15 Mayıs 2014 Perşembe
14 Mayıs 2014 Çarşamba
ELEKTRONİK TİCARETİN GÜVENLİK BOYUTU
T.C.
KIRKLARELİ ÜNİVERSİTESİ
BABAESKİ MESLEK YÜKSEK OKULU
DIŞ TİCARET PROGRAMI
ELEKTRONİK TİCARETİN GÜVENLİK BOYUTU
(YÜKSEK OKUL PROJESİ)
Makaleyi Hazırlayan:
TUĞBA KARAGÜL
Danışman :
Öğr. Gör. Harun BAYER
BABAESKİ ,2014
İÇİNDEKİLER
ÖZET………………………………………………………………………………………………………3
1.GİRİŞ…………………………………………………………………………………........................4
2.ELEKTRONİK TİCARETTE BLGİ
GÜVENLİĞİ…………………………………………………….4
3.ELEKTRONİK TİCARETTE GÜVENLİK
SORUNU………………………………………………..5
3.1.Güvenlik Duvarı……………………………………………………………………………………...5
3.2.Şifreleme ve İşlem
Güvenliği………………………………………………………………………6
3.3.World Wide Web Güvenliği ve İnternet
Güvenlik protokolleri……………………………….6
4.ELETRONİK TİCARETTE DİKKAT EDİLMESİ GEREKEN
GÜVENLİK KURALLARI……………………………………………………………………………………………….7
5.ELEKTRONİK TİCARETTE ŞİFRELEME
TEKNİKLERİ…………………………………………..7
5.1.Açık Anahtar ve Gizli
Anahtar……………………………………………………………………..7
5.2.Kriptografi ve Sayısal
Şifreleme…………………………………………………………………..8
5.3.Onay Kurumu…………………………………………………………………………………………8
5.4.Elektronik Kimlik
Belgesi…………………………………………………………………………..8
6.DİJİTAL İMZA VE DİJİTAL
SERTİFİKA……………………………………………………………..8
6.1.Dijital İmza…………………………………………………………………………………………….8
6.2.Dijital Sertifika ……….………………………………………………………………………………8
7.SSL VE SET GÜVENLİK
STANDARTLARI…………………………………………………………9
7.1.SSL Protokolü………………………………………………………………………………………..9
7.2.SET Protokolü………………………………………………………………………………………10
7.3.SSL İLE SET Arasındaki
Farklar………………………………………………………………...10
7.4.3D SET ………………………………………………………………………………………………11
7.5.HALF SET…………………………………………………………………………………………….11
8.TÜRKİYEDE ELEKTRONİK TİCARETE YÖNELİK
ÖDEMELERDEKİ UYGULAMA ÖRNEKLERİ……………………………………………………………………………………………...11
8.1.Sanal Kredi Kartı……………………………………………………………………………………11
8.2.Uluslararası Güvenlik
Platformu………………………………………………………………...12
8.3.Akıllı SMS……………………………………………………………………………………………12
8.4.CODESURE…………………………………………………………………………………………12
SONUÇ…………………………………………………………………………………………………..13
ÖZET
Dünyada elektronik ticaretin yaygınlaşmaya başlaması güvenlik boyutunu
gündeme getirmiştir. Çünkü insanlar birçok ihtiyacını artık internet üzerinden
gidermektedir. Artık insanlar daha bilinçli hale gelmişlerdir. Bu yüzden
tüketiciler satıcılara önce güvenmek isterler.
Bu makelenin giriş bölümünde doğru bilgi (isim, adres, imza) vermenin ve
bu bilgilerin 3.şahıslara aktarılmamasının sağlanması aynı zamanda var olan
güvenlik sorunu ve bunların aşılması konusunda bilgi verilmiştir. Gelişme
bölümünde ise güvenlik sorununun çözülmesi konusundaki aşamalara yer
verilmiştir. İnsanların daha güvenli bir ortamda hareket etmeleri için
satıcıların uyguladıkları sistemdir. Bunun yanı sıra güvenlik standartları
bilgilerin korunması konusunda bir güvence sistemidir. Müşteri odaklı satıcılar
bu güvenlik sistemini sağladıkları takdirde daha fazla tüketicinin güvenilir
bir ortamda alışveriş yapmaları sağlanacaktır.
Elektronik ticaretin yaygınlaşmaya başlaması neye ne kadar güvenileceği
sorusunu akla getirmiştir. Bilgilerin 3. Kişilere sızdırılmaması, zamanında
teslim, ödeme şekilleri gibi konulara önem veren tüketiciler için sağlanan
güvenlik sistemleri insanların daha fazla elektronik ortama yönelmelerini
sağlamıştır. Bunların sayesinde çok fazla kullanılan elektronik ticaretin
tüketicilerin daha güvenli kullanabilecekleri bir sistem haline gelmiştir.
1.GİRİŞ
Elektronik ticaretin gelişmesinin
en önemli öğelerinden biri bu ortamda gönderilen bilginin güvenliği konusudur. Elektronik ticaretin geliştirilmesi
için, Internet ortamında gerçekleştirilen her türlü iletişime yalnızca işleme
taraf olanlarca erişilebilmesinde ısrar etmek gerekmektedir. Gerekli güvenlik
ortamı sağlanamadığı takdir de elektronik ticaret gelişmeyecektir.
Global enformasyon altyapısı
tehlikeden uzak ve güvenilir olmalıdır. Eğer kullanıcılar internetin,
haberleşmelerinin ve verilerinin istenmeyen kişilerce elde edilmesi ya da
değiştirilmesi konusunda güvenli olduğundan emin olmazlarsa, elektronik ticaretin
gelişimi de başarılı olmayacaktır. Dolayısıyla, güvenli bir enformasyon
altyapısı şunları gerektirir;
· Güvenilir bir iletişim ağı,
· Bu ağlara saldırılardan enformasyon sistemlerini korumak için, etkili araçlar,
· İstenmeyen yetkisiz kişilerin kullanımından elektronik enformasyonun güvenli bir şekilde korunmasını sağlamak,
· Sistemlerini ve verilerini nasıl koruyacağını bilen iyi eğitimli personel.
· Bu ağlara saldırılardan enformasyon sistemlerini korumak için, etkili araçlar,
· İstenmeyen yetkisiz kişilerin kullanımından elektronik enformasyonun güvenli bir şekilde korunmasını sağlamak,
· Sistemlerini ve verilerini nasıl koruyacağını bilen iyi eğitimli personel.
Tehlikelerden uzak ve güvenilir
bir global enformasyon altyapısı, şifreleme, doğruluğunu tasdik, şifreleme
kontrolü, güvenlik duvarı gibi bir dizi teknolojinin etkin ve tutarlı
kullanımını gerektirir. İnternette dijital imzayı destekleyen güvenilir onay
hizmetlerinin gelişimi özel bir önem taşımaktadır. Hem imzalar hem de güvenli
kullanım şifreleme ile ilgili anahtarların kullanımına bağlıdır.
2.ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ
Elektronik ticarete taraf
olan kişiler, alışveriş işlemleri sırasında birbirlerini görmediklerinden bazı
güvenlik tedbirleri almaya çalışırlar. Klasik ticaret yapan bireyler karşılıklı
güven temini için kimlik, imza ve buna benzer yöntemler kullanmaktadır. Aynı
şekilde dijital ortamdaki iş ilişkilerinde de, klasik ticarette olduğu gibi,
tarafların karşısından beklentileri bulunmaktadır. Dijital ortamlarda imza ve
sertifikaların oluşturulmasının sebebi budur. Dijital imza ve sertifikalar
sayesinde kişiler karşısındakinin bilgilerinden emin olabilmektedir. Elektronik
ticaret ortamlarında yapılan alışverişlerde kredi kartı ve benzeri bilgilerin
üçüncü kişilerin eline geçmesi muhtemel bir risktir. Bu olay daha çok internet
ortamında ve online mağazalardan yapılan alışverişlerde görülmektedir. Ancak,
günlük hayata oranla, kredi kartı bilgilerinin dijital ortamlarda başkaları
tarafından öğrenilme riski daha azdır.
Elektronik ticaretin iletişim
boyutunda ise, iletişim teknolojinin ilerlemesi, bilginin güvenliği konusundaki
hassasiyeti artırmıştır. Günlük yaşamın tüm alanlarındaki iletişimin kısmen ve
tamamen elektronik ortamlar üzerinden yapılmaya başlandığı günümüzde, aktarılan
bilgiler arasında, işletmelere, kamuya ve kişiye özel bilgilerin bulunması
bilginin güvenliği konusundaki çalışmaların artmasına neden olmuştur. Açık
ağlarda iletilen bilginin güvenliği, başkası tarafından dinlenme, değiştirilme
veya taklit edilme tehdidi altındadır. Bilgi güvenliğini sağlamak bu tehditleri
tamamen ortadan kaldırmakla mümkün olabilir. Bilgiyi koruma yöntemlerinin en
önemlileri şifreleme ve kilitleme yöntemleridir.
3.ELEKTRONİK TİCARETTE GÜVENLİK SORUNU
İnternet kullanımının ve elektronik ticaret uygulamalarının hızla artmasına karşın, en çok tartışılan ve henüz kesin bir çözüm bulunamayan güvenlik sorunu, önemini korumaktadır. Elektronik ticaretin gelişmesinin karşısındaki en büyük engel, güvenlik olarak görülmektedir. Amerika’da yapılan tahminlere göre, bir yılda çalınan verilerin değeri 10 milyar doların üzerindedir. ABD’de 1996 yılında, 1320 firmayla yapılan bir araştırmaya göre; firmaların %78’i güvenliğin sağlanamamasından dolayı para kaybettiklerini, firmaların %63’ü virüslerden dolayı zarara uğradıklarını ve 20 firma da en az 1 milyon $ zarar ettiklerini belirtmişlerdir.[1]
İnternet kullanımının ve elektronik ticaret uygulamalarının hızla artmasına karşın, en çok tartışılan ve henüz kesin bir çözüm bulunamayan güvenlik sorunu, önemini korumaktadır. Elektronik ticaretin gelişmesinin karşısındaki en büyük engel, güvenlik olarak görülmektedir. Amerika’da yapılan tahminlere göre, bir yılda çalınan verilerin değeri 10 milyar doların üzerindedir. ABD’de 1996 yılında, 1320 firmayla yapılan bir araştırmaya göre; firmaların %78’i güvenliğin sağlanamamasından dolayı para kaybettiklerini, firmaların %63’ü virüslerden dolayı zarara uğradıklarını ve 20 firma da en az 1 milyon $ zarar ettiklerini belirtmişlerdir.[1]
İnternet üzerinden
gerçekleştirilen ticari faaliyetlerde karşılaşabilecek güvenlik sorunları
şunlar olabilir :
- Giriş yetkisi verilmeyen ağ kaynaklarına giriş,
- Bilgi ve ağ kaynaklarını imha etmek, zarar vermek,
- Bilgiyi değiştirmek, karıştırmak veya bilgiye yeni şeyler eklemek,
- Yetkisiz kişilere bilginin iletilmesi,
- Bilgi ve ağ kaynaklarının çalınması,
- Alınan hizmetleri ve gönderilen veya alınan bilgiyi inkar etmek,
- Ağ hizmetlerinin kesilmesine ve bozulmasına neden olmak,
- Almadığı veya göndermediği bilgileri aldığını veya gönderdiğini iddia etmek.
- Giriş yetkisi verilmeyen ağ kaynaklarına giriş,
- Bilgi ve ağ kaynaklarını imha etmek, zarar vermek,
- Bilgiyi değiştirmek, karıştırmak veya bilgiye yeni şeyler eklemek,
- Yetkisiz kişilere bilginin iletilmesi,
- Bilgi ve ağ kaynaklarının çalınması,
- Alınan hizmetleri ve gönderilen veya alınan bilgiyi inkar etmek,
- Ağ hizmetlerinin kesilmesine ve bozulmasına neden olmak,
- Almadığı veya göndermediği bilgileri aldığını veya gönderdiğini iddia etmek.
Elektronik ticarette
güvenlik sorunu, üç açıdan incelenebilir.
3.1.Güvenlik Duvarları
Güvenlik duvarı (Firewalls), korunmuş ağlara veya sitelere yalnızca belirli özelliklere sahip dış kullanıcıların girmesine izin veren yazılım veya donanım olarak tanımlanabilir. Kullanıcılar, kullanıcı adı, şifre, internet IP adresi veya alan adı (domain name) kullanarak sisteme girebilirler. Güvenlik duvarı, şirket ağıyla, dış internet arasında bir bariyer oluşturur. Yetkili olmayan kişiler, doğrudan ağ içerisindeki bilgisayarlara giremez. Fakat, yetkili iç kullanıcılar, ağ dışındaki internet hizmetlerinden yararlanmaya devam eder.[2] Güvenlik duvarı, ağ dışından izinsiz girişleri önlemek amacıyla kullanılabileceği gibi, işletme içinde çalışanların gizli veya stratejik bilgilere ulaşmasını engellemek için de kullanılabilir.
3.2.Şifreleme ve İşlem Güvenliği
Bilginin kanallar üzerinden iletilmesi sırasında, çalınma ve değiştirilme riski olmadan alıcıya gönderilmesi büyük önem taşımaktadır. Bunun için, çeşitli kriptografi yöntemleri ve araçları geliştirilmiştir. Kriptografi veya kriptoloji (cryptology), güvenli bilgi iletişimi ve/veya saklanması için, şifreleme ve şifre çözme yöntemlerini türeten, geliştiren ve inceleyen bir bilim dalıdır.[3] Şifreleme işlemiyle, gönderilen bilgi, anlamsız sayısal veriye dönüştürülmekte ve alıcıya gönderilmektedir. Alıcı ise, yine anahtar şifreyi kullanarak, anlamsız sayısal veriyi özgün haline dönüştürmektedir. Farklı şifreleme yöntemlerine ve şifre altyapılarına sahip kriptografi türleri vardır. Bunlar, farklı matematiksel modelleri, şifreleme ve şifre çözme amacıyla tasarlanmış farklı yazılım ve donanım sistemleri kullanmaktadır. Günümüzde yaygın olarak kullanılan kriptografi türleri, açık-anahtarlı kriptografi ve tek/gizli anahtarlı kriptografi olmak üzere iki çeşittir. Gizliliği ve güvenliği sağlamak amacıyla bu yöntemlerde kullanılan araçlar; dijital sertifikalar, dijital ve elektronik imzalar ve onay kurumlarıdır.
Bilginin kanallar üzerinden iletilmesi sırasında, çalınma ve değiştirilme riski olmadan alıcıya gönderilmesi büyük önem taşımaktadır. Bunun için, çeşitli kriptografi yöntemleri ve araçları geliştirilmiştir. Kriptografi veya kriptoloji (cryptology), güvenli bilgi iletişimi ve/veya saklanması için, şifreleme ve şifre çözme yöntemlerini türeten, geliştiren ve inceleyen bir bilim dalıdır.[3] Şifreleme işlemiyle, gönderilen bilgi, anlamsız sayısal veriye dönüştürülmekte ve alıcıya gönderilmektedir. Alıcı ise, yine anahtar şifreyi kullanarak, anlamsız sayısal veriyi özgün haline dönüştürmektedir. Farklı şifreleme yöntemlerine ve şifre altyapılarına sahip kriptografi türleri vardır. Bunlar, farklı matematiksel modelleri, şifreleme ve şifre çözme amacıyla tasarlanmış farklı yazılım ve donanım sistemleri kullanmaktadır. Günümüzde yaygın olarak kullanılan kriptografi türleri, açık-anahtarlı kriptografi ve tek/gizli anahtarlı kriptografi olmak üzere iki çeşittir. Gizliliği ve güvenliği sağlamak amacıyla bu yöntemlerde kullanılan araçlar; dijital sertifikalar, dijital ve elektronik imzalar ve onay kurumlarıdır.
3.3.WORLD WİDE WEB Güvenliği ve İnternet Güvenlik Protokolleri
Elektronik ticarette, kullanıcının kimliğini karşı tarafa bildirmesi, karşı tarafın da kendi kimliğini kullanıcıya bildirmesi önemlidir. Özellikle, internet üzerinden alışveriş yapılmasında ve internet üzerinden elektronik ödeme sistemlerinde güvenliği sağlamak amacıyla çeşitli internet güvenlik protokolleri geliştirilmiştir. Bunlardan yaygın olarak kullanılan SET ve SSL protokolleridir. Bunların dışında, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose Internet Mail Extensions), PPTP (Point –to-point Tunneling Protokol) ve SOCKSS gibi güvenlik uygulamaları da mevcuttur[4] .
Teknolojinin gelişmesiyle, internet üzerinden yapılan ödemelerde ve veri iletiminde, daha güvenli sistemler gerçekleştirilecektir. İnternet, kullanıcıların zannettiği kadar güvensiz değildir. Fakat, bu gerçeğin, bir şekilde kullanıcılara anlatılması ve kullanıcıların düşüncelerinin değiştirilmesi gerekmektedir.
Elektronik ticarette, kullanıcının kimliğini karşı tarafa bildirmesi, karşı tarafın da kendi kimliğini kullanıcıya bildirmesi önemlidir. Özellikle, internet üzerinden alışveriş yapılmasında ve internet üzerinden elektronik ödeme sistemlerinde güvenliği sağlamak amacıyla çeşitli internet güvenlik protokolleri geliştirilmiştir. Bunlardan yaygın olarak kullanılan SET ve SSL protokolleridir. Bunların dışında, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose Internet Mail Extensions), PPTP (Point –to-point Tunneling Protokol) ve SOCKSS gibi güvenlik uygulamaları da mevcuttur[4] .
Teknolojinin gelişmesiyle, internet üzerinden yapılan ödemelerde ve veri iletiminde, daha güvenli sistemler gerçekleştirilecektir. İnternet, kullanıcıların zannettiği kadar güvensiz değildir. Fakat, bu gerçeğin, bir şekilde kullanıcılara anlatılması ve kullanıcıların düşüncelerinin değiştirilmesi gerekmektedir.
4.ELEKTRONİK TİCARETTE DİKKAT EDİLMESİ GEREKEN GÜVENLİK
KURALLARI
- Ödeme kısmında 3D SET 1.0 protocol,
3D SSL gibi kart bilgilerini şifreleyebilen güvenli ticaret modellerinin ve
yeni teknolojilerin kullanılması ( VISA tarafından 01 Mart 2001 tarihinden
itibaren zorunlu tutulacaktır)
-Satıcının Server'ın yerleştirilecek olan firewall'lar yardımı ile kart datasına dışarıdan izinsiz ulaşım engellenmelidir.
- Satıcı tarafından kredi kartları ile verilen siparişlerdeki ve onaylanan işlemlerdeki bilgilerin ve işlem loglarının tutulması, hem doğabilecek anlaşmazlıklar da ve mahkeme kararlarında yardımcı olması, hem de sürekli alışveriş yapan kart sahipleri hakkında çok etkili bir database oluşturulması açısından çok yararlı olacaktır.
- Satıcı sahte veya sorun yaşanmış işlemlere ilişkin bilgilerin mutlaka bir dosya içerisinde saklanmalıdır. Bu hususta özellikle özerk bir kuruluş vasıtası ile sahtekarlığa yönelik database saklanarak işletilebilir ve bu kuruluşa üye sanal mağazalar tarafından kullanılabilir.
- Kredi kartları ile yapılan herhangi bir dolandırıcılık durumunda konuyu sektördeki diğer sanal mağazalarla, banka ve polis ile paylaşılmalıdır.
- Satıcı isterse mal veya hizmetin teslimi esnasında kredi kartının ibrazının istenmesini ve bilgilerin önceden düzenlenmiş fatura üzerine nüfus cüzdanı seri numarası bilgileri ile birlikte not edilmesi ve müşteri imzasının alınmasını isteyebilmektedir.
-Satıcının Server'ın yerleştirilecek olan firewall'lar yardımı ile kart datasına dışarıdan izinsiz ulaşım engellenmelidir.
- Satıcı tarafından kredi kartları ile verilen siparişlerdeki ve onaylanan işlemlerdeki bilgilerin ve işlem loglarının tutulması, hem doğabilecek anlaşmazlıklar da ve mahkeme kararlarında yardımcı olması, hem de sürekli alışveriş yapan kart sahipleri hakkında çok etkili bir database oluşturulması açısından çok yararlı olacaktır.
- Satıcı sahte veya sorun yaşanmış işlemlere ilişkin bilgilerin mutlaka bir dosya içerisinde saklanmalıdır. Bu hususta özellikle özerk bir kuruluş vasıtası ile sahtekarlığa yönelik database saklanarak işletilebilir ve bu kuruluşa üye sanal mağazalar tarafından kullanılabilir.
- Kredi kartları ile yapılan herhangi bir dolandırıcılık durumunda konuyu sektördeki diğer sanal mağazalarla, banka ve polis ile paylaşılmalıdır.
- Satıcı isterse mal veya hizmetin teslimi esnasında kredi kartının ibrazının istenmesini ve bilgilerin önceden düzenlenmiş fatura üzerine nüfus cüzdanı seri numarası bilgileri ile birlikte not edilmesi ve müşteri imzasının alınmasını isteyebilmektedir.
5.ELEKTRONİK TİCARETTE ŞİFRELEME TEKNİKLERİ
5.1.Açık Anahtar (ASİMETRİK ŞİFRELEME) ve
Gizli Anahtar (SİMETRİK ŞİFRELEME)
Açık ve gizli anahtarlar,
şifreleme işlemlerinde kullanılan aralarında matematiksel bir ilişki bulunan
sayısal algoritmalardır. Açık anahtar, kişiye ait herkesin ulaşabildiği bir
algoritmadır. Açık anahtar şifrelemesinde, açık anahtar ve gizli anahtardan
oluşan anahtar çiftleri bulunur. Gizli anahtar hiçbir zaman iletilmez, paylaşılmaz
ve dağıtılmazken; açık anahtar yayınlanır, paylaşılır ve yaygın olarak
dağıtılır. Gizli anahtarın değişimine ihtiyaç yoktur; çünkü bütün iletişim
sadece açık olan, dağıtılan veya paylaşılan anahtarla gerçekleştirilir.
Dağıtılabilen açık bir anahtarla üretilen bir şifre, sadece gizli anahtarla
deşifre edilebilmektedir. Buna karşın, gizli anahtarla üretilmiş bir kriptogram,
açık anahtar sahibi tüm partiler tarafından deşifre edilebilmektedir.
Gizli anahtar, açık anahtar
ile şifrelenmiş bilgiyi çözebilen ve sadece kişide bulunan bir algoritmadır. Gizli
anahtar algoritmasında anahtarın gizliliği en önemli husustur ve bu anahtarın
açıklanmaması veya bulunmaması gerekir, aksi takdirde sistemin güvenliğinden
söz edilemez. Gizli anahtar güvenliği, mesajların gönderilmesini ve alınmasını
sağlayacak açıklanmayan bir gizli anahtar temeline dayanır. Bu nedenle de,
simetrik algoritması gizli anahtar şifrelemesi olarak isimlendirilmiştir. Bu
şifreleme yöntemi, iletişime başlamadan önce, gönderici ve alıcının karşılıklı
olarak sorumlu kaldıkları ve yalnızca birbirleri ile paylaştıkları gizli bir
anahtarı gerektirir.
5.2.Kriptografi ve Sayısal Şifreleme
Kriptografi, güvenli veri
iletişimi ve veri saklanması amacıyla şifreleme ve şifre çözme yöntemleri
geliştiren bilim dalıdır. Ağlar üzerinden iletilen bilginin belirli bir şifre
anahtarı ile içeriğinin değiştirilerek, sadece karşı taraf tarafından okunur
hale getirilme işlemine sayısal şifreleme adı verilir.
5.3.Onay Kurumu
Bilgi gönderen ve alan
tarafların aralarındaki veri iletiminde ortaya çıkacak sorunların ortadan
kaldırılabilmesi amacıyla güvenilir üçüncü tarafların bulunması düşünülmüştür.
Güvenilir üçüncü taraf olarak sistem içinde yer alan, kişilere elektronik
kimlik belgesini veren kurumlar onay kurumlarıdır.
5.4.Elektronik Kimlik Belgesi
Elektronik Kimlik Belgesi, onay
kurumları tarafından verilen nüfus cüzdanı, ehliyet belgesi ve diğer kimlik
belgeleri gibi kişinin internet üzerinde kimliğinin saptanması için kullanılan
elektronik dosyalardır. Diğer bir değişle kimliğin sayısal ispatıdır.
Elektronik kimlik belgesi ile birlikte kişiye ait açık anahtar ve gizli anahtar
belirlenir.
6.DİJİTAL İMZA VE DİJİTAL
SERTİFİKA
6.1.Dijital İmza
Dijital imza şifrelenmiş özel
mesajdır. Yazılı dokümanlarda kullandığınız imzalar gibi, dijital imzalarda
günümüzde e-posta veya elektronik verilerin sahiplerini tanımlamada kullanılır.
Dijital İmzalar, Dijital Sertifikalar kullanılarak yaratılır ve doğrulanır. Dijital
İmzayı yaratan dijital sertifikalardır. Dijital Sertifikalar kişi ya da
kurumları anonim anahtara bağlarlar. Dijital Sertifikalar, anonim ve özel
anahtar çiftinin oluşturduğu Anonim Anahtar Kriptografisi’ ne dayanır. Özel
anahtar sadece sahibi tarafından bilinir ve dijital imzanın yaratılmasında
kullanılır. Dijital imza sahibi tarafından mutlaka saklı tutulması gerekir. Anonim
anahtar ise herkes tarafından bilinir dijital imzanın geçerliliğini kontrol
etmek için kullanılır.
6.2.Dijital Sertifika
Dijital sertifika yada dijital
kimlik, günlük hayatta kullanılan ehliyet, pasaport gibi kimlik kartlarının
elektronik ortamdaki karşılığını ifade eder. Sertifikalar elektronik işlem ve
iletişim sırasında kişinin kimliğini kontrol etmesini sağlar. Yasal olarak da
ıslak imza ile aynı ifadeyi taşır. Dijital sertifikalar online servis ve
bilgiye ulaşma hakkını sağladığı için, elektronik ticaret, veri transferleri ve
internet bankacılığı için ideal bir çözümdür. Dijital sertifika mesajların
şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar. Mesajı
gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder. İletilen
dokümanların tarih ve zamanı doğrulanır. Doküman arşivinin oluşturulması
kolaylaştırılır. Dijital sertifikaları ile kişiler kendilerini web sitelerine
güvenilir bir biçimde tanıtabilmekte, e- posta iletişimlerini şifreli ve imzalı
olarak yapabilmekte, belge ve form imzalayabilmektedir. Dijital sertifikalar,
e-mail’lerin korunması, web sitelerinin korunması, erişim takibi, mesajlara
zaman kaydedilmesi, güvenli dosyalama gibi birçok kullanıcı ve sunucu taraflı
uygulamalarda kullanılmaktadır.
7.SSL VE SET GÜVENLİK STANDARTLARI
7.1.SSL(SECURE SOCKET LAYER ) Protokolü
SSL 1995 yılında internet üzerindeki
bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla (bilginin
doğru kişiye güvenli olarak iletimi)Netscape Communications tarafından
geliştirilmiş, TCP/IP protokolü üzerinden çalışan, web sunucusu ve web
tarayıcısı arasındaki tüm bilgi akışını koruyan bir program katmanıdır. SSL, web sunucularına, bir modül olarak yüklenir ve böylece
web sunucuları güvenli erişime uygun hale gelir SSL, hem istemci (bilgi alan)
hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication, iki
bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır.
Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği
teyit edilir.
SSL, web sunucusunu tanımak için,
dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o
organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda
da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da
sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait
bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika
kuruluşları tarafından dağıtılır.
İstemci bilgisayar, SSL
destekleyen bir sunucuya bağlandığı anda, doğrulama işlemi başlar. İstemci,
kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak
şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci
sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı
çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin
gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı"
ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan
itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha
sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli
anahtarları gönderir ve güvenli iletişim başlar.
Anahtarlar üretilirken
kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard),
RSA, IDEA verilebilir. Bunlardan RSA'nın RC4 algoritması (128 bit şifreleme
olarak) Netscape ve Internet Explorer'da da kullanılan bir algoritadır.
7.2.SET (SECURE ELECTRONİC
TRANSFER) Protokolü
SET banka kartları ve ödemeler
ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft,
Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign’ın katılımıyla oluşan bir
konsorsiyum tarafından geliştirilerek bir endüstri standardı haline gelmiştir.
SET uyumlu ilk alışveriş, 18 Temmuz 1997’de San Francisco’da yapılan tanıtımla
İspanya ve Singapur’da bulunan sanal mağazalardan gerçekleşmiştir. Garanti
Bankası Şubat 1998’de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü
kullanmaya başlayan Dünya’da yedinci, Avrupa’da dördüncü ve Türkiye’de ilk
kuruluş olmuştur.
SET, özellikle on-line (gerçek
zamanda) kredi kartı bilgileri iletimi için geliştirilmiş bir standarttır. SET,
kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden
aktarımında gizlilik ve güvenlik entegrasyonunu sağlar. SET protokolü sadece
müşteri ile online mağaza ve kredi kartı şirketi arasındaki ödeme fazını
şifreler.
SET ile ödeme işlemine taraf
olan herkes, birbirlerini tanırlar (teşhis ederler, authentication) ve bu
ispatlanabilir. "Tanıma" işlemi, SSL 'dekine benzer bir dijital
sertifikasyon sistemi ile yapılır. Yani, ödeme fazına dahil bütün taraflar
kendi kimliklerini belirten dijital bir sertifika kullanır.
SET protokolünü kullanmak
isteyen kredi kartı sahipleri, iki ön koşul yerine getirmek zorundadırlar:
Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon
kurumundan ayrı birer SET sertifikası almalıdırlar. Daha sonra kart sahipleri
yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp
bilgisayarlarına yüklemeli ve bu yükleme sırasında SET sertifikalı kredi
kartlarını programa tanıtmalıdırlar. SET protokolünün SSL’ e göre çok daha
fazla denebilecek güvenliğe rağmen yeterince yaygınlaşamaması, sanal cüzdan
mobilitesinin olmamasına bağlanabilir.
7.3.SSL ile SET Arasındaki Farklar
Aynı şifreleme yöntemini
kullanmakla beraber SSL ile SET güvenlik protokollerinin birbirinden farklı
olduğu önemli noktalar şunlardır:
SSL’ de kart bilgilerini gönderen kişinin kart sahibi olduğu garanti
edilememektedir. Oysa kart sahibinin kullanıcı ismi ve şifresi ulaştığı sanal
cüzdanını kullandığı SET protokolünde kart bilgilerini gönderen kişinin kart
sahibi olduğu garanti edilir.
SSL’ de kartın ait olduğu ve
POS ’un ait olduğu bankalar modele dahil değildirler. SSL’ de kart sahibinin
kart bilgileri internet üzerinde şifrelenmekte fakat mağaza kart bilgilerini
görmektedir. Oysa SET’ de kart bilgileri mağazadan gizli tutulup sadece banka
tarafından görülebilmektedir.
7.4.3D SET
3D SET, SET teknolojisini kullanan Üç Alan
Modeli olarak bilinen mimari üzerine kurulmuştur.
Mağaza ve POS’ un ait olduğu banka – Acquirer
Domain: Mağazanın gerçekliğinden sorumludur.
Kart sahibi ve kartın ait olduğu banka –
Issuer Domain: Kart sahibinin ve kartın geçerliliğinden sorumludur.
Kartın ait olduğu banka ve POS’ un ait olduğu
banka – Interoperability Domain: İşlem bilgisinin ortak bir protokol
kullanılarak karşılıklı değiştirildiği yerdir.
Sistemin işleyiş olarak SET ‘ ten tek farkı kart sahibinin yazılımı ve
sertifikasının, kartın ait olduğu banka tarafından ve mağaza yazılımı ve
sertifikasının ise POS’ un ait olduğu banka tarafından tutulabilmesidir.
7.5.HALF SET
Kart sahibi ve mağaza arasındaki veri iletişiminin SSL; mağaza ile banka
arasındaki veri iletişiminin SET protokolü kullanılarak yapıldığı güvenli ödeme
modelidir.
8.TÜRKİYE’ DE ELEKTRONİK TİCARETE YÖNELİK
ÖDEMELERDEKİ UYGULAMA ÖRNEKLERİ
Güvenliğe ilişkin şüphe duyan
müşteriler ödeme araçlarından EFT,
havale ya da kapıda ödemeyi tercih etmektedir. Kredi kartlarının
güvenliği konusunda yapılan teknolojik gelişmelerle birlikte güvenilir üçüncü
tarafın olduğu 3D Secure gibi ya da kredi kartı bilgilerinin sadece bir kez
sisteme yükleyerek gerçekleştirildiği güvenilir internet sitesi aracılığıyla da
yapmayı tercih edebilirler. Bunun dışında uluslar arası alanda paypal.com bu
aracıların beklide en tanınanı olmakla birlikte Türkiye’de bankalar arası kart
merkezinin geliştirdiği bir uygulama olarak BKM Ekpress’ i başlatmıştır. Diğer
yöntemlere bakıldığında Sanal Kredi Kartı, 3D Secure, Akıllı SMS görülmekte ve
denenmek üzere ortaya çıkarılan CodeSure örnekler arasındadır.
8.1.Sanal Kredi Kartı
Bankalar online işlemlerinin güvenle
yapılabilmesini sağlamak amacıyla geliştirilmiştir. Sanal Kart’ ın kredi limiti
sıfırdır. Sanal kart limiti alışveriş tutarı kadar ayarlanır. Alışveriş
sırasında alışveriş tutarı karttan çekilir ve artık limit kalmadığı için sanal
kart kullanılamaz. Sanal kart limiti kişi kendi istediği şekilde
ayarlayabildiği için ödemede zorluk çekme endişesi kalmaz.
8.2.Uluslararası Güvenlik Platformu (3D
SECURE – ÜÇ BOYUTLU GÜVENLİK SİSTEMİ)
VISA tarafından geliştirilen
3-D Secure protokolü Mastercard tarafından da kabul edilmiş, bir uygulama şartı
olarak getirilmiştir ve Garanti Bankası tarafından Ulusal Güvenlik Platformu
(3-D Secure) adıyla hizmete açılmıştır.
Uluslararası Güvenlik Platformu bir ödeme onaylama metodu ya da
teknolojik bir platform olmayıp ödeme sürecindeki partilerin (işyeri-banka-kart
sahibi) sorumluluklarını düzenleyen bir modeldir.
Uluslararası Güvenlik
Platformu, sanal alışveriş işlemlerinin güvenliğinin arttırılması için Visa
tarafından geliştirilmiş en gelişmiş sistemdir. Sistemin Visa kredi kartları
kullanımı için hazırlanan uygulamasına "Verified by Visa", MasterCard
kredi kartları kullanımı için hazırlanan uygulamasına ise "SecureCode"
isimleri verilmektedir.
Sistem uyarınca, sanal ödeme
işlemi sırasında müşteriye bankası tarafından ödeme şifresi sorulmakta ve
böylece kart sahibinin kimliği doğrulanmaktadır. Bu sayede yetkisiz kişilerce
kredi kartlarının internet ortamında kullanılmasının önüne geçilmesi
sağlanmaktadır.
31 Mart 2006 tarihinde başlayan Chip&PIN sistemi ile alışverişte
yeni bir dönem başlanmıştır. Kredi kartının üzerindeki çip, kartın kaybolma riskini azaltırken 4 rakamlı
şifre ise kartın kaybolması veya çalışmasını durumunda başkaları tarafından
kullanılmamasını büyük ölçüde engellemektedir.
8.3.Akıllı SMS
Bankaların internet şubeleri
girişte zorunlu olan tek kullanımlık SMS doğrulama şifresi uygulamasına
benzemektedir. Kartı sunan ilgili banka tarafından kredi kartı güvenliğini
sağlamak amacıyla ve internet üzerinden yapılan para transferlerini daha da
güvenli hale getirmek için müşterinin cep telefonuna kısa mesaj olarak tek
kullanımlık onay şifresi gönderilmektedir. Böylede işyeri alışveriş yapanın
kredi kartı sahibi olduğundan emin olabilmektedir.
8.4.CODESURE
Visa, CodeSure adını verdiği
yeni bir kredi kartı ile ağlar üzerinden yapılacak erişimde kullanılmak üzere
yeni bir güvenlik seviyesi ve güvenlik çözümü geliştirilmiştir. İnternetten
yapılan alışverişleri daha güvenli hale getirmek ve internetteki
dolandırıcılıkların önüne geçmek için geliştirilen kredi kartı, normal kredi
kartıyla aynı boyuttadır; ancak, kartın üzerinde 8 haneli ekranı, 12 tuşlu
klavyesi ve 3 yıl yetecek kadar pili bulunmakta olup, yüksek güvenli dinamik
şifre kodu üretecek tüm teknolojik gereksinime sahiptir.
CodeSure ile internetten alışveriş yapmak
isteyen kullanıcı, öncelikle kartın üzerindeki ‘Visa tarafından onaylı’
butonuna basıyor. Kullanılan kart sisteme ulaşmaya hazır olduğunda uyarı
veriyor ve kullanıcı, klavye ATM makinesinde kullanırken yazdığı şifreyi girer.
Kartın ekranında internetten alışverişte, sadece bir kere kullanılmak üzere,
yeni şifre belirir. Kart sahibi internetten alışverişin kimsenin bilmediği ve
ele geçireninde herhangi bir işine yaramayacak olan bu şifreyi kullanarak
güvenli bir şekilde alışverişini yapabilmektedir. Visa, CodeSure kartın deneme
sürümlerini ilk olarak Türkiye, İngiltere, İtalya, İsrail, İsviçre ve
Almanya’da yapmaktadır.
9.SONUÇ
Elektronik ticaretin
gelişmesinde en büyük engellerden biri olarak görünen güvenlik sorunu çeşitli
yöntemlerle giderilmeye çalışılmıştır. Bunları sıralayacak olursak : ‘Güvenli ödeme sistemlerinin geliştirilmesi,
sayısal imzanın kabulü, onay kurumlarının kurulması ve yasal boşlukların
tamamlanması’ dır. Elektronik ticaretin gelişebilmesi için teknik altyapıdan
oluşan sorunların giderilmesi gerekmektedir.
Elektronik ticaret yapma
işlemlerimizi internet üzerinden gerçekleştirdiğimiz için internet ağlarının
genişletilmesi, ağa bağlanacak olan bilgisayarların sayısının arttırılması
gerekir. Elektronik ticaret ortamında bir ürün almak istiyorsak öncelikle
alacağımız ürünün bulunduğu internet adresinin güvenliğinden emin olmamız
gerekir. Alıcı ve satıcı birbirlerini görmeden iş yaptıkları için karşılıklı
olarak güven sağlanmasına ihtiyaç duyarlar. Ticaret yapmadan önce alıcı ve
satıcı güvenilirlik açısından birbirlerinin kim olduğundan emin olmak isterler.
Geliştirilen dijital imza ve dijital sertifikalar alıcı ve satıcının
birbirlerinin kimliğinden emin olmalarını sağlamaktadır. Alıcıların elektronik
ticaret sitelerinden alışveriş yapmak için vermiş oldukları bilgilerin alıcı ve
satıcı dışında başkaları tarafından ele geçirilmesi riski güvenlik konusunda
değerlendirilmesi gereken başka bir konudur. Verdiğimiz bilgilerin başka
kişiler tarafından öğrenilmemesi amacıyla SSL, SET ve 3D SET gibi güvenlik
yazılımları geliştirilmiştir.
Alıcı ve satıcının
birbirlerini görerek yapmış oldukları alışveriş risksiz ve güvenilirdir. Fakat gelişen
internet ortamıyla birlikte insanlar alış verişlerini internet ortamında
gerçekleştirme eğilimindedirler. İnternet ortamında yapılan alışveriş yüz yüze
yapılan alışverişe oranla riski daha fazladır ve güvenirlilik açısından
sıkıntılar yaşanmaktadır. Bu yüzden internet ortamından alışveriş yapacak
olursak güvenirliliğinden emin olduğumuz internet sitelerinden işlemimizi
gerçekleştirmemiz gerekmektedir.
·
E ticaret iş hayatında hangi alanları etkilemektedir.
E-ticaret’in İş Hayatına
Etkileri
E-ticaret iş
hayatında birçok noktada karşımıza çıkmakla beraber, birçok iş faaliyetini de
etkilemektedir. Etkilediği bu faaliyet kollarının, Türkiye ekonomisine
sağladığı olumlu katkılar yadsınamayacak kadar fazladır. Bunları kısaca
özetlemek gerekirse, bu bilgileri paylaşmaya çalışalım.
- Pazarlama, satış ve promosyon,
- Ön satış, taşeronluk, tedarik,
- Ticari işlemler: sipariş,
teslimat ve ödeme,
- Servis ve bakım,
- Teslimat ve lojistik,
- Kamu alımları
E-Ticaret’in
iş hayatına etkilerinden örnekler;
- KOBİ’lere büyük firmalarla eşit
şartlarda rekabet etme imkanı,
- Pazar raporları ve stratejik
planlama konularında ilerleme,
- Etkin pazarlama,
- Eşit şartlarda yeni pazarlara
ulaşım,
- Ürün ve hizmet tasarımına
müşterinin dâhil edilmesi.
Kaydol:
Kayıtlar (Atom)