SET Secure Electronic Transfer
SET banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak
amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa
Systems ve Verisign'ın katılımıyla oluşan bir konsorsiyum tarafından
geliştirilmiştir. SET uyumlu ilk alışveriş, 18 Temmuz 1997'de San
Francisco'da yapılan tanıtımla İspanya ve Singapur'da bulunan sanal
mağazalardan gerçekleştirilmiştir. Garanti Bankası Şubat 1998'de
gerçekleştirdiği SET uyumlu alışverişle, bu protokolü kullanmaya başlayan
Dünya'da yedinci, Avrupa'da dördüncü ve Türkiye'de ilk kuruluş olmuştur.
SET protokolünde alışveriş, sanal cüzdan ve
sertifika aracılığı ile daha güvenli bir ortamda gerçekleştirilir. SET,
alışveriş işlemi sırasında ödeme bilgisi gizliliğini, kart kullanıcısının
gerçek kart sahibi olduğunu ve işyerinin banka ile anlaşmalı bir işyeri
olduğunu garantiler.
SET sisteminde provizyon işlemi müşteri alışveriş seçimini yaptıktan
sonra müşterinin sanal cüzdanı ile mağazanın Sanal POS'unun (V-POS)
birbirlerinin gerçekliklerini dijital sertifikalar aracılığıyla kontrol
etmeleri ile başlar. Mağazanın Sanal POS yazılımı sipariş tutarını ve
sanal cüzdanda bulunan ve alışveriş için seçilen kredi kartının sertifika
bilgilerini bankaya iletmesi ile devam eder. Banka yapılan alışverişin
içeriğini (malın ne olduğu, kaç tane alındığı vb.) görmeksizin provizyon
verir. Müşterinin kredi kartı bilgilerini görmeyen sanal mağaza ise
bankadan gelecek onayı bekler. Onayı aldıktan sonra da ürünü alıcısına
gönderir.
SET sistemi de SSL'de olduğu gibi kullanıcı, işyeri ve banka arasındaki
veri akışı sırasında bilgilerin şifrelenerek gönderilmesi esasına
dayanır. Bu sistemden faydalananabilmek için kullanılmak istenen kredi
kartının SET uyumlu olması gerekir. SET protokolünü kullanmak isteyen
kredi kartı sahipleri iki ön koşulu yerine getirmek zorundadırlar:
Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon
kurumu (Certificate Authority) ayrı birer SET sertifikası almalıdırlar.
Ardından kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan
adı verilen bir programı alıp bilgisayarlarına yüklemeli ve bu yükleme
sırasında SET sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET
uyumlu alışverişler sanal cüzdanın yüklü olduğu bilgisayar kullanılarak
SET uyumlu mağazalardan yapılabilecektir. Sanal cüzdan programı en fazla
üç kez yüklenmek üzere yazıldığından en fazla üç bilgisayarda
kullanılabilecektir. SET protokolünün SSL'e göre çok daha yüksek
denebilecek güvenliğine rağmen yeterince yaygınlaşamaması sanal cüzdanın
mobilitesinin olmamasına bağlanabilir. Bu yüzden Garanti Bankası sistemi
SET uyumlu olmasına karşın SET protokolünü tam olarak uygulamamaktadır.
Sanal mağazalar ise Sanal POS (Point of Sale) olarak adlandırılan V-POS
yazılımını yükledikten sonra bir sertifikasyon kurumundan
(www.verisign.com, www.gte.com) dijital bir sertifika alarak
alışverişlerin güvenliğini sağlarlar.
SET ile gerçekleşen alışveriş sırasında gerçekleşen işlemler sırasıyla
aşağıdaki gibidir:
SET protokolü, kart sahibi Internet üzerinde araştırmasını tamamlayıp
seçimini yaptıktan ve siparişini verdikten sonra devreye girmektedir. SET
işleminin başlamasından önce kart sahibi sipariş formunu doldurmuş ve
onaylamış olmalıdır. Kart sahibi ayrıca kart türünü de seçmiş olmalıdır.
1. Kart sahibinin yazılımı satıcı firmaya kullanılacak kredi kartını
belirten ve ödeme altyapısını sağlayan kuruluşun sertifikalı açık
anahtarının kopyasını isteyen bir mesaj gönderir.
2. Satıcı firmanın yazılımı mesajı aldığında, sadece o mesaja özel bir
işlem tanımlama numarası belirler. Daha sonra bu özel tanımlama
numarasıyla beraber kart sahibine satıcı firmanın açık anahtarını ve
ödeme altyapısını sağlayan kuruluşun (genelde bankalar) onaylı açık
anahtarını gönderir.
3. Kart sahibinin yazılımı satıcı firmanın ve ödeme altyapısını sağlayan
kuruluşun sertifikalarını kontrol eder ve sipariş sürecinde kullanmak
üzere bunları kaydeder. Kart sahibinin yazılımı sipariş bilgisini ve
ödeme talimatlarını oluşturur. Yazılım satıcı firma tarafından belirlenen
özel tanımlama numarası ile sipariş bilgisini ve ödeme talimatlarını
ilişkilendirir. Bu tanımlama daha sonra satıcı firma tarafından ödeme
talebi yapıldığında, ödeme altyapısını sağlayan kuruluş tarafından
sipariş bilgisini ve ödeme talimatlarını ilişkilendirmede
kullanılacaktır.
4. Kart sahibinin yazılımı sipariş bilgisi ve ödeme talimatları için bir
dijital imza oluşturur. Yazılım daha sonra ödeme altyapısını sağlayan
kuruluşun açık anahtarını kullanarak dijital olarak imzalanan ödeme
talimatlarını şifreler. Son olarak yazılım imzalanmış ve şifrelenmiş
sipariş bilgisini ve ödeme talimatlarını bir mesajla satıcı firmaya
gönderir.
5. Satıcı firmanın yazılımı siparişi alır ve kart sahibinin açık anahtarı
üzerindeki dijital sertifikayı kontrol eder. Bundan sonra gene bu açık
anaharı kullanarak siparişin gerçekten kart sahibinden geldiğinden ve
mesajın gönderim esnasında değiştirilmediğini teyit eder (Satıcı firma
ödeme talimatları ödeme altyapısını sağlayan firmanın açık anahtarı ile
şifrelendiği için deşifre edemez).
6. Bu işlemlerin ardından satıcı firmanın yazılımı ödeme onayı istenmesi
de dahil olmak üzere siparişle ilgili işlemlere başlar (lütfen 9. Maddeye
bakınız)
7. Sipariş bilgisi işleme alındıktan sonra, satıcı firmanın yazılımı bir
cevap mesajı hazırlar ve dijital olarak imzalar (satıcı firmanın onaylı
açık anahtarı ile). Kart sahibinin siparişinin alındığının ve işleme
konulduğunun bildirilmesi amacıyla hazırlanan cevap mesajı kart sahibine
gönderilir.
8. Kart sahibinin yazılımı satıcı firmadan cevap mesajını aldığı zaman
dijital sertifikasını kontrol eder. Bunun ardından bu mesajı kullanarak
kart sahibine bir teyit mesajı gösterir veya siparişin durumunu
günceller.
9. Kart sahibinden gelen siparişlerin işleme konulması esnasında (lütfen
6. maddeye bakınız) satıcı firmanın yazılımı ödenmesi talep edilen
tutarı, sipariş bilgisindeki işlemi belirleyen özel tanımlama numarasını
ve işlemle ilgili diğer bilgileri içeren bir ödeme onay talebini hazırlar
ve bu mesajı dijital olarak imzalar. Ardından bu talep ödeme altyapısını
sağlayan kuruluşun açık anahtarı kullanılarak şifrelenir. Satıcı firmanın
ödeme onay talebi ve kart sahibinin şifrelenmiş ödeme talimatları ödeme
altyapısını sağlayan kuruluşa gönderilir.
10. Ödeme altyapısını sağlayan kuruluş onay talebini aldığı zaman satıcı
firmadan gelen onay talebini kendi gizli anahtarını kullanarak deşifre
eder. Ardından satıcı firmanın açık anahtarı üzerindeki dijital
sertifikayı kontrol eder ve sertifikanın geçerlilik sürerisinin dolup
dolmadığını belirler.
11. Ödeme altyapısını sağlayan kuruluş kart sahibinin satıcı firmadan
gelen onay talebiyle birlikte gönderilen ödeme talimatlarını kart
sahibinin açık anahtarını kullanarak deşifre eder. Ardından bu açık
anahtarı kullanarak kart sahibinin ödeme talimatları üzerindeki dijital
imzasını kontrol eder ve böylece ödeme talimatlarının kart sahibi
tarafından imzalandığından ve iletim esnasında değişikliğe uğramadığından
emin olur.
12. Ödeme altyapısını sağlayan kuruluş satıcı firma tarafından gönderilen
işlem tanımlayıcısı ile ile kart sahibinden gelen ödeme talimatlarındaki
tanımları karşılaştırarak her ikisininde aynı olup olmadığını kontrol
eder. Kontrolün ardından ödeme altyapısının sağlayan kuruluş, kredi
kartını veren bankaya Internet üzerinden çalışmayan bir ödeme sistemiyle
bir onay talebi gönderir.
13. Kartı veren banka onay talebini işleme alır ve ödeme altyapısını
sağlayan kuruluşa güvenli ödeme sistemi aracılığıyla bir cevap gönderir.
14. Onay cevabını aldıktan sonra ödeme altyapısını sağlayan kuruluş kartı
veren bankanın cevabını ve onaylı açık anahtarını içeren bir onay cevap
mesajı yaratır ve dijital olarak imzalar. Cevap satıcı firmanın açık
anahtarını kullanarak şifrelenir ve satıcı firmaya gönderilir.
15. Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan onay
cevabını aldığı zaman kendi gizli anahtarıyla deşifre eder. Ardından
ödeme altyapısını sağlayan kuruluşun açık anahtarı üzerindeki dijital
sertifikayı kontrol eder ve bu açık anahtarı kullanarak ödeme alyapısını
sağlayan kuruluşun onay cevap mesajındaki dijital imzayı kontrol eder.
Satıcı firmanın yazılımı, sipariş tamamen yerine getirildikten sonra
ödeme talebinde bulunulabilmesi için (gün sonu işlemi ile) bu onay cevap
mesajını kaydeder.
16. Satıcı firma onay cevabını aldıktan sonra kart sahibinin siparişi
tamamlar ve ilgili ürünü sevkeder veya sözkonusu hizmeti verir.
17. Siparişi yerine getirdikten sonra satıcı firma ödeme talebinde
bulunur (Siparişin tamamlanması esnasındaki gecikmeler onay talebi ile
ödeme talebi mesajları arasında önemli zaman aralıkları oluşmasına yol
açabilir).
18. Ödeme talebinde bulunmak için satıcı firmanın yazılımı işlemin nihai
tutarını, sipariş bilgisindeki işlem tanım numarasını ve işlem hakkındaki
diğer bilgileri içeren bir gün sonu işlemi oluşturur ve dijital olarak
imzalar. Bu talep ödeme altyapısı sağlayan kuruluşun açık anahtarı ile
şifrelenir ve ödeme sağlayan kuruluş gönderilir.
19. Ödeme altyapısını sağlayan kuruluş gün sonu işlemi talebini aldığı
zaman, kendi açık anahtarını kullanarak talebi deşifre eder. Daha sonra
satıcı firmanın açık anahtarını kullanarak gün sonu işlemindeki dijital
imzayı kontrol eder. Satıcı firmadan gelen gün sonu işlemiyle, daha önce
işleme alınan onay talebini karşılaştırır ve bir tahsilat talebi
oluşturarak bunu kredi kartını veren bankaya güvenli ödeme sistemiyle
gönderir.
20. Ödeme altyapısını sağlayan kuruluş kendi onaylı açık anahtarını
içeren bir gün sonu cevap mesajı oluşturur ve bunu dijital olarak
imzalar. Bu cevap satıcı firmanın açık anahtarı ile şifrelenerek satıcı
firmaya gönderilir. Bu mesaj sayesinde gün sonu işleminin ödeme
altyapısını sağlayan kuruluş tarafından alındığını ve işleme konulduğunu
satıcı firmaya bildirir.
21. Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan gün
sonu işleminin cevabını alınca, mesajı kendi gizli anahtarını kullanarak
deşifre eder. Ardından ödeme altyapısını sağlayan kuruluşun açık anahtarı
üzerindeki dijital sertifikayı kontrol eder ve yine bu açık anahtarı
kullanarak ödeme altyapısını sağlayan kuruluşun dijital imzasını kontrol
eder. Son olarak satıcı firmanın yazılımı günsonu işlemi cevabını yapılan
ödemeler için gönderilen günsonu talep mesajları ile mutabakat için
kaydeder.
İlgili Bağlantılar:
SETCO
http://www.setco.org
|