E-Ticarette Güvenlik

Güvenlik, e-ticaret üzerinden faaliyetlerini sürdüren işletmeler ve geleneksel işletmeler için de önemli bir unsurdur. Internet için alınan güvenlik önlemlerine ek bir takım önlemlere ihtiyaç duyulmuştur. Smith ve Chaffey (2008,s.347)’in belirttiği üzere günümüzde bilgisayar korsanları ve virüsler kişisel bilgilerinizin gizliliğini tehdit etmektedir ve bu tehdit işletmeniz için potansiyel bir risktir.

E-ticaret yapılarının sağlamlığı işletmeler için çaba, zaman ve maddi olarak para harcanmasına bağlıdır. Newman ve Robert (2003,s.347)’ın belirttiği üzere sanal ortamda yapılan alışveriş, gerçek ortamdaki işletmelerden farklı bir yapıdadır. Birbirlerinin yüzünü dahi görmeden ortak iş yapan alıcı ve satıcılar aradaki güven duygusunu tesis etmek için ilave önlemler alma ihtiyacı hissederler.

Çünkü gözlem ve kontrollerden eksik bir şekilde gerçekleşmektedir ve bu sonuç doğal olarak işlem gören tarafları huzursuz edebilmektedir. İşletmelerde, e-ticaret işlemlerinde

18

güvenlik unsuru, üç temel başlık altında düşünülmelidir. İşletmelerin, kaynaklarını, sistemlerini güvenlik altına alabilmek ve tedarikçileriyle, dağıtım kanallarıyla, müşterileriyle güvenli bir ortamda iletişim kurabilmek için güvenliğin bu üç boyutunu da ele almaları gerekir (Özmen, 2006, s.228).

2.1.7.1.Ağ güvenliği

Elektronik sistemi kullanan işletmelerin, iletişim kanallarına, elektronik ortamdan ürün ve hizmet sunduğu kanallara, tedarikçilerle iletişim kurduğu kanallara saldırganların girmesini ve sistemi kontrol altına alarak sistemin aksamasına neden olacak olan girişimleri engellemek amacıyla sağlanır. Ağları korumak için alınan tedbirlerin başında güvenlik duvarı teknolojileri gelir. Bu teknolojilerin yanı sıra aşağıda açıklamaları yapılan uygulamalar da ağ güvenliğinin sağlanmasına yönelik önlemlerdir (Çetinkaya, 2010, s.125).

 Süzgeçten geçirilen paket trafiği: Ağ katmanlarının protokolünde çalışan filtreleme

paketidir. Bu şekilde, sadece güvenlik duvarı kurallarının izin verdiği veri paketlerin sistemden geçişine izin verilir. Veri paketler; kaynak adresine, tipine, portlara ve hedef adresine göre filtrelenir. Paket, aynı zamanda yönlendirici rolü yapmaktadır. Sanal saldırı, güvenlik duvarının makinesine iletildiği zaman paketin başlık kısmı açılır ve veri paket başlığındaki bilgilere göre paket geçişine izin verilir veya engellenir (Özmen, 2006, s.242).

 TCP/IP bağlantılarında arabuluculuk görevini yapan Proxy sunucular: Proxy

sunucular, başka bir adrese ulaşmaya yarayan aracı sitedir. Dış dünya ağlarında yer alan “IP” numaralarından sadece bir tanesini gösterir. Yerel ağ üzerindeki “IP” adreslerini gizleyerek bunları muhtemel saldırılardan korur (Özbay, 2004, s.158).

 Sanal Özel Ağlar: Tüm kullanıcıların erişimi için aktif olan ve internet aracılığıyla

özel networklere bağlanarak güvenli veri transferi gerçekleştirme imkânına sahip olan ve üçüncü kişilere kapalı özel sanal ağlardır.

 Özel Anahtar: Kriptografide kullanılan ve sadece hesap sahibi tarafından bilinmesi ve

19

bir karşılığı olan açık anahtar koduyla gizli karekterli metni çözmek için kullanılır. Özel anahtar, açık olan anahtarlı kriptografi, güvenliğinin önemli bölümünü oluşturmaktadır (Yıldırım, 2010, s.171).

2.1.7.2.Sistem Güvenliği

Sistemin işleyişini yavaşlatacak, bozacak ve işletmenin hizmet vermesini engelleyecek olan faktörlerin ortadan kaldırılmasına yönelik sistemdir. Elektronik sistemlerin görevleri ise, aynı şekilde işletmelerin geleneksel ve elektronik işleyişini çökertecek ve elektronik hizmet vermesini engelleyecek durumların ortaya çıkmasını önlemek, güvenliğin tehdit edildiği durumlarda da zararı en aza indirgemeye çalışan bir sistem kurmaktır. Sistem güvenliği esneklik, yazılım ve donanım, sistem tasarımı ve istikrar kolaylığını ifade etmektedir (Turban, 2000, s.126).

Güvenlik sistemi, bilişim araçlarını kullanan bütün sektörleri ilgilendiren bir süreçtir. Sadece yazılım ya da donanım ile sınırlı olmayan bir mimaridir. Sistem güvenliğinin özelliklerini belirten maddeler şu şekilde sıralanabilir (Özmen, 2006, s.243):

 Sistemin düzgün çalışmasını sağlamak ve hizmet vermesini engelleyecek faktörleri

ortadan kaldırmak,

 Güvenlik kurallarının nasıl çalışacağını tasarımlamak,

 Sorumlu kişilere sistem güvenliği ile ilgili politikaları ve kuralları açıklamak,

 Erişim kontrolünün nasıl olacağını belirlemek ve uygulamak,

 Ağ ve veri iletişimi güvenliği ile ilgili uygulamaları düzenlemektir.

2.1.7.3.Veri İletişim Güvenliği

Veri trafiğinin güvenliğini sağlamak, elektronik ortamda iletişim içinde bulunan tarafların birbirini tanıyıp, kimliklerini doğrulayarak ve yetki kontrolü yaparak özel bir iletişim kurmalarını sağlamaktır. İşletmelerin elektronik sistemlerinden güvenli alışveriş ve ödeme gerçekleştirebilmek için, verinin bütünlüğünün ve gizliliğin sağlanması çok önemlidir (Özbay, 2004, s.163).

20

Günümüzde e-ticaret sistemleri kullanan tarafların güvenliğinin sağlanması için yaygın olarak kullanılan iki protokol bulunmaktadır (Yıldırım, 2010, s.177):

 SSL(Secure Sockets Layer): Internet üzerinden güvenli bir şekilde veri transferi

sağlayabilmek maksadıyla geliştirilmiş bir güvenlik protokolüdür (Yıldırım, 2010, s.177). Güvenli yuva katmanı, kredi kartları, kullanıcı adları, şifreleri ve internet üzerinden gönderilen diğer özel veriler gibi önemli bilgileri şifrelemek için kullanılan bir yöntem anlamına gelir. Jakson ve Eckersley (2003, s.58)’in belirttiği üzere internet üzerinden güvenli veri iletimi ve iletişim sağlamaktadır. Güvenli yuva katmanı ve taşıma protokolü arasında yer alan bir uygulama ve güvenlik katmanıdır.

Protokol ve ilgili sertifikaları yaygın web tarayıcıları ve sunucuları tarafından kullanılmaktadır. Müşteri numarası, parola, şifre, sayısal veya alfabetik veriler ya da diğer mesajlar, kripto (gizli kod) işlemlerle kodlanarak ulaştırılan web partalının deşifre edebileceği bir biçimde şifrelenir ve güvenli bir kutunun içine yerleştirilmiş biçimde gönderilir (http://verisign.com).

 SET(Secure Electronic Transaction): Sanal ticarette, alışveriş işlemlerinin güvenli

yapılabilmesi için dünya çapında kullanılan bir “VeriFone” firması projesidir. Bir elektronik ticaret sitesinden alışveriş yaparken alıcı ve satıcının dışında güvenilir bir üçüncü tarafın, örneğin, bir finansal kuruluşun, sertifika sağlayan kuruluşun da devreye girmesiyle veri trafiğinin güvenliğinin sağlanmasıdır. SET, günümüzde e- ticaret uygulamalarında kullanılan ve dünyaca kabul edilen bir güvenlik standardı olmuştur (http://setco.org).