1. İNTERNET VE ELEKTRONİK TİCARET
1.9 Elektronik Ticarette Güvenlik Sistemleri
SET (Secure Electronic Transactions): Internet üzerinden kredi kartı ile yapılan ödeme sistemleri arasında tüm dünyanın kabul ettiği mevcut en güvenli standart olan SET protokolü, banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign'ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir. SET uyumlu
ilk alışveriş, 18 Temmuz 1997'de San Francisco'da yapılan tanıtımla İspanya ve Singapur'da bulunan sanal mağazalardan gerçekleştirilmiştir.
SET, alışveriş işlemi sırasında şu noktaları garantiler;
- Kart kullanıcısının gerçek kart sahibi olduğunu, - İş yerinin banka ile anlaşmalı bir iş yeri olduğunu, - Ödeme bilgisi gizliliğini
SET protokolünü kullanmak isteyen kredi kartı sahipleri iki ön koşulu yerine getirmek zorundadırlar. Öncelikle kullanmak istedikleri her bir kredi kartı için
sertifikasyon kurumundan ayrı birer SET sertifikası almalıdırlar. Ardından kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp
bilgisayarlarına yüklemeli ve SET sertifikalı kredi kartlarını tek tek programa tanıtmalıdırlar.35
SET protokolü, SSL protokolüne göre çok daha yüksek denebilecek güvenliğe sahip olmasına rağmen elektronik ticarette çok fazla yaygınlaşmaması, sanal cüzdanın
mobilitesinin olmaması ile sistemin kurulumu ve kullanımının daha zahmetli ve maliyetli olmasından dolayıdır.
SSL (Secure Socket Layer): SSL teknolojisi TCP/IP protokolü üzerinden çalışan, web sunucusu ve web tarayıcısı arasındaki tüm bilgi akışını koruyan bir güvenlik protokolüdür. Bütün popüler web tarayıcıları ve web sunucuları tarafından desteklenen bir protokoldür. Bugün web üzerinden elektronik ticarette önemli bir rolü vardır. SSL protokolü iki taraf arasında güvenli ve gizli iletişimin sağlanmasında elektronik kimlik belgelerini kullanır. SSL bağlantısı üzerinden gönderilen veriler üçüncü şahıslar tarafından bozguna uğratıldığında, bundan tarafların anında haberi olur.
SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication, iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.36
Güvenli Sunucu Sertifikasına sahip sitelerin online işlem sayfasında URL adresleri “http://”den “https://” şekline dönüşür. Bu eklenen “s” İngilizce güvenli (secure) kelimesinin ilk harfidir. Güvenli işlem yapılan sayfanın bilgi araç çubuğunda da sarı renkli küçük bir asma kilit şekli ortaya çıkar. EV SSL (Exdended Validation), uygulamasında ise satın alma veya güvenli işlem yapma tuşuna basıldığında adres çubuğu yeşil renge döner. Yeşil Adres Çubuğu (Green Bar Technology) içinde, sertifika sahibi kurumun kimlik bilgileri ve sertifikanın hangi sağlayıcı tarafından temin edildiği de hareketli bir şekilde gösterilir.37
Bu asma kilide tıklayarak, söz konusu güvenli sayfanın kime ait olduğu kontrol edilmelidir. Normal şartlarda söz konusu sayfanın alışveriş yaptığınız firmaya ait olması gerekmektedir.
Aynı şifreleme yöntemini kullanmakla beraber SSL ile SET güvenlik protokollerinin birbirinden farklı olduğu önemli noktalar şunlardır;38
- SSL'de kart bilgilerini gönderen kişinin kart sahibi olduğu garanti
edilememektedir. Oysa kart sahibinin kullanıcı ismi ve şifresi ile ulaştığı sanal cüzdanını kullandığı SET protokolünde kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilir.
- SSL'de kartın ait olduğu ve POS'un ait olduğu bankalar bu modele dahil değildirler.
- SSL'de kart sahibinin kart bilgileri internet üzerinde şifrelenmekte fakat mağaza, kart bilgilerini görmektedir. Oysa SET'te kart bilgileri mağazadan gizli tutulup sadece banka tarafından görülebilmektedir
36 Gazanfer Erbaşlar- Şükrü Dokur, a.g.e., s.234 37 Şule Özmen, a.g.e., s.109
Uluslararası Güvenlik Platformu (3D Secure)39: 3D Secure sistemi, internette
alışveriş işlemlerinin güvenliğini arttırmak amacıyla Visa ve MasterCard tarafından geliştirilmiş ek bir kimlik doğrulama sistemidir. Bu sistemde kredi kartı veya banka kartı sahipleri sanal mecrada herhangi bir ödeme işlemi yaptıklarında kartını
kullandıkları bankanın web sitesine yönlendirilerek, kartlarına ait şifre ile onaylama işlemi gerçekleştirilmektedir. Kartı çıkaran banka 3D Secure sistemini destekliyorsa sanal alışveriş öncesinde veya alışveriş sırasında açılacak olan 3D Secure penceresi aracılığıyla kart sahibi sisteme kayıt olabilir. Sistemin Visa kartı kullanımı için
hazırlanan uygulamasına “Verfied by Visa”, MasterCard kartı kullanımı için hazırlanan uygulamasına ise “SecureCode” isimleri verilmektedir.
Elektronik İmza: Elektronik ticaretin güvenli bir ortamda gerçekleşebilmesi için tarafların kimliğinin ve gönderilen verilerin bütünlüğünün sağlanması gerekir.
Gönderilen verilerin gönderim sırasında herhangi bir değişikliğe uğrayıp uğramadığının ve bu verileri gönderenin gerçekten belirtilen kişi olup olmadığının anlaşılabilmesini sağlayan en araçlardan biri elektronik imzadır. Güvenli elektronik imza, 5070 sayılı Elektronik İmza Kanunu’nda; “Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, elektronik imzadır.”40 Şeklinde tanımlanmıştır.
Daha açık haliyle elektronik imza, bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.
Elektronik imzanın doğrulanması için gerekli olan veriyi ve imza sahibinin kimlik bilgilerini içeren elektronik kayda elektronik sertifika denmektedir. Bu sertifikalar,
39 Şule Özmen, a.g.e., s.485
kanuna uygun olarak faaliyette bulunan elektronik sertifika hizmet sağlayıcılarından belirli bir ücret karşılığında temin edilir.41 Son olarak 5070 sayılı Elektronik İmza Kanunu uyarınca, güvenli elektronik imza, elle atılan imzayla aynı hukuki sonucu doğurmaktadır.