentes, tales como que los coreanos son adictos a la Red y navegan una media de 15,7 horas por usuario y mes. China ha experimentado un gran crecimiento y llegará a convertirse en el país con la mayor población de usuarios de Internet en la región de Asia Pacífico, destronando a Japón que a Mayo del 2002 ostentaba el segundo lugar a nivel mundial. “Nuestro estudio de usuarios determinó que a Abril del 2002 una cantidad de 56.6 millones de personas se conectan desde sus casas a Internet, cifra que corresponde solamente al 5% de hogares de China. Consideremos el mercado potencial de Internet tomando como referencial la situación de otros países, en Estados Unidos, Corea del Sur, Singapur y Hong Kong donde la penetración alcanza aproximadamente el 50%”, indica en un informe Hugh Bloch, Gerente de estudios de Nielsen//NetRatings Asia Norte.55 “Una penetración solamente del 25% en China significaría 257 millones de personas conectadas a Internet desde su casa. Estas proyecciones no distan mucho de ser reales, según el Ministerio Chino de información las suscripciones nuevas a Internet están creciendo a un 5 a 6 % mensual. A este ritmo de crecimiento en tres o cuatro años se logrará un 25 % de penetración e incluso el potencial universo de Internet podría ser más alto si las condiciones cambiaran, como ejemplo; el acceso a las líneas telefónicas fijas, ya que actualmente sólo el 35.6% de casas en China las poseen, y a pesar de este porcentaje pequeño hay casi 57 millones de personas conectadas. Oportunidades inmensas existen en este mercado”, concluyó en el análisis Hugh Bloch. Comercio Electrónico: menos euforia Dado su tamaño y potencial la evolución del Comercio Electrónico en Asia será determinante para la región, y ciertos términos, para el contexto global. La población usuaria de Internet en China aumenta rápidamente por lo que en un futuro cercano será el país con el mayor número de internautas en el mundo, pero esta transformación no será al mismo ritmo en lo que se refiere al Comercio Electrónico. Las dificultades logísticas como las redes de transporte insuficientes representan un obstáculo serio para el desarrollo del Comercio Electrónico, siendo difícil para las empresas comprender las ganancias potenciales vinculadas a la eficiencia en su cadena de suministros. Otro impedimento en el continente es el énfasis en las relaciones de negocios personales dentro de su cultura comercial y social. En Japón, el reciente crecimiento del Comercio Electrónico B2B parece haber sido más relevante en sectores tales como el químico, maquinaria industrial y productos de oficina, aunque los productos de tecnología de información y la industria automotriz permanecen predominantes. En el sector B2C el incremento se produce en bienes y productos de ocio, vestimenta, servicios de viaje, y bienes raíces. En conjunto, sin embargo, los volúmenes del e-commerce permanecen comparativamente bajos considerando los altos niveles de ingresos disponibles. En definitiva, el mercado asiático está en pleno proceso de expansión y probablemente el Comercio Electrónico adquiera una madurez que permita a la región consolidar su posición.

54 www.netvalue.com 55 Informe disponible en www.nielsen-netratings.com



55

2.1.- RADIOGRAFIA A INTERNET Y EL COMERCIO ELECTRÓNICO56 2.2.1.- Usuarios en Internet a nivel mundial

USUARIOS MUNDIALES DE INTERNET (Internet World Usage by Regions)

Región Población ( Est. 2002 )

Usuarios año 2000

Usuarios, dato

más reciente (%)

Usuarios Crecimiento ( 2000-2002 )

Penetración (%

Población)

Africa 858,584,600 4,514,400 6,866,400 1.2 % 52.1 % 0.8 %

América 853,234,000 126,157,000 217,373,479 36.9 % 72.3 % 25.5 %

Asia 3,550,767,300 114,303,000 174,985,920 29.7 % 53.1 % 4.9 %

Europa 727,252,160 103,075,900 169,616,117 28.8 % 64.6 % 23.3 %

Medio Oriente 246,344,400 5,272,300 7,165,407 1.2 % 35.9 % 2.9 %

Oceanía 31,080,240 7,619,500 12,904,446 2.2 % 69.4 % 41.5 %

TOTAL 6,267,262,700 360,942,100 588,911,769 100 % 63.2 % 9.4 %

NOTAS: (1) Estos datos fueron actualizados a noviembre 30 del 2.002. (2) Las cifras en detalle están contenidas en las páginas correspondientes a cada región y país. (3) Las cifras de población se basan en los datos actuales de gazetteer.de. (4) Los datos mas recientes de usuarios corresponden a diversas fuentes locales y a datos de Nielsen-NetRatings. (5) Las cifras de crecimiento se determinaron comparando el dato actual de usuarios con el dato del año 2.000, tomado de las estadísticas del ITU.

56 Las estadísticas y proyecciones pueden variar dependiendo de las fuentes de donde se recopiló la información y la fecha de los estudios.

Usuarios a nivel mundial

1%30%

29%1%

37%

2%

Africa Asia Europa Oriente Medio América Oceanía



56

Estadísticas de Internet en América ( Internet Usage Statistics and Population for America )

Región de

AMERICA Población

Actual (2002) Usuarios, año 2000

Usuarios, Dato más reciente

(%) Usua.

Crecimiento (2000-2002)

% Población (Penetración)

América Central 39,066,700 505,000 832,000 0.4% 64.8 % 2.1 %

Norte América 419,890,300 110,784,200 187,477,584 86.2% 69.2 % 44.6 %

Sur América 354,639,600 14,292,100 27,780,295 12.8% 94.4 % 7.8 %

El Caribe 39,637,400 575,700 1,283,600 0.6% 123.0 % 3.2 %

Total AMERICA 853,234,000 126,157,000 217,373,479 100% 72.3 % 25.5 %

NOTAS: (1) Estos datos fueron actualizados a noviembre 30 del 2.002. (2) Las cifras en detalle están contenidas en las páginas correspondientes a cada región y país. (3) Las cifras de población se basan en los datos actuales de gazetteer.de. (4) Los datos mas recientes de usuarios corresponden a diversas fuentes locales y a datos de Nielsen-NetRatings. (5) Las cifras de crecimiento se determinaron comparando el dato actual de usuarios con el dato del año 2.000, tomado de las estadísticas del ITU.

2.2.2.- La Torre de Babel: Distribución de idiomas en Internet



57

La torre de Babel: distribución de lenguas en Internet - Marzo 2002

Usuarios

de Internet (millones)

% población mundial

Usuarios en 2003

(millones)

Total pop. (M)

% en la actividad

económica mundial

Servidores

Inglés 228 40,2 270 567 33,4

Lengua no inglesa 339 59,8 510 5633 66,6

Lengua europeas (no inglesa)

192,3 33,9 259,3 1.218 30,3

Catalán 1,9 - 2,2 6,6 - -

Checo 2,2 - 3 12 - 214

Holandés 11,84 2,1 13 23,6 - 2.485

Finés 2,1 - 3,5 6 - 945

Francés 22,0 3,9 28 77 4,2 2.388

Alemán 38,6 6,8 49 100 5,8 3.784

Griego 1.6 - 3 12 - 182

Húngaro 1,3 - 3 14,5 - 211

Italiano 20,2 3,6 27 62 3,6 2.313

Polaco 6,7 - 8,5 44 - 645

Portugués 14,9 2,6 26 176 3,6 1.909

Rumano 0,8 - 1,2 26 - 69

Ruso 11,5 2,0 15 167 1,8 415

Danés 3,2 - - 5,4 - 707

Islandés 0,2 - - 0,3 - 47

Noruego 2,5 - - 5 - 630

Sueco 6,2 - - 9 - 1.330

Lenguas escandinavas (total)

12 2,1 13,2 19,7 1,3 2714

Eslovaco 0,7 - 1,5 5,6 - 69

Esloveno 0,6 - 1 2 - 26

Castellano 40,8 7,2 53 350 8,9 3.241

Turco 3,9 - 7 67,4 - 140

Ucraniano 0,8 - 2 47 - 56



58

TOTAL LENGUAS EUROPEAS (excl. inglés)

192,3 33,9% 259 1.218 33,9 24.529

LENGUAS ASIÁTICAS

Árabe 4,4 0,8 6 300 1,6 95

China 55,5 9,8 125 874 13 2.388

Hebreo 1,9 - 2,5 5,2 - 223

Japonés 52,1 9,2 75 125 8 7.118

Coreano 25,2 4,4 35 78 2 440

Malayo 4,8 - 7 229 2 95

Tailandés 2,3 - 3 46 - 81

TOTAL LENGUAS ASIÁTICAS

146,2 26,1% 254 - - 10.440

TOTAL EN EL MUNDO 560 762 6200

Fuente:Global Reach

2.2.3.- Lo que preferimos en Latinoamérica



59

2.2.4.- El Comercio Electrónico

Comercio Electrónico a Nivel Mundial: Algunas estimaciones y pronósticos de diferentes estudios y fuentes.

(En miles de millones de dólares)

Pronósticos B2B y B2C en 2006, por región (En miles de millones de dólares)

Fuente: Forrester

Pronósticos de Comercio Electrónico (B2C y B2B) (En miles de millones de dólares)

CAGR(compound annual growth rate) : Indice de crecimiento anual compuesto. Fuente: UNCTAD (Conferencia de Naciones Unidas para el Desarrollo y Comercio)



60

Evolución del Comercio Electrónico en Europa (en millones de dólares)

1999 2000 2001 2002 2003 2004 B2C 3.191 8.516 22.318 55.396 123.312 232.053 B2B 32.986 73.667 164.130 356.989 727.487 1.318.398 Totales 36.177 82.183 186.448 412.385 850.799 1.550.451 Fuente: Forrester

Fuente: Forrester

Evolución y Proyecciones B2C en EE.UU. (US$ miles de millones)

1998 1999 2000 2001 2002 2003 Forrester - 20,3 23,1 64,2 101,1 143,8 Júpiter 7,8 14,9 23,1 34,6 53,0 78,0 IDC 12,4 24,2 35,8 48,1 60,6 75,0 Yankee 11,5 24,2 36,6 57,2 86,6 125,6

Evolución y Proyecciones B2B en EE.UU. (US$ miles de millones) 1999 2000 2003 IDC 50 97 633 Goldman 115 294 1.133 Forrester 109 406 1800

Previsiones de venta Comercio Electrónico 2004

0 50.000 100.000 150.000 200.000 250.000 300.000 350.000 400.000 450.000

Alemania

Reino Unido

Francia

Italia

Holanda

Suiza

Suecia

España

Dinamarca

Bélgica

Austria

Noruega

Finlandia

Irlanda

Portugal

Luxemburgo

Grecia

país

es E

urop

eos

Miles de dólares



61

Proyecciones de Comercio Electrónico en países y territorios asiáticos (B2B y B2C) (En miles de millones de dólares)

Fuente: Forrester y cálculos de UNCTAD

Comercio Electrónico en América Latina por países 1999 2005

Brasil 121 4260 México 25 1540 Argentina 15 1090 Chile 7 312 Venezuela 4 348 Perú 5 164 Colombia 7 336 Otros 8 277 Total 192 8327

Fuente: Júpiter En millones de dólares.



62

Ventas por categorías de productos en la región

(en millones de dólares) 1999 2005

Libros 28 789 Videos 4 180 Música 5 303 Software 10 375 Electrónicos de consumo 18 343 Ropa 6 387 Periféricos 9 268 PCs 70 1770 Viajes 15 1400 Comestibles 16 1140 Otros 13 1374 Total 194 8329

Fuente: Júpiter

Número de compradores online (en millones de personas) 1999 2005

Brasil 0,9 10,8 México 0,2 4,3 Argentina 0,1 2,8 Chile 0,1 0,9 Venezuela 0,0 1,1 Perú 0,0 0,6 Colombia 0,1 1,2 Otros 0,1 1,0 Total 1,4 22,7

Fuente: Júpiter



63

Las regiones en el gráfico siguen el mismo orden que en la leyenda



64



65

2.3.- CHILE: ACELERADO CRECIMIENTO

“Chile destaca en la Nueva Economía” Según líderes internacionales57, por las ventajas que tiene.

Nuestro país ha comprendido que las iniciativas ligadas a Internet y al Comercio Electrónico, serán un elemento fundamental en el futuro crecimiento económico. Una Nueva Economía, nuevos modelos que se imponen a ritmos acelerados, globalizados y altamente competitivos, basados en tecnología. Somos testigos de que las fronteras no son un límite y de que el mercado es el mundo. Pero, ¿Todos accedemos a estos avances? ¿Una persona que mantiene a su familia y gana $ 140.000.- mensuales puede darse el lujo de comprar un computador, si con lo que gana apenas le alcanza para pagar los servicios básicos?, y ¿Es complicado para una persona que recibe un sueldo de casi $ 1.000.000.- tener uno o más computadores en su casa, navegar por Internet e incluso comprar por esta vía? Si de comparar se trata podemos enumerar infinidad de situaciones en las que, para unos sí y para otros no, sin embargo, orientando esta desigualdad hacia la adopción y uso de tecnología, surge la llamada brecha digital. 2.3.1.- La brecha digital Naturaleza de la Brecha Digital Si bien Internet tiene la capacidad de tender a igualar oportunidades entre personas, empresas y países, existe un período inicial de alto riesgo en que los primeros que acceden a la innovación tecnológica -y se benefician de ella- son quienes tienen mayor poder económico y se encuentran más cercanos a la generación y difusión del cambio tecnológico. Durante este período de riesgo, la brecha económica entre los aventajados y el resto tiende a aumentar, debido a que los primeros mejoran su posición relativa al hacer uso de las nuevas técnicas. Si bien la impresionante velocidad de propagación de Internet tiende a mitigar los desequilibrios con el tiempo, la duración de ese período de ensanchamiento de la brecha puede llegar a constituir un serio peligro para los menos adelantados, amenazando, en el caso de las empresas, su viabilidad económica. A nivel mundial, la brecha entre los países desarrollados y en desarrollo se ha ampliado en los últimos años, debido en gran parte a la masificación del uso de las tecnologías de información en Norteamérica, Europa y Japón. En conjunto, los países pobres y en desarrollo albergan al 85% de la población mundial, pero sólo generan el 44% del producto mundial. Esta disparidad es lo que se conoce como la brecha económica. Teóricamente, esta brecha entre países desarrollados y en desarrollo debiera tender a acortarse en el tiempo, en la medida en que los países menos avanzados tienden a crecer más rápido hasta consolidar sus procesos económicos. En la práctica, sin embargo, esta hipótesis sólo alcanza a algunos países, constituyendo más bien excepciones dentro de una tendencia más cercana a la divergencia (ampliación de las disparidades) que a la convergencia. Lo anterior se encuentra estrechamente relacionado con el proceso de innovación tecnológica. Cada vez que surge una nueva innovación, debido a que los países más avanzados son los primeros (o los únicos) en adoptarla, los beneficios derivados de su uso aceleran su crecimiento económico, ampliando la brecha que mantienen con los países en desarrollo. Sin embargo, para algunos países no basta la decisión política o comercial de adoptar las tecnologías, sino que, además, deben darse ciertas condiciones que permitan utilizarlas en forma eficiente, derivando en impactos relevantes. Esto depende básicamente de la capacidad de absorción de las nuevas tecnologías. En el caso de Chile, la capacidad de absorción de TI, calculada en base al índice que anualmente

57 Destacaron en el marco del Seminario Milleniun, realizado en Junio en Chile, el historiador de la tecnología, Paul Saffo y el futurólogo, Alvin Toffler. Suplemento Economía y Negocios, El Mercurio, miércoles 27 de junio del 2001.



66

LA BRECHA MUNDIAL

56%75%

97%85%

44%25%

3%

15%

Población PIB Pob. Internet C.Electrónico

Países Desarrollados Países en Desarrollo

LA BRECHA REGIONAL

48% 57% 72%

60% 52% 43% 28%

40%

Población PIB Pob. Internet C.Electrónico

Región Metropolitana Regiones

construye la CCS58 (Cámara de Comercio de Santiago), alcanzó en el 2002 un 45,3%, considerando a EEUU como base 100. En algunos países más pobres, como Nigeria, esta capacidad es inferior al 5%.

Los países desarrollados son los primeros en acceder a la Revolución Tecnológica, lo que genera la Brecha

Digital y aumenta las divergencias económicas con los países en desarrollo. La Brecha Digital en Chile En el caso de Chile, se observa la replicación de esta misma tendencia. La Nueva Economía no es una posibilidad inmediata para la totalidad de los chilenos, ni para el conjunto de las empresas del país. La información disponible59 confirma una significativa inequidad en el acceso a la red, tanto desde el punto de vista de los distintos segmentos empresariales, como de los estratos socioeconómicos y de su distribución geográfica a lo largo del territorio nacional. La ciudad capital, Santiago, concentra el 57% de las líneas telefónicas fijas y el 58% de los aparatos telefónicos móviles. La teledensidad fija en la Región Metropolitana está 9 puntos por sobre el índice nacional (20 líneas por cada 100 habitantes), y sólo las regiones XII, V y II exhiben niveles comparables, mientras que aquellas con un alto nivel de población rural, como la VI y la VII, cuentan con menos de la mitad. Esto se traduce en el claro predominio de la Región Metropolitana en materia de conexiones a Internet (57% del total) y de las transacciones realizadas por este medio, que superan el 70%60. Ello, pese a que el 60% de la población nacional vive en regiones, donde además se genera el 52% del PIB.

Dentro de Chile existe una brecha regional que en una primera etapa tenderá a aumentar el centralismo.

58 Para construir el índice se utilizan 10 indicadores de educación, infraestructura y costo de telecomunicaciones, densidad de PCs, infraestructura y penetración de Internet. 59 Según un estudio de la Cámara de Comercio de Santiago en el año 2001. No existen datos actualizados disponibles sobre este tema. 60 Aún cuando esta proporción cayó en el último año.



67

Por estrato socioeconómico el nivel de concentración es aún más pronunciado. Las familias ABC1 y C2, que equivalen en conjunto al 26% de los hogares chilenos, concentran el 50% del ingreso nacional y el 68% de las conexiones a la red, mientras que los grupos C3, D y E se reparten un tercio de los accesos. A nivel educacional, más de un 60% de los usuarios de Internet cuenta con estudios superiores. En la actividad empresarial ocurre otro tanto. Menos del 1 por ciento de las más de 500 mil empresas que existen en el país corresponde a grandes compañías, las que sin embargo generan el 72% de las ventas a nivel nacional y concentran más de la mitad de las operaciones de Comercio Electrónico. La PyME, que representa el 17% del número de empresas, explica el 46% de las ventas a través de Internet, mientras las más de 400 mil microempresas en operación intervienen apenas en el 1 por ciento del Comercio Electrónico.

Las familias de menores ingresos son las más alejadas al acceso a la Revolución Informática

La Brecha Económica entre empresas tenderá a aumentar en el corto plazo a consecuencia del surgimiento de la brecha digital.

Esta situación representa una barrera para el desarrollo nacional, en la medida en que da lugar al surgimiento de “bolsones de marginación tecnológica” conformados tanto por personas incapaces de acceder a las oportunidades educacionales, laborales y de consumo que caracterizan a la Nueva Economía, como por empresas que no podrán sumarse a los mercados ampliados, las cadenas de valor y el abaratamiento de los costos de operación que reportan las tecnologías de la información de redes. Debido a las asimetrías de información que genera la Revolución Tecnológica (por ejemplo, las empresas no están necesariamente conscientes de los beneficios de adoptarla y de los riesgos que genera a su negocio), durante el período definido como de ‘alto riesgo’ se requiere del surgimiento de liderazgos que minimicen dichas asimetrías, promoviendo la masificación y el uso de la herramienta, incentivando la inversión en TI y facilitando los cambios culturales requeridos a través de la educación. Los actores sociales llamados a asumir este liderazgo son las autoridades

LA BRECHA SOCIAL

25% 34%53%

45%61%

39% 29%

5%

8%Nº Hogares Ingreso Internet

ABC1 C2C3 DE

LA BRECHA EMPRESARIAL

96% 99%82%

4% 1%

18%

Nº Empresas Ventas C.Electrónico

Resto Micro



68

gubernamentales, las asociaciones empresariales y las instituciones educacionales, particularmente las universidades. Los programas orientados a la masificación del acceso deben ser complementados con el diseño de un régimen explícito de incentivos destinados a reducir el período de adaptación del aparato productivo a los nuevos esquemas de competitividad. Ello se debe a la necesidad de acelerar el proceso natural de asimilación de innovaciones tecnológicas, tomando en cuenta que una adopción tardía compromete la viabilidad de un alto porcentaje de las empresas locales. Otra área donde se debe poner énfasis es en recursos humanos y capacitación. Ambos son tan críticos como la infraestructura y el acceso. En este plano, se requiere realizar un completo estudio de las necesidades de mano de obra calificada en tecnologías de la información, y su disponibilidad actual en el mercado laboral, a fin de establecer con precisión (como lo han hecho otros países) el déficit que existe en la materia. Ello permitiría diseñar una política nacional de capacitación, así como habilitar convenios de trabajo con otros países a fin de reducir en el menor plazo posible las distancias tecnológicas. Para acortar la brecha digital con los países desarrollados, se estima que Chile requerirá en el mediano plazo contar con una fuerte dotación de profesionales especializados en tecnologías de la información, en áreas como la programación, análisis de sistemas, ingeniería en computación y redes. 2.3.2.- Computadores en Chile Consistente con la debilitada situación de la economía nacional, el mercado chileno de Computadores Personales (PC) y Servidores presentan un panorama poco alentador, presentándose para el año 2002 crecimientos muy menores, entre 1% y 2%. Comparado con América Latina, el desempeño puede estimarse favorable, por cuanto se prevé que a nivel regional estos mercados registraron caídas en el 2002, las que se ubicaron entre 4% y 12%. Sin embargo, la lenta expansión de Chile implica pérdida de competitividad en el contexto mundial, acentuando la brecha existente en relación a los países desarrollados. En este contexto, resultan interesantes los presentes resultados -extraídos del Estudio “Mercado de Computadores Personales y Servidores” de International Data Corporation Chile y el Departamento de Estudios CNC elaborado en Septiembre del 2002 - si se considera que el Gobierno ha manifestado claras intenciones respecto de que Chile se transforme en “la” plataforma tecnológica de América Latina. De ahí surge la necesidad de cuestionarse sobre cómo están los sectores público y privado para esta agenda tecnológica y qué tan real ésta es. En el I Trimestre del 2002, considerando los equipos de escritorio (Desktop, no móviles) y los portátiles (Notebook), las ventas de PC en el mercado chileno disminuyeron en un 4,9% respecto del mismo período del 2001. Si bien es una tasa negativa y superior a la promedio del año pasado (-0,8%), implica un mejoramiento en relación a las importantes caídas sufridas en el III y IV Trimestres del 2001 (9,2% y 14,3%, respectivamente). En forma adicional, cabe tener en cuenta que la base de comparación influyó de modo negativo en el comportamiento del I Trimestre, pues en enero–marzo del 2001, el mercado creció en un 23,3%. En este mismo sentido, la contracción del II Semestre del 2001 lleva a proyectar que en el curso del año se revertirá la reducción experimentada en la primera parte, cerrando el período con un incremento de alrededor de un 2%. Las primeras estimaciones situaban la expansión del 2002 en torno a un 8%, lo que refleja el deterioro experimentado por el mercado de PC, debido a la lenta trayectoria de la actividad global, especialmente en el ámbito de la demanda interna.



69

Mercado de Chile: Ventas de PC según Segmento de Mercado (1). PC de marcas multinacionales más los equipos ensamblados en Chile (Unidades)

De hecho, la caída en las ventas de PC en el I Trimestre del año fue superior a la disminución de la demanda agregada en ese mismo período, que alcanzó a 2,7%. Ello se debe a la importante reducción que se observó en el segmento Hogar, que tiene una participación cercana al 30% y cuyas compras declinaron en un 12,7%. En tanto, en el resto de los segmentos las variaciones negativas fueron muy menores: Educación, –0,8%; Gobierno, -1,5% y Empresas, –1,7%. No obstante, para estos últimos el panorama no es alentador, especialmente para las empresas, teniendo en cuenta que el año 2001 ya mostró una reducción en sus compras de PC. Variación Ventas de PC según Segmento de Mercado (1). PC de marcas multinacionales más los

equipos ensamblados en Chile (Porcentaje).

El comportamiento de los hogares no debe sorprender, ya que la restricción de los ingresos los ha llevado a concentrar su consumo en los bienes básicos, viéndose perjudicados los de tipo durables, que se caracterizan por ser prescindibles o cuya adquisición o renovación es posible postergar. Dentro de este grupo se insertan los PC, pues en general no se validan los beneficios intrínsicos de las TI (Tecnología de la Información), sino que a nivel familiar se consideran como un bien más de este tipo, que son sensibles a los niveles de ingreso. Cabe considerar que los precios son cada vez más atractivos, por cuanto los valores de los PC han continuado bajando, disminuyendo en términos nominales entre el I Trimestre del 2001 y el primero del 2002 en un 8,2%, de acuerdo con la canasta del IPC. La persistente trayectoria decreciente del nivel de precios promedio de los computadores se asocia con los avances tecnológicos y la fuerte competencia existente en el mercado, así como con la mayor participación de los equipos ensamblados en Chile, que representan actualmente alrededor del 60% del mercado de PC Desktop (en Chile no se arman los



70

PC Notebook) y que se caracterizan por tener en promedio valores inferiores a los PC de marcas multinacionales. La fuerte contracción de las ventas de PC en el segmento Hogar en los primeros tres meses del año 2002 significó que su participación en el total disminuyera en más de dos puntos porcentuales en relación al I Trimestre del 2001, al situarse en un 27,3%. Esta pérdida fue capitalizada por el resto de los segmentos, que en el período considerado tuvieron un desempeño parecido, aumentando la importancia de las empresas a un 62,8% del total, dos puntos porcentuales más que en enero–marzo del 2001, y la de los segmentos Educación y Gobierno en 0,2 puntos, con una representatividad en torno al 5% del total cada uno. Sin embargo, analizada la composición del mercado según segmentos a partir de 1999, se aprecia que no ha habido cambios significativos, manteniendo Hogar una participación cercana al 30%, representado las Empresas algo más del 60% y distribuyéndose el otro 10% entre Educación y Gobierno, lo que demuestra que en el mediano plazo han evolucionado en forma muy similar. Mercado de Chile: Composición de Ventas de PC según Segmento de Mercado (1). PC de marcas

multinacionales más los equipos ensamblados en Chile (Porcentaje).

En definitiva, la desaceleración de la economía nacional y regional sigue impactando a los mercados de PC y servidores, que se estima continuarán el año 2002 insertos en la deprimida situación que se observó en el 2001. No obstante, a diferencia del año 2001, en que Chile presentó un panorama más desfavorable que el promedio de la región, para el 2002 y sucesivos se prevé lo contrario. De hecho, las proyecciones indican que en el país el mercado de PC aumentaría en alrededor de 2% anual y el de servidores en torno a 1%, en circunstancias que las perspectivas para América Latina son de contracción en ambos, con variaciones que alcanzarían a aproximadamente -4% en el mercado de PC y a -12% en el de servidores. Cabe recordar que en la comparación 2001/2000, mientras en Chile las ventas de PC disminuyeron en un 0,8%, en la región aumentaron en un 2%. Esta brecha favorable a la región se acentuó en el caso del mercado de servidores, ya que en el país se contrajo en un 11,2%, creciendo en América Latina en un 2,3%. Superado el contraído panorama actual, las perspectivas indican que en los próximos cuatro años -hasta el 2006- el mercado de PC se expandiría a tasas promedio por sobre el crecimiento potencial del producto tanto en América Latina como en Chile, esperándose niveles de alrededor de 10% anual en la región y de 7% anual en el país. Variaciones similares también se prevén para los mercados de servidores de América Latina y Chile. En el contexto de las expectativas para el 2002, dados los nulos resultados del I Trimestre en América Latina, en que las ventas de PC y servidores aumentaron en 0,6% y 0,5% respectivamente, se anticipa un fuerte deterioro en el transcurso del año, panorama coherente con las dificultades que enfrenta la región, especialmente los principales países (Argentina y Brasil). En cambio, en Chile se notaría un mejoramiento en el mercado de PC, cuya variación en el I Trimestre fue negativa, alcanzando a -4,9% y un deterioro en el de servidores, que en enero–marzo mostró un importante aumento de un 49,5%. Sin perjuicio de la evolución futura, sobre la base del I Trimestre del año 2002, se puede apreciar que en Chile el segmento más afectado por la condición económica fue Hogar, disminuyendo sus compras de PC en un 12,7% respecto del mismo trimestre del 2001, lo que fue determinante en el comportamiento del mercado. Este resultado es consistente con la restricción en el nivel de ingresos de la población y mayor incertidumbre, que trajo como consecuencia una reducción de la demanda interna, lo



71

que perjudicó esencialmente a los bienes de tipo durables, categoría dentro de la cual -en general- se considera a los computadores en el ámbito del presupuesto familiar. En contraste, a pesar de que las ventas de PC a las Empresas también declinaron en los tres primeros meses del año 2002 en el mercado chileno, su reducción fue bastante menor (-1,7%), combinándose con una importante expansión de la compra de servidores en ese mismo período (64,8%), lo que permite augurar una recuperación en la inversión tecnológica de este segmento. El comportamiento de las Empresas distinguió a Chile, pues en el contexto regional fue junto con Educación los segmentos que disminuyeron sus compras de PC en el I Trimestre del año 2002, presentando las empresas la mayor caída en América Latina (-11%). Por su parte, aunque en este mercado las ventas de servidores a Empresas aumentaron en los tres primeros meses del 2002 en un 7,6% respecto del mismo período del 2001, lo hicieron a una tasa muy inferior a la de Chile, que sobrepasó el 60%. Si bien ello muestra una evolución de Chile relativamente favorable dentro del contexto latinoamericano, no es una posición alentadora, teniendo en cuenta que la menor inversión de las empresas en tecnología, como lo reflejan las variaciones negativas de los dos últimos años, implican no sólo menor capacidad productiva, sino que pérdida de competitividad y eficiencia, perjudicando la expansión de los negocios y, en general, el desarrollo económico. En este sentido, la trayectoria de los mercados de PC y servidores tanto en Chile como América Latina deja en evidencia que todavía no se internalizan los beneficios de este tipo de instrumentos, considerando que los PC son uno de los principales dispositivos utilizados para la conexión a Internet (sobre el 90% del total), que representa una herramienta fundamental para la información, comunicación e implementación de estrategias productivas ahorradores de tiempo y costo. Una demostración de lo anterior es el impacto de la desaceleración económica en el segmento Hogar en el caso del mercado chileno de PC, que significa asimilar esta tecnología a un bien de consumo durable. Asimismo, los antecedentes del Ministerio de Economía respecto de las Pymes, que indica que el 63% de ellas cuenta con un computador, mientras el 37% no lo tiene, lo que se agrava al contabilizar la utilización de los equipos. En efecto, sólo el 34% del total (55% de las Pymes con PC) usan algún tipo de aplicación (software) de apoyo a la administración y producción. En cuanto a la aplicación para la gestión integrada de la empresa (software del tipo ERP/ERM), el porcentaje de utilización es casi nulo: 0,4% del total de Pymes (0,65% de las que tienen PC). A pesar de la baja tasa de crecimiento esperada para las ventas de PC en el mercado chileno en el 2002 (2%), se estima que la base instalada de estos equipos registraría una evolución más positiva, llegando a 12,5 unidades por cada 100 personas, que se compara con el nivel del 2001, que alcanzó una penetración en la población de 10,7%. Aunque es una señal favorable, no deja de tener un aspecto negativo, ya que estaría demostrando un menor ritmo de recambio en cuanto al equipamiento computacional, lo que también implica un atraso tecnológico con las consiguientes consecuencias en la competitividad nacional. Si bien la situación de Chile en cuanto a penetración de PC es mejor que la promedio de América Latina -donde el 6,2% de la población cuenta con PC- es comparable con la que presentan actualmente países emergentes pertenecientes a la antigua Europa del Este, como República Checa y Hungría, cuya penetración de PC alcanzó en el 2001 al 13,5% y 9,1% de la población, respectivamente. No obstante, para alcanzar estos niveles las naciones mencionadas han avanzando más aceleradamente que Chile. Es el caso de la República Checa, que ha destinado a inversión en TI una proporción creciente del PIB, la que se ubicó en 3,51% en el 2001, estimándose que esta tendencia continuará en el 2002, elevándose la relación inversión en TI/PIB a un 3,61%. En tanto, en Chile este coeficiente ha permanecido estancado desde 1999, en torno al 1,6% del PIB, sin que para este año se esperen cambios. Frente a este panorama, la posición del país no sólo va a la zaga en el contexto internacional, sino que también a nivel de los países emergentes, que son principales competidores en el escenario mundial. Para tener un orden de magnitud de la brecha existente respecto de los países desarrollados, se puede señalar que en Estados Unidos el 65% de la población cuenta con PC y que en el caso de las micro, pequeñas y medianas empresas, de acuerdo a la clasificación del país por número de empleados, sólo el 11,5% del total no posee un



72

computador. Este porcentaje promedio va desde un 16% para negocios muy pequeños, con menos de cinco empleados que equivalen a lo que en Chile se denomina micro empresas, hasta un 3,4% en empresas medianas de entre 50 a 99 empleados. En cuanto a aplicaciones (software), en promedio el 62% del conjunto de empresas mencionadas cuenta con un programa de gestión del tipo contable de amplia cobertura, es decir, el 70% de las empresas que tienen PC. Este promedio tiene una variación entre 56% para el total de micro y 70% para el total de medianas empresa, porcentajes que, respecto de las que cuentan con PC, ascienden a 66% y 73%, respectivamente. Para avanzar en forma más acelerada en la incorporación de PC y servidores en el mercado nacional, un factor clave es la educación y capacitación. El impulso inicial dado por la revolución de Internet ya se generó, por lo que faltaría tomar conciencia de los beneficios de la tecnología en el ámbito productivo y de servicios; que su uso no se limite a información y comunicación. Si se considera la incidencia del gasto en servicios de entrenamiento y educación dentro de la inversión total en TI, Chile obtiene un resultado relativamente satisfactorio, con una cifra de 2% para el 2001 y una estimada de 2,2% para este año, que se comparan con la participación registrada a nivel mundial y Estados Unidos, de 2,6% y 2,8% respectivamente en ambos años. Sin embargo, es la base la que todavía está muy lejos del promedio mundial, pues la inversión de Chile en TI representa un 1,6% del PIB, coeficiente que en Estados Unidos alcanza a un 4,4%. Por lo tanto, si bien la distribución del gasto en TI puede ser armónica, en el sentido que se contemplan todos los factores que se requieren para un uso eficiente de los recursos destinados a esta área, lo fundamental es que el nivel de la inversión en tecnología y, por ende, de sus componentes es bajo. 2.3.3.- Usuarios de Internet A partir del año 2001 las estimaciones sobre población con acceso a Internet se modificaron ya que la cantidad anunciada era menor que la real. Desde ese año las cifras han sido corregidas, estimándose una población de 3.100.000 usuarios para fines del 2001 de acuerdo al último reporte de la Subsecretaría de Telecomunicaciones. Esta cifra representa una penetración del 21% de la población, la más alta de Latinoamérica. Las proyecciones del Centro de Estudios de la Economía Digital de la Cámara de Comercio de Santiago, en tanto, prevén que el año 2004 la penetración de Internet llegará al 30% de la población chilena, lo que corresponderá a cerca de 5 millones de usuarios a nivel nacional.



73

Datos de las encuestas realizadas asignan una participación por género de un 57% a hombres y de un 43% en la Región Metropolitana. Esta zona además concentra el 46% de los usuarios del país, la Quinta y Octava regiones dan cuenta, en conjunto, de un 23% adicional de los usuarios totales. El 31% restante se reparte entre el resto de las regiones del país, destacando la Séptima, Novena y Décima, con un 5% cada una. En relación a la composición etárea de la ciberpoblación chilena, el 17% tenía menos de 16 años, el 28% entre 12 y 18, el 24% entre 19 y 29 años, el 19% entre 30 y 44 y el resto (12%) tenía más de 45 años. Después del hogar, el trabajo es el principal lugar en el cual las personas acceden a Internet (un 11%) especialmente en el caso de las pertenecientes al estrato ABC1, los hombres y las personas de entre 20 y 24 años. La conexión desde el lugar de estudio, en particular la universidad (un 10%) es especialmente relevante para el estrato C2 y, obviamente, para las personas de menos de 25 años. Hábitos de uso El Instituto de Sociología de la P. Universidad Católica y el Centro de Economía Digital sobre datos de estadísticas realizadas por El Panel.com concluyen que los internautas declaran utilizar esta tecnología principalmente como medio de entretención (30%) y estudio (24%). El 21%, en tanto, dice utilizar Internet para obtener información, y el 15% por motivos de trabajo. En términos de la distribución de estos usos, existe (al igual que en el caso de la antigüedad de la conexión) una distinción por sexo y edad. Las personas pertenecientes al estrato ABC1, los hombres y las personas de más de 25 años de edad manifiestan utilizar mayoritariamente como una herramienta de trabajo. Por su parte, entre las personas de los estratos C2 y C3 y las mujeres, tiende a predominar un uso de Internet más asociado al estudio y a la entretención (esto último es especialmente cierto para los menores de 24 años).

En relación al origen de los sitios visitados desde los hogares, se estima que aproximadamente el 45% corresponde a páginas chilenas, proporción que no registró cambios significativos durante el año 2001.



74

Hábitos de compra Aproximadamente el 20% de los usuarios declara haber realizado alguna compra por Internet. La mayor parte de quienes han hecho compras corresponde a hombres (74%), al estrato ABC1 (59%), con edades entre 20 y 34 años (55%) y conectados a Internet por más de 3 años. Los compradores más intensivos (más de 10 compras) corresponden al mismo perfil, exceptuando su rango etáreo, que se ubica de preferencia en el segmento de entre 35 y 49 años.



75

Respecto de su conducta futura, de acuerdo a datos del Instituto de Sociología PUC y el Centro de Economía Digital, los usuarios señalan:

¿Comprará por Internet en los próximos 3 meses?

Probablemente NO; 23%

Probablemente SI; 15%

No lo sabe; 32%Definitivamente NO;

20%

Definitivamente SI; 10%

En relación a las motivaciones de compra, una encuesta realizada en noviembre del 2001 por el Centro de Estudios de la Economía Digital detectó un cambio en los patrones hacia una estructura más parecida a la que presentan los consumidores en países desarrollados. De este modo, un tercio de los consumidores elige el medio por sus precios, el 27% por su comodidad, el 16% por la mayor disponibilidad de productos y el 15% por la rapidez de comprar en Internet.

Los evidentes cambios que exhibe la estructura motivacional de la demanda a fines del 2001 constituyen un reflejo del surgimiento de la oferta local en Internet, y de una mayor madurez de los consumidores en el uso del medio. En cuanto al destino de sus compras, el 80% utiliza sitios nacionales y el 20% extranjeros. El 52%, en tanto, declara comprar habitualmente en sitios de grandes tiendas. Respecto al monto promedio de sus compras mensuales, el 20% las sitúa en menos de $ 20.000, el 43% entre $ 20.000 y $ 50.000 y el 37% en más de $ 50.000. El monto promedio se estima en aproximadamente $ 53.000 mensuales. De acuerdo al mismo estudio citado anteriormente, los inhibidores de compra en Internet son que se exponen en el siguiente gráfico:



76

Impacto sobre el empleo Se supone que el gasto en Tecnología de la Información debiera crecer en los próximos años según proyecciones de la industria debido a la “Revolución Tecnológica”, que incluye una adopción masiva de Internet para la Nueva Economía en Chile. Por lo tanto, se espera una expansión del PIB y de los incrementos en productividad. Por otra parte, se espera que la capacidad de absorción de la tecnología aumente en los próximos años, a medida que se extiende la dotación e incorporación hacia un mayor número de sectores. Esto implicaría acercarse al umbral del “estado de las artes” en la adopción de las tecnologías de información. De esta forma, el impacto de la “Revolución Tecnológica” sobre el empleo se puede estimar considerando tres efectos: a) Un efecto directo positivo, sobre la creación de empleo asociado al sector de TI, en

sectores como servicios computacionales y de diseño, desarrollo de software, soporte, capacitación y otros.

b) Un efecto directo negativo, sobre la destrucción de empleo, debido a que no todo el empleo generado por el gasto en TI es un incremento neto. La adopción de una nueva tecnología implica la liberación de empleo desde otros sectores de la economía, al existir sustitución de trabajo por hardware e incrementos en productividad.

c) Un efecto indirecto debido a que un mayor crecimiento del PIB por incrementos en productividad y a la incorporación del gasto en TI, genera una mayor demanda de trabajadores. El mayor aporte de análisis respecto a las estimaciones tradicionales de crecimiento, es que se está considerando el gasto en TI que incluye hardware, software y servicios, como un factor más de producción. Aunque parte del hardware esté contabilizado como capital fijo en los análisis tradicionales, muchos componentes no lo están y tampoco el software y los servicios.

2.3.4.- Uso de Internet en las empresas De acuerdo a los datos recopilados por la Cámara de Comercio de Santiago61 entre 1.744 empresas a nivel nacional, el 61% de las firmas contaba en 2001 con alguna forma de acceso a Internet, y el 11% había desarrollado sus propios sitios web. Ambos resultados se encuentran fuertemente influidos por los indicadores del segmento microempresas, que debido a su tamaño y naturaleza presentan mayor variabilidad.

61 El informe donde se analizan y exponen los antecedentes del año 2002 aparece publicado a mediados del 2003.



77

Porcentaje de Empresas con Conexión a Internet y Sitio Web (2001)

Tamaño Internet Sitio Web

Micro 57,6% 8,5% Pequeña 77,2% 21,1% Mediana 92,7% 35,7% Grande 97,2% 62,7%

TOTAL 61,4% 11,2%

Los resultados de conectividad reflejan un crecimiento significativo en relación a la situación observada a fines de 1999, cuando un 42% de las empresas disponía de acceso a la red. La mayor expansión se verifica en el segmento de microempresas, cuya tasa de conectividad pasó desde el 37 al 58 por ciento. En pequeñas empresas también se registró un aumento importante en la penetración de Internet, desde un 64% a un 77%. Los segmentos de medianas y grandes empresas, que ya presentaban altos grados de conectividad, experimentaron crecimientos menores, pese a lo cual superan el 90 y 95 por ciento, respectivamente.

Uso Habitual de Internet en la empresas *, 2001

Comunicarse por mail Buscar Información Comprar Vender

98% 93% 18% 10%

*: Sobre total de empresas conectadas

Uso Transaccional de Internet en las empresas * 2001

Tamaño Venden en Internet

Compran en Internet

% de sus compras en

Internet

Micro 4,1% 9,9% 20,0%

Pequeña 13,9% 15,9% 8,3%

Mediana 20,0% 20,0% 7,5%

Grande 29,4% 27,1% 5,0%

TOTAL 6,1% 11,15 17,9% Fuente: Centro Economía Digital CCS *: Sobre el total de empresas con o sin conexión a Internet

En cuanto a los inhibidores para realizar ventas a través de Internet, la mitad de las empresas mencionan el considerarlo no relevante para su negocio, mientras que el 26,3% reconoce problemas de infraestructura interna y el 20,6% mantiene temores asociados a materias de seguridad.



78

En materia de presencia de Internet a través de sitios web, el espacio para el crecimiento es aún amplio en todos los segmentos. En el caso de las grandes empresas, el porcentaje de sitios web deberá crecer desde poco más del 60% a cerca del 90% hacia el año 2006. Las medianas empresas, en tanto, se acercarán a su madurez en rangos del 60% (2006), mientras que las pequeñas empresas se debieran estabilizar en torno al 40% y las microempresas en niveles del 20%. A nivel internacional, las empresas de los países desarrollados llevan claramente la delantera en los usos productivos de las tecnologías Internet. Aunque Chile se mantiene en una posición privilegiada dentro de Latinoamérica, aún le queda camino por recorrer.

2.3.5.- Aspectos legales de la Economía Digital Si bien en un principio el desarrollo de la Internet se produjo en forma libre y sin regulación alguna, la aparición del comercio como elemento principal de las operaciones en la red ha hecho necesaria una regulación legal, que permita otorgar ciertas seguridades en relación a una serie de elementos que deben encontrarse presentes en la actividad económica electrónica para evitar abusos y conflictos que terminen entrampando la Economía Digital. Puede decirse que en el ámbito internacional las regulaciones son incipientes, pero van en aumento. De un análisis global de la situación de la regulación legal del Comercio Electrónico, se advierten dos grandes tendencias, que con matices tienden a diferenciarse, especialmente en cuanto al principio que rige la actuación de los diversos actores del comercio.



79

Esta diferente visión de los diversos aspectos del comercio no es nueva, y no es otra cosa que la transposición de las posturas pro regulación y anti regulación, propias de los dos grandes sistemas legales occidentales, que corresponden a la Unión Europea y a Estados Unidos, respectivamente. Legislación comparada Para dar la seguridad necesaria a todas las actividades en la red, los distintos países han venido discutiendo a nivel interno e internacional la creación de normas mínimas lo más homogéneas posibles que permitan asegurar que no se negará la existencia ni la validez de un documento encriptado o firmado digitalmente. El objetivo principal es superar obstáculos jurídicos internos de los países que dificulten el empleo y la expansión del Comercio Electrónico. A raíz de lo anterior, a partir de 1995 diversos organismos ligados al derecho y a las Tecnologías de la Información (TI) empezaron a discutir el marco jurídico que permitiera contar con tecnologías seguras para garantizar el desarrollo del Comercio Electrónico.

Situación de legislaciones sobre Comercio Electrónico en el mundo

Italia Mayo 1997 Alemania Noviembre 1997 Singapur Febrero 1999 España Septiembre 1999 Estados Unidos Enero 2000 Inglaterra Febrero 2000 Francia Marzo 2000 Austria Junio 2000 Bélgica Julio 2000 Japón Abril 2000 Canadá Marzo 2001

Fuente: CCS abril 2001

Dentro del contexto latinoamericano, casi todos los países se encuentran discutiendo o han promulgado normas legales que regulan estas materias.

Estado de Leyes sobre Firma Digital en A. Latina

Puerto Rico Agosto 1998 Colombia Agosto 1999 México Mayo 2000 Perú Junio 2000 Venezuela Marzo 2001 Argentina Agosto 2001 Ecuador En trámite Uruguay En trámite Brasil En trámite Panamá En trámite Chile Marzo 2002

Fuente: CCS Todas estas normas pretender dar regulación a los nuevos servicios que se generan a raíz de la instauración de la Firma electrónica, y en mayor o menor medida recogen las disposiciones al respecto emanadas de Uncitral62 y de la directiva de la Unión Europea.

62 Comisión de la Naciones Unidas para el Derecho Mercantil Internacional, dicha institución ha desarrollado una estructura legal tipo de Comercio Electrónico para que los países la adopten en sus legislaciones internas.



80

El siguiente es un cuadro comparativo de las principales cuestiones que regulan las normas legales en esta materia.

Características de las legislaciones Latinoamericanas sobre firma Digital Porcentaje de países que cumplen con la característica

Fuente: CCS La interpretación y adaptación de las normas internacionales en estas materias ha sido en general dispareja, aunque se encuentra mayoritariamente presente de una u otra forma en los articulados. El punto más importante, la Equivalencia Legal de la firma digital a la firma tradicional se reconoce en todos los países de la región. No ocurre lo mismo con la neutralidad tecnológica, aunque todos los países que no la contemplan adhieren al sistema de criptografía de llave pública, por lo que en la práctica los sistemas serán similares. Los temas complicados serán sin duda las distintas visiones que existen en cuanto al requisito de registro previo de las entidades certificadoras para operar y las diversas visiones en cuanto a la homologación de certificados emitidos por entidades extranjeras. Es así como ciertos países de la región exigen registro previo, otros distinguen en cuanto a los efectos de estar inscritos o no y los últimos se rigen por un sistema de inscripción libre. En el caso de la homologación, cuatro países no reconocen automáticamente los certificados extendidos por entidades certificadoras extranjeras, imponiendo como requisito la suscripción de tratados internacionales previos, lo que supone una traba al Comercio Electrónico. Ley Chilena sobre Firma Digital63 La primera iniciativa legal en materia del Comercio Electrónico en Chile fue la que estableció la firma electrónica al interior de la administración pública, promulgada en junio de 1999. En agosto del año 2000, en tanto, ingresó a la Cámara de Diputados el proyecto de ley que pretende regular el uso de la Firma Digital y de las Entidades Certificadoras. Posteriormente, el proyecto recibió suma urgencia en marzo de 2001 y en abril se accedió a legislar en la sala de diputados, finalmente, luego de varios meses, en Marzo del 2002 fue aprobada la Ley 19.799 sobre documentos electrónicos, firma electrónica y los servicios de certificación de la misma. PRINCIPALES DISPOSICIONES DE LA LEY DE FIRMA DIGITAL Igualdad Legal Los actos y contratos electrónicos tendrán la misma validez que los

actos y contratos tradicionales, con la excepción de los actos solemnes no celebrables por medios electrónicos, los actos personales y los actos de familia.

Valor Probatorio Los documentos electrónicos firmados digitalmente y cuya firma

haya sido emitida por una entidad certificadora acreditada, tendrán el valor de escritura pública o privada, de acuerdo a las reglas generales.

Servicios de Cualquier persona jurídica, nacional o extranjera (con domicilio

registrado en Chile, excepto las empresas de países con tratado internacional con Chile, las que no requieren presencia física en el país para prestar servicios), puede ofrecer este servicio.

63 La Ley sobre firma electrónica la podrá encontrar completa en el CD que se adjunta a la Tesis.

100%

100%

64%

64%

55%

55%

45%

Control Certif icadores

Equivalenc ia Legal

Homologac ión

Responsabilidad Certif icador

Neutralidad Tecnológica

Regis tro Prev io Certif icador

Mantenc ión Datos

Certificación



81

En cuanto a la forma en que se prestarán los servicios, estas empresas deberán cumplir con requisitos que exige la ley y el reglamento, el que se dictará una vez que la ley entre en vigencia.

Acreditación Las entidades certificadoras podrán someterse libremente a un sistema de acreditación ante la autoridad pública respectiva (Ministerio de Economía).

Certificados Las empresas certificadoras deberán mantener un registro de

todos los certificados que emitan por un plazo de a lo menos 6 años.

Comparecencia Primera solicitud de certificación electrónica requiere presencia

física del solicitante. Las empresas certificadoras serán responsables de daños Y

perjuicios que se ocasionen en el ejercicio de su actividad con ocasión de la emisión de certificados. Pero no lo serán en casos de mal uso de los certificados.

En caso de conflicto, las empresas certificadoras serán las que

deberán probar que actuaron diligentemente (se invierte la regla tradicional de que quien alega algo debe probarlo).

Seguridad Para todos los efectos de las eventuales responsabilidades de las

empresas certificadoras, por certificados mal extendidos, la ley exige la contratación de un seguro. El monto mínimo del seguro asciende a 5.000 Unidades de Fomento.

Homologación Los certificados de entidades certificadoras extranjeras tendrán en

el país el mismo valor que un certificado emitido por una entidad nacional, siempre y cuando los certificados sean homologados por alguna empresa certificadora nacional, bajo su responsabilidad.

Nombres de Dominio (Direcciones en la Web) El nombre de dominio corresponde al número o dirección de un nodo o sitio en la red. Desde 1987 el registro de nombre de dominio .CL en Chile está a cargo de Nic Chile (Network Information Center Chile), el que es administrado por el departamento de Ciencias de la Computación de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile, por delegación del organismo internacional responsable de asignar direcciones en Internet, la Internet Assigned Numbers Authority (IANA). Legislación Aplicable y Competencia entre Distintas Jurisdicciones Una de las consecuencias que el acelerado desarrollo del Comercio Electrónico ha producido es el aumento de los conflictos que tienen su origen en transacciones realizadas por esta vía, lo que ha dado origen a un problema para el derecho que pretende regular la red. ¿Quién es el juez competente para conocer de los problemas que se dan en la red? El problema se origina en que la red por definición es aterritorial. Si los computadores de los involucrados se encuentran en un mismo país, el problema es más fácil, ya que se debe resolver aplicando las reglas de competencia propias de cada país. El problema se suscita en el caso de que las partes operen desde países distintos, por lo que en casos de algún incumplimiento se pueden presentar problemas si no se ha determinado de antemano a qué legislación someterse. La red puede generar en la práctica una competencia entre estados para ofrecer a las empresas de Comercio Electrónico las mejores condiciones para operar, y dentro de éstas un aspecto que las empresas podrían considerar es el relativo a la regulación e impuestos aplicables a empresas de e-commerce que fijen su residencia en un determinado estado. Lo anterior puede llevar a la constitución de algunos “paraísos legales” donde las regulaciones que se apliquen a empresas que fijen su domicilio en esos países para operar desde ahí en la red sean mucho menos rigurosas en diversos aspectos, lo que produciría crecientes problemas de jurisdicción entre los estados.

Emitidos

Prueba de la Responsabilidad

Responsabilidad de Empresas Certificadoras



82

Mecanismos Alternativos de Solución de Controversias La tendencia mundial actual se inclina por la autorregulación ligada a programas de sellos de confianza que integren mecanismos alternativos de solución de controversias. Dentro de estos mecanismos destacan los procedimientos de consultas y reclamos y, en caso de no resolverse el conflicto por esta vía, la mediación y el arbitraje. Tal como sucede hoy respecto de los conflictos no relacionados con el Comercio Electrónico, todas aquellas controversias que deriven de transacciones realizadas en la red pueden, en caso de acordarlo así las partes involucradas, ser sometidos a mediación y arbitraje. Este último mecanismo constituye una eficaz herramienta para resolver contiendas que involucren a personas o empresas radicadas en Estados diferentes, ya que resuelve problemas de jurisdicción al ser ejecutable la sentencia arbitral en todos los países que, como Chile, han suscrito la Convención sobre Reconocimiento y Ejecución de Sentencias Arbitrales Extranjeras, conocida como Convención de Nueva York del año 1958. Considerando la naturaleza de los conflictos de la red, es lógico pensar en que estos sistemas de reclamo, mediación y arbitraje sean ofrecidos a través de fórmulas on-line. Esta tendencia ha comenzado a implementarse en el mundo, principalmente por instituciones que hasta la fecha se han especializado en la oferta de servicios de mediación y arbitraje para los conflictos del mundo no virtual. Tributación Internet es una red de comercio y de intercambio de información repartida por todo el mundo, por lo que a través de ella se realiza comercio de bienes y servicios tanto nacionales como internacionales. Obviamente los estados están interesados en cobrar los impuestos derivados de esas transacciones. Las transacciones nacionales en general no presentan problemas, ya que la operación se realiza dentro de un mismo país y por lo tanto se aplican las normas impositivas del país en cuestión. Se destacan en cuanto a tributación de comercio en Internet dos temas, uno propiamente derivado de las operaciones que involucran comercio de un estado a otro, como puede ser el problema de la doble tributación que se genera al realizar operaciones de comercio en la red, y por otra parte, la tendencia incipiente que se está dando en ciertos legisladores y organismos públicos de algunos países que pretenden aplicar impuestos adicionales a las operaciones que se desarrollan en la red. Doble Tributación El Comercio Electrónico entre empresas que operan en distintos países ha generado problemas de doble tributación. Al comprar en un país, el vendedor debe hacerlo cargando al valor de venta los impuestos respectivos y el comprador si se trata de un consumidor final, al adquirir debe cancelar el valor del bien más los aranceles de ese país y el IVA o su equivalente, con lo que se produce el problema de que un producto estaría pagando IVA dos veces, lo que no se da en el comercio tradicional de bienes y servicios. Este es un problema que entraba el desarrollo del Comercio Electrónico exterior, ya que las personas lógicamente preferirán pagar una vez el impuesto respectivo aunque se demoren un poco más. La solución pasa por incluir en los tratados bilaterales o multilaterales normas por las cuales los países se comprometen a no cobrar IVA a los productos que se venden a terceros países cuando la operación se desarrolla a través de la red o establecer mecanismo de devolución de IVA cuando se acredite que la operación se realizó a empresas de la red que no registran domicilio en el país. Impuestos al Comercio en Internet Desde hace un par de años los legisladores de países en los que el Comercio Electrónico se ha desarrollado más que en Latinoamérica han pretendido aplicar impuestos específicos a las operaciones realizadas por Internet. Se ha pretendido incluso cobrar un impuesto especifico al acceso a la red o también cobrar por envío de correos electrónicos. A raíz de lo anterior en el año 1998 se aprobó en EE.UU. la “Internet Tax Freedom Act” (publicado como Ley 105 – 277, el 21 de octubre de 1998), que estableció una moratoria para cualquier tipo de cobro de impuestos relativos a Internet, ya sea de cobro por el acceso a la red como cobro por acceso a contenidos, correos electrónicos, u otros servicios ofrecidos por la red. Esta moratoria se mantendría vigente hasta el 21 de octubre de 2001, la idea es evitar el



83

establecimiento de impuestos adicionales a los que ya se cobran por las transacciones comerciales que entraben el desarrollo del Comercio Electrónico. Así también el gobierno español ha planteado recientemente su disposición a regular el Comercio Electrónico considerando las empresas de este sector como establecimientos permanentes y poder así aplicar impuestos a estas empresas. El tema nace en que los gobiernos buscan por una parte aumentar su recaudación de impuestos y por la otra evitar pérdidas o disminuciones de recaudación por las operaciones de Comercio Electrónico que realizan empresas y personas. El problema es que la fijación de impuestos a las operaciones de Comercio Electrónico claramente pueden producir un freno al desarrollo de éste, debido al aumento del costo de operar por esta vía, ya que perfectamente los impuestos que puedan cobrar países que tienen que financiar déficit presupuestarios permanentes puede hacer más oneroso el comerciar de esta forma que por los medios tradicionales. Además, el gravar operaciones de Comercio Electrónico puede ser otra traba a la velocidad y desarrollo de las transacciones electrónicas. 2.3.6.- La seguridad en la Economía Digital A pesar de los continuados y crecientes intentos de convertir a Internet en un medio comercial seguro, la realidad, de momento, no parece ir por este camino. Los consumidores encuentran las compras online extremadamente inseguras, debido principalmente a los frecuentes escándalos relacionados con las tarjetas de crédito, a la constante amenaza cracker y al peligro de los virus y gusanos. Los diferentes gobiernos, las grandes corporaciones, y los fabricantes de seguridad informática están atacando el problema, pero no obstante, están de acuerdo en que, hasta ahora, los fraudes y delitos por Internet siguen en aumento.

Estadística de Fraude de Internet 1999 -200264

TIPO DE FRAUDE 1999 2000 2001 ENERO –JUNIO 2002

Subastas En línea 87 % 78 % 70 % 87 % Ventas de Productos Generales 7 % 10 % 9 % 6 % Ofertas de Dinero Nigeriano S/D* 1 % 9% 5 % Equipos/software de Computadora. 1.3 % 1 % 2 % 1 % Servicios de Acceso de Internet 2 % 3 % 2 % 0.4 % Servicios Informativos para Adultos 0.2 % 1 % 2 % 0.2 % Trabajo desde el hogar 0.9 % 3 % 2 % 0.5 % Préstamos de devolución de honorarios 0.2 % 2 % 1 % 0.05 % Viajes/vacaciones S/D S/D S/D 0.05 % Ofertas de Tarjetas de Créditos S/D 0.5 % 0.5 % S/D Franquicias/ Oportunidades de negocios S/D S/D 0.5 % S/D Apuestas / premios S/D S/D S/D 0.04 %

* Sin Datos

Los métodos de Contacto Los Sitios Web son el medio más común en el que los consumidores son engañados y se consuma un fraude por Internet, pero la estadística revela un aumento del número de contactos iniciales realizados por estafadores especializados en e-mails:

Métodos de Contacto Inicial Enero – Junio 2002

Sitios Web 92 % Correo electrónico 8 %

64 www.fraud.org



84

Métodos de Contacto de fraudes por Internet 1999-2001

Edad de los demandantes, 1999-2002

EDAD 1999 2000 2001 ENERO –JUNIO 2002

Bajo 20 años 2.3 % 2 % 4 % 3 % 20 - 29 19 % 20% 26% 25 % 30 - 39 29 % 28 % 28 % 29 % 40 – 49 28 % 29 % 24 % 25 % 50 – 59 15 % 15 % 13 % 13 % 60 – 69 4 % 6 % 4 % 4 %

70 + 0.7 % 1 % 1 % 1 %

Dinero Perdido La cantidad de dinero que los consumidores pierden por fraude de Internet está aumentando. Las pérdidas en general son US$ 7.209.196 de Enero a Junio del 2002. La pérdida media por persona durante el mismo período asciende a US$ 484.

Total de montos de fraudes por Internet 1999 -2001



85

Medios de Pago Generales Enero – Junio 2002

Orden de dinero 33 %

Tarjeta de crédito 29 %

Cheque 15 %

Tarjeta de débito 7 %

Débito bancario 6 %

Cheque cajero 4 %

Dinero efectivo 3 %

Otros 3 %

Medios de Pago para todos los fraudes por Internet 1999 - 2001

Lo que ocultan las Empresas La mayoría de las empresas temen ver perjudicado su prestigio…un estudio elaborado por la firma de asesoría global KPMG muestra las últimas tendencias de fraude en Internet. El 83 % de las empresas admite no haber emprendido nunca acciones legales tras sufrir un sabotaje en su entorno de Comercio Electrónico. Esta es una de las principales conclusiones a las que llega el estudio e.fr@ud (2001), realizado por KPMG Forensic & Litigation Services a nivel internacional. La investigación se llevó a cabo a través de 1.253 entrevistas en las mayores empresas públicas y privadas de 12 países de Asia, América y Europa. Según los resultados del estudio elaborado por KPMG, sólo el 9 % de los encuestados reconocen haber sufrido algún tipo de ataque en sus sistemas de seguridad en los últimos doce meses. Aunque el número de ataques registrado en el estudio es todavía bajo, pone de manifiesto que es un problema creciente en empresas de todo el mundo. Sin embargo, y pese a este incremento, sólo el 17% de las organizaciones que sufrieron algún tipo de sabotaje emprendieron acciones legales; este reducido porcentaje se debe, entre otras razones, a la inexistencia de medidas legales adecuadas contra el fraude informático, y a la falta de pruebas contra el trasgresor. El 72 % de las empresas estudiadas se muestran reacias a admitir que sus sistemas de seguridad han sido saboteados, por miedo a ver dañada su reputación, prefiriendo perseguir el fraude como un asunto interno, sin dar ninguna información al respecto a agentes externos. “La reacción inicial de muchas compañías ante sabotajes en sus sistemas es solucionar el problema y conseguir que su estructura informática vuelva a la normalidad. Sin embargo, en muchas ocasiones lo que se consigue en realidad es eliminar valiosas pruebas, haciendo casi imposible recuperar evidencias que permitan emprender acciones legales. Es como limpiar la escena del crimen sin revisar las huellas dactilares”, puntualiza Vicente Estrada, socio de Forensic & Litigation Services de KPMG España. Más del 65% de las compañías analizadas en el estudio de KPMG admitieron no realizar



86

Auditorías específicas de seguridad en sus sistemas de e-Commerce; y tan sólo la mitad de los encuestados tienen procedimientos de respuesta ante incidentes de este tipo. Por países, Italia lidera el ranking con un 37% de empresas preparadas contra este tipo de fraude, seguida de Australia, donde el 31% afirmaron disponer de dispositivos de prevención. Según las empresas consultadas por KPMG, las principales amenazas, son los crackers, la no implantación de una estrategia de seguridad y la falta de cultura corporativa antifraude. El estudio revela también que el 79 por ciento de los encuestados creen que existen mayores probabilidades de sufrir un ataque informático procedente de Internet o de otros accesos externos, que internos. Sin embargo, según argumenta a este respecto, David Ghosh, también socio de Forensic & Litigation Services, “No es una sorpresa descubrir que el mayor riesgo para las empresas reside en empleados antiguos o descontentos que conocen muy bien el sistema que sabotean. Los ataques a la seguridad cometidos por agentes internos crecen en función de la insatisfacción de los empleados y de la ética de la propia compañía”. El estudio revela que el país donde se experimentaron mayor número de asaltos a los sistemas de seguridad en el entorno e-Commerce, fue India con un 23% de empresas afectadas, seguida del Reino Unido y Alemania, ambas con un 14%. No obstante, como se ha comentado anteriormente, es muy probable que estas cifras estén por debajo de la realidad debido al alto volumen de violaciones de seguridad que jamás se denuncian o admiten. Otras conclusiones que el estudio e.fr@ud de KPMG revela:

• El 38% de las empresas estudiadas no comprueba los antecedentes de las compañías que les proporcionan servicios de desarrollo, mantenimiento y administración en sus sistemas de e-Business.

• El 62% de los encuestados han incluido el e-Business en sus negocios, desde el Business-to-Business o el Business-to-Consumer, al Consumer-to-Business.

• Los encuestados señalaron, de forma casi unánime, la seguridad de los números de las tarjetas de crédito y la información personal de sus clientes, como los puntos más importantes para la seguridad en su entorno e-Commerce. Sin embargo, menos del 35% de las empresas afirmaron tener sistemas de seguridad en este ámbito.

• La mayoría de las empresas participantes en la encuesta reconocieron que sus sistemas de seguridad online podrían ser mejorados por sistemas que controlen la penetración de un ataque informático, el uso de software específicamente diseñados para el entorno e-Commerce, junto con una mayor utilización de tecnología de encriptación.

• El 80% de los consultados creen que las empresas tradicionales y firmemente establecidas, son percibidas como más seguras que aquellas que están basadas en un entorno de Internet.

En nuestro país, los negocios realizados por Internet necesitan, quizás, de una credibilidad y confianza mayor, puesto que es necesario atraer hacia el uso de esta modalidad de comercio virtual. Por esto mismo las denuncias son muy escasas y además no salen a la luz pública. No existe un organismo que obligue a las empresas a informar de estas anomalías a fin de tomar las medidas respectivas que irán en directo beneficio del consumidor. De igual forma no son numerosas las denuncias formuladas por los consumidores. Se consultó al Sernac para la obtención de antecedentes relacionados a reclamos por parte de clientes engañados o insatisfechos, pero no disponían de esta información. Ante esto se tuvo que recurrir a medios alternativos, tal como los sitios web creados para que las personas se quejen por los malos servicios de las empresas, uno de ellos es www.meenoje.com y precisamente allí consultaban sobre la experiencia de comprar por Internet, a continuación algunas opiniones: He comprado electrodomésticos, línea blanca y software. La experiencia super, no tienes que perder el tiempo en buscar un vendedor que te atienda y lo mejor es que te evitas que te traten de vender la pomada. Además es rápido y seguro Compré un dominio y en realidad no he tenido ningún problema Sí, he comprado y el servicio es pésimo, en mejor comprar personalmente. Ha sido muy buena, yo compré un reloj y me llegó altiro He comprado libros, CDs y DVD. La experiencia era muy buena, hasta que Aduanas empezó a "tasar" los bienes comprados a su pinta y no respetar las facturas/bouchers/guías de despacho originales. He comprado electrodomésticos, electrónica, juguetería y menaje, en la tienda de Almacenes Paris, y siempre me han cumplido en los plazos. Mi experiencia es muy buena. He comprado un mueble y un plumón y mi experiencia a la primera no fue lo que deseaba, pero no hubo ningún problema en cambiar el tipo de producto



87

Varias cosas, y la experiencia ha sido buena (fiera.com) He comprado libros y videos (VHS), en general mi experiencia con las tiendas virtuales ha sido buenísima, el problema es Correos de Chile. Sí, he comprado, pero sólo una vez y no seguí comprando por que me decepcioné, los envíos son como son malísimos y la cosas también no son lo que dicen ser Sí, la verdad es que no ha sido muy buena, fue todo un fiasco Cd, lentes, boomerang, tv, video, mi experiencia ha sido buena, una vez me advirtieron en cduniverse.com que cancelara mi tarjeta de crédito porque les habían robado la base de datos, me pareció muy honesto. otra vez con ellos mismos no me llego un cd y al cabo de un tiempo de espera me enviaron otro sin cargo. Siempre compro ropa y juguetes en Disneystore.com, el envío es rápido, la mercadería es de excelente calidad. Resumiendo mi experiencia ha sido buena, yo creo que lo principal para comprar por Internet es hacerlo en un sitio seguro, conocido. He comprado CD´s y Juegos de salón a sitios de EE.UU., sin problemas Ha sido en general buena, no obstante, en Almacenes Paris compré un mueble que venía con una falla y se demoraron 3 semanas en retirarlo y devolverme el dinero La experiencia de compra ha sido buena. Lo malo es el Correo donde se encargan sistemáticamente de violar los paquetes. Compré linux redhat 5.1 hace 2 años, cero drama, llego en 8 días, directamente de la redhat, luego devolví las tarjetas porque me devoré el crédito, fin de las compras por Internet, no tengo tarjetas de crédito. Se podrían usar tarjetas de débito, tipo red compra. He comprado un mueble y un plumón y mi experiencia a la primera no fue lo que deseaba, pero no hubo ningún problema en cambiar el tipo de producto He comprado en remates, y ha resultado todo ok en artículos Electrónicos He comprado libros y cd´s. La experiencia ha sido buenísima, siempre ha llegado en el plazo correcto y ningún problema con la tarjeta de crédito. Un par de regalos pequeños (para mi madre) en Almacenes París. Todo fue realizado acorde a lo solicitado, pero el cargo por envío no fue acorde con lo explicitado. Estimo que la causa reside en la imprecisión de la descripción de los cargos. He comprado muchas cosas por Internet, en Almacenes Paris y en el supermercado Hey.cl, la página, el servicio y los precios son excelentes. Hace dos años compré unos pc's portátiles en un sitio web de estados unidos...y para qué voy a mentir??.....tal y como dijeron que llegarían llegaron...ningún problema.....si hasta me dieron un numerito de control de la empresa que los transportaba y uno veía en línea en que parte del viaje estaban los benditos portátiles....la experiencia fue buena.....muy buena....en un sitio nacional nunca he comprado....no sé como sea comprar acá..... He comprado una cocina y un refrigerador. Mi experiencia ha sido buena, pero no excelente. Compré software y nunca lo pude usar, la nota de venta indicaba que si no estaba conforme antes de 30 días me devolvían mi dinero, pero nunca pude encontrar el link o icono para indicar mi disconformidad, así es que perdí US $80. Compré mi cocina y una cómoda en almacenes parís y mi experiencia ha sido buena, aunque primero fui a la tienda "real" para ver el artículo, medirlo, etc. Me llamaron para ver si yo era yo y cuando podían ir a dejarlo, y aunque la segunda vez fueron cuando dije que no (en fin.. no hubo problemas. otra cosa, por lo que he visto acá y según mi experiencia personal, no dejan la boleta sino una orden de despacho, o algo así, pero no la BOLETA. Eso con la tienda grande, ahora, hay muchos sitios en que si no tienes tarjeta de crédito (visa, master, etc) no puedes comprar y eso debería solucionarse, para aprovechar cuando REALMENTE hay ofertas. Como con todo en la vida, igual hay que cotizar en otras tiendas, físicas y virtuales, y averiguar cuanto cobran por irlas a dejar a la casa... ¡la cosa es que valga la pena!! Un libro, llego rápido, caro el envío, una tableta Wacom, fue un desastre, la compré en Beyond.com y se demoraron más de un mes en enviarla porque se les había agotado, un antivirus con download, bien, también lo compré en beyond.com, más barato que en otras partes, no tuve problemas de ningún tipo. No he comprado nada todavía... además los DVD te los requisan. Insumos para computación, la compra es contra entrega y no he tenido ningún problema, la experiencia con esa empresa ha sido buena. Compré un mouse de tacto y libro a EEUU. Me salió muy caro, con el correo el 2º no usaba Tarjeta de crédito y envié dinero(incómodo no?)

Comentarios favorables y desfavorables en torno al Comercio Electrónico, y es normal, pero es lamentable que no se norme y eduque en torno a qué procedimientos debe seguir una persona que ha sido engañada en la red, pues, suponiendo que se efectúa una compra a alguna empresa nacional o internacional y sucede que no se cumple lo pactado, ¿A quién se acude?, si la entidad comercial no responde ¿Cómo se hace un reclamo formal?. En esta materia el Sernac o algún otro organismo competente debiera implementar políticas claras en torno a denuncias por este tipo de situaciones, lo adecuado sería adoptar procesos utilizados por organismos internacionales, tales como el Centro de Información Nacional del Fraude (NFIC) de Estados Unidos, que fue creado por la Liga de Consumidores Nacionales y cuyo objetivo es luchar ante la amenaza creciente de fraude (específicamente en telemarketing y Comercio Electrónico). El Sernac, por ejemplo, podría crear un departamento especial65 dedicado a las estafas o reclamos por Comercio Electrónico o negocios similares de la Nueva Economía, podría tener un número telefónico gratis, o un mail, para el asesoramiento de los consumidores. La forma de recibir una denuncia formal sería

65 Se considerará el tema del Comercio Electrónico en la Nueva Ley del consumidor, aún en proyecto.



88

mediante una carta, pero para agilizar el trámite se podría completar un “Informe de Incidente en Línea” 66, disponible en el sitio web del organismo, la información requerida será el nombre de la empresa, dirección (de la página web o dirección física si es que tiene presencia real la empresa), el número de teléfono de la entidad, la descripción del producto o servicio adquirido, la cantidad de dinero cancelado, la forma de pago, la fecha de primer contacto con la empresa, la fecha de pago, su nombre, dirección y el número de teléfono, y una descripción resumida de lo sucedido, del problema. La información proporcionada será confidencial y una vez recepcionados los antecedentes (fotocopias, guías, facturas, etc) se procederá a una investigación.

Es una alternativa para dar confianza a los consumidores de forma que no se sientan intimidados y sin apoyo ante una situación de este tipo.

La preocupación de las Empresas Es evidente la creciente preocupación de las empresas sobre los niveles de seguridad de sus sistemas informáticos, y no solamente para ellas es apremiante, también para el gobierno y para las personas lo es. Las más recientes inversiones en esta área han estado lideradas por la implementación de tecnologías que otorgan seguridad al Comercio Electrónico, en la medida en que una gran masa de empresas ha dirigido sus políticas de negocios hacia Internet, dado los fuertes beneficios potenciales que dicha tecnología otorga. La seguridad de las transacciones electrónicas pasó a ser un paso ineludible para impulsar y masificar los negocios a través de red. Si bien los problemas de seguridad de los sistemas informáticos han existido de hace mucho tiempo, los riesgos estaban medianamente controlados. Con el surgimiento de Internet apareció un conjunto numeroso de nuevos problemas de seguridad, profundizándose adicionalmente los ya existentes.

A su vez, durante el año 2000 los principales proyectos de las empresas estuvieron dirigidos a otorgar seguridad en la red y las operaciones de Comercio Electrónico, seguidas el despliegue de mecanismos que previenen la intrusión externa de los sistemas informáticos.

66 El informe (en inglés) se encuentra en el CD que se adjunta a la tesis, en la carpeta CAPITULO II.

Principal Preocupación de los Ejecutivos en Seguridad Informática

26%

4% 5% 20%

20%

25%Órdenes maliciosas (virus y ejecutables hostiles)Seguridad físicaOtrosExplotación de debilidades de hardware y del S. OperativoDisponibilidad del SistemaPérdida de Privacidad y/o Confidencialidad



89

Diversas encuestas dan cuenta que las causas de los problemas de seguridad de las compañías provienen principalmente de orígenes internos67 por sobre las causas externas. Dentro de las primeras destacan algunas de uso generalizado, como la instalación de software no autorizado, y la infección de los equipos de la empresa por virus. Otros quiebres de seguridad suelen ser menos comunes, pero sus efectos pueden ser más dañinos, entre ellos se encuentra la destrucción o divulgación malintencionada de información confidencial o simplemente el fraude. Dentro de las brechas de origen externo, las más comunes, por lejos, son los virus, seguidos de la negación de servicio y un conjunto de ataques destinados a dañar distintas partes de los sistemas informáticos.

Uso de herramientas de Seguridad en la Empresa En la actualidad muchas empresas están realizando o pretenden llevar a cabo actividades de Comercio Electrónico a través de un sitio web, intranet o extranet. Este sólo hecho aumenta sustancialmente los riesgos de tener brechas de seguridad tanto de origen interno como externo. Para combatir estos riesgos, las instituciones utilizaron durante el año 2000 una serie de herramientas y productos de seguridad con el fin de prevenir los daños potenciales a sus actividades B2C y B2B. Estas medidas están dirigidas a asegurar distintas partes de los sistemas informáticos, protegiendo el perímetro de los sistemas, la identidad de los entrantes, y la seguridad en los canales de conexión. La herramienta más utilizada es el requerimiento de identidad de usuario, junto a su clave asociada, instrumento que se utiliza con el fin de autentificar la identidad del entrante. Le sigue en frecuencia de uso de los firewalls que permite asegurar el perímetro de los sistemas informáticos y los sistemas de encriptación que protegen las transacciones electrónicas en sus canales de conexión.

67 Se entiende por causas internas, aquellas brechas de seguridad producidas por los empleados de tiempo completo o parcial de una empresa, trabajadores contratados, consultores, compañías asociadas y proveedores. A su vez, se entiende por causas externas a todo el resto no incluido en lo anterior.

Principales Proyectos o Programas en Seguridad Informática durante el año 2000

25%20%

16%

13%

9%8%

3%

6%

Seguridad en la web y en operaciones de E-Commerce

Prevención de intrusiones externas

Políticas de seguridad con administración centralizada

Acceso remoto seguro

Prevención de acceso no autorizado para empleados

Traspaso de mensajes y e-mail inseguros

Seguridad de las bases de datos

Otros

Problemas de Seguridad más Comunes entre las Compañías Latinoamericanas.

6%

7%

15%

16%

19%

24%

74%

Acceso por Fax/modems

Vandalismo de contenido

Acceso a información

Modificación de datos

E-mail / aplicaciones

Negación de servicios

Virus



90

La intensidad de uso de las diferentes herramientas depende básicamente de su costo y del nivel de seguridad que se requiera alcanzar. El requerimiento de identidad de usuario es de alta frecuencia (86% en B2C y 85% en B2B) debido a su bajo costo, sin embargo el nivel de seguridad que otorga esta herramienta es sumamente débil. El despliegue de una PKI68 y la utilización de certificados digitales suele ser de alto costo, pero el nivel de seguridad que otorga esta tecnología es a su vez elevado. Por tanto, no es sorprendente que en los países más avanzados el 45% de las empresas que realizan transacciones B2B y el 39% de las empresas que operan el segmento B2C hayan utilizado durante el año 200069 los certificados digitales, dado que muchas transacciones de Comercio Electrónico implican la utilización de números de tarjetas de crédito, números de cuentas corrientes y órdenes de compra, entre otros, requieren necesariamente estándares de seguridad adecuados.

CONTROLES DE SEGURIDAD PARA EL COMERCIO ELECTRÓNICO ( Porcentaje de instituciones que están usando herramientas y productos de Seguridad en sus iniciativas de e-commerce) HERRAMIENTAS B2C B2B

Identificación de Usuario / Clave 86 % 85 % Firewalls / Paquetes de Filtrado n.d. 79 % Encriptación Transaccional (SSL / SET / SHTTP) 67 % 60 % Segregación de Servidores (DMZ) 50 % 51 % Controles de Aplicación Específico 44 % n.d. Autentificación de Servidores (Kerberos, Radius, Ras)

40 % 46 %

Certificado Digital / PKI 39 % 45 % Encriptación de punto a punto (VPNs) 38 % 56 % Circuitos Dedicados 20 % 36 % Tokens de Autentificación (fuertes o suaves, incluidas las tarjetas inteligentes)

20 % 29 %

Otros 3 % 3 % Ninguno 3 % 1% Si bien es cierto que la PKI es una tecnología que otorga elevados niveles de seguridad a las transacciones electrónicas y que además no tiene sustitutos en la actualidad, a su vez es necesario recalcar que ninguna tecnología, herramienta o software en particular, otorga completa seguridad para todas y cada una de las actividades de una empresa. La mayoría de las veces se requiere de un conjunto de herramientas unido al diseño e implementación de una política de seguridad adecuada para cada compañía. En el ámbito de la seguridad de los sitios Web en general, nuestro país ha tardado en implementar estándares que los haga confiables ante los usuarios, lo que ocasiona que sea el que presenta las proporciones más bajas dentro de un grupo de países analizados.

68 Public Key Infraestructure (Infraestructura de Llave Pública) 69 La adopción de certificación electrónica por parte de las empresas ha aumentado considerablemente, de igual forma en Chile en donde el 62% y el 59% de los sitios B2C y B2B respectivamente la implementaron.



91

Certificación Electrónica en Chile La existencia de Autoridades de Certificación (ACs) en Chile Constituye un fenómeno reciente que se inicia esencialmente durante el año 2000 con el surgimiento de las primeras entidades. En general, las ACs se originan como consecuencia de la masificación de Internet, fenómeno que ha producido una creciente exposición de empresas y personas a riesgos de violaciones de seguridad. Hasta mediados del 2002 la actividad de Certificación en Chile se desarrolló en ausencia de una legislación respecto de la validez de la firma digital y el contrato electrónico, factor que limitó su desarrollo. A contar de esa fecha, la existencia de un instrumento legislativo, cual es la Ley 19.799, que regula el uso de modelos de certificación y que dota de validez legal a los contratos electrónicos, así como los incentivos gubernamentales a la adopción de la factura electrónica, permitirán sentar las bases de la masificación en el uso de tecnologías de seguridad. Si evaluamos al total de sitios web (comerciales y no comerciales) queda en evidencia la gran diferencia en el uso de herramientas de certificación.

En el caso de la utilización de Internet para realizar transacciones el diagnóstico es más favorable, El uso de herramientas de seguridad se encuentra más difundida entre sitios de Comercio Electrónico, de este modo se observa lo siguiente:



92

De acuerdo a estimaciones del Centro de Estudios de Economía Digital de la Cámara de Comercio de Santiago, al año 2001 se habían emitido cerca de 1.500 certificados electrónicos en Chile, en su mayor parte destinados a resguardar comunicaciones por e-mail (66%). El tamaño del mercado asociado a estas prestaciones alcanzó a cerca de US$ 200 mil, reflejando su estado embrionario. Las principales tendencias actuales en materia de certificación se resumen en tres características:

1. Adopción de mecanismos de seguridad y certificación en sitios de Comercio Electrónico, lo que, sin embargo, representa un segmento limitado a una pequeña proporción del total de sitios de Internet

2. Creciente adopción en Certificado de RUT por 3 vías: ⇒ Usuarios de trámites Gubernamentales (como el Servicio de

Impuestos Internos y el Servicio Nacional de Aduanas). ⇒ Empresas miembros de comunidades de negocios

(verticales y horizontales) ⇒ Banca electrónica ⇒ Factura electrónica (a futuro)

3. Creciente adopción en certificados de E-MAIL para uso interno de

empresas e instituciones, con el objeto de eliminar los flujos y el almacenamiento de documentos en papel.



93

Si bien las tasas de crecimiento esperadas para los próximos años son altas (superiores al 70% anual), el tamaño relativo del mercado de la industria de la certificación es acotado, previéndose que se aproxime a los US$ 3 millones en el 2004.

Modelo Operacional de Certificación Electrónica en Chile El modelo chileno de certificación define a la Subsecretaría de Economía como el órgano rector que actúa como Entidad Acreditadora. A continuación se encuentra la Autoridad Certificadora, que es la entidad prestadora de servicios de certificación de firmas electrónicas autorizada, que da fe sobre los datos referidos a una firma electrónica a través del Acto Presencial por el cual cada persona o empresa debe atender. Finalmente se definen las Entidades de Registro, que actúan como organizaciones que representan a la Autoridad Certificadora en el trámite presencial que debe completar el solicitante de un certificado digital. A comienzos de 2000, antes de la promulgación de la Ley de Firma Digital en Marzo del 2002, algunos organismos pioneros ya estaban trabajando con firma digital o habían normado su uso dentro de sus respectivas comunidades, entre las que se encontraban el Servicio de Impuestos Internos, la Superintendencias de AFP, a través de Previred, la Superintendencia de Valores y Seguros, las Cajas de Compensación, y el Instituto de Normalización Previsional. Principales Actores del Mercado Chileno En el 2001, el mercado chileno estaba integrado por 5 entidades de certificación: E-CertChile, ONCE, Acepta.com, WTCCert.com, y Decidir.com. Dos de ellas (E-CertChile y Acepta.com) fueron reconocidas por el Servicio de Impuestos Internos como entidades oficiales para la Operación Renta 2001. Los servicios disponibles incluyen la emisión de certificados para servidores, de representación legal y de e-mail, entre otros. Los precios de los diferentes certificados en el mercado local se rigen de acuerdo a las tarifas internacionales, variando entre los US$ 30 y US$ 300, según el tipo de certificado emitido. Su duración, por lo general, es de un año. Como consecuencia de la aprobación de la ley, se incrementará la demanda por los productos y servicios relacionados a la certificación electrónica. Cabe recordar que en la actualidad no existe ningún sustituto a esta tecnología (las PKI), en términos de otorgar seguridad70 y confiabilidad a las transacciones electrónicas.

70 Autenticidad, Confidencialidad, Integridad y No Repudio de las transacciones electrónicas.



94

ENTIDADES CERTIFICADORAS DE CHILE (MAYO 2001)

Entidad Certificadora Sitio Web Entidad de Respaldo 1.- E-CERT CHILE Empresa Nacional de Certificación Electrónica.

www.ecertchile.cl

Cámara de Comercio de Santiago (CCS)

2.- ACEPTA.COM Autoridad Certificadora

www.acepta.com www.acepta.cl

Consultora Claro & Asociados

3.- ONCE Organismo Nacional de Certificación Electrónica

www.cnc-once.cl

Cámara Nacional de Comercio, Servicios y Turismo de Chile (CNC)

4.- WTCCERT.COM Certificación Digital

www.wtccert.com

World Trade Center

5.- DECIDIR:COM (*) www.decidir.com www.decidir.cl

Decidir.com

(*)No es una entidad certificadora de hecho, ya que no emite certificados, aún cuando realiza algunas funciones semejantes. Fuente: CCS

PRODUCTOS Y SERVICIOS DE CERTIFICADORAS CHILENAS (FEBRERO 2001)

Entidad Certificados Servicios Reconocimiento Op. Renta 2001 del SII

E-CERT CHILE 1.- Servidor Seguro 2.- E-Mail Seguro 3.- Rut Digital 4.- Representante Legal 5.- Personal de Empresa 6.- Control de Acceso

1.- Aplication Servicce Provider (ASP) 2.- Consultorías y Asesorías en Seguridad. 3.- Desarrollo de Software.

SI

ACEPTA.COM 1.- Identidad Personal 2.- Servidor Seguro

1.- Consultorías y Asesorías en Seguridad 2.- Software

SI

ONCE 1.- Servidor Web 2.- Representante Legal 3.- Empleado de Empresa

N.D. NO

WTCCERT.COM 1.- Servidores 2.-Representación Empresarial 3.- Direcciones e-mail

N.D. NO

DECIDIR.COM N.D. 1.-Verificación de Identidad 2.- Pago Seguro

NO

Fuente: CCS 2.3.7.- Proyecciones del Comercio Electrónico en Chile B2C A partir de Marzo del 2002, el Centro de estudios de la Economía Digital de la Cámara de Comercio de Santiago incorporó modificaciones metodológicas al catastro de sitios de Comercio Electrónico en Chile que mantiene desde 1999. El principal cambio consiste en separar a los sitios del catastro en dos categorías de acuerdo a sus capacidades transaccionales: aquellos que permiten completar las transacciones dentro de sitio y los que utilizan vías alternativas para cerrar sus ventas, como el e-mail, teléfono o fax. En lo sucesivo, el análisis de los sitios de Comercio Electrónico se



95

centrará en la primera categoría descrita, es decir, aquellos sitios que completan las transacciones a través de sus plataformas de e-commerce. De este modo, a marzo del 2002 se contabilizó un total de 523 sitios de acuerdo a la metodología original, de los cuales 214 cumplen los nuevos criterios definidos de Comercio Electrónico (B2C y B2B). Es decir, en estos sitios el cliente al menos puede poner la orden de compra, independientemente del proceso de pago y distribución del producto o servicio (que puede ser on-line u off-line). En el segmento B2C, orientado al consumidor final, se identifica un total de 187 sitios de Comercio Electrónico a marzo del 2002. Considerando la definición menos restrictiva, se identifican adicionalmente 121 sitios B2C en los cuales es posible cotizar productos y servicios, pero en los que no es posible realizar los pedidos directamente a través del sitio. La oferta de Comercio Electrónico en el segmento B2C se encuentra dominada por empresas tradicionales que han implementado canales electrónicos de distribución, las que totalizan un 82% de los sitios, frente a un 18% que se encuentra constituido por nuevos proyectos que operan exclusivamente en el ciberespacio.

Segmentación Oferta B2C

Hogar; 13%

Turismo - Hotel; 9%

Alimentos y Bebidas; 7%

Computación; 7%

Financiero; 7%

Flores y Regalos; 7%

Libros y Revistas; 7%

Vestuario; 5%

Artículos Deportivos; 4%

Vinos; 4%

Otros; 30%

Fuente: Centro Economía Digital CCS Las principales características de los sitios B2C son las siguientes:

• En el 89% de los sitios es posible pagar directamente en forma electrónica luego de poner una orden de compra. Para ello, las empresas disponen de hasta 6 medios de pago como opción a sus clientes. La mayor proporción de empresas (un 36%), utiliza 3 medio de pago, usualmente tarjeta de crédito bancaria y efectivo y cheque contra entrega. También se utilizan depósitos bancarios, servicios de pago de terceros, como tepago.com, y medios de pago propios, como las tarjetas institucionales de las grandes tiendas.

• El 92% de las tiendas virtuales utiliza el modelo de catálogo para facilitar la búsqueda de sus productos.

• Desde el punto de vista de la seguridad de las transacciones, el 71% de los sitios ofrece ambientes seguros de compra, la mayor parte de ellos a través de tecnología SSL (Secure Sockets Layer). La certificación digital ha avanzado notablemente en el segmento B2C en el último año, alcanzando a un 62% de los sitios de Comercio Electrónico.

• Pese a los avances registrados en materia de seguridad y certificación, menos de la tercera parte de los sitios (31%), exhibe políticas explícitas de privacidad.

• Desde el punto de vista comercial, el 81% de los sitios presenta sistemas de suscripción que conducen a la creación de comunicades de clientes.

• El 20%, en tanto, ofrece descuentos explícitos de precios en sus tiendas de Internet, con el objeto de incentivar el uso del canal electrónico por parte de sus clientes.



96

• Como contrapartida, el 62% de los sitios recarga los envíos a domicilio, porcentaje que sube a 74% si se considera solamente a los sitios que distribuyen bienes. El 4% de los sitios, en tanto, exige un monto mínimo de compra.

• Los plazos de entrega ofrecidos por las tiendas virtuales promedian las 53 horas, mientras que el 65% de los sitios alcanza cobertura en todo el territorio nacional y el 14% agrega alcance internacional.

• En el 46% de los casos existe garantía explícita para los productos y en el 49% de los casos se indica, además, la política de devoluciones de la tienda.

Las ventas del segmento B2C se encuentran fuertemente concentradas en un reducido número de operadores. De acuerdo a estimaciones del Centro de Estudios de la Economía Digital, el 68% de los sitios vende en promedio menos de $ 5 millones al mes y sólo un 2% vende más de $ 300 millones. Las 6 empresas que registran ventas sobre los $ 50 millones mensuales explicarían un 80% de las ventas totales del segmento B2C. Las empresas tradicionales que han adoptado canales electrónicos, en tanto, explicarían el 81% de las ventas del segmento. La demanda, en tanto, corresponde a aproximadamente 470 mil usuarios que realizan compras por Internet. Este número de consumidores online representa el 15% de los usuarios de Internet en Chile. Se estima, de acuerdo al estudio elaborado por la Cámara de Comercio, que durante el año 2001 las compras del segmento B2C crecieron un 48%, alcanzando a US$ 53 millones, de los cuales US$ 37 millones (70%) correspondieron a transacciones en sitios locales y el resto a sitios extranjeros, principalmente en Estados Unidos. La participación de los sitios locales en las ventas, que en 1998 era nula, ha seguido una tendiente creciente, como lo ilustra el siguiente gráfico:

Origen Ventas B2C Chile

100%80%

43% 30%

20%57% 70%

1998 1999 2000 2001

% Sitios Extranjeros % Sitios Chilenos



97

Se espera que en los próximos años las compras totales por Internet crezcan a las tasas promedio entre el 40 y 50 por ciento, hasta alcanzar montos cercanos a los US$ 170 millones en 2004, US$ 135 millones de ellos correspondientes a ventas de sitios chilenos. Esta previsión representa un ajuste en relación a proyecciones anteriores, fundamentada básicamente en una menor velocidad de penetración del hábito de compra online entre usuarios y en el menor gasto promedio del comprador, lo que en parte se ha visto afectado por la situación general de la economía.

USUARIOS INTERNET Y VENTAS B2C

2000 2001 2002 2003 2004

N° Conexiones 586.195 713.093 930.000 1.156.216 1.405.629

Nº Usuarios 2.450.000 3.100.000 3.720.000 4.278.000 4.919.700

% Compradores 13% 15% 17% 19% 23%

Nº Compradores 306.250 465.000 632.400 812.820 1.131.531

Compras Promedio (US$)

117

137

150

163

170

Población (millones) 14.833 15.011 15.311 15.617 15.930

% Población con acceso

17%

21%

24%

27%

31%

Ventas totales B2C Millones de dólares

35,7

52,9

82,3

117,8

165,3

Ventas B2C de e-tailers chilenos

20

37

63

94

135

Con todo, se espera que a fines de 2004 el porcentaje de compradores sobre usuarios supere el 20%, y que las compras promedio se sitúen en un rango más cercano a los US$ 200 anuales. La penetración actual sobre las ventas totales del retail es inferior al 0,5%, y sólo se espera que supere el 1% durante la segunda mitad de la década. Hacia el año 2015, cuando alcance una participación en torno al 5% de las ventas minoristas totales, se espera observar síntomas claros de madurez, los que irán acompañados de un menor ritmo de crecimiento. B2B En el caso de los negocios entre empresas, a marzo del 2002 el Centro de Estudios contabilizó 28 sitios que permiten completar transacciones online. Adicionalmente, se identifican 180 sitios en los que es posible cotizar productos o servicios. Entre los sitios transaccionales se revierte la estructura del origen de los negocios observada en el segmento B2C: el 79% de lo casos se trata de modelos de negocios basados exclusivamente en Internet, y sólo el 21% corresponde a empresas tradicionales. La mayor parte de los sitios corresponde al modelo marketplace o exchange (74%) en el que interactúan compradores y vendedores en entornos transaccionales abiertos (horizontales) o cerrados (verticales). En la mayor parte de los casos los objetos de transacción corresponden a bienes, mientras que en un 26% de los sitios se comercian servicios. Las principales características de los sitios B2B son las siguientes:

• Todos los sitios transaccionales permiten, además de poner las órdenes de compras, pagar por los bienes y servicios contratados.

• En el 48% de los casos se detectan ambientes seguros de transacción71, mientras que la certificación digital alcanza al 59% de los sitios.

• El uso de políticas de privacidad se encuentra más difundido que en el segmento B2C, observándose que el 47% de los sitios las declaran explícitamente.

71 Sin embargo, se presume que este porcentaje podría ser superior, debido a que en la mayoría de los marketplaces los estándares de seguridad sólo pueden ser verificados por usuarios calificados durante el curso de las transacciones.



98

• En el 58% de los casos los sitios incorporan la funcionalidad de catálogo de productos de los proveedores.

• En promedio, los sitios aceptan 2 medios de pago, usualmente tarjetas de créditos y cheques o transferencias contra factura.

El 72% de los sitios B2B alcanza ventas estimadas inferiores a los $ 50 millones mensuales promedio, lo que refleja el estado aún primitivo de esta industria. De hecho, se presume que un porcentaje importante, pese a estar operativo, todavía no registra transacciones. Estas ventas se definen como los montos transados en el sitio, que en el caso de los marketplace no corresponden a los ingresos por venta del sitio, sino al volumen que transan sus participantes. Se estima que el 80% de las transacciones B2B es generado por sitios correspondientes a empresas tradicionales, que usualmente operan en comunidades verticales con sus proveedores. El total de transacciones entre empresas por vías electrónicas habría alcanzado a US$ 1.415 millones en 2001, casi cuatro veces los montos del año anterior. Se espera que en el 2002 estas cifras se dupliquen, para luego converger progresivamente hacia tasas de crecimiento del 25% en 2004, totalizando operaciones por un monto cercano a los US$ 8 mil millones para fines de ese período.

Pese a su envergadura, los volúmenes transados en 2001 representaron sólo el 1% de las transacciones totales entre empresas, y se espera que superen el 5% hacia el 2005. Más adelante, si los factores que determinan su desarrollo futuro se desenvuelven de acuerdo a los escenarios previsibles, la participación del B2B

Proyecciones B2B (millones de dólares)

5 75 4261.415

3.008

5.600

7.903

1998 1999 2000 2001 2002 2003 2004



99

electrónico superará la quinta parte de los negocios entre empresas a mediados de la próxima década72.

(porcentaje de transacciones electrónicas sobre total de transacciones) Medios de Pago en Internet Una de las principales barreras a la masificación del uso transaccional de Internet se relaciona con la adecuación de los medios de pagos al entorno virtual. Por una parte, los usuarios se muestran aprensivos respecto de la seguridad del uso de información privada, particularmente sobre tarjetas de crédito, y por otra, la carencia de medios diseñados para administrar micropagos impide a los proveedores de contenidos desarrollar modelos de cobro por sus servicios. A ello se agregan las ventajas de Internet como medio para aumentar la eficiencia de los procesos de recaudación de pagos de otros productos y servicios del mundo físico. En el caso de Chile, es posible constatar el surgimiento de una industria de pagos en Internet a partir del año 2000, que cobró gran vitalidad durante 2001. De este modo, se observa una proliferación de diversos sitios y modalidades de pago para Internet en el mercado local. Las principales aplicaciones de esta industria emergente se observan en las transacciones de cobranza y de pagos, sean estos pagos de cuentas, contenidos o servicios, pago de compras (B2B, B2C o C2C), y envío de dinero a terceros a través de Internet. Las modalidades de e-pagos se pueden caracterizar en tres grandes tipos: los basados en el modelo de web services, los micropagos y las formas tradicionales de pago existentes en el comercio no digital. Dentro de los web services se concentran todas las plataformas o sitios web que realizan las transacciones entre los sitios de Comercio 72 Las proyecciones mostradas en esta sección consideran la implementación transaccional del sistema de compras del Estado

Proyecciones Comercio Electrónico en Chile (MMUS$)

0

1.000

2.000

3.000

4.000

5.000

6.000

7.000

8.000

9.000

C2C 3 9 19 34 55

B2C 1,4 12,6 35,7 52,9 82,3 117,8 165,3

B2B 5,0 75,0 426 1.415 3.008 5.600 7.903

1998 1999 2000 2001 2002 2003 2004

Penetración del Canal Electrónico

2,0%

3,5%

4,6%

0,1% 0,2%

1,0%

5,5%

0,1%0,4% 0,5% 0,6% 0,8% 1,0% 1,2%

1999 2000 2001 2002 2003 2004 2005

B2BB2C



100

Electrónico y los usuarios. En el caso de los micropagos, conocidos también como monederos electrónicos, se reúnen diversas modalidades, tales como tarjetas de prepago -desarrolladas por los mismos sitios de Comercio Electrónico o pertenecientes a empresas de telecomunicaciones-, tarjetas de débito, y pago con cargo a la cuenta de celulares y de teléfonos fijos. Las formas tradicionales de pago, entre tanto, incluyen efectivo, cheques, depósitos bancarios y tarjetas de crédito de grandes tiendas. En el caso de las tarjetas de crédito bancarias, aun cuando pueden ser clasificadas como modalidad tradicional de pago por su uso en el comercio establecido, para los efectos de este estudio son consideradas dentro de la caracterización de web services, debido a que la mayor parte de su uso en el mercado local se realiza a través de este modelo. Dentro de los proveedores locales de e-pagos, los web services ocupan el primer lugar, representando el 77% de las soluciones disponibles. Los micropagos, en tanto, representan el 23% restante de la oferta. Web Services Los web services de pago son aplicaciones web diseñadas para el intercambio de información y de datos con referencia a una transacción entre un cliente y un sitio de Comercio Electrónico. El modelo de negocio consiste en el cobro de una comisión por el uso de dicha aplicación en un sitio web, proveyendo una solución transaccional a la interoperabilidad entre los clientes y la banca en un mismo país, o entre clientes y bancos de distintos países. Estos servicios, que funcionan 100% sobre Internet, eliminan las potenciales barreras comerciales entre consumidores en línea y las transacciones requeridas para la adquisición de bienes y servicios -incluyendo contenidos- disponibles en los diversos sitios de Comercio Electrónico. Una de las características más importantes de estos servicios es la seguridad que otorgan a las transacciones, verificándose que en el caso chileno todos los proveedores utilizan tecnologías de encriptación en formato SSL de 128 bits. De esta forma, se logra proteger la información bancaria de los consumidores que la utilizan, sin la necesidad de entregar datos privados del consumidor al sitio donde se realiza la transacción. Igualmente, el 100% de los sitios tiene políticas de privacidad en el uso de la información de los clientes. Algunos de los web services de pagos han desarrollado aplicaciones específicas para transacciones entre personas (por ejemplo, en sitios de subastas), lo que ha permitido integrar a segmentos no bancarizados a las transacciones en Internet, al tiempo de permitir a personas naturales recibir pagos realizados con tarjetas de crédito. Para los sitios de Comercio Electrónico, los web services de pago proveen sus aplicaciones directamente desde sus plataformas bajo la modalidad de arriendo o pago por servicio, de acuerdo al volumen de transacciones. Las aplicaciones son integradas al sitio de Comercio Electrónico desde su diseño, incorporando la señalética del proveedor de la aplicación de pago al sitio web, desde donde el usuario accede a la URL y realiza el pago. Existen diversos modelos de negocios de los web services de pago en Chile. La mitad de ellos pertenece a la industria financiera. De éstos, el 30% tiene sitios web de uso exclusivo para el pago de cuentas. Bajo este sistema operan 33 empresas proveedoras de servicios básicos y de telecomunicaciones, entre otros. Los usuarios de estos sistemas de e-pagos acceden a una amplia gama de servicios de valor agregado, tales como avisos por e-mail de las cuentas por pagar, almacenamiento de las boletas y estadísticas de los pagos realizados, además de una calendarización de los pagos mensuales, incluyendo una agenda. Estos servicios de valor agregado no tienen costo para los usuarios. Cabe mencionar que hasta mayo de 2002, sólo existía un web services enfocado a la venta de contenidos, además de servir como plataforma de pagos. La forma de pago provista por este web services consiste en el cargo del valor del consumo directamente a la cuenta de teléfono de red fija del usuario. Esta forma de recaudar pagos es similar a modelos utilizados en Europa y otros países de América Latina.



101

Un 60% de los proveedores de e-pagos a través de sistemas de web services posee aplicaciones para el pago de cuentas de servicios básicos. El 50%, en tanto, presta servicios a sitios de Comercio Electrónico minorista. El 40% funciona con sistemas de e-government, una porción similar lo hace en sitios B2B y el 30% tiene habilitados pagos en sitios de remates.

Micropagos Los micropagos ofrecen una solución asequible a los potenciales consumidores y usuarios online no bancarizados, lo que hasta ahora ha significado una importante barrera para el desarrollo del Comercio Electrónico en América Latina. Adicionalmente, tienen la gran ventaja de permitir realizar pequeños pagos por servicios online, como contenidos informativos o consultas puntuales a bases de datos, segmento no cubierto por los medios tradicionales. Los micropagos -también conocidos como monederos electrónicos-incluyen como forma de pago a tarjetas de prepago y a tarjetas de débito. En países como Argentina, existen tarjetas de débito exclusivas para su uso en Internet - conocidas como efectivo digital - que aún no se utilizan en Chile. La mayoría de los sitios de Comercio Electrónico que utiliza las modalidades de micropagos mantiene una cuenta corriente por cada cliente, la cual es cargada por el usuario según el monto de su tarjeta de prepago. En algunos sitios, como en el sistema de trámites gubernamentales Tramitefacil.cl, el cargo por documentación solicitada se descuenta directamente de la tarjeta de prepago del usuario.



102

Uso de E-Pagos en sitios B2C Con el objeto de aumentar y facilitar las transacciones en los sitios chilenos de Comercio Electrónico, los proveedores establecen políticas de pago que combinan diversas modalidades, en busca de ampliar la oferta de posibilidades para los usuarios. Esto a su vez proporciona una mayor seguridad en que las transacciones se lleven a cabo sin pérdida de información confidencial del cliente y con una recaudación segura de los montos pagados. Dentro de todas las soluciones ofrecidas por el segmento B2C, los web services muestran la mayor penetración, cercana al 100%. Dentro de este tipo de modalidad de pago, las tarjetas de crédito bancarias tienen la mayor participación, siendo aceptadas prácticamente por todos los operadores del segmento. El resto de las aplicaciones web services son utilizadas por poco más de un tercio de los sitios, y se identifican como una tendencia de participación creciente. Pese a lo anterior, los sitios web B2C chilenos continúan aceptando modalidades de pago tradicionales, como el cheque, efectivo y depósitos bancarios, cuyas penetraciones son 64%, 48% Y 12%, respectivamente. Las tarjetas institucionales, en tanto, corresponden a la modalidad favorita de las grandes tiendas comerciales, y cuentan con el aval de la fidelidad de marca, bajo riesgo y alta penetración sobre los hogares. La penetración de los micropagos, si bien aún es baja (4% de los sitios), muestra grandes potencialidades para transacciones de montos pequeños y para incorporar a los usuarios no bancarizados a las transacciones en la Web.

2.3.8.- Tamaño y Proyecciones de la Economía Digital en Chile 2001 fue un año marcado por bruscos cambios de tendencia en el mercado de las Tecnologías de Información y Comunicación y en particular de Internet. Pese a ello, los sectores relacionados a este rubro siguieron creciendo a tasas muy superiores a las del resto de la actividad económica en Chile. De acuerdo a estimaciones del Centro de Estudios de la Economía Digital de la CCS, la Economía Digital superó los US$ 5.700 millones en el 2001, registrando un aumento del 37% en relación al año anterior. A modo referencial, si se compara el tamaño de la Economía Digital con el PIB que generan otros sectores económicos tradicionales, se observa que las ventas del sector son comparables al producto interno de rubros como la Minería y la Construcción. Debe notarse, sin embargo, que este ejercicio es sólo ilustrativo, y que estas magnitudes no son exactamente comparables, ya que se ha contrastado una medida de ventas en el caso de la Economía Digital con la cuenta de valor agregado (una fracción de las ventas) para el resto de los sectores. Aplicando la metodología de medición del PIB



103

sectorial, el tamaño del producto interno bruto de la Economía Digital se ubicaría en torno a los US$ 3.000 millones. Adicionalmente, se debe consignar que las ventas que genera la Economía Digital ya se encuentran contabilizadas en otros sectores, ya sea en forma directa como en el caso de las Telecomunicaciones, o indirecta en el caso de aquellas actividades tradicionales que utilizan canales transaccionales electrónicos. Dentro de esta última categoría caen todos los sectores económicos que, en mayor o menor medida, utilizan Internet en sus relaciones de negocios. Los segmentos más dinámicos dentro de la ED corresponden a los 'no-tradicionales' del sector, como el mercado de acceso a Internet, en particular banda ancha, Comercio Electrónico, aplicaciones para e-business, aplicaciones a distancia bajo el esquema ASP, medios de pago en Internet, certificación electrónica, servicios de hosting, e-learning y publicidad online. Todos estos sectores, no obstante, se encuentran lejos de alcanzar su etapa de madurez, por lo que en conjunto representan sólo una pequeña fracción de la Economía Digital. Sectores más maduros, o 'tradicionales', como los servicios de comunicaciones telefónicas fijas, la industria del hardware, algunos segmentos de la industria del software y de consultoría, crecieron a un ritmo más bajo, pese a lo cual siguen representando la mayor parte de la Nueva Economía. En el caso específico de los servicios de telecomunicación, se observa una participación del 46% sobre el total de la Economía Digital, porcentaje que se encuentra decreciendo en forma acelerada en la medida en que el resto de los subsectores muestra un elevado dinamismo. En efecto, el año 2000 la participación de este segmento había alcanzado al 54%, y se prevé que disminuirá hasta rangos inferiores al 30% hacia el año 2004. Como contrapartida, el Comercio Electrónico, analizado en detalle anteriormente, podría llegar a representar más del 50% de la Economía Digital en 2004, a un ritmo de crecimiento promedio cercano al 40% anual en los próximos años, con un fuerte componente de negocios electrónicos entre empresas B2B. El segmento B2C también experimentará una rápida expansión, pero involucrando montos más pequeños. En total, se estima que el Comercio Electrónico alcanzó a cerca de US$ 1.500 millones en 2001, US$ 1.415 millones de los cuales se originaron en el segmento B2B. Las ventas de e-tailers chilenos en el segmento B2C, en tanto, habrían alcanzado a los US$ 37 millones.

Tamañode la Economía Digital en Chile

Software y Aplicaciones 159 170 187 203 222

Comercio Electrónico 359 1.487 3.152 5.853 8.286

Infraestructura 786 772 827 893 965

Telecomunicaciones 2.302 2.628 2.786 2.953 3.160

Servicios 623 716 779 885 980

2000 2001 2002 2003 2004

Los mismos sectores no tradicionales de alto dinamismo en 2001 mantendrán su tendencia de crecimiento durante todo el período bajo análisis. Entre los segmentos más atractivos se encuentran la educación a distancia, la industria de acceso y contenidos de Internet móvil y de banda ancha, los ASP73, el uso de tecnologías P2P (similares al modelo del extinto Napster en aplicaciones colaborativas de negocios), y las tecnologías de seguridad informática. La industria del e-banking, si bien no se encuentra contabilizada dentro de la Economía Digital, ha tenido un rápido desarrollo y penetración, con significativos aportes desde el punto de vista de los ahorros de costos transaccionales. 73 Proveedores de Servicios de Aplicaciones



104

Este acelerado crecimiento de la Economía Digital reafirma que si bien los fenómenos relacionados a Internet han ido perdiendo la espectacularidad de los años previos, el uso de Tecnologías de Información y Comunicación en actividades productivas se está consolidando a través de una creciente adopción en las empresas, decantando en una Internet con menos glamour pero más funcional y capaz de agregar más valor a personas y empresas. Algunos hechos, como la promulgación de la Ley de Firma Digital, contribuyen a facilitar y acelerar esta tendencia.

Recomendaciones La Nueva Economía claramente requiere que el Estado, la comunidad empresarial y otros grupos y organizaciones del sector privado asuman, cada uno desde su ámbito, un rol activo como promotores de estándares, normas de conducta aceptable y modelos de negocios orientados al ingreso de Chile a una nueva fase de desarrollo. Desde esta perspectiva el sector privado debiera:

Participar en iniciativas supranacionales (como el Global Business Dialogue on e-commerce) con el objeto de depurar un conjunto elemental de recomendaciones sobre aranceles, impuestos, autentificación de transacciones, derechos de propiedad intelectual y resolución de controversias, desde la perspectiva del mundo en desarrollo.

Adoptar programas de sellos de calidad (como el que se expone en esta tesis) a fin de certificar que los sitios de Comercio Electrónico local protegen efectivamente la privacidad de los usuarios.

Adoptar sectorialmente el modelo de portal vertical o e-marketplace a fin de generar cadenas integradas de valor a todo lo ancho del aparato productivo y de servicios.

Promover la capacitación de cuadros técnicos y gerenciales en materias de Comercio Electrónico y Nueva Economía.

Promover sistemas de recolección e información sectorial en materia de Comercio Electrónico, incluyendo número de portales, volumen de negocios, penetración de Internet a nivel empresarial, etc.

El rol del Estado y del gobierno debiera ser de un carácter estrictamente normativo y de apoyo a través del estudio y provisión de leyes y marcos regulatorios que promuevan la competencia, la innovación, la capacitación en nuevas tecnologías a nivel de enseñanza primaria, secundaria y superior.

Algunas tareas básicas del gobierno son:

Negociar y firmar Acuerdos Conjuntos de facilitación de Comercio Electrónico entre Chile y los principales socios comerciales (Nafta, APEC, UE, MERCOSUR)

Promover tecnologías de acceso rápido y ancho de banda que permitan difundir el Comercio Electrónico, la tele-enseñanza y la telemedicina y toda la gama de servicios comunales y sociales



105

Promover la competencia entre compañías telefónicas y de cable, entre proveedores de acceso tradicional e inalámbrico, a fin de establecer redes de acceso rápido.

Promover la adopción de herramientas electrónicas entre PYMEs, adaptando todo el conjunto de instrumentos de fomento e innovación, a fin de reducir la falta de conocimiento de las PYMEs en materia de tecnologías de la información y Comercio Electrónico.

Generar incentivos tributarios para la adopción de tecnologías de la información entre las PyMEs, otorgando, por ejemplo, créditos fiscales por la inversión en sistemas de Comercio Electrónico y conexiones a Internet.

Realizar un inventario de leyes y reglamentos que involuntariamente constituyen barreras a la adopción del Comercio Electrónico.

Disponer mecanismos de agilización al trámite legislativo de las leyes destinadas a facilitar y fomentar el uso del Comercio Electrónico, como la ley del documento y la firma electrónica.

Promover la estandarización técnica en coordinación con otros gobiernos, particularmente los líderes en Comercio Electrónico.

Implementar mecanismos de cooperación entre el Ministerio de Hacienda, el Banco Central y Servicio Nacional de Aduanas con organismos extranjeros similares para el desarrollo de sistemas internacionales de pagos electrónicos

Expandir el programa de compras gubernamentales a través de organismos claves como el SAE, Ministerio de Educación, Ministerio de Defensa, DIPRES, etc.



106

¿ES ACCESIBLE INTERNET PARA TODOS LOS CHILENOS?

No81%

Sí19%

2.4.- ENCUESTA A TRAVÉS DE LA RED Con el objetivo de conocer el grado de información y opiniones en torno al tema de Internet y el Comercio Electrónico, es que se realizó una encuesta, vía mail, a un grupo de internautas, 26 en total. La encuesta, la cual se incluye con sus respectivas respuestas en el CD que se adjunta a esta tesis, contempló varios tópicos y está constituida por 31 preguntas, abiertas y cerradas, tendientes a medir el conocimiento que poseen las personas que usualmente navegan por esta red y de esta forma visualizar y comprender el nivel actual en el que estamos. El procedimiento para la realización de la encuesta fue enviarla, en formato excel, a través del correo electrónico, una vez contestadas el encuestado las remitía a un mail especialmente creado para ello: [email protected]. A continuación se presentan los resultados más significativos.

Sabe identificar un sitio web seguro? sí

12%

no88%

¿Ha escuchado hablar o leído sobre el comercio electrónico?

sí73%

no27%

¿Entiende el significado de Comercio Electrónico?

sí35%

no65%

��

¿ENTREGARIA SUS DATOS POR INTERNET?

12%

19%

15%8%15%

31%

Sí

No

Parcialmente

Nunca el RUT

Nunca la dirección

Nunca el N° detarjeta de crédito

¿POR QUÉ RAZÓN NO COMPRARÍA?

46%

19%

15%

8%12%

DesconfianzaDesconocimiento del temaUso indebido de los datosNoticias negativas sobre el sistemaOtros

¿POR QUÉ RAZÓN COMPRARÍA?4% 8%

23%

53%

8% 4%

Vivir la experiencia Falta de tiempoComodidad Encontrar un mejor precioPor consejo de otra persona Otros



107

¿TIENE IMPORTANCIA EL COMERCIO ELECTRÓNICO?

80%

8%12%

Alta Baja Apenas perceptible

��

¿Lee las políticas de privacidad al visitar una página de C.E.?

8% 12%

49%12%

19%

NuncaSiempreNo sé que sonA vecesNo las leo porque no compro por Internet

¿Por qué medio se ha enterado de fraudes u otra situación similar, en Internet?

4%8%12%

8%4%

22%12%

30%

No tengo conocimiento de estos temas Prensa Televisión CineRevistas E-zinesConversación Internet

¿CREE QUE SON SEGURAS LAS COMPRAS POR INTERNET?

Sí31%

No69%

¿QUÉ INVOLUCRA EL DESARROLLO DEL COMERCIO ELECTRÓNICO?

31%

15%50%

4%

Desarrollo del paísGeneración de nuevos empleosAlternativas para el consumidorIngreso a la nueva economía

¿Es necesario e-ducar para esta nueva economía?

8% 4%19%

54%

15%

No, aún falta mucho para estar al nivel internacionalNo, hay cosas más importantesSí, debemos estar acorde a los nuevos estándaresSí, imprescindible para el crecimiento del paísOtros



108

¿Ha escuchado o leído sobre Auditoría al comercio electrónico?

Sí4%

No96%

Basándonos en los resultados obtenidos de la encuesta es posible constatar la desconfianza que existe sobre este nuevo modelo de negocios (46%), además la mayoría de los internautas, si bien, ha escuchado o leído sobre el Comercio Electrónico no posee un conocimiento amplio que le permita desenvolverse en esta Nueva Economía. De igual forma un porcentaje alto ( 81% ) considera que Internet no es accesible para todos los chilenos, es de esperar que esta percepción cambie producto de la disponibilidad de computadores y la disminución del precio del servicio de conexión a la red. Otro aspecto relevante y que tiene directa relación con las instituciones de gobierno, Universidades, Institutos, etc., es el hecho de que se debe e-ducar y enseñar lo que está ocurriendo a nuestro alrededor, el no hacerlo involucra un riesgo que deriva en una obsolescencia del conocimiento y la información, y ello implicaría el no desarrollarnos como profesionales inmersos en una sociedad moderna y tecnológica.

��

¿ L a s c a r r e r a s a d m in is t r a t iv a s y e c o n ó m ic a s d e b e r ía in c lu ir t ó p ic o s c o m o la N .E c o n o m ía y e l

C .E ?

5 0 %

4 % 1 5 %

2 3 %

8 %

S íN oN o e s d e im p o rta n c iaE s p o r u n t ie m p o s o la m e n te to d o e s te f e n ó m e n oD e b e rí a n d a rs e c o m o e s p e c ia liz a c ió n



109

CAPITULO III

LA AUDITORÍA Y EL

WEBTRUST:

SEGURIDAD Y

CONFIANZA EN EL

COMERCIO

ELECTRÓNICO



110

Hemos conocido los conceptos clave del Comercio Electrónico, sus características principales, proceso y componentes, asimismo determinamos las proyecciones de este nuevo tipo de negocios a nivel mundial y sobretodo a nivel local, es decir, lo que sucede y posiblemente sucederá en Chile. Pero un punto muy importante de lo expuesto es que, para que este comercio virtual prospere, es necesario que las personas confíen. Es cierto que la criptografía, la firma electrónica, los certificados digitales, y los protocolos de seguridad permiten que existan menos fraudes por Internet y otorga más seguridad a estos negocios, pero no es suficiente, prestemos atención a algunas noticias que circulan por la Red… “¿Encriptar y nada más? Encriptar la información que pasa entre consumidores y tiendas on-line a través de Internet es algo bueno. Pero, no es necesariamente suficiente. De hecho, la información personal usada en transacciones on-line es a menudo encriptada en el tiempo menos significativo. Virtualmente, todos los casos de robos a tarjetas de crédito suceden cuando los hackers tienen el acceso a los servidores de los sitios de Comercio Electrónico y son capaces de acceder a la base de datos de los clientes que a menudo no está encriptada y en definitiva expuesta.”74 “¿Miedo en el Comercio Electrónico? Buenas razones El pequeño icono que aparece en la ventana de su browser de la web se supone que prueba que esta involucrado en una transacción segura. Pero eso puede ser no más que sólo un objeto de alivio. Este ícono pretende indicar que su información está siendo encriptada desde su computador hasta el computador que realiza Comercio Electrónico. Pero la completa encriptación de la información entrante y saliente puede no ser viable siempre que aparece esa pequeña imagen en la pantalla del computador.” 75 “La seguridad: Detalles de una Delicada Relación Si la única cuestión que planteó a su actual proveedor de servicios en materia de seguridad fue "¿Seguro que es seguro?", usted no tiene todo a su favor. Si, además, la respuesta del proveedor fue un simple "¡pues claro!", es muy posible que su elección no fuera del todo acertada. Pero si lo siguiente que se le ocurrió decir fue "¿dónde hay que firmar?", le recomendamos la lectura del presente artículo y saque sus propias conclusiones. A la hora de escoger un proveedor de servicios, es fundamental indagar sobre su política general de seguridad y cómo se refleja en el servicio que se busca. De esta forma se logrará apreciar cuál es el grado de compromiso del proveedor con la protección de los datos cedidos por sus clientes y, por extensión, con la seriedad en la operativa diaria y la calidad global del servicio. Uno de los factores determinantes en las conversaciones iniciales para el establecimiento de un contrato de estas características no es otro que encontrar un colaborador que proporcione el nivel de confianza suficiente para albergar y administrar los datos y aplicaciones de la organización.” 76 Las empresas pueden incluir en sus presupuestos un porcentaje muy alto dedicado a la seguridad informática, pueden hacer todo lo posible para que cuando alguien compre, la información viaje encriptada a través de la red, nos pueden asegurar que se han tomado todas las medidas para que no desconfiemos… pero ¿Qué puede suceder?, ¿Quién nos puede dar la certeza de que los datos almacenados en los servidores de la empresa se mantienen protegidos; qué el servicio suministrado a la empresa por los proveedores de Internet es confiable; qué no ocurrirán errores, ya sean humanos o del sistema, que ocasionen la exposición de nuestros datos en Internet; qué la información personal recolectada no será mal utilizada? No basta conque las empresas dispongan de buen hardware y software para incursionar o extenderse hacia el Comercio Electrónico, tienen que pensar en forma global, en el entorno de su negocio, en sus controles, en los clientes y en la forma de otorgarles credibilidad y confianza, en cómo responder a sus necesidades e inquietudes, en salvaguardar sus intereses para que se establezca una lealtad. 3.1.- NUEVOS NEGOCIOS = NUEVOS RIESGOS El conocimiento de las nuevas tecnologías se ha ampliado a todas las esferas, impulsado por Internet; la gente aprende cada día más, se vuelve más estudiosa y conocedora, pero no todos están orientados puramente al conocimiento como aumento de calidad en todos los campos; a algunos les interesa aprender más que la mayoría, para ver cómo efectúan o generan irregularidades en provecho propio, o que como producto de lo que conocen, adquieren destreza para utilizarlas con fines alevosos y malintencionados; situación que ligada a la pérdida de valores morales, éticos y religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de

74 http://www.wired.com/news/business/0,1367,44740,00.html 75 http://www.wired.com/news/business/0,1367,44690,00.html 76 http://www.idgchile.cl/b2b/b2b_tutorial_2.htm



111

acciones fraudulentas, y que se haga imprescindible para las empresas establecer controles que disminuyan los riesgos presentados, sobre todo en el ámbito del Comercio Electrónico. Mayores opciones, menores precios y la creación de tipos de productos totalmente nuevos son algunas de las ventajas que señalan los entusiastas de esta forma de hacer comercio. No obstante, a menos que estas características electrónicas logren convencer a los clientes de que la empresa cuenta con las capacidades y la motivación necesarias para entregar bienes y servicios de la calidad esperada, el comercio vía Internet no podrá florecer en toda su magnitud, efectivamente, puede verse desacreditado. Las empresas de Internet enfrentan un conjunto diferente de riesgos. Lo importante es comprender las implicancias asociadas, y las más importantes son el deterioro de la imagen de la compañía y la pérdida de credibilidad y confianza. Ya se ha informado sobre la desconfianza generalizada que existe entre los clientes en cuanto a las ventas vía Internet. Tal como veremos, esto se debe en parte a las características especiales del formato mediano de comercio minorista comparadas con las del formato tradicional. Bajos costos de entrada y salida han incentivado a muchos operadores “efímeros” que han instalado sitios y comercializado sus productos en forma fraudulenta ante un público incauto. 3.1.1 La confianza Debido a la naturaleza del medio, las empresas de Internet tienen dificultades mucho mayores que sus contrapartes del mundo tangible cuando se trata de fomentar la confianza de los clientes. En la mayoría de las culturas, los clientes depositan su confianza en entidades comerciales que poseen una presencia física evidente y que se manifiesta en edificios, instalaciones y personas a las cuales dirigirse. En Internet, estos elementos simplemente no existen. Al considerar los factores que incentivan la confianza del cliente, descubriremos que en ningún caso facilitan esta labor para el vendedor en Internet. Resulta difícil transmitir conceptos como el tamaño de la tienda y su prestigio, ya que falsificarlos es relativamente sencillo. La información en muchos sitios web acerca de su ubicación legal (y física), y sobre la protección y los recursos legales para el consumidor, suele ser incompleta o ambigua. 3.1.2 Los Riesgos Desde el punto de vista del consumidor, la confianza representa el antídoto para el riesgo percibido en una transacción comercial. Los consumidores de Internet inevitablemente se preguntarán si los vendedores entregarán los bienes por los que han pagado. Y en caso de que así sea, ¿Serán los artículos que ordenaron?, ¿Podrán devolverlos?, ¿A quién?, ¿A qué costo?. El riesgo percibido dependerá de las posibilidades de incumplimiento por parte del otro, y del nivel de pérdidas que se derive de dicho incumplimiento. Los comerciantes de Internet deberán producir confianza en el consumidor cuando exista un nivel elevado de riesgo percibido en determinada transacción. Esto no siempre ocurre. En el caso de la compra de libros vía Internet, de hecho, los consumidores posiblemente percibirán un riesgo relativamente bajo cuando la transacción no involucre demasiado dinero. En cambio, el sector de los pasajes aéreos, puede involucrar sumas elevadas y una gran cantidad de variables (como ruta, horario, y multas por cambios), sobre las que será necesario llegar a un acuerdo. Mientras más significativa sea una compra y más desfavorables sean los resultados percibidos en caso de que fracase, mayor será la necesidad del vendedor de desarrollar confianza en el consumidor. 3.1.3 Seguridad y confidencialidad Estudios sobre la conducta del consumidor en Internet demuestran que los consumidores que se conectan a la red, si encuentran algo interesante para comprar a un precio competitivo, y perciben a la Empresa vendedora como confiable, efectuarán la compra. Para ello los comerciantes de Internet deberán abordar problemas tales como el temor de los clientes a que se invada su intimidad y a que se cometan abusos con la información que se maneja sobre ellos (tarjetas de crédito). Este tipo de temores pueden evitar incluso que las personas consideren a la Internet como un medio para efectuar compras.



112

Todos los especialistas de Internet coinciden en que el Comercio Electrónico no conseguirá desarrollar su pleno potencial hasta que los usuarios tengan la impresión de que los riesgos asociados a las operaciones comerciales electrónicas se reducen a un nivel aceptable. Por lo tanto, Las empresas deben de instaurar los controles necesarios para la disminución de los riesgos asociados al Comercio Electrónico, para así mantener una presencia exitosa en la red dando seguridad a los consumidores. Esta seguridad puede ser proporcionada por un examen independiente, constatando que una empresa que realiza transacciones electrónicas cumple con un conjunto de principios y criterios que cubren materias tales como: la transparencia de las prácticas comerciales, la integridad de las operaciones de Comercio Electrónico, la protección de la información relativa a los clientes y la seguridad y privacidad de la información captada en la web. Esta comprobación debe ser realizada por un profesional altamente calificado, dotado de estrictas condiciones éticas y técnicas, reconocido por su efectividad en implementar controles y reducir riesgos, en síntesis, debe ser realizada por un Auditor. 3.2.- ADAPTARSE A LOS CAMBIOS Durante mucho tiempo, la percepción que la mayoría de los empresarios tuvieron sobre la Auditoría era parecida a la que tenían respecto a la Policía: un ente vigilante y un poco antipático dedicado a encontrar desviaciones respecto a las normas, más concentrado en los detalles que en la visión de lo primordial. La Auditoría era poco más que un mal necesario. Esta imagen ha sido superada por el rápido incremento de la complejidad de los negocios en las últimas décadas. La Globalización, la aparición de nuevos competidores en todos los campos, la aceleración de los procesos, el auge de las alianzas y la necesidad de buscar capitales internacionales son factores que se han reflejado en un cambio de fondo en la relación entre Auditores y empresas. Los profesionales de la Auditoría han decidido construir sobre sus fortalezas tradicionales para abordar las nuevas necesidades de las empresas y hoy hablamos de Auditoría tributaria, de gestión, ambiental, informática, etc. Ahora no se limitan a verificar que los estados financieros sean elaborados correctamente, sino que examinan a fondo todas las fuentes de riesgo en el negocio y desarrollan sistemas para controlar el impacto de estos riesgos. La Auditoría, al centrarse en entender y medir los riesgos e implicaciones del negocio, se convierte en un acompañante de la empresa en todos sus procesos y le genera mayor valor agregado. El nuevo enfoque de Auditoría llevará a que "una empresa sea exitosa si tiene una estrategia clara, una estructura de organización acorde y una adecuada evaluación de los riesgos del negocio, junto con controles que mitiguen esos riesgos." 3.2.1 Análisis del negocio y sus riesgos El nuevo proceso de Auditoría parte de una planeación que se basa en el conocimiento del negocio y sus estrategias. El Auditor debe ser capaz de ver aquellos riesgos que por lo general no son identificados fácilmente por los directivos de la empresa, más allá de los puros riesgos contables. El examen sobre las empresas se debe realizar en forma permanente y no sólo en la época de cierre de balances, como se hacía antes. Este nuevo enfoque ha implicado profundos cambios dentro de las empresas de Auditoría. En el nuevo entorno no basta con tener Auditores generalistas y rutinarios. Hoy, las firmas de Auditoría están en busca de profesionales especializados por áreas, que estén orientados a los negocios y que sean expertos en evaluar riesgos. Al nacer nuevas formas de negocios, inherente a ello nacen nuevos riesgos, y obligatoriamente se tiene que entrar en campos desconocidos para el profesional Auditor. Todavía falta recorrer un largo camino en términos de la formación universitaria de los Auditores. Los programas de estudio aún se centran en el manejo contable,



113

tributación, etc. y no se abren más hacia el entendimiento de los negocios, su administración y las nuevas tecnologías. 3.2.2 El futuro: Los e-Auditores El negocio de la Auditoría tendrá que evolucionar aún más rápidamente en los próximos años, a medida que la economía digital se extienda y todas las compañías se conviertan en empresas de Internet. Si los administradores, los especialistas en sistemas de información y los Auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, deberán aumentar y mejorar sus habilidades tan rápidamente como lo demandan la tecnología y el ambiente. Se debe de comprender la tecnología de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prácticas de control que se encuentran en los negocios típicos o en las organizaciones gubernamentales. En vista de estos continuos cambios, se han desarrollado y publicado modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canadá y Kingen Sudáfrica. Por otro lado, existe un número importante de modelos de control más enfocados al nivel de tecnología de información. Algunos buenos ejemplos de esta última categoría son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y el Security Handbook de NIST(National Institute of Standards and Technology, EUA). Sin embargo, estos sistemas de control con orientación específica no proporcionan un control completo y utilizable sobre la tecnología de información y los ambientes informatizados como soporte para los procesos de negocio. Un nuevo modelo de control denominado COBIT (Objetivos de Control para la Información y Tecnologías afines), ha cubierto este vacío proporcionando una base que esté estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnología de información. Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnología de información y la aplicación de nuevos modelos de control y estándares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de Auditoría, a COBIT, que es una herramienta para la administración. COBIT es, por lo tanto, la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de Tecnología de Información, con el fin de obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Pero, ¿Cuál es el problema de COBIT?… El no abordar al Comercio Electrónico. No posee controles y políticas específicas para este tipo de negocios, carece de procedimientos que permitan evaluar a una empresa de e-commerce y disminuir los riesgos asociados. Sabemos que las fuentes de riesgos se multiplicarán con el Comercio Electrónico y, por lo tanto, los procesos de control serán diferentes. Por ejemplo, la facturación y el manejo de bienes será totalmente digital, lo que facilitará el control. Pero al mismo tiempo, aumentarán las posibilidades de fraude electrónico perpetrado por parte de terceros. Por otro lado, habrá que volver a concebir muchas operaciones que durante siglos habían tenido pocas transformaciones. ¿Qué pasa, por ejemplo, cuando una empresa colombiana le vende a un cliente en Europa, por medio de un portal de negocios ubicado en Miami, su inventario es controlado por una empresa en Costa Rica y despacha desde una bodega de ensamblaje en el Caribe? ¿Cuál es el país de origen de esa exportación? ¿Cómo deben manejarse los diferentes impuestos?, ¿A quién le reclamamos?, ¿Nuestra información personal es confidencial? Cambian también las prioridades sobre las cuales la Auditoría debe centrar su atención. En el pasado, lo más valioso eran los activos físicos y allí se concentraba el manejo de riesgos. En el futuro, lo más valioso serán los activos intangibles, como el talento concentrado en la organización, la reputación de la empresa y las relaciones con los clientes. Así, la contabilidad actual y los estados financieros tradicionales representan cada vez menos el valor de las empresas.



114

Esta es una página nueva en la historia de los negocios. En este momento se están diseñando las nuevas prácticas y disciplinas que permitirán a las empresas crecer en el nuevo entorno sin perder el control sobre sus operaciones. Así se abren nuevas oportunidades de negocios para los Auditores, en las cuales la tecnología, el conocimiento y las técnicas de revisión analítica seguirán siendo determinantes del buen desempeño y eficiencia de las empresas. El manejo de los riesgos será más especializado y quienes están detrás de ellos deberán orientarse más hacia una asesoría integral del negocio. Lo importante es continuar trabajando por una mayor profesionalización de los Auditores y tratar de acercarse cada vez más a los estándares internacionales que son la clave a la hora de pensar en inversión, alianzas y mayor acercamiento a las tendencias globales. 3.2.3 ¿Por qué el Auditor? Es muy simple, el Auditor es el especialista en implantar controles y evaluar los riesgos, además, a través del mundo el profesional de la Auditoría es reconocido por su objetividad, eficiencia y honestidad. El Comercio Electrónico necesita, como ya hemos señalado, de confianza y seguridad para prosperar y ser utilizado masivamente, y nada mejor para ello que una revisión minuciosa de los procesos, operaciones y políticas de una empresa de e-commerce a cargo de un Auditor o una consultora. Los Auditores son reconocidos como los profesionales independientes que proporcionan el aseguramiento en cuanto a la exactitud y la imparcialidad de muchos tipos de información financiera y no financiera. Los Auditores deben regirse bajo una estricta ética, estar capacitados técnicamente, y cumplir otras exigencias profesionales. Ahora es necesario que lleven su independencia, objetividad, y el conocimiento sobre los negocios y procesos a Internet. Para entender aún más la razón por la que el Auditor debe integrarse a esta nueva forma de comercializar productos y servicios, se indican algunas opiniones de importantes personalidades a nivel internacional. “Son varios los motivos de por qué el Auditor tiene que ponerse a realizar Auditorías

en Comercio Electrónico…

4. El Auditor se tiene que adaptar y buscar nuevos servicios a prestar, sobre todo en la Nueva Economía.

5. El mercado de la Auditoría es un mercado muy rígido y estable, las posibilidades de crecimientos son pequeñas y el Auditor tiene que buscar nuevos mercados sin perder el horizonte de nuestra profesión.

6. También creo que el informe de Auditoría no aporta lo que tiene que aportar al cliente, está visto como una obligación, debemos realmente "ayudar al cliente" y así se puede mejorar las posibilidades de expansión.

7. El Auditor tiene que saber desenvolverse en las nuevas tecnologías, pues hoy es, creo yo, el aspecto fundamental en una empresa.

Se me ocurre un montón de cosas, pero creo que la más importante es que la figura del Auditor sea vista como persona que ayuda a la empresa, cosa que con el sólo informe de Auditoría el cliente, en muchos casos, no percibe. Quizás es desprenderse de la idea de que el Auditor es un simple revisor de cuentas…vamos a ofrecer otros servicios que el cliente aprecie”77 “No basta con que las empresas adquieran certificados digitales SSL para garantizar

a terceros que la empresa es confiable. Deben existir controles que ayuden a prevenir el fraude y para esto un perito o consultor independiente debidamente capacitado debe realizar unas pruebas para garantizar un ambiente más robusto de seguridad. Si un país no cuenta con personal de seguridad para atender sus negocios o transacciones vía Internet, puede ser víctima fácil del fraude electrónico de robo de identidad, pues es bien fácil robar la identidad en la Red.”78

77 Opinión, recibida vía mail, del Señor José María Gassó, Presidente del Colegio de Censores Jurados de España, socio fundador de Gassó y Cía. Auditores, además participó en una reunión celebrada en San Francisco, Estados Unidos, en Enero del 2001, donde representó a España y obtuvo la licencia del AICPA para ofrecer el servicio WebTrust en su país. 78 Opinión recibida por mail del señor Nelson Traverso, Auditor y Asesor Contributivo en Ernst & Young, una de las firmas internacionales de Auditoría. Contralor Financiero, Gerente de Personal y Director Comercial (Contralor y Tesorero) en Unilever, una de las 100 primeras compañías de productos de consumo



115

“A mi entender ello es fundamental para el buen desarrollo del Comercio Electrónico

ya que es la forma más segura para garantizar un mínimo de seguridad y calidad, de igual manera que en la economía tradicional existen estándares absolutamente reconocidos como los ISO y las Auditorías normales, en el mundo virtual estos estándares aún no están desarrollados. Además hemos de tener en cuenta que en el mundo virtual la confianza es más necesaria que en la economía real, ya que el mayor número de transacciones se hacen con empresas que desconocemos en su faceta física, además la única información que tenemos normalmente es la que nos da la misma empresa por la red, a diferencia del mundo real que podemos ver unas instalaciones reales con personal real, en el mundo virtual no. Esta situación hace que las normas de calidad específicas y de seguridad para estas empresas empiecen a ser absolutamente necesarias. Igualmente, creo que en la actualidad aún estamos en una etapa muy temprana para poder desarrollar unas normas adecuadas, esperemos que en pocos años las diferentes instituciones involucradas sean capaces de desarrollar estas iniciativas que darán más confianza al usuario y garantizarían el buen desarrollo del e-commerce”.79 En lo anteriormente manifestado es concluyente el hecho de que el Auditor debe de integrarse y ser un actor principal en la Nueva Economía y el Comercio Electrónico. Asimismo en el último párrafo se señala que aún falta para desarrollar unas normas adecuadas, pero, estas normas existen, y están siendo utilizadas en varios países, lamentablemente en nuestro país no son conocidas, ya es hora.

del mundo. Vicepresidente y Gerente General para Puerto Rico Telephone Company-Celulares Telefónica. Ingeniero en Firmas Digitales y CPA con Licencia WebTrust. Presidente de Saynet, Inc. y Socio de Traverso, Rodríguez & Co. Fundador y Director Ejecutivo del primer laboratorio de investigación y entrenamiento en firmas digitales, tecnología de autenticación electrónica y procedimientos de seguridad y privacidad PKI "Public Key Infrastructure", basado en un marco tecnológico-legal. Premio CPA Distinguido 1998—Servicios a la Profesión, Colegio de CPA de Puerto Rico— por sus iniciativas en el área de Internet y Comercio Electrónico Primer CPA en emitir la primera estampilla digital CPA WebTrust a una organización hispana, el Colegio de Contadores Públicos Autorizados de Puerto Rico (www.prscpa.org) Primer hispano en obtener las certificaciones en seguridad CPA WebTrust del Instituto Americano de CPA Primer hispano certificado como Ingeniero en Firmas Digitales Asimétricas—Certificación emitida por empresas de seguridad globales especializadas en procesos de autenticidad y privacidad clave pública/clave privada en la Internet. 79 Opinión proporcionada vía mail por Enric Sagrera, Rentabilidad digital, www.Infonomia.com



116

3.3.- WEBTRUST80, LA HERRAMIENTA DEL AUDITOR EN EL COMERCIO ELECTRÓNICO. 3.3.1 El concepto WebTrust WebTrust, que podría traducirse como confianza en la Web, es un servicio proporcionado por un Auditor independiente, que constata, mediante la presencia de un sello electrónico de certificación en el sitio Web (sello de garantía), que la empresa de Comercio Electrónico evaluada, cumple con estrictos principios y criterios, diseñados para cimentar la confianza entre consumidores y empresas. Este sello de confianza, calidad y seguridad es concedido a la empresa previa obtención de un informe favorable de Auditoría. Desde el año 1997 se han desarrollado y mejorado (hasta la fecha tres versiones), por el Instituto Americano de Contadores Públicos Acreditados (AICPA) y el Instituto Canadiense de Contadores Acreditados de Cuentas (CICA), los principios y criterios que debe cumplir un sitio Web para conseguir el sello, a la vez se han ido otorgando licencias a los colegios profesionales más representativos de Auditores en los principales países de todo el mundo, que han iniciado el proceso de implementación de la nueva actividad para los Auditores de dichos países, de forma que WebTrust se ha convertido en el método más efectivo de transmitir confianza para los usuarios de Internet. La principal preocupación de los usuarios de Internet, la calidad, seguridad y privacidad de las transacciones, solamente se puede solucionar planteando estándares de garantía mundial, y para que esto se pueda dar, es necesario que se produzca un proceso de aceptación generalizada, tanto por la actividad Auditora Internacional, como por la red mundial de empresas de Comercio Electrónico y los usuarios de este tipo de negocio. Esto es lo que se pretende conseguir con la unión de las principales corporaciones de Auditores en torno al sello WebTrust.

Fundamentalmente para cada contrato WebTrust se debe asociar el hecho de que el sitio Web procesa "transacciones de Comercio Electrónico" y que al cumplir los Principios y Criterios WebTrust recibirá el sello. Pero, ¿Qué es una "transacción de Comercio Electrónico? La División de Comercio Electrónico del AICPA/CICA (Electronic Commerce Task Force) ha definido una transacción de e-commerce como cualquier intercambio de valor en Internet. Esto incluiría un intercambio monetario, un intercambio de información personal (que puede limitarse a su nombre y dirección), etc. Este intercambio necesita ser recíproco, una parte da y la otra recibe. Ambos participantes necesitan recibir algo de valor. Puede ser sólo el intercambio de información dónde el consumidor recibe datos de valor y el sitio Web recibe la información privada del cliente —los principios WebTrust de igual forma se aplicarían. 80 "Copyright © 2000 by American Institute of Certified Public Accountants, Inc. and Canadian Institute of Chartered Accountants. Used with permission.”



117

3.3.2 Cómo se obtiene La forma de obtener el servicio WebTrust va a depender de quién y cómo lo utilice, es así que encontramos a los que prestan el servicio: los Auditores, y a los usuarios: las empresas. Qué deben de hacer los Auditores Para adquirir la licencia WebTrust el Auditor o firmas de Auditoría deben de, si tienen residencia en los Estados Unidos o Canadá, contactarse directamente con el AICPA o el CICA. En el caso de las grandes Empresas de Auditoría conocidas como las “Big Five” (Arthur Andersen, Deloitte & Touche, Ernst & Young, KPMG y PricewaterhouseCoopers), estas ya han obtenido la licencia para ofrecer el servicio WebTrust a nivel mundial. En los países donde no se ha implementado el servicio los responsables de establecer contacto con las instituciones propietarias del programa son los colegios Profesionales de Contadores o Auditores, estos organismos deben de suscribir un acuerdo para que los miembros que lo deseen obtengan la condición de licenciatarios de WebTrust. El colegio Profesional debe enviar representantes para asistir a un seminario de capacitación a fin de crear monitores que luego impartan el curso a los asociados, la concesión se otorgará “ad personam”, es decir, la persona por haber realizado el curso estará en disposición de poder actuar como licenciataria siempre y cuando haya cancelado el valor de la licencia (en este caso incluye el royalty que el colegio profesional paga al AICPA y otra parte destinada a labores de promoción y divulgación del servicio a la sociedad), la licencia se otorga a Auditores individuales o a una sociedad (persona jurídica). Cada sociedad y persona podrán tener una única licencia. El concepto de una licencia fue motivado por la dificultad de los institutos creadores para controlar y monitorear la utilización del programa en los diferentes países, surgiendo además cuestionamientos tales como:

• Los costos que involucra posicionar la marca y la necesidad de crear conciencia de la importancia de la implementación del servicio para infundir confianza en las transacciones electrónicas.

• Los costos de control y mantención de sellos WebTrust, acrecentados por la distancia.

• El AICPA/CICA otorga la licencia a colegios profesionales quienes imparten cursos y actúan como monitores en sus respectivos países, de no existir este sistema de licencias sería imposible la enseñanza del WebTrust y su expansión.

• Resulta más conveniente que el AICPA mantenga comunicaciones con cada uno de los colegios e institutos de profesionales de cada país (o consultoras internacionales de Auditoría), en vez de con cada uno de los Auditores y firmas de Auditoría que proveen el servicio.

En muchos aspectos esta licencia puede considerarse un acuerdo de concesión. La licencia tiene varios componentes importantes como son:

Requerimiento de una carta compromiso Aplicación de los principios y criterios actuales WebTrust Acceso a papeles de trabajo Guías específicas para el uso de hyperlinks Guías para el uso de sellos WebTrust Estructura de honorarios Requerimientos para la retención de registros Suscripción de un acuerdo con un certificador (VeriSign) Participación en un programa de garantía de calidad en el servicio

Costos que involucra la licencia Cualquier producto nuevo requiere de una inversión comercial importante para construir la marca internacionalmente y para crear conciencia generalizada en el mercado. La profesión de Auditoría no ha desarrollado ningún servicio moderno desde hace bastante tiempo. Por ser el AICPA y el CICA instituciones sin fines de lucro carecen de recursos financieros suficientes para montar una campaña apropiada de comercialización internacional. Por lo tanto, un valor por la licencia con base en el tamaño (número de miembros, importancia dentro del país, etc) de las firmas de Auditoría y colegios profesionales se ha adoptado para solventar los costos



118

comerciales. Los fondos obtenidos se usan únicamente para promocionar el WebTrust al público y a clientes potenciales. El primer componente en la estructura de costos del sello es la licencia por el uso de los estándares, principios y criterios, el precio varía desde los 10.000 dólares, como mínimo, hasta los 50.000 dólares como máximo, anualmente. El segundo componente de la licencia WebTrust es el valor del sello en sí. Diferente a los costos de la licencia que son pagados por la firma, el cargo por el sello se traspasa exclusivamente al cliente. Los costos cubren los siguientes conceptos:

• Un Certificado Digital de Servidor clase tres, otorgado por VeriSign. • Inclusión en el Directorio WebTrust de Verisign. • El costo por aparecer en un directorio de empresas con sellos WebTrust sobre

una base actualizable trimestralmente. Este servicio permite buscar e identificar los sellos autorizados a fin de minimizar los riesgos por el uso inadecuado de ellos y además respalda a las empresas poseedoras del sello.

• Mantención y seguridad del sello. El tercer componente se refiere al entrenamiento continuo del profesional o firma de profesionales a quienes se otorgó la licencia, de esta forma se asegura la calidad y consistencia en la aplicación de los criterios y principios del programa WebTrust. Es necesario que el Profesional que ha obtenido la licencia posea amplios conocimientos de sistemas informáticos, además debe de estar familiarizado con los conceptos básicos de Comercio Electrónico, técnicas y protocolos de seguridad y habilidades inherentes al servicio que prestará. Qué deben de hacer las empresas. Para que el sello WebTrust aparezca en el sitio Web se deberá cumplir con los Principios y Criterios WebTrust en su versión más reciente. Para ello la Empresa deberá ponerse en contacto con una firma de Auditoría habilitada para la prestación de estos servicios. Después de las conversaciones previas para determinar el alcance de los trabajos, se les entregaría un presupuesto y, de prestar su conformidad, se firmaría la carta de encargo, dando lugar al inicio de los servicios. El proceso para su obtención es, básicamente, el siguiente: La Empresa titular de la página Web, manifiesta en la misma sus prácticas de negocio según el principio que debe ser auditado, demuestra que cumple durante cierto período de tiempo con dichas prácticas y, que dispone de controles efectivos para proveer una razonable seguridad sobre el mantenimiento correcto de las mismas. Todo ello es comprobado por Auditores independientes que, de encontrarlo todo conforme, le otorgarán el sello WebTrust previa obtención por la empresa de un certificado digital (ID) a través de una autoridad de Certificación, tal como Verising.

El profesional certifica que el sitio auditado respeta las normas fundamentales en materia de:



119

• Transparencia de las prácticas comerciales • Integridad de las operaciones de Comercio Electrónico • Protección de la información relativa a los clientes • Seguridad y privacidad de la información captada en la web

El procedimiento o sistema de trabajo ya establecido comprende:

• Una norma de trabajo • Un cuestionario de autoevaluación para las empresas • Una guía de Auditoría • Normas de informe • Modelos de propuesta de servicios

En relación a los costos por el servicio ellos cubren dos áreas principales: Primero, los costos de la Auditoría del profesional, quienes examinan y emiten un informe, de acuerdo a la normativa WebTrust. Segundo, un costo anual por el certificado digital, que autentifica el sello y prueba el cumplimiento de los estándares por parte de la empresa. 3.3.3 Quién lo respalda El programa WebTrust que comprende: Los principios y criterios en su última versión, Licencia de Uso, Servicios de Encriptación y Gestión por Autoridad de Certificación, prestación de los servicios por una firma de Auditoría Habilitada, y sometimiento al sistema de control de calidad establecido en relación con los mismos, fue creado por las más importantes agrupaciones de Contadores de Estados Unidos y Canadá en el año 1997, desarrollándose, perfeccionándose y extendiéndose desde entonces a otros países a través de sus agrupaciones de Auditores correspondientes. Los institutos promotores del sello, como antes se había mencionado, son:

• AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS. Primera asociación de Contadores independientes en Estados Unidos, que agrupa a más de 330.000 profesionales.

• CANADIAN INSTITUTE OF CHARTERED ACCOUNTANTS. Con más de 68.000 profesionales como miembros, es la primera organización de Contadores en Canadá.

Actualmente los servicios WebTrust son ofrecidos por los institutos profesionales de 19 países: Argentina, Puerto Rico, Australia, Austria, Bélgica, Canadá, Dinamarca, Francia, Alemania, Japón, Irlanda, Israel, Italia, Holanda, Nueva Zelanda, España, Suecia, Gran Bretaña, Estados Unidos. A los que se van incorporando paulatinamente otros países. Los consumidores pueden estar seguros que el negocio que ostenta un sello WebTrust es legítimo y opera bajo normas de negocio y controles estrictos. 3.3.4 Qué diferencia al sello WebTrust En Internet existen determinados sellos, emitidos por asociaciones o entidades que lo otorgan al asociado que lo solicite y se comprometa a seguir determinadas normas o conductas éticas, pero ningún tercero independiente certifica el cumplimiento de las mismas. Hasta la fecha los sitios de Comercio Electrónico, además de poseer uno o varios de los sellos anteriores, tratan de transmitir confianza a sus usuarios mediante certificados digitales, encriptación y otras variadas fórmulas, con mayor o menor éxito, para el pago de la operación a realizar. WebTrust, además de cubrir la totalidad de los aspectos anteriores, es el único sello en la red, homologado a nivel internacional y con vigencia ya en más de 19 países, emitido por Auditores Independientes, y respaldado por las más importantes agrupaciones de Auditores Internacionales, esto le da una trascendencia que traspasa, al igual que Internet, todo tipo de frontera, pero, garantizando además que los elevados estándares aplicados, son idénticos para todas los Websites que dispongan del sello, independientemente del país donde se ubique la empresa de e-comercio.



120

Más específicamente, desde su implantación, WebTrust ha sido la única herramienta de privacidad en ayudar a las compañías americanas a cumplir con las provisiones significativas fijadas posteriormente en la Directiva sobre Privacidad de Datos de la Comisión Europea. Apelando a una más amplia base de empresas en la economía global, el Programa WebTrust para Privacidad On-line también cumple con las pautas significativas de privacidad de la Organización para la Cooperación y el Desarrollo Económico (OECD), el Diálogo de Negocios Global para Comercio Electrónico (GBDe) y otras normativa de importancia en Canadá y los Estados Unidos. Este servicio goza de excelente aceptación, pues además:

WebTrust respeta las Directivas europeas WebTrust ha sido reconocido por:

ISO (vía AFNOR) proyecto en marcha en la norma ISO 21000 (acerca del Comercio Electrónico)

CNIL (proyecto de sello específico para la protección de internautas) Consejo de Estado (En los proyectos y estudios acerca de la

autorregulación en Internet) US Departamento Americano de Comercio US Comisión de Comercio Federal US La Casa Blanca y el Congreso Norteamericano US Comisión de Seguridad e Intercambio Norteamericana US Corporación de Seguro del Depósito Federal Grupos de defensa en los Negocios tal como la Alianza de Privacidad On-

Line A diferencia de TRUSTe y BBBOnline – dos programas sello que reaccionan sólo después de que las violaciones de privacidad son expuestas y sólo requiere que las compañías prometan su adherencia a sus políticas de privacidad – el Programa WebTrust para Privacidad On-line involucra un proceso proactivo que es preventivo por diseño. El Programa WebTrust incluye verificaciones regulares e independientes por un Auditor, de las políticas, procedimientos, manifestaciones, tecnología e infraestructura, para proporcionar seguridad y confianza. 3.3.5 Beneficios de WebTrust Para el Cliente En línea

• Garantía de que el sitio web visitado ha sido auditado por profesionales independientes siendo un lugar seguro para realizar alguna transacción



121

electrónica, El sello WebTrust le indica al consumidor que se han examinado las prácticas, políticas y controles de la pagina web de ese negocio y que dicha pagina web cumple con el criterio WebTrust.

• Comprobación de que el sitio web visitado es legítimo. • La confianza de entregar información personal y que ella sea bien utilizada con

pleno conocimiento del usuario. • Que, si se efectúa una transacción, todo el proceso se realizará de acuerdo a lo

acordado. • Respaldo de un sello conocido y con prestigio a nivel mundial.

Todos estos elementos contribuyen a una experiencia del cliente positiva que permite aumentar las ventas, conseguir fidelidad de los usuarios, y disminuir los costos operacionales de varias maneras. Al Negocio En línea Las preocupaciones acerca de la privacidad de los datos y la seguridad de las transacciones en línea impiden a muchos negocios tener éxito en el e-comercio. WebTrust reduce el temor y la desconfianza del cliente y además asegura la funcionalidad del negocio (de acuerdo al programa WebTrust para proveedores del Servicio Internet). Por otra parte es importante para la empresa que, además de los clientes, también los proveedores, bancos, y terceros en general conozcan que su Website ha obtenido el sello WebTrust de calidad en Internet. Igual de importante es para el personal la obtención de dicho sello al generar una mayor motivación y confianza en el trabajo de cada día. Los estudios han demostrado que casi una mitad de los compradores en línea indican que el sello de WebTrust los motivaría a comprar productos a través de Internet. El sello WebTrust permitirá darse a conocer a los consumidores como una empresa que respeta rigurosos estándares para el Comercio Electrónico y que el negocio se maneja con la integridad y transparencia que esperan. Los clientes entregarán sus datos personales sin desconfianza al contar con una credibilidad adicional al negocio, certificando también su legitimidad, lo que permitirá mantener una base de datos segura y protegida, la cual aumentará sus posibilidades de hacer un marketing más directo beneficiando directamente a los consumidores. El sello WebTrust dará una ventaja competitiva sobre las empresas competidoras, su prestigio, reconocimiento e implantación en los principales países industrializados establecerá una gran diferencia con aquellos que deseen incursionar en otros mercados. La experiencia acumulada en los sitios que disponen del sello WebTrust es que vieron como se incrementaron las visitas y sus ventas en el mismo. Demostrando un mayor nivel de confianza gracias a que, por una tercera parte independiente y objetiva, se ha revisado y auditado el sitio Web. La oferta de un sello que aporta garantía y seguridad a los usuarios de la página Web, no sólo va a potenciar las transacciones en la red, al transmitir confianza a los distintos clientes, sino que va a permitir a muchas empresas que, aún no han abierto este nuevo canal de venta por distintos motivos, el que lo puedan hacer con la tranquilidad de aportar un elevado nivel de calidad. Al Gobierno WebTrust es el único programa basado en un proceso de comprobación independiente. Este proceso promueve la autorregulación de la industria del Comercio Electrónico, además de actuar como un disuasivo del fraude. WebTrust refuerza la protección del consumidor en Internet, y la confianza hacia este tipo de negocios lo que conlleva a que el e-commerce explote todo su potencial, permitiendo la creación de nuevos negocios y asimismo la inclusión de las empresas tradicionales a esta modalidad. Se produce entonces un ciclo de generación de empleos, mayores ventas, mayor recaudación impositiva, mayor consumo y en algunos casos ahorro de los trabajadores, derivando en beneficios directos hacia el país.



122

Para la Profesión del Auditor WebTrust beneficia al profesional de la Auditoría al extender su servicio a un área hasta ahora inexplorada, como lo es el Comercio Electrónico, ofreciéndolo a empresas existentes o a potenciales nuevos clientes. Asimismo por ser el WebTrust un sello de confianza permite que los Auditores asuman y validen su rol de ministros de fe, caracterizados por su integridad, honradez, confianza, objetividad y conocimientos, ante la sociedad, empresas y usuarios. Es trascendental además, el hecho de que el profesional se debe adaptar a los cambios, sobretodo a los tecnológicos, para asimilarlos y comprender la dinámica en la que se pueda ver envuelto. Por ello, la creación de nuevas formas de negocios y la incursión del Auditor hacia los mismos, impide el estancamiento, que resulta sumamente perjudicial para una profesión que debe evolucionar. 3.3.6 La experiencia de WebTrust en el mundo. El Comercio Electrónico por su naturaleza es global. Cuando las empresas, a través de sus negocios, traspasan las fronteras de sus respectivos países, se someten a cumplir con las normas y disposiciones de la región en donde establecerán su mercado. Por ello es muy importante que la reglamentación en cuanto a la privacidad y seguridad sea homogénea independiente del país. Reconociendo esta realidad es que ya en varios países alrededor del mundo el sello WebTrust es sinónimo de confianza y seguridad, y su presencia simboliza, ya sea en un Website de España o en uno de Francia, que el negocio ha sido auditado por profesionales expertos que rigurosamente hacen cumplir los criterios y principios inherentes al sello. La fortaleza de WebTrust, al estar respaldado por las más importantes agrupaciones de Auditores Internacionales, incluyendo a Arthur Andersen, Deloitte & Touche, Ernst & Young, Grant Thornton, KPMG y PricewaterhouseCoopers, es su cobertura global aplicando estándares idénticos a las empresas que requieran el servicio, sin importar su ubicación geográfica.

Los colegios de Profesionales partícipes del programa WebTrust se han preocupado de extender este sistema a sus miembros a través de cursos y seminarios, capacitándolos para adentrarse en este nuevo campo dentro de la Auditoría. Asimismo, conscientes de la importancia de que la sociedad debe conocer y confiar en el comercio vía Internet es que se dan los espacios de información al público general mediante la creación de sitios web específicos.



123

Noticias e información sobre el tema abundan, Chile ha estado ajeno a ellos por el desconocimiento del programa en sí. La experiencia de WebTrust en el mundo ha sido muy positiva. WebTrust en Los Estados Unidos

Campaña Publicitaria

En los Estados Unidos se lanzó una campaña millonaria para promover el servicio WebTrust, que involucró insertos en diversas publicaciones:

Wall Street Journal Forbes USA Today Smart Money Wired

Internet World Weekly Interactive Week

Además de las campañas en prensa y revistas hubo:

• Anuncios on-line, conocidos como banner, en los siguientes sitios Web: - ZDNet.com - WebMonkey - HotBot - WSJ Interactive - Forbes.com - Dowjones.com/smart

• La creación de la página Web que alberga lo relacionado con el programa: www.cpaWebTrust.org

• Exhibiciones en ferias de comercio y seminarios

Lanzamiento De Prensa

“ Los obstáculos a la aceptación del consumidor de realizar transacciones vía Comercio Electrónico, ha sido el detonante para que el Instituto Americano de Contables Públicos Acreditados (AICPA) y el Instituto Canadiense de Contables Acreditados (CICA) anunciaran hoy el programa WebTrust, un sello único de confianza para el Comercio Electrónico. WebTrust ha sido diseñado para proporcionar la seguridad de que los sitios comerciales Web cumplen los criterios predefinidos para las prácticas de negocio, la integridad de la transacción y la protección de la información. El servicio del aseguramiento de WebTrust es diseñado para construir confianza del consumidor en el Comercio Electrónico supervisando y evaluando prácticas de negocio de Internet. Se señala a continuación por que este servicio es tomado por CPAs y CAs alrededor del mundo. "Estamos construyendo un marco para regular cómo las transacciones de la Web deben realizarse, así como una metodología estándar para analizar y documentar los factores dominantes en las prácticas de negocio apropiadas," dijo el Presidente Michael Rayner, FCA de CICA. "CAs en Canadá han estado trabajando para sus clientes y la comunidad empresarial por más de 100 años. Hoy, continuamos esa tradición de honradez y profesionalismo con WebTrust." Noticias de Prensa

WebTrust, sello de confianza, se expande a Francia, uniendo a Estados Unidos, Asia-Pacífico y otros países en la cruzada para proteger la privacidad on-line y darle un repunte al Comercio Electrónico. NUEVO YORK, NY, ENERO 19, 2000 — La Institución Americana de Contadores Públicos Acreditados (AICPA) anunció hoy que ha firmado un acuerdo con Compagnie Nationale



124

des Commissaires aux Comptes (CNCC) y con la Ordre des Experts Comptables (OEC), ambos ubicados en París, para ofrecer WebTrust en Francia. "Los negocios de Internet y los consumidores necesitan de una norma global que construya la confianza en el Comercio Electrónico y ayude a proteger la privacidad de los usuarios reduciendo el riesgo de fraude y de uso inadecuado de la información personal," dijo Barry Melancon, CEO del AICPA. "Esta norma es WebTrust - CPAS y sus contrapartes internacionales son los únicos capacitados para examinar negocios online para determinar si son legítimos, si sus transacciones son seguras, si la información proveniente de los consumidores se reserva en privado, y sus prácticas de negocio se revelan totalmente a los visitantes del website." El Instituto Francés de Contabilidad explica que ha trabajado sobre el concepto WebTrust por un año, en colaboración con un grupo de otros diez cuerpos de contabilidad de Europa, Universidades y la Comisión Europea en Bruselas, a fin de chequear que las normas del WebTrust concuerdan con las recomendaciones Europeas sobre el Comercio Electrónico. "La nueva versión de criterios de WebTrust (versión 2.0) es ahora una norma internacional porque incluye todos los aspectos para proteger los datos personales de los consumidores" dijo Thierry Trompette, presidente del LO comité del CNCC. "Desde luego, WebTrust es totalmente acorde con regulaciones Francesas para proteger la privacidad del consumidor." El acuerdo Internacional firmado el último Viernes en París entre el AICPA/CICA y la OEC/CNCC para el desarrollo del WebTrust, es el primero de su tipo destinado a promover la autorregulación en el Comercio Electrónico.

El AICPA convoca a la profesión de Auditoría en París para explorar soluciones a los riesgos del e-commerce. NUEVO YORK, NY, Agosto 1, 2000 - La Institución Americana de Contadores Públicos Acreditados anunció hoy que representantes de la profesión global de Auditoría se reunieron la semana pasada en París para tres días de conferencia con el fin de explorar soluciones a los riesgos de e-commerce, incluyendo la protección a la privacidad on-line. La necesidad de resguardar información privada, tanto en los negocios, como en el gobierno y los individuos, ha aumentado considerablemente con el crecimiento del Internet, provocando interés en muchos sectores. Conjuntamente con el aumento del uso de Internet como un medio para transar mercaderías y contratar servicios viene la necesidad de encontrar el balance correcto entre el uso apropiado de información para propósitos de negocio y protección verdadera a la privacidad de las personas. "La privacidad es uno de los intereses más urgentes entre los consumidores en los EE.UU. y otros países," dijo Robert Elliott, Presidente del AICPA. "En una reciente encuesta de IBM/Harris un 94% de los ciudadanos de EE.UU. dijeron sentirse preocupados sobre el posible mal empleo de su información personal. Como representante de sobre 335.000 miembros individuales de la profesión de contabilidad, sentimos fuertemente la necesidad de proteger información privada. Los consumidores y los negocios desean estar seguros fuera y dentro de Internet." El AICPA, como co-creador del servicio WebTrust se encarga de difundirlo, con el objetivo de lograr acuerdos entre los organismos de Auditores internacionales. Durante el Congreso realizado en París, en Julio del año 2000, se firmó un convenio con la sociedad de Contadores de Hong Kong. Los acuerdos se firmaron también recientemente con el Foreningen a Statsautoriserede Revisorer (FSR) de Dinamarca, el Koninklijk NIVRA de Holanda, y el Instituto de Auditores- Censores Jurados de Cuentas de España. El AICPA espera firmar acuerdos con varios países de Europa e Institutos de Asia-Pacífico. Firmas de Auditoría que utilizan WebTrust

Deloitte y Touche conceden el sello WebTrust para las autoridades de certificación a Entrust.net Inc.

Toronto, Marzo 8 2001 – Deloitte y Touche, uno de los servicios profesionales de mayor importancia a nivel internacional, anunció hoy que han concedido el primer sello



125

WebTrust para autoridades de certificación a Entrust.net Inc., una empresa dedicada a la certificación y el subsidiario de Technologies Inc. (NASDAQ:ENTU), abastecedor global principal de las soluciones del e-negocio de Management. “Estamos satisfechos de ser la primera firma licenciada en otorgar un sello WebTrust para autoridades de la certificación, como ha sido con Entrust.net inc.” señaló Bruce Barrick, socio de Servicios de Riesgo de la empresa Deloitte y Touche. “El programa de WebTrust requiere que las organizaciones establezcan normas de seguridad y control, siendo Entrust.net Inc. el primero en obtener el sello y con ello ha fijado claramente un precedente para que otras autoridades de certificación lo emulen.”

Ernst & Young, potenciando a las empresas con el sello WebTrust.

KPMG, un nuevo servicio que ofrecer.



126

WebTrust en Puerto Rico

Puerto Rico fue el primer país de habla hispana en obtener la licencia WebTrust y el Auditor que gestionó el proceso ante el AICPA fue el Sr. Nelson Traverso81, él obtuvo su licencia como CPA WebTrust en 1997 y muy pronto estaba ofreciendo seminarios sobre el tema en Florida y Puerto Rico, siempre en la búsqueda constante de formas de promover el sello. Para facilitar el proceso de certificación, ha establecido una asociación con Resource Marketing, el primer proveedor de servicio para Internet en recibir el sello, quien a su vez ofrece un servicio especial a los licenciados en la isla. Utilizando Resource Marketing como el medio de acceso para sus clientes y apoyándose en las destrezas de consultaría del Sr. Traverso para acelerar el lanzamiento del Comercio Electrónico, es posible reducir el tiempo de certificación a seis meses. "Es como usar una franquicia para conseguir el sello más rápido." explica. Algunos de los CPA que están trabajando con el señor Nelson Traverso tienen clientes en industrias que están interesados en el sello:

• Salud y Cuidado Personal. Un doctor en medicina nuclear desea poder enviar a sus pacientes copias de sus pruebas médicas utilizando firmas digitales para garantizar la privacidad. Los planes incluyen permitir a los pacientes hacer sus citas en línea, en completa confidencialidad, y que éstos puedan proveer con seguridad la información de crédito o seguros médicos,

• Comidas Rápidas. En Puerto Rico, Burger King está planificando permitirle a sus clientes el arreglo y pago de sus fiestas de cumpleaños en locales de la Cadena, en línea y en completa seguridad.

El Colegio de Contadores Públicos Autorizados de Puerto Rico, el cual posee un sello WebTrust, ha podido apreciar el valor de éste. Los miembros del colegio pueden registrarse para seminarios en línea, reduciendo así los costos para la asociación. Cerca de 200 miembros se registran a través de Internet cada mes, indicó el señor Traverso. Para redondear el éxito alcanzado, hizo el acercamiento a otra asociación que también está lista para recibir el sello: Una cadena de farmacias está considerando conseguir el sello para una Página en la Red que aceptará recetas directamente de las oficinas de los médicos y les ofrecerá a los pacientes, en línea, varias opciones de compra y entrega, en forma segura y confiable. Además de todas las instancias tendientes a promover el sello entre las empresas y miembros del Colegio de Contadores de Puerto Rico, se llevan a cabo seminarios, como el que se observa en la página web siguiente, en donde uno de los temas presentados es: “El efecto del WebTrust en la Auditoría”.

81 Menciono al Sr. Nelson Traverso por ser el primer hispano en obtener la licencia del sello WebTrust y además porque tuve la oportunidad de intercambiar mails y de hablar telefónicamente con él.



127

WebTrust en Argentina “Nuevos campos de actuación profesional”, así es el título en que se hace alusión al programa WebTrust en la página Web de la FACPCE (Federación Argentina de Consejos Profesionales de Ciencias Económicas), y la firma del convenio entre esta institución y el AICPA realmente permite acceder a otros nuevos campos de servicios, incrementando las posibilidades laborales para los Auditores. El acuerdo fue subscrito el 17 de Enero del año 2001, producto de lo resuelto en la reunión realizada el 29 de septiembre de 2000 en la Ciudad de Resistencia, Chaco. El convenio regula la licencia del programa "WebTrust" para privacidad "on line" (verificación independiente de prácticas de privacidad de un sitio web, de negocios electrónicos), La mencionada licencia otorga una importante ventaja comparativa para la prestación de nuevos servicios profesionales, dado que el territorio de aplicación puede extenderse a países que no cuentan con la licencia. En la actualidad la FACPCE se encuentra confeccionando un programa de actividades destinado a establecer la implementación del sistema y uso de la licencia. Cabe mencionar que los profesionales de Argentina tuvieron una destacada participación, exponiendo sobre el programa WebTrust, en el V Seminario de Profesionales de Ciencias Económicas y Contables de Países Latinos de Europa y América, realizado el día 26 de Septiembre del 2001 en la ciudad de Burdeos, Francia. El lema de este evento fue “La Profesión Moderna: Nuevas Tecnologías y Nuevas Perspectivas”, y los temas tratados fueron:

• Proyectos en el Ámbito de las Nuevas Tecnologías (Países expositores: Francia y Canadá)

• La Profesión y las Nuevas Tecnologías: Proyecto WebTrust (Países expositores: Francia y Argentina)

• Las Expectativas del Mercado (Países expositores: Francia y España) • Las Respuestas de la Profesión (Países expositores: Italia, Argentina, México,

Brasil y Francia) WebTrust en España Dentro de los tres países de habla hispana que poseen la licencia WebTrust, España es el que más difusión le ha dado, el Instituto de Auditores Censores Jurados de Cuentas de España (IACJCE) suscribió la Licencia el 25 de Julio del 2000. El presidente del IACJCE, José María Gassó82 expresó su satisfacción por la firma del acuerdo, que "permitirá una valiosa ampliación de la prestación de servicios profesionales en nuestro país" concluyó. Obtenida la licencia se abocaron a confeccionar el programa para la preparación de los miembros del Instituto, la siguiente circular se refiere a los cursos del programa WebTrust en España.

82 A través de Internet pude contactar a Don José María Gassó, el cual me entregó información y presentaciones realizadas por el AICPA y utilizadas en un congreso en San Francisco, Estados Unidos, a comienzos del año 2001, en donde los países poseedores de la licencia se reunieron.



128



129

Estos cursos ya se dictaron y actualmente existen varios Auditores individuales y sociedades de Auditores en España que poseen la calidad de licenciatarios, para ofrecer y entregar los servicios de WebTrust. Del mismo modo, en el desarrollo de una campaña de difusión, se realizó en Noviembre del 2001 una jornada de análisis y estudio de la seguridad y confianza en el Comercio Electrónico y su relación con el WebTrust, tal como se expone en la invitación y el programa del evento realizado.



130



131

La experiencia de WebTrust en el mundo, comprimida en los ejemplos de los países mencionados anteriormente, se manifiesta en forma idéntica en cada una de las regiones donde las Instituciones de Contadores o Auditores han obtenido la licencia, inicialmente se imparten cursos a los asociados y luego se organizan seminarios para dar a conocer las ventajas y particularidades del programa. 3.3.7 Marketing de WebTrust El éxito de comercializar y vender un servicio como WebTrust va a depender del conocimiento que se tenga del mercado, del producto en sí y de realizar una labor exhaustiva y altamente profesional. Christopher Leach, CPA, en la Guía Profesional del Negocio de Comercio Electrónico para el Consumidor WebTrust del AICPA, indica “La Profesión de Auditoría necesita ser más receptiva y sensible a las necesidades del consumidor, a lo que quiere, y responder a sus preocupaciones con soluciones, si es que quiere sobrevivir en este nuevo siglo”. Los Auditores son ya conocidos como expertos en servicios de análisis financieros, tributación y en la gestión de las empresas. Sin embargo, al nacer un nuevo tipo de servicio, como lo es el WebTrust, se debe de convencer al cliente de sus beneficios, por lo que su comercialización y venta presenta algunos desafíos. El primer paso es persuadir a un probable cliente de WebTrust, reconociendo los desafíos inherentes en la venta de un servicio profesional. El punto de vista del cliente – Características del Servicio Profesional Desde la perspectiva de los clientes, los servicios profesionales como WebTrust son:

• Inseparable con el Proveedor: El servicio y el proveedor del servicio se vinculan estrechamente. Transmitir una buena impresión y suministrar un servicio de calidad son la clave para conseguir y mantener clientes. Lo positivo radica en que los Auditores disfrutan de una excelente reputación en lo referente a honestidad y objetividad, por lo que para un sitio Web, que busca cimentar una imagen de confianza y legitimidad, ello proporciona un valor agregado al servicio en sí.

• Intangibles: Al contrario de un producto, como un automóvil o un reproductor

de DVD, el cliente no puede tocar o degustar un servicio. Como resultado algunos clientes pueden encontrarlo como algo difícil de comprender y apreciar, y resulta lógico no valorar el trabajo involucrado y los beneficios obtenidos si nunca ha puesto en práctica el servicio, la educación respecto al tema es la solución para superar esta predisposición. Otra condición que establecerá el valor del servicio es la evaluación de los resultados, y las ventajas obtenidas con la colocación del sello WebTrust en el sitio Web. Además, el sello electrónico WebTrust, por sí solo, es un símbolo muy tangible del servicio.

• Variables debido al proveedor: Los servicios proporcionados por un

profesional de la Auditoría o un consultor variarán según las diferencias en la educación, entrenamiento, disposición y otras variables, los clientes comprenden esto muy bien. Para una buena elección (y además para diferenciar la labor desempeñada por una firma de Auditoría de otra) es útil disponer de un listado (que puede estar situado en la página Web de alguna Institución imparcial) de clientes satisfechos que puede ser tomado como una referencia, otorgando una mayor transparencia al sistema lo cual irá en directo beneficio de los potenciales clientes. Indudablemente, que el obtener la licencia WebTrust, de por sí, demuestra la consistencia e importancia del Auditor, o firma de Auditoría, con respecto a sus competidores.

• Perecederos: Los servicios no pueden ser almacenados para usarse

continuamente. Pero el cumplimiento de la empresa a los estándares puede ser registrado, medido y observado, el sistema WebTrust permite, mediante el sello, que los usuarios y clientes de la empresa accedan a los informes de los Auditores, visibles siempre por el tiempo que se contrate el servicio.

Superando los temores normales de los clientes hacia un nuevo tipo de servicio, es primordial, para que todo resulte, una minuciosa planificación y ejecución por parte del profesional.



132

Desarrollar un plan de comercialización del WebTrust Cada firma de Auditoría, no importa cuán grande o pequeña sea, puede beneficiarse desarrollando un plan de mercadeo y ventas. Sea formal o informal, el plan de comercialización debe identificar qué mercado se está intentando alcanzar y cómo se alcanzará (ya sea usando publicidad, relaciones públicas, alianzas estratégicas, un sitio web, mercadeo directo, etc.) La firma también debe crear una planificación de las ventas. El plan debe identificar quién contactará a los posibles clientes de WebTrust; cómo los calificará, ya sea probables o potenciales; y cómo la empresa determinará sus necesidades, y objetivos. La venta de un servicio como una revisión a estados financieros o una típica preparación impositiva amerita menos planificación y persistencia que un servicio como WebTrust. El desarrollo de una planificación, debe considerar las siguientes etapas: Paso Nº 1—Entender el Mercado del e-comercio Lo primero que hay que considerar al desarrollar cualquier plan de mercadeo, es el entendimiento del mercado. Para WebTrust, ello significa la comprensión del Comercio Electrónico. Una definición de Comercio Electrónico para WebTrust sería "negocios que intercambian información, mercadería, o servicios de valor." Sitios que recolectan direcciones de correo electrónico y otra información personal son un ejemplo no tradicional de e-comercio. Numerosos estudios de investigación sobre el mercado de e-comercio han concluido que aumentando la confianza del consumidor se pueden reforzar el negocio. Ésa es la razón de WebTrust. Los licenciatarios de WebTrust se benefician de un flujo constante de información del mercado, recolectada oportunamente y proporcionada por el AICPA, la cual es utilizada para planificar y mantener a los clientes informados a través de newsletter, presentaciones, propuestas, y listas de correo. Los primeros candidatos a quienes ofrecer el servicio WebTrust deben ser los existentes en la base de datos de clientes e identificar a aquellos que están insertos en el negocio del Comercio Electrónico, para luego, preguntar ¿Cuántos de ellos no tienen una planificación para e-commerce, pero deberían? Es un hecho de que el Comercio Electrónico está cambiando la forma en que los negocios operan y la mayoría de las industrias se verá afectada y algunas radicalmente, se alterarán. El Auditor, como un consejero, debe de ayudarles a los clientes a determinar las maneras de crecer en el nuevo ambiente. Más allá de los propios clientes, se debe evaluar las oportunidades de extender la práctica contactando a otros negocios que se desempeñan en el Comercio Electrónico o que próximamente lo harán. El proceso de planificación es también un buen momento para aplicar una autoevaluación. Mediante el análisis FODA las firmas de Auditoría pueden reconocer sus fortalezas, oportunidades, debilidades y amenazas, y ello ha demostrado ser valioso para múltiples empresas de esta área. Las fortalezas y debilidades son internas a la empresa, por lo que de ellas dependen directamente y están bajo su control. Las oportunidades y amenazas son externas y menos controlables, pero es necesario incluirlas dentro del contexto total que implica una autorevisión. Finalmente, para el Auditor es comprensible la competencia y el posicionamiento de WebTrust, su prestigio es incuestionable y la diferencia más notable es la comprobación independiente de que un sitio web respeta normas rigurosas. Paso Nº 2 — Identificar a las Empresas objetivo. WebTrust fue ideado para otorgar la confianza necesaria en el Comercio Electrónico. Mientras el usuario final, el consumidor, es señalado como comprador o cliente ante la compañía, el comprador real de WebTrust es la empresa de e-commerce. En lo que concierne a este mercado objetivo, el riesgo es que se derive erróneamente todo lo relacionado con WebTrust a departamentos que se encargan de comprar



133

productos o servicios (Departamento Adquisiciones o alguno no relacionado con el tema, que al final conocerán más del sistema que lo verdaderos interesados) cuya labor será evaluar sus ventajas, costos, etc., para luego entregar los antecedentes a personas de mayor jerarquía, quienes decidirán. De esta situación surgen implicancias para el Auditor:

• Los Auditores, generalmente no tienen ningún contacto con los departamentos de ventas o marketing de sus clientes, porque históricamente ellos se relacionan directamente con los propietarios, gerentes, Departamentos de Contabilidad, y/o Departamentos de Auditoría Interna.

• En un sólo encuentro es difícil captar un nuevo cliente, en promedio lleva de 3 a

5 llamadas telefónicas o reuniones establecer un compromiso. La persistencia y una planificación de reuniones y llamadas con el objetivo de dar a conocer en forma íntegra el servicio son esenciales. En forma anexa el AICPA proporciona materiales que pueden enviarse para que el cliente se interiorice del tema, abriendo un nuevo canal de comunicación con la empresa.

La siguiente carta es utilizada para promover el servicio a los posibles clientes:

(Fecha) ________________________________ CONTACTO: (Nombre de la persona) _____________________________ __________________________________(Nombre de la firma, por ejemplo PriceWaterHouseCoopers o Deloitte & Touche) le ofrece reducir la desconfianza y las preocupaciones del consumidor sobre las transacciones por Internet. __________________________________(Nombre de la Firma) está ofreciendo un nuevo servicio, conocido como WebTrust, que proporcionará a los consumidores la seguridad que necesitan con respecto a las empresas con que ellos hacen negocios en la Web. Con WebTrust, los Auditores extienden su rol histórico como monitores de las políticas y prácticas corporativas, específicamente examinando los sitios Web de empresas con presencia en Internet. "Éste es un nuevo servicio, vital en la actualidad, que beneficia a consumidores y organizaciones, porque entrega seguridad y transparencia, además permite la acertada dirección y el debido control en las transacciones por Internet, velando por la privacidad y honradez en los negocios”, indica ____________________________(Nombre y cargo de un socio de la firma). __________________________________(Nombre de la Firma) otorgará a las empresas que demuestren capacidad para mantener la privacidad, seguridad y cumplan con sus principios y criterios, el sello WebTrust. Una vez que la organización ha recibido el sello, posee libertad para desplegarlo en su sitio Web como prueba de adhesión a las prácticas del Comercio Electrónico de acuerdo a la normativa WebTrust. Para asegurar su cumplimiento se realizarán Auditorías por lo menos cada 90 días, para aquellos sitios Web con mayor flujo de información y más dinámicos la frecuencia del examen puede aumentarse. Y, cada sitio poseedor del sello se incluirá en un directorio donde se encontrarán todos los Websites que lo hayan conseguido. El desarrollo y lanzamiento del sistema WebTrust implicó una investigación exhaustiva por parte de las instituciones creadoras, como son el Instituto Americano de Contadores Públicos Acreditados (AICPA) y el Instituto Canadiense de Contadores Públicos, incluyendo diversos estudios encargados a comisiones especiales del AICPA y empresas consultoras que analizaron los hábitos de compra y actitudes de los usuarios de Internet. Los resultados indicaron temores a posibles brechas de seguridad en las empresas, fraudes, mal uso de datos personales y riesgos altos en la adquisición de productos o servicios en Internet. Con el fin de asegurar un entrenamiento adecuado para desenvolverse en el ámbito de la Auditoría a sistemas de Comercio Electrónico y para mantener criterios



134

estandarizados del servicio, __________________________________(Nombre de la Firma) obtuvo la licencia del AICPA para ofrecer WebTrust. Según_________________________ (Nombre), "El servicio WebTrust es una extensión lógica de la función de los Auditores. Nosotros revisamos de una manera totalmente objetiva e imparcial las finanzas, procedimientos e informes de una empresa verificando que lo que ellos dicen hacer lo hacen. Este servicio impulsará y sostendrá las normas éticas de la profesión al situarnos en el lugar que nos corresponde, el ser vigilantes de buenas conductas en los negocios, para nosotros eso no es negociable y simplemente este nuevo paso es una adaptación, totalmente necesaria, a los requerimientos de una sociedad informatizada." (LA FIRMA PUEDE INSERTAR FOLLETOS DONDE SE INCLUYAN OTROS SERVICIOS PROPORCIONADOS )

Desde un punto de vista positivo, los Auditores:

• Han establecido relaciones profesionales con, aproximadamente, cada propietario y Gerente en EE.UU. y en el extranjero. Son respetados por la comunidad financiera, por profesionales de otras áreas y por el Gobierno.

• Gozan de un prestigio y reconocimiento por actuar como depositarios de

confianza y objetividad en las labores desempeñadas, otorgando transparencia a los negocios.

Por lo tanto, los Auditores que ofrecen el servicio WebTrust han tenido el éxito en la búsqueda de un nuevo mercado, ya que:

• Los clientes existentes han comenzado a crear divisiones de Comercio Electrónico o están planificando hacerlo.

• Han cimentado relaciones claves con personal interno de las empresas, tales

como el CEO, Presidente de la Compañía, CIO, CFO, Directores, Gerentes.

• Han cimentado relaciones claves con entidades externas a las empresas, tal como los bancos, entidades diseñadoras web, y proveedores de tecnología.

En términos de las empresas seleccionadas el Auditor debe evaluar su entorno. En algunos mercados los servicios financieros online presentarán incrementos sustanciales, en otros las pequeñas tiendas al detalle, en otros aumentarán los sitios de negocios B2B. El profesional, tras un análisis, debe de reconocer el mercado objetivo y enfocar todos sus esfuerzos en lograr introducir el sistema WebTrust. Paso Nº 3 — Determinar la forma más eficaz de realizar el marketing Por regla general, las empresas utilizan el 2% a 3%, aproximadamente, de sus ganancias anuales en gastos de marketing. Independiente del presupuesto de que disponga la firma el plan de mercadeo debe identificar la mejor vía para localizar a los potenciales clientes. En algunos casos una simple carta, como la que se observó anteriormente, bastará para introducir el servicio. También se puede decidir adoptar un plan más integral, que incluya elementos como marketing directo, reuniones, eventos de comercialización del servicio, conferencias, relaciones públicas y venta directa. Con cualquier enfoque que el Auditor adopte, la planificación incluirá el comunicar los beneficios de WebTrust. El presupuesto, experiencia, y los potenciales clientes serán decisivos en la planificación del marketing.



135

Paso Nº 4 — Desarrollar e implementar un plan de ventas Como parte del plan de marketing, se debe establecer también una estrategia de ventas con sus correspondientes objetivos, los que deben ser periódicamente analizados para medir su progreso y cumplimiento. Este plan de ventas debe incluir:

• Quién vende y quién conduce la generación de ventas (si existe supervisión, cuántos vendedores existen). Planificar un acercamiento coordinado al cliente, por ejemplo, acordar con los Gerentes reuniones en conjunto para proveerle información del servicio

• Una lista de contactos para llamar. Para firmas más grandes, se puede

implementar un departamento de ventas y contactos telefónicos, actividades que serán almacenadas en una base de datos con tal de hacer seguimiento a las gestiones.

• Organizar el modo de operar en las ventas y sus objetivos (por ejemplo, llamar

a 15 posibles clientes por semana, suscribir cinco compromisos en tal período, contestar a las preguntas recibidas en el sitio web en las últimas 24 horas, y así sucesivamente.)

• Para las firmas con más de una persona que venda WebTrust, celebrar

reuniones periódicas para discutir la actividad, el estado de las gestiones, y analizar posibles cambios al proceso de ventas o al sistema que se promociona.

• Crear incentivos para cumplimiento de metas en la ventas y que haya

preocupación por mantener siempre informados a los clientes o posibles clientes.

Paso Nº 5 — Incorporar Materiales Proporcionados a los Licenciatarios Como un licenciatario de WebTrust, el Auditor recibirá un conjunto de material de apoyo y herramientas eficaces que constituirán un soporte a la actividad de marketing y venta del servicio. Éstos van desde informativos para el Auditor y sus clientes, mails oportunos de las últimas novedades, CD con seminarios e invitaciones a congresos, como los realizados en Francia en el 2000 y en San Francisco en el 2001. Planificando y comprometiéndose con el servicio WebTrust se logran excelentes resultados, convirtiéndose en una experiencia enriquecedora, tanto financieramente como profesionalmente. 3.3.8 Testimonios acerca del sistema WebTrust83 La medición de un servicio está en el valor proporcionado. Los clientes de WebTrust y los Auditores son los más idóneos para hablar de él: Los clientes "El sello WebTrust ha sido uno de los elementos estratégicos clave que hemos implantado y ejecutado durante el último año para continuar construyendo la confianza en línea y optimizar las relaciones con nuestros clientes e inversores. Como resultado WebTrust ha sido un factor muy importante para Bell Canadá, ayudando a manejar las interacciones que han aumentado con los clientes y las ventas en línea presentan ahora un mayor potencial a través de nuestro sitio http://www.bell.ca /, el cual ostenta el sello WebTrust" Sean Seaton, Director de Estrategia de e-business, Bell Canadá "Uno de las cosas que distinguen un sitio Web seguro, de otros que no lo son, es el sello WebTrust y los procesos y controles inherentes a él. El Sello les da un sentido mayor de confianza a los compradores.” Alessandro Mina Presidente y CEO Cameraworld.com

83 Testimonios recopilados de material en la página web del sello.



136

"Yo sé que los usuarios de Internet se preocupan al comprar por Internet dando su número de tarjeta de crédito. Es lógico, yo comparto sus preocupaciones. Por eso estoy muy contento de decir que mi sitio se distingue de los demás con el sello WebTrust. Roger Clemens, Pitcher Los Yanquis de Nueva York “Hay 10 a 12 millones de clientes potenciales de E*Trade que no están invirtiendo en línea actualmente, pero utilizan Internet activamente para obtener información financiera. El sello WebTrust de E*Trade puede asegurarles de nuestro total compromiso hacia la seguridad y privacidad del cliente, animándolos y persuadiéndolos a que inviertan en línea con nosotros". Christos M. Cotsakos Presidente y CEO E*Trade Group, Inc. "Después de que la Empresa recibió el sello WebTrust, noté un aumento inmediato en nuestra ventaja comercial así como una bienvenida disminución en nuestros gastos de explotación." Chris Swainhart Presidente Resource Marketing,Inc. "Decidimos conseguir el sello WebTrust para comunicar a nuestros clientes que deseamos otorgarles la mayor seguridad posible para su tranquilidad. La credibilidad ligada a la profesión de Auditor ayudará a propagar ese tipo de mensaje." John Cooper Vicepresidente Ejecutivo Alpine Banks of Colorado Los Auditores "En cada contrato de WebTrust, nosotros hemos otorgado un valor agregado a la labor, dándose la oportunidad de ofrecer servicios complementarios que han resultado en ingresos adicionales y una relación más cercana con el cliente. Al realizar Auditorías de WebTrust, que contempla un análisis integral del negocio de Comercio Electrónico, nos posibilita a que las demás empresas conozcan las extensas posibilidades que ofrece este mercado, al amparo de firmas de Auditoría como nosotros. Varias compañías nos han hecho saber su interés por el servicio, si bien ello no termina en ocasiones en un contrato permite sentar un precedente en la vigilancia hacia este tipo de actividades, que conocemos bien. Ya perdí la cuenta de las peticiones de práctica y trabajo que recibimos de profesionales jóvenes y estudiantes en EE.UU., Canadá, y otros países, quienes tienen un interés enorme en trabajar con nuestra empresa debido al enfoque tecnológico y moderno que adoptamos. Reconocemos la importancia de la tecnología y que su aplicación proporcionará oportunidades en los años venideros. WebTrust, y otros servicios que surgirán, serán los fundadores de una práctica aprovechable. Nosotros ya no seremos considerados “revisores de cuentas”, sino profesionales de la información, que dan siempre más de lo que se les pide.” Christopher Leach, CPA, Leach Consulting and Accounting San Diego, California "WebTrust ha sido bueno para nosotros por varias razones. Al colocar nuestro primer sello WebTrust en un banco, hemos con la experiencia aumentado nuestro conocimiento de Internet y el Comercio Electrónico significativamente. También, nuestros clientes son los negocios pequeños y no las grandes empresas, si ellos “se suben” a Internet, WebTrust puede ayudarles a ganar la credibilidad que necesitan. Por último, WebTrust es una útil herramienta para encontrar personas acordes con los nuevos tiempos, la semana recién pasada, di información de WebTrust a un probable



137

empleado y le dije que Dalby Wendland es la única firma en el área dónde él puede desarrollar las habilidades del Comercio Electrónico”. Dennis Wagner, CPA, Dalby Wendland LLP Grand Junction, Colorado "Nuestra empresa ha visto que el número de Auditorías ha declinado y, por consiguiente, también los ingresos han disminuido, nosotros vemos a WebTrust como una oportunidad de reemplazar estos ingresos perdidos. También vemos a WebTrust como el comienzo para crear departamentos específicos enfocados a áreas de tecnología e Internet. John Merina, CPA, Merina, McCoy Linn Oeste, Oregón WebTrust y las oportunidades de consultoría: "Cuando conversamos sobre WebTrust, los clientes se sienten muy interesados en cumplir los Principios y criterios que el programa implica, ellos comprenden que les traerá beneficios y les diferenciará el cumplir con la normativa. Por ejemplo, estamos trabajando actualmente con un registrador de nombres de dominio, y varios clientes ISP, a los que asistimos en la migración de sus negocios a los estándares WebTrust. El resultado no sólo involucra un futuro potencial para el sello WebTrust, también ganancias adicionales para la firma y una relación con el cliente reforzada. Estamos ganando "e-dinero" al comercializar WebTrust!!" Servir a los clientes "Mi cartera de clientes completa ya está en el campo del Comercio Electrónico. Yo tuve la suerte de adelantarme en este mercado, pues conseguí fomentar relaciones con empresas punto com y otros clientes de alta tecnología que estuvieron en la vanguardia, con presencia desde hace tiempo en Internet. Allí es donde el futuro está." Reclutar al personal profesional "Tenemos cuatro profesionales que están con nosotros porque ellos están intrigados por el e-commerce y su futuro. Estos profesionales jóvenes ven las posibilidades y el potencial en los Auditores que trabajan con sus clientes en el Comercio Electrónico. En mi opinión, nosotros somos una empresa que retendrá a estos profesionales pues son la base de un servicio innovador y que funciona en directa relación con el cliente que piensa incorporarse al fenómeno Internet o que ya está inserto en él. Nosotros ya estamos por sobre los servicios tradicionales y en esta nueva era es totalmente necesario, más que necesario, es vital adaptarse a los cambios." Christian Stormer , CPA. Bauknight, Pietras & Stormer. Columbia, Carolina del Sur. 3.3.9 Casos de estudio WebTrust H.D. Vest La situación Proteger la información financiera e impositiva de los clientes mediante transacciones seguras es la principal preocupación entre empresas que proveen el servicio de planificación y preparación de impuestos en línea. El fracasar puede traer serias ramificaciones, incluyendo multas de los reguladores o entidades supervisoras, pérdida de clientes y disminución de la lealtad de aquellos que se mantengan en la empresa, deterioro de la marca, intensas investigaciones y reportajes de los medios de comunicación (prensa, televisión, radio e Internet) y por ende publicidad negativa, lo que conduce a una pérdida de porción del mercado, entre otros efectos. H.D. Vest, una



138

empresa de servicios financieros y de preparación de impuestos en línea, ubicada en los Estados Unidos, buscaba un conjunto de las mejores normas y prácticas para negocios en línea, particularmente en el área de protección a la privacidad y seguridad en la red, para proporcionar una referencia de cómo se salvaguardan los archivos electrónicos de cifras de impuestos y cómo los datos de inversiones obtenidas de sus clientes son mantenidos seguros en sus sitios web, www.HDVest.com, www.MyHDVest.com y www.HDVestPro.com . Mediante estos tres sitios, H.D. Vest acumuló una diversa base de datos de usuarios que necesitaban la certeza de que su información financiera y personal era protegida, la empresa tuvo clientes en línea con quienes no tenía ninguna relación anterior y ahora la buscaban para gestionar sus impuestos a través de www.HDVest.com, H.D. Vest también tenía usuarios que eran clientes de sus asesores y utilizaban www.MyHDVest.com, un portal financiero en línea gratis. H.D. Vest quiso asegurar a los clientes que su información “delicada” no solamente se mantiene confidencial y segura, sino que además las prácticas de privacidad en línea del sitio son verificadas independientemente por una tercera parte confiable, como una empresa de Auditoría. Porque los controles de seguridad son necesarios para ayudar a proteger la información privada, H.D. Vest buscó el sistema idóneo. H.D. Vest había visto a uno de sus competidores más grandes, H&R Block, caer víctima de la publicidad negativa, clientes disgustados, escasa credibilidad y menoscabo de la marca debido a problemas de privacidad, disponibilidad del sistema y seguridad del website de H&R Block. Ellos no se adhirieron a ningún servicio para monitorear y medir los controles de su negocio en línea y hubo un impacto negativo tremendo cuando se detectó una brecha en sus sistemas. Para H.D. Vest fue determinante lo ocurrido y para evitar estos riesgos recurrió a los profesionales de la Auditoría como guías en la preparación de una estructura de normas y controles por los cuales regirse. La solución Para resolver sus preocupaciones, H.D. Vest acudió a una firma de Auditoría Independiente llamada Grant Thornton, quienes le dieron a conocer WebTrust, la solución integral para el e-business, que incluye, entre otros, un programa de prácticas de privacidad en línea para los negocios en Internet. WebTrust también ofrece las mejores prácticas para otras áreas, incluyendo:

• Seguridad de transacciones y procesamiento de información (por ejemplo, el sitio tiene controles apropiados medibles, alta encriptación, protección de cortafuegos, etc.)

• Integridad de transacciones (por ejemplo, el sitio entrega promesa de que va a cumplir con todo lo acordado, en cuanto a devoluciones, garantías, tiempo de entrega, etc.)

• Divulgaciones de las prácticas y políticas de negocio del sitio (por ejemplo, privacidad, ingreso, las quejas del cliente, distribución, etc.)

• Disponibilidad de los Sistemas Las empresas de Auditoría autorizadas y sus colegas internacionales verifican, independientemente, que un negocio en línea mantenga sus operaciones de acuerdo a los principios WebTrust y de ser así se otorga el sello que asegura el cumplimiento total. Este proceso de comprobación se efectúa cada 6 meses por lo menos. Los beneficios

• El millón de clientes84 de H.D. Vest se sienten más cómodos dando información personal y los asesores de H.D. Vest y otros profesionales tributarios se encuentran más confiados utilizando el sistema TaxPro85, al saber que www.HDVest.com, www.MyHDVest.com y www.HDVestPro.com han sido verificados independientemente por una empresa de Auditoría que ha otorgado el sello WebTrust de privacidad en línea.

• WebTrust fomenta la confianza y confidencialidad entre los clientes de H.D. Vest, resultando en una mayor satisfacción con la forma de operar de la empresa.

• A través del programa de privacidad on-line de WebTrust, H.D. Vest demostró a sus clientes que no solamente pretende que ellos se sientan seguros, confiados

84 El nombre original para denominarlos es e-filers. 85 Programa en línea de H.D. Vest para realizar las operaciones de impuestos con los clientes.



139

y cómodos cuando suministran información impositiva en línea, sino que ello obedece a un proceso de adaptación a las mejores prácticas existentes para negocios electrónicos.

• La proactividad, ella se manifiesta en la naturaleza preventiva de WebTrust que ha ayudado a H.D. Vest a evitar varios de los peligros que encierra el e-business, antes de que ellos se vuelvan un problema; es el caso en que ayudó a la Compañía a mitigar el impacto financiero negativo ocasionado por H & R Block, cuando fallas de privacidad de la información ocurrieron en el sitio Web de esta empresa.

• WebTrust ayudó a nivelar el mercado donde se desenvuelve H.D. Vest en relación a los competidores de mayor tamaño e importancia, transmitiendo credibilidad a su sitio y revelando que H.D. Vest ha adoptado unas normas que las demás empresas no cumplen actualmente.

• WebTrust colaboró en el incremento de la participación de mercado de H.D. Vest en gestionar impuestos en línea (el último año H.D. Vest terminó segundo en tal proceso); secundariamente, también ayudó a reforzar su participación de mercado en preparación de impuestos offline.

• WebTrust permitió a H.D. Vest cumplir con leyes de privacidad y pautas significativas de EE.UU. (por ejemplo, el Acta de Modernización de Servicios Financieros), así como las pautas y regulaciones de Canadá, la Unión europea (EU), la Organización para la Cooperación y el Desarrollo Económico (OCDE), y el Diálogo de Negocios Global para el E-commerce (GBDe).

Los Antecedentes La protección a la privacidad no es solamente una prioridad para las empresas de servicios financieros en línea, es ahora una obligación. Mediante WebTrust, H.D.Vest asegura a los clientes que su información impositiva, personal u otros datos con carácter confidencial no será accesible por ninguna persona que no sea el usuario registrado y autorizado. H.D. Vest asimismo afirma que ninguna información del cliente se compartirá o se venderá a cualquier tercero, respetando los requisitos de privacidad de la nueva Acta de Modernización de Servicios Financieros (también conocida como la Gramm Leach Bliley Act). Esta nueva ley que entró en vigencia recientemente, se diseñó para proteger la información, de cualquier índole, de los consumidores, ya sea el ser vendida ilegalmente, compartida o explotada por Instituciones de servicios financieros. El fracaso en proveer privacidad y seguridad tiene ramificaciones negativas El fracaso en adherir a su política de privacidad en línea causó recientemente, a H&R Block, uno de los mejores preparadores de impuesto de la nación y un competidor de H.D. Vest, severos problemas en las relaciones públicas, con titulares nacionales que anunciaban la vulneración y rompimiento de la confianza pública. Como informó el 17 de abril del 2000 la revista Business Week, H&R Block’s sufrió uno de los más graves percances en su sitio Web. El servicio impositivo de un mes anterior tuvo una falla técnica y los clientes llamaban indicando que podían ver la información relativa a impuestos de otros usuarios. En respuesta, Elliot Ettenberg, CEO en Estrategías mundiales de clientes dijo a Business Week, “Las personas deben estar seguras que H&R Block tiene la pericia para ocuparse de todas sus operaciones financieras y que tratará su información privada con el cuidado que merece. Cuando hay una brecha en la confianza, tenga por seguro que todos sus negocios en línea van a sufrir." Los problemas de H&R Block no comenzaron con fallas a la privacidad. Según Business Week el primero de febrero del 2000 una oleada de visitas provocó que el sitio Web permaneciera cerrado durante tres días - el sitio no estaba disponible para sus ahora encolerizados clientes. "Si su website cae nuevamente, ello podría ser catastrófico", señaló Robert Sterling, analista de Júpiter Communications, mientras, la publicación Business Week continuaba diciendo que el mercado de los servicios financieros en línea ya estaba saturado, y que una mala experiencia con los nuevos servicios, como la preparación del impuesto en línea y el archivar electrónicamente datos confidenciales, podría inducir a los clientes a no interesarse por ellos. Las empresas de planificación financiera y de preparación de impuestos en los Estados Unidos no son las únicas que adoptan medidas por situaciones que atentan contra la seguridad y privacidad de la información de sus usuarios. Egg, el primer banco con presencia sólo en Internet del Reino Unido descubrió que los hackers intentaban obtener las tarjetas del crédito de su sitio Web utilizando cuentas falsas. El Banco



140

Barclays tuvo que desactivar temporalmente su servicio de e-banca después de que algunos de sus clientes accidentalmente habían encontrado la manera de visualizar las cuentas en Internet de otros clientes. Halifax PLC, una compañía de Hipotecas aplazó a último minuto el lanzamiento de sus servicios en la red debido a graves falencias en la seguridad de la información personal que se reuniría. Aunque cada una de estas fallas técnicas afectan la privacidad de solamente algunos clientes, ellos llamaron la atención de los medios de comunicación nacional sobre la inseguridad de los servicios financieros en línea y la habilidad de instituciones para proteger la información personal y, por ende, confidencial de sus clientes. Los Métodos WebTrust: Una solución proactiva para E-business que protege a los clientes H.D. Vest tomó una decisión proactiva para asegurarse de que disponía de los controles y procedimientos necesarios para proteger la privacidad de sus negocios en línea. H.D. Vest es la única compañía en los Estados Unidos que ofrece a sus clientes la preparación de impuestos en línea y su archivo electrónico gratis, sin importar su nivel de ingreso o complejidad de la operación. H.D. Vest es la primera compañía de preparación de impuestos on-line y de planificación financiera en los EE.UU. en someter sus políticas de privacidad, seguridad y procedimientos de control a un examen WebTrust por una empresa de Auditoría independiente. La empresa Auditora Grant Thornton, autorizada por el Instituto Americano de Contadores Públicos Acreditados (AICPA) para ofrecer el Programa de privacidad en línea WebTrust, fue la encargada de realizar una Auditoría a los sitios Web de H.D. Vest, www.HDVest.com y www.myHDVest.com, para determinar si ellos reunían las condiciones establecidas por el Programa WebTrust. El Sello WebTrust tiene un valor real Como resultado de la Auditoría, a www.HDVest.com y sus sitios subsidiarios www.MyHDVest.com y www.HDVestPro.com se les otorgó el sello de privacidad en línea WebTrust. Cuando un visitante hace clic en el sello WebTrust, puede ver el informe de Auditoría elaborado por la firma Grant Thornton indicando que H.D. Vest cumple con políticas de privacidad y procedimientos que protegen la información confidencial suministrada por sus clientes. "Para H.D. Vest, el verdadero valor del sello de privacidad WebTrust se reconoce al saber que, al contrario de nuestros competidores que enfrentaron brechas de seguridad, violaciones de privacidad y publicidad negativa, sin mencionar algún otro impacto financiero, se tomaron las medidas necesarias para evitar los problemas potenciales antes de que ellos se materializaran '', dijo Roger Ochs, Presidente de H.D. Vest. '' Nosotros creemos que a través de una Auditoría independiente de nuestras prácticas de privacidad éstas se pueden fortalecer y así reasegurar a nuestros clientes que cualquier dato personal está debidamente protegido." Agrega Ochs, "Aunque hay otros programas de protección a sitios Web que ofrecen sellos, y nosotros hemos recibido ofertas de muchos de ellos, sólo el sello WebTrust del AICPA certifica una revisión independiente de acuerdo a estrictas normas, y nosotros queremos cumplir con esas normas.” "H.D. Vest garantiza que la información del cliente se mantiene segura y privada, y nosotros quisimos la mejor verificación de ello por medio de un servicio reconocido en el mercado que nos ayudara a cumplir con nuestra promesa", señaló Scott Fowler, Gerente Ejecutivo de H.D. Vest. "WebTrust nos ofreció la oportunidad de probar nuestras políticas internas, procedimientos y controles con respecto a la seguridad, privacidad, tecnología e infraestructura. Nosotros creemos que WebTrust ha colaborado en aumentar la satisfacción y certitud del cliente en todos nuestros sitios.” Añade Fowler, "Todo lo anterior combinado con los servicios innovadores que proporcionamos, produce un incremento en las operaciones de H.D. Vest y en la rentabilidad global. WebTrust también distingue a nuestro sitio de los competidores por la confianza que el público tiene en la profesión de Auditoría. Cada uno de estos factores se traduce en el valor final del servicio. ''



141

El rol del Auditor durante el examen de WebTrust Chris Leach, un socio de Grant Thornton, expresó, '' Como Internet continúa su rápido crecimiento como un medio de intercambio, el flujo constante de información privada debe manejarse eficazmente para proteger a los consumidores sin que ello restrinja el Comercio Electrónico. De acuerdo a la evaluación de otros programas de privacidad como TRUSTe y BBBOn-line, existentes en el mercado, se rescata el hecho de que ellos no ofrecen una garantía de que los datos de los consumidores se mantendrán privados y seguros. La comprobación independiente que otorga el Programa WebTrust es absolutamente necesaria, sobretodo en lo relativo a impuestos e información financiera personal. La mayoría de las empresas pueden beneficiase del análisis objetivo de su tecnología y procedimientos que un tercero independiente puede ofrecer a través del examen de WebTrust. Como un consultor de e-business, el Auditor desarrolla procedimientos y pautas de cómo los empleados de la Compañía deben manejar la información del cliente y cómo sus sistemas la protegerán. Nosotros ayudamos a nuestros clientes a impulsar y adherirse a las mejores prácticas de los negocios electrónicos, incluyendo aquellas que resguardan los antecedentes confidenciales de los clientes e integran los controles de seguridad adecuados." Los clientes de H.D. Vest se sienten más seguros Yo usé H.D. Vest para mis impuestos el año pasado. Era un poco aprehensiva sobre enviar mi información y realizar las operaciones impositivas por Internet. Sin embargo, H.D. Vest hizo el proceso tan fácil y encontró otras deducciones que pasaron inadvertidas por mí. Ellos también mitigaron el temor acerca de la seguridad de mi información. La mejor de este sitio es que no lo bombardean con anuncios y publicidad, además no atestan tu servicio de correo con cientos de mails como lo hacen otras empresas. Yo tuve noticias de ellos en Diciembre para informarme de la fecha en que el sistema iba a estar disponible en su sitio. Eso era maravilloso. Atentamente, Paula C.

Gracias por la oportunidad de registrar nuestros impuestos en línea gratis y para el sitio "MyHDVEST", al cual considero muy bueno, mis felicitaciones. Es muy bueno también poder imprimir nuestros ingresos al final, así como tener nuestros valores calculados automáticamente. Yo tenía que ingresar una planilla por primera vez y no estaba seguro de qué hacer exactamente, pero con su programa todo se me hizo fácil y apenas digité los datos ustedes hicieron el resto. Gracias, Stephanie M.

Gracias por hacer este año impositivo más sencillo para mi y mi familia. Todos comenzamos a usar H.D. Vest en línea desde el año pasado y todavía estamos disfrutándolo. Además sabemos que nuestra información está segura y sabemos que la confidencialidad es lo prioritario en este tipo de negocios. Gracias una vez más. Felicia O. y Familia

Este es el segundo año que empleo H.D. Vest para mis impuestos. No puede ser más simple. Yo recibí mi formulario W-2 el 26 de enero de 2001. A las 9:49 am del mismo día mi tributación federal fue completada. Ya no me imagino sentado en un escritorio con una calculadora, una lapicera y el formulario confeccionado los impuestos, como lo hacía antes. Gracias, Sharon

Los participantes H.D. Vest, Inc., es el proveedor más grande del país de servicios financieros suministrado a través de profesionales del impuesto. Los consultores de H.D. Vest administran más de 16 billones de dólares en recursos de individuos, familias, y negocios pequeños en los 50 estados. Como un Proveedor de Servicio de Aplicación (ASP), H.D. Vest ofrece tres herramientas primarias a consultores para reforzar el valor de sus prácticas: Páginas Web Personales (PWP) para sus clientes, un módulo para asesorías on-line, y las páginas web públicas genéricas para las empresas del asesor. Como proveedor directo, H.D. Vest ofrece una gran selección de productos y servicios a través de su Consejero de Inversión, broker/dealer. Para completar su



142

gestión la compañía ha establecido alianzas con bancos, empresas de corretaje y una plétora de otras entidades. Como una organización que apoya a sus asesores H.D. Vest les proporciona la especialización interna a través del e-learning, entrenamiento completo en planificación financiera, prácticas herramientas de desarrollo y multi-canales de servicio de apoyo al cliente. H.D. Vest Inc. transa sus acciones ordinarias en NASDAQ bajo el símbolo HDVS, miembro: SIPC, 6333 N. State Highway 161, Suite 400, Irving, TX 75038 (972) 870-6000. Grant Thornton es una firma de consultoría y Auditoría con sede en Chicago, Illinois. Una de sus metas principales es ayudar a los propietarios y a la dirección mayor de mercados medios, a lograr sus objetos comerciales y financieros. Para mayor información, por favor visitar www.GrantThornton.com. El Instituto americano de Contadores Públicos Acreditados (AICPA) es la organización profesional nacional certificada ISO 9001 de Contadores en los Estados Unidos con más de 340,000 miembros en la práctica pública, negocios e industria, gobierno y educación. Para más información sobre esta institución, visitar www.aicpa.org. WWW.AlpineBank.com La situación Proteger la información de los clientes, mientras simultáneamente se realizan transacciones seguras, es una preocupación prioritaria de las instituciones financieras con negocios bancarios en línea. Las consecuencias que pueden enfrentar las entidades que no proporcionan este tipo de ambiente a sus clientes pueden ser severas. El Alpine Bank (Banco Alpino) de Colorado estaba buscando un conjunto de los mejores procedimientos y controles para el e-business, que pudieran servir como referencia para el negocio de banca electrónica de su sitio www.AlpineBank.com, también estaba buscando una solución que le ayudara a respetar las condiciones del Acta de Modernización de Servicios Financieros86 de 1999, relacionado a protección de la información privada. La solución WebTrust, una completa solución para el e-business, ha reunido las mejores prácticas para los negocios en Internet, focalizadas en:

• Protección de la información privada de clientes. • Seguridad en las transacciones • Integridad en las transacciones • Información de las políticas y prácticas de los sitios de negocios.

Auditores autorizados y sus colegas internacionales independientemente verifican que un negocio en línea cumpla con las prácticas identificadas en los principios y criterios WebTrust y conceden un sello de garantía al sitio que apruebe la revisión. Este proceso de comprobación ocurre al menos cada 6 meses. Los beneficios

• Los clientes se sienten más tranquilos al saber que el sitio de Alpine Bank ha sido verificado por terceras partes de confianza como son los Auditores.

• WebTrust promueve confianza y otorga seguridad a clientes de Alpine Bank, ello produce satisfacción del cliente por el sitio Web.

• Alpine Bank demuestra a sus clientes la preocupación existente implementando el programa WebTrust, de esta forma el negocio de Banca on-line se consolida.

• WebTrust se torna en una fortaleza para Alpine Bank. La credibilidad obtenida por el programa es una ventaja frente a sus competidores más poderosos lo que deriva en una nivelación del escenario financiero y de empresas de e-banking.

• WebTrust ayuda a Alpine Bank a incrementar su participación de mercado en la Banca en línea, asimismo consolida su posición como empresa offline.

86 Ley firmada en Noviembre de 1999, la cual es obligatoria a partir del 1° de Julio del 2001. Esta normativa prohíbe a las Instituciones Financieras la divulgación sin autorización de la información personal de un cliente, asimismo exige a estas entidades el divulgar sus políticas y prácticas de privacidad.



143

• WebTrust contribuye a que Alpine Bank cumpla con Normas de privacidad de Estados Unidos, incluyendo el Acta de Modernización de Servicios Financieros, así como también reglamentación existente en Canadá y Europa.

Los Antecedentes La privacidad y seguridad son prioridades para las Instituciones Financieras El fracaso en cumplir con su política de privacidad le significó recientemente a Bancorp U.S. más de 4 millones de dólares en gastos y multas. El año pasado, a este Banco de Minneápolis se le presentó una querella, interpuesta por el Fiscal General de Minnesota, Michael Hatch, por vender la información de sus clientes a una empresa de marketing, MemberWorks Inc. No se recuperaba aún cuando se encontró con demandas de otros 30 estados, por violar la privacidad del consumidor. Además de las multas, Bancorp U.S. fue el causante de un desprestigio hacia las instituciones financieras, especialmente aquellas que participan con negocios en Internet, como la banca electrónica. El banco tuvo que anunciar la implantación de nuevas normas de privacidad que esclarece el uso de la información de sus clientes. Los métodos WebTrust: Una Solución Proactiva para E-business que Protege a los Clientes. Alpine Bank de Colorado tomó la iniciativa con el fin de acatar las normas y procedimientos necesarios, para proteger a sus clientes de banca en línea respecto de la privacidad y la seguridad que involucra a las instituciones financieras. Alpine Bank es el primer Banco en los EE.UU. en someter sus controles de privacidad, seguridad, procesos y políticas de transacciones a un examen independiente de WebTrust. La firma de Auditoría Dalby, Wendland & Co., autorizada por el Instituto Americano de Contadores Públicos Acreditados (AICPA) para ofrecer el sello WebTrust, dirigió una inspección completa del sitio del Banco Alpino, www.AlpineBank.com, para determinar si se respetaba la metodología establecida por el programa. Como resultado de una evaluación completa a www.AlpineBank.com se le otorgó el Sello WebTrust de Confianza. Cuando los visitantes hacen clic sobre el Sello WebTrust, ellos pueden observar una declaración emitida por Dalby, Wendland & Co. afirmando que Alpine Bank de Colorado se adhiere y cumple los criterios y principios por lo que ha sido examinado. "El incremento en las ventas no representa el verdadero valor de WebTrust para Alpine Bank '' expresó John Coopers, Vicepresidente Ejecutivo. '' Para nosotros lo realmente significativo es la satisfacción y confianza de los clientes en el sitio Web y por supuesto, en el Banco, que, combinado con todos los servicios proporcionados, origina un incremento en las utilidades. Además WebTrust posibilita que www.AlpineBank se distinga de sus competidores al ser un sello de garantía respaldado por Auditores. '' Las Políticas de Privacidad fortalecidas por WebTrust para proteger a los clientes. Este cambio en las políticas de privacidad de Alpine Bank permitirá la adhesión a las condiciones estipuladas en el Acta de Modernización de Servicios Financieros. Agrega Cooper, "Los clientes en esta parte del país gustan de la conveniencia de la banca en línea, como resultado, los clientes de Alpine Bank superan los promedios nacionales en lo que se refiere al uso de Internet para e-banking. Nosotros quisimos un programa en línea que hiciera a nuestros clientes confiar al utilizar el servicio, sabiendo que su información privada estará segura y custodiada." El Rol del Auditor durante el examen de WebTrust Para demostrar el compromiso hacia sus clientes Alpine Bank contrató a Dalby, Wendland & Co. para conducir exámenes periódicos a sus políticas de e-business, procedimientos y controles, y para investigar cómo son utilizados los datos de clientes y los protocolos de seguridad en su sitio Web.



144

Dennis Wagner, Auditor Principal de Dalby, Wendland & Co. comentó, “La mayoría de las Empresas se beneficiarían del análisis objetivo que, un tercero independiente puede ofrecer, a través de un examen de WebTrust hacia su tecnología y procedimientos. Como un especialista en e-business, los aportes que un Auditor realice en las distintas áreas de las organizaciones permitirán el desarrollo de normativas y pautas que finalmente conducirán a una mayor confianza de los clientes y usuarios hacia este tipo de negocios, sobre todo en la protección y custodia de su información personal. En resumen, nuestro papel como Auditores es ayudar a nuestros clientes a adherirse a las mejores prácticas de negocios, incluyendo aquellas sobre privacidad y seguridad en las transacciones." Los exámenes periódicos aseguran un cumplimiento continuo de las normas "Nuestro Sello WebTrust se renueva por lo menos una vez cada seis meses", señaló Cooper. "No se mantendrá en nuestro sitio a menos que continuemos obedeciendo los Principios y criterios WebTrust”. Además agregó: “La firma de Auditoría que contratamos trabajará con nosotros a fin de desarrollar o revisar los procedimientos que permitan cumplir estos requisitos y de esa forma ostentar el sello que indica que Alpine Bank ha tomado las medidas necesarias para minimizar el riesgo de violaciones a la seguridad y privacidad”. Los clientes bancarios se sienten más seguros en www.AlpineBank.com Al optar, Alpine Bank de Colorado, por una Auditoría independiente de sus prácticas de privacidad, fortaleció aún más su relación con los clientes: “El sello WebTrust de Alpine Bank me permite saber que ellos están tomaron todas las medidas necesarias, para protegerme a mí, y a mis negocios.” Michael Chandler The Chandler Marketing Company “Con el proceso del sello de Confianza WebTrust, Alpine Bank revela una preocupación por eliminar la desconfianza y temores de los usuarios de Internet, sobretodo hacia los negocios de e-banking. El trabajar con un Banco que demuestra interés en proteger nuestra información motiva a consolidar aún más nuestra relación.” Mike Sos Presidente, Alpine Tire Company Los participantes Alpine Bank es un banco privado ubicado en Colorado con más de 800 millones de dólares en depósitos y 26 sucursales. El Banco Alpino de Colorado tiene un servicio de banca en línea cuya dirección web es www.alpinebank.com. Localizado en Grand Junction, Colorado, Dalby, Wendland & Co. es una firma que proporciona servicios de Auditoría a instituciones financieras, empresas de la construcción, de salud y servicios médicos, Manufactureras, entidades gubernamentales y organizaciones sin fines de lucro. Resource Marketing “ Un paso adelante de los competidores con WebTrust" Para una empresa con presencia en Internet, el sello WebTrust era la manera de diferenciarse de las demás compañías. La experiencia de Resource Marketing Inc. (www.resource-marketing.com), una Agencia de publicidad y proveedora de Servicio de Internet ubicada en Fort Thomas, Kentucky, demuestra cómo el sello WebTrust puede ayudar a distinguir un negocio del e-commerce en un campo cada vez más atestado.



145

Invertir en WebTrust, más que un gasto, representa un aumento en las ventas y una disminución en los gastos de explotación "Después de que la compañía obtuvo un sello WebTrust, observé un aumento inmediato de las ventas en nuestro negocio", informó Chris Swainhart, Presidente de Resource Marketing, "más un bienvenido declive en nuestros gastos de explotación". Esas buenas noticias significaban un brusco cambio en la experiencia anterior de la empresa. Resource Marketing comenzó hospedando sitios Web y ofreciendo anuncios de banner en 1996. "Al principio, nosotros solamente teníamos un competidor y había una gran demanda por nuestros servicios", dice Swainhart. "Transcurrido el tiempo, sin embargo, vimos, que cada vez más nuevos competidores entraban a nuestro sector del mercado. Una vez que ello sucedió, llegamos a un punto en que nos preguntamos si sería viable continuar vendiendo anuncios de banner.” Cuando el CPA de Swainhart, Bob Findley, de Fleming, Brockschmidt & Durkin, le presentó el servicio WebTrust en 1997, él lo vio como una manera de frenar la disminución de las transacciones por Internet. Sobre el 50% de incremento en Web Hosting y Anuncios de Banner debido al sello WebTrust Los instintos de Swainhart eran correctos: La demanda por el servicio de Web hosting en su sitio ha aumentado más de 50% desde que la empresa exhibe el sello WebTrust y su negocio de anuncio por banner ha experimentado un alza inusual. Internet genera ahora el 50% del millón de dólares por ventas anuales de Resource Marketing, muy superior al 20% anterior a la obtención del sello WebTrust. Tiempo y Dinero invertido en controles cada 90 días se compensa con creces por los beneficios de WebTrust "WebTrust representa un proceso continuo", explica Swainhart. "Por lo menos cada 90 días, los Auditores llegan para examinar nuestros procedimientos y asegurar que todo se está cumpliendo. Pero considero aquella intrusión a nuestros sistemas y los honorarios por su servicio, un pequeño precio a pagar a cambio del tiempo que ahorro al ya no explicar demasiado, como hacía antes, nuestras prácticas de la compañía con clientes potenciales, pues ellos ven el sello y se sienten más seguros.” La divulgación de sus prácticas de negocios redujo el volumen de llamados "Antes de que comenzáramos a utilizar WebTrust, no solamente nuestras ventas habían declinado, muy a menudo los potenciales clientes ocupaban gran parte de nuestro tiempo pues debíamos contestarles toda clase de preguntas acerca de cómo trabajábamos, cómo manejábamos las tarjetas de crédito, cómo se efectuaba nuestra facturación y una serie de inquietudes más", señala Swainhart. "Desde que obtuvimos el sello no hemos recibido más esa clase de llamadas, la información que mis clientes buscan se encuentra disponible en nuestro sitio Web y es allí donde se encuentran los principios y criterios WebTrust demostrando nuestro interés en protegerlos. Además tiene la certificación de nuestro Auditor que acredita su validez." La confianza del cliente ha aumentado “Existe bastante confianza en el programa WebTrust, tanto que personas completamente desconocidas se están haciendo nuestros clientes, sin siquiera llamar para interiorizarse de los servicios ofrecidos y de la seguridad que brindamos", comenta Swainhart. "Lo que sucede es que ellos ya no tienen que preguntar porque todo lo que necesitan saber está en nuestro sitio Web.” Eficacia mejorada Es tal la confianza del cliente que ha permitido ahorrar al personal de la empresa un valioso tiempo. "En el pasado, usted tenía que explicar todo a los potenciales clientes”,



146

agrega Swainhart. "Para cada cinco personas que llamábamos, algunos se interesaban y se hacían clientes inmediatamente, pero otros simplemente no se comprometían, por lo que nuevamente teníamos que insistir y asegurarles que podían confiar en nosotros.” “Actualmente la información básica acerca de nuestra empresa puede visualizarse en nuestro sitio Web” concluye. Swainhart además comenta que él mismo utilizaba varias horas al mes para llamar a los clientes, pero ahora se ha visto liberado de este trabajo gracias a la credibilidad que involucra el poseer el sello WebTrust. No es solamente obtener un sello, pues tras de él se encuentran expertos del Comercio Electrónico Aunque el sello WebTrust, a través de sus principios y criterios, incrementa la seguridad en el Web site de la empresa, para Resource Marketing la característica más importante es la credibilidad inherente a él. "Nuestro sitio estaba protegido, pero WebTrust involucra muchos criterios que van más allá de solamente tener un servidor seguro”, explica Swainhart, "Por ejemplo, funcionarios de la empresa se pasaron casi tres semanas trabajando en conjunto con nuestro Auditor para reprogramar el software del carro de compras. Teníamos que incluir información tales como las declaraciones comerciales que abarcaron más allá de las meras especificaciones técnicas. También hicimos cambios a nuestros procedimientos de consultas, reclamos y servicios al cliente que brindan a los usuarios las indicaciones necesarias para llevar a buen término su solicitud. Nuestro Auditor sirvió como un valioso consultor del e-commerce y nos ayudó a hacer una gran cantidad de progresos en nuestra interfaz de Comercio Electrónico." El valor de confiar en un Auditor independiente Swainhart acredita el éxito en Internet de su compañía a algunos de los elementos fundamentales del sello WebTrust. El más trascendental es que el sello es otorgado por profesionales autorizados - CPAs - quienes tienen una reputación establecida por su objetividad e integridad. "El hecho de que el sello sea asociado con Auditores, nos diferencia de nuestros competidores desde un punto de vista comercial”, señala Swainhart. "Aún cuando un usuario de Internet no ha leído ni escuchado de WebTrust, todos hemos leído y escuchado hablar de Auditores." La minuciosidad del examen WebTrust es otro factor importante. “Las personas se impresionan con la integridad del programa", dice Swainhart. "Cuando cualquier persona hace clic en el sello WebTrust, nuestras prácticas comerciales son reveladas en una pantalla que se abre automáticamente. Ellos inmediatamente consiguen toda la información que necesitan para contactarnos, además de datos muy útiles cómo: qué pasa si su pedido no es recibido conforme, y otros más. Entonces los usuarios o clientes ven un informe del Auditor que nos analiza, más un link al sitio Web de la firma de Auditoría y su número de teléfono. Para mí, es sumamente tranquilizador el saber que un potencial cliente puede hacer clic en ese sello y ver que tenemos un Auditor que entra periódicamente para revisar nuestro sitio. Las personas pensarán: "Si tenemos cualquier duda o queja sobre este sitio, contactaremos al Auditor." 3.3.10 Iniciando la Auditoría WebTrust Aceptando un compromiso de WebTrust La primera decisión que un practicante de WebTrust necesita tomar es si el compromiso se aceptará. Pueden presentarse situaciones en que las actividades del proceso y controles de la empresa auditada sean deficientes, por lo que es improbable que el practicante de WebTrust confíe en la estructura de control interno implementada. En esta situación, el Auditor resolverá: Realizar evaluaciones para determinar los costos y dificultades de efectuar un examen WebTrust sin disponer de controles adecuados, o no aceptar el compromiso de WebTrust. Para los propósitos de esta decisión, la importancia asignada al control interno es valorada dentro del conjunto de principios utilizados por el practicante al efectuar una Auditoría WebTrust global. Esta relación y ponderación puede variar dependiendo del propio juicio profesional del Auditor de WebTrust sobre el riesgo y el valor, puntos



147

críticos, o grado de importancia que los usuarios depositan en la confianza a ser proporcionada en el entorno particular en que el compromiso está ejecutándose. Por ejemplo, puede considerarse que los controles a un TPSP que administra un gran número de aplicaciones en nombre de sus clientes son más importantes y más significativos que los controles practicados por un TPSP que simplemente proporciona hospedaje de Web y algunos servicios de seguridad física para los clientes. El Auditor de WebTrust determinará si existe evidencia suficiente para realizar la Auditoría, de acuerdo a los principios y criterios por los cuales se rige. El sello WebTrust implica que la entidad es un sitio confiable que mantiene procedimientos y controles razonables en un amplio ámbito de áreas. En consecuencia, el practicante evitaría aceptar un compromiso de WebTrust donde lo revelado por la entidad se encuentre fuera del alcance del compromiso al ser reconocido por el practicante como distorsionado y engañoso, donde se esté en conocimiento de graves problemas con controles que no afecten directamente el alcance del compromiso, o donde la entidad es una conocida infractora de leyes o regulaciones. La Carta de Compromiso El Auditor de WebTrust debe establecer un acuerdo con el cliente con respecto a los servicios a ser realizados para cada compromiso. Tal acuerdo y su comprensión reduce el riesgo de que el practicante de WebTrust pudiera interpretar erróneamente las necesidades o expectativas de la entidad que contrate sus servicios. Por ejemplo, reduce la posibilidad de que la organización pueda confiar inapropiadamente en el Auditor WebTrust para protegerla contra ciertos riesgos o realizar ciertas funciones que son de responsabilidad del cliente. El acuerdo debe incluir los objetivos del Servicio, las responsabilidades de la Gerencia, las responsabilidades del Auditor WebTrust, y limitaciones del compromiso. Si el Auditor cree que un entendimiento con el cliente no se ha establecido, debe no aceptar tal compromiso. Un acuerdo de las condiciones y objetivos del compromiso y la naturaleza de los servicios proporcionados debe comunicarse al cliente, preferentemente por escrito. El Auditor de WebTrust debe referirse a la certificación o estándares de seguridad, para determinar los elementos requeridos en la comprensión del compromiso. Los siguientes elementos son generalmente incluidos:

• La naturaleza del compromiso (por ejemplo, un examen) • Una identificación de los Criterios WebTrust y cualquier otra declaración de la

gerencia que se informe posteriormente • Una referencia a los estándares profesionales que rigen al compromiso • Una descripción de las responsabilidades de la gerencia • Una descripción de las responsabilidades del Auditor WebTrust y las

limitaciones, si existieran, en el compromiso • La anticipación del formato del informe • Una descripción general de la naturaleza y alcance del trabajo a ser realizado,

honorarios, facturación, y condiciones de pago, • La expectativa de recibir una carta de representación • El itinerario anticipado para la finalización del trabajo del Auditor WebTrust • La cooperación esperada del personal del cliente • Las limitaciones del compromiso • Una instancia para confirmar que las condiciones del compromiso han sido

comprendidas y aceptadas Planificación La planificación de un compromiso de WebTrust involucra el desarrollo de una estrategia global y la identificación de procedimientos a ejecutarse. Los procedimientos pueden variar dependiendo de las declaraciones de la gerencia relacionadas con el compromiso. Una vez que los procesos a ser realizados se han definido, pueden formularse otros aspectos de la planeación. La estrategia para el compromiso debe ser incluida en la documentación de la planificación.



148

Las materias a ser aplicadas por el Auditor en la planificación del servicio incluyen lo siguiente:

• Alcance y frecuencia del Servicio • Enfoque del Servicio • Capacidad técnica del personal asignado • Horario y cronometraje del trabajo para satisfacer las necesidades del cliente • Estimación de dotación de personal • Uso de especialistas • Preparación del presupuesto del servicio y monitoreo • Revisión de la supervisión y finalización

Un programa de trabajo será elaborado y luego aprobado por personal apropiado. La cantidad de detalle incluido en el programa depende de la complejidad del compromiso y la naturaleza del informe a ser emitido. Un presupuesto del servicio debe desarrollarse con el adecuado detalle que variará con el tamaño del mismo. Debe implementarse un acuerdo para supervisar el presupuesto por el equipo de WebTrust y el cliente. La Carta de Representación Una carta de representación de la Gerencia al Auditor de WebTrust:

• Exige a la Gerencia enfocarse en las declaraciones específicas • Formaliza representaciones orales realizadas al Auditor WebTrust en el

transcurso del examen. • Reduce la posibilidad de interpretaciones disímiles entre el Auditor WebTrust y

el cliente. Generalmente una carta de representación se debería obtener para cada compromiso de WebTrust. Las representaciones apropiadas para el cliente difieren dependiendo de la naturaleza de las declaraciones de la Gerencia, si son aplicables, y la naturaleza del compromiso. Como mínimo, la carta debe contener las representaciones siguientes, indicando que:

• La Gerencia ha cumplido con sus aserciones escritas. • La Gerencia ha colocado a disposición del Auditor toda información significativa

que él crea pertinente a los criterios WebTrust, si es aplicable. • La Gerencia reconoce que es responsable por la presentación de sus

declaraciones y por mantener la efectividad de sus actividades de control. • La Gerencia ha divulgado todos los eventos subsecuentes al período a ser

examinado que tendrían una incidencia en la conformidad con el criterio. Además establecerá que:

• Las prácticas y políticas de la entidad son consistentemente obedecidas tal como se comunicaron al Auditor.

• No ha habido ningún cambio en las prácticas y políticas de la entidad durante el período de revisión, o desde la última revisión.

• No existe ninguna infracción o posibles transgresiones a leyes o regulaciones cuyos efectos deben ser considerados en lo que se refiere a sus incidencias en las transacciones de Comercio Electrónico.

• La entidad ha cumplido con todos los acuerdos contractuales que tendrían un efecto importante en las transacciones de Comercio Electrónico.

• No ha ocurrido ninguna brecha a la seguridad del sitio Web. • La Gerencia subscribe y obedece los principios WebTrust. • La Gerencia declara que las prácticas asociadas al(a los) principio(s),

manifestadas para www.ejemplo.com: están actualizadas, son exactas, íntegras y han permanecido en nuestro sitio Web desde el 1 de julio del 200X (fecha simulada).

• La Gerencia ha revelado al Auditor todas las organizaciones con quienes se comercia la información de la base de datos de clientes.

• La entidad está de acuerdo con -



149

• Permitir al Auditor realizar exámenes subsecuentes cada cierto tiempo como estime apropiado, los cuales tendrán una periodicidad máxima de seis meses desde la fecha de este informe.

• Mantener controles, prácticas y políticas de Comercio Electrónico. • Notificar al Auditor con respecto a cambios que afecten las actividades de

Comercio Electrónico, incluyendo lo siguiente - • Cambios a controles, prácticas y políticas de Comercio Electrónico, o la

manera en que se cumplen los Principios WebTrust. • Cambios en la naturaleza de los productos, información o servicios

ofrecidos a través del Comercio Electrónico. • Cambios en el sistema utilizado para apoyar el Comercio Electrónico.

• Permitir al Auditor remover unilateralmente el sello WebTrust si -

• El Auditor detecta que cambios, tal como aquellos citados

anteriormente, han sido efectuados pero no le han sido comunicados por la entidad.

• Un examen subsecuente no ha sido realizado dentro de ____ (especificar el número) días por cualquier razón.

• Durante el transcurso de la ejecución del servicio, el Auditor descubre que cambios perpetrados por la entidad han resultado en prácticas que no se ajustan a los Principios y Criterios WebTrust.

• La Gerencia ha informado al Auditor de todas las acciones acordadas en las

reuniones de accionistas, Consejo Directivo, y comités de la junta directiva (u otros cuerpos similares, como sea aplicable) que pueden afectar el negocio de transacciones electrónicas.

• La Gerencia ha respondido cabalmente a todas las preguntas realizadas por el

Auditor durante su examen. Las representaciones de la Gerencia deben ser elaboradas a partir de la fecha en que el trabajo en terreno es substancialmente completado y antes de la emisión del informe por el Auditor. La carta de representación de la Gerencia debe ser firmada por las personas asignadas como responsables por la entidad y ser conocedoras de las materias cubiertas por las representaciones. Requerimientos de documentación Los requerimientos de documentación para cualquier servicio de WebTrust no difieren significativamente para efecto del principio a ser aplicado. La documentación debe ser suficiente para apoyar la opinión expresada en el informe y debe proporcionar evidencia de que el examen se realizó de acuerdo con las normas aceptadas. Los siguientes aspectos de un servicio de Auditoría WebTrust deben ser considerados para la documentación:

• Comprensión del compromiso • Planificación de las actividades • Valoración del riesgo • Descripción del sistema • Evidencia de comprensión del sistema y evaluación preliminar del diseño de

controles • Prueba y otros procedimientos de exámenes emprendidos • Representación de la Gerencia por escrito con respecto a los controles y sus

responsabilidades de la gerencia en relación a éstos • Evaluación de la evidencia de Auditoría para respaldar la opinión dada.

La carta de compromiso y representación, la planificación y la documentación requerida se efectuarán en función de los principios y criterios WebTrust a aplicar. 3.3.11 Los Principios Y Criterios WebTrust Los principios WebTrust son la base para desarrollar el programa y otorgar el sello de garantía correspondiente. No son estáticos, pues de acuerdo a la dinámica y demanda



150

del mercado y a la tecnología asociada a los negocios, pueden ir modificándose o se pueden agregar nuevos principios, con los correspondientes criterios vinculados a ellos. Los Principios WebTrust, son los siguientes:

Privacidad

Seguridad

Prácticas de Negocio e Integridad en las Transacciones

Disponibilidad

Confidencialidad

No Repudio (En proceso)

Disposiciones específicas (En proceso)

De los 7 Principios, actualmente 5 se encuentran operativos en la última versión (3.0.) del programa WebTrust. Cada módulo incluye:

• Manifestaciones • Políticas (Finalidades y Objetivos) • Procedimientos de Control y Herramientas Tecnológicas • Medidas de Ejecución y Control del Trabajo • Vías de reclamación para el cliente (cuando es de aplicación)

La modularización de los principios permite al Auditor emitir una opinión y el sello correspondiente para principios individuales o combinaciones de ellos, excepto para el de Disposiciones Específicas (se tendrá que otorgar en combinación con otro principio). Los Principios son aplicables a todo tipo de negocios, ya sea B2B, B2C, etc. y se incluyen algunos de ellos en los programas elaborados para Autoridades de Certificación y Proveedores de Servicios. Los informes emitidos deben hacer mención al principio o a los principios utilizados, y obligatoriamente deben cumplirse en su totalidad para otorgar el sello. Para proporcionar una guía más específica, se han desarrollado varios criterios para cada Principio WebTrust. La entidad debe estar en concordancia con ellos para obtener y mantener su sello WebTrust. Estos criterios están organizados en cuatro extensas áreas: Revelaciones, Políticas, Procedimientos y Monitoreo. Para presentar y discutir el criterio se optó, en algunos principios, por una presentación de cuatro columnas. La primera columna expone el criterio - Los atributos que la entidad debe reunir para ser capaz de demostrar que han logrado el principio. La segunda, tercera y cuarta columna proporcionan indicaciones y controles ilustrativos para transacciones negocio a consumidor, transacciones negocio a negocio, y para transacciones aplicables a proveedores de servicio. Estos son ejemplos de manifestaciones que la entidad podría hacer y controles que la entidad podría tener en el lugar para conformar al criterio. Para el propósito de estos criterios, el término "cliente" incluye (1) consumidores individuales que han proporcionado la información y han consumado transacciones y (2) socios comerciales. La entidad debe demostrar durante un período de tiempo (por lo menos dos meses o más) que (1) ejecutó las transacciones de acuerdo al principio o a los principios aplicados, (2) sus controles operaron eficazmente, (3) mantiene un ambiente de control que es consecuente con los principios y criterios aplicados, y (4) mantiene supervisión sobre los procedimientos para asegurar que sus operaciones se mantienen en conformidad con los criterios WebTrust. Estos conceptos son parte íntegra de los Criterios WebTrust.



151

Descripción de los Principios WebTrust PRINCIPIO Y CRITERIOS WEBTRUST SOBRE PRIVACIDAD Internet proporciona nuevos medios a los consumidores para obtener información útil, para comprar productos y contratar servicios. Aunque esta forma de negociar (e-commerce) ha experimentado un rápido crecimiento, particularmente a través del uso de la Word Wide Web (La Web), su crecimiento se ha inhibido por los temores y preocupaciones del consumidor sobre los riesgos de comerciar electrónicamente. Privacidad de la Información El Comercio Electrónico facilita la recolección de información desde y acerca de individuos y el consiguiente intercambio con otras entidades. Algunos consumidores ven una conveniencia en el hecho de que sus datos personales sean conocidos por varias empresas porque les permite recibir promociones de marketing y ofertas variadas. Por otro lado, la mayoría de los consumidores consideran aquel uso de la información una invasión a su privacidad. Por esta razón, es importante que los sitios Web informen a sus clientes sobre los tipos de antecedentes que reúnen sobre ellos, el empleo de tal información, opciones del cliente, y materias relacionadas. Además, muchos países han implementado leyes y regulaciones que resguardan la privacidad de la información obtenida a través del Comercio Electrónico. La privacidad puede ser interpretada desde varios aspectos, pero, para los propósitos del principio WebTrust y sus correspondientes criterios, la privacidad se define como la protección de la recolección, almacenamiento, destrucción y diseminación de información personal. Información personal es definida como cualquier antecedente que relaciona a un individuo identificado o identificable. Tal información incluye, pero no se limita al nombre del cliente, Rol único nacional o tributario, dirección, número de teléfono, número de seguro social u otra identificación gubernamental, números de tarjetas de crédito, información financiera personal o familiar, información médica personal o familiar, historial laboral, histórico de compras u otras transacciones, registros de créditos, e información similar. Se define la información sensible como información personal que especifica condiciones médicas o de salud, origen racial o étnico, opiniones políticas, religiosas o creencias filosóficas, preferencias sexuales, o información relacionada a ofensas o actos delictivos.87 La privacidad de información puede ser una espada de doble filo. Por un lado, los comerciantes necesitan cierta información para procesar un pedido del cliente. Por otro lado, el cliente puede no querer que esta información sea distribuida, sin su consentimiento, a partes no involucradas con la transacción. Adicionalmente, errores se pueden presentar en la base de datos de la empresa por lo que deben existir procedimientos o planes de contingencia que eviten que el consumidor se vea afectado negativamente. Es importante para los consumidores otorgar su confianza a un sitio Web que se preocupa de tomar los pasos necesarios para proteger la información personal, pues, aunque es relativamente fácil establecer y mantener un Web site en Internet, la tecnología asociada puede ser compleja e involucra el resguardo de una multitud de información junto a problemas de seguridad conexos, como el hecho de que la privacidad de la información sensible transmitida por Internet se pueda exponer. Por ejemplo, sin el uso de técnicas de encriptación básicas, los números de tarjetas de crédito de clientes pueden interceptarse y sustraerse durante la transmisión. Sin cortafuegos apropiados y otros controles de seguridad la información personal, que reside en los sistemas de computación de una empresa de Comercio Electrónico, puede ser intencionalmente o involuntariamente traspasada a terceras partes no relacionadas al negocio de la entidad. Los Conceptos de privacidad Con la rápida expansión del interés sobre la privacidad, los conceptos que han surgido se utilizan ampliamente para facilitar la creación y aplicación de políticas y prácticas de privacidad:

87 Definidos por The European Union (EU) directives, and the United Status Safe Harbor Privacy Principles, July 21, 2000.



152

LA NOTIFICACIÓN- Una organización debe informar a sus clientes acerca de (1) los propósitos para los cuales la información es reunida, (2) los usos de la información proporcionada, (3) la manera en que el cliente puede avisar a la entidad para modificar o actualizar la información proporcionada por él, (4) terceros u otras partes con quienes la información es compartida, y (5) las opciones que el cliente tiene para limitar el uso de la información proporcionada o las consecuencias para el cliente si cierta información no se suministra. LA OPCIÓN- La entidad debe ofrecer a clientes escoger si su información personal se revelará a terceras partes. Para aquella información sensible, la organización debe proporcionar la opción explícita para que el usuario decida de si la información será divulgada a terceros o para un propósito distinto del que originalmente motivó la recolección. LA TRANSFERENCIA- La entidad debe aplicar las observaciones y pautas necesarias para no transmitir información a otras organizaciones o terceros no involucrados en la transacción original. LA SEGURIDAD- La organización que recoge, mantiene, o usa información personal, debe tomar las precauciones razonables para proteger esta información de la pérdida, mal empleo, acceso no autorizado, revelación, alteración, y destrucción. LA INTEGRIDAD DE LOS DATOS- La entidad debe tener el cuidado razonable que la información que recolecta, ya sea personal o sensible, sea pertinente para los propósitos a los que será dedicada. EL ACCESO- Los clientes deben tener acceso a su propia información, personal o sensible, con el objeto de modificarla, actualizarla o eliminarla. LA OBSERVANCIA- La entidad debe proporcionar procedimientos para asegurar el cumplimiento de sus políticas de privacidad y planes de apelación independientes ante cualquier queja sin resolver o disputas. El Impacto global del Criterio de Privacidad El Comercio Electrónico por su naturaleza es global. Cuando las empresas cruzan los límites internacionales, se enfrentan a los desafíos de encontrar y obedecer normas y leyes relativas a la privacidad. Comerciantes que desean incursionar en un mercado global descubrirán que, sin adecuados estándares de privacidad en su sitio Web, enfrentarán prohibiciones o restricciones a sus negocios. Los consumidores de diferentes localidades también están interesados acerca de cómo su información se utilizará, cómo es protegida, qué proceso se activará para corregir los datos erróneos, y quién tendrá acceso a esta información. Si una organización no otorga la seguridad y confianza requerida, los consumidores escogerán hacer negocios en otro sitio Web donde sí existan los controles y la normativa adecuada. Los diversos países, para asegurar a sus ciudadanos que la información recolectada por diversos medios se mantiene privada, han debido implantar políticas y normativas, es así como la Unión Europea (EU) incursionó tempranamente en esta área, y Canadá recientemente adoptó una similar legislación sobre privacidad. El Departamento de Comercio de Estados Unidos emitió en Julio del 2000 sus principios de protección (Safe Harbor Principles), y a partir de agosto del 2000 esta nación tenía considerado tratar el tema de la privacidad en el congreso, como lo pueden hacer también otros países. WebTrust actualmente reúne los requisitos contemplados en estas iniciativas con respecto a la privacidad y seguridad del consumidor. Garantías para el consumidor Como resultado de la naturaleza única del e-commerce, los clientes de Web Sites están interesados en el desarrollo y resultado de sus reclamaciones. ¿Si un sitio Web es inseguro o incapaz de solucionar las quejas de sus clientes, qué ampara al consumidor?, ¿Si el comprador está en un país y el negocio en otro, cómo los derechos del consumidor se respetarán y protegerán? Algunos gobiernos ya exigen procedimientos de resguardo para el consumidor, con el fin de evitar situaciones conflictivas que derivarían en resoluciones mediante el sistema tradicional, que es el judicial, el cual involucra un alto costo en tiempo y dinero.



153

Para facilitar las materias de resolución de disputas para los consumidores y los negocios en línea, el Foro de Arbitraje Nacional88 (National Arbitration Forum, NAF) ha cooperado en el diseño de un programa para el Comercio Electrónico y específicamente WebTrust. Las diversas quejas pueden ser recibidas, ya sea por formularios on-line que son archivados electrónicamente, por teléfono o a través del servicio postal, y de esta forma, mediante una entidad objetiva los consumidores tendrán el acceso a un arbitraje económico y conveniente. Empresas que, entre su normativa, poseen actualmente un mecanismo de resolución de quejas que se extiende al Comercio Electrónico(o a los aspectos de privacidad que involucra) continuarían utilizando su procedimiento actual. El criterio WebTrust de privacidad incluye el requisito de que la entidad auditada se compromete a la participación de un tercero para la resolución de conflictos conforme a los Principios de Arbitraje contenidos en el Apéndice C del Principio de Privacidad89, y que la entidad revelará sus procedimientos de protección al consumidor por problemas que no pueda resolver. La solución de problemas por una tercera entidad puede ser proporcionada por cualquier organización o fundación gubernamental que ofrezca tal servicio90. Controles Internos Para cumplir con los propósitos de seguridad y confidencialidad, la Gerencia de la empresa debe de haber dispuesto los controles internos adecuados para la privacidad de sus transacciones para el e-commerce91. Las guías apropiadas de control interno generales pueden encontrarse, por ejemplo, en el material desarrollado por el Comité Patrocinador de Organizaciones del Treadway Commission (Comité of Sponsoring Organizations, COSO) en los Estados Unidos, y el Criterio de Control (CoCo) en Canadá. No obstante, para el propósito de obtener el sello WebTrust de confianza, el practicante92 evaluará sólo esos elementos de control interno que son pertinentes a la privacidad de información recolectada a través del Comercio Electrónico. En los compromisos profesionales, como WebTrust, un análisis y entendimiento de los controles internos que rodean los procesos comerciales es trascendental. La gestión con respecto a establecer y preservar prácticas de negocio legítimas, el compromiso para asegurar que utiliza sus propias prácticas, y el proceso para administrar los cambios constituyen elementos de aplicaciones de ambiente de control efectivas. El ambiente de control refleja la actitud global, el conocimiento, el compromiso, y las acciones de dirección acerca de la importancia del control interno y su significado dentro de la entidad. Un ambiente del control fuerte refuerza el e-commerce y promueve la confianza del cliente. EL PRINCIPIO Y LOS CRITERIOS DE PRIVACIDAD WEBTRUST Aunque el e-commerce puede realizarse a través de varios medios, el enfoque de esta versión del criterio es el Comercio Electrónico a través de Internet.

88 Esta Institución funciona únicamente en los Estados Unidos. 89 El programa WebTrust sobre privacidad, completo, está contenido en el CD que se adjunta a la tesis. 90 En algunos países, el arbitraje por un tercero no es un medio aceptado para el manejo de las quejas de los consumidores, los conflictos deben resolverse de acuerdo a las leyes y regulaciones existentes y tales disposiciones serán colocadas en los sitios Web de las empresas. En Chile el SERNAC podría señalarse como la institución equivalente a la existente en Estados Unidos. 91 Algunas empresas disponen de una tercera parte que provee el servicio (TPSP) para realizar los procesos más significativos y administrar la seguridad del sitio Web (por ejemplo, el proveedor del Servicio a Internet (ISP)). Pueden existir ciertos controles que necesita cumplir el criterio WebTrust y que constituye la responsabilidad primaria del TPSP o bien puede ser una responsabilidad compartida entre el TPSP y la firma de WebTrust. En estas situaciones, el practicante de WebTrust puede consultar la “Guía para los Practicantes y usuarios de un Tercero Proveedor del Servicio”, texto que ha sido preparado por el AICPA/CICA. Esta Guía puede encontrarse completa en el CD que se adjunta a la tesis. 92 Para los efectos del programa WebTrust, el término practicante se aplica al contador público certificado (CPA), contador público (CA) o Auditor, quién ha sido autorizado por el AICPA o CICA u otro instituto autorizado, para realizar los servicios de WebTrust.



154

El Principio WebTrust de Privacidad Para reforzar la confianza en el e-commerce, es importante que el cliente esté informado sobre las prácticas de privacidad que mantiene la entidad para las transacciones del Comercio Electrónico. La entidad necesita revelar sus prácticas que se relacionan con la manera en que utiliza, protege, y mantiene la información personal. Adicionalmente, la entidad también debe divulgar el acuerdo de arbitraje tercerista para resolver las quejas del cliente. Los Criterios WebTrust Para proporcionar una guía más específica, los Criterios han sido desarrollados para cada Principio WebTrust. La entidad debe estar en conformidad con estos criterios para obtener y preservar el sello WebTrust. El criterio para el principio de privacidad está organizado en cuatro extensas áreas: Manifestaciones; políticas, controles y objetivos; procedimientos y herramientas tecnológicas; y medidas de monitoreo/cumplimiento. Una presentación de tres columnas se ha aplicado para exponer y discutir el criterio. La primera columna presenta el criterio - los atributos que la entidad debe reunir para demostrar que ha obtenido el principio. La segunda y tercera columna provee declaraciones ilustrativas y controles para transacciones de negocios a consumidores (B2C), y para transacciones aplicables a servicios de proveedores. Dado que los problemas de privacidad se vinculan principalmente a las relaciones de clientes individuales, ninguna ilustración ha sido incluida para las transacciones de negocio a negocio (B2B). La entidad debe demostrar que (1) ha cumplido con las prácticas de privacidad para el e-commerce, (2) sus controles acerca de la privacidad operan eficazmente, (3) mantuvo un ambiente de control que es conducente a los revelaciones de privacidad fiables y controles eficaces, y (4) supervisó los procedimientos para asegurar que tales prácticas de privacidad y controles permanecen vigentes en conformidad con el criterio WebTrust de privacidad. El sitio Web debe reunir los requisitos enunciados en los criterios, entre los cuales se mencionan93: Las Manifestaciones El negocio revela que las prácticas de privacidad en su sitio, incluyen: Cómo la información es reunida y mantenida; cómo se usará; posible distribución de la información a terceros; cómo un individuo puede optar a que sus datos no se utilicen; cómo la información privada puede ser revisada, corregida y removida; cómo las cookies y otro software de rastreo se implementa en el sitio; cómo las quejas del cliente son resueltas; y cómo un individuo puede contactar al sitio para apoyo o consultas. Las políticas, Controles y Objetivos Incluye en lo relativo a la privacidad, la política de seguridad declarada del sitio referente al sistema de e-commerce y a cualquier dato contenido o reunido, inclusive

93 El área de procedimientos no requirió en este punto la mención de sus características, debido a que ciertos aspectos están incluidos en las otras áreas, igual situación se presenta en los demás principios. En el cuestionario de autoevaluación se mencionan sus condiciones de acuerdo al criterio WebTrust y para mayor detalle se puede consultar el programa sobre privacidad contenido en el CD.

"La entidad manifiesta en su página Web sus prácticas de privacidad, cumple en su actividad habitual con dichas prácticas de privacidad, y mantiene controles efectivos para proveer una razonable seguridad de que la información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad manifestadas"



155

los problemas tales como: administración de la seguridad; acceso a los principios; responsabilidad; manejo de incidentes; prueba y evaluación de software. Además, si el negocio asigna recursos para seguridad y tiene un programa de seguridad conocido por los empleados. La política de privacidad del sitio también informa de la responsabilidad del empleado, validez de los procedimientos y guías de retención de registros. Monitoreo y Medidas de Cumplimiento El negocio mantiene efectivos procedimientos para: supervisar la seguridad de su sistema de Comercio Electrónico; mantener su política de privacidad actualizada y conforme a las leyes y normativas existentes; probar y actualizar su política de seguridad de incidentes; monitorear y resolver las brechas de seguridad; establecer nuevos usuarios; identificar y autentificar a los usuarios autorizados; permitir a los usuarios la modificación, actualización o eliminación de su propia información; y limitar el acceso remoto a personal autorizado. El sitio también dispone de los controles para prevenir que individuos, grupos u otras entidades accedan a información privada, y el sistema es protegido de accesos externos no autorizados. Cuestionario de autoevaluación Asociado a cada principio existe un cuestionario de autoevaluación que se realiza al comienzo del programa WebTrust y que permite conocer el nivel en que se encuentra la empresa auditada. La primera parte de la encuesta contiene algunas consultas generales y luego se suceden las preguntas correspondientes al principio en cuestión. CUESTIONARIO DE AUTOEVALUACIÓN WEBTRUST PARA PRIVACIDAD ON-LINE Esta encuesta es para ser utilizada por los proveedores del servicio de Comercio Electrónico documentando sus prácticas de privacidad, manifestaciones y controles relacionados y estableciendo una base para la confirmación o representación de que "en su sitio Web www.___.____ durante el período de ___________, 200_, hasta el ___________, 200____, la entidad:

Reveló sus prácticas de privacidad para transacciones de Comercio Electrónico

Cumplió tales prácticas de privacidad Mantuvo controles efectivos para proporcionar seguridad razonable que la

información personal identificable del cliente obtenida como resultado del Comercio Electrónico es protegida en conformidad con sus prácticas de privacidad señaladas.

Basándose en el Criterio WebTrust AICPA/CICA.”

Nombre de la empresa:_________________

Ubicación de la empresa: _____________

Sitio Web URL: ______________________

Ubicación del servidor: _______________

Período de Cobertura: Del______________

Hasta el: ________________________

Fecha de Preparación: _________________

Preparado por: ______________________

Información General Las Actividades del Comercio Electrónico a ser respaldadas 1. Describa las actividades de Comercio Electrónico de la empresa que son aseguradas y representadas por encontrarse dentro de los Principios y criterios WebTrust.



156

a) ¿Qué productos y servicios se están vendiendo o proporcionando? b) ¿Quién es el cliente típico? c) ¿Cuál es la típica forma de pago?

2. ¿Cuál es la dirección URL del sitio Web? 3. ¿Quién es el responsable para controlar las manifestaciones en políticas de privacidad on-line de la empresa, su adhesión a estas políticas y cuál es el procedimiento para informar a la administración de la entidad? 4. ¿Por cuánto tiempo la empresa ha estado vendiendo tales productos y servicios a través del Comercio Electrónico? 5. ¿Ha tenido que hacer la empresa cambios significativos a sus políticas y prácticas de privacidad, o a las manifestaciones relacionadas en los últimos noventa días? Si es así, describa la naturaleza de tales modificaciones y cuando ocurrieron. Los sistemas de información utilizados para apoyar las Actividades de Comercio Electrónico 1. Determine los sistemas de interfaz de clientes del sitio Web y aporte la siguiente información sobre cada uno:

a) Proporcione una descripción. b) Indique quién, en su empresa, es responsable de cada sistema de interfaz de

cliente. c) Describa cualquier parte de estos sistemas que es gestionado por terceros

(outsourcing). d) Describa la frecuencia y naturaleza de modificaciones al sitio Web y a los

sistemas de interfaz de clientes. 2. Determine los sistemas de telecomunicaciones y redes, incluyendo la siguiente información:

a) Proporcione una descripción. b) Indique quién, en esta entidad, es responsable de los sistemas de

telecomunicaciones y redes. c) Describa cualquier parte de estos sistemas que es gestionado por terceros

(outsourcing). d) Describa la frecuencia y naturaleza de modificaciones a los sistemas de

telecomunicaciones y redes. 3. Determine otros sistemas de soporte y tecnologías, incluyendo la siguiente información:

a) Proporcione una descripción. b) Indique quién, en esta entidad, es responsable de los sistemas de soporte y

tecnologías asociadas. c) Describa cualquier parte de estos sistemas que es gestionado por terceros

(outsourcing). d) Describa la frecuencia y naturaleza de modificaciones a tales sistemas y

tecnologías. Tecnología del servidor del Sitio Web 1. Describa la(s) plataforma(s) del servidor de Comercio Electrónico en uso (descripción y versión). 2. ¿Cuántos servidores de Comercio Electrónico son empleados en el sitio principal? ¿Cuántos están como una alternativa o sitio de respaldo? 3. ¿Es SSL utilizado para algunas, o todas, las transacciones de Internet? Si es así, describa los tipos de transacciones en que SSL se ocupa y el tipo de certificado digital usado.



157

4. Identifique al personal técnico (y/o si el sitio es hospedado por un ISP y si el personal técnico pertenece a un ISP) que sea capaz de realizar las siguientes tareas técnicas:

a) Generar un requerimiento de suscripción de Certificado (Certificate Signing Request, CSR) utilizando el software del servidor Web.

b) Instalar un Certificado Digital (también conocido como ID Digital) en el software del servidor Web.

c) Configurar ciertas páginas en su servidor Web empleando un protocolo de seguridad (SSL)

d) Instalar un Java Applet en la página Web apropiada. 5. Identifique:

a) Identifique el paquete de WebServer usado. b) Identifique al navegador más utilizado por su cliente y su correspondiente

versión. Control del Entorno 1. Describa los factores, en la organización de la entidad, que contribuyen a un entorno de control que es generalmente conducente a prácticas de privacidad confiables en su sitio Web y los controles eficaces para supervisar la complacencia de las entidades con sus políticas de privacidad manifestadas. Tales factores podrían incluir, pero no se limitan a lo siguiente:

a) La gestión de dirección enfocada a los logros. b) La contratación, desarrollo, y retención del personal competente. c) Enfatizar la importancia y responsabilidades por las prácticas legítimas y los

controles eficaces. d) Supervisión de actividades relacionadas al Comercio Electrónico y

procedimientos de control. e) Emplear una función de Auditoría interna conveniente que periódicamente

audite las materias relacionadas a las políticas de Comercio Electrónico de la entidad.

f) Otros factores. Criterios específicos para privacidad Online A) Descripción de las prácticas de privacidad de la información 1) Describa las prácticas de privacidad de la información y la seguridad vinculada de la entidad, y cómo se manifiestan tales prácticas a los clientes, de acuerdo a lo siguiente:

a) Qué tipos y fuentes específicas de información están siendo reunidas, tales como:

i. Nombre ii. Dirección iii. Tipo de computador iv. Número de Tarjeta de Crédito v. Dirección de Correo electrónico vi. Otra información relevante

b) Para qué es utilizada la información recolectada:

i. Para enviar información sobre la empresa ii. Para cargar en cuenta la orden del cliente iii. Para enviar material promocional de y acerca de nuestros socios de

negocios iv. Otros usos de la información privada del cliente, cualquiera sea.

c) La posible distribución a terceros de la información recolectada. La declaración podría incluir cualquier limitación en la confianza hacia las prácticas de privacidad y controles de la tercera parte. Los posibles terceros podrían ser:



158

i. Partes que participan en completar la transacción (por ejemplo,

procesadores de tarjetas de crédito, servicios de entrega, y ejecución) ii. Partes no relacionadas a la transacción (por ejemplo, empresas de

marketing a quienes se proporciona la información)

d) Opciones respecto a cómo la información personal de un individuo, recopilada online, puede usarse y/o distribuirse.

i. Optar a no proporcionar la información ii. Negarse a distribuir información a partes no involucradas con la

transacción iii. Otros

e) ¿Cómo hacen los individuos para optar antes de que su información sensible, necesaria para las transacciones de Comercio Electrónico, sea reunida y transmitida?

f) Las consecuencias, cualquiera sean, de la negativa de un individuo en proporcionar información o el optar por la no divulgación a terceros de tal información.

g) Cómo la información personal recolectada, que está incompleta o errónea, puede ser revisada por el consumidor o cliente y, si es necesario, corregida o eliminada.

2) Si el sitio Web usa cookies94, u otro método de rastreo (por ejemplo, los Web Bugs95), describa cómo ellos se aplican y las consecuencias, si existen, de la negativa de un individuo para aceptar una cookie. 3) Describa la información que la entidad revela para permitir a individuos, empresas u otros usuarios enterarse sobre posibles brechas a la privacidad y seguridad de su sistema de Comercio Electrónico. 4) Describa la información que la entidad divulga para permitir a clientes contactarla para preguntas o soporte. 5) Describa el proceso utilizado por la entidad para resolver quejas o disputas incluyendo, como mínimo, lo siguiente:

a) Procedimientos para seguimiento de resoluciones por tales quejas, comenzando con la entidad.

b) Cómo resolver las quejas relacionadas a la exactitud, integridad, y distribución de información privada del cliente.

c) Qué acción se seguirá con respecto a la información privada, si es el motivo de la controversia, hasta que ella esté satisfactoriamente resuelta.

d) La dirección e información del contacto de cualquier cuerpo gubernamental que acoge las quejas del consumidor en las materias de privacidad.

94 Las cookies constituyen una potente herramienta empleada por los servidores Web para almacenar y recuperar información acerca de sus visitantes. Dado que el Protocolo de Transferencia de HiperTexto (HTTP) es un protocolo sin estados (no almacena el estado de la sesión entre peticiones sucesivas), las cookies proporcionan una manera de conservar información entre peticiones del cliente, extendiendo significativamente las capacidades de las aplicaciones cliente/servidor basadas en la Web. Mediante el uso de cookies se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc. 95 Códigos inscrustados que se instalan en las páginas Web capaces de recolectar información confidencial de los visitantes y reenviarla a otras direcciones para ser utilizadas en promociones y marketing individual, todo esto sin conocimiento del usuario. Son más efectivos que las cookies y recolectan información tales como dirección IP del visitante, navegador o sistema operativo utilizado y además recogen la información contenida en las cookies existentes en su computador.



159

e) El compromiso de la Gerencia para utilizar el servicio de resolución de disputas a través de un tercero específico, en el evento de que el cliente no quede satisfecho con la solución propuesta por la entidad.

f) Un compromiso del anterior servicio para ocuparse de tales quejas insatisfechas.

6) Describa los procedimientos de la entidad para identificar y revelar las modificaciones o actualizaciones a sus prácticas de privacidad y seguridad relacionadas, y para acatar la aplicación de leyes o regulaciones o cualquier programa auto-regulador en que la entidad participe. 7) La empresa revela a los visitantes del sitio cuando se está respaldado por la política de privacidad de la entidad. B) Las Políticas, Controles y Objetivos 1) Describa las políticas de la entidad respecto a la protección de información personal identificable, que incluye pero no se limita a lo siguiente:

a) Notificación al cliente referente a la información recolectada. b) Alternativas para el cliente respecto al tipo de información reunida y cualquier

opción que el cliente tenga concerniente al mantenimiento de esta información. c) Procedimientos para agregar nuevos usuarios, modificar los niveles de acceso a

usuarios existentes, y remover a usuarios que ya no requieren del acceso. d) Acceso para empleados basado en las responsabilidades y quién autoriza tales

accesos. e) Acceso para el cliente a su información privada y posibilidad de corregirla. f) Cómo se pueden manejar las quejas sobre privacidad. g) Procedimientos relativos a incidentes de seguridad. h) Retención de registros y prácticas de distribución. i) Compromiso de utilizar a terceros en los procesos de resolución de conflictos.

2) Describa cómo los empleados responsables de la privacidad de información personal son instruidos acerca de las políticas de privacidad y la seguridad asociada a la entidad, y qué acciones se toman para asegurar que los empleados acaten tales políticas. 3) Identifique a quién se le ha asignado la responsabilidad referente a las políticas de privacidad y seguridad asociadas. 4) Describa la capacitación y recursos asignados para apoyar las políticas de privacidad y seguridad relacionadas. 5) Describa los procedimientos para evaluar si las prácticas de privacidad y seguridad asociadas son consecuentes con las prácticas de privacidad manifestadas y leyes y regulaciones aplicables. C) Procedimientos y Herramientas Tecnológicas Criterios de seguridad relacionados a la privacidad 1) Describa el criterio de seguridad de la entidad relacionado a la privacidad:

a) Los procedimientos de la entidad para establecer nuevos usuarios. b) Los procedimientos de la entidad para identificar y autentificar a los usuarios

autorizados. c) Los procedimientos de la entidad para permitir a los usuarios modificar,

actualizar o eliminar su propia información como usuario. d) Los procedimientos de la entidad para limitar el acceso remoto a la red interna

solamente a personal autorizado.



160

e) Los procedimientos de la entidad para prevenir y prohibir a clientes, grupos de individuos, u otras entidades, el acceder de otra forma, que no sea la permitida, a su propia o cualquier información privada o sensible.

f) Los procedimientos de la entidad para limitar el acceso a información personal identificable solamente a empleados autorizados basado en los roles asignados y sus responsabilidades.

g) La utilización por la entidad de, como mínimo, una encriptación de 128 bits para proteger la transmisión de autentificación de usuario, verificación, e información sensible o privada que pueda ser difundida por Internet a cualquier destinatario.

h) Los procedimientos de la entidad para mantener configuraciones del sistema que minimicen potenciales exposiciones de seguridad que afecten la información privada o sensible.

Criterio específico de privacidad 2) Describa los controles y procedimientos específicos de la entidad referente a la privacidad:

a) Asegure que la información privada obtenida como resultado del Comercio Electrónico no es revelada a terceros no esenciales en la transacción, a menos que se comunique claramente al cliente antes de proporcionar tal información. Si el cliente no autoriza fehacientemente, la información por ningún motivo puede ser revelada a terceras partes.

b) Asegure que la información privada obtenida como resultado del Comercio Electrónico sólo es utilizada por los empleados en actividades asociadas al negocio de la entidad.

c) Presente la información personal recolectada, creada o mantenida para una revisión razonable y un análisis para verificar cómo es reunida.

d) Determine la idoneidad de la protección de información y políticas de privacidad de terceros a quienes se les transfiere información, y cómo la entidad presenta conformidad respecto a las prácticas de privacidad manifestadas de terceros.

e) Asegure que la autorización del cliente es obtenida antes de almacenar, alterar o copiar información en el computador del cliente o que es notificado con las distintas alternativas para prevenir tales actividades.

i. Asegure que las cookies no son almacenadas en el computador del

cliente si éste ha rechazado el uso de cookies. ii. Asegure que es recibida del cliente la autorización para conservar,

alterar, o copiar información (utilizando otro método en vez de las cookies) en el computador del cliente.

f) Proteja la información personal de acuerdo con las políticas de privacidad

existentes cuando tal información es reunida en el evento de que una política de privacidad manifestada se anule o modifique para ser menos restrictiva. Se requiere notificaciones y opciones claras y visibles para el cliente que permita a la entidad continuar con la nueva política de privacidad relativa a su información personal que lo identifica.

D) Medidas de Monitoreo y Ejecución 1) Describa los procedimientos de la entidad para monitorear la seguridad de sus sistemas de Comercio Electrónico. 2) Describa los procedimientos de la entidad para mantener sus prácticas de privacidad y políticas de seguridad actualizadas con las leyes y regulaciones, y monitorear la adhesión a sus prácticas de privacidad y políticas de seguridad actuales. 3) Describa los procedimientos de la entidad para analizar y probar su política de incidentes en privacidad y seguridad, y actualizarlos como sea necesario de acuerdo a los cambios tecnológicos, cambios en la estructura de los sistemas de Comercio Electrónico, o por la retroalimentación que se produzca al llevar a cabo estos análisis. 4) Describa los procedimientos de la entidad para monitorear y actuar ante brechas de seguridad y privacidad.



161

PRINCIPIO Y CRITERIOS DE SEGURIDAD En el curso de comunicarse y realizar transacciones de negocios por Internet, los consumidores y empresas deben enviar y recibir información de distintos usuarios. En la mayoría de los casos, las partes involucradas en el Comercio Electrónico estarán preocupadas en asegurar que la información que ellos proporcionan sólo estará disponible para aquellos individuos que necesitan el acceso para completar la transacción o para dar respuesta a cualquier pregunta que se origine. La información que es proporcionada a individuos o entidades, es susceptible de ser accesada sin autorización durante la transmisión por Internet y mientras es almacenada en los sistemas computarizados de los destinatarios. Por ejemplo, la información personal y los números de tarjetas de crédito pueden ser interceptados por un tercero no autorizado mientras están transfiriéndose por Internet, sin embargo, si la información se encripta, es difícil para el intruso descifrarla. Además, si el sistema computacional donde los datos se mantienen no es protegido por cortafuegos (firewall96) o un riguroso sistema de contraseñas, la información puede ser intervenida por un usuario no acreditado. El Principio de Seguridad WebTrust forma parte de un objetivo global para la seguridad de datos transmitidos por Internet, y su almacenamiento y resguardo en un sistema de e-commerce. En el desarrollo de una Auditoría de WebTrust, el practicante utiliza el criterio WebTrust como la base para evaluar si el Principio se ha logrado. El Principio de Seguridad WebTrust El Criterio WebTrust El Criterio WebTrust está organizado en cuatro extensas áreas - Manifestaciones, Políticas, Procedimientos, y Monitoreo. Un formato de cuatro-columnas se ha elegido para presentar y discutir el criterio. La primera columna presenta el criterio- Los atributos que la entidad debe reunir para demostrar que ha cumplido el principio. La segunda, tercera y cuarta columna mantienen manifestaciones ilustrativas y controles sobre las transacciones negocio-a-consumidor (B2C), las transacciones de negocio-a-negocio (B2B), y para las transacciones aplicables a Servicios de proveedores. Éstos son ejemplos de manifestaciones que la entidad debería plantearse y ejecutar, y controles que debería implementar en su sistema de Comercio Electrónico para conformar al criterio. También pueden usarse alternativamente manifestaciones y controles adicionales. Para el propósito de este criterio, el término "cliente" incluye (1) consumidores individuales que han proporcionado la información y han consumado transacciones y (2) socios de negocios. Los criterios incluyen en lo esencial lo siguiente:

96 Un firewall es un tipo de tecnología que ayuda a prevenir el acceso de intrusos a la computadora, ya sea por medio de Internet o a través de un LAN, además de controlar la entrada o salida de datos, no autorizada, al sistema. Un firewall examina cada paquete enviado desde y hacia la máquina, para analizar si cumple con una serie de criterios, así , luego, puede decidir si permite o no el paso del paquete de información.

"La entidad manifiesta sus prácticas de seguridad, cumple con dichas prácticas de seguridad, y mantiene controles efectivos para proveer una certeza razonable de que los accesos al sistema de Comercio Electrónico y a los datos están restringidos únicamente a las personas autorizadas en conformidad con las prácticas de seguridad manifestadas"



162

Manifestaciones El negocio revela la información sobre sus prácticas de seguridad en el sitio, incluyendo lo relativo a: registro de nuevos usuarios; identificación de usuarios autorizados; mantenimiento y término del acceso a usuarios autorizados; procedimientos para proporcionar información acerca de brechas o posibles brechas de seguridad; y cómo los consumidores pueden obtener asistencia con respecto a la seguridad. Políticas, Metas y Objetivos La política de seguridad declarada del sitio, relativa a la seguridad del sistema de Comercio Electrónico y a la contención y captura de los datos, incluyendo: administración de la seguridad; acceso a los principios; responsabilidades; procedimientos en caso de incidentes; y análisis y evaluación de software. Asimismo, el negocio asigna recursos a la seguridad y posee un programa de conocimiento en seguridad para sus empleados. Monitoreo y medidas de ejecución La entidad mantiene controles efectivos y procedimientos para: monitorear la seguridad de sus sistemas de Comercio Electrónico; mantener su política de seguridad actualizada y en concordancia con las leyes y regulaciones existentes; prueba y actualización de su política de incidentes en seguridad; limitar el acceso a los sistemas a usuarios autorizados; resguardo de las passwords de super usuario o master; minimizar el acceso a las estaciones de trabajo a usuarios no autorizados; limitar el acceso remoto; controlar el acceso conmutado; mantener la configuración de los sistemas para evitar exposiciones de seguridad; minimizar o eliminar servicios de redes innecesarios; actualizar versiones óptimas y parches de software; uso de encriptación para proteger las transmisiones de usuarios autentificados e información confidencial de intrusos; y proteger los sistemas internos de virus. CUESTIONARIO DE AUTOEVALUACIÓN WEBTRUST PARA SEGURIDAD ON-LINE A. Manifestaciones 1. La entidad revela sus prácticas de seguridad para proporcionar el acceso al sistema de Comercio Electrónico y datos, incluyendo:

a) Registro y autorización de nuevos usuarios b) Identificación y autenticación de usuarios autorizados c) Mantenimiento y eliminación del acceso autorizado de usuarios.

2. ¿La entidad revela los procedimientos a individuos, compañías u otros usuarios para reportar brechas o posibles brechas a la seguridad del sistema de e-commerce? 3. ¿La entidad manifiesta sus procedimientos para la asistencia al cliente por problemas que no han sido resueltos por la entidad con respecto a la seguridad? Este proceso de resolución debe tener siguientes atributos:

a) El compromiso de la Gerencia para emplear un servicio específico de resolución de disputas externo u otro proceso asignado por los cuerpos reguladores. En el evento de que el cliente no quede satisfecho por la solución propuesta por la entidad ante una queja, debe existir el compromiso de que un tercero se ocupará de tales reclamos irresolutos.

b) Los procedimientos a ser implementados en resolver tales quejas, primero con la entidad y, si necesario, con los externos designados.

4. La entidad revela cualquier aplicación general, hardware, software, y otras funcionalidades que ofrece para ser utilizada por otros individuos, usuarios o grupos, y hasta que punto la seguridad y controles se aplican a tales aplicaciones y funcionalidades.



163

B. Políticas 1. La entidad tiene políticas relacionadas a la seguridad del sistema de Comercio Electrónico e incluyen, por lo menos, las siguientes:

a) Quién tiene acceso permitido, cuál es la naturaleza de tal acceso, y quién autoriza tal acceso.

b) Procedimientos para incorporar nuevos usuarios, modificar los niveles de acceso de usuarios existentes, y remover a usuarios que ya no necesitan el acceso.

c) Identificar al individuo responsable de la seguridad, actualizaciones del sistema, respaldos, y mantenimiento.

d) El tipo de escritura (script) o programación que es permitido en las páginas del servidor.

e) Procedimientos para testear y evaluar software, páginas y scripts antes de ser instalados.

f) Los controles sobre el acceso físico a los sistemas. g) Cómo las quejas y peticiones sobre los servicios y contenidos de la página Web

pueden ser conducidos. h) Procedimientos para gestionar incidentes de seguridad. i) ¿La entidad se compromete a utilizar en la resolución de conflictos a un tercero

de acuerdo a los principios de arbitraje para WebTrust? 2. ¿Cómo los empleados responsables de la seguridad propagan la importancia y educan en los temas vinculados a ella, y si exigen el cumplimiento de las políticas de la entidad relacionadas a la seguridad? 3. Identifique al o a los individuos responsables de la política de seguridad de la entidad. 4. ¿Tiene la entidad asignada capacitación y otros medios suficientes para apoyar las políticas de la entidad relacionadas a la seguridad? 5. ¿Son las políticas de la entidad relacionadas a la seguridad compatibles y congruentes con las prácticas de seguridad manifestadas, y leyes y regulaciones aplicables? C. Procedimientos 1. ¿La entidad posee los procedimientos de seguridad para crear a los nuevos usuarios? 2. ¿La entidad posee los procedimientos de seguridad para identificar y autentificar a los usuarios autorizados? 3. ¿La entidad posee los procedimientos para permitir a los usuarios modificar, actualizar, o eliminar su propio perfil de usuario? 4. ¿La entidad posee los procedimientos para limitar el acceso remoto a la red interna a personal autorizado solamente?

a) ¿La entidad tiene procedimientos para proteger a los sistemas internos de virus y códigos maliciosos?

b) ¿La entidad tiene los procedimientos para prevenir el acceso dial-up no seguro a la Internet durante la sesión activa de área local de red?

c) ¿La entidad tiene los procedimientos para minimizar o eliminar servicios de red innecesarios (números de puertos)?

d) ¿La entidad tiene los procedimientos para actualizar el software a las versiones óptimas y descargar parches oportunamente?

5. ¿La entidad tiene los procedimientos para evitar que clientes, grupos de individuos, u otras entidades accedan de otra forma a su información privada o sensible? 6. ¿La entidad posee procedimientos para limitar el acceso a los sistemas y datos a sólo empleados autorizados basado en sus labores asignadas y responsabilidades?

a) ¿La entidad tiene los procedimientos para salvaguardar password de super usuario y restringir el acceso a tales tipos de contraseñas limitando el número de personal autorizado?



164

b) ¿La entidad tiene los procedimientos para minimizar el acceso a estaciones de trabajo a personal no autorizado?

c) ¿La entidad limita el acceso físico a los cortafuegos, servidores y otros sistemas críticos al personal autorizado?

d) ¿La entidad refuerza sus programas y datos durante el respaldo, almacenamiento fuera del sitio, y procesos de restauración?

7. ¿La entidad utiliza encriptación u otros procedimientos de seguridad equivalentes para proteger las transmisiones de autentificación del usuario e información de verificación por Internet? 8. ¿La entidad tiene procedimientos para proteger las configuraciones del sistema que minimicen las exposiciones de seguridad? 9. ¿La entidad posee procedimientos para monitorear y proceder ante brechas de seguridad? 10.¿La entidad tiene establecido y adhiere a estándares de programación y mantiene software que prueba en un ambiente controlado, para asegurar que las páginas Web contienen tecnologías (por ejemplo, Java applets, ActiveX y JavaScripts) que no son susceptibles a debilidades de seguridad? D. Monitoreo 1. ¿La entidad posee procedimientos para monitorear la seguridad de sus sistemas de Comercio Electrónico y para identificar alguna modificación necesaria en los procedimientos de seguridad? 2. ¿La entidad tiene procedimientos para monitorear los planes relativos a incidentes de seguridad y actualizarlos de acuerdo a cambios tecnológicos, cambios en la estructura de los sistemas de Comercio Electrónico, u otra información? 3. ¿La entidad posee procedimientos para monitorear el entorno, los cambios tecnológicos y riesgos asociados, y su impacto en las prácticas de seguridad? 4. ¿La entidad posee procedimientos para procurar que informes de incumplimiento a las manifestaciones y controles de seguridad se gestionen rápidamente y que medidas correctivas se apliquen en forma oportuna y regular? PRINCIPIO Y CRITERIOS SOBRE PRÁCTICAS DE NEGOCIO E INTEGRIDAD DE LAS TRANSACCIONES En el curso de la comunicación y generación de negocios por Internet, los consumidores y empresas esperan que sus transacciones comerciales sean procesadas íntegramente, con exactitud y en forma oportuna. La integridad generalmente indica que todas las transacciones se procesan sin excepción, y que no se efectúan más de una vez. La exactitud incluye la certeza de que la información esencial, asociada a la transacción, permanecerá invariable a lo largo del desarrollo de tal transacción. El ser oportuno en la entrega de bienes o servicios se enmarca en el contexto de compromisos derivados de la transacción. El riesgo latente radica en que el consumidor o negocio que inicia la transacción no la concluirá correctamente de acuerdo con lo específicamente anhelado o solicitado. Las transacciones comerciales realizadas y datos inherentes que se envían electrónicamente son susceptibles a la pérdida, duplicación en el procesamiento o a la introducción de información inexacta asociadas con la negociación. Por ejemplo, si una orden electrónica se envía a través de Internet de una empresa a otra, sin los apropiados controles para salvaguardar la integridad de la transacción, el comprador puede no recibir el producto solicitado, recepcionar otro producto totalmente distinto, recibirlo deteriorado, o totalmente defectuoso. Sin embargo, si las apropiadas prácticas de negocios se ejercen y los controles sobre la integridad de las transacciones existen y son operacionales dentro del sistema, el comprador puede tener la seguridad razonable de que el producto correcto, en la cantidad y calidad correcta, y al precio correcto será recibido como se le prometió. El principio de integridad en las transacciones y prácticas de negocios WebTrust se enmarca dentro del objetivo global de respeto hacia la rectitud y exactitud en el



165

procesamiento de las transacciones electrónicas enviadas y recibidas por Internet. En el curso de una Auditoría WebTrust, el profesional utiliza el Criterio WebTrust como la base para evaluar si el Principio se ha cumplido. El Principio de Integridad en las Transacciones y prácticas de negocios El Criterio WebTrust El Criterio de WebTrust se encuentra organizado en cuatro extensas áreas – Manifestaciones, políticas, procedimientos y monitoreo. Un formato de cuatro columnas se ha aplicado para presentar y discutir el criterio. La primera columna presenta el criterio - Los atributos que la entidad debe reunir para acreditar que ha cumplido el principio. La segunda, tercera y cuarta columna proporcionan manifestaciones ilustrativas y controles sobre las transacciones de negocio-a-consumidor, las transacciones de negocio-a-negocio, y para las transacciones aplicables a servicios de proveedores. Éstos son ejemplos de manifestaciones que la entidad debería implantar y controles que conforman el criterio. Los criterios incluyen en lo esencial lo siguiente: Manifestaciones El negocio manifiesta sus prácticas comerciales y cómo procesa cada tipo de transacción en su Website, incluyendo: Descripción de productos y/o servicios; cuánto tiempo toma para completar las transacciones; métodos de entrega; condiciones de pago; procedimientos de pago electrónicos; políticas de devolución de productos; soporte al cliente y servicios; y cómo las quejas de los clientes son recepcionadas y resueltas. Políticas, Metas y Objetivos Las prácticas comerciales manifestadas del sitio proporcionan detalles, considerando: Las responsabilidades, recuperación de desastres y datos, historial de las transacciones, seguridad del sistema de Comercio Electrónico y cualquier dato contenido y recolectado; administración de la seguridad; acceso a los principios; manejo de incidentes; prueba y evaluación de software; asignación de recursos apropiados a la seguridad; y un programa de capacitación en seguridad para los empleados. Monitoreo y medidas de ejecución La entidad mantiene efectivos controles y procedimientos para: Monitorear sus prácticas de negocios, la integridad de sus transacciones y la seguridad de su sistema de Comercio Electrónico; mantiene sus políticas actualizadas y conformes a las leyes y regulaciones; prueba y actualiza sus políticas para incidentes de seguridad; monitorea y resuelve brechas de seguridad; limita el acceso al sistema a usuarios autorizados; la transmisión por Internet es encriptada para que la identificación del usuario y la información de la transacción se mantenga resguardada de intrusos; asegurar que las órdenes o pedidos son completadas y debidamente cargadas en cuenta; y protege los sistemas internos de virus.

"La entidad manifiesta sus prácticas de negocios para el Comercio Electrónico, ejecuta las transacciones en conformidad con dichas prácticas, y mantiene efectivos controles para proveer una razonable seguridad de que las transacciones de Comercio Electrónico son procesadas en su totalidad, con exactitud, y de acuerdo con las prácticas de negocios manifestadas”"



166

CUESTIONARIO DE AUTOEVALUACIÓN WEBTRUST PARA PRÁCTICAS DE NEGOCIOS E INTEGRIDAD DE LAS TRANSACCIONES A. Manifestaciones 1. La entidad revela información acerca de la naturaleza de los productos que vende o los servicios que proporciona, incluyendo, pero no limitado a lo siguiente: a) La condición de los productos (si son nuevos, usados o reacondicionados). b) Descripción de servicios (o contrato de servicio). c) Fuentes de información (dónde la información fue obtenida y cómo fue compilada). 2. La entidad manifiesta los términos y condiciones que rigen las transacciones de Comercio Electrónico, incluyendo, pero no limitado a lo siguiente:

a) El período o intervalo establecido o revelado para la consumación de la transacción (la transacción se entiende por el cumplimiento de los pedidos por el producto que se está vendiendo y la entrega del servicio una vez contratado).

b) El período y procedimiento para informar a los clientes de excepciones al proceso normal de pedidos o solicitudes de servicios.

c) El método normal de entrega de productos o servicios, incluyendo opciones para el cliente, si es que son aplicables.

d) Las condiciones del pago, incluyendo opciones para el cliente, cualquiera sean. e) Prácticas de pago electrónico y cobros relacionados a clientes. f) Cómo los clientes pueden cancelar recurriendo a cargos, si existen. g) Las políticas de devolución de productos y la responsabilidad asociada, cuando

sea aplicable. 3. ¿La entidad manifiesta en su sitio Web (o en información proporcionada con el producto, o en ambos) dónde los clientes pueden obtener garantía, servicio de reparación, y soporte relacionado a los productos y servicios adquiridos en su Web site? 4. La entidad revela la información para permitir a clientes presentar sus reclamos, formular preguntas y quejas de registro, incluyendo, pero no limitándose a lo siguiente:

a) Número de teléfono (un número para localizar a un empleado en una medida bastante oportuna, no como el disponer de solamente un sistema de correo de voz o máquina de mensajes).

b) Días y horas de funcionamiento. c) Si hay varias oficinas o sucursales, la misma información para la oficina

principal. 5. ¿La entidad manifiesta los procedimientos de asistencia al consumidor por problemas que no son resueltos con respecto a la integridad de la transacción? Estas quejas pueden relacionarse a cualquier fase de la transacción de Comercio Electrónico con un cliente, incluso reclamos asociados a la calidad de servicios y productos, exactitud, integridad, y las consecuencias ante el fracaso de solucionar tales conflictos. Este proceso de la resolución debe tener los siguientes atributos:

a) El compromiso de la Administración para emplear un servicio de resolución de conflictos externo, en el evento de que el cliente no quede satisfecho con la disposición propuesta por la entidad ante una queja.

b) Los procedimientos a seguir en la resolución de quejas, primero con la entidad y, si es necesario, con los designados externos (terceras partes).

6. ¿La entidad manifiesta sus procedimientos para informar a individuos, empresas u otros usuarios acerca de brechas o posibles brechas a la integridad (incluyendo seguridad) de su sistema de Comercio Electrónico? 7. ¿La entidad manifiesta la naturaleza de los servicios de aplicación generales proveídos a los clientes comerciales y hasta que punto los controles sobre las prácticas de negocios e integridad de la transacciones se aplican a tales servicios? B. Políticas 1. Tiene la entidad políticas relacionadas a la integridad de la transacción, incluyendo, a lo menos, los siguientes ítems:



167

a) A quién se permite el acceso, cuál es la naturaleza de ese acceso, y quién

autoriza tal acceso. b) Procedimientos para agregar nuevos usuarios, modificar el nivel de acceso a

usuarios existentes, y eliminar a usuarios que ya no necesitan el acceso. c) Procedimientos de Seguridad para proteger la integridad de la transacción. d) Procedimientos para documentar y permitir la continuidad en las transacciones. e) Cómo pueden gestionarse las quejas y solicitudes sobre las transacciones. f) Procedimientos para conducir incidentes de seguridad. g) El compromiso de la entidad para emplear a un tercero en la resolución de

conflictos, conforme a los Principios de Arbitraje WebTrust. 2. ¿Cómo los funcionarios responsables de la integridad de las transacciones contraen un compromiso, y exigen respetar las políticas de la entidad que contemplan la integridad de las transacciones y las materias de seguridad pertinentes? 3. ¿Se identifica al individuo asignado como responsable de las políticas de la entidad relacionadas a la integridad de las transacciones y a las materias de seguridad pertinentes? 4. ¿Son las políticas de la entidad, relativas a la integridad de la transacción y a las materias de seguridad pertinentes, coherentes con las prácticas de negocios manifestadas y leyes y regulaciones existentes? C. Procedimientos Criterios de seguridad relacionados a la integridad de las transacciones 1. ¿Tiene la entidad procedimientos para establecer a nuevos usuarios? 2. ¿Tiene la entidad procedimientos para identificar y autentificar a los usuarios autorizados? 3. ¿Tiene la entidad procedimientos para permitir a los usuarios modificar, actualizar o eliminar su propio perfil como usuario? 4. ¿Tiene la entidad procedimientos para limitar el acceso remoto a la red interna a sólo personal autorizado? 5. ¿Tiene la entidad procedimientos para prevenir que clientes, grupos de individuos, u otras entidades accedan a otra información que no sea su propia información de las transacciones? 6. ¿Tiene la entidad procedimientos para limitar el acceso a los sistemas y datos a sólo empleados autorizados, basándose en sus cargos asignados y responsabilidades? 7. ¿La entidad utiliza encriptación u otros procedimientos de seguridad equivalentes para proteger las transmisiones de autentificación de usuario e información de verificación por Internet? 8. ¿Tiene la entidad procedimientos para mantener en forma óptima la configuración de los sistemas para minimizar las exposiciones de seguridad e integridad? 9. ¿La entidad tiene procedimientos en el lugar para monitorear y proceder ante brechas de seguridad que afecten la integridad de la transacción? Solicitando Bienes y Servicios 10. ¿La entidad verifica la exactitud e integridad de cada solicitud o transacción? 11. ¿La entidad recibe la confirmación positiva del cliente antes de que la transacción se procese? Procesando las solicitudes de Bienes y Servicios 12. ¿El producto correcto se envía en las cantidades correctas en el horario acordado, y se proporcionan servicios e información al cliente como él lo había solicitado?



168

13. ¿Excepciones a las transacciones son comunicadas rápidamente a los clientes? 14.¿Se procesan los mensajes entrantes y se entregan puntual y completamente a la dirección IP correcta? 15.¿Se procesan los mensajes salientes y se entregan puntual y completamente al proveedor de servicio de Internet (ISP) en el punto de acceso? 16.¿Los mensajes permanecen intactos mientras se transmiten por la red del Proveedor del servicio? Procesamiento, facturación y pago 17. ¿Se informan al cliente los precios de venta y los demás costos asociados antes de procesar la transacción? 18. ¿Son facturadas las transacciones y canceladas electrónicamente como se acordó? 19. ¿Errores de facturación o pago son rápidamente corregidos? 20. ¿Se retiene el historial de las transacciones en una locación segura, no pueden alterarse sin una autorización apropiada, y son recuperables para revisión e investigación? 21. ¿Se procesan las transacciones con exactitud y en conformidad con las prácticas de negocios manifestadas? 22. ¿La entidad registra las transacciones oportunamente para asegurar una continuidad y eficacia en los procesos? D. Monitoreo 1. ¿La entidad posee procedimientos para monitorear la integridad de las transacciones de sus sistemas de Comercio Electrónico y para identificar alguna necesidad por cambios a sus controles de integridad y seguridad relacionados? 2. ¿La entidad posee procedimientos para proporcionar un historial de las transacciones y la información relacionada es monitoreada y acciones de corrección se toman de acuerdo a una base regular y oportuna? PRINCIPIO Y CRITERIOS WEBTRUST DE DISPONIBILIDAD Para las entidades que realizan negocios a través de sus sitios Web, ya sea en una relación de Comercio Electrónico B2C, B2B o cualquiera otra, resulta indispensable la disponibilidad del acceso para sus clientes en cualquier horario. Los proveedores de servicios facilitan la comunicación de sus clientes y negocios mediante Internet, otorgando varias prestaciones. Estas prestaciones o servicios se proporcionan en varias dimensiones, desde proveer a los clientes una conexión a Internet, a mantener un proceso en línea y otras aplicaciones para su utilización, o actuar como un centro de procesamiento de datos para el funcionamiento de los negocios de sus clientes. Porque los clientes, en el ámbito del Comercio Electrónico, pueden confiar plenamente en un proveedor que mantiene su servicio siempre disponible, esto es crítico para el acceso de un usuario al centro de datos y a la red. Si el servicio no está disponible por un período significativo, cada uno de los clientes puede asimismo sufrir la pérdida temporal de ingresos, perjudicar su flujo de dinero en efectivo, y disminuir o deteriorar su imagen pública. El Principio WebTrust de Disponibilidad pretende eliminar los problemas de acceso a los servicios de las empresas de Comercio Electrónico. En el curso de una Auditoría WebTrust, el profesional utiliza los criterios WebTrust como la base para evaluar si el Principio se ha cumplido. Se debe señalar que el Principio por sí mismo, no establece un porcentaje de disponibilidad como nivel mínimo aceptable de funcionamiento para sitios Web o proveedores de servicios de acceso a Internet. El porcentaje mínimo de



169

disponibilidad se establece por un acuerdo mutuo (contrato) entre el cliente y el proveedor del servicio. El criterio WebTrust es apoyado por controles ilustrativos. Estos controles se aplican a materias relacionadas con (1) la disponibilidad de un Website B2C o B2B y otras operaciones de un centro de datos del proveedor del servicio, (2) la seguridad y controles afines que se necesitan para garantizar la disponibilidad, y (3) el continuo monitoreo del desempeño y la gestión de la disponibilidad y el anticiparse a potenciales problemas que podrían reducirla. El criterio de disponibilidad contempla la continuidad del negocio y que los planes de recuperación de desastres se encuentren habilitados y periódicamente se prueben para asegurar la integridad y continuidad de los sistemas y minimizar el impacto en los clientes en caso de desastre o interrupción temporal. Estas y otras materias vinculadas son importantes para promover la confianza en el Comercio Electrónico. El Principio WebTrust de Disponibilidad El Criterio WebTrust El Criterio WebTrust se encuentra organizado en cuatro extensas áreas – Manifestaciones, políticas, procedimientos y monitoreo. Un formato de cuatro columnas se ha aplicado para presentar y discutir el criterio. La primera columna presenta el criterio - Los atributos que la entidad debe reunir para acreditar que ha cumplido el principio. La segunda, tercera y cuarta columna mantienen manifestaciones ilustrativas y controles sobre las transacciones de negocio-a-consumidor, las transacciones de negocio-a-negocio, y para las transacciones aplicables a servicios de proveedores. Éstos son ejemplos de manifestaciones que la entidad debería implantar y controles que conforman el criterio. Los criterios incluyen en lo esencial lo siguiente: Manifestaciones El negocio manifiesta: Los términos, condiciones y prácticas para la disponibilidad a su centro de datos, Redes e Internet; procedimientos para informar a clientes y socios de negocios de brechas o posibles brechas de seguridad; cómo se gestionan las quejas de clientes con respecto a la disponibilidad del sistema; y el hardware en general, software y otras tecnologías que se ofrece para el uso de terceros. Políticas, Metas y Objetivos La política de seguridad manifestada del sitio proporciona detalles sobre: A quién se permite el acceso; cuál es la naturaleza de tal acceso y quién lo autoriza; procedimientos para agregar nuevos usuarios, modificar los niveles de usuarios existentes y eliminar a aquellos que no requieren el acceso; asignar responsabilidades por la seguridad; actualización de sistemas, respaldos y mantención; recuperación de desastres y planes de continuidad del negocio; métodos para controlar el acceso físico a los sistemas; cómo las quejas y solicitudes sobre la disponibilidad son resueltas; y procedimientos para ocuparse de incidentes de seguridad.

"La entidad manifiesta sus prácticas de disponibilidad, cumple con dichas prácticas de disponibilidad, y mantiene controles efectivos para proveer una razonable seguridad de que los sistemas de Comercio Electrónico y los datos están disponibles en conformidad con las prácticas de disponibilidad manifestadas"



170

Monitoreo y medidas de ejecución El negocio mantiene efectivos controles de seguridad y procedimientos para: Monitorear la disponibilidad de sus sistemas de Comercio Electrónico y cualquier dato que es recolectado y conservado; mantener sus políticas de disponibilidad y seguridad actualizadas y acordes a las leyes y regulaciones vigentes; probar y actualizar sus políticas de incidentes en seguridad; monitorear y solucionar las brechas de seguridad; establecer nuevos usuarios; identificar y autentificar a los usuarios autorizados; permitir a los usuarios modificar; renovar o eliminar su propia información; y limitar el acceso remoto sólo a personal autorizado. CUESTIONARIO DE AUTOEVALUACIÓN WEBTRUST PARA DISPONIBILIDAD A. Manifestaciones 1. ¿La entidad manifiesta a sus clientes: los términos, condiciones y prácticas de disponibilidad a su centro de datos, red de computadoras, Internet, o sistemas varios? 2. ¿La entidad manifiesta los procedimientos para individuos, compañías u otros usuarios para que le informen a la entidad sobre brechas o posibles brechas a la seguridad de su sistema de Comercio Electrónico? 3. ¿La entidad manifiesta los procedimientos para la apelación del consumidor por problemas con respecto a la disponibilidad del sistema que sean resueltos por la entidad? Este proceso de resolución debe tener los siguientes atributos:

a) El compromiso de la Gerencia para emplear un servicio de resolución de conflictos externo u otro proceso asignado por los cuerpos reguladores en el evento de que el cliente no quede satisfecho con la disposición propuesta por la entidad ante una queja, junto al compromiso de la tercera parte para ocuparse de tales quejas sin solución aparente.

b) Los procedimientos a seguir en la resolución de quejas, primero con la entidad y, si es necesario, con los designados externos (terceras partes).

4. La entidad revela cualquier aplicación general, hardware, software, y otras funcionalidades que ofrece para ser utilizada por otros individuos, usuarios o grupos, si existen, y hasta que punto las manifestaciones y controles de disponibilidad se aplican a tales aplicaciones y funcionalidades. B. Políticas 1. Tiene la entidad políticas relacionadas a la disponibilidad del sistema de Comercio Electrónico y datos, incluyendo, a lo menos, los siguientes puntos:

a) A quién se le permite el acceso, cuál es la naturaleza de tal acceso, y quién lo autoriza.

b) Procedimientos para agregar nuevos usuarios, modificar los niveles de acceso de usuarios existentes, y remover a aquellos que ya no necesitan el acceso.

c) Identificar al individuo responsable de la seguridad, actualizaciones del sistema, respaldos, y mantenimiento.

d) Recuperación de desastres y planificación de la continuidad del negocio. e) Los controles en el acceso físico a los sistemas. f) Cómo pueden gestionarse las quejas sobre la disponibilidad. g) Procedimientos para manejar incidentes de seguridad. h) Procesos para supervisar la disponibilidad del sistema. i) El compromiso de la entidad para emplear a un tercero en la resolución de

conflictos, conforme a los Principios de Arbitraje WebTrust. 2. ¿Cómo los funcionarios responsables de la disponibilidad adquieren un compromiso y exigen el cumplimiento de las políticas de la entidad relacionadas a la disponibilidad y a materias de seguridad? 3. ¿Se identifica al individuo asignado como responsable de las políticas de la entidad relacionadas a la disponibilidad y a las materias de seguridad pertinentes? 4. ¿Tiene la entidad implementada capacitación y destina recursos suficientes para apoyar las políticas de disponibilidad y materias de seguridad relevantes?



171

5. ¿Son las políticas de la entidad relacionadas a la disponibilidad y a las materias de seguridad conexas compatibles y congruentes con los requerimientos de disponibilidad manifestados, prácticas de seguridad, y leyes y regulaciones aplicables? C. Procedimientos Elementos de seguridad que se relacionan con la disponibilidad 1. ¿Tiene la entidad procedimientos de seguridad para establecer nuevos usuarios? 2. ¿Tiene la entidad procedimientos de seguridad para identificar y autentificar a los usuarios autorizados? 3. ¿Tiene la entidad procedimientos para permitir a los usuarios modificar, actualizar o eliminar su propio perfil de usuario? 4. ¿Tiene la entidad procedimientos para limitar el acceso remoto a la red interna a sólo personal autorizado?

a) ¿Tiene la entidad procedimientos para proteger a los sistemas internos de virus y códigos maliciosos?

5. ¿Tiene la entidad procedimientos para prevenir a clientes, grupos de individuos, u otras entidades el acceder por otros medios a su propia información privada o sensible de una manera que podría afectar la disponibilidad? 6. ¿La entidad tiene procedimientos para limitar el acceso (si en cierto modo podría afectar la disponibilidad) a los sistemas y datos a sólo funcionarios de acuerdo a sus cargos asignados y responsabilidades? 7. ¿La entidad utiliza encriptación u otras técnicas de seguridad equivalentes para proteger las transmisiones de autentificación de usuario e información de verificación por Internet? 8. ¿Tiene la entidad procedimientos para mantener en condiciones óptimas la configuración de los sistemas a fin de minimizar las exposiciones ante amenazas a la disponibilidad y seguridad? 9. ¿La entidad tiene procedimientos en el lugar para monitorear y proceder ante brechas que afecten la disponibilidad? Criterios específicos de Disponibilidad 10. ¿La entidad considera las dificultades del entorno y protege al sistema contra amenazas que podrían interrumpir su funcionamiento y ocasionar fallas en la disponibilidad? 11. ¿La entidad tiene procedimientos para monitorear la disponibilidad y el rendimiento, comparándolos con los compromisos manifestados y con el fin de proporcionar los requerimientos futuros esperados? 12. ¿La entidad documenta, autoriza, prueba y aprueba los cambios del sistema propuestos antes de la implementación, para proteger la disponibilidad de su sistema de Comercio Electrónico? 13. ¿La entidad documenta y autoriza cambios realizados durante las emergencias (incluyendo la aprobación después de ocurrido el evento)? 14. ¿La entidad para lograr sus compromisos de disponibilidad manifestados: Ejecuta y mantiene respaldos, almacenamiento de información en servidores distintos a los de su WebSite, restauración, y procesos de recuperación de desastres suficientes? 15. ¿La entidad protege la integridad de datos reproducidos e información que es mantenida para apoyar los compromisos de disponibilidad de los sistemas tal como se manifestó en su sitio web?



172

D. Monitoreo 1. ¿La entidad tiene procedimientos en el lugar para monitorear la planificación ante incidentes de disponibilidad y seguridad, y para actualizarla como sea necesario de acuerdo a cambios tecnológicos, cambios en la estructura de los sistemas de Comercio Electrónico, y otra información relevante? 2. ¿La entidad tiene procedimientos para probar las políticas de incidentes de seguridad y actualizarlas si es necesario de acuerdo a cambios en la tecnología, cambios en la estructura del sistema de Comercio Electrónico, u otra información que sea relevante? 3. ¿La entidad tiene procedimientos para monitorear el entorno, los cambios tecnológicos y riesgos asociados, y su impacto en los planes de recuperación de desastres? 4. ¿La entidad tiene procedimientos para procurar que informes de incumplimiento a las manifestaciones y controles de disponibilidad se gestionen rápidamente y que medidas de corrección se apliquen en forma oportuna y regular? EL PRINCIPIO Y LOS CRITERIOS WEBTRUST SOBRE CONFIDENCIALIDAD En las comunicaciones y transacciones por Internet, los socios comerciales deben enviar y recibir información sobre terceros que requiere ser mantenida confidencial. En la mayoría de los casos, las partes interesadas en el atractivo del Comercio Electrónico estarán ansiosas en asegurar que la información que ellos proporcionan sólo estará disponible para aquellos individuos que necesitan el acceso para completar la transacción o para resolver cualquier consulta que haya surgido. Para reforzar la confianza del socio comercial en el e-commerce es importante que esté informado sobre las prácticas de confidencialidad de la entidad para las transacciones de Comercio Electrónico. La entidad necesita manifestar sus prácticas que tienen relación con la forma en que mantiene los accesos autorizados y su utilización, y la información compartida designada como confidencial. Al contrario de la información personal identificable (es decir, la información privada) que está definida por regulaciones en varios países a nivel mundial, no existe ninguna normativa ampliamente reconocida para la información confidencial. Asimismo, a diferencia de la información privada personal, se carece de una preocupación ante el hecho de que al acceder a información confidencial no se asegure su exactitud e integridad. Como resultado, las interpretaciones de lo que se considera como información confidencial pueden variar significativamente de negocio a negocio y en la mayoría de los casos se maneja por arreglos contractuales. Por lo tanto, es importante para aquéllos que están implicados, o esperando estarlo en estas relaciones comerciales, el entender y aceptar qué información será mantenida en una base confidencial y si hay garantías u otras protecciones de que la entidad actualice sus prácticas y normativas para asegurar la exactitud e integridad de la información. La información que se proporciona a terceros es susceptible del acceso no autorizado durante la transmisión por Internet y mientras se almacena en los sistemas de la computadora del otro participante. Por ejemplo, la información del perfil del asociado comercial, transacciones e instrucciones de pago pueden ser interceptadas sin consentimiento por un tercero en el momento de transferirse por Internet. Sin embargo, si la información se encripta, es difícil para el intruso descifrarlo. Además, si el sistema de computación donde los datos se archivan no es protegido por un cortafuego y un sistema riguroso de controles de acceso, personas no autorizadas pueden obtener información confidencial. La Confidencialidad de WebTrust se enfoca en información confidencial obtenida como resultado del Comercio Electrónico entre asociados comerciales existentes o potenciales. El Principio WebTrust de Confidencialidad surge de un objetivo global para la confidencialidad de datos intercambiados por redes electrónicas como Internet o una Red Privada Virtual. La privacidad de información personal identificable se resguarda con el programa WebTrust de privacidad en línea. En el desarrollo de un examen WebTrust, el Auditor utiliza los criterios WebTrust como la base para evaluar si el Principio se ha logrado.



173

Alcance del Trabajo El presente Principio WebTrust se concentra en la información calificada de confidencial y obtenida en línea de los asociados comerciales como un preludio a o como resultado del Comercio Electrónico, donde tal información es combinada con otra reunida por diversos medios, sin embargo, el Auditor necesitará considerar las prácticas de confidencialidad de la entidad y los controles relacionados a tal información. Ejemplos de información sujeta a confidencialidad, incluyen:

• Dibujos y gráficos de Ingeniería • Planes de Negocios • Información bancaria acerca de los negocios • Disponibilidad de Inventario • Licitaciones o solicitudes de precios • Listas de precios • Documentos legales • listas de Clientes/usuarios • Ingresos por clientes/industria

Ejemplos de información personal identificable sujeta a privacidad, incluyen:

• Nombre, R.U.N. o R.U.T., dirección y número de teléfono de la casa • Número de seguro social (o equivalente en países fuera de los Estados Unidos) • Información bancaria acerca de los individuos • Información de salud • Ganancias o renta del funcionario • Historial de créditos individual

El Principio WebTrust de Confidencialidad El Criterio WebTrust El Criterio WebTrust se encuentra organizado en cuatro extensas áreas – Manifestaciones, políticas, procedimientos y monitoreo. Un formato de tres columnas se ha aplicado para presentar y discutir el criterio. La primera columna presenta el criterio - Los atributos que la entidad debe reunir para acreditar que ha cumplido el principio. La segunda y tercera columna proporcionan manifestaciones ilustrativas y controles sobre las transacciones de negocio-a-negocio, y para las transacciones aplicables a proveedores de servicios. Éstos son ejemplos de indicaciones que la entidad debería implantar y controles que conforman el criterio.

"La entidad manifiesta sus prácticas de confidencialidad, cumple con dichas prácticas de confidencialidad, y mantiene controles efectivos para proveer una razonable seguridad de que los accesos a la información obtenida como resultado del Comercio Electrónico, e identificada como confidencial, están restringidos únicamente a las personas autorizadas, grupos de individuos, o entidades en conformidad con las prácticas de confidencialidad manifestadas."



174

Para el propósito de este criterio, el término “asociados de negocios” o “socios de negocios” también incluye a individuos que pueden proveer información confidencial (que es diferente de información personal identificable) Los criterios incluyen en lo esencial lo siguiente Manifestaciones La entidad divulga las prácticas de confidencialidad en su sitio, incluyendo: cómo la información es designada como confidencial; tipo específico y procedencia de la información que es reunida y mantenida; cómo tal información es utilizada o podría utilizarse; posible distribución a terceros de la información; cómo la información confidencial puede ser analizada, corregida y eliminada; qué procedimientos se implementan ante brechas de confidencialidad; cómo las quejas de los clientes son resueltas; y cómo los clientes contactarán al sitio para soporte y consultas. Políticas, Metas y Objetivos La política de seguridad manifestada del sitio se orienta a la seguridad del sistema de Comercio Electrónico y a cualquier dato que es recolectado, incluyendo aspectos tales como: administración de la seguridad; acceso a los principios; responsabilidades; manejo de incidentes; y prueba y evaluación de software. Si el negocio asigna recursos a la seguridad y tiene un programa de capacitación para sus funcionarios. Las políticas de confidencialidad del sitio enfocadas a la responsabilidad del empleado, procedimientos de vigencia y pautas de retención de registros. Monitoreo y Medidas de ejecución El negocio mantiene procedimientos eficaces para: monitorear la seguridad de su sistema de Comercio Electrónico; actualizar su política de confidencialidad en conformidad con las leyes y regulaciones pertinentes; probar y actualizar su política de incidentes de seguridad; monitorear y resolver brechas de seguridad; establecer nuevos usuarios; identificar y autentificar a los usuarios autorizados; permitir a los usuarios modificar, actualizar y eliminar su información como usuario; y limitar el acceso remoto a personal autorizado. El sitio también tiene los controles para prevenir que individuos, grupos u otras entidades accedan a información confidencial de otra forma que la establecida, y protección del sistema para accesos no autorizados. Los principios que a continuación se mencionan no se encuentran aún operativos para la versión 3.0 del programa WebTrust. EL PRINCIPIO WEBTRUST SOBRE NO REPUDIACIÓN El principio WebTrust sobre el no repudio define políticas sobre acuerdos de complacencia entre las partes involucradas en una transacción, incluidos los privilegios de acceso, responsabilidades y medidas de verificación de autentificación e integridad de las transacciones y datos en general. Cubiertos bajo esta norma están:

• Registros accesibles. • Procedimientos para autentificar a usuarios autorizados.

"La entidad mantiene controles efectivos y los registros apropiados para proporcionar una razonable seguridad de que las condiciones y términos de las transacciones de clientes recibidas electrónicamente por la entidad pueden ser posteriormente verificadas y cumplen con las prácticas de no repudiación manifestadas”



175

• Controles para registrar la aprobación del otro participante en una transacción en línea.

• Resguardos contra usuarios no autorizados. • Establecimiento del responsable por las pérdidas o errores en las diferentes

fases del proceso de la transacción. EL PRINCIPIO WEBTRUST SOBRE MANIFESTACIONES PERSONALIZADAS Este principio debe ser implementado en conjunto con uno o más de los otros principios e indica que las manifestaciones especificadas por la entidad son consistentes con lo declarado, posee criterios apropiados y mensurables, y expone clara y apropiadamente lo pertinente al negocio de Comercio Electrónico. En lo principal incluye:

• Las divulgaciones especificadas de la empresa deben cumplir con las normas profesionales aplicables y ser pertinentes a su negocio de e-commerce.

• Controles eficaces deben asegurar que estas divulgaciones sean confiables y auténticas. Ejemplo de un control puede ser el número de visitas a un sitio de Web en una fecha específica.

• Información sobre el tamaño del negocio o popularidad del sitio Web.

Ante la situación del entorno del Comercio Electrónico, en el cual interactúan otros participantes que indirectamente influyen en el desempeño y gestión del negocio de la entidad, es que la familia de servicios WebTrust desarrolló programas especiales tendientes a regular y controlar actividades tan importantes como son el servicio proveído por las autoridades de certificación y los servicios proporcionados por un tercero, como es el caso de los proveedores de acceso a Internet. 3.3.12 PROGRAMA WEBTRUST PARA AUTORIDADES DE CERTIFICACIÓN El programa provee de una metodología a utilizar por los Auditores autorizados WebTrust para evaluar la suficiencia y efectividad de los controles empleados por las Autoridades de Certificación (Certification Authorities - CAs), ya que es imperioso continuar acrecentando la necesidad de que un tercero autentifique ciertos aspectos de las operaciones del Comercio Electrónico. Como resultado de la naturaleza técnica de las actividades involucradas en la seguridad de las transacciones del e-commerce, este programa también proporciona una breve apreciación global de la infraestructura de llave pública (PKI) utilizando criptografía, conceptos de la confianza a terceras partes, y su establecimiento cada vez más recurrente en los negocios electrónicos. Confidencialidad, autentificación, integridad, y no repudiación son los cuatro ingredientes más importantes requeridos para la confianza en las transacciones del Comercio Electrónico. La respuesta inmediata es la implementación de tecnología de PKI, debido a que utiliza certificados digitales y criptografía asimétrica para cumplir con los requerimientos planteados. La criptografía es fundamental para establecer la seguridad en el Comercio Electrónico. Sin embargo, tiene que estar acompañada con otras herramientas para proporcionar una comprensiva y extensa solución de seguridad. Varios protocolos criptográficos requieren certificados digitales (que son realmente credenciales electrónicas) emitidos por una tercera parte independiente de confianza (las AC) para autentificar la transacción. Las AC han asumido un rol importante dentro del Comercio Electrónico, que va en incremento. Aunque existen regulaciones a nivel de cada país, junto a normas internacionales, y estándares apropiados y guías para el uso de criptografía, administración de certificados digitales, y políticas y prácticas de AC, estas normas no han sido aplicadas o implementadas uniformemente. Con el objetivo de aumentar la confianza del consumidor en Internet, como un vehículo para realizar el Comercio Electrónico, y asimismo incrementar la adopción de tecnología basada en PKI, se desarrolló el programa para las Autoridades de Certificación. Las firmas de Auditoría y profesionales independientes, autorizados por



176

el AICPA/CICA, realizarán la labor brindando la seguridad de que al evaluar los servicios de una AC ellas cumplirán los principios y criterios del programa WebTrust. El sello WebTrust de confianza para las Autoridades de Certificación es una representación simbólica del informe positivo de un Auditor. Similar al sello WebTrust para el negocio B2C, indica también a aquellos que utilizan los certificados digitales (e información del estado del certificado) emitidos por la Autoridad de la Certificación, subscriptores y asociados, la posibilidad de que al hacer clic sobre el sello accedan al informe del Auditor. Este sello se desplegaría en el sitio Web de las AC junto con los links al informe del profesional y a otra información relevante. Es preocupante la situación derivada de la contratación de una AC que no cuente con las políticas y controles necesarios para su óptimo desempeño, pues una empresa puede poseer uno o varios de los sellos WebTrust y presentar conformidad con todos los principios, pero si la AC que le presta el servicio es deficiente le acarreará dificultades de toda índole. Los Principios y criterios WebTrust para Autoridades de Certificación se ajustan a estándares desarrollados por el American Nacional Standards Institute (ANSI) y el Internet Engineering Task Force (IETF). Comparación de un examen WebTrust para Autoridades de Certificación con el Informe de un Auditor de Servicios. Existen actualmente normas profesionales para que los Auditores controlen y emitan informes sobre los Proveedores de Servicios Terceristas (un compromiso del Auditor de servicios). Estas regulaciones no provienen del AICPA/CICA y por ello es que el programa WebTrust para Autoridades de Certificación, creado específicamente para este tipo de actividad, difiere del compromiso de un Auditor de servicios en varios aspectos, incluidos los siguientes: Propósito-WebTrust para las Autoridades de Certificación provee un nuevo sistema para informar las actividades de estas entidades a través de la comunicación del Auditor a las partes interesadas, incluidos socios de negocios y clientes potenciales o existentes. Objetivo de evaluación-WebTrust para Autoridades de Certificación se diseñó específicamente para examinar las actividades de negocios de estas entidades. Los informes de Auditores de servicios se diseñaron para las organizaciones de servicio en general. Tipo de compromiso-WebTrust para las Autoridades de Certificación requiere reportar en conformidad con los Principios y Criterios WebTrust para las Autoridades de Certificación. Los informes de Auditorías de servicios se diseñaron para reportar sobre la planificación y existencia de controles y el funcionamiento efectivo de estos controles cuando sea necesario por un período de tiempo. Normas de Examen-WebTrust para las Autoridades de Certificación se adhiere a las declaraciones en las Normas para los Compromisos de Certificación (Standards for Attestation engagements, EE.UU.) y Normas para los Compromisos de Seguridad (Standards for Assurance Engagements). Los informes de Auditores de Servicios se rigen por normas de Auditoría generalmente aceptadas. Amplitud de la actividad-WebTrust para Autoridades de Certificación abarca una amplitud de áreas específicas, incluyendo manifestaciones de las prácticas de negocios de las AC, integridad de servicio (incluyendo actividades de administración del ciclo de vida de la clave y del certificado), y controles del entorno de AC. Los informes de servicios de Auditoría se diseñaron para informar sobre los controles relacionados a la información financiera. Afinidad con estándares autorizados-WebTrust para las Autoridades de Certificación proporciona normas uniformes derivadas del proyecto ANSI estándar X9.79, (que próximamente se someterá a ISO para la estandarización internacional). Los estándares fundamentales de los informes del Auditor de Servicios no especifican los objetivos de control que deben ser cubiertos por el reporte. Período de cobertura de la revisión-WebTrust para las Autoridades de Certificación fomenta la continua actualización y verificación de los controles y normas requeridas para obtener y retener el sello. La AC califica después de que ha sido evaluada por un



177

período mínimo de dos meses, para luego someterse cada cierto tiempo a revisión con el fin de ratificar el uso del sello (actualmente la frecuencia es de máximo un año). El informe de un Auditor de Servicios cubre un período de tiempo determinado por la organización del servicio, pero no requiere una constante inspección. LOS PRINCIPIOS Y CRITERIOS WEBTRUST PARA LAS AUTORIDADES DE CERTIFICACIÓN Principios WebTrust para Autoridades de Certificación Divulgación de las prácticas de negocio de las AC

La Autoridad de Certificación divulga la gestión del ciclo de vida de su certificado y

clave y las prácticas de privacidad de la información y proporciona sus servicios en

conformidad con dichas prácticas.

La Autoridad de Certificación debe divulgar la gestión y administración del ciclo de vida del certificado y de la clave, además de sus prácticas de privacidad. La información relativa a las prácticas de negocios de la AC debe estar disponible para todos los suscriptores y para todos los participantes potencialmente confiables, generalmente se publica en su sitio Web. Tal manifestación puede estar contenida en una Política de Certificado (Certificate Policy, CP), y/o una Declaración de las Prácticas de Certificación (Certification Practice Statement, CPS), u otros materiales informativos que están disponibles a los usuarios. Integridad del Servicio

La Autoridad de Certificación mantiene controles efectivos para proporcionar

razonable seguridad de que:

• La información del subscriptor fue autentificada apropiadamente (por las

actividades de registro realizadas por la AC).

• La integridad de claves y certificados que administra es establecida y

protegida durante todo su ciclo de vida.

Procedimientos y controles para administrar eficientemente la clave son esenciales en la confiabilidad de la infraestructura de clave pública. Los procedimientos y controles en la gestión de la clave criptográfica comprenden la generación de la clave, su almacenamiento, respaldo y recuperación, distribución de la clave pública de la AC, custodia de la clave de la AC (opcional), uso de la clave, destrucción de la clave, el empleo del hardware criptográfico de la AC a través de su vida útil, y servicios de administración de las claves de subscriptores proveídas por la AC (opcional). Fuertes controles en la administración de su ciclo de vida son fundamentales para prevenir algún daño que pueda afectar la integridad de la infraestructura de clave pública. El ciclo de vida del certificado de usuario es lo elemental de los servicios proporcionados por la AC. La AC establece sus estándares y prácticas relativas a sus operaciones, las que serán informadas en las CPS y en las Políticas de Certificación. El ciclo de vida del certificado de usuario incluye lo siguiente:

• Registro (que implica la identificación y el proceso de autentificación relativo a vincular al subscriptor individual al certificado)

• Renovación de certificados (opcional) • Reintroducción de certificados • Revocación de certificados • Suspensión de certificados (opcional) • Publicación oportuna de información acerca del estado del certificado (A través

de Listas de Revocación de Certificados o algún formulario on-line que indique su condición)



178

• Administración de tarjetas de circuitos integrados (ICCs) receptoras de las claves privadas a través de su ciclo de vida (opcional)

Controles efectivos sobre el proceso de registro son esenciales para evitar procedimientos de identificación y autentificación deficientes que arriesguen la disponibilidad para subscriptores y participantes de confianza, que dependen de certificados emitidos por la AC. Métodos efectivos de revocación y la publicación oportuna de información acerca del estado del certificado son también elementos trascendentales, tales revelaciones son decisivas para los subscriptores y participantes a la hora de confiar o no en certificados expedidos por la AC. Controles del Entorno de la AC

La Autoridad de Certificación mantiene controles efectivos para proporcionar

razonable seguridad de que:

• La información del subscriptor y participantes de confianza está restringida

a individuos autorizados y protegida de usos no especificados en la

manifestación de las prácticas de negocios de la AC.

• Es mantenida la continuidad de las operaciones de administración del ciclo

de vida de la clave y del certificado.

• El desarrollo, mantenimiento, y funcionamiento de los sistemas de la AC

son apropiadamente autorizados y realizados para mantener la integridad

de los sistemas de la AC.

El establecimiento y mantenimiento de un entorno confiable es esencial para la veracidad de los procesos de negocios de la AC. Sin controles del entorno sólidos ocurrirá una severa disminución en el valor de los controles de administración del ciclo de vida de certificados y claves, a pesar de que sean muy exigentes y consistentes. Los controles del entorno de AC incluyen CPS y Administración de CP, gestión de la política de seguridad, administración de la seguridad, clasificación y administración de recursos, seguridad del personal, seguridad física y ambiental de la AC, administración de las operaciones, administración de los accesos al sistema, desarrollo de sistemas y mantenimiento, gestión de la continuidad del negocio, monitoreo y conformidad, y eventos diarios. Criterio WebTrust para Autoridades de Certificación Para proporcionar una guía más específica sobre los principios es que se han desarrollado los Criterios WebTrust para Autoridades de Certificación. Éstos proporcionan una base contra la cual una AC puede efectuar una auto-evaluación para medir la concordancia con ellos y mantener un conjunto coherente de criterios mensurables para que los Auditores los puedan utilizar en pruebas y evaluaciones de las prácticas de la AC. Los Criterios WebTrust para Autoridades de Certificación se concentran en tres principios- Divulgación de las Prácticas de Negocios de la AC, Integridad de Servicio incluyendo controles a la administración del ciclo de vida de la clave y del certificado, y controles del entorno de la AC. Dentro de cada principio, hay una serie de criterios que la Autoridad de Certificación debe cumplir. Dependiendo del alcance de servicios proporcionados por la AC, varios criterios no pueden ser aplicables. Aquellos criterios que son considerados opcionales, dependiendo de si la AC provee servicios relacionados, son: Custodia de claves, renovación del certificado, suspensión del certificado, uso de tarjetas de circuito integrado (ICCs), y la provisión de servicios de administración de la clave del suscriptor. Si cualquiera de estos servicios es suministrado por la AC, entonces el criterio es aplicable y debe ser puesto a prueba por el Auditor. Si cualquiera de estos servicios no es proporcionado por la AC, el criterio no es aplicable y ninguna modificación al informe modelo del programa es necesaria. En algunas situaciones, algunos servicios de AR (Autoridad de Registro) son realizados



179

por terceros que no están bajo la dependencia directa de la AC, no son supervisados por ellos, y por consiguiente las actividades que los vinculen no son incluidas en el examen a la AC, en estas circunstancias el informe normal debe modificarse para especificar la exclusión de las actividades específicas de la AR. Esto puede lograrse por la referencia a las manifestaciones de práctica de negocio de la AC en que se especifica qué actividades de la AR no controla. Los Criterios WebTrust incluyen en lo esencial lo siguiente Manifestaciones La AC manifiesta sus prácticas comerciales y procedimientos, inclusive aquellos contenidos en su Declaración de Prácticas de Certificación y Políticas del Certificado para el servicio de AC que ofrece, éstos incluyen: Información de contacto de la AC; distribución de obligaciones y riesgos; responsabilidad financiera; interpretación y ejecución; aranceles del servicio; indemnizaciones; relaciones del fiduciario; procedimientos de resolución de conflictos; requisitos de Auditoría de la AC; obligaciones de la AC y de la AR; condiciones de almacenamiento y características del certificado y de la clave; obligaciones del subscriptor y de los participantes de confianza; controles a la seguridad física; procedimientos de respaldo, almacenamiento y recuperación del suministro, y otros controles acerca del ciclo de vida del certificado y de la clave. Integridad de servicio La AC mantiene eficaces controles y procedimientos con respecto a: La integridad de la generación, almacenamiento, respaldo y recuperación de la clave de la AC; distribución y uso de la clave del subscriptor; controles sobre el hardware criptográfico de la AC; y controles del ciclo de vida del Certificado, incluyendo el registro, emisión, vencimiento, renovación de la clave, procedimientos de revocación y listas de revocación. Controles del Entorno La AC mantiene eficaces controles y procedimientos con respecto al entorno donde participa para proporcionar la seguridad de que: una apropiada política de seguridad se está utilizando; responsabilidades y procesos para la protección de la información del cliente se han definido claramente; métodos de control de acceso físico y lógico existen y son obedecidos; el acceso físico a los sistemas de la AC se limita apropiadamente a los individuos autorizados; la AC se protege de los riesgos del entorno; la AC proporciona razonable seguridad de que la pérdida, daño o compromiso de los recursos e interrupción de las actividades comerciales se previenen; y el sistema es protegido contra fallas, virus, daños, estafas y acceso no autorizado. 3.3.13 PROGRAMA WEBTRUST PARA PROVEEDORES DE SERVICIOS Está llegando a ser cada vez más común que los clientes Web (por ejemplo, tiendas de catálogos Web, tiendas en centros comerciales electrónicos virtuales, o sitios Web de subastas) confíen en un Proveedor de Servicios Tercerista (Third-party Service Provider, TPSP), como lo es un Proveedor de Servicio de Internet (Internet Service Provider, ISP) o un abastecedor de hospedajes Web (Web-hosting), para realizar algún proceso y administrar la seguridad relacionada al sitio. En esta situación, ciertos servicios, como el Web hosting, operaciones, y pago, son traspasados y ejecutados por los TPSP. No es inhabitual para un TPSP hospedar y organizar varios Website de clientes en los servidores que administra. Estas condiciones posiblemente causarían dificultades para un cliente Web que quiera obtener un informe WebTrust sobre su sitio. Pueden existir ciertos controles que se necesitan satisfacer de acuerdo al criterio WebTrust recayendo la responsabilidad principal sobre el TPSP o bien puede ser una responsabilidad compartida entre el TPSP y el cliente. La tabla presentada a continuación expone los principios afectados por la actividad del TPSP.



180

Servicio del TPSP Principios WebTrust afectados Hospedaje

Seguridad, privacidad, confidencialidad y disponibilidad

Conectividad Disponibilidad

Administración del contenido Web

Todos los principios (manifestaciones afectan a todos los principios)

Pago Seguridad, privacidad, confidencialidad e Integridad de la Transacción

Procesos y operaciones Integridad de la transacción, seguridad, privacidad y confidencialidad

Abastecimiento de aplicaciones Integridad de la transacción, privacidad, seguridad, disponibilidad y confidencialidad (todos los principios)

Para determinar que la organización que solicita un examen WebTrust reúne el Criterio, el practicante de WebTrust requerirá el cumplimiento de los controles pertinentes al TPSP. Ante la situación de que varios clientes utilicen los servicios de un TPSP, el Auditor requerirá visitarlo para realizar una evaluación y pruebas a los controles implementados por el TPSP para sus clientes Web. Tal visita será necesaria para comprobar los controles relativos al TPSP destinado a satisfacer los Criterios WebTrust para el cliente. Es poco probable que el TPSP acepte estas condiciones de ser auditado a petición de un cliente. Como resultado, sería preferible para el practicante de WebTrust auditar mediante solicitud directa del TPSP lo cual incrementaría la confianza para todos los clientes Web. El programa WebTrust para TPSP se divide en dos secciones, la primera proporciona la normativa referente a los exámenes realizados al TPSP cuyo propósito declarado es el de proporcionar la confianza necesaria a los clientes de WebTrust y a sus Auditores con respecto a los controles de servicios de terceros. Incluye lo siguiente:

• Objetivos del informe • Usuarios del informe • Normas y otras consideraciones • Independencia, y requisitos profesionales • Carta de compromiso, planificación, y carta de representación • Período de cobertura • Bases para calificación de informes para TPSP

La segunda sección de este programa proporciona la guía al Auditor de WebTrust en los juicios profesionales que necesita, para decidir:

• Si acepta un compromiso cuando los controles relevantes para cumplir tal criterio son proveídos por un TPSP.

• Si debe confiar en la labor realizada por otro Auditor. • El formato y contenido del informe del Auditor de WebTrust en estas

circunstancias. • La naturaleza y alcance de procedimientos a ser implementados al confiar en la

labor desarrollada por otro Auditor. DEFINICIONES Para los propósitos de la normativa para TPSP las siguientes definiciones son utilizadas para identificar las distintas organizaciones y entidades relacionadas con el Comercio Electrónico, cuyas actividades están sujetas a los servicios WebTrust:

• El Practicante de WebTrust es el contador público certificado ( Certified Public Accountant, CPA) o contador público ( Chartered Accountant, CA) quién ha sido autorizado por el AICPA o CICA u otro instituto nacional autorizado para realizar los servicios de WebTrust.



181

• El cliente de WebTrust es una organización comprometida en actividades del Comercio Electrónico que desea ser examinada por un practicante de WebTrust. El cliente de WebTrust es responsable de la implantación, implementación y mantenimiento del negocio y procedimientos y técnicas apropiadas para el cumplimiento del Criterio WebTrust.

• El consumidor en WebTrust es el comprador del cliente de WebTrust. Es

comprador de bienes y servicios, o productos financieros proporcionados en el Comercio Electrónico por cuenta del cliente de WebTrust.

• El proveedor de servicios Tercerista (TPSP) es una organización contratada por

el cliente de WebTrust para realizar servicios y/o actividades específicas, las cuales son ejecutadas (de acuerdo con las expectativas documentadas) y requeridas en conformidad con los procedimientos técnicos y de negocios del cliente para acatar los criterios WebTrust. Ejemplos comunes de este servicio es el de hospedaje de sitios Web y otras labores técnicas para clientes potenciales.

Descripción de Servicios Proporcionados por TPSP Un proveedor de servicios proporciona apoyo a las actividades de Comercio Electrónico de organizaciones que ofrecen productos o servicios, a través de Internet, para la venta o contratación en un modelo de negocios virtual. En general, estas entidades proveen todo un servicio de infraestructura para establecer y enfocar a la empresa en aspectos y actividades de e-commerce. Incluyen dentro de sus servicios las actividades siguientes:

• Diseño de la página Web, desarrollo, y asistencia de mantenimiento • Creación, configuración e implementación del software de compra y pago que

permitan al cliente realizar las actividades de Comercio Electrónico específicas por Internet.

• Toda mejora a los sistemas de aplicación, su modificación, y pruebas. • Adquisición del servidor Web, configuración e implementación. • Continuidad y actualización del servidor Web, configuración y mantenimiento de

tecnología compatible. • Entrega del servicio de Internet para el Comercio Electrónico y usos generales. • Conectividad de comunicaciones completamente desde Internet para las

aplicaciones de procesamiento de clientes. • Seguridad de las Telecomunicaciones. • Configuración de Firewall de Internet, su mantenimiento y monitoreo. • Mantenimiento de la seguridad del entorno del proceso de Comercio Electrónico. • Mantenimiento de la confidencialidad (privacidad) de la información del cliente

ESTUDIO DE CASOS ILUSTRATIVOS Caso de estudio B2C (negocio a consumidor) El primer caso de estudio es un ejemplo de negocio B2C. RetailJoe.com es un prestigioso negocio especialista en electrónica. RetailJoe.com ha contactado a una firma de Auditores WebTrust para conducir un examen que le permita recibir el sello de protección al consumidor WebTrust (que incluye los principios de privacidad WebTrust y el de Integridad en las transacciones y prácticas de negocios) así como también un sello de Seguridad. RetailJoe.com es hospedado por un TPSP, NoWallsMall.net, que realiza la mayoría de los servicios de Comercio Electrónico en nombre de sus clientes, incluso el reparto de sus productos. RetailJoe.com es responsable de la información de sus mercancías y la fijación de precios; del resto de sus operaciones, incluyendo la



182

gestión de la página Web, se ocupa NoWallsMall.net a través de sus sistemas. NoWallsMall.net es examinado por un Auditor de TPSP. El contrato de servicio firmado por las dos entidades manifiesta que cualquier evidencia de Auditoría requerida por RetailJoe.com con respecto a los controles y operaciones ejercidas por NoWallsMall.net será normalmente proporcionada por su Auditor WebTrust de TPSP. El propósito de un examen al TPSP es satisfacer las necesidades de la mayoría de las organizaciones clientes de NoWallsMall.net, independientemente si ellos también desean una Auditoría particular de WebTrust. En este ejemplo, el cliente de WebTrust considera que la privacidad, la integridad de las Transacciones y la seguridad son las preocupaciones más significativas que podrían mitigarse mediante un examen de WebTrust. NoWallsMall.net está proveyendo servicios similares a varias de sus empresas hospedadas. La labor del Auditor de TPSP respecto a la privacidad, integridad de las transacciones, y seguridad contribuirían a la motivación necesaria para que aquellos negocios de hospedaje Web obtengan cada uno de los informes WebTrust relacionados y los sellos WebTrust correspondientes. Caso de Estudio B2B (negocio a negocio) El segundo caso de estudio involucra el negocio B2B, BtwoBExchange.org facilita las transacciones de negocio-a-negocio entre varios proveedores de componentes electrónicos y clientes. BtwoBExchange.org se ha contactado con Auditores WebTrust para conducir un examen que le permita recibir un sello WebTrust de Confidencialidad. BtwoBExchange.org es hospedado por un TPSP, OuiBServices.com que se ocupa de las transacciones de intercambio y pagos relacionados a través de sus sistemas de soporte. BtwoBExchange.org es responsable de la administración del sitio Web y de otros aspectos del comercio de intercambio, incluyendo el mantenimiento de información de crédito relevante para los participantes de las transacciones previo a consumarse la transacción con los socios comerciales. OuiBServices.com es examinado por un Auditor de TPSP. El contrato de servicio firmado por las dos entidades que intervienen señala que la evidencia requerida por BtwoBExchange.org con respecto a los controles y las operaciones ejecutadas por OuiBServices.com generalmente será proporcionado por su Auditor de TPSP. El propósito de un examen al TPSP es satisfacer las necesidades de la mayoría de las organizaciones atendidas por OuiBServices.com, independientemente si ellos también desean una Auditoría particular de WebTrust. En este caso, el cliente de WebTrust considera que la Confidencialidad es la preocupación más importante que podría ser aliviada mediante una Auditoría de WebTrust. OuiBServices.com suministra servicios similares a varias de las compañías hospedadas. La labor del Auditor de TPSP respecto a la Confidencialidad motivaría para que aquellos negocios de hospedaje Web consideraran las ventajas de obtener el sello WebTrust correspondiente. Ante todo, el Auditor debe estar en una posición de considerar la naturaleza y magnitud de los servicios proporcionadas por el TPSP y cómo sus controles pudieran interrelacionarse con aquellos del cliente de WebTrust. OBJETIVOS DEL INFORME DE AUDITORIA EN UN TPSP El objetivo principal del informe de un Auditor de TPSP es proporcionar la seguridad y confianza independiente, a los usuarios y practicantes, en lo que respecta a si la Gerencia ha descrito apropiadamente los controles relativos al TPSP que afectan a un



183

cliente WebTrust y si estos controles han sido probados, en todos los aspectos, operando eficazmente durante el período especificado basado en el Criterio WebTrust. Otro objetivo es proveer evidencia de Auditoría que pueda ser utilizada por el practicante de WebTrust como apoyo en una valoración de los controles del cliente al realizar un examen de WebTrust. El Auditor de TPSP debe asumir que el informe se usará para ambos propósitos y por consiguiente, determinará que la descripción de los controles, destinados al ámbito del examen, sea clara, completa, y no engañosa para los usuarios del informe de TPSP. USUARIOS DE INFORMES DE TPSP El siguiente cuadro resume las necesidades básicas de los usuarios de informes de TPSP.

Usuario Necesidad Primaria

La Gerencia del Cliente de WebTrust (RetailJoe.com y BtwoBExchange.org)

Una evaluación independiente de la confiabilidad de los controles relativos a los servicios de TPSP contratados, para ser utilizados como una base para la confirmación de la Gerencia con respecto a un entorno de control integral.

EL Practicante WebTrust (Auditor de WebTrust)

Evidencia de Auditoría para asistir en el examen del cliente WebTrust

La Gerencia de TPSP (NoWallsMall.net y OuiBServices.com)

Una evaluación independiente empleando un conjunto de criterios aceptados resultando en observaciones y recomendaciones para la optimización del control interno.

Período de Cobertura de exámenes e informes de TPSP La frecuencia de Auditorías e informes efectuados al TPSP se asocia directamente con las necesidades de los clientes WebTrust del TPSP. El máximo intervalo entre la actualización de la revisión es de seis meses, para que el período de Auditoría del TPSP concuerde con la frecuencia establecida por los clientes de WebTrust individuales. Es probable que los clientes de WebTrust se motiven a adoptar ciclos de examen que apoyarían la información óptima del TPSP (probablemente semestral). El informe de TPSP no puede ser solamente un reporte del diseño y existencia de procedimientos de control. Esto no satisfaría la necesidad del criterio de cobertura continua y alcance del practicante de WebTrust. El período de tiempo cubierto por el examen del TPSP es crítico para el Auditor de WebTrust en la valoración de la relevancia del informe mismo. El período de cobertura de la información del TPSP, debe, como se había mencionado, idealmente debe coincidir con la frecuencia establecida por los clientes de WebTrust individuales. Como el intervalo del período cubierto por el informe del Auditor de TPSP y el período cubierto por el informe del Auditor de WebTrust se prolonga, existiría un mayor riesgo para el practicante de WebTrust al encontrarse, probablemente, con cambios en los controles del TPSP que podrían impactar en el cliente de WebTrust. Este riesgo adicional tendría que ser aceptado o reducido a un nivel aceptable por el Auditor de WebTrust. El período de cobertura del informe de TPSP debe abarcar una porción considerable (más del 50%) del período informado a nivel de cliente WebTrust. Este período tendrá que considerar el tiempo requerido por el practicante de TPSP para completar el examen y conferir el informe de TPSP. Uno de los factores que necesita ser considerado al hacer esta valoración es el procedimiento del cliente para identificar los cambios. Es importante que el cliente de WebTrust implemente un adecuado proceso en el sitio para reconocer las variaciones en los controles del TPSP y medir su impacto.



184

3.3.14 EL SELLO WEBTRUST Obtención Para obtener el sello WebTrust de confianza, la entidad debe cumplir con el (o los) Principio(s) y criterios asociados a cada uno de ellos. Adicionalmente, la entidad debe, (1) contratar a un practicante (Auditor), que posea una licencia comercial WebTrust emitida por el AICPA o CICA; u otro instituto nacional de Contabilidad o firma Internacional de Auditoría autorizada para proporcionar el servicio WebTrust y, (2) obtener un informe sin salvedades de tal practicante.

Mantenimiento Una vez que el sello es obtenido, la entidad podrá continuar desplegándolo en su sitio Web con la condición de que se realice lo siguiente: 1. El practicante actualiza su examen de confianza de acuerdo a una periodicidad

regular. La entidad debe continuar obteniendo un informe sin salvedades del tal practicante. El intervalo entre tales actualizaciones dependerá de materias tales como las siguientes:

• La naturaleza y complejidad de las operaciones de la entidad. • La frecuencia de cambios significativos a sus declaraciones, políticas, y

controles. • La efectividad relativa de la entidad en el monitoreo y control de la

administración de cambios para asegurar la conformidad continua con los principios y criterios WebTrust, así como tales modificaciones son realizadas.

• El juicio profesional del practicante.

Por ejemplo, podría requerirse con mayor frecuencia una actualización para una institución financiera que realiza en su sitio Web, en constante innovación, un alto número de transacciones confidenciales que para una tienda online minorista que vende peluches personalizados utilizando un sitio Web que ocasionalmente cambia. Bajo ninguna circunstancia el intervalo entre las actualizaciones excederá los seis meses y este intervalo puede ser considerablemente más corto. A fin de proporcionar una cobertura continua y retener el sello, el período cubierto por los informes de actualización debe empezar con el fin del período anterior o el comienzo del período con el informe inicial emitido en esta versión de WebTrust.

2. Durante el período entre las actualizaciones, la entidad debe comprometerse a

informar al practicante de (1) cualquier cambio significativo en sus políticas,



185

prácticas, procesos, y controles, especialmente si tales modificaciones incidieran en la capacidad de la entidad para continuar cumpliendo los principios y criterios WebTrust correspondientes, o (2) la manera en que ellos se cumplen o la imposibilidad de acatarlos. Tales cambios pueden activar la necesidad de una actualización anticipada o, en algunos casos, la remoción del sello hasta que un examen para restablecerlo pueda ser ejecutado por el Auditor. Si el profesional se percató de tal situación, determinará si un examen de actualización demandará ser realizado y si el sello necesitará ser removido hasta que el examen se complete, y el Auditor lo renueve emitiendo el informe respectivo.

Proceso de Gestión El sello WebTrust de confianza será gestionado por un Administrador de sellos, acorde a lo siguiente:

• La autoridad licenciadora autentifica a los Auditores de WebTrust y establece una identificación (ID) y contraseña para cada practicante.

• Cuando el practicante está preparado para emitir un sello WebTrust, contactará a la autoridad que otorga las licencias. Mediante el pago de una cuota de registro, el practicante recibe IDs y contraseñas únicas para cada servicio. El Administrador de sellos asigna éstas al practicante en pares. Un grupo le permite al practicante leer y escribir hacia el servidor seguro y el otro habilita a la entidad cliente para contemplar con antelación la presentación. La cuota de registro es una cantidad anual determinada por la autoridad licenciadora.

• El practicante sitúa un bosquejo del informe de Auditoría y las declaraciones de la Gerencia en el sitio de previsualización del servidor seguro.

• El Administrador de sellos luego entrega una copia gráfica del sello WebTrust a la entidad con los links (vínculos, enlaces) apropiados al sitio de la previsualización. La notificación del otorgamiento es proporcionada al practicante.

• Cuando el practicante determina que el sello puede activarse le solicita al Administrador de sellos que transfiera la información del sitio de previsualización al sitio WebTrust activo para permitir el acceso público. El practicante informa al Administrador de sellos la fecha de expiración del servicio (es decir, la fecha en la que termina el contrato WebTrust y por lo tanto el sello debe ser renovado, período que normalmente es de seis meses).

• El sello permanece válido por el lapso proporcionado por el practicante más un período de gracia de un mes, a menos que sea removido por alguna causa. El período de un mes es con el fin de procurar tiempo suficiente para completar el compromiso subsiguiente y otros detalles pendientes. (Por ejemplo, si el sello expira el 30 de junio del xxxx, el practicante tiene treinta días para terminar los detalles irresueltos y preparar los nuevos documentos por designar con el Administrador de sellos. El próximo período del examen comienza el 1 de julio del xxxx.)

• Si el practicante determina que el sello debe ser removido del sitio Web de la organización, informará inmediatamente a la entidad y requerirá la eliminación del sello. El practicante entonces notificará al Administrador de Sellos para quitar toda información relevante desde el sitio WebTrust activo y reemplazarlo por una declaración de que el sello WebTrust para este sitio ya no está vigente y por ende no es válido.

• El Administrador de Sellos notificará al practicante treinta días antes del vencimiento de la renovación del sello. El Administrador puede revocar los sellos si la cuota de registro para el sello está impaga o por otra causa que lo amerite.



186

Autentificación Para verificar que el sello desplegado en un sitio Web es auténtico, el cliente puede:

• Hacer “clic” en el sello. El cliente inmediatamente será enlazado, a través de una conexión segura, a una página de verificación del sello WebTrust hospedada por el Administrador de Sellos. Esta página identifica a la entidad y confirma que el sitio está facultado para ostentar el sello WebTrust. También incluye: El informe del practicante y las Declaraciones de la Gerencia (si procede), así como los vínculos (links) al correspondiente Principio, y a otra información relevante.

• Acceder a la lista de entidades que han recibido un sello WebTrust, la cual es

mantenida por el Administrador de Sellos en www.WebTrust.org/list.htm. Una entidad es incluida en esta lista cuando el sello es emitido. Debido a que el sello puede extenderse para uno, o alguna combinación, de los Principios WebTrust, la lista también identificará los Principios específicos por los cuales el sello WebTrust se ha expedido.



187

Remoción Las causas por las cuales una página puede dejar de exhibir el Sello son dos:

• Incumplimiento de los Principios y Criterios WebTrust.

• No revisión de la página en el período acordado (cada 6 meses como máximo).

Tipos de Sellos Existen varias clases de servicios WebTrust que una entidad podría requerir, siendo el Auditor quien los emprenderá. Los tipos de servicios relacionan a varios de los Principios WebTrust, definiendo servicios agregados y programas WebTrust especializados. WebTrust proporciona un enfoque modular utilizando siete diferentes principios - privacidad, seguridad, disponibilidad, prácticas de negocios/integridad de las transacciones, confidencialidad, la no-repudiación, y disposiciones específicas. Es posible para el cliente solicitar por separado un examen WebTrust que involucre uno o alguna combinación de los principios. Obteniendo un informe favorable en cualquier principio o una combinación de ellos, excepto las disposiciones específicas aisladamente, habilita a un cliente para recibir el sello WebTrust. En un servicio que incluya al principio de disposiciones específicas, un sello WebTrust sólo puede obtenerse cuando es combinado con uno o más principios adicionales. Además de los sellos relacionados a los principios individuales, algunos programas de WebTrust especiales pueden producir sellos WebTrust específicos.

1.- Sello Genérico – Expedido para uno o una combinación de los Principios y Criterios de Seguridad, Prácticas de Negocio e Integridad de las Transacciones, Confidencialidad, Disponibilidad y No Rechazo.

2.- Sello de Privacidad – Expedido para las organizaciones que cumplan los Principios y Criterios de Privacidad on-line. 3.- Sello Protección al Consumidor – Expedido para aquellas entidades que cumplan los Principios y Criterios de Privacidad y Prácticas de Negocio e Integridad de las Transacciones. 4.- Sello para Autoridades de Certificación – Expedido para aquellas entidades que cumplan los Principios y Criterios específicos para Autoridades de Certificación.

5.- Sello para Proveedores de Servicios – Se expendirá a entidades que cumplan con los módulos requeridos para Third-Party Service Provider (TPSP).



188

3.3.15 LOS INFORMES DE AUDITORIA WEBTRUST Referencia a los Principios y Criterios en el informe del Auditor Es probable que en la mayoría de los casos, un Auditor requerirá realizar un informe para uno o más principios WebTrust y sus criterios relacionados, en lugar del grupo completo de siete principios. Hay dos alternativas para referirse a los principios WebTrust cuando el alcance de un examen efectuado incluye uno o más, pero no a todos ellos. Dependiendo de la alternativa seleccionada, el párrafo introductorio del practicante diferirá. Como primera opción, el practicante en el párrafo introductorio hará la referencia a los principios incluidos en el ámbito del examen y realizará una declaración adicional indicando que ellos son parte de los Principios y Criterios WebTrust del AICPA/CICA (con un link a los principios WebTrust apropiados). Esta información permite que el usuario sea consciente de la existencia de Principios WebTrust adicionales y de que el conjunto total de Principios no está incluido en el alcance del examen. Los Auditores normalmente preferirán declarar lo que ellos han efectivamente auditado, en lugar de detallar lo que no se ha examinado. Como resultado, esta alternativa puede ser menos atractiva que la que se señala en el siguiente párrafo. Como segunda opción, el practicante, en el párrafo introductorio, hará la referencia a los principios incluidos en el alcance de examen pero no efectuará ninguna declaración adicional denotando que el grupo completo de Principios no está incluido. Sin embargo, debe agregarse un hipervínculo a la totalidad de los Principios y Criterios WebTrust desde la Página de validación del Sello, la cual el usuario presencia después de hacer clic en el correspondiente Sello. El practicante podrá convenir con el cliente un formato preferido para el informe antes de su ubicación en el Website (previsualizarlo). Informes por múltiples principios Cuando el cliente le solicita al practicante, en su conformidad, examinar e informar de dos o más principios WebTrust y sus criterios relacionados, hay varios asuntos que debe considerar. Informe Individual o Combinado Para el propósito de este análisis, se asumirá que al practicante se le ha requerido para informar, en conformidad del cliente, sobre tres Principios y sus Criterios: Seguridad, Privacidad, y Confidencialidad. El primer dilema es decidir si esto representa (1) un compromiso para examinar tres principios o (2) tres compromisos que examinan un principio cada uno. Esto puede afectar, entre otras materias, la carta de compromiso, el contenido y número de cartas de representación y si se emitirá un informe de Auditoría o múltiples informes de Auditoría. Una Auditoría de WebTrust para principios múltiples puede realizarse como un solo compromiso que involucra esos tres principios o como tres compromisos separados que involucran un principio cada uno. En cualquier caso, el informe del practicante debe comunicar claramente la naturaleza del servicio. Es posible que surjan complicaciones cuando un informe favorable es apropiado para uno o más principios, pero no para los tres. En esta situación, el practicante tomará la decisión más apropiada de acuerdo a la normativa WebTrust, resolviendo no extender un informe sobre el principio no cumplido. Para asegurar un acuerdo claro sobre esta materia con el cliente, la carta de compromiso debería incluir la frase: "un informe puede o no puede emitirse.", dependiendo del resultado de la Auditoría. El Cliente no reúne los requisitos en la aplicación del Principio En un compromiso de principios combinados puede ocurrir que la entidad no reúna las exigencias, en todos los aspectos esenciales, de los criterios asociados a cada uno de los múltiples principios. Si uno o más criterios no se han cumplido, conlleva a la no satisfacción del principio por lo que el Auditor no podría emitir un informe favorable. La normativa del CICA y del AICPA al respecto, indica que es posible extender un informe



189

no favorable o adverso, sin embargo, rigiéndose por las mismas normas lo adecuado sería que el Auditor emitiera una reserva de opinión cuando uno o más criterios no se han reunido. Ante la situación donde, por ejemplo, la entidad no satisface el Principio de confidencialidad pero sí los de seguridad y privacidad, el Auditor, dependiendo de cómo el compromiso fue estructurado, tiene las siguientes opciones disponibles: 1.Emitir un informe que contenga los tres principios. Ya que el reporte no sería

favorable, ningún sello WebTrust se otorgaría. Dado que esta alternativa haría sumamente probable que el cliente no lograra su objetivo de obtener un sello WebTrust, el practicante debe considerar la próxima opción.

2.Emitir informes múltiples (por ejemplo, dos reportes), con la segregación del

principio de confidencialidad en un informe aislado. Los otros dos principios tendrían una opinión favorable, que como consecuencia permitiría a la entidad obtener el sello WebTrust. El Auditor entonces puede presentar un informe adverso separado para confidencialidad o no aceptar (o abandonar) este compromiso. En ambos casos, indicará recomendaciones a la Gerencia sobre cómo las deficiencias podrán ser corregidas. El impacto de estas debilidades en la confidencialidad necesitará ser evaluado para determinar su efecto, cualquiera sea, en los otros principios.

3.(Solamente en Canadá) Emitir informes múltiples, con la segregación del principio de

confidencialidad en un informe aislado. En esta circunstancia, la Gerencia modifica su declaración para manifestar que no reúne las formalidades que demanda el principio de confidencialidad. Como resultado, podría obtener un informe favorable; no obstante, como se discute aquí, el practicante debe dar énfasis a este recurso refiriéndose a él en el párrafo que contiene la conclusión y describirlo en un enunciado separado posterior a esta conclusión. Un sello WebTrust se emitiría para la privacidad y seguridad cumpliendo el cliente con estos principios.

Esta última alternativa, aunque permisible bajo las normas canadienses actuales, probablemente resultaría muy confusa para cualquier lector. La opción (2) sería la elección más aceptable si la entidad requiere de un informe cuando un principio no ha sido satisfecho. La situación más apropiada, por lo tanto, es dónde el practicante trata cada principio como un servicio independiente (opción 2), con cartas de compromiso separadas. El informe inicial El procedimiento en la emisión de un informe WebTrust es similar a cualquier compromiso contraído, independiente del Principio, ya que antes de que un Auditor pueda dar una opinión, es primordial obtener material de evidencia suficiente y competente. Para todos los criterios, es necesario un volumen de transacciones adecuado y otros procedimientos y controles para proporcionarle al Auditor la evidencia requerida. El profesional debe validar la Declaración de la Gerencia sobre el cumplimiento de las prácticas manifestadas y la efectividad operacional de sus controles, dentro de un período de comprobación apropiado (un período de pruebas) que le proporcione la evidencia suficiente para permitirle emitir un informe. El período sobre el cual el Auditor realizará las pruebas es una cuestión de juicio. Por ejemplo, el período de tiempo en el cual el practicante necesitará realizar pruebas de control, para determinar que éstos operan eficazmente, variará con la naturaleza de los controles analizados, con la frecuencia con que ellos se ejecuten y cómo las políticas específicas sean aplicadas. Algunos controles funcionan continuamente mientras otros sólo operan en ciertos momentos. La extensión de tiempo durante la cual el practicante necesitará efectuar las pruebas, para proporcionar la certidumbre de que la entidad cumplió con sus prácticas manifestadas, será condicionada por la naturaleza de las prácticas y la frecuencia y suficiencia de la evidencia. Por ejemplo, si una entidad declara que acatará una práctica definida al final de cada mes, la evidencia sólo existirá al final de cada mes. Consecuentemente el practicante debe determinar que el período de la revisión necesitará abarcar más de un término de mes para obtener la evidencia suficiente. El Auditor de WebTrust, además de considerar las pautas anteriormente descritas, debe aplicar las normas relevantes con respecto a la redacción de los informes, cumpliendo de esta forma con las exigencias impuestas en el mismo programa.



190

La duración del período inicial de revisión debe ser determinada por el juicio profesional del Auditor basado en los factores expuestos en la siguiente tabla: Consideraciones para la aplicación de un

período inicial breve Consideraciones para la aplicación de un

Período inicial extenso • Clientes a quienes ya se le ha

realizado la verificación de controles

• Sitios establecidos, con un volumen pequeño de transacciones

• Operaciones que experimentan cambios poco frecuentes a sus manifestaciones, políticas y controles relacionados

• Inicio de operaciones con significativos volúmenes de transacciones y condiciones propias de un funcionamiento normal esperado durante la pre-implementación del período de prueba por el Auditor; y al existir una transición hacia un sitio Web que anticipe modificaciones no habituales en las políticas y controles, una vez que se encuentre operacionalmente activo

• Inicio de operaciones que no ha generado, durante las fases de pre-implementación, suficiente volumen de transacciones y condiciones típicas de operaciones normales esperadas

• Operaciones que experimentan un gran volumen de transacciones

• Complejidad de operaciones • Operaciones que experimentan

frecuentes cambios a sus manifestaciones, políticas y controles relacionados o eventualidades significativas que impidan el cumplimiento con tales manifestaciones, políticas y controles relacionados

Una vez que el sello WebTrust es obtenido, la entidad podrá continuar desplegándolo en su sitio Web por un período determinado por el practicante (que no debe exceder de seis meses sin renovación), a condición de que la entidad cumpla con los criterios y principios WebTrust. Consideraciones al restaurar un Sello WebTrust removido Una entidad puede restaurar el Sello WebTrust luego de que un evento significativo causara el incumplimiento de los criterios (ocasionando la remoción del informe del Auditor y del Sello WebTrust desde el sitio de la entidad). Es importante que la Gerencia considere divulgar a los usuarios la naturaleza del evento significativo que originó la situación de "no conformidad" y las medidas aplicadas para remediar tal condición. La entidad revelará el evento en su sitio Web o como parte de la declaración de Gerencia (Management Assertion). Asimismo, antes de emitir un nuevo informe, el practicante debe considerar la relevancia del suceso, las acciones correctivas relacionadas, y si una difusión apropiada ha sido efectuada. El Auditor también decidirá si esta materia debe ser (1) divulgada como parte de la Declaración de la Gerencia, (2) Enfatizada en un párrafo explicativo separado en el informe del practicante, o (3) ambos. Períodos de Revisión diferentes Pueden ocurrir situaciones en donde la entidad solicita que más de un principio sea examinado, pero debido a diversas razones éstos tendrán períodos de revisión diferentes (ya sea por la extensión, cobertura y actualización de la Auditoría; por la fecha de comienzo del examen para los distintos principios; o ambos). Idealmente, sería más conveniente para el Auditor que tales períodos coincidieran. Cuando existen períodos de revisión diferentes, el practicante debe considerar si emite informes separados o combinados. Resulta menos complejo elaborar informes separados, que cubran principios individuales, en vez de preparar un informe combinado, el cual si es emitido, necesitará el detalle de los diferentes períodos y principios auditados en la introducción y en los párrafos de opinión. Actualización de la Auditoría Para proporcionar una cobertura continua y retener el sello, el período de actualización de informes debe iniciarse con el final del período anterior o el comienzo del período indicado en el informe inicial.



191

En lo venidero, si la versión de los Principios y Criterios WebTrust (ya va en la 3.0) nuevamente evoluciona, será importante comunicar en el informe ya emitido que la Auditoría no se realizó bajo la actual versión del programa WebTrust, pero se señalará que en la próxima revisión se actualizará. Como una manera de informar a los clientes de la renovación del examen se incluirá el siguiente párrafo97 (luego de la opinión del Auditor) en el informe:

Este informe representa los resultados de procedimientos de Auditoría realizados durante varios períodos, de acuerdo a lo determinado por el programa WebTrust, para permitir una continuidad en los reportes. Durante el período cubierto por este informe, los Principios y Criterios WebTrust se revisaron y actualizaron cada cierto tiempo (la entidad indicará su ciclo de renovación, no pudiendo exceder de 6 meses). Se examinaron las declaraciones de la Gerencia, prácticas, cumplimiento, y efectividad de los controles en relación a las versiones de los Principios y Criterios WebTrust durante tal período de ejecución de los procedimientos de la Auditoría.

Emisiones especiales para servicios compuestos Para que un sello especial WebTrust sea emitido para un Programa de Protección al Consumidor, el servicio necesita ser estructurado como un único compromiso que involucra múltiples principios que necesitan ser cumplidos. Pueden acontecer situaciones donde la entidad no reúne los requisitos para satisfacer uno o más de los principios, ante esta circunstancia el sello especial WebTrust no puede emitirse. Un sello WebTrust normal (extendido para principios individuales) puede concederse, bajo la condición de que el compromiso sea apropiadamente reestructurado y los criterios, para por lo menos un principio, se cumplan. Responsabilidad de comunicar la falta de conformidad en otro(s) Principio(s) El exhibir el sello WebTrust expresa que la entidad mantiene un sitio Web acreditado con políticas y controles razonables en un rango amplio de áreas. Consecuentemente, un Auditor evitará aceptar un compromiso WebTrust: 1) Cuando las declaraciones y la gestión de la entidad estén fuera del alcance del servicio y sean determinadas por el profesional como no fidedignas; 2) Cuando se conozca la existencia de importantes deficiencias con controles o sistemas que no afecten directamente el principio (bajo examen), o 3) Cuando la entidad es un conocido infractor de leyes o regulaciones. Haciendo referencia al punto 2 del párrafo anterior, puede suceder, durante una Auditoría efectuada a un cliente, que la información acerca de las deficiencias de controles y sistemas no relacionados a los principios y criterios auditados (definidos dentro del alcance del compromiso) capte la atención del profesional. Supongamos lo siguiente: Mientras un Auditor desempeña su labor destinada a informar de los controles relacionados al principio de seguridad, se percata de que la entidad no está cumpliendo su política de privacidad comunicada en el sitio Web (por ejemplo, está divulgando información personal a terceros). Aunque el Auditor no es responsable de detectar tal situación externa al alcance de su revisión, debe considerarla cuando es descubierta y evaluará si las deficiencias identificadas son significativas (es decir, si ellas podrían confundir a los usuarios del sistema). El Auditor al determinar que tales deficiencias son significativas, lo comunicará por escrito a la Gerencia, la cual debe decidir entre corregirlas (en este caso, no proporcionar información a terceros) o revelar adecuadamente sus prácticas en uso para que los usuarios se enteren y sean conscientes del accionar de la entidad (para ello la declaración de privacidad se modificaría reflejando la circunstancia de que comparten información con terceros). Si el profesional concluye que la omisión de esta información es significativa y si la Gerencia no está dispuesta a corregir la deficiencia o modificar sus políticas, el Auditor debe considerar no aceptar el compromiso.

97 Este párrafo se incluye en los informes utilizados por el CICA en Canadá, aunque lo óptimo sería que se insertara en todos los informes, ya sean del CICA, AICPA o de los empleados por los diferentes Institutos a nivel mundial.



192

EJEMPLOS DE INFORMES En esta sección se presentarán ejemplos de los distintos informes existentes, de acuerdo a los sellos específicos del programa. El primer párrafo del informe del Auditor expresará que el practicante ha realizado un examen de la declaración de la Gerencia sobre la complacencia con el Principio WebTrust. El profesional puede opinar (1) sobre la Declaración de la Gerencia o (2) directamente sobre la materia. Se expondrán ambas alternativas en los ejemplos de informes. Los informes presentados en esta sección son de carácter ilustrativo y deben modificarse de acuerdo con: Las normas profesionales aplicables, los servicios específicos contraídos y para garantizar ciertos eventos. Es necesario indicar que los informes utilizados por los institutos de Canadá y Estados Unidos difieren en pequeños grandes detalles entre sí (por ejemplo en la utilización de la palabra examen por el AICPA en vez de la palabra Auditoría que es usada por el CICA y la inclusión de algunos párrafos adicionales). Para efecto de optimizar y complementar los informes originales es que se reunieron las mejores características de ambos y resultaron en los informes expuestos en esta sección. El acceso al informe se realiza, mediante certificación digital que facilita la Autoridad de Certificación Verising Inc., haciendo clic sobre el Sello WebTrust, que incorpora un enlace de hipertexto al informe favorable, a información relativa al programa WebTrust, a las Declaraciones de la Empresa Auditada (Management´s Assertions) y a los Principios y Criterios WebTrust. La Declaración de la Gerencia (Management´s Assertions) Bajo este enunciado la Gerencia proporciona una apropiada declaración escrita en su sitio Web. La Declaración de Gerencia frecuentemente identifica al sitio Web Auditado y al período cubierto (que sería idéntico al señalado en el informe del Auditor), e incluye una ratificación de la obediencia y cumplimiento de los Principios y sus Criterios. La imagen adjunta corresponde a la declaración formulada por el AICPA, sobre el Principio de Privacidad.



193

Como se mencionó al inicio de este apartado, es posible distinguir variados informes que están directamente relacionados con los sellos WebTrust, cuales son: Sello Genérico, de Privacidad, Protección al Consumidor, Autoridades de Certificación y Proveedores de Servicios. INFORMES EMITIDOS PARA UN SELLO WEBTRUST GENÉRICO Ejemplo 1 – Informe emitido por un Principio – Opinando sobre la Declaración de la Gerencia

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos examinado98 la declaración de la Gerencia [link a la declaración], la cual indica que la Empresa Internova S.A., durante el período del ___ de _____ del 2002 al ___ de ______ del 2002 –

• Manifestó sus prácticas de seguridad para el Comercio Electrónico, • Cumplió con tales prácticas de seguridad, y • Mantuvo controles eficaces para proporcionar la certeza razonable de que el

acceso al sistema de Comercio Electrónico y a los datos sólo se restringió a los individuos autorizados en conformidad con sus prácticas de seguridad manifestadas

Basado en el Principio de Seguridad WebTrust del AICPA/CICA [link al Principio y a los criterios de seguridad]. Estas prácticas, declaraciones, cumplimientos, y controles son de responsabilidad de la Gerencia de la Empresa Internova. Nuestra responsabilidad es expresar una opinión basada en nuestro examen. Nuestro examen se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados99 y, por consiguiente, incluyeron (1) La obtención de una comprensión de las prácticas de seguridad manifestadas de la Empresa Internova y los controles relacionados a la seguridad, (2) Probar la complacencia con estas prácticas de seguridad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que el examen practicado provee una base razonable para nuestra opinión. 98 Se recomienda utilizar la palabra auditado en vez de examinado, de igual forma es conveniente sustituir las palabras relacionadas con examen por Auditoría. Solamente para mostrar esta diferencia es que en algunos informes se mantuvo la palabra examen, que es la palabra empleada en los informes emitidos por el AICPA. 99 En todos los informes se mantuvo al Instituto Americano de Contadores Públicos Acreditados pudiendo también reemplazarse por el Instituto Canadiense de Contadores, o incluir a ambos, según dónde se emita el informe.

El Instituto Americano de Contadores Públicos Acreditados, de su sitio Web de Comercio Electrónico (www.aicpa.org) asevera lo siguiente: A partir de Abril 4 del 2002, el Instituto, respecto a todo lo importante –

• Reveló sus prácticas de privacidad para el Comercio Electrónico. • Mantuvo controles eficaces para proporcionar seguridad razonable de que ha

cumplido con estas prácticas de privacidad y que la información personal de clientes obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad reveladas, basadas en los Criterios de Privacidad WebTrust del AICPA/CICA.



194

En nuestra opinión, la declaración de la Empresa Internova S.A., referida a lo anterior, se confirma fehacientemente, en todos los aspectos esenciales, basándonos en el Principio de Seguridad WebTrust del AICPA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello de confianza WebTrust en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha] Para informes que se refieran al Principio de Prácticas de Negocios e Integridad de las Transacciones, el Auditor debe agregar lo siguiente como un párrafo final: “Este informe no incluye ninguna representación acerca de la calidad de los productos de la Empresa Internova S.A. [información o servicios] ni su conveniencia para el objetivo pretendido por cualquier cliente”. El Auditor también puede incluir tal párrafo en su(s) informe(s) en otras circunstancias. Ejemplo 2 – Informe emitido por un Principio – Opinando directamente en el contenido.

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos auditado a la Empresa Internova S.A., sus prácticas de seguridad para el Comercio Electrónico, el cumplimiento de estas prácticas de seguridad y la efectividad de los controles relativos a ellas, durante el período del ____ de _____ del 2002 al _____ de ______del 2002, basándonos en el Principio de Seguridad WebTrust del AICPA/CICA [link al Principio y a los criterios de Seguridad]. Estas prácticas, declaraciones, cumplimientos y controles son de responsabilidad de la Gerencia de Internova. Nuestra responsabilidad es expresar una opinión basada en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una certeza razonable como una base para nuestra opinión. Nuestra Auditoría incluyó, (1) La obtención de una comprensión de las prácticas de seguridad manifestadas de la Empresa Internova y los controles relacionados a la seguridad, (2) Probar la complacencia con estas prácticas de seguridad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, la Empresa Internova S.A., en todo los aspectos esenciales,

• Manifestó sus prácticas de seguridad para el Comercio Electrónico, • Cumplió con tales prácticas de seguridad, y • Mantuvo controles eficaces para proporcionar la certeza razonable de que el

acceso al sistema de Comercio Electrónico y a los datos sólo se restringió a los individuos autorizados en conformidad con sus prácticas de seguridad manifestadas



195

Durante el período del ____ de ______ del 2002 al _____ de _____ del 2002, basado en el Principio y Criterios de Seguridad del AIPCA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello de confianza WebTrust en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha] Para informes que se refieran al Principio de Prácticas de Negocios e Integridad de las Transacciones, el Auditor debe agregar lo siguiente como un párrafo final: “Este informe no incluye ninguna representación acerca de la calidad de los productos de la Empresa Internova S.A. [información o servicios] ni su conveniencia para el objetivo pretendido por cualquier cliente”. El Auditor también puede incluir tal párrafo en su(s) informe(s) en otras circunstancias. Ejemplo 3 – Informe emitido para más de un Principio – Opinando sobre la declaración de la Gerencia.

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos examinado la declaración de la Gerencia [link a la declaración], la cual indica que la Empresa Internova S.A., durante el período del ___ de _____ del 2002 al ___ de ______ del 2002 –

• Manifestó sus prácticas de seguridad y privacidad para las transacciones de Comercio Electrónico,

• Cumplió con tales prácticas de seguridad y privacidad, y • Mantuvo controles eficaces para proporcionar la certeza razonable de que –

El acceso al sistema de Comercio Electrónico y a los datos sólo se restringió a los individuos autorizados en conformidad con sus prácticas de seguridad manifestadas, y

La información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad manifestadas

Basado en el Principio de Seguridad WebTrust [link al Principio y a los criterios de seguridad] y en el Principio de Privacidad WebTrust [link al Principio y a los criterios de Privacidad]del AICPA/CICA. Estas prácticas, declaraciones, cumplimientos, y controles son de responsabilidad de la Gerencia de la Empresa Internova. Nuestra responsabilidad es expresar una opinión basada en nuestro examen. Nuestro examen se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados y, por consiguiente, incluyeron (1) La obtención de una comprensión de las prácticas de seguridad y privacidad manifestadas por la Empresa Internova para las transacciones de Comercio Electrónico y los controles relacionados a la seguridad y privacidad, (2) Probar la complacencia con estas prácticas de seguridad y privacidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento



196

estimado como necesario de acuerdo a las circunstancias. Consideramos que el examen practicado provee una base razonable para nuestra opinión. En nuestra opinión, la declaración de la Empresa Internova S.A., referida a lo anterior, se confirma fehacientemente, en todos los aspectos esenciales, basándonos en los Principios de Seguridad y Privacidad WebTrust del AICPA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello de confianza WebTrust en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha] Ejemplo 4 – Informe emitido para cuatro Principios – Opinando sobre la declaración de la Gerencia.

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos examinado la declaración de la Gerencia [link a la declaración], la cual indica que la Empresa Internova S.A., durante el período del ___ de _____ del 2002 al ___ de ______ del 2002 –

• Manifestó sus prácticas de Negocios e Integridad, Seguridad, Privacidad y Disponibilidad, para las transacciones de Comercio Electrónico,

• Cumplió con tales prácticas de Negocios e Integridad, seguridad, privacidad, y disponibilidad, y

• Mantuvo controles eficaces para proporcionar la certeza razonable de que – Las transacciones de Comercio Electrónico son procesadas en su totalidad, con exactitud, y de acuerdo con sus prácticas de negocios manifestadas,

El acceso al sistema de Comercio Electrónico y a los datos está restringido sólo a los individuos autorizados en conformidad con sus prácticas de seguridad manifestadas,

La información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad manifestadas, y

El sistema de Comercio Electrónico y los datos están disponibles en conformidad con sus prácticas de disponibilidad manifestadas

Basado en el Principio de Prácticas de Negocios e Integridad de las Transacciones WebTrust [link al Principio y a los criterios de Prácticas de Negocios/Integridad de las transacciones], en el Principio de Seguridad WebTrust [link al Principio y a los criterios de Seguridad], en el Principio de Privacidad WebTrust [link al Principio y a los criterios de privacidad] y en el Principio de Disponibilidad WebTrust [link al Principio y a los criterios de Disponibilidad] del AICPA/CICA. Estas prácticas, declaraciones, cumplimientos, y controles son de responsabilidad de la Gerencia de la Empresa Internova. Nuestra responsabilidad es expresar una opinión basada en nuestro examen.



197

Nuestro examen se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados y, por consiguiente, incluyeron (1) La obtención de una comprensión de las prácticas de Negocios e Integridad de las Transacciones, Seguridad, Privacidad y Disponibilidad, manifestadas por la Empresa Internova para las transacciones de Comercio Electrónico y los controles relacionados a la seguridad, privacidad, disponibilidad y al procesamiento de tales transacciones (2) Probar la complacencia con estas prácticas de Negocios e Integridad, Seguridad, Privacidad y Disponibilidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que el examen practicado provee una base razonable para nuestra opinión. En nuestra opinión, la declaración de la Empresa Internova S.A., referida a lo anterior, se confirma fehacientemente, en todos los aspectos esenciales, basándonos en los Principios WebTrust de Prácticas de Negocios e Integridad de las transacciones, Seguridad, Privacidad y Disponibilidad del AICPA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello de confianza WebTrust en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. Este informe no incluye ninguna representación acerca de la calidad de los productos de la Empresa Internova S.A. [información o servicios] ni su conveniencia para el objetivo pretendido por cualquier cliente. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha]



198

INFORMES EMITIDOS PARA UN SELLO WEBTRUST DE PRIVACIDAD Ejemplo 1 – Informe sobre la declaración de la Gerencia

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos auditado la declaración de la Gerencia [link a la declaración], la cual indica que la Empresa Internova S.A., durante el período del ___ de _____ del 2002 al ___ de ______ del 2002 –

• Manifestó sus prácticas de privacidad para el Comercio Electrónico, • Cumplió con tales prácticas de privacidad, y • Mantuvo controles efectivos para proveer una razonable seguridad de que la

información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad

Basado en el Principio de Privacidad WebTrust del AICPA/CICA [link al Principio y a los criterios de privacidad]. Estas prácticas, declaraciones, cumplimientos, y controles son de responsabilidad de la Gerencia de la Empresa Internova. Nuestra responsabilidad es expresar una opinión basada en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una certeza razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de las prácticas de privacidad manifestadas de la Empresa Internova y los controles relacionados a la privacidad, (2) Probar la complacencia con estas prácticas de privacidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, la declaración de la Empresa Internova S.A., referida a lo anterior, se confirma fehacientemente, en todos los aspectos esenciales, basándonos en el Principio de Privacidad WebTrust del AICPA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello WebTrust de Privacidad en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha]



199

Ejemplo 2 – Informe directo

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos auditado –

• Las prácticas de privacidad manifestadas para el Comercio Electrónico de la Empresa Internova S.A.

• El cumplimiento con tales prácticas de privacidad, y • La efectividad de sus controles para proveer una razonable seguridad de que la

información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad manifestadas,

Durante el período del ____ de _____ del 2002 al _____ de ______del 2002. Estas prácticas, declaraciones, cumplimientos y controles son de responsabilidad de la Gerencia de Internova. Nuestra responsabilidad es expresar una opinión basada en nuestra Auditoría, basándonos en el Principio de Privacidad WebTrust del AICPA/CICA [link al Principio y a los criterios de Privacidad]. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una certeza razonable como una base para nuestra opinión. Nuestra Auditoría incluyó, (1) La obtención de una comprensión de las prácticas de privacidad manifestadas de la Empresa Internova y los controles relacionados a la privacidad, (2) Probar la complacencia con estas prácticas de privacidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, la Empresa Internova S.A., en todo los aspectos esenciales,

• Manifestó sus prácticas de privacidad para el Comercio Electrónico, • Cumplió con tales prácticas de privacidad, y • Mantuvo controles efectivos para proveer una razonable seguridad de que la

información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad

Durante el período del ____ de ______ del 2002 al _____ de _____ del 2002, basado en el Principio y Criterios de Privacidad del AIPCA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello WebTrust de Privacidad en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha]



200

INFORME EMITIDO PARA UN SELLO WEBTRUST DE PROTECCIÓN AL CONSUMIDOR Informe para la Auditoría especial WebTrust de Protección al Consumidor

Informe de Auditores Independientes A la Gerencia de la Empresa Internova S.A.: Hemos auditado la declaración de la Gerencia [link a la declaración], la cual indica que la Empresa Internova S.A., durante el período del ___ de _____ del 2002 al ___ de ______ del 2002 –

• Manifestó sus prácticas de negocios y privacidad para el Comercio Electrónico, • Cumplió con tales prácticas de negocios y privacidad, y • Mantuvo controles efectivos para proporcionar una certeza razonable de que –

Las transacciones de Comercio Electrónico son procesadas en su totalidad, con exactitud, y de acuerdo con sus prácticas de negocios manifestadas, y

La información personal obtenida como resultado del Comercio Electrónico está protegida en conformidad con sus prácticas de privacidad manifestadas

Basado en el Principio WebTrust de Prácticas de Negocios e Integridad de las transacciones [link al Principio y a los criterios de prácticas de negocios e integridad de las transacciones] y en el Principio de Privacidad WebTrust. [link al Principio y a los criterios de privacidad] del AICPA/CICA. Estas prácticas, declaraciones, cumplimientos, y controles son de responsabilidad de la Gerencia de la Empresa Internova. Nuestra responsabilidad es expresar una opinión basada en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de las prácticas de negocios y privacidad manifestadas por la Empresa Internova para transacciones de Comercio Electrónico y los controles relacionados a la privacidad y al procesamiento de tales transacciones, (2) Probar la complacencia con estas prácticas de negocios y privacidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, la declaración de la Empresa Internova S.A., referida a lo anterior, se confirma fehacientemente, en todos los aspectos esenciales, basándonos en el Principio WebTrust de Prácticas de Negocios e Integridad de las Transacciones y en el Principio WebTrust de Privacidad, del AICPA/CICA. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello WebTrust para Protección al Consumidor en el sitio Web de la Empresa Internova S.A. constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. Este informe no incluye ninguna representación acerca de la calidad de los productos de la Empresa Internova S.A. [información o servicios] ni su conveniencia para el objetivo pretendido por cualquier cliente. [Nombre de la firma de Auditoría] Auditores [Ciudad, Estado] [Fecha]



201

INFORME EMITIDO PARA UN SELLO WEBTRUST DE AUTORIDADES DE CERTIFICACIÓN Para aquellos casos en que la Autoridad de Certificación utiliza a Autoridades de Registro Externas y no suministra ciertas funciones específicas, debe enunciarse en un párrafo tal situación, ya sea dentro de la Declaración de la Gerencia, Carta de Representación de la Gerencia o en el informe mismo. EJEMPLO 1 - Declaración de la Gerencia (donde todos los criterios son aplicables) Declaración de la Gerencia acerca de la divulgación de sus Prácticas Comerciales y los controles sobre sus operaciones como Autoridad de Certificación durante el período del ___ de _____ del 2002 al____ de _____del 2002 [Fecha] La Autoridad de Certificación Internova S.A. opera como una Autoridad de Certificación (AC) conocida como Internova-AC. Proporciona los siguientes servicios:

• Servicios de administración de claves de suscriptores • Registro de suscriptores • Renovación del certificado • Asignación de claves de certificados • Emisión del certificado • Distribución del certificado [utilizando un depositario en línea] • Revocación del certificado • Suspensión del certificado • Procesamiento de la información del estado del certificado [utilizando un

depositario en línea] • Administración del ciclo de vida de la tarjeta de circuitos integrados

La Gerencia de Internova-AC es responsable de establecer y mantener efectivos controles sobre sus operaciones, incluyendo la divulgación de sus prácticas de negocios [link a las manifestaciones de Prácticas de Negocios de AC], Integridad del Servicio (inclusive los controles de administración del ciclo de vida de la clave y del certificado), y controles del entorno de las AC. Estos controles contienen mecanismos de monitoreo, y acciones a ejecutar para corregir deficiencias identificadas. Existen limitaciones inherentes en cualquier control, incluyendo la posibilidad de error humano, evasión u omisión de controles. Por consiguiente, aún implantando controles eficaces, ellos sólo pueden proporcionar una seguridad razonable con respecto a las operaciones de la Autoridad de Certificación Internova-AC. Además, a causa de cambios en las condiciones, la efectividad de los controles puede variar con el tiempo. La Gerencia ha evaluado los controles de sus operaciones como AC. Basado en esa valoración, la opinión de la Gerencia es que, durante el período comprendido entre el _____de______del 2002, al _____ de ______del 2002 –

• Divulgó la gestión del ciclo de vida de su certificado y clave y las prácticas de privacidad de la información y proporciona sus servicios en conformidad con dichas prácticas.

• Mantuvo controles efectivos para proporcionar razonable seguridad de que: • La información del suscriptor fue autentificada apropiadamente (por las

actividades de registro realizadas por Internova-AC) y • La integridad de claves y certificados que administra es establecida y

protegida durante todo su ciclo de vida. • Mantuvo controles efectivos para proporcionar razonable seguridad de que:

• La información del suscriptor y participantes de confianza está restringida a individuos autorizados y protegida de usos no especificados en la manifestación de las prácticas de negocios de la AC.

• La continuidad de las operaciones de administración del ciclo de vida de la clave y del certificado es mantenida.

• El desarrollo, mantenimiento, y funcionamiento de los sistemas de la AC son apropiadamente autorizados y realizados para conservar la integridad de los sistemas de la AC.



202

En base a los principios del programa WebTrust del AICPA/CICA para Autoridades de Certificación [link a los principios WebTrust para Autoridades de Certificación], incluyendo lo siguiente:

Divulgación de las prácticas de negocios de la AC Integridad del servicio

Controles en la administración del ciclo de vida de la clave Generación de clave de la AC Almacenamiento, respaldo y recuperación de la clave de la AC Distribución de la clave pública de la AC Custodia de la clave de la AC Utilización de la clave de la AC Destrucción de la clave de la AC Archivo de la clave de la AC Administración del ciclo de vida del Hardware Criptográfico de la AC Servicios de Administración de las claves de suscriptores suministrados por la AC Controles en la administración del ciclo de vida del Certificado Registro del Suscriptor Renovación del certificado Asignación de claves del certificado Emisión del certificado Distribución del certificado Revocación del certificado Suspensión del certificado Procesamiento de información del estado del certificado Administración del ciclo de vida de la tarjeta de circuitos integrados

Controles del Entorno de la AC

Declaración de las prácticas de certificación y Administración de las políticas del certificado

Administración de la seguridad Administración y clasificación de recursos Seguridad del personal Seguridad física y del entorno Administración de las operaciones Administración del acceso a los sistemas Desarrollo y mantenimiento de los sistemas Gestión de la continuidad comercial Monitoreo y cumplimiento Planes de contingencia

[Nombre] [Cargo]

EJEMPLO 2 - REPRESENTACIÓN DE LA GERENCIA (donde todos los criterios son aplicables) (Ejemplo donde AR externas son utilizadas, la AC no da soporte a la custodia de claves, a la renovación de certificados, suspensión de certificados, uso de

tarjetas de circuitos integrados, o a la provisión de servicios de administración de claves de suscriptores)

[Fecha] Sres. AUDINET [Nombre del Auditor o de la firma de Auditoría] [Dirección]



203

Estimados Miembros de la Firma: La Gerencia confirma su aprobación a la Auditoría efectuada a nuestra declaración sobre la divulgación de las prácticas de negocios y controles de las operaciones de Internova AC, Autoridad de Certificación, durante el período comprendido entre el xx de xxxx del 2002 al yy de yyyy del 2002, esta Auditoría fue realizada con el propósito de expresar una opinión acerca de si nuestra declaración está correctamente presentada, en todos los aspectos esenciales, y que vuestra opinión está basada en criterios específicos para evaluar controles de acuerdo al programa WebTrust para Autoridades de Certificación. Internova-AC emplea a autoridades de registro externas para actividades específicas de registro de suscriptores, como se indica en la declaración de las prácticas de negocios de la empresa. Nosotros somos responsables de nuestra declaración. En relación con vuestra Auditoría. La Gerencia:

a. Reconoce su responsabilidad en establecer y mantener controles eficaces sobre sus operaciones como Autoridad de Certificación (AC), incluyendo la divulgación de las prácticas comerciales, integridad de servicio (inclusive los controles de administración del ciclo de vida del certificado y clave), y controles del entorno.

b. Ha realizado una apreciación y considera que la divulgación de las prácticas de negocios de Internova-CA, la integridad de servicio (inclusive los controles de administración del ciclo de vida del certificado y de la clave) y los controles del entorno de AC reunieron los requisitos mínimos de los principios descritos en nuestro documento de declaración durante el período comprendido entre el xx de xxxx del 2002, al yy de yyyy del 2002.

c. Considera al programa WebTrust para Autoridades de Certificación, con el cual se ha evaluado nuestra declaración, razonable y apropiado.

d. Ha comunicado a ustedes que no hay deficiencias significativas en el diseño o funcionamiento de los controles que podrían afectar negativamente la capacidad de la Empresa de cumplir los criterios de control relacionados con las prácticas de negocios divulgadas de Internova-AC, la integridad del servicio (inclusive los controles de administración del ciclo de vida del certificado y de la clave), y los controles del entorno, en consistencia con las declaraciones de la Gerencia.

e. Ha colocado a disposición de ustedes toda información significativa y registros relacionados a nuestra declaración.

f. Ha respondido cabalmente a todas las preguntas realizadas por ustedes durante su Auditoría.

g. Ha comunicado a ustedes cualquier cambio ocurrido o planificado para ocurrir subsecuente al yy de yyyy del 2002, en procedimientos u otros factores que podrían afectar a los controles en forma considerable, incluyendo cualquier acción correctiva establecida por la Gerencia con respecto a las deficiencias encontradas.

En opinión de la Gerencia, Internova-AC en la entrega de servicios como Autoridad de Certificación, durante el período comprendido entre el xx de xxxx del 2002, al yy de yyyy del 2002 –

• Divulgó la gestión del ciclo de vida de su certificado y clave y las prácticas de privacidad de la información y proporciona sus servicios en conformidad con dichas prácticas.







Basados en los principios del programa WebTrust del AICPA/CICA para Autoridades de Certificación, incluyendo lo siguiente:



204

Divulgación de las prácticas de negocios de la AC Integridad del servicio

Controles en la administración del ciclo de vida de la clave Generación de clave de la AC Almacenamiento, respaldo y recuperación de la clave de la AC Distribución de la clave pública de la AC Utilización de la clave de la AC Destrucción de la clave de la AC Archivo de la clave de la AC Administración del ciclo de vida del Hardware Criptográfico de la AC Controles en la administración del ciclo de vida del Certificado Registro del Suscriptor Renovación del certificado Emisión del certificado Distribución del certificado Revocación del certificado Procesamiento de información del estado del certificado

Controles del Entorno de la AC

Declaración de las prácticas de certificación y Administración de las políticas del certificado

Administración de la seguridad Administración y clasificación de recursos Seguridad del personal Seguridad física y del entorno Administración de las operaciones Administración del acceso a los sistemas Desarrollo y mantenimiento de los sistemas Gestión de la continuidad comercial Monitoreo y cumplimiento Planes de contingencia

Le saluda atentamente, [Nombre] [Cargo]

EJEMPLO 3 - Donde todos los criterios son aplicables (Ejemplo donde AR externas son utilizadas, la AC no da soporte a la custodia de claves, a la renovación de certificados, suspensión de certificados, uso de

tarjetas de circuitos integrados, o a la provisión de servicios de administración de claves de suscriptores)

Informe de Auditores Independientes A la Gerencia de la Autoridad de Certificación Internova: Hemos auditado la declaración de la Gerencia de Internova [link a la declaración], que provee servicios como Autoridad de Certificación, la cual indica que la Empresa Internova S.A., durante el período del ___ de _____ del 2002 al ___ de ______ del 2002 –



205

• Divulgó la gestión del ciclo de vida de su certificado y clave y las prácticas de privacidad de la información [link a la divulgación de las prácticas de negocios de la AC] y proporciona sus servicios en conformidad con dichas prácticas.







Basado en los principios del programa WebTrust del AICPA/CICA para Autoridades de Certificación [link a los principios WebTrust para Autoridades de Certificación]. La Gerencia de Internova-AC es responsable de su declaración. Nuestra responsabilidad es emitir una opinión de la declaración de la Gerencia basada en nuestra Auditoría. Internova-AC emplea a Autoridades de Registro externas para actividades específicas de registro de suscriptores, como se indica en la declaración de las prácticas de negocios de la empresa. Nuestra Auditoría no se extiende hacia los controles de las Autoridades de Registro externas. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de la gestión del ciclo de vida del certificado y de la clave, y de las prácticas de privacidad de la información y sus controles sobre la integridad de la clave y del certificado, sobre la autenticidad y privacidad de la información de suscriptores y partes relacionadas, sobre la continuidad de las operaciones de administración del ciclo de vida del certificado y de la clave, y sobre el desarrollo, mantenimiento y funcionamiento de la integridad del sistema, (2) Probar selectivamente transacciones ejecutadas en conformidad con lo declarado, relacionado a la gestión del ciclo de vida del certificado y de la clave y prácticas de privacidad de la información, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, la declaración de la Empresa Internova S.A. para el período comprendido entre el __ de ____ del 2002 al __ de _____ del 2002, referida a lo señalado en el primer párrafo, se confirma fehacientemente, en todos los aspectos esenciales, basándonos en los principios WebTrust del AICPA/CICA para Autoridades de Certificación. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello WebTrust para Autoridades de Certificación en el sitio Web de la Empresa Internova constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. La efectividad relativa e importancia de los controles específicos para Internova-AC y sus efectos en la evaluación de riesgos de control para los subscriptores y terceros confiables son dependientes de su interacción con la normativa WebTrust, y otros



206

factores presentes en los subscriptores individuales y de situaciones de terceros confiables. Nosotros no hemos realizado ningún procedimiento para evaluar la efectividad de controles a subscriptores individuales y a situaciones de terceros de confianza. Este informe no incluye ninguna representación acerca de la calidad de los servicios otorgados por Internova-AC, aparte de aquellos cubiertos por los principios WebTrust para Autoridades de Certificación, ni la conveniencia de algún servicio de Internova-AC para un propósito pretendido por cualquier cliente. [Nombre de la Firma] [Ciudad, Provincia] Auditores [Fecha del Informe]

EJEMPLO 4 - Donde todos los criterios son aplicables

Informe de Auditores Independientes - Reporte Directo -

A la Gerencia de la Autoridad de Certificación Internova: Hemos auditado la declaración de Gerencia de la Autoridad de Certificación Internova (Internova-AC) [Link a la declaración de la Gerencia] con respecto a la gestión del ciclo de vida del certificado y clave y de las prácticas de privacidad de la información en su sitio Web, y la efectividad de sus controles sobre la integridad de la clave y del certificado, sobre la autenticidad y privacidad de la información de suscriptores y terceros relacionados, sobre la continuidad de las operaciones de administración del ciclo de vida del certificado y de la clave, y sobre el desarrollo, mantenimiento y funcionamiento de la integridad del sistema, basándonos en los principios del programa WebTrust del AICPA/CICA para Autoridades de Certificación [link a los principios WebTrust para Autoridades de Certificación], durante el período comprendido entre el __ de ____ del 2002 al __ de ____ del 2002. Esta divulgación y controles son de responsabilidad de la Gerencia de Internova-AC. Nuestra responsabilidad es emitir una opinión basada en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de la gestión del ciclo de vida del certificado y de la clave, y de las prácticas de privacidad de la información y sus controles sobre la integridad de la clave y del certificado, sobre la autenticidad y privacidad de la información de suscriptores y partes relacionadas, sobre la continuidad de las operaciones de administración del ciclo de vida del certificado y de la clave, y sobre el desarrollo, mantenimiento y funcionamiento de la integridad del sistema, (2) Probar selectivamente transacciones ejecutadas en conformidad con lo declarado, relacionado a la gestión del ciclo de vida del certificado y de la clave y prácticas de privacidad de la información, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, durante el período comprendido entre el __ de ____ del 2002 al __ de ____ del 2002, Internova-AC, en todos los aspectos esenciales _

• Divulgó la gestión del ciclo de vida de su certificado y clave y las prácticas de privacidad de la información y proporciona tales servicios en conformidad con dichas prácticas.

• Mantuvo controles efectivos para proporcionar razonable seguridad de que la información del suscriptor fue autentificada apropiadamente (por las actividades de registro realizadas por Internova-AC) y la integridad de claves



207

y certificados que administra es establecida y protegida durante todo su ciclo de vida.

• Mantuvo controles efectivos para proporcionar razonable seguridad de que la información del suscriptor y participantes de confianza está restringida a individuos autorizados y protegida de usos no especificados en la manifestación de las prácticas de negocios de la AC; la continuidad de las operaciones de administración del ciclo de vida de la clave y del certificado es mantenida; y el desarrollo, mantenimiento, y funcionamiento de los sistemas de la AC son apropiadamente autorizados y realizados para conservar la integridad de los sistemas de la AC.

Basado en los principios del programa WebTrust del AICPA/CICA para Autoridades de Certificación [link a los principios WebTrust para Autoridades de Certificación]. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello WebTrust para Autoridades de Certificación en el sitio Web de la Empresa Internova constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. La efectividad relativa e importancia de los controles específicos para Internova-AC y sus efectos en la evaluación de riesgos de control para los subscriptores y terceros confiables son dependientes de su interacción con la normativa WebTrust, y otros factores presentes en los subscriptores individuales y de situaciones de terceros relacionados. Nosotros no hemos realizado ningún procedimiento para evaluar la efectividad de controles a subscriptores individuales y a situaciones de terceros de confianza. Este informe no incluye ninguna representación acerca de la calidad de los servicios otorgados por Internova-AC, aparte de aquellos cubiertos por los principios WebTrust para Autoridades de Certificación, ni la conveniencia de algún servicio de Internova-AC para un propósito pretendido por cualquier cliente. [Nombre de la Firma de Auditoría] Auditores [Ciudad, Provincia] [Fecha]

EJEMPLO 5 - Donde todos los criterios son aplicables

Informe del Auditor

A la Gerencia de la Autoridad de Certificación Internova: Hemos auditado a la Autoridad de Certificación Internova (Internova-AC): La divulgación de su gestión del ciclo de vida del certificado y clave y de las prácticas de privacidad de la información en su sitio Web, y la efectividad de sus controles sobre la integridad de la clave y del certificado, sobre la autenticidad y privacidad de la información de suscriptores y terceros relacionados, sobre la continuidad de las operaciones de administración del ciclo de vida del certificado y de la clave, y sobre el desarrollo, mantenimiento y funcionamiento de la integridad del sistema, durante el período comprendido entre el __ de ____ del 2002 al __ de ____ del 2002. Estas comunicaciones y controles son de responsabilidad de la Gerencia de Internova-AC. Nuestra responsabilidad es emitir una opinión de ello sustentándonos en los principios



208

WebTrust para Autoridades de Certificación [link a los Principios WebTrust para Autoridades de Certificación] Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de la gestión del ciclo de vida del certificado y de la clave, y de las prácticas de privacidad de la información y sus controles sobre la integridad de la clave y del certificado, sobre la autenticidad y privacidad de la información de suscriptores y partes relacionadas, sobre la continuidad de las operaciones de administración del ciclo de vida del certificado y de la clave, y sobre el desarrollo, mantenimiento y funcionamiento de la integridad del sistema, (2) Probar selectivamente transacciones ejecutadas en conformidad con lo declarado, relacionado a la gestión del ciclo de vida del certificado y de la clave y prácticas de privacidad de la información, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, durante el período comprendido entre el __ de ____ del 2002 al __ de ____ del 2002, Internova-AC, en todos los aspectos esenciales:

• Divulgó la gestión del ciclo de vida de su certificado y clave y las prácticas de privacidad de la información [link a la divulgación de las prácticas de negocios de la AC] y proporciona sus servicios en conformidad con dichas prácticas.







En conformidad con los principios del programa WebTrust del AICPA/CICA para Autoridades de Certificación [link a los principios WebTrust para Autoridades de Certificación]. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. El Sello WebTrust para Autoridades de Certificación en el sitio Web de la Empresa Internova constituye una representación simbólica de los contenidos de este informe y no está pretendido, ni podría ser interpretado, para actualizar este informe o proporcionar alguna seguridad adicional. La efectividad relativa e importancia de los controles específicos para Internova-AC y sus efectos en la evaluación de riesgos de control para los subscriptores y terceros confiables son dependientes de su interacción con la normativa WebTrust, y otros factores presentes en los subscriptores individuales y de situaciones de terceros relacionados. Nosotros no hemos realizado ningún procedimiento para evaluar la efectividad de controles a subscriptores individuales y a situaciones de terceros de confianza. Este informe no incluye ninguna representación acerca de la calidad de los servicios otorgados por Internova-AC, aparte de aquellos cubiertos por los principios WebTrust



209

para Autoridades de Certificación, ni la conveniencia de algún servicio de Internova-AC para un propósito pretendido por cualquier cliente. [Nombre de la Firma de Auditoría] Auditores [Ciudad, Provincia] [Fecha] INFORMES EMITIDOS PARA UN SELLO WEBTRUST DE PROVEEDORES DE SERVICIOS EJEMPLO 1 - La Declaración de la Gerencia TPSP efectúa la siguiente declaración con respecto a los servicios proporcionados a sus clientes:

• La descripción de controles presentados en el Anexo Uno establece a aquellos por los cuales la TPSP es responsable; y

• Los controles presentados en el Anexo Uno funcionan eficazmente, en todos los aspectos esenciales, durante el período comprendido entre el 01 de Julio del 2002 al 31 de Diciembre del 2002;

Y contribuyen a la conformidad con los Principios WebTrust del AICPA/CICA.

EJEMPLO 2 - Informe Directo

Informe del Auditor A la Gerencia de TPSP: Con respecto a los servicios proporcionados a sitios Web de clientes, hemos auditado la descripción de aquellos controles por los cuales la TPSP es responsable, que, al complementarse con los procedimientos de clientes, contribuyen al cumplimiento de los Principios WebTrust del AICPA/CICA y a la efectividad de esos controles durante el período comprendido entre el ___________ al ___________. Los controles se detallan en el Anexo Uno. La descripción y los controles son de responsabilidad de la Gerencia de la TPSP. Nuestra responsabilidad es expresar una opinión de la concordancia de estas descripciones y controles con los Principios WebTrust del AICPA/CICA, basándonos en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de los servicios de la TPSP proporcionados a sus clientes que tienen, o desean tener, una Auditoría WebTrust en la medida como ellos relacionen las prácticas de confidencialidad de Comercio Electrónico y los controles asociados a la confidencialidad, (2) Probar selectivamente transacciones ejecutadas en conformidad con las prácticas de confidencialidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, en todo los aspectos esenciales, los controles mantenidos por la TPSP como se presentan en el Anexo Uno, han operado eficazmente durante el período



210

comprendido entre ___________ al ___________ en conformidad con el Principio WebTrust del AICPA/CICA. Esta información ha sido comunicada a los clientes de TPSP y a sus Auditores, para ser considerada, junto con la información respecto a sus controles, cuando se evalúen éstos en relación al Principio WebTrust del AICPA/CICA. La efectividad relativa e importancia de los controles específicos para la TPSP y sus efectos en la evaluación de controles a clientes son dependientes de su interacción con la normativa WebTrust, y otros factores presentes en organizaciones de usuarios individuales. Nosotros no hemos realizado ningún procedimiento para evaluar la efectividad de controles a clientes individuales. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. Este informe está pretendido únicamente como información y para la aplicación de la Gerencia de la TPSP, sus clientes, y sus Auditores WebTrust independientes y no está destinado para ser utilizado por cualquiera fuera de aquellas partes especificadas. Este informe no incluye ninguna representación acerca de la calidad de los servicios otorgados aparte de aquellos cubiertos por la descripción de controles adjunta, ni la conveniencia de algún servicio de TPSP para un propósito pretendido por cualquier cliente. [Nombre de la Firma de Auditoría] Auditores [Ciudad, Provincia] [Fecha del informe]

EJEMPLO 3 - Anexo de Controles

Anexo al Informe del Auditor

NOMBRE DEL TPSP PERÍODO DE COBERTURA

Los siguientes controles existentes en la TPSP han sido identificados por la Gerencia como aportes a la capacidad de los clientes de TPSP de lograr la conformidad con el criterio relacionado a los Principios WebTrust seleccionados. Procedimientos de control adicionales a los clientes individuales de TPSP pueden ser necesarios con la finalidad de lograr la complacencia con todos los criterios para un principio escogido. PRINCIPIO SELECCIONADO Controles a TPSP

• Lista de controles PRINCIPIO SELECCIONADO Controles a TPSP

• Lista de controles PRINCIPIO SELECCIONADO Controles a TPSP

• Lista de controles



211

Los ejemplos anteriores son genéricos y para un mayor entendimiento se aplicarán los informes a los casos descritos en el Programa para Proveedores de Servicios (Página 173). Las ilustraciones N° 4, 5 y 6 abordan las transacciones de empresa a consumidor [B2C] (el reporte de TPSP es gestionado para NoWallsMall.net) de acuerdo a los Principios WebTrust de Prácticas de Negocios e Integridad de las transacciones y Privacidad. Las ilustraciones N° 7 y 8 se han preparado para el caso de negocios empresa a empresa [B2B] (el informe de TPSP se ha dispuesto para OuiBServices.com) de acuerdo al Principio WebTrust de Confidencialidad. En el ejemplo de negocio B2C, dado que el Auditor de TPSP puede no estar enterado de los controles practicados a los clientes minoristas, ellos no serían incluidos en el informe. CASO DE NEGOCIO B2C EJEMPLO 4 - NoWallsMall.net

Informe del Auditor A la Gerencia de NoWallsMall.net: Hemos auditado la siguiente declaración de la Gerencia de NoWallsMall.net (NWM), en la cual respecto a los servicios proporcionados a sus clientes de sitios Web, se establece que –

• La descripción de controles, presentada en el Anexo Uno, es responsabilidad de NWM en la medida en que combinados con los procedimientos de clientes, contribuyan a la conformidad con los Principios WebTrust del AICPA/CICA; y

• Los controles presentados en el Anexo Uno funcionan eficazmente durante el período comprendido entre el ___________ al _________.

La Gerencia de NWM es responsable de su declaración. Nuestra responsabilidad es expresar una opinión de esta declaración basándonos en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de los servicios de NWM proporcionados a sus clientes que tienen, o desean tener, una Auditoría WebTrust relacionada a las prácticas de negocios y privacidad para transacciones de Comercio Electrónico y controles asociados a la privacidad y al procesamiento de tales transacciones, (2) Probar selectivamente transacciones ejecutadas en conformidad con las prácticas de negocios y privacidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, la declaración de la Gerencia de NWM expuesta en el primer párrafo, se presenta correctamente, en todos los aspectos esenciales, en conformidad con los Principios WebTrust del AICPA/CICA. Esta información ha sido comunicada a los clientes de NWM y a sus Auditores, para ser considerada, junto con la información respecto a sus controles, cuando se evalúen éstos en relación al Principio WebTrust de Prácticas de Negocios e Integridad de las transacciones y al Principio WebTrust de Privacidad. La efectividad relativa e importancia de los controles específicos para NWM y sus efectos en la evaluación de controles a clientes son dependientes de su interacción con la normativa WebTrust, y otros factores presentes en organizaciones de usuarios individuales. Nosotros no hemos realizado ningún procedimiento para evaluar la efectividad de controles a clientes individuales. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos



212

ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. Este informe está pretendido únicamente como información y para la aplicación de la Gerencia de NWM, sus clientes, y sus Auditores WebTrust independientes y no está destinado para ser utilizado por cualquiera fuera de aquellas partes especificadas. Este informe no incluye ninguna representación acerca de la calidad de los servicios otorgados aparte de aquellos cubiertos por la descripción de controles adjunta, ni la conveniencia de algún servicio de NWM para un propósito pretendido por cualquier cliente. [Nombre de la Firma de Auditoría] Auditores [Ciudad, Provincia] [Fecha del informe]

EJEMPLO 5 - Anexo de Controles de NoWallsMall.net Anexo Uno al Informe del Auditor de TPSP NoWallsMall.net PERÍODO DE COBERTURA Descripción de los Servicios proporcionados por TPSP (Opcional) NoWallsMall.net es un proveedor de servicios que proporciona actividades de apoyo en el área de Comercio Electrónico a organizaciones que ofrecen bienes o servicios por Internet mediante un modelo de negocios semejante a un centro comercial virtual (mall). En general, NoWallsMall.net provee todo el servicio de infraestructura de Internet para que minoristas establezcan negocios de venta al por menor mientras enfocan los aspectos comerciales de sus actividades de Comercio Electrónico. RetailJoe.com se ha establecido como un modelo típico de negocio minorista que emplea los servicios de NoWallsMall.net. Las siguientes actividades se incluyen dentro de los servicios de NoWallsMall.net:

• Diseño, desarrollo y mantenimiento de la página Web • Implementación del software de compra y pago, dispuesto para las actividades

específicas de clientes en el sistema de Comercio Electrónico por Internet • Mejora continua, modificación y prueba de los sistemas de aplicación • Adquisición, configuración e implementación del servidor Web • Continuidad, y mantenimiento del servidor Web y tecnología relacionada • Provisión del servicio de acceso a Internet para el Comercio Electrónico y usos

generales • Conectividad de comunicaciones desde Internet a través de aplicaciones de

procesamiento de clientes • Seguridad de las telecomunicaciones • Configuración, mantenimiento y monitoreo de firewall (cortafuegos) para

Internet • Mantenimiento de un entorno de procesos seguros en Comercio Electrónico • Mantenimiento de la confidencialidad (privacidad) en la información de los

clientes

Solamente en situaciones de clientes específicas se proporciona el desarrollo de los sistemas y el servicio de mantenimiento de servicios de aplicación. Estos servicios no son comunes dentro de los clientes de NoWallsMall.net y por lo tanto no son incluidos en la Auditoría. Controles Los siguientes controles existentes en NoWallsMall.net han sido identificados por la Gerencia como aportes a la capacidad de los clientes de NoWallsMall.net de lograr la conformidad con el criterio relacionado a los Principios WebTrust seleccionados.



213

Procedimientos de control adicionales a los clientes de NoWallsMall.net pueden ser necesarios con la finalidad de lograr la complacencia con todos los criterios para un principio escogido. (Una lista de los controles preparados de acuerdo a los Principios WebTrust deben ser expuestos en este punto del anexo)

EJEMPLO 6 - Controles de seguridad de TPSP aplicados a un entorno de un Centro Comercial minorista Virtual

Procedimientos de Seguridad realizados por NoWallsMall.net para RetailJoe.com

La mayoría de los procedimientos de seguridad de RetailJoe.com han sido implementados y realizados por el proveedor de servicios NoWallsMall.net, incluyendo lo siguiente: Divulgaciones relacionadas:

⇒ Las divulgaciones son proporcionadas indicando la implementación de una sesión segura en la cual el cliente entrega al sitio información confidencial, establece una identificación de usuario (ID) y contraseña, y finalmente se determinan las conductas de negocios con RetailJoe.com.

⇒ Se proporciona a los clientes de RetailJoe.com la información necesaria del contacto en caso de que ellos crean que ha ocurrido una brecha de seguridad en el sitio Web.

Políticas relacionadas:

⇒ La mayoría de las políticas relacionadas a la seguridad de RetailJoe.com las gestiona su proveedor de servicio NoWallsMall.net. Ello puede incluir una política de seguridad que especifique los privilegios de acceso, procedimientos de modificación de hardware y software (inclusive las actualizaciones), acceso y publicidad en la Web. Políticas de seguridad externas también pueden incluir procedimientos para controlar el acceso lógico así como el físico al sistema. Estos requerimientos de seguridad normalmente se definen contractual y legalmente, y se acuerda en definitiva el nivel del servicio entre RetailJoe.com y NoWallsMall.net.

Procedimientos relacionados:

⇒ Los Nuevos usuarios de RetailJoe.com proporcionarán información en una sesión SSL administrada por NoWallsMall.net. El proceso dónde se provee de identificación y contraseñas al usuario, probablemente conteniendo caracteres alfanuméricos, es gestionado por NoWallsMall.net.

⇒ NoWallsMall.net también controlará los procedimientos de seguridad para identificar y autentificar a los usuarios autorizados.

⇒ El proceso de modificación de perfiles de los usuarios también es administrado por NoWallsMall.net. Estos cambios se efectúan luego de que el cliente ingresa su identificación y contraseña de usuario.

⇒ El acceso remoto a los recursos computacionales de RetailJoe.com es dirigido y restringido por NoWallsMall.net mediante la aplicación de un mecanismo de autentificación para los usuarios identificados y dispositivos asociados con las políticas de acceso.

⇒ La prevención de virus y procedimientos de detección serán de responsabilidad de NoWallsMall.net.

⇒ La Administración de servicios de red (Administración de los puertos) la ejecutará el proveedor de servicios NoWallsMall.net.

⇒ Todo el software operado por NoWallsMall.net se actualizará oportunamente para evitar problemas de seguridad surgidos y se obtendrán los parches necesarios emitidos por los proveedores de software. El personal de NoWallsMall.net gestionará este proceso activamente para minimizar el riesgo de brechas de seguridad.



214

⇒ NoWallsMall.net tendrá procedimientos para prevenir que individuos, entidades, o terceros accedan a los datos, propios o ajenos, de otra manera que no sea la apropiada. Esto más probablemente involucre el empleo de listas de controles de acceso establecidos en concordancia con la política de firewalls de NoWallsMall.net, filtros a distintos niveles de router, y firewalls para segmentar el acceso de red de área local.

⇒ Las contraseñas de Webmaster para el sitio Web son controladas por NoWallsMall.net. Contraseñas del sistema y otras de importancia se encriptan y almacenan en la empresa bajo controles duales.

⇒ Todos los servidores de RetailJoe.com y hardware relacionado se localizan físicamente en las instalaciones de NoWallsMall.net. El acceso físico a los servidores y al hardware asociado (por ejemplo, firewalls y routers) son controlados y monitoreados por vigilancia de video mantenida por el personal de NoWallsMall.net.

Monitoreo:

⇒ NoWallsMall.net es responsable de supervisar la seguridad de sus sistemas de Comercio Electrónico y de identificar cualquier necesidad de cambios en sus procedimientos de seguridad. Ellos necesitarán ejecutar software de monitoreo y otros (por ejemplo, COPS, SATAN, e ISS) en una rutina predeterminada. Informes generados de estos procesos se analizarán para detectar debilidades potenciales y amenazas al sistema.

⇒ Políticas de seguridad, procedimientos, y riesgos relacionados son discutidos con la Gerencia de RetailJoe.com mensual o trimestralmente. Actualizaciones y modificaciones son implementadas por NoWallsMall.net oportunamente.

El segundo caso de estudio involucra un intercambio de componentes electrónicos. BtwoBExchange.org facilita las transacciones de empresa a empresa entre varios proveedores de componentes electrónicos y clientes, él emplea a un proveedor de servicios, OuiBServices.com para otorgar sus prestaciones. CASO DE NEGOCIO B2B EJEMPLO 7 - Informe Directo – OuiBServices.com

Informe del Auditor A la Gerencia de OuiBServices.com (OBS): Con respecto a los servicios proporcionados a sitios Web de clientes, hemos auditado la descripción de aquellos controles por los cuales OBS es responsable, que, al complementarse con los procedimientos de clientes, contribuyen al cumplimiento de los Principios WebTrust del AICPA/CICA y a la efectividad de esos controles durante el período comprendido entre el ___________ al ___________. Los controles se detallan en el Anexo Uno. La descripción y los controles son de responsabilidad de la Gerencia de OBS. Nuestra responsabilidad es expresar una opinión de la concordancia de estas descripciones y controles con los Principios WebTrust del AICPA/CICA, basándonos en nuestra Auditoría. Nuestra Auditoría se realizó de acuerdo a normas establecidas por el Instituto Americano de Contadores Públicos Acreditados. Estas normas requieren que planifiquemos y desarrollemos nuestra Auditoría para obtener una seguridad razonable como una base para nuestra opinión. Nuestra Auditoría incluyó (1) La obtención de una comprensión de los servicios de OBS proporcionados a sus clientes que tienen, o desean tener, una Auditoría WebTrust en la medida como ellos relacionen las prácticas de confidencialidad de Comercio Electrónico y los controles asociados a la confidencialidad, (2) Probar selectivamente transacciones ejecutadas en conformidad con las prácticas de confidencialidad, (3) Probar y evaluar la efectividad en el funcionamiento de los controles, y (4) La realización de cualquier otro procedimiento



215

estimado como necesario de acuerdo a las circunstancias. Consideramos que la Auditoría practicada provee una base razonable para nuestra opinión. En nuestra opinión, en todo los aspectos esenciales, los controles mantenidos por OBS como se presentan en el Anexo Uno, han operado eficazmente durante el período comprendido entre ___________ al ___________ en conformidad con el Principio WebTrust del AICPA/CICA. Esta información ha sido comunicada a los clientes de OBS y a sus Auditores, para ser considerada, junto con la información respecto a sus controles, cuando se evalúen éstos en relación al Principio WebTrust del AICPA/CICA. La efectividad relativa e importancia de los controles específicos para la TPSP y sus efectos en la evaluación de controles a clientes son dependientes de su interacción con la normativa WebTrust, y otros factores presentes en organizaciones de usuarios individuales. Nosotros no hemos realizado ningún procedimiento para evaluar la efectividad de controles a clientes individuales. Debido a las limitaciones inherentes en los controles, errores o fraudes pueden ocurrir y no ser detectados. Además, la proyección de cualquier conclusión hacia períodos futuros, en base a nuestros resultados, está sujeta a riesgos debido a que la validez de tales conclusiones pueden alterarse a causa de (1) cambios efectuados al sistema o a los controles, (2) cambios en las condiciones de procesos, (3) cambios requeridos ocasionados por el paso del tiempo, o (4) un deterioro en el grado de cumplimiento con las políticas o procedimientos. Este informe está pretendido únicamente como información y para la aplicación de la Gerencia de OBS, sus clientes, y sus Auditores WebTrust independientes y no está destinado para ser utilizado por cualquiera fuera de aquellas partes especificadas. Este informe no incluye ninguna representación acerca de la calidad de los servicios otorgados aparte de aquellos cubiertos por la descripción de controles adjunta, ni la conveniencia de algún servicio de OBS para un propósito pretendido por cualquier cliente. [Nombre de la Firma de Auditoría] Auditores [Ciudad, Provincia] [Fecha del informe]

EJEMPLO 8 - Anexo de Controles – OuiBServices.com Anexo Uno al Informe del Auditor de TPSP PERÍODO DE COBERTURA Descripción de los Servicios proporcionados por OuiBServices.com (Opcional) OuiBServices.com hospeda a variadas empresas de Comercio Electrónico B2B que se dedican al intercambio de productos. Cada empresa es responsable de la administración de su sitio Web y de otros aspectos que involucra su negocio, incluyendo la obtención y mantención de información crediticia relevante para los participantes de la transacción antes de que sea consumada por los socios comerciales. OuiBServices.com gestiona las transacciones de intercambio y de los pagos asociados a través de sus sistemas. Cualquier mantención de los sistemas de aplicación es realizada por sus clientes en coordinación con delegados designados. Las siguientes actividades son ejecutadas por OuiBServices.Com en representación de sus clientes de Comercio Electrónico:

• Implementación del software de compra y pago, de propiedad de OuiBServices.com, dispuesto para las actividades específicas de clientes en el sistema de Comercio Electrónico por Internet



216

• Mejora continua, modificación y prueba de los sistemas de aplicación • Adquisición, configuración e implementación del servidor Web • Continuidad, y mantenimiento del servidor Web y tecnología relacionada • Provisión del servicio de acceso a Internet para el Comercio Electrónico y usos

generales • Conectividad de comunicaciones desde Internet a través de aplicaciones de

procesamiento de clientes • Seguridad de las telecomunicaciones • Configuración, mantenimiento y monitoreo de firewall (cortafuegos) para

Internet • Mantenimiento de un entorno de procesos seguros en Comercio Electrónico • Mantenimiento de la confidencialidad (privacidad) en la información de los

clientes

Controles Los siguientes controles existentes en OuiBServices.com han sido identificados por la Gerencia como aportes a la capacidad de los clientes de OuiBServices.com de lograr la conformidad con el criterio relacionado a los Principios WebTrust seleccionados. Procedimientos de control adicionales a los clientes de OuiBServices.com pueden ser necesarios con la finalidad de lograr la complacencia con todos los criterios para un principio escogido.

3.3.16 PREGUNTAS FRECUENTES A continuación se exponen las preguntas más habituales con sus correspondientes respuestas, formuladas en los países donde ya está operativo el programa WebTrust. 1. ¿Cuánto cuesta WebTrust? El costo de WebTrust es comparable a cualquier servicio de consultoría que realicen los Auditores. Al igual que dos servicios de asesoría no son iguales, tampoco lo son dos contratos de servicio WebTrust. Por lo tanto, el costo de una Auditoría WebTrust va a depender de factores tales como la complejidad del sitio Web, el hardware y el software empleado, así como otros factores intervinientes en el Comercio Electrónico. 2. ¿Qué período de validez tiene el Sello WebTrust? El Sello será válido mientras el sitio siga cumpliendo con los Principios y Criterios WebTrust. De acuerdo con esto, el sitio Web será revisado por los Auditores de acuerdo a una periodicidad que va a depender de la naturaleza y complejidad del sitio Web, lo ideal es que no sea superior a 6 meses. 3. ¿Qué motivos pueden ocasionar la pérdida del Sello? Las causas por las cuales una página puede dejar de exhibir el Sello WebTrust pueden ser 2:

• Incumplimiento de los Principios y Criterios WebTrust. • No revisión de la página en el período acordado.

4. ¿Necesita mi sitio Web algún tipo de hardware y software especial para cumplir con los Principios y Criterios WebTrust? La complejidad, el tamaño y el tipo de sitio Web influye considerablemente sobre el hardware y el software que se requerirá. Si el Website está alojado en un servidor ajeno (ISP) su inversión en hardware y software será menor pues todo se apoyará en la infraestructura del servidor. Sin embargo, si la propia empresa aloja su sitio Web, éste requerirá de un hardware y un software que garanticen la integridad de las transacciones, así como un firewall, antivirus u otros elementos que protejan la información. Estos elementos son importantes para la protección de la entidad y de sus clientes. Es una situación muy arriesgada introducirse en el Comercio Electrónico sin haber tomado las medidas de seguridad y los controles pertinentes. Es muy importante tener en cuenta que WebTrust no tiene como objeto de análisis el hardware y el software sino las prácticas de negocio, los procedimientos y los controles.



217

5. Mi empresa cumple con la normativa ISO 9000 y mis estados financieros están auditados. ¿Por qué necesito WebTrust? El Sello WebTrust ha sido concebido para ser mundialmente reconocido y aceptado por la comunidad internacional y por los internautas como la garantía de privacidad, seguridad y legitimidad en los sitios Web. El cumplimiento de la ISO 9000 es mucho más general y menos específico que WebTrust. Por otro lado, los estándares seguidos para realizar una Auditoría de los estados financieros son muy diferentes de los Principios WebTrust, además de no cubrir la seguridad que debe reinar en las operaciones de Comercio Electrónico. 6. ¿Tengo restricciones para utilizar el Sello WebTrust fuera de mi página Web? Sí. El Sello WebTrust es para uso exclusivo de los sitios Web. No puede ser copiado, duplicado o modificado de ninguna manera. 7. ¿Por qué es necesario WebTrust? WebTrust surge desde el momento en el que el Comercio Electrónico se ve frenado en su crecimiento como consecuencia de la desconfianza en este nuevo canal de ventas. Así, por una parte nos encontramos con la falta de seguridad en los pagos con tarjeta de crédito o de privacidad y confidencialidad en la transmisión de todo tipo de información personal a la hora de realizar una operación de compra de bienes y servicios o simplemente una transmisión de datos sin necesidad de transferencia económica. Por otro lado, se debe destacar la incapacidad por parte de los consumidores y clientes, para confirmar la legitimidad de aquellas compañías que, anunciándose en la red, ofrecen todo tipo de productos y servicios. 8. ¿Por qué los Auditores son los encargados de ofrecer WebTrust? Los Auditores son reconocidos como profesionales independientes que certifican la fidelidad y veracidad de todo tipo de información, tanto económica como no económica, siempre que la compañía cumpla con los principios éticos y contables. Por ello, los Auditores aplicarán toda esta independencia y objetividad, así como los amplios conocimientos y la experiencia técnica que han adquirido en el mundo de los negocios, para extenderse al ámbito de la Nueva Economía, el e-comercio. Y para ello van a hacer uso de esta herramienta: WebTrust. 9. ¿Cómo se sabe que en un sitio opera el programa WebTrust? Toda aquella empresa que cumpla con los Principios y Criterios WebTrust está legalizada y capacitada para mostrar el Sello WebTrust en su página inicial o en el formulario de pedido. 10. ¿Qué supone el Sello WebTrust? Las páginas Web que estén calificadas para reflejar el Sello WebTrust han sido examinadas y estudiadas por una firma de Auditoría Habilitada, que tras la elaboración del correspondiente informe, certifica y refleja en el mismo, que la compañía cumple con los Principios y Criterios WebTrust en referencia a la veracidad y transparencia en el negocio, integridad en las transacciones y la protección y seguridad en la transmisión de la información. 11. ¿Dónde se encuentra el informe que certifica el cumplimiento de los Principios y Criterios WebTrust? El acceso al informe se realiza, mediante certificación digital que facilita la Autoridad de Certificación Verisign Inc, haciendo clic sobre el sello WebTrust, que incorpora un enlace de hipertexto al informe favorable, a información relativa al programa WebTrust, a las Manifestaciones de la Empresa Auditada y a los Principios y Criterios WebTrust. 12. ¿Qué período de vigencia tiene el Sello WebTrust? Una página Web mostrará el Sello WebTrust en tanto cumpla con los Principios y Criterios WebTrust. Asimismo, cada seis meses (como máximo y dependiendo de la complejidad del sitio Web), la firma Auditora ratificará que la empresa no se ha alejado en el cumplimiento de los Principios y Criterios WebTrust, manteniendo así el Sello. 13. ¿Qué responsabilidad tenemos si un cliente tiene problemas con una transacción u operación de Comercio Electrónico en un sitio Web que muestra el Sello WebTrust? El Sello WebTrust está concebido para proporcionar una seguridad razonable sobre un sitio Web en su totalidad, es decir para transmitir fiabilidad sobre las transacciones que se realicen a través del mismo. No está diseñado para asegurar transacciones específicas entre empresarios y sus clientes.



218

Si advertimos la existencia de reclamaciones y discordancias con las manifestaciones de la dirección sobre sus prácticas de negocio, nos veremos obligados a reexaminar el sitio Web y en caso de corroborar un incumplimiento de éste con los Principios y Criterios WebTrust llegar si es necesario al retiro del Sello. No se nos puede exigir responsabilidad en caso de retrasos específicos, pérdidas u otros daños en los que incurran los propios consumidores del producto o servicio en cuestión ofertado por la página Web. 3.3.17 EL FUTURO DE WEBTRUST Hace varios años, cuando el AICPA y el CICA crearon los criterios y principios WebTrust, asumieron que cada cierto tiempo deberían adaptarlos y actualizarlos de acuerdo a las condiciones y necesidades del mercado y del entorno, ya que por ser un servicio ligado a una tecnología en constante evolución, requeriría de continuas modificaciones. A la fecha el programa WebTrust va en su versión 3.0 y es inevitable que los Institutos de Contadores de Estados Unidos y Canadá conciban que el próximo paso en la evolución de estas normas sea la armonización y fusión con el programa Systrust. El servicio Systrust, también creado por el AICPA y CICA y muy similar al WebTrust en sus características estructurales, es un programa que plantea como finalidad certificar a terceros de la empresa cliente (socios comerciales, clientes, proveedores) que sus sistemas, entendiendo “sistemas” como el conjunto de software, hardware, infraestructura física, personal y datos, cumplen con ciertos principios y criterios que brinden confiabilidad. Systrust es reconocido internacionalmente y refleja las mejores prácticas de Auditoría de sistemas. SysTrust emplea cuatro principios para evaluar si un sistema es fiable: Disponibilidad, Seguridad, Integridad y Mantenibilidad. Analizando ambos programas se detectan semejanzas importantes: El desarrollo de una Auditoría mediante WebTrust o Systrust no difiere demasiado; el objetivo de los dos servicios es idéntico: proporcionar confianza; los principios y criterios de ambos concuerdan. El WebTrust debe evolucionar, y su desarrollo se manifiesta en una necesidad y oportunidad de construir un servicio profesional integral en el área no solamente de Comercio Electrónico sino que además en todo lo relacionado con la informática, sistemas y tecnología de la información, y “aliarse” con el Systrust es la solución. En lo esencial el programa WebTrust no sufriría cambios substanciales, mantendría su estructura, forma de operar, formato de informes, etc., en definitiva sería como dos servicios en uno, y cada cual mantendría sus características específicas para el rol por el que fue creado. Esta unión en un “servicio de confianza” significaría por lo tanto el satisfacer los requerimientos de empresas clientes en el área de Comercio Electrónico y sistemas de información. Tal transformación de WebTrust no implica su obsolescencia, al contrario, lo fortificará como un producto que en conjunto con el Systrust transmitirá más confianza a sus clientes, socios comerciales, proveedores y usuarios, permitiendo al profesional Auditor consolidar su posición como experto en controles y procesos en una era informatizada.



219

CAPITULO IV

ADOPCIÓN DE

WEBTRUST EN CHILE



220

En el primer capítulo se establecieron los antecedentes generales y los diversos aspectos conceptuales del Comercio Electrónico, en el segundo capítulo se expuso la situación actual de Internet y del e-commerce a nivel mundial, regional y nacional, en el tercer capítulo se identificó y explicó el programa WebTrust, un servicio de Auditoría a empresas de Comercio Electrónico utilizado a nivel internacional. Ahora es necesario evaluar de acuerdo a los antecedentes recolectados y planteados la posible adopción del servicio en nuestro país. Variadas interrogantes surgen… ¿Funcionará?, ¿Existe un mercado?, ¿Están capacitados los Auditores?, ¿Es importante la confianza y seguridad del Comercio Electrónico en nuestro país?, ¿Es necesario que los Auditores se actualicen de acuerdo a las nuevas tendencias? En definitiva lo principal es responder a la siguiente consulta ¿Se puede implementar WebTrust en Chile? El responder implica conocer los diversos actores que podrían intervenir en su implantación y operación, las opiniones de los potenciales clientes del servicio, el estado en que se encuentra el mercado del Comercio Electrónico y de Internet en Chile, posibles competidores del sello en nuestro país e instituciones que proveerán el servicio. Evidentemente evaluar la aplicabilidad de WebTrust comienza por el siguiente cuestionamiento: 4.1 ¿POR QUÉ SE DEBE APLICAR EN CHILE? Es un hecho que la desconfianza inhibe el impulso de comprar por Internet en nuestro país, ello ocasiona que el mercado no prospere y se estanque, por ello es tan importante implantar un servicio como el WebTrust, además de su reconocimiento a nivel internacional como un sello de garantía para los sitios Web conlleva una revisión a cargo de un profesional altamente calificado que se basa en principios y criterios específicos para este tipo de negocios. En el ámbito de la seguridad de los sitios Web, un análisis del Centro de Economía Digital100 de la Cámara de Comercio de Santiago, concluyó que el mercado local se encuentra retrasado en la adopción de estándares que los haga confiables ante los usuarios. Sólo un 12% de los sitios chilenos exhibe políticas de privacidad y un 17% de seguridad, lo que representa las proporciones más bajas del grupo de países analizados. Los sitios de países que podrían considerarse más competitivos con la realidad nacional, como Argentina y Brasil, muestran estándares superiores en estas materias a los chilenos. En Estados Unidos la preocupación por la protección de las comunicaciones y transacciones en Internet es evidente: más de la mitad de los sitios tiene políticas de privacidad y cerca del 40% publica sus normas de seguridad. Estas deficiencias en el uso de seguridad no sólo tienen un sentido comparativo, sino que además limitan las posibilidades de interacción de los sitios locales con sitios y usuarios extranjeros, los que comienzan a exigir estándares en la materia, como puede ocurrir con el WebTrust. Contrariamente el tema de la seguridad se ha difundido y adoptado con mayor rapidez entre los sitios B2C y B2B, observándose que el 71% y el 48% respectivamente ejecuta transacciones en ambientes seguros, y el 60% aproximadamente de los sitios posee certificados digitales. De acuerdo a lo anterior podríamos creer que el tema de la seguridad en Internet está solucionado con la adopción de la certificados digitales, encriptación y firma electrónica, pero no, si bien estas herramientas permiten enviar información codificada, autentificar, mantener la confidencialidad, asegurar la integridad y eliminar la posibilidad de repudio, no terminan con los riesgos asociados a los negocios de Comercio Electrónico, pues no todos los incidentes de seguridad y fraudes ocurren en el intercambio de información. Asimismo, para el usuario normal que ocasionalmente compra por Internet, la adquisición de una firma electrónica implicará un costo alto en comparación con las transacciones que efectúe, lo mismo en el caso de un certificado digital. Para el caso de las empresas, como alternativa deben implementarse otros mecanismos más económicos para salvaguardar sus intereses respecto de los fraudes que puedan ocasionarle ciertos individuos, ya sea asociar al número de la tarjeta de

100 El estudio se basó en el análisis de muestras aleatorias de 740 sitios web en 7 países y contó con la colaboración de los alumnos de la cátedra de E-business de la facultad de Economía de la Universidad de Chile



221

crédito una clave secreta, de esta forma si es que están realizando una compra fraudulenta con la tarjeta no podrán hacer nada con el solo hecho de poseerla y saber su número y fecha de vencimiento, tendrán que obligatoriamente conocer un password que le permita completar la transacción. La firma electrónica, los certificados digitales y el mismo sello WebTrust son instrumentos destinados para las empresas (aunque ciertos individuos que ejecuten transacciones de montos considerables en bolsa o con Bancos necesitarán las dos primeras herramientas de seguridad), ellas deben transmitir credibilidad, confianza y transparencia a sus clientes y usuarios, y a las demás entidades. Solamente con una revisión exhaustiva de los procedimientos, políticas, recursos y criterios utilizados por las empresas de Comercio Electrónico, serán capaces de traspasar estas sensaciones a los sectores en que se desenvuelve y a los que satisface con sus productos o servicios. Simplificando, las siguientes son las razones del por qué WebTrust se debe aplicar en Chile:

• Reduciría los riesgos a transacciones de Comercio Electrónico • Aumentaría la confianza en este tipo de negocios • Existencia de bajos niveles de seguridad en sitios Web chilenos • Permitiría la evaluación de procesos y procedimientos a cargo de calificados

Auditores • El departamento de Comercio Electrónico de las empresas debe ser evaluado

como un área diferente que posee características especiales, y no con los métodos tradicionales utilizados para cualquier negocio

• Hoy, en un mundo globalizado, Chile necesita de estándares que le permitan igualdad de condiciones ante los demás países y en lo que respecta al Comercio Electrónico esos estándares los ofrece el programa WebTrust.

• Aumento de las transacciones y servicios por Internet • Proveer de una revisión integral a los negocios electrónicos • Nacimiento de un nuevo campo de desarrollo para los profesionales Auditores

del país • Dotar a las empresas del país de un programa específico para auditar negocios

electrónicos • Conocer sistemas nuevos de Auditoría, tanto a nivel profesional como a nivel

educativo (universidades) La implementación en Chile de un servicio como el WebTrust solamente conlleva beneficios, a todo nivel. 4.2 SELLOS DE CONFIANZA UTILIZADOS EN NUESTRO PAÍS Al visitar diversos sitios web chilenos es posible apreciar la utilización de ciertos sellos en su página de inicio, cuales son:

Sello CONFIARe de Privacidad, creado por la Cámara Nacional de Comercio, Servicios y Turismo, para aquellos sitios web que se adhieran a los principios de respeto a la privacidad delineados por el programa, y que se comprometan a considerar estos principios en su relación con los

usuarios y a seguir los procesos de resolución de conflictos en materias de privacidad establecidos por CONFIARe.

El sello CONFIARe desplegado en los sitios web significa para los usuarios un sello de garantía a través del cual el sitio web comparte abiertamente ciertas definiciones mínimas en torno a qué información está siendo recolectada, cómo será utilizada, con quién será compartida y si el usuario tiene la opción de controlar su divulgación.

Este sello es gratis y las empresas solamente tienen que completar un formulario de inscripción y de obediencia de los principios elaborados en el programa.

Al contrario del sello WebTrust las políticas de privacidad de CONFIARe son muy básicas y no se realiza una revisión exhaustiva de los controles y procedimientos de la empresa de Comercio Electrónico.

La cámara Nacional de Comercio (CNC) ha creado en estos últimos años una variedad de servicios relacionados al Comercio Electrónico, y lamentablemente no ha surgido una competencia que permita al usuario y a las mismas empresas contar con una



222

gama de alternativas de servicios más integrales y que otorguen mayor confianza como lo es el WebTrust. Incluso varios de los productos ofrecidos por la CNC se asemejan a los ofrecidos en otros países y por que no decirlo, al mismo WebTrust.

Sello de Sitio Seguro de Verisign, esta organización mundial ofrece variados servicios de certificación, además ofrece sellos de servidores seguros, de servicios WAP, de identificación de usuario, etc. Verisign a través de la filial en Argentina, CertiSur, promueve y entrega los servicios en la región. Estos sellos se asocian más a certificados digitales y a seguridad técnica tales como encriptación, PKI, y no a evaluación de

procedimientos y controles. Desafortunadamente cuando utilizan la frase “servidor web seguro” y “sitio web seguro” por lo general se refieren a un servidor y sitio que instrumenta ciertos protocolos criptográficos, sin embargo los protocolos criptográficos son útiles para proteger la información que viaja por Internet, pero no son suficientes para otorgar la seguridad integral que necesitan los negocios de Comercio Electrónico. Resulta de importancia señalar que algunas instituciones y organizaciones Auditoras internacionales han creado sus propios sellos de confianza, tal es el caso de PriceWaterHouse, que “basándose”, por decir lo menos, en los principios y criterios de WebTrust creó su programa de declaración del consumidor on-line (Customised On-Line Attestation, COLA). PriceWaterHouse ya posee la licencia de WebTrust y lo ofrece como uno de sus servicios, quizás la necesidad de introducir un sello propio motivó el origen de COLA, que es muy similar a WebTrust.

4.3 ¿ESTAMOS PREPARADOS? Para que el servicio WebTrust pueda implementarse en Chile es necesaria la intervención de ciertos participantes. Quien da el servicio El Auditor, la firma de Auditoría o algún instituto de contadores o Auditores que obtenga la licencia del AICPA/CICA para brindar el servicio WebTrust. Para ello se estableció contacto con el Colegio de Contadores de Chile, pues como ha sucedido en España, Puerto Rico y Argentina la licencia la poseen colegios de Profesionales, en España es el Instituto de Auditores Censores Jurados de Cuentas, en Puerto Rico es el Colegio de Contadores Públicos Autorizados, y en Argentina es la Federación Argentina de Consejos Profesionales de Ciencias Económicas. Vía contacto por mail, carta, telefónica y personal, se solicitó la cooperación en lo concerniente a requerir antecedentes ante el AICPA sobre valores de la licencia, duración, condiciones, etc., ya que ellos no entregan esta información a individuos, pero si a un organismo como el Colegio de Contadores. Lamentablemente esta acción no prosperó a pesar de gestionar su colaboración en la sede Regional y en la casa central en Santiago, ante esta disposición quedó descartada la posibilidad de que el colegio de contadores sea la institución que implemente y ofrezca el servicio en Chile a través de sus asociados, pues no dieron muestras significativas de interesarse en el tema. Adicionalmente, se debe considerar que el ser Auditor de WebTrust requiere una especialización y constante modernización en temas informáticos, además influirán razones de índole económica en la decisión de si se gestiona o no la licencia WebTrust, por lo que ello también pudo influir en la pasividad del Colegio de Contadores. La otra alternativa para ofrecer el servicio recae en las Firmas Internacionales de Auditoría, ya que ellos poseen la Licencia a nivel global. Se contactó a tres de ellas: PriceWaterhouseCoopers, Deloitte & Touche y Ernst & Young. Ejecutivos de Deloitte y de Ernst conocían muy superficialmente el tema e indicaron que en Chile no está operativo ni existe un proyecto para su implementación. En PriceWaterhouseCooper señalaron que el servicio WebTrust se implementaría en nuestro país en un mediano plazo. Personal de la empresa se encontraba en estudio y análisis de los correspondientes manuales y en su inicio se requerirá de personal extranjero para realizar la Auditoría.



223

En definitiva, las encargadas de otorgar el servicio en nuestro país serían las firmas Auditoras internacionales, ya que ellas poseen la licencia a nivel global, cuentan con personal idóneo y pueden solventar los costos operativos que involucra el servicio WebTrust. Sin la participación de las principales firmas de Auditoría es poco probable que WebTrust se implemente en Chile, a menos que una empresa extranjera, de un país cercano, suministre tal servicio. Quien contrata el servicio Cualquier empresa que posea un sitio Web, en el cual realice transacciones de bienes u otorgue un servicio. A Marzo del 2002 en Chile existían en total 831 sitios entre B2C y B2B, de los cuales 401 cumplen los criterios definidos para asignarlos dentro de la categoría de sitio de Comercio Electrónico. Las proyecciones expuestas en el segundo capítulo son promisorias, en el sector de usuarios de Internet se prevé una penetración para el 2004 del 30% de la población chilena, esto es cerca de 5 millones de internautas, cifra que tenderá al aumento facilitado por el acceso a Internet en los colegios, Universidades, junto a iniciativas privadas y gubernamentales (Telecentros), además de las posibilidades de adquirir computadores a precios bajos y de los distintos planes de conexión a Internet asequibles para la mayoría de los chilenos. Los mismos estudios citados indican que el 61% de las empresas chilenas cuenta con alguna forma de acceso a Internet y el 11% posee sus propios sitios Web, situación que contrasta con lo observado a fines de 1999 cuando solamente un 42% de las empresas disponía de acceso a la red. De igual forma, durante la Navidad del 2002, en vez de buscar ofertas en las calles atestadas de gente, un contingente, nada de despreciable, prefirió quedarse en su casa, y cómoda y tranquilamente y con el mínimo esfuerzo efectuó sus compras a través de Internet. Según las principales multitiendas, Falabella, Almacenes París y Ripley esa tendencia va en aumento, con un crecimiento estimado para el año 2003 del 50% y claramente en una curva en alza. Gonzalo Anabalón, gerente comercial de Falabella Internet, afirmó que el año 2002 en Navidad habían duplicado sus ventas101. “Este negocio cada vez se está consolidando más, porque la gente prefiere evitar el calor, la aglomeraciones, los tacos, asaltos, e ir a los malls”, agregó. En Almacenes París en los días previos a Navidad despacharon, aproximadamente, 50 mil regalos, envueltos y con una tarjetita de saludos, al punto de que la empresa debió contratar más personal en bodega. Andrés Silva, Subgerente de negocios de Almacenes París, indicó que las ventas durante estas fechas se han duplicado en relación con el año pasado, a su juicio “este es un sistema que se va consolidando, y que llegó para quedarse”. Por su parte Marcelo Acosta, gerente de Comercio Electrónico de Ripley, señaló que en los días previos a la Navidad la demanda aumentó en un 100% respecto de los mismos días del año anterior. Consideró la cierta apatía de los chilenos por comprar en Internet a factores como la desconfianza y a la relativa penetración de los computadores entre los consumidores. Falabella, Almacenes París y Ripley concentran la mayoría de las ventas por Internet. Ejecutivos de las dos primeras multitiendas, una vez expuesto el servicio WebTrust, expresaron su opinión respecto a él, parte de la entrevista realizada en Santiago se reproduce más adelante. Indudablemente la contratación del servicio por parte de estas empresas dependerá también del valor que le asignen las firmas Auditoras. Para quien es el servicio El cliente o usuario de la empresa o entidad que posee un sitio Web en Internet.

101 Información aparecida en el Diario Las Últimas Noticias, del día 26 de Diciembre del 2002.



224

Inicialmente, con el servicio WebTrust, las empresas evaluarán sus procedimientos, políticas, logrando de esta forma optimizar su gestión, operaciones y entorno, pero el objetivo final de ello es transmitir confianza y seguridad a sus clientes y usuarios, para que sin temor y preocupación se establezcan relaciones comerciales mutuas y permanentes en Internet. La inversión que efectúen las empresas contribuye directamente a consolidar los beneficios por la preferencia de quienes compran o contratan un servicio en su sitio Web, lo que se traduce en rentabilidad. El conocimiento de los usuarios sobre las condiciones de seguridad y privacidad que los sitios Web deben de cumplir les hará más exigentes al momento de realizar alguna transacción por Internet o entregar información de carácter privado. Quizás en un futuro cercano la adopción de estándares para los negocios electrónicos sea tan común como las normas ISO, y es allí donde WebTrust posee ventajas considerables. 4.4 OBSTÁCULOS PARA SU IMPLEMENTACIÓN Entre las principales barreras para el desarrollo de un programa como el WebTrust en Chile se identifican aspectos de tipo cultural. El uso de este servicio avanzaría en forma lenta y ello sería producto de la ausencia de una masa crítica de transacciones electrónicas que genere una demanda significativa por herramientas como WebTrust. Esto se debe a que por el momento sólo un porcentaje menor de los usuarios – tanto empresas como personas – realiza transacciones comerciales en Internet. Los principales motivos tras esta conducta se refieren, como ya se ha mencionado, a barreras culturales y al temor a las brechas de seguridad de la red. Tal situación se mantiene a pesar de los resultados obtenidos durante la Navidad del 2002 en torno al Comercio Electrónico y de las proyecciones existentes para este sector. Otro obstáculo es el desconocimiento de los usuarios y empresas acerca de los riesgos reales involucrados en las transacciones electrónicas por medios inseguros. Normalmente, las personas están familiarizadas con el más conocido de los fraudes, el robo del número de la tarjeta de crédito, motivo por el cual algunos usuarios evitan la compra en línea. Sin embargo, existen muchos otros riesgos de seguridad que habitualmente los usuarios y entidades desconocen, como la suplantación de personas, empresas, sitios web, y la violación de los correos electrónicos. Este desconocimiento inhibe una mayor demanda por servicios como el WebTrust. El costo del servicio quizás sea un impedimento para que funcione en nuestro país. A pesar de que las firmas de Auditoría (en sus oficinas nacionales y sitios web internacionales) no dieron información respecto al precio, un dato referencial del servicio en el extranjero permite estimar que el valor anual bordearía los diez millones de pesos. Aún es prematuro señalar si al establecerse el WebTrust en Chile mantendrá el mismo valor, aunque presumiblemente debería ser bastante menor. Otra dificultad es la dependencia de que el servicio solamente puedan ofrecerlo las firmas Auditoras Internacionales. Si ellas evalúan y determinan la inoperabilidad del sistema en Chile (por costos, por el mercado limitado, etc.) simplemente nunca se conocerá. 4.5 Opiniones La implementación de un servicio como el WebTrust en Chile se logrará amén de ciertos sectores participantes en el Comercio Electrónico, su opinión es muy valedera y permite vislumbrar la aceptación o indiferencia hacia un programa de este tipo. Para obtener su apreciación se estableció contacto vía mail en los que se les exponía una introducción al servicio WebTrust y se consultaba respecto a si un sistema de este tipo funcionaría en Chile, la validez que tendría al efectuar un Auditor la revisión sobre procesos y criterios que son utilizados internacionalmente, la importancia para las empresas de otorgar seguridad y confianza a sus clientes o posibles clientes y obstáculos o ventajas que se encontrarían al implantar el sistema en nuestro país. Se obtuvo escasa respuesta a la multitud de mails enviados, lamentablemente no se pudo obtener la opinión de docentes y directores de la carrera de Auditoría de distintas Universidades102 en relación al tema mismo y a la importancia de incluir nuevos conocimientos y metodologías asociadas al rol del Auditor en la Nueva Economía. De igual forma, a pesar de establecer contacto con las principales firmas de Auditoría en

102 Se excluyó a la Universidad de La Serena



225

una visita a santiago, no contestaron los mails remitidos solicitando su apreciación sobre la implantación del sistema en Chile. Las siguientes son las respuestas: “El otorgamiento de un sello para ser exhibido en la página web, en lo referente a que dicha página reúne los requisitos del caso, involucra una opinión del Auditor a una fecha y por un período determinado. El Informe de los Auditores, inherente al sello, es respecto a la revisión efectuada. Desde luego que es conveniente y bueno para la profesión el aumento de la cobertura a través de este servicio.” Rodrigo Moraga Guerrero Gerente general Amp-Group www.amp-group.cl

“En general el tema de certificación de sitios de cualquier tipo, usabilidad, seguridad, privacidad no ha prendido mucho en el mercado local, de hecho me ha tocado participar en algunas iniciativas en esa área, las empresas no ven en general un valor agregado en esta zona, hoy en día existen diversos sitios de certificación y su desempeño ha sido pobre.

Mi impresión es que mientras los usuarios de un determinado servicio y/o sitio no aprecien realmente lo que implica una cierta certificación no la va a adoptar, creo que la única en la cual si perciben un real valor son aquellas en las cuales se certifica en sitios B2C o B2B que al momento de gatillar una transacción electrónica se encuentran en un servidor seguro, por ejemplo con el logo de certificación Verisign o algo similar.”

Alejandro Barros Presidente Ejecutivo - e.nable Gerente de Desarrollo - Chile Compra Perito Judicial www.chilecompra.cl www.enable.cl

“En chile difícilmente veremos a WebTrust funcionando o acreditando. Pues aun en nuestros servidores no existen los programas o bases de datos como para mantener un nivel de privacidad, en cuanto a la transferencia de datos. Segundo los e- commerce sólo se pueden ver funcionar con ciertos tipos de artículos. O sea, no puede ser ropa ya que esta debe ser probada y existe una factibilidad de devolución o cambio de la prenda. Te lo comento pues nosotros tenemos la mayor demanda en visitas y compras, y debemos dejar en claro a nuestros clientes que ello deberán hacerse cargo de todos los costos asociados a los cambios ( fletes) Además para establecer un e- commerce realmente debes manejar un inventario asociado a una base de datos, la cual puede verse afectada, tu vendes, aseguras tu compra con la tarjeta de crédito. Luego el almacén verifica la compra y se da cuenta que no tiene en existencia. El cliente ha dado todos sus datos de identidad y número de tarjeta de crédito y no se ha consumado la venta. En buenas cuentas esta licencia se obtiene al igual que la calificación ISO para las industrias de fabricación. Personalmente he tratado por todos los medios de establecer los rangos de privacidad, pero siempre queda un cabo sujeto a mal uso” Sofía Victoria Ingeniera y Auditora www.sofiavictoria.cl

“El uso de un sello, en este caso para otorgar confianza sobre la seguridad de un sitio de Comercio Electrónico, siempre será útil pero puede que nunca se utilice si el mercado no internaliza la necesidad de su existencia, o no reconoce en la entidad que lo otorga las competencias, experiencia o renombre en el tema sobre el cual está



226

haciendo esta 'certificación'. Por ello, lo primero a tener en consideración es el nivel de reconocimiento de la comunidad (oferta y/o demanda) sobre la institución que lo va a otorgar, y lo mismo sucede si se trata de un producto extranjero. Por ejemplo, en estos momentos existen algunas empresas reconocidas por sus competencias en Auditoría de seguridad de sistemas computacionales, para las cuales sería mucho más fácil integrar un producto como el que mencionas, pero no ocurre lo mismo con una institución que se inicia en esa área. En términos de validez, lo más usual es que venga dada por el mercado ya que es un tema para el cual no existe regulación, y el uso de estándares (por ejemplo los 7 principios que mencionas) es voluntario. Así, mientras no exista reglamentación que obligue a cumplir con ciertos niveles de servicio, lo que se puede hacer es buscar apoyo de representantes empresariales que entiendan y quieran el beneficio que puede dar la implementación de prácticas, en este caso de seguridad.” Verónica Achá Directora de Investigación Tecnológica Aplicada Corporación de Inversión Tecnológica de Chile www.intec.cl

“Estoy absolutamente de acuerdo con la existencia de programas privados que certifiquen los sitios web. En Chile hay varios esfuerzos al respecto, tal vez los más destacables son los de la Cámara Nacional de Comercio y de la Cámara de Comercio de Santiago. Con relación al programa WebTrust es un programa que mundialmente ha tenido buena recepción, con todo no creo que sea el único ni el mejor modelo a implementar. No hay que olvidarse que este tipo de programas surgen como consecuencia de la convicción de que la mejor manera de hacer eficiente la Red es por medio de la autorregulación, la que apunta básicamente a evitar que los Gobiernos dicten normas que podrían eventualmente rigidizar el funcionamiento de Internet. A nivel de nuestro Gobierno el proyecto de normas que regulen la protección de los consumidores en sus relaciones con proveedores en plataformas electrónicas contiene una norma que dispone que el Sernac promoverá la creación y desarrollo de mecanismos de autorregulación de los proveedores, cuyo objetivo sea la protección de los consumidores en sus relaciones por vía electrónica. Lo anterior obedece a un primer reconocimiento de que el mundo privado se ocupe de generar programas como el que ofrece WebTrust.” Raúl Arrieta Ministerio de Economía www.tramitefacil.cl

“Me parece muy interesante el tema. Nosotros somos una empresa de Auditoría pequeña, por tanto nuestra apreciación no pasa de una posición teórica. Hoy en día las Auditorías a los procesos y a los sistemas computacionales son relevantes en el quehacer de los Auditores. Dados los costos que podría significar esta certificación, lo veo sólo referido a las grandes empresas, las que además tengan relaciones o intereses internacionales, que hagan beneficioso mantener esta certificación. Es probable que con una mayor Globalización, y al igual que con las normas ISO, el país en un mediano plazo deba ir evolucionando (y también las empresas de Auditores) a adoptar criterios y normas internacionales. Como símil, te puedo mencionar que en Europa se aplica un estándar de calidad a las empresas estatales, tema que recién en Chile con el caso de coimas se empezará a discutir. Debes considerar que la Contraloría General de la República se encuentra copada en sus recursos, de los que además destina un importante porcentaje a materias administrativas al interior de su repartición. Entonces, siendo bueno un modelo para las empresas públicas, ¿cómo se abordaría?, sólo con más recursos del Estado ¿de dónde saldrían?



227

Según como lo vemos, partiría por las empresas de primer nivel.” Juan Carlos Lindsay Socio www.lindsay.cl

Las próximas apreciaciones forman parte de entrevistas realizadas en Santiago: “En la medida que hemos dado más dinámica al mercado hemos sido capaces de pasar de un conjunto de compradores pioneros a clientes que interactúan de igual a igual que como con una tienda física, con la diferencia que nosotros damos un valor agregado, que es el tema de la conveniencia en cuanto a mejores precios, comodidad. La gente aún valora el tema de la seguridad. ¿Este sitio es seguro? Seguro en cuanto a qué, de que me vayan a robar los datos personales, password, yo creo que sigue siendo un tema sensible. ¿En qué medida un sello me puede aportar? A mi me interesa cumplir con ciertos estándares de seguridad porque es bueno para el negocio, independiente de un sello, porque el día en que, por ejemplo, descubran que a Almacenes París le robaron 20.000 claves de los clientes el negocio se acaba. Ahora, ¿En qué me puede aportar un sello? La gracia es que el sello que le voy a poner a mi sitio tenga una marca que perciban los clientes, si yo le pongo al sitio que diga: Auditada por Auditores Juanito no sé qué, no sé si la gente va a saber quién es Auditores Juanito, en la medida que yo diga: estoy implementando estándares internacionales y los Auditores son Price, Ernst o alguna de las grandes firmas de Auditoría van a decir: oye, esta empresa va por la vía segura. Los que conocen, que no son pocos, dirán: está operando bien. ¿En qué me aportaría el sello?...Por supuesto, además de las normas que son buenas para mí, este sello sería una ventaja, una promoción de las condiciones en que trabajamos, dirán: Esta empresa fue auditada por Price, bueno, los que no conocen a esta firma no les va a importar, pero por último va a tener el efecto del boca en boca, se va a transmitir la noticia, en esa condiciones yo veo que el sello nos va a aportar con un marketing adicional. El tener o no el sello comparémoslo un poco con las empresas que quieren ser ISO 9000, hay instancias en las cuales hay alguien que tiene que elegir entre dos alternativas: ¡Eh! Esta es ISO 9000 y esta otra no, lógicamente me quedo con la primera. Ahí hay un incentivo importante por el cual las empresas quieren ser ISO, el tema es ¿Por qué lado las empresas tienen el incentivo de tener este sello? Como te digo esto no excluye de que realmente uno va a querer cumplir con esas normas porque es totalmente necesario para el desarrollo de su negocio, porque yo igual aunque no me ofrezcan el sello me voy a preocupar de que las transacciones sean seguras, que no haya repudio, es decir, voy a buscar todas las herramientas para que el riesgo asociado a las transacciones se vea reducido. La aplicabilidad de un sello va a depender del valor agregado que dé, yo no sé la experiencia que ha tenido en Estados Unidos y en cierto sentido es bueno que la empresas que no tengan claro lo del tema de seguridad adopten esta normativa. Si yo tuviera un conjunto de normas que fueran como un estándar y que tendría que adoptarlas, me encantaría, ya que es interesante contar como organización con un conjunto de principios que me permitan decir: yo creo saber cuales reglas tengo que cumplir, y mejor si después de la evaluación puedo comentar: Ah, que bueno, las estaba cumpliendo todas. Lo del sello, bajo esas condiciones, yo creo que nos podría interesar como empresa. Por otra parte es importante que profesionales se especialicen en estos temas, nosotros tuvimos Auditoría externa hace poco, se dieron una vuelta por este departamento y estuvieron revisando procedimientos en forma general, no te puedo decir que eran expertos en Comercio Electrónico, tenían una noción más o menos avanzada, pero no eran especialistas en este negocio, lo veían como la extensión de un comercio normal.” Eduardo Casarino Y. Ingeniero de Operaciones Almacenes París www.almacenesparis.cl

“Nosotros, como una empresa líder de mercado y que orienta su política comercial a entregarle a sus clientes confianza, y una experiencia de compra única y buena, estamos completamente abiertos a utilizar todos los



228

medios tecnológicos que nos permita dejar en claro al cliente que su experiencia es segura, que cuenta con todo nuestro respaldo y que al ingresar, comprar, y pagar en nuestro sitio web sienta que su transacción es lo más normal y confiable. La confianza del cliente te va a generar fidelidad, una buena experiencia en la compra va a mantener al cliente y va a atraer a otros, el punto relevante en una compra on-line es la confianza, en el medio, en la forma de pagar, en que se carguen los montos en las condiciones que lo pediste, y después viene todo este tema logístico en que tu me digas que llegó embalado como lo querías, en la fecha que debía, en definitiva es super importante otorgar al consumidor una experiencia de compra ideal. El negocio on-line ha creado una serie de desconfianzas, que son por lo demás lógicas, en algún momento hubo una explosión de empresas punto com, que no tenían ningún respaldo, la gente no sabía quién estaba detrás del sitio web, no se sabía si habían operaciones reales, si había logística, si había un soporte económico. Aparte hubo una quiebra interminable de estas empresas, entonces igual se entregaron una suerte de mensajes bastantes negativos a los consumidores, como diciendo que estos negocios son extraños, son frágiles, que no tienen el peso de un negocio tradicional, físico. Entonces, empresas como nosotros, y otras que también son serias y que llevan años trabajando en esto han puesto interés en marcar la diferencia, y ello se logra con páginas web seguras, con medios de pago y una logística sólida. Actualmente a nosotros nos auditan, pero ello se limita a las visitas a la página, estadísticas, la navegación, los flujos que existen, el número de transacciones, no es una Auditoría propiamente tal a los procesos como empresa de Comercio Electrónico. Todas estas empresas de humo causaron el desprestigio y la desconfianza hacia el sistema y si uno empieza a ahondar en esto y cae en el tema que estás estudiando, lógicamente es conveniente, yo creo, desde el punto de vista nuestro, que todo lo que permita entregar a nuestros clientes confianza y seguridad, va a ser implementado, pero que no te quepa la menor duda. En cuanto al sello hay una parte que también es relevante, que es el tema de la internacionalización dentro del negocio. Nosotros estamos en Perú, Argentina, y el protocolo que me has explicado es algo internacional, sin duda que es ventajoso considerarlo. Aún más si como tu has dicho el servicio lo otorga una empresa de Auditoría de Chile, nosotros estaremos receptivos a implementar todo lo que signifique para nuestros clientes, que son nuestro activo, el sentir que están generando una transacción segura, para nosotros es lo más importante, que en cada una de las etapas de la compra todo funcione perfectamente. Además, ante ciertas normas internacionales que se vuelven un estándar las empresas se adaptan o se adaptan, pero adaptarse en el fondo significa estar de acuerdo, o sea, no se puede ir contra la corriente, como fue el caso de las ISO” Gonzalo Anabalón Gerente Comercial Falabella Internet www.falabella.com

Las opiniones anteriores, manifiestan conclusiones muy importantes acerca de la operabilidad del servicio WebTrust en nuestro país, las cuales se han sintetizado como sigue:

• Un servicio con tales características es conveniente y bueno para la profesión. • Mientras los usuarios no aprecien herramientas de este tipo las empresas no la

van a utilizar. • Las empresas no ven un valor agregado en el tema de la certificación, ya sea

asociado a la privacidad, seguridad u otros. • La institución que otorgue el sello debe ser competente, con experiencia y de

renombre para que el mercado confíe e internalice la necesidad de existencia del WebTrust.

• Es más fácil para una institución capacitada y experimentada el área de Auditoría de sistemas computacionales integrar un producto como el WebTrust.

• Los estándares de WebTrust son voluntarios (al menos en nuestro país) por lo que mientras no exista reglamentación que los exija las empresas no lo considerarán una necesidad.



229

• Actualmente las Auditorías a los procesos y a los sistemas computacionales son relevantes en el quehacer de los Auditores.

• Dado los costos que podría significar esta certificación, sólo se referirá a las grandes empresas, las que además tengan relaciones o intereses internacionales, que hagan beneficioso mantener esta certificación.

• Es probable que con una mayor Globalización, el país deba ir evolucionando y adoptar criterios y normas internacionales.

• Lo importante es que el sello que se le instale al sitio web tenga una marca que perciban y aprecien los clientes.

• El sello sería una ventaja, una promoción de las condiciones en que trabaja la empresa, aportaría con un marketing adicional.

• A futuro podría tener la misma validez que las normas ISO 9000, entre elegir a una empresa que tenga o no el sello se optaría por lo primero.

• Los Auditores no son especialistas en Comercio Electrónico, lo ven como una extensión del comercio normal.

• La confianza del cliente va a generar fidelidad, una buena experiencia en la compra va a mantener al cliente.

• Las Auditorías actuales se limitan a las visitas a la página, estadísticas, flujos que existen, no es una Auditoría propiamente tal a los procesos como empresa de Comercio Electrónico.

• Todo lo que permita entregar a los clientes confianza y seguridad va a ser implementado.

• Lo relevante del sello también es el tema de la internacionalización dentro del negocio, es ventajoso el que WebTrust sea conocido en varios países.

4.6 CHILE, EN LA SENDA DE WEBTRUST Nuestro país no es una isla, alejada de la modernización y de la tecnología. Hemos sido testigos de cambios sociales, económicos y culturales a gran escala, esta e-volución se encuentra presente y ciertos sectores deben de acoplarse e integrarse a lo que ello significa. El programa WebTrust es un ejemplo de ello, es algo nuevo para Chile, es un cambio para los profesionales de la Auditoría, es un cambio para las empresas, los usuarios y clientes. La Auditoría tradicional debe modernizarse y aprender de los criterios y principios para examinar a las empresas de Comercio Electrónico, los mismos Auditores deben aprender, promover y vender el servicio y no estancarse en sus conocimientos. ¿WebTrust en Chile?, ¿Por qué no?, estamos en mejores condiciones que algunos países que poseen la licencia y ofrecen el servicio, entonces, ¿Qué nos falta?, solamente que las firmas internacionales de Auditoría lo incluyan dentro de los servicios que proporcionan en nuestro país y lo promuevan, pues si las empresas que son los potenciales clientes desconocen el producto ¿Cómo se van a enterar de sus beneficios? Por lo tanto, WebTrust sí se puede implementar en Chile, ¿Por qué? Porque existen las instituciones que puedan ofrecerlo, estas firmas Auditoras ya obtuvieron la licencia a nivel mundial lo que permite su implantación en cualquier país donde mantengan oficinas, ahora, una vez establecido el servicio varios factores incidirán en su factibilidad; el mercado, los usuarios, el entorno, la aparición de nuevos mecanismos de seguridad, la estabilidad del servicio en el extranjero, etc. Es difícil efectuar una proyección relativa a si WebTrust funcionará en nuestro país, su permanencia involucra en lo medular el reconocimiento de los clientes de empresas web hacia un servicio proporcionado por profesionales calificados. Por lo demás, el resultado de su implantación está condicionado por variables de tipo económicas, sociales, culturales, y tecnológicas; en definitiva, las mismas variables que propiciaron el nacimiento y desarrollo de Internet y del Comercio Electrónico, y que indudablemente se vieron afectadas por estos fenómenos, pueden resultar cruciales y determinantes en el éxito o fracaso de WebTrust.



230

CONCLUSIONES Como se ha evidenciado en el desarrollo de esta tesis, para la gestión exitosa de cualquier actividad en Internet es necesario que se considere una premisa básica: La confianza. La toma de conciencia sobre tal necesidad obliga a que las empresas establezcan una “comunidad de confianza” con sus clientes, proveedores, socios comerciales y usuarios. Es un hecho que actualmente las organizaciones se enfrentan a diario a un vasto y complejo universo de riesgos tecnológicos y operativos, a los cuales no siempre se les presta la suficiente atención, generándose en muchos casos importantes daños de carácter patrimonial, estratégico, legal y a la reputación de la empresa. La adopción de un sello WebTrust emitido por profesionales Auditores minimizaría los riesgos en base a exigentes estándares de utilización internacional. Tales afirmaciones son sustentadas por los cuatro capítulos expuestos en este trabajo, de los que separadamente se pueden obtener además las siguientes conclusiones: Capítulo I

• La convergencia de fenómenos como la Globalización, Revolución Tecnológica, Sociedad de la Información, Nueva Economía e Internet permitieron el nacimiento del Comercio Electrónico.

• Estas transformaciones afectaron a las personas y entidades, en aspectos asociados a lo cultural, social, económico y tecnológico.

• Surgieron, luego de la crisis de las puntocom, modelos sólidos de Comercio Electrónico, los que deberán ser adoptados por las empresas a fin de no perder competitividad en los mercados.

• Internet y el e-commerce introdujeron una interacción con el cliente-usuario permanente, todo el año, los 7 días de la semana y las 24 horas del día, logrando fidelización de su parte, a la vez que lo torna más exigente.

• El inhibidor más importante en el desarrollo del Comercio Electrónico es la desconfianza.

• Existen diversas herramientas de seguridad para los negocios electrónicos, destacando la utilización de encriptación, firma digital y certificados digitales y protocolos criptográficos.

El Comercio Electrónico posibilitó a que las empresas se insertaran en un contexto global, compitiendo de igual a igual en un mercado virtual, si bien nunca reemplazará a los negocios tradicionales debido a que ellos conllevan un proceso social y de entretención, otorga una nueva forma de realizar transacciones, con apreciables ventajas. Su operabilidad y permanencia debe ser sustentada por la seguridad con que maneje sus procesos y procedimientos, que alimentaría la confianza que es el valor agregado obligatorio que deben de entregar. Capítulo II

• Si bien Estados Unidos se mantiene como líder en el uso de Internet y Comercio Electrónico, puede ser reemplazado por países asiáticos que congregan una población potencial como usuarios de estos servicios.

• Los beneficios de la utilización de tecnologías son capturados por países desarrollados, y por lo tanto, se está potenciando un proceso de divergencia, en contraposición al estado natural de convergencia, de esta forma, la brecha digital aumenta.

• Chile alcanza una posición de liderazgo en materia tecnológica en América Latina, pero la ha ido perdiendo debido a un estancamiento en la utilización de recursos de este tipo y en la derivación de capital hacia otros sectores de la economía nacional.

• Chile exhibe la tasa de penetración de Internet más alta de Latinoamérica, estimándose que para el 2004 llegue al 30%, potenciando a los negocios basados y con presencia en la Red.

• Las Empresas ven principalmente a Internet como una forma de mejorar las relaciones con sus clientes y no para aumentar sus ventas o ahorrar costos.

• La preferencia de compra de los Internautas chilenos ha variado, ya que el 80% compra en sitios nacionales, preferentemente en los websites de las grandes tiendas.



231

• La mayoría de las empresas ocultan sus fallas de seguridad, de esta forma evitan que los clientes y demás organizaciones duden de la integridad de sus sistemas y operaciones.

• Las empresas de nuestro país se han preocupado de adoptar medidas de seguridad tales como la certificación digital y protocolos criptográficos.

• Durante los próximos años los negocios B2B serán los que predominen en el Comercio Electrónico de Chile.

Chile se encuentra en una situación privilegiada, el alto número de usuarios de Internet existentes y la creciente utilización de la banda ancha permitirán que los negocios con presencia en la Red consoliden su posición. Los proyectos del Gobierno como la entrega de servicios a través de una ventanilla única virtual y las ventajas que las empresas privadas encuentren en los negocios electrónicos conformarán además un escenario viable para que la adopción de estándares de seguridad sea una realidad, y más aún, una obligatoriedad. Capítulo III

• La Seguridad no involucra solamente el empleo de herramientas criptográficas y certificados digitales, entre más medidas se utilicen, más se reducen los riesgos. Las empresas deben de considerar a la seguridad como parte integral de sus operaciones, no como un producto que se compre para instalarlo y sentirse confiados con ello.

• El Comercio Electrónico trae consigo nuevos riesgos, que no pueden ser auditados ni mitigados mediante métodos tradicionales.

• Se ha producido que profesionales del área informática han desplazado a los Auditores en lo concerniente a evaluar y controlar a empresas de este rubro.

• El Auditor como un profesional calificado en implementar controles y administrar riesgos debe incursionar en las áreas asociadas a los negocios electrónicos.

• WebTrust representa el servicio más completo de Auditoría para empresas de Comercio Electrónico, Autoridades de Certificación y Proveedores de Servicios.

• Un sello como el WebTrust representa un valor agregado por el sólo hecho de ser emitido por Auditores.

• La profesión de la Auditoría no debe estancarse y su sobrevivencia implica adecuarse a las necesidades del entorno.

• El que un servicio como el WebTrust se desarrolle significa beneficios para las empresas, los clientes-usuarios, socios comerciales, proveedores, gobierno e indudablemente para la profesión.

• Por convertirse las empresas de Comercio Electrónico en globales, sin fronteras para realizar sus transacciones, requieren sólidos estándares que sean reconocidos internacionalmente, demostrando su adhesión a las mejores prácticas de este tipo de negocios, y ello solamente lo aporta el sello WebTrust.

• Un servicio asociado a la tecnología es imposible que se mantenga inmutable, por lo que WebTrust deberá modificarse y actualizarse cuantas veces sea necesario.

• Un sello de confianza, visible en la página de Inicio de la empresa, emitido por Auditores y que al hacer clic derive a otra página donde es posible observar un informe de la Gerencia y de los Auditores, constituye una señal instantánea de transparencia, objetividad y confiabilidad, valores siempre asociados a estos profesionales.

El Auditor es el profesional más idóneo para establecer controles y evaluar procedimientos sobre las empresas de Comercio Electrónico, utilizando como herramienta el servicio WebTrust ofrece al mercado un conjunto de criterios y principios que abordan todas las áreas de este tipo de negocios. Pese a la existencia de otros programas y sellos, WebTrust se destaca por una metodología establecida y actualizaciones periódicas para el cumplimiento de sus normas. Capítulo IV

• Nuestro país necesita de servicios como el WebTrust para dar una mayor consistencia y confianza a las empresas de Comercio Electrónico.

• Los sellos de confianza existentes en Chile no están respaldados por una Auditoría realizada a sus procesos y controles.



232

• Firmas de Auditoría han utilizado como base al programa WebTrust para crear sus propios sellos de confianza.

• La responsabilidad de introducir el servicio en Chile recae directamente sobre las firmas Auditoras Internacionales.

Existe factibilidad de implementar el servicio WebTrust en Chile, ello va a ser posible si las firmas de Auditoría Internacionales lo implantan. Si funciona o no va a estar condicionado por distintas variables. Conclusión general Los usuarios de Internet en nuestro país no se preocupan de si la entidad a la que entregan sus datos personales o financieros es confiable o no, es más, casi nadie observa si el sitio web cuenta con políticas de privacidad. Tal desconocimiento puede derivar en consecuencias insospechadas, para impedir tal situación las empresas deben de transmitir confianza y minimizar los riesgos para no traspasarlos a sus clientes. La solución recae en los Auditores, si bien actualmente existen profesionales que evalúan los sistemas informáticos, ellos no son especialistas en los procedimientos y controles que involucra un negocio de Comercio Electrónico, y mediante el servicio WebTrust se llenaría un vacío dentro de la profesión en Chile. Aporte a la Profesión Esta Tesis permitió conocer un programa que extiende el campo de trabajo del Auditor, y soy concluyente al indicar que WebTrust es el servicio más completo en la actualidad para la realización de Auditorías a empresas de Comercio Electrónico. Como un objetivo específico pretendí que mi cometido fuese un aporte a la enseñanza de la profesión en la Universidad, ya que no podemos estar ajenos a las tendencias mundiales y en las cuales el Auditor tiene un rol muy importante. En Chile la mayoría de las grandes y medianas empresas poseen un sitio en Internet y cada vez más a través de él se produce la interacción con el cliente, lo que obliga a establecer normas de privacidad, seguridad, integridad, etc., y si ellas deben ser implementadas, es una labor que le compete al Auditor.



233

Bibliografía Sitios Web

http://192.188.51.110/curso/cursobibliograf.html

http://ciberconta.unizar.es/

http://ute.edu.ec/~mjativa/ce/main.html

http://www.datosenlaweb.com/secciones/aldia/estadisticas/

http://enredando.com/cas/cgi-bin/enredados/subseccion.pl?ident=16

http://www.WebTrust.org

http://www.aicpa.org

http://www.iec.csic.es/criptonomicon/articulos/comercio-e.html

http://www.negociosonline.com/articulos/servidores.htm

http://www.nielsen-netratings.com/hot_off_the_net.jsp

http://www.cnc.cl

http://www.e-global.es/libros_001.htm

http://www.fraud.org/Internet/2001stats.htm

http://www.ean.cl

http://www.monografias.com

http://www.tiendasurbanas.com/portadas/ecommerce.htm

http://www.5campus.com/

http://www.kriptopolis.com/

http://www.iec.csic.es/criptonomicon/comercio/

http://www.lapaginanet.com.ar/nuevaspaginas/e-commerce.htm

http://www.mixmarketing-online.com/ecommerce.htm

http://www.internautas.org/documentos/concl_lisb.htm

http://www.mecon.gov.ar/comercio/electronico/Indigral.htm

http://www.ipce.org.pe/boletin.htm

http://www.opinamos.com/empresa/mapa/index.shtml

http://www.utp.ac.pa/seccion/topicos/comercio_e/index.html

http://www.claxion.com/informes/seguridad.htm

http://comunidades.calle22.com/comunidades/500/com500con2.asp

http://www.onnet.es/seminar.htm



234

http://www.finmall.com.mx/comelec.htm

http://personales.mundivia.es/astruc/temsea06.htm

http://www.reingex.com/pro/ele/index.htm

http://www.enfoqueinteractivo.com/elec.htm

http://www.3wmarketing.com.ar/notasinteresantes.htm

http://www.marketalia.com/articulos.html

http://www.manualesgratis.com/manualt/datosmanuales.asp?Id=51

http://www.dat.etsit.upm.es/~mmonjas/cripto/index.html

http://heineken.8k.com/cripto/

http://www.red.com.mx/scripts/redArticulo.php3?idNumero=31&articuloID=4698

http://ciberconta.unizar.es/LIBROSIC.HTM

http://www.Internet.com/home-d.html

http://www.sopde.es/cajon/biblioteca/comercio/

http://www.ganar.com/especiales/mediospago/

http://www.meenoje.com/default.asp?Ini=6834

http://www.reingex.com/guia/direcomm.htm

http://www.ceaccu.org/protec_intere_cons.htm

http://infoleg.mecon.gov.ar/Comercioelectronico.htm

http://www.it-cenit.org.ar/Publicac/ReflexSEG/Reflex6.html

http://www.lycos.es/dir/Economia_y_Negocios/Comercio_Electronico/

http://www.wto.org/spanish/tratop_s/ecom_s/ecom_s.htm

http://www.opinamos.com/news/index.shtml

http://www.ua-ambit.org/soi/tecnol1.htm

http://www.ilhn.com/adjuntos/2114_344.html

http://www.infonomia.com/aplicada/colaboradores.asp

http://www.ictnet.es/esp/comunidades/openmkt/3/default.htm

http://www.areas.net/servicio/funciona/conexion/viaja.htm

http://www.aui.es/estadi/iestadi.htm

http://www.emprendedoras.com/emprende/comercio.htm

http://www.e-fact.cl/articulos/index.asp

http://www.gestiopolis.com/recursos/experto/catsexp/pagans/eco/nuevaeconomia/



235

http://iec.csic.es/criptonomicon/comercio/wallet.html

http://www.eratings.com

http://www.zogby.com/news/ReadNews.dbm?ID=235

http://www.greenfieldonline.com

http://www.idc.com

http://www.bsch.es

http://www.accenture.com

http://www.jmm.com

http://www.iacjce.es

http://www.netvalue.com

http://www.forrester.com

http://www.wired.com/news/business

http://www.idgchile.cl Libros y Documentos Electrónicos

Manuel Castello, “La Era de la información”, Alianza Editorial, 1998.

Telefónica España, “Informe sobre la Sociedad de la Información”, 2000.

Ricardo Sarabasa García, “Economía Cubana y Economía Mundial: Globalización e Integración”.

Raúl Trejo Delarbre, “La nueva Alfombra Mágica”, Fundesco, México 1994.

Jaime Estay R., “La Globalización y sus significados”, México, Universidad Autónoma de Puebla.

José Duduchark, “Qué significa la Revolución Tecnológica, sus alcances y consecuencias”.

Comisión Nuevas Tecnologías de Información y comunicación, “Informe de Modernización Tecnológica”, Gobierno de Chile, 1999.

“Informe sobre Comercio Electrónico y desarrollo 2002”, elaborado por la Conferencia de las Naciones Unidas sobre el Comercio y el Desarrollo (UNCTAD)

Robotiker, Aimme, Cetemmsa, Iat, Ibit, “Modelos de Comercio Electrónico”, http://www.5campus.com

Ignacio Mendívil, SeguriData, “El ABC de los documentos electrónicos seguros”.

Manuel Pons Martorell, “Seguridad en Comercio Electrónico”.

José Bustos Pérez, “Criptografía”.

Manuel Pons Martorell, “Control de accesos”.

José Ángel Ángel, “Criptografía para principiantes”

Manuel Lucena López, “Criptografía y seguridad en computadores”, Universidad de Jaén, España.



236

“Economía Digital 2001” y “Economía Digital 2002”, Centro de Estudios de la Economía Digital de la Cámara de Comercio de Santiago.

Claudio Hernández, “Hackers”.

IBM Start Now e-commerce Solutions, IBM.

Alvaro Campuzano Campos, “Diccionario de Email Marketing”.

“Verisign Internet Security Education: E-Commerce Survival Training”, Verisign.

Antonio Villalón Huerta, “Seguridad en Unix y Redes”, versión 1.2.

“El comercio hacia el Futuro”, Organización Mundial del Comercio.

E-Commerce and Development Report 2002, United Nations Conference on Trade and Development, Internet version prepared by the UNCTAD secretariat.

Didier Van Den Hove, “La experiencia Latinoamericana en Internet”, Ediciones Urbanas.

Roger Solé/ David Boronat/ Roberto Neuberger, “Los Modelos de Negocios en la Red”, Ediciones Urbanas.

Estudio “Mercado de Computadores Personales y Servidores” International Data Corporation Chile y Depto de Estudios CNC, Septiembre 2002.

James M. Kaplan, “Guía de Recursos del Auditor en Internet”.

“Directiva para la elaboración de un programa mundial de estudios de contabilidad y otras normas y requisitos de cualificación”, Conferencia de las Naciones Unidas sobre Comercio Y Desarrollo.

Presentaciones en Power Point

“Programa de Comercio Electrónico”, ITESM, Monterrey, José Figueroa Millán, Director del Programa.

“Las ventajas que puede encontrar la empresa en Internet”, Improven consultores,

España.

“RSA”, Partes de un sistema de clave Pública, Jesús Ángel Ángel.

“Seguridad e-commerce: Aspectos Técnicos”, Moisés Navarro Marín, IT Security Consulting, IBM Global Services.

“Curso de Seguridad Informática”, Dr. Jorge Ramió Aguirre, Universidad Politécnica

de Madrid.

“La Firma Electrónica y políticas normativas”, Álvaro Díaz Pérez, Subsecretario de Economía.

“Comercio Electrónico en La Serena-Coquimbo”, Andrés Araya Rosales, Escuela de

Ingeniería Comercial Universidad Católica del Norte.

“Prospectiva Tecnológica 2005”, INTEC Chile.

“Certificado Independiente de Confianza”, Gassó y Cía. Auditores, España.

“WebTrust Global Issues Survey”, Linda Dunbar, Director, Public Relations, San Francisco.

“The Climate Now: WebTrust Market Update”, Linda Dunbar, Director, Public

Relations, San Francisco.

“Comercio Electrónico”, Cable & Wireless, e-services.



237

“E-Business”, Albert Lladó Palau, PriceWaterHouseCoopers.

“WebTrust:une nouvelle Norme internationale”, WebTrust Francia.

“Electronic Business Assurance Services: The WebTrust Initiative”, Chartered Accountants.



238

MATERIAL ADJUNTO CONTENIDO DEL CD-ROM Se adjunta un CD-ROM que ha sido creado para facilitar el acceso a información complementaria a la aparecida en esta tesis. El CD-ROM está dividido en las siguientes carpetas: Capítulo I: Contiene información relacionada al capítulo mencionado, además se dividió en dos subcarpetas: Seguridad informática y Hackers. Capítulo II: Incluye la Ley de Firma Electrónica e informes estadísticos sobre la utilización de Internet y el Comercio Electrónico. En la subcarpeta se encuentra la encuesta realizada por Internet y sus resultados completos. Capítulo III: Contiene los Principios y Criterios WebTrust en su idioma original, el inglés. Presentación Tesis: Presentación de la Tesis en PowerPoint (XP). Tesis: Mi proyecto en formato PDF. Varios: Documentos y presentaciones varias sobre Auditoría informática.

auditoría sobre comercio electrónico

Documents