Elektronik ticaretin ilk yaygınlaştığı dönemlerde internet üzerinde yapılan ve kredi kartı nu-maralarının verildiği alışverişlerde, güvenlik konusunun yeterince sağlanamadığı durumlarda, gerek firmalar gerek kullanıcılar bazı zararlar gördü. Bu olumsuzlukların hepsi olmasa bile basına yansıyan bir bölümünün internet kullanıcıları tarafından öğrenilmesiyle, güvenlik ve güvenli ödeme konuları e-ticarette gündemi en meşgul eden konulardan biri oldu. Genelde kredi kartı ile yapılan sanal alışveriş ödemelerinde nihai tüketicinin en büyük korkusu, kredi kartı numaralarının sanal işlem esnasında çalınarak kötü niyetli kişiler tarafından kullanılmasıdır.
Uzmanlarca, bu potansiyel tehlikenin gerçek hayatta kredi kartı kullanırken yaşanabilecek tehlikeden daha fazla olmadığı dile getirilmektedir. Gerçek yaşamda fiziksel ödemelerde kredi kartı ile ödeme yapılırken kredi kartı, kasiyer, garson gibi üçüncü şahıslara işlem yapılması için verilmektedir. Bu gibi durumlarda da kart numarasının ve son ödeme tarihinin kötü niyetli üçüncü şahısların eline geçme ihtimali bulunmaktadır. Benzer şekilde posta ile yollanan hesap özetlerinin ele geçirilerek kart numarasının çalınması da söz konusudur. Dolayısıyla kart numarasının başkalarının eline geçtiği her durumda, benzer tehlikeler söz konusudur. Güvenlik adına alınacak tüm tedbirlerin, güvenliği delmeyi amaç edinmiş kişiler tarafından aynı hızla delinmeye çalışıldığı bir gerçektir. Bu nedenle gerçek veya sanal her iki ticarette de hiçbir zaman yüzde yüz güvenlikten söz edilememektedir. Sanal platformlarda ödeme sistemlerinde güvenliği artırma amacıyla çeşitli uygulamalar geliştirilmektedir. Bunların en yenilerden birisi 3D Secure olarak isimlendirilen Visa ve MasterCard ödeme sistemlerinin uygulamaya koyduğu Ulusal Güvenlik Platformu’dur. Siteden alışveriş yaparken kartı kullanan kişinin gerçekten kartın sahibi olup olmadığını anlamak amacıyla kullanılmaktadır. Ülkemizde de 2008 yılından itibaren ödeme sistemi olarak bu platformu kullanan alışveriş siteler i artış göstermeye başlamıştır. Kredi kartıyla yapılan fiziksel alışverişlerde kimlik doğrulaması için geliştirilen chip&pin yönteminin sanal alışveriş uyarlaması olarak nitelendirilebilecek bu yöntem sayesinde kart hamilinin kimlik doğrulama işlemi gerçekleşmektedir. Sitede ödeme işlemi sırasında sadece kişinin kendisinin bildiği dört haneli şifre (pin numarasını) ve yine kendisinin belirlediği güvenlik sorusunun yer aldığı pop-up ekran alışveriş sitesi tarafından değil doğrudan bankanın kendi sisteminden kullanıcıya sunduğu bir hizmettir.
Bu bölümün amacı, öncelikle kredi kartı ödeme sistemlerini ele alarak sanal ticarette gü-venli alışverişi sağlamaya yönelik çeşitli güvenlik seviyelerindeki sistemleri incelemektir.
11. BÖLÜM SORULARI
1. SSL ve SET ödeme sistemleri nedir?Aralarındaki başlıca farklılık nedir?
2. Kullandığımız alışveriş sitelerinin ödeme sistemlerinin güvenliğinde hangi ödeme sistemi kullanılmaktadır? Araştırınız.
3. İnternet üstünden bankacılık işlemi gerçekleştiriyor veya alışveriş yapıyorsanız güvenli ortamda olduğunuzu nasıl anlamaktasınız? Güvenlik ile ilgili hangi uyarılarla karşılaşmaktasınız?
4. Sanal alışveriş siteleri arasında 3D secure sistemini kullanan sitelere örnek veriniz. Bu sistemi kullandıkları nasıl anlaşılmaktadır?
5. Paypal ödeme sistemini araştırınız ve bu sistemi kullanan sitelere örnek veriniz.
- Merve Kansak (Bilgi-MBA 2010) - 18 May 2010 3:00 am
4.Bundan bir süre önce turkcell kontorlü hat kullanıyordum. Her zaman dışarı çıkıp kontor almaya gidecek vaktim olmadığı için, turkcell online işlemleri kulllanıyordum. Online işlemlerden, kontor almak istediğimde önce kredi kartı numaramı, sonra şifremi giriyordum. Bazı sitelerde sadece bunu yapmak yeterli oluyor. Ama Turkcell bunun dışında bir de bankadan özel olarak almanız gereken 3D Secure şifresini de 3. aşama olarak istiyor. Kart numaranızı ve şifrenizi girdikten sonra ayrı bir pencere açılıyor. Burada 3D secure şifrenizi giriniz diye bir kutucukla karşılaşıyorsunuz. Ancak onu da girdikten sonra işleminiz onaylanıyor ve kontor satın alabiliyorsunuz, aksi takdirde kontor alabilmeniz mümkün olmuyor. Tabiki bu ekstra bir güvenlik, internetten alışveriş yaparken daha rahat ve günevli hissetmenizi sağlıyor.
- Elif Topal - 27 May 2010 7:12 am
SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli bilgi aktarımının temini için, “Netscape” firması tarafından geliştirilmiş bir program katmanıdır. Burada, bilgi iletiminin güvenliği, uygulama programı ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına, bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. Bilginin bütünlüğü ve gizliliği (data protection) için, internet üzerinde iki taraf arasında oluşan trafiğin şifrelenerek, gizliliğinin ve bütünlüğünün korunmasını sağlayan SSL (Secure Sockets Layer) protokolü kullanılmaktadır. SSL protokolü bütün yaygın web sunucuları (server) ve tarayıcıları (browser) tarafından desteklenen bir protokoldür. SSL gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar. SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication, iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir. Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.
SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin “açık” anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, “güvenilir” sertifika kuruluşları tarafından dağıtılır.
İstemci bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj “aynı” ise “doğrulama” işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren “doğru bilgisayarla/kişiyle” iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.
SET banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir. SET uyumlu ilk alışveriş, 18 Temmuz 1997 de San Francisco da yapılan tanıtımla İspanya ve Singapur da bulunan sanal mağazalardan gerçekleştirilmiştir. Garanti Bankası Şubat 1998 de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü kullanmaya başlayan Dünya da yedinci, Avrupa da dördüncü ve Türkiye de ilk kuruluş olmuştur.SET protokolünde alışveriş, sanal cüzdan ve sertifika aracılığı ile daha güvenli bir ortamda gerçekleştirilir. SET, alışveriş işlemi sırasında ödeme bilgisi gizliliğini, kart kullanıcısının gerçek kart sahibi olduğunu ve işyerinin banka ile anlaşmalı bir işyeri olduğunu garantiler. SET gerçek-zamanlı işlemleri, toplu işlemleri, kurulum ödemelerini destekler.
SET sisteminde provizyon işlemi müşteri alışveriş seçimini yaptıktan sonra müşterinin sanal cüzdanı ile mağazanın Sanal POS unun (V-POS) birbirlerinin gerçekliklerini dijital sertifikalar aracılığıyla kontrol etmeleri ile başlar. Mağazanın Sanal POS yazılımı sipariş tutarını ve sanal cüzdanda bulunan ve alışveriş için seçilen kredi kartının sertifika bilgilerini bankaya iletmesi ile devam eder. Banka yapılan alışverişin içeriğini (malın ne olduğu, kaç tane alındığı vb.) görmeksizin provizyon verir. Müşterinin kredi kartı bilgilerini görmeyen sanal mağaza ise bankadan gelecek onayı bekler. Onayı aldıktan sonra da ürünü alıcısına gönderir.
SET sistemi de SSL de olduğu gibi kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek gönderilmesi esasına dayanır. Bu sistemden faydalanabilmek için kullanılmak istenen kredi kartının SET uyumlu olması gerekir. SET protokolünü kullanmak isteyen kredi kartı sahipleri iki ön koşulu yerine getirmek zorundadırlar: Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon kurumu (Certificate Authority) ayrı birer SET sertifikası almalıdırlar. Ardından kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp bilgisayarlarına yüklemeli ve bu yükleme sırasında SET sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET uyumlu alışverişler sanal cüzdanın yüklü olduğu bilgisayar kullanılarak SET uyumlu mağazalardan yapılabilecektir. Sanal cüzdan programı en fazla üç kez yüklenmek üzere yazıldığından en fazla üç bilgisayarda kullanılabilecektir. SET protokolünün SSL e göre çok daha yüksek denebilecek güvenliğine rağmen yeterince yaygınlaşamaması sanal cüzdanın mobilitesinin olmamasına bağlanabilir. Sanal mağazalar ise Sanal POS (Point of Sale) olarak adlandırılan V-POS yazılımını yükledikten sonra bir sertifikasyon kurumundan dijital bir sertifika alarak alışverişlerin güvenliğini sağlarlar.
- Hidayet Ok - 16 Oca 2011 5:11 pm
SSL ve SET ödeme sistemi değildir. Ödeme yaparken aktarılan kritik verilerin daha güvenli aktarılması için sağlanan eşsiz kelime anahtarı sistemidir diye özetleyebiliriz. Ödeme sistemi denen şeyler para tahsili yapan sistemlerdir. Örneğin Sanal Pos, Paypal, Havale, Kapıda Ödeme gibi yöntemler Ödeme sistemi olarak tanımlanabilir…
Bir üstteki yorumu özetleyeyim dedim…
