İş Yazılımları

Secure Electronic Transfer

16.3.2015
0Yorum
3400Okunma

Internet üzerinden gerçekleştirilen parasal işlemlerin güvenliğini saklamak için geliştirilmiş teknik

SET; Internet üzerinden gerçekleştirilen parasal işlemlerin güvenliğini saklamak için geliştirilmiş teknik bir standarttır. 1 Şubat 1996’da VISA ve MasterCard herkese açık bilgisayar ağları üzerinde kredi kartı güvenliğini sağlamak üzere, ortak bir standart geliştirmek için işbirliği yapacaklarını duyurdular. Bu ortak girişimin kararlaştırılmasından önce bu konuda MasterCard ve VISA’nin ayrı ayrı geliştirmeye çalıştığı kurallar bir yana bırakılarak, çalışmalar, SET in ortak bir standart olarak hayata geçirilmesi üzerine yönlendirildi.

Internet üzerinden kredi kartı ile yapılan ödeme sistemleri arasında tüm dünyanın kabul ettiği mevcut en güvenli standart olan SET protokolü, banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign′in katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir. SET uyumlu ilk alışveriş, 18 Temmuz 1997′de San Francisco′da yapılan tanıtımla İspanya ve Singapur′da bulunan sanal mağazalardan gerçekleştirilmiştir. Aralık 1997’de VISA ve MasterCard ortak bir girişimle, SET Secure Electronic Transaction LLC SETCo isimli bir organizasyon kurdular. SetCo’ nun kuruluş amacı, SET protokolünün geliştirilmesi aşamasında çalışmaları yürütme ve yönlendirme işlevlerinin sağlanması ve bunun yanı sıra, SET’in hayata geçirilmesi için gerekli diğer önemli fonksiyonların gerçekleştirilmesiydi. American Express firmasının tam üyeliği için görüşmeler de aynı dönemlerde başlatıldı. SETCo SET standardını yönlendiren, yazılım uyum testlerini yürüten ve SET’ in dünya çapında yaygın bir ödeme standardı olarak kabul görmesi için çaba gösteren bir organizasyon olarak faaliyetlerini sürdürmektedir. SETCo üyesi şirketler SET protokolünün geliştirilmesi için, finans kuruluşları, ticarethane sahipleri, kredi kartı sahipleri ve yazılım üreticileriyle yakın işbirliği içinde bulunmakta ve SET’in en kapsamlı e-ticaret ödeme çözümü olarak benimsenmesi için çalışmaktadırlar.

SET’in çevrim-içi güvenlik çözümlerine getirdiği en önemli katkı, sayısal sertifikaların kullanılmasıdır. SET, her müşteriye bir elektronik cüzdan verilmesini öngörür. Elektronik cüzdan, müşteriye ait kredi kartı numarası ve sayısal sertifika gibi hesap bilgilerini içeren bir dosyadır. Elektronik cüzdana sahip bir kullanıcının ödeme işlemi ve teyidi, müşteri, ticarethane ve müşterinin bankası arasında tamamen sayısal sertifika ve sayısal imzanın kombine şekilde kullanımıyla gerçekleştirilir. Bu sayede, işlemin kişiye özel ve güvenilir olması güvence altına alınmış olur.

SET, e-ticaret sitesinden alışveriş işlemi sırasında ödeme bilgisi gizliliğini, kart kullanıcısının gerçek kart sahibi olduğunu ve işyerinin banka ile anlaşmalı bir işyeri olduğunu garantiler. Açık Anahtar Şifrelemesini (Public Key Cryptography) ve DES (Data Encryption Standard), RSA (Rivest, Shamir, Adleman) şifreleme metotlarının birleşimini kullanan SET protokolünde alışveriş, sanal cüzdan ve sertifika aracılığı ile daha güvenli bir ortamda gerçekleştirilir. . SET, kredi kartı ile yapılan e ticaret sitelerinden online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu salar. SET protokolü sadece müşteri (ürün siparişi veren kredi kartı sahibi) ile eticaret (e-dükkan) ve kredi kartı şirketi arasındaki ödeme fazını şifreler. Aynı zamanda kredi kartı ve sipari bilgileri farklı olarak şifrelendiğinden kredi kartı bilgilerinin mağaza tarafından görülmesini engellemektedir.

SET sisteminde provizyon işlemi müşteri alışveriş seçimini yaptıktan sonra müşterinin sanal cüzdanı ile mağazanın Sanal POS′ unun (V-POS) birbirlerinin gerçekliklerini dijital sertifikalar aracılığıyla kontrol etmeleri ile başlar. Mağazanın Sanal pos yazılımı sipariş tutarını ve sanal cüzdanda bulunan ve alışveriş için seçilen kredi kartının sertifika bilgilerini bankaya iletmesi ile devam eder. Banka yapılan alışverişin içeriğini (malin ne olduğu, kaç tane alındığı vb.) görmeksizin provizyon verir. Müşterinin kredi kartı bilgilerini görmeyen sanal mağaza ise bankadan gelecek onayı bekler. Onayı aldıktan sonra da ürünü alıcısına gönderir.

SET sistemi de SSL′ de olduğu gibi kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek gönderilmesi esasına dayanır. Bu sistemden faydalanana bilmek için kullanılmak istenen kredi kartının SET uyumlu olması gerekir. SET protokolünü kullanmak isteyen kredi kartı sahipleri iki ön koşulu yerine getirmek zorundadırlar: Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon kurumu (Certificate Authority) ayrı birer SET sertifikası almalıdırlar. Ardından kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp bilgisayarlarına yüklemeli ve bu yükleme sırasında SET sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET uyumlu alışverişler sanal cüzdanın yüklü olduğu bilgisayar kullanılarak SET uyumlu mağazalardan yapılabilecektir. Sanal cüzdan programı en fazla üç kez yüklenmek üzere yazıldığından en fazla üç bilgisayarda kullanılabilecektir. SET protokolünün SSL′ e göre çok daha yüksek denebilecek güvenliğine rağmen yeterince yaygınlaşamaması sanal cüzdanın mobilitesinin olmamasına bağlanabilir. Sanal mağazalar ise Sanal POS (Point of Sale) olarak adlandırılan V-POS yazılımını yükledikten sonra bir sertifikasyon kurumundan dijital bir sertifika alarak alışverişlerin güvenliğini sağlarlar.

SET ile gerçekleşen alışveriş sırasında gerçekleşen işlemler sırasıyla aşağıdaki gibidir:

SET protokolü, kart sahibi Internet üzerinde araştırmasını tamamlayıp seçimini yaptıktan ve siparişini verdikten sonra devreye girmektedir. SET işleminin başlamasından önce kart sahibi sipariş formunu doldurmuş ve onaylamış olmalıdır. Kart sahibi ayrıca kart türünü de seçmiş olmalıdır.

1. Kart sahibinin yazılımı satıcı firmaya kullanılacak kredi kartını belirten ve ödeme altyapısını sağlayan kuruluşun sertifikalı açık anahtarının kopyasını isteyen bir mesaj gönderir.

2. Satıcı firmanın yazılımı mesajı aldığında, sadece o mesaja özel bir işlem tanımlama numarası belirler. Daha sonra bu özel tanımlama numarasıyla beraber kart sahibine satıcı firmanın açık anahtarını ve ödeme altyapısını sağlayan kuruluşun (genelde bankalar) onaylı açık anahtarını gönderir.

3. Kart sahibinin yazılımı satıcı firmanın ve ödeme altyapısını sağlayan kuruluşun sertifikalarını kontrol eder ve sipariş sürecinde kullanmak üzere bunları kaydeder. Kart sahibinin yazılımı sipariş bilgisini ve ödeme talimatlarını oluşturur. Yazılım satıcı firma tarafından belirlenen özel tanımlama numarası ile sipariş bilgisini ve ödeme talimatlarını ilişkilendirir. Bu tanımlama daha sonra satıcı firma tarafından ödeme talebi yapıldığında, ödeme altyapısını sağlayan kuruluş tarafından sipariş bilgisini ve ödeme talimatlarını ilişkilendirmede kullanılacaktır.

4. Kart sahibinin yazılımı sipariş bilgisi ve ödeme talimatları için bir dijital imza oluşturur. Yazılım daha sonra ödeme altyapısını sağlayan kuruluşun açık anahtarını kullanarak dijital olarak imzalanan ödeme talimatlarını şifreler. Son olarak yazılım imzalanmış ve şifrelenmiş sipariş bilgisini ve ödeme talimatlarını bir mesajla satıcı firmaya gönderir.

5. Satıcı firmanın yazılımı siparişi alır ve kart sahibinin açık anahtarı üzerindeki dijital sertifikayı kontrol eder. Bundan sonra gene bu açık anahtarı kullanarak siparişin gerçekten kart sahibinden geldiğinden ve mesajın gönderim esnasında değiştirilmediğini teyit eder (Satıcı firma ödeme talimatları ödeme altyapısını sağlayan firmanın açık anahtarı ile şifrelendiği için deşifre edemez).

6. Bu işlemlerin ardından satıcı firmanın yazılımı ödeme onayı istenmesi de dahil olmak üzere siparişle ilgili işlemlere başlar (lütfen 9. Maddeye bakınız)

7. Sipariş bilgisi işleme alındıktan sonra, satıcı firmanın yazılımı bir cevap mesajı hazırlar ve dijital olarak imzalar (satıcı firmanın onaylı açık anahtarı ile). Kart sahibinin siparişinin alındığının ve işleme konulduğunun bildirilmesi amacıyla hazırlanan cevap mesajı kart sahibine gönderilir.

8. Kart sahibinin yazılımı satıcı firmadan cevap mesajını aldığı zaman dijital sertifikasını kontrol eder. Bunun ardından bu mesajı kullanarak kart sahibine bir teyit mesajı gösterir veya siparişin durumunu günceller.

9. Kart sahibinden gelen siparişlerin işleme konulması esnasında (lütfen 6. maddeye bakınız) satıcı firmanın yazılımı ödenmesi talep edilen tutarı, sipariş bilgisindeki işlemi belirleyen özel tanımlama numarasını ve işlemle ilgili diğer bilgileri içeren bir ödeme onay talebini hazırlar ve bu mesajı dijital olarak imzalar. Ardından bu talep ödeme altyapısını sağlayan kuruluşsun açık anahtarı kullanılarak şifrelenir. Satıcı firmanın ödeme onay talebi ve kart sahibinin şifrelenmiş ödeme talimatları ödeme altyapısını sağlayan kuruluşa gönderilir.

10. Ödeme altyapısını sağlayan kuruluş onay talebini aldığı zaman satıcı firmadan gelen onay talebini kendi gizli anahtarını kullanarak deşifre eder. Ardından satıcı firmanın açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve sertifikanın geçerlilik süresinin dolup dolmadığını belirler.

11. Ödeme altyapısını sağlayan kuruluş kart sahibinin satıcı firmadan gelen onay talebiyle birlikte gönderilen ödeme talimatlarını kart sahibinin açık anahtarını kullanarak deşifre eder. Ardından bu açık anahtarı kullanarak kart sahibinin ödeme talimatları üzerindeki dijital imzasını kontrol eder ve böylece ödeme talimatlarının kart sahibi tarafından imzalandığından ve iletim esnasında değişikliğe uğramadığından emin olur.

12. Ödeme altyapısını sağlayan kuruluş satıcı firma tarafından gönderilen işlem tanımlayıcısı ile kart sahibinden gelen ödeme talimatlarındaki tanımları karşılaştırarak her ikisinin de aynı olup olmadığını kontrol eder. Kontrolün ardından ödeme altyapısının sağlayan kuruluş, kredi kartını veren bankaya Internet üzerinden çalışmayan bir ödeme sistemiyle bir onay talebi gönderir.

13. Kartı veren banka onay talebini işleme alır ve ödeme altyapısını sağlayan kuruluşa güvenli ödeme sistemi aracılığıyla bir cevap gönderir.

14. Onay cevabını aldıktan sonra ödeme altyapısını sağlayan kuruluş kartı veren bankanın cevabını ve onaylı açık anahtarın içeren bir onay cevap mesajı yaratır ve dijital olarak imzalar. Cevap satıcı firmanın açık anahtarını kullanarak şifrelenir ve satıcı firmaya gönderilir.

15. Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan onay cevabını aldığı zaman kendi gizli anahtarıyla deşifre eder. Ardından ödeme altyapısını sağlayan kuruluşun açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve bu açık anahtarı kullanarak ödeme altyapısını sağlayan kuruluşun onay cevap mesajındaki dijital imzayı kontrol eder. Satıcı firmanın yazılımı, sipariş tamamen yerine getirildikten sonra ödeme talebinde bulunulabilmesi için (gün sonu işlemi ile) bu onay cevap mesajını kaydeder.

16. Satıcı firma onay cevabını aldıktan sonra kart sahibinin siparişi tamamlar ve ilgili ürünü sevk eder veya söz konusu hizmeti verir.

17. Siparişi yerine getirdikten sonra satıcı firma ödeme talebinde bulunur (Siparişin tamamlanması esnasındaki gecikmeler onay talebi ile ödeme talebi mesajları arasında önemli zaman aralıkları oluşmasına yol açabilir).

18. Ödeme talebinde bulunmak için satıcı firmanın yazılımı işlemin nihai tutarını, sipariş bilgisindeki işlem tanım numarasını ve işlem hakkındaki diğer bilgileri içeren bir gün sonu işlemi oluşturur ve dijital olarak imzalar. Bu talep ödeme altyapısı sağlayan kuruluşun açık anahtarı ile şifrelenir ve ödeme sağlayan kuruluş gönderilir.

19. Ödeme altyapısını sağlayan kuruluş gün sonu işlemi talebini aldığı zaman, kendi açık anahtarını kullanarak talebi deşifre eder. Daha sonra satıcı firmanın açık anahtarını kullanarak gün sonu işlemindeki dijital imzayı kontrol eder. Satıcı firmadan gelen gün sonu işlemiyle, daha önce isleme alınan onay talebini karşılaştırır ve bir tahsilat talebi oluşturarak bunu kredi kartını veren bankaya güvenli ödeme sistemiyle gönderir.

20. Ödeme altyapısını sağlayan kuruluş kendi onaylı açık anahtarını içeren bir gün sonu cevap masajı oluşturur ve bunu dijital olarak imzalar. Bu cevap satıcı firmanın açık anahtarı ile şifrelenerek satıcı firmaya gönderilir. Bu mesaj sayesinde gün sonu işleminin ödeme altyapısını sağlayan kuruluş tarafından alındığını ve işleme konulduğunu satıcı firmaya bildirir.

21. Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan gün sonu işleminin cevabını alınca, mesajı kendi gizli anahtarını kullanarak deşifre eder. Ardından ödeme altyapısını sağlayan kuruluşun açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve yine bu açık anahtarı kullanarak ödeme altyapısını sağlayan kuruluşun dijital imzasını kontrol eder. Son olarak satıcı firmanın yazılımı gün sonu işlemi cevabını yapılan ödemeler için gönderilen gün sonu talep mesajları ile mutabakat için kaydeder.

Set’in güvenlik seviyeleri

SET protokolü, güvenlikle ilgili üç ana alanda önemli yenilikler sağlamaktadır. Bu şekilde de diğer ödeme güvenliği yöntemlerine göre çok önemli üstünlükler elde etmektedir.

Bu üç alan; Gizlilik, mesajların kriptolanarak okunaksız hale getirilmesiyle sağlanır.

Mesaj bütünlüğü, sayısal imzalama ve “hash” ile mesajın gönderildiği şekilde hiç bir değişikliğe uğramadan karşı tarafa ulaştığının garanti edilir. İşlemler kötü amaçlı bireyler tarafından hesap numarasında veya tutarda değişiklik yapılacak şekilde değiştirilemez.

Yetkilendirme, sayısal imza kullanımı ile sağlanır. Sayısal imza sayesinde, işleme katılan tarafların kimlikleri doğrulanır, gönderdikleri mesajı inkâr etmeleri önlenmiş olur.

Bu üç güvenlik unsuru aşağıda biraz daha detaylandırılarak sunulmaktadır:

İşlemlerin gizliliği ve kişiye özel bilgilerin korunması kriptolama ile sağlanmaktadır. SET protokolü, RSA ve DES olmak üzere iki farklı algoritma kullanır.

DES simetrik bir algoritmadır ve işlem sırasında transfer edilen datanın kriptolanmasiyla ilgilenir. RSA ise asimetrik bir algoritma olup, imzalar için ve simetrik anahtarlarla banka kartı numaralarının açık anahtarla (public key) kripto işlemi için kullanılmaktadır.

Bu şekilde SET protokolü, en iyi iki algoritmanin birleşik kullanımıyla, yüksek bir kripto güvenliği seviyesine ulaşmaktadır. Bu sistem, şu şekilde çalışmaktadır: Ilk olarak, mesaj datası rastgele üretilmiş bir simetrik DES anahtarıyla kriptolanır. Daha sonra bu anahtar mesaj alıcısının açık RSA anahtarıyla kriptolanır. İkinci anahtar mesajın içine yerleştirildiği bir “sayısal zarf” niteliğindedir. Alıcı bu zarfı aldığı zaman, kendi özel anahtarıyla açarak rastgele üretilmiş simetrik anahtara ulaşır ve bu anahtarı da orijinal mesajın şifresini çözmek için kullanır.

Mesajın bütünlüğü, yanı alıcıya değişikliğe uğramadan ulaştığının garantisi, hashing algoritmalarının kullanıldığı tek yönlü kriptolama ve sayısal imzalarla sağlanır. Hashing algoritması mesajı “öğüterek” benzeri olmayan bir forma sokar. Bu işlem tek basına mesajın bütünlüğünü garanti etmeye yeterli değildir. Bu nedenle gizli bir kripto anahtarıyla birlikte kullanılır. Bu aşamada sayısal imzalar devreye girmektedir.

Yetkilendirme, mesajın göndericisinin kimliğini doğrulamak için kullanılır. SET işlemine katılan tarafların her biri sayısal sertifikalarla yetkilendirilir. Bu sertifikalar “güvenilir” bir üçüncü parti yetkili bir kuruluş (Certification Authority - CA) tarafından yayınlanmaktadır. Her sayısal sertifika, ait olduğu kişilerin kimlik bilgilerini ve açık anahtarlarından (public key) birisini içermektedir. Bunun dışında her sertifika, geçerliliğinin belgelenmesi için sertifika kuruluşu tarafından sayısal olarak imzalanır.

SET, gerek internet üzerinde satış yapan satıcılar, gerekse de alışveriş yapan müşterilerin bugüne kadar karşılaştıkları veya karşılaşabileceklerini bekledikleri sorunların aşılması yönünde önemli bir aşama sağlıyor. Kötü niyetli girişimleri önemli ölçüde engelleyecek yöntemler içermesi, kart sahiplerinin İnterneti alışveriş için kullanma yönündeki güvenlerini arttırıyor. Öte yandan, ödeme güvencesini alan ticarethaneler için de çok avantajlı bir durum ortaya çıkıyor. Set’in en önemli yararı sağladığı kesimin ise, kötü niyetli girişimlerden en büyük zararı gören kredi kartı şirketleri olacağı tahmin ediliyor.

SET Ne Kadar Güvenlidir?

SET protokolünün kullandığı kripto algoritması 1024 bit ile şifreleme yapmaktadır. Bu nedenle özellikle genel kullanıma açık diğer uygulamalarla kıyaslandığında çok güçlü bir algoritma olarak göze çarpmaktadır. Öyle ki, SET protokolünün öngördüğü birkaç seviyeli kriptolama özelliği de dikkate alındığında, bu şifreyi kırabilmek her biri saniyede 10.000.000 komut işleme kapasitesinde 100 bilgisayarın, yaklaşık 2.800.000.000.000 yıl uğraşması gerektiği hesaplanır. Bu durumda bile, çözülen şifre sadece bir mesaj için geçerli olacağından, sonraki mesaj için bütün işlemin yeniden başlaması gerekir. SET ürünlerinin ABD dışına ihracı onaylanmıştır. Tek koşul, sadece finansal işlemler için kullanılmasıdır.

SET’in çalışma prensibine göre, işlem içinde yer alan tüm taraflar, sadece kendi üstlerine düşeni yapmak için yeterli olacak düzeyde bilgiye ulaşmaktadırlar. Ticarethane kredi kartı numarasını görmemekte, bu numara doğrudan bu bilgiyi kullanarak ticarethaneye onay verecek finans kurumuna yönlenmektedir. Böylece ticarethanenin doğrudan ya da dolaylı olarak yol açabileceği kötü niyetli girişimler engellenmekte ve işlem güvenliği sağlanmaktadır. Ticarethane ise, alışveriş yapan kişinin inkâr etmesi riskine karşı güvence altına alınmıştır. Kredi kurumları çok yüksek düzeyde güvenli çalışan prestijli kurumlardır. SET, bu kurumlar tarafından desteklenmekte olup bu anlamda da önemli bir güvenceye sahip bulunmaktadır.

SET yerine Neden SSL Kullanılmasın?

SET’ i detaylı incelemeye başlamadan önce akla gelebilecek bir soru: Niye özel-amaçlı protokol gerekli? Neden Kredi kartı bilgilerini form doldurup SSL kullanarak göndermeyelim?

Kredi kartı ödemelerinde kesinlikle SSL kullanılabilir. Bu günümüzde en çok kullanılan yol ve Netscape, Microsoft Open Market ve diğerleri tarafından satılan ′ticaret sistemlerinin′ ana özelliği. Fakat bu amaç için sadece SSL kullanmanın bazı dezavantajları var.

Birincisi, SSL müşteriden tüccara kredi kartı numarasının güvenli olarak gönderilmesini sağlasa da, işlemin sonrasında bir yararı olmuyor: numaranın doğruluğunun kontrolü, müşterinin bu numarayı kullanmaya yetkili olup olmadığının kontrolü, tüketicinin bankası ile işlemi yetkilendirme ve transferi işleme. Basit bir sistemde, kredi kartının yazım hataları bir CGI script ile kontrol edilebilir ve numarayı bir dosya ya da veri tabanına daha sonra manüel olarak kontrol için kaydedilebilir. Fakat çoğu uygulama için online olarak kredi kartı yetkilendirmesi bir ihtiyaçtır. Gelişmiş ticaret sistemleri kredi kart yetkili servisi tarafından çalıştırılan bir sunucuya SSL veya uygun bir protokolle bağlanarak siparişleri anında onaylarlar. Bu tip sistemler ayrıca geri ödemeleri, işlem kaydı tutma, alışveriş kartlarını, online katalogları da yönetebilirler. Tam fonksiyonel bir kredi kartı işleme sistemi ya çok sayıda özel programlama ya da pahalı bir paket çözümdür.

SSL-tabanlı şemalardaki diğer bir problemde sunucu-tarafı güvenliktir. Kredi kartı numarası tüccarın Web sunucusuna gönderildiği için bu bilgi bir dosya veya veri tabanında tutulabilir. Eğer birisi tüccarın web sunucusuna girmeyi başarırsa tüm kredi kartı numaralarını da ele geçirebilir.

Kredi kartı işlemlerinde SSL kullanmada diğer bir problem de kredi kartı tahmin programlarının zayıf yazılmış sistemlerde kullanılabilmesi. Uzaktaki kullanıcı önce denemelik kredi kartı numaraları yaratır. Hepsi basit checksum kontrolünü geçecektir fakat hangisinin gerçek bir hesaba ait olduğunu bilmemektedir. Daha sonra bu numaraları bir scripte ekleyerek bir web sunucusundan sahte satın almalar yapmaya çalışır. Eğer kart geçerli değilse sunucu bir hata döner ve script numarayı atar. Eğer kart tanılaması doğru olarak gerçekleşirse sunucu kabul eder ve script satın almayı iptal edip numarayı kaydeder. Bu tip bir sistem kısa zamanda yüzlerce geçerli kredi kartı numarası bulabilir. SET bu problemleri kart yetki kontrolü ve satışın sonlandırılmasına kadar tüm işlemi kontrol eden entegre bir sistem sağlayarak giderir. Kredi kartı numarasının çalınmasını engellemek için protokol hiçbir zaman tüccarın kart numarasına direk erişimine izin vermez, bunun yerine satın almanın onaylanıp onaylanmadığı konusunda bilgilendirilir.

Son olarak Amerikan ihracat kısıtlamaları konusu var. Güçlü kriptografi kullanan sistemlerin, SSL kullananlar dâhil, ihraç edilmesi yasaktır. Fakat kanun sadece parasal işlemlerde kullanılan sistemleri hariç tuttuğu için güçlü kriptografi kullanan SET ürünleri Amerika dışına çıkabilir ki bu genel-amaçlı SSL ürünleri için mümkün değildir.

SET sayesinde, tüccarlarla bankalar arasında kredi kartı işlemleri Internet üzerinden güvenli bir biçimde yürütülebilir. SET, ödeme amacı ile uç noktalarda kullanılan sistemlerde herhangi bir değişiklik yapılmasını gerektirmez. Set’in sağladığı güvenlik servisleri gizlilik, veri bütünlüğü ve kart sahibinin doğrulanmasıdır. Bir SET hareketinde tüccar bile kredi kartı sahibinin kart numarasını göremez. Bu iş hareketinde banka kredi kartını kontrol ederek, tüccara doğru olduğuna dair bilgi gönderir.

Kart sahibi de tüccarın gerçek bir tüccar olduğundan emin olması gerekir. Eğer bir tüccar banka tarafından tanınmıyorsa, herhangi bir işlemin yapılmasına izin vermez. Tüccarın saygın ve güvenilir olduğu sayısal sertifikalar ve kriptolanmış imzalarla sağlanır.

SET’ de sertifika ve imzaların ele alınış yöntemi X.509 standartlarıyla uyumludur. X.509, ITU-TSS standartlarında da yer bulmuş olan bir doğrulama(authentication) protokolüdür. X.509 standardının Internet’te kullanımı RFC 1422’de belirtilmiştir. RFC 1422’de CA’ler(Certificate Authority) tarafından sayısal olarak imzalanan sertifikaların formatı ve dağıtımı tanımlanmıştır. Aslında X.509 ilk olarak PEM ile birlikte Internet’e kullanılmak üzere ortaya atılmış olmasına karşılık, sonradan Internet uygulama ve teknolojilerinin gelişimi ile birlikte kapsamı genişletilmiştir.

SET ve X.509 birbirinden bağımsız şeylerdir. SET basit olarak X.509’u kullanmaktadır. SET aynı zamanda kart sahibinin kişisel bilgilerinin(isim, adres, telefon, vs.) ve satın aldığı mallarla ilgili ticari bilgilerin Internet’ten iletilirken başkalarınca ele geçirilmesini veya değiştirilmesini de önler. Buna verinin bütünlüğünün sağlanması(data integrity) adını veriyoruz. SET veri bütünlüğünü, SHA-1 “hashing” fonksiyonu ve RSA sayısal imzaları ile sağlar.

Tüccar kart sahibinin yasal bir kullanıcı olduğunu doğrularken, X.509 sayısal sertifikalarını ve RSA imzalarını kullanır. SET prosesi bir bankada kredi kartı hesabı açılmasına ve sonradan posta yoluyla PIN elde edilmesine benzer. Tek fark, işlemlerin güvensiz bir ortam olan Internet üzerinden gerçekleşmesidir.

Sipariş girme ve sipariş onaylarının verilmesinde müşterilerle tüccarlar sertifika değiş tokuşu gerçekleştirir. Tüccar üç tane sertifika ister. Bunlar:

- Mesajların imzalanması için,

- Anahtar değiş tokuşu için,

- İş hareketini kabul veya reddeden doğrulama otoritesi için. Bu üçüncü sertifika, bir ödeme geçit yolu(payment gateway) ile tüccar arasında gerekli olup, tüccarın ödeme isteğini göndermesi ile ortaya çıkar.

Bu işlemler sırasında CA, bir sertifikanın güvenli bir şekilde kullanılıp kullanılmayacağına dair noter görevi görür.

SSL ile SET arasındaki Farklar Nelerdir?

Aynı şifreleme yöntemini kullanmakla beraber SSL ile SET güvenlik protokollerinin birbirinden farklı olduğu önemli noktalar şunlardır:

SSL′ de kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilememektedir. Oysa kart sahibinin kullanıcı ismi ve şifresi ile ulaştığı sanal cüzdanını kullandığı SET protokolünde kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilir.

SSL′ de kartın ait olduğu ve POS′ un ait olduğu bankalar bu modele dâhil değildirler.

SSL′ de kart sahibinin kart bilgileri internet üzerinde şifrelenmekte fakat mağaza kart bilgilerini görmektedir. Oysa SET′ te kart bilgileri mağazadan gizli tutulup sadece banka tarafından görülebilmektedir. 

Yorumlar

DİĞER İÇERİKLER