Tuğbanın Dünyası

T.C.

KIRKLARELİ ÜNİVERSİTESİ

BABAESKİ MESLEK YÜKSEK OKULU

DIŞ TİCARET PROGRAMI

ELEKTRONİK TİCARETİN GÜVENLİK BOYUTU

(YÜKSEK OKUL PROJESİ)

Makaleyi Hazırlayan:

TUĞBA KARAGÜL

Danışman :

Öğr. Gör. Harun BAYER

BABAESKİ ,2014

İÇİNDEKİLER

ÖZET………………………………………………………………………………………………………3

1.GİRİŞ…………………………………………………………………………………........................4

2.ELEKTRONİK TİCARETTE BLGİ GÜVENLİĞİ…………………………………………………….4

3.ELEKTRONİK TİCARETTE GÜVENLİK SORUNU………………………………………………..5

3.1.Güvenlik Duvarı……………………………………………………………………………………...5

3.2.Şifreleme ve İşlem Güvenliği………………………………………………………………………6

3.3.World Wide Web Güvenliği ve İnternet Güvenlik protokolleri……………………………….6

4.ELETRONİK TİCARETTE DİKKAT EDİLMESİ GEREKEN GÜVENLİK KURALLARI……………………………………………………………………………………………….7

5.ELEKTRONİK TİCARETTE ŞİFRELEME TEKNİKLERİ…………………………………………..7

5.1.Açık Anahtar ve Gizli Anahtar……………………………………………………………………..7

5.2.Kriptografi ve Sayısal Şifreleme…………………………………………………………………..8

5.3.Onay Kurumu…………………………………………………………………………………………8

5.4.Elektronik Kimlik Belgesi…………………………………………………………………………..8

6.DİJİTAL İMZA VE DİJİTAL SERTİFİKA……………………………………………………………..8

6.1.Dijital İmza…………………………………………………………………………………………….8

6.2.Dijital Sertifika ……….………………………………………………………………………………8

7.SSL VE SET GÜVENLİK STANDARTLARI…………………………………………………………9

7.1.SSL Protokolü………………………………………………………………………………………..9

7.2.SET Protokolü………………………………………………………………………………………10

7.3.SSL İLE SET Arasındaki Farklar………………………………………………………………...10

7.4.3D SET ………………………………………………………………………………………………11

7.5.HALF SET…………………………………………………………………………………………….11

8.TÜRKİYEDE ELEKTRONİK TİCARETE YÖNELİK ÖDEMELERDEKİ UYGULAMA ÖRNEKLERİ……………………………………………………………………………………………...11

8.1.Sanal Kredi Kartı……………………………………………………………………………………11

8.2.Uluslararası Güvenlik Platformu………………………………………………………………...12

8.3.Akıllı SMS……………………………………………………………………………………………12

8.4.CODESURE…………………………………………………………………………………………12

SONUÇ…………………………………………………………………………………………………..13

ÖZET

Dünyada elektronik ticaretin yaygınlaşmaya başlaması güvenlik boyutunu gündeme getirmiştir. Çünkü insanlar birçok ihtiyacını artık internet üzerinden gidermektedir. Artık insanlar daha bilinçli hale gelmişlerdir. Bu yüzden tüketiciler satıcılara önce güvenmek isterler.

Bu makelenin giriş bölümünde doğru bilgi (isim, adres, imza) vermenin ve bu bilgilerin 3.şahıslara aktarılmamasının sağlanması aynı zamanda var olan güvenlik sorunu ve bunların aşılması konusunda bilgi verilmiştir. Gelişme bölümünde ise güvenlik sorununun çözülmesi konusundaki aşamalara yer verilmiştir. İnsanların daha güvenli bir ortamda hareket etmeleri için satıcıların uyguladıkları sistemdir. Bunun yanı sıra güvenlik standartları bilgilerin korunması konusunda bir güvence sistemidir. Müşteri odaklı satıcılar bu güvenlik sistemini sağladıkları takdirde daha fazla tüketicinin güvenilir bir ortamda alışveriş yapmaları sağlanacaktır.

Elektronik ticaretin yaygınlaşmaya başlaması neye ne kadar güvenileceği sorusunu akla getirmiştir. Bilgilerin 3. Kişilere sızdırılmaması, zamanında teslim, ödeme şekilleri gibi konulara önem veren tüketiciler için sağlanan güvenlik sistemleri insanların daha fazla elektronik ortama yönelmelerini sağlamıştır. Bunların sayesinde çok fazla kullanılan elektronik ticaretin tüketicilerin daha güvenli kullanabilecekleri bir sistem haline gelmiştir.

1.GİRİŞ

Elektronik ticaretin gelişmesinin en önemli öğelerinden biri bu ortamda gönderilen bilginin güvenliği konusudur. Elektronik ticaretin geliştirilmesi için, Internet ortamında gerçekleştirilen her türlü iletişime yalnızca işleme taraf olanlarca erişilebilmesinde ısrar etmek gerekmektedir. Gerekli güvenlik ortamı sağlanamadığı takdir de elektronik ticaret gelişmeyecektir.

Global enformasyon altyapısı tehlikeden uzak ve güvenilir olmalıdır. Eğer kullanıcılar internetin, haberleşmelerinin ve verilerinin istenmeyen kişilerce elde edilmesi ya da değiştirilmesi konusunda güvenli olduğundan emin olmazlarsa, elektronik ticaretin gelişimi de başarılı olmayacaktır. Dolayısıyla, güvenli bir enformasyon altyapısı şunları gerektirir;

· Güvenilir bir iletişim ağı,
· Bu ağlara saldırılardan enformasyon sistemlerini korumak için, etkili araçlar,
· İstenmeyen yetkisiz kişilerin kullanımından elektronik enformasyonun güvenli bir şekilde korunmasını sağlamak,
· Sistemlerini ve verilerini nasıl koruyacağını bilen iyi eğitimli personel.

Tehlikelerden uzak ve güvenilir bir global enformasyon altyapısı, şifreleme, doğruluğunu tasdik, şifreleme kontrolü, güvenlik duvarı gibi bir dizi teknolojinin etkin ve tutarlı kullanımını gerektirir. İnternette dijital imzayı destekleyen güvenilir onay hizmetlerinin gelişimi özel bir önem taşımaktadır. Hem imzalar hem de güvenli kullanım şifreleme ile ilgili anahtarların kullanımına bağlıdır.

2.ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ

Elektronik ticarete taraf olan kişiler, alışveriş işlemleri sırasında birbirlerini görmediklerinden bazı güvenlik tedbirleri almaya çalışırlar. Klasik ticaret yapan bireyler karşılıklı güven temini için kimlik, imza ve buna benzer yöntemler kullanmaktadır. Aynı şekilde dijital ortamdaki iş ilişkilerinde de, klasik ticarette olduğu gibi, tarafların karşısından beklentileri bulunmaktadır. Dijital ortamlarda imza ve sertifikaların oluşturulmasının sebebi budur. Dijital imza ve sertifikalar sayesinde kişiler karşısındakinin bilgilerinden emin olabilmektedir. Elektronik ticaret ortamlarında yapılan alışverişlerde kredi kartı ve benzeri bilgilerin üçüncü kişilerin eline geçmesi muhtemel bir risktir. Bu olay daha çok internet ortamında ve online mağazalardan yapılan alışverişlerde görülmektedir. Ancak, günlük hayata oranla, kredi kartı bilgilerinin dijital ortamlarda başkaları tarafından öğrenilme riski daha azdır.

Elektronik ticaretin iletişim boyutunda ise, iletişim teknolojinin ilerlemesi, bilginin güvenliği konusundaki hassasiyeti artırmıştır. Günlük yaşamın tüm alanlarındaki iletişimin kısmen ve tamamen elektronik ortamlar üzerinden yapılmaya başlandığı günümüzde, aktarılan bilgiler arasında, işletmelere, kamuya ve kişiye özel bilgilerin bulunması bilginin güvenliği konusundaki çalışmaların artmasına neden olmuştur. Açık ağlarda iletilen bilginin güvenliği, başkası tarafından dinlenme, değiştirilme veya taklit edilme tehdidi altındadır. Bilgi güvenliğini sağlamak bu tehditleri tamamen ortadan kaldırmakla mümkün olabilir. Bilgiyi koruma yöntemlerinin en önemlileri şifreleme ve kilitleme yöntemleridir.

3.ELEKTRONİK TİCARETTE GÜVENLİK SORUNU

İnternet kullanımının ve elektronik ticaret uygulamalarının hızla artmasına karşın, en çok tartışılan ve henüz kesin bir çözüm bulunamayan güvenlik sorunu, önemini korumaktadır. Elektronik ticaretin gelişmesinin karşısındaki en büyük engel, güvenlik olarak görülmektedir. Amerika’da yapılan tahminlere göre, bir yılda çalınan verilerin değeri 10 milyar doların üzerindedir. ABD’de 1996 yılında, 1320 firmayla yapılan bir araştırmaya göre; firmaların %78’i güvenliğin sağlanamamasından dolayı para kaybettiklerini, firmaların %63’ü virüslerden dolayı zarara uğradıklarını ve 20 firma da en az 1 milyon $ zarar ettiklerini belirtmişlerdir.[1]

İnternet üzerinden gerçekleştirilen ticari faaliyetlerde karşılaşabilecek güvenlik sorunları şunlar olabilir :
-          Giriş yetkisi verilmeyen ağ kaynaklarına giriş,
-          Bilgi ve ağ kaynaklarını imha etmek, zarar vermek,
-          Bilgiyi değiştirmek, karıştırmak veya bilgiye yeni şeyler eklemek,
-          Yetkisiz kişilere bilginin iletilmesi,
-          Bilgi ve ağ kaynaklarının çalınması,
-          Alınan hizmetleri ve gönderilen veya alınan bilgiyi inkar etmek,
-          Ağ hizmetlerinin kesilmesine ve bozulmasına neden olmak,
-          Almadığı veya göndermediği bilgileri aldığını veya gönderdiğini iddia etmek.

Elektronik ticarette güvenlik sorunu, üç açıdan incelenebilir.

3.1.Güvenlik Duvarları

Güvenlik duvarı (Firewalls), korunmuş ağlara veya sitelere yalnızca belirli özelliklere sahip dış kullanıcıların girmesine izin veren yazılım veya donanım olarak tanımlanabilir. Kullanıcılar, kullanıcı adı, şifre, internet IP adresi veya alan adı (domain name) kullanarak sisteme girebilirler. Güvenlik duvarı, şirket ağıyla, dış internet arasında bir bariyer oluşturur. Yetkili olmayan kişiler, doğrudan ağ içerisindeki bilgisayarlara giremez. Fakat, yetkili iç kullanıcılar, ağ dışındaki internet hizmetlerinden yararlanmaya devam eder.[2] Güvenlik duvarı, ağ dışından izinsiz girişleri önlemek amacıyla kullanılabileceği gibi, işletme içinde çalışanların gizli veya stratejik bilgilere ulaşmasını engellemek için de kullanılabilir.

3.2.Şifreleme ve İşlem Güvenliği

Bilginin kanallar üzerinden iletilmesi sırasında, çalınma ve değiştirilme riski olmadan alıcıya gönderilmesi büyük önem taşımaktadır. Bunun için, çeşitli kriptografi yöntemleri ve araçları geliştirilmiştir. Kriptografi veya kriptoloji (cryptology), güvenli bilgi iletişimi ve/veya saklanması için, şifreleme ve şifre çözme yöntemlerini türeten, geliştiren ve inceleyen bir bilim dalıdır.[3] Şifreleme işlemiyle, gönderilen bilgi, anlamsız sayısal veriye dönüştürülmekte ve alıcıya gönderilmektedir. Alıcı ise, yine anahtar şifreyi kullanarak, anlamsız sayısal veriyi özgün haline dönüştürmektedir. Farklı şifreleme yöntemlerine ve şifre altyapılarına sahip kriptografi türleri vardır. Bunlar, farklı matematiksel modelleri, şifreleme ve şifre çözme amacıyla tasarlanmış farklı yazılım ve donanım sistemleri kullanmaktadır. Günümüzde yaygın olarak kullanılan kriptografi türleri, açık-anahtarlı kriptografi ve tek/gizli anahtarlı kriptografi olmak üzere iki çeşittir. Gizliliği ve güvenliği sağlamak amacıyla bu yöntemlerde kullanılan araçlar; dijital sertifikalar, dijital ve elektronik imzalar ve onay kurumlarıdır.

3.3.WORLD WİDE WEB Güvenliği ve İnternet Güvenlik Protokolleri

Elektronik ticarette, kullanıcının kimliğini karşı tarafa bildirmesi, karşı tarafın da kendi kimliğini kullanıcıya bildirmesi önemlidir. Özellikle, internet üzerinden alışveriş yapılmasında ve internet üzerinden elektronik ödeme sistemlerinde güvenliği sağlamak amacıyla çeşitli internet güvenlik protokolleri geliştirilmiştir. Bunlardan yaygın olarak kullanılan SET ve SSL protokolleridir. Bunların dışında, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose Internet Mail Extensions), PPTP (Point –to-point Tunneling Protokol) ve SOCKSS gibi güvenlik uygulamaları da mevcuttur[4] .

Teknolojinin gelişmesiyle, internet üzerinden yapılan ödemelerde ve veri iletiminde, daha güvenli sistemler gerçekleştirilecektir. İnternet, kullanıcıların zannettiği kadar güvensiz değildir. Fakat, bu gerçeğin, bir şekilde kullanıcılara anlatılması ve kullanıcıların düşüncelerinin değiştirilmesi gerekmektedir.

4.ELEKTRONİK TİCARETTE DİKKAT EDİLMESİ GEREKEN GÜVENLİK KURALLARI

- Ödeme kısmında 3D SET 1.0 protocol, 3D SSL gibi kart bilgilerini şifreleyebilen güvenli ticaret modellerinin ve yeni teknolojilerin kullanılması ( VISA tarafından 01 Mart 2001 tarihinden itibaren zorunlu tutulacaktır)
-Satıcının Server'ın yerleştirilecek olan firewall'lar yardımı ile kart datasına dışarıdan izinsiz ulaşım engellenmelidir.
- Satıcı tarafından kredi kartları ile verilen siparişlerdeki ve onaylanan işlemlerdeki bilgilerin ve işlem loglarının tutulması, hem doğabilecek anlaşmazlıklar da ve mahkeme kararlarında yardımcı olması, hem de sürekli alışveriş yapan kart sahipleri hakkında çok etkili bir database oluşturulması açısından çok yararlı olacaktır.
- Satıcı sahte veya sorun yaşanmış işlemlere ilişkin bilgilerin mutlaka bir dosya içerisinde saklanmalıdır. Bu hususta özellikle özerk bir kuruluş vasıtası ile sahtekarlığa yönelik database saklanarak işletilebilir ve bu kuruluşa üye sanal mağazalar tarafından kullanılabilir.
- Kredi kartları ile yapılan herhangi bir dolandırıcılık durumunda konuyu sektördeki diğer sanal mağazalarla, banka ve polis ile paylaşılmalıdır.
- Satıcı isterse mal veya hizmetin teslimi esnasında kredi kartının ibrazının istenmesini ve bilgilerin önceden düzenlenmiş fatura üzerine nüfus cüzdanı seri numarası bilgileri ile birlikte not edilmesi ve müşteri imzasının alınmasını isteyebilmektedir.

5.ELEKTRONİK TİCARETTE ŞİFRELEME TEKNİKLERİ

5.1.Açık Anahtar (ASİMETRİK ŞİFRELEME) ve Gizli Anahtar (SİMETRİK ŞİFRELEME)

Açık ve gizli anahtarlar, şifreleme işlemlerinde kullanılan aralarında matematiksel bir ilişki bulunan sayısal algoritmalardır. Açık anahtar, kişiye ait herkesin ulaşabildiği bir algoritmadır. Açık anahtar şifrelemesinde, açık anahtar ve gizli anahtardan oluşan anahtar çiftleri bulunur. Gizli anahtar hiçbir zaman iletilmez, paylaşılmaz ve dağıtılmazken; açık anahtar yayınlanır, paylaşılır ve yaygın olarak dağıtılır. Gizli anahtarın değişimine ihtiyaç yoktur; çünkü bütün iletişim sadece açık olan, dağıtılan veya paylaşılan anahtarla gerçekleştirilir. Dağıtılabilen açık bir anahtarla üretilen bir şifre, sadece gizli anahtarla deşifre edilebilmektedir. Buna karşın, gizli anahtarla üretilmiş bir kriptogram, açık anahtar sahibi tüm partiler tarafından deşifre edilebilmektedir.

Gizli anahtar, açık anahtar ile şifrelenmiş bilgiyi çözebilen ve sadece kişide bulunan bir algoritmadır. Gizli anahtar algoritmasında anahtarın gizliliği en önemli husustur ve bu anahtarın açıklanmaması veya bulunmaması gerekir, aksi takdirde sistemin güvenliğinden söz edilemez. Gizli anahtar güvenliği, mesajların gönderilmesini ve alınmasını sağlayacak açıklanmayan bir gizli anahtar temeline dayanır. Bu nedenle de, simetrik algoritması gizli anahtar şifrelemesi olarak isimlendirilmiştir. Bu şifreleme yöntemi, iletişime başlamadan önce, gönderici ve alıcının karşılıklı olarak sorumlu kaldıkları ve yalnızca birbirleri ile paylaştıkları gizli bir anahtarı gerektirir.

5.2.Kriptografi ve Sayısal Şifreleme

Kriptografi, güvenli veri iletişimi ve veri saklanması amacıyla şifreleme ve şifre çözme yöntemleri geliştiren bilim dalıdır. Ağlar üzerinden iletilen bilginin belirli bir şifre anahtarı ile içeriğinin değiştirilerek, sadece karşı taraf tarafından okunur hale getirilme işlemine sayısal şifreleme adı verilir.

5.3.Onay Kurumu

Bilgi gönderen ve alan tarafların aralarındaki veri iletiminde ortaya çıkacak sorunların ortadan kaldırılabilmesi amacıyla güvenilir üçüncü tarafların bulunması düşünülmüştür. Güvenilir üçüncü taraf olarak sistem içinde yer alan, kişilere elektronik kimlik belgesini veren kurumlar onay kurumlarıdır.

5.4.Elektronik Kimlik Belgesi

Elektronik Kimlik Belgesi, onay kurumları tarafından verilen nüfus cüzdanı, ehliyet belgesi ve diğer kimlik belgeleri gibi kişinin internet üzerinde kimliğinin saptanması için kullanılan elektronik dosyalardır. Diğer bir değişle kimliğin sayısal ispatıdır. Elektronik kimlik belgesi ile birlikte kişiye ait açık anahtar ve gizli anahtar belirlenir.

6.DİJİTAL İMZA VE DİJİTAL SERTİFİKA

6.1.Dijital İmza

Dijital imza şifrelenmiş özel mesajdır. Yazılı dokümanlarda kullandığınız imzalar gibi, dijital imzalarda günümüzde e-posta veya elektronik verilerin sahiplerini tanımlamada kullanılır. Dijital İmzalar, Dijital Sertifikalar kullanılarak yaratılır ve doğrulanır. Dijital İmzayı yaratan dijital sertifikalardır. Dijital Sertifikalar kişi ya da kurumları anonim anahtara bağlarlar. Dijital Sertifikalar, anonim ve özel anahtar çiftinin oluşturduğu Anonim Anahtar Kriptografisi’ ne dayanır. Özel anahtar sadece sahibi tarafından bilinir ve dijital imzanın yaratılmasında kullanılır. Dijital imza sahibi tarafından mutlaka saklı tutulması gerekir. Anonim anahtar ise herkes tarafından bilinir dijital imzanın geçerliliğini kontrol etmek için kullanılır.

6.2.Dijital Sertifika

Dijital sertifika yada dijital kimlik, günlük hayatta kullanılan ehliyet, pasaport gibi kimlik kartlarının elektronik ortamdaki karşılığını ifade eder. Sertifikalar elektronik işlem ve iletişim sırasında kişinin kimliğini kontrol etmesini sağlar. Yasal olarak da ıslak imza ile aynı ifadeyi taşır. Dijital sertifikalar online servis ve bilgiye ulaşma hakkını sağladığı için, elektronik ticaret, veri transferleri ve internet bankacılığı için ideal bir çözümdür. Dijital sertifika mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar. Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder. İletilen dokümanların tarih ve zamanı doğrulanır. Doküman arşivinin oluşturulması kolaylaştırılır. Dijital sertifikaları ile kişiler kendilerini web sitelerine güvenilir bir biçimde tanıtabilmekte, e- posta iletişimlerini şifreli ve imzalı olarak yapabilmekte, belge ve form imzalayabilmektedir. Dijital sertifikalar, e-mail’lerin korunması, web sitelerinin korunması, erişim takibi, mesajlara zaman kaydedilmesi, güvenli dosyalama gibi birçok kullanıcı ve sunucu taraflı uygulamalarda kullanılmaktadır.

7.SSL VE SET GÜVENLİK STANDARTLARI

7.1.SSL(SECURE SOCKET LAYER ) Protokolü

SSL 1995 yılında internet üzerindeki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla (bilginin doğru kişiye güvenli olarak iletimi)Netscape Communications tarafından geliştirilmiş, TCP/IP protokolü üzerinden çalışan, web sunucusu ve web tarayıcısı arasındaki tüm bilgi akışını koruyan bir program katmanıdır. SSL, web sunucularına, bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication, iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.

SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır.

İstemci bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.

Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA'nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer'da da kullanılan bir algoritadır.

7.2.SET (SECURE ELECTRONİC TRANSFER) Protokolü

SET banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign’ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilerek bir endüstri standardı haline gelmiştir. SET uyumlu ilk alışveriş, 18 Temmuz 1997’de San Francisco’da yapılan tanıtımla İspanya ve Singapur’da bulunan sanal mağazalardan gerçekleşmiştir. Garanti Bankası Şubat 1998’de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü kullanmaya başlayan Dünya’da yedinci, Avrupa’da dördüncü ve Türkiye’de ilk kuruluş olmuştur.

SET, özellikle on-line (gerçek zamanda) kredi kartı bilgileri iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu sağlar. SET protokolü sadece müşteri ile online mağaza ve kredi kartı şirketi arasındaki ödeme fazını şifreler.

SET ile ödeme işlemine taraf olan herkes, birbirlerini tanırlar (teşhis ederler, authentication) ve bu ispatlanabilir. "Tanıma" işlemi, SSL 'dekine benzer bir dijital sertifikasyon sistemi ile yapılır. Yani, ödeme fazına dahil bütün taraflar kendi kimliklerini belirten dijital bir sertifika kullanır.

SET protokolünü kullanmak isteyen kredi kartı sahipleri, iki ön koşul yerine getirmek zorundadırlar: Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon kurumundan ayrı birer SET sertifikası almalıdırlar. Daha sonra kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp bilgisayarlarına yüklemeli ve bu yükleme sırasında SET sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET protokolünün SSL’ e göre çok daha fazla denebilecek güvenliğe rağmen yeterince yaygınlaşamaması, sanal cüzdan mobilitesinin olmamasına bağlanabilir.

7.3.SSL ile SET Arasındaki Farklar

Aynı şifreleme yöntemini kullanmakla beraber SSL ile SET güvenlik protokollerinin birbirinden farklı olduğu önemli noktalar şunlardır:

SSL’ de kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilememektedir. Oysa kart sahibinin kullanıcı ismi ve şifresi ulaştığı sanal cüzdanını kullandığı SET protokolünde kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilir.

SSL’ de kartın ait olduğu ve POS ’un ait olduğu bankalar modele dahil değildirler. SSL’ de kart sahibinin kart bilgileri internet üzerinde şifrelenmekte fakat mağaza kart bilgilerini görmektedir. Oysa SET’ de kart bilgileri mağazadan gizli tutulup sadece banka tarafından görülebilmektedir.

7.4.3D SET

3D SET, SET teknolojisini kullanan Üç Alan Modeli olarak bilinen mimari üzerine kurulmuştur.

Mağaza ve POS’ un ait olduğu banka – Acquirer Domain: Mağazanın gerçekliğinden sorumludur.

Kart sahibi ve kartın ait olduğu banka – Issuer Domain: Kart sahibinin ve kartın geçerliliğinden sorumludur.

Kartın ait olduğu banka ve POS’ un ait olduğu banka – Interoperability Domain: İşlem bilgisinin ortak bir protokol kullanılarak karşılıklı değiştirildiği yerdir.

Sistemin işleyiş olarak SET ‘ ten tek farkı kart sahibinin yazılımı ve sertifikasının, kartın ait olduğu banka tarafından ve mağaza yazılımı ve sertifikasının ise POS’ un ait olduğu banka tarafından tutulabilmesidir.

7.5.HALF SET

Kart sahibi ve mağaza arasındaki veri iletişiminin SSL; mağaza ile banka arasındaki veri iletişiminin SET protokolü kullanılarak yapıldığı güvenli ödeme modelidir.

8.TÜRKİYE’ DE ELEKTRONİK TİCARETE YÖNELİK ÖDEMELERDEKİ UYGULAMA ÖRNEKLERİ

Güvenliğe ilişkin şüphe duyan müşteriler ödeme araçlarından EFT, havale ya da kapıda ödemeyi tercih etmektedir. Kredi kartlarının güvenliği konusunda yapılan teknolojik gelişmelerle birlikte güvenilir üçüncü tarafın olduğu 3D Secure gibi ya da kredi kartı bilgilerinin sadece bir kez sisteme yükleyerek gerçekleştirildiği güvenilir internet sitesi aracılığıyla da yapmayı tercih edebilirler. Bunun dışında uluslar arası alanda paypal.com bu aracıların beklide en tanınanı olmakla birlikte Türkiye’de bankalar arası kart merkezinin geliştirdiği bir uygulama olarak BKM Ekpress’ i başlatmıştır. Diğer yöntemlere bakıldığında Sanal Kredi Kartı, 3D Secure, Akıllı SMS görülmekte ve denenmek üzere ortaya çıkarılan CodeSure örnekler arasındadır.

8.1.Sanal Kredi Kartı

Bankalar online işlemlerinin güvenle yapılabilmesini sağlamak amacıyla geliştirilmiştir. Sanal Kart’ ın kredi limiti sıfırdır. Sanal kart limiti alışveriş tutarı kadar ayarlanır. Alışveriş sırasında alışveriş tutarı karttan çekilir ve artık limit kalmadığı için sanal kart kullanılamaz. Sanal kart limiti kişi kendi istediği şekilde ayarlayabildiği için ödemede zorluk çekme endişesi kalmaz.

8.2.Uluslararası Güvenlik Platformu (3D SECURE – ÜÇ BOYUTLU GÜVENLİK SİSTEMİ)

VISA tarafından geliştirilen 3-D Secure protokolü Mastercard tarafından da kabul edilmiş, bir uygulama şartı olarak getirilmiştir ve Garanti Bankası tarafından Ulusal Güvenlik Platformu (3-D Secure) adıyla hizmete açılmıştır.

Uluslararası Güvenlik Platformu bir ödeme onaylama metodu ya da teknolojik bir platform olmayıp ödeme sürecindeki partilerin (işyeri-banka-kart sahibi) sorumluluklarını düzenleyen bir modeldir.

Uluslararası Güvenlik Platformu, sanal alışveriş işlemlerinin güvenliğinin arttırılması için Visa tarafından geliştirilmiş en gelişmiş sistemdir. Sistemin Visa kredi kartları kullanımı için hazırlanan uygulamasına "Verified by Visa", MasterCard kredi kartları kullanımı için hazırlanan uygulamasına ise "SecureCode" isimleri verilmektedir.

Sistem uyarınca, sanal ödeme işlemi sırasında müşteriye bankası tarafından ödeme şifresi sorulmakta ve böylece kart sahibinin kimliği doğrulanmaktadır. Bu sayede yetkisiz kişilerce kredi kartlarının internet ortamında kullanılmasının önüne geçilmesi sağlanmaktadır.

31 Mart 2006 tarihinde başlayan Chip&PIN sistemi ile alışverişte yeni bir dönem başlanmıştır. Kredi kartının üzerindeki çip, kartın kaybolma riskini azaltırken 4 rakamlı şifre ise kartın kaybolması veya çalışmasını durumunda başkaları tarafından kullanılmamasını büyük ölçüde engellemektedir.

8.3.Akıllı SMS

Bankaların internet şubeleri girişte zorunlu olan tek kullanımlık SMS doğrulama şifresi uygulamasına benzemektedir. Kartı sunan ilgili banka tarafından kredi kartı güvenliğini sağlamak amacıyla ve internet üzerinden yapılan para transferlerini daha da güvenli hale getirmek için müşterinin cep telefonuna kısa mesaj olarak tek kullanımlık onay şifresi gönderilmektedir. Böylede işyeri alışveriş yapanın kredi kartı sahibi olduğundan emin olabilmektedir.

8.4.CODESURE

Visa, CodeSure adını verdiği yeni bir kredi kartı ile ağlar üzerinden yapılacak erişimde kullanılmak üzere yeni bir güvenlik seviyesi ve güvenlik çözümü geliştirilmiştir. İnternetten yapılan alışverişleri daha güvenli hale getirmek ve internetteki dolandırıcılıkların önüne geçmek için geliştirilen kredi kartı, normal kredi kartıyla aynı boyuttadır; ancak, kartın üzerinde 8 haneli ekranı, 12 tuşlu klavyesi ve 3 yıl yetecek kadar pili bulunmakta olup, yüksek güvenli dinamik şifre kodu üretecek tüm teknolojik gereksinime sahiptir.

CodeSure ile internetten alışveriş yapmak isteyen kullanıcı, öncelikle kartın üzerindeki ‘Visa tarafından onaylı’ butonuna basıyor. Kullanılan kart sisteme ulaşmaya hazır olduğunda uyarı veriyor ve kullanıcı, klavye ATM makinesinde kullanırken yazdığı şifreyi girer. Kartın ekranında internetten alışverişte, sadece bir kere kullanılmak üzere, yeni şifre belirir. Kart sahibi internetten alışverişin kimsenin bilmediği ve ele geçireninde herhangi bir işine yaramayacak olan bu şifreyi kullanarak güvenli bir şekilde alışverişini yapabilmektedir. Visa, CodeSure kartın deneme sürümlerini ilk olarak Türkiye, İngiltere, İtalya, İsrail, İsviçre ve Almanya’da yapmaktadır.

9.SONUÇ

Elektronik ticaretin gelişmesinde en büyük engellerden biri olarak görünen güvenlik sorunu çeşitli yöntemlerle giderilmeye çalışılmıştır. Bunları sıralayacak olursak : ‘Güvenli ödeme sistemlerinin geliştirilmesi, sayısal imzanın kabulü, onay kurumlarının kurulması ve yasal boşlukların tamamlanması’ dır. Elektronik ticaretin gelişebilmesi için teknik altyapıdan oluşan sorunların giderilmesi gerekmektedir.

Elektronik ticaret yapma işlemlerimizi internet üzerinden gerçekleştirdiğimiz için internet ağlarının genişletilmesi, ağa bağlanacak olan bilgisayarların sayısının arttırılması gerekir. Elektronik ticaret ortamında bir ürün almak istiyorsak öncelikle alacağımız ürünün bulunduğu internet adresinin güvenliğinden emin olmamız gerekir. Alıcı ve satıcı birbirlerini görmeden iş yaptıkları için karşılıklı olarak güven sağlanmasına ihtiyaç duyarlar. Ticaret yapmadan önce alıcı ve satıcı güvenilirlik açısından birbirlerinin kim olduğundan emin olmak isterler. Geliştirilen dijital imza ve dijital sertifikalar alıcı ve satıcının birbirlerinin kimliğinden emin olmalarını sağlamaktadır. Alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermiş oldukları bilgilerin alıcı ve satıcı dışında başkaları tarafından ele geçirilmesi riski güvenlik konusunda değerlendirilmesi gereken başka bir konudur. Verdiğimiz bilgilerin başka kişiler tarafından öğrenilmemesi amacıyla SSL, SET ve 3D SET gibi güvenlik yazılımları geliştirilmiştir.

Alıcı ve satıcının birbirlerini görerek yapmış oldukları alışveriş risksiz ve güvenilirdir. Fakat gelişen internet ortamıyla birlikte insanlar alış verişlerini internet ortamında gerçekleştirme eğilimindedirler. İnternet ortamında yapılan alışveriş yüz yüze yapılan alışverişe oranla riski daha fazladır ve güvenirlilik açısından sıkıntılar yaşanmaktadır. Bu yüzden internet ortamından alışveriş yapacak olursak güvenirliliğinden emin olduğumuz internet sitelerinden işlemimizi gerçekleştirmemiz gerekmektedir.

[1] (Singh ve Frolick, 2000:58).

[2] (Kalakota ve Whinston, 1997:126).

[3] (Elektronik Ticaret Terimler Sözlüğü, 2001)

[4] (Adam vd., 1999:136).

15 Mayıs 2014 Perşembe

RESİMLER

14 Mayıs 2014 Çarşamba

ELEKTRONİK TİCARETİN GÜVENLİK BOYUTU

E ticaret iş hayatında hangi alanları etkilemektedir.