SET
banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla
Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve
Verisign'ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir. SET
uyumlu ilk alışveriş, 18 Temmuz 1997'de San Francisco'da yapılan tanıtımla
İspanya ve Singapur'da bulunan sanal mağazalardan gerçekleştirilmiştir. Garanti
Bankası Şubat 1998'de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü
kullanmaya başlayan Dünya'da yedinci, Avrupa'da dördüncü ve Türkiye'de ilk
kuruluş olmuştur.
SET
protokolünde alışveriş, sanal cüzdan ve sertifika aracılığı ile daha güvenli
bir ortamda gerçekleştirilir. SET, alışveriş işlemi sırasında ödeme bilgisi
gizliliğini, kart kullanıcısının gerçek kart sahibi olduğunu ve işyerinin banka
ile anlaşmalı bir işyeri olduğunu garantiler.
SET
sisteminde provizyon işlemi müşteri alışveriş seçimini yaptıktan sonra
müşterinin sanal cüzdanı ile mağazanın Sanal POS'unun (V-POS) birbirlerinin
gerçekliklerini dijital sertifikalar aracılığıyla kontrol etmeleri ile başlar.
Mağazanın Sanal POS yazılımı sipariş tutarını ve sanal cüzdanda bulunan ve
alışveriş için seçilen kredi kartının sertifika bilgilerini bankaya iletmesi
ile devam eder. Banka yapılan alışverişin içeriğini (malın ne olduğu, kaç tane
alındığı vb.) görmeksizin provizyon verir. Müşterinin kredi kartı bilgilerini
görmeyen sanal mağaza ise bankadan gelecek onayı bekler. Onayı aldıktan sonra
da ürünü alıcısına gönderir.
SET
sistemi de SSL'de olduğu gibi kullanıcı, işyeri ve banka arasındaki veri akışı
sırasında bilgilerin şifrelenerek gönderilmesi esasına dayanır. Bu sistemden
faydalananabilmek için kullanılmak istenen kredi kartının SET uyumlu olması
gerekir. SET protokolünü kullanmak isteyen kredi kartı sahipleri iki ön koşulu
yerine getirmek zorundadırlar:
Öncelikle
kullanmak istedikleri her bir kredi kartı için sertifikasyon kurumu
(Certificate Authority) ayrı birer SET sertifikası almalıdırlar. Ardından kart
sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir
programı alıp bilgisayarlarına yüklemeli ve bu yükleme sırasında SET
sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET uyumlu alışverişler
sanal cüzdanın yüklü olduğu bilgisayar kullanılarak SET uyumlu mağazalardan
yapılabilecektir. Sanal cüzdan programı en fazla üç kez yüklenmek üzere
yazıldığından en fazla üç bilgisayarda kullanılabilecektir. SET protokolünün
SSL'e göre çok daha yüksek denebilecek güvenliğine rağmen yeterince
yaygınlaşamaması sanal cüzdanın mobilitesinin olmamasına bağlanabilir. Bu
yüzden Garanti Bankası sistemi SET uyumlu olmasına karşın SET protokolünü tam
olarak uygulamamaktadır.
Sanal
mağazalar ise Sanal POS (Point of Sale) olarak adlandırılan V-POS yazılımını
yükledikten sonra bir sertifikasyon kurumundan (www.verisign.com, www.gte.com)
dijital bir sertifika alarak alışverişlerin güvenliğini sağlarlar.
SET
ile gerçekleşen alışveriş sırasında gerçekleşen işlemler sırasıyla aşağıdaki
gibidir:
SET
protokolü, kart sahibi Internet üzerinde araştırmasını tamamlayıp seçimini
yaptıktan ve siparişini verdikten sonra devreye girmektedir. SET işleminin
başlamasından önce kart sahibi sipariş formunu doldurmuş ve onaylamış
olmalıdır. Kart sahibi ayrıca kart türünü de seçmiş olmalıdır.
1.
Kart sahibinin yazılımı satıcı firmaya kullanılacak kredi kartını belirten ve
ödeme altyapısını sağlayan kuruluşun sertifikalı açık anahtarının kopyasını
isteyen bir mesaj gönderir.
2.
Satıcı firmanın yazılımı mesajı aldığında, sadece o mesaja özel bir işlem
tanımlama numarası belirler. Daha sonra bu özel tanımlama numarasıyla beraber
kart sahibine satıcı firmanın açık anahtarını ve ödeme altyapısını sağlayan
kuruluşun (genelde bankalar) onaylı açık anahtarını gönderir.
3.
Kart sahibinin yazılımı satıcı firmanın ve ödeme altyapısını sağlayan kuruluşun
sertifikalarını kontrol eder ve sipariş sürecinde kullanmak üzere bunları
kaydeder. Kart sahibinin yazılımı sipariş bilgisini ve ödeme talimatlarını
oluşturur. Yazılım satıcı firma tarafından belirlenen özel tanımlama numarası
ile sipariş bilgisini ve ödeme talimatlarını ilişkilendirir. Bu tanımlama daha
sonra satıcı firma tarafından ödeme talebi yapıldığında, ödeme altyapısını
sağlayan kuruluş tarafından sipariş bilgisini ve ödeme talimatlarını
ilişkilendirmede kullanılacaktır.
4.
Kart sahibinin yazılımı sipariş bilgisi ve ödeme talimatları için bir dijital
imza oluşturur. Yazılım daha sonra ödeme altyapısını sağlayan kuruluşun açık
anahtarını kullanarak dijital olarak imzalanan ödeme talimatlarını şifreler.
Son olarak yazılım imzalanmış ve şifrelenmiş sipariş bilgisini ve ödeme
talimatlarını bir mesajla satıcı firmaya gönderir.
5.
Satıcı firmanın yazılımı siparişi alır ve kart sahibinin açık anahtarı
üzerindeki dijital sertifikayı kontrol eder. Bundan sonra gene bu açık anaharı
kullanarak siparişin gerçekten kart sahibinden geldiğinden ve mesajın gönderim
esnasında değiştirilmediğini teyit eder (Satıcı firma ödeme talimatları ödeme
altyapısını sağlayan firmanın açık anahtarı ile şifrelendiği için deşifre
edemez).
6.
Bu işlemlerin ardından satıcı firmanın yazılımı ödeme onayı istenmesi de dahil
olmak üzere siparişle ilgili işlemlere başlar (lütfen 9. Maddeye bakınız)
7.
Sipariş bilgisi işleme alındıktan sonra, satıcı firmanın yazılımı bir cevap
mesajı hazırlar ve dijital olarak imzalar (satıcı firmanın onaylı açık anahtarı
ile). Kart sahibinin siparişinin alındığının ve işleme konulduğunun
bildirilmesi amacıyla hazırlanan cevap mesajı kart sahibine gönderilir.
8.
Kart sahibinin yazılımı satıcı firmadan cevap mesajını aldığı zaman dijital
sertifikasını kontrol eder. Bunun ardından bu mesajı kullanarak kart sahibine
bir teyit mesajı gösterir veya siparişin durumunu günceller.
9.
Kart sahibinden gelen siparişlerin işleme konulması esnasında (lütfen 6.
maddeye bakınız) satıcı firmanın yazılımı ödenmesi talep edilen tutarı, sipariş
bilgisindeki işlemi belirleyen özel tanımlama numarasını ve işlemle ilgili
diğer bilgileri içeren bir ödeme onay talebini hazırlar ve bu mesajı dijital
olarak imzalar. Ardından bu talep ödeme altyapısını sağlayan kuruluşun açık
anahtarı kullanılarak şifrelenir. Satıcı firmanın ödeme onay talebi ve kart
sahibinin şifrelenmiş ödeme talimatları ödeme altyapısını sağlayan kuruluşa
gönderilir.
10.
Ödeme altyapısını sağlayan kuruluş onay talebini aldığı zaman satıcı firmadan
gelen onay talebini kendi gizli anahtarını kullanarak deşifre eder. Ardından
satıcı firmanın açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve
sertifikanın geçerlilik sürerisinin dolup dolmadığını belirler.
11.
Ödeme altyapısını sağlayan kuruluş kart sahibinin satıcı firmadan gelen onay
talebiyle birlikte gönderilen ödeme talimatlarını kart sahibinin açık
anahtarını kullanarak deşifre eder. Ardından bu açık anahtarı kullanarak kart
sahibinin ödeme talimatları üzerindeki dijital imzasını kontrol eder ve böylece
ödeme talimatlarının kart sahibi tarafından imzalandığından ve iletim esnasında
değişikliğe uğramadığından emin olur.
12.
Ödeme altyapısını sağlayan kuruluş satıcı firma tarafından gönderilen işlem
tanımlayıcısı ile ile kart sahibinden gelen ödeme talimatlarındaki tanımları
karşılaştırarak her ikisininde aynı olup olmadığını kontrol eder. Kontrolün
ardından ödeme altyapısının sağlayan kuruluş, kredi kartını veren bankaya
Internet üzerinden çalışmayan bir ödeme sistemiyle bir onay talebi gönderir.
13.
Kartı veren banka onay talebini işleme alır ve ödeme altyapısını sağlayan
kuruluşa güvenli ödeme sistemi aracılığıyla bir cevap gönderir.
14.
Onay cevabını aldıktan sonra ödeme altyapısını sağlayan kuruluş kartı veren
bankanın cevabını ve onaylı açık anahtarını içeren bir onay cevap mesajı
yaratır ve dijital olarak imzalar. Cevap satıcı firmanın açık anahtarını
kullanarak şifrelenir ve satıcı firmaya gönderilir.
15.
Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan onay cevabını
aldığı zaman kendi gizli anahtarıyla deşifre eder. Ardından ödeme altyapısını
sağlayan kuruluşun açık anahtarı üzerindeki dijital sertifikayı kontrol eder ve
bu açık anahtarı kullanarak ödeme alyapısını sağlayan kuruluşun onay cevap
mesajındaki dijital imzayı kontrol eder. Satıcı firmanın yazılımı, sipariş
tamamen yerine getirildikten sonra ödeme talebinde bulunulabilmesi için (gün
sonu işlemi ile) bu onay cevap mesajını kaydeder.
16.
Satıcı firma onay cevabını aldıktan sonra kart sahibinin siparişi tamamlar ve
ilgili ürünü sevkeder veya sözkonusu hizmeti verir.
17.
Siparişi yerine getirdikten sonra satıcı firma ödeme talebinde bulunur
(Siparişin tamamlanması esnasındaki gecikmeler onay talebi ile ödeme talebi
mesajları arasında önemli zaman aralıkları oluşmasına yol açabilir).
18.
Ödeme talebinde bulunmak için satıcı firmanın yazılımı işlemin nihai tutarını,
sipariş bilgisindeki işlem tanım numarasını ve işlem hakkındaki diğer bilgileri
içeren bir gün sonu işlemi oluşturur ve dijital olarak imzalar. Bu talep ödeme
altyapısı sağlayan kuruluşun açık anahtarı ile şifrelenir ve ödeme sağlayan
kuruluş gönderilir.
19.
Ödeme altyapısını sağlayan kuruluş gün sonu işlemi talebini aldığı zaman, kendi
açık anahtarını kullanarak talebi deşifre eder. Daha sonra satıcı firmanın açık
anahtarını kullanarak gün sonu işlemindeki dijital imzayı kontrol eder. Satıcı
firmadan gelen gün sonu işlemiyle, daha önce işleme alınan onay talebini
karşılaştırır ve bir tahsilat talebi oluşturarak bunu kredi kartını veren
bankaya güvenli ödeme sistemiyle gönderir.
20.
Ödeme altyapısını sağlayan kuruluş kendi onaylı açık anahtarını içeren bir gün
sonu cevap mesajı oluşturur ve bunu dijital olarak imzalar. Bu cevap satıcı
firmanın açık anahtarı ile şifrelenerek satıcı firmaya gönderilir. Bu mesaj
sayesinde gün sonu işleminin ödeme altyapısını sağlayan kuruluş tarafından
alındığını ve işleme konulduğunu satıcı firmaya bildirir.
21.
Satıcı firmanın yazılımı ödeme altyapısını sağlayan kuruluştan gün sonu
işleminin cevabını alınca, mesajı kendi gizli anahtarını kullanarak deşifre
eder. Ardından ödeme altyapısını sağlayan kuruluşun açık anahtarı üzerindeki
dijital sertifikayı kontrol eder ve yine bu açık anahtarı kullanarak ödeme
altyapısını sağlayan kuruluşun dijital imzasını kontrol eder. Son olarak satıcı
firmanın yazılımı günsonu işlemi cevabını yapılan ödemeler için gönderilen
günsonu talep mesajları ile mutabakat için kaydeder.
Daha
fazla bilgi için http://www.setco.org
sitesi ziyaret edilebilir.
Hiç yorum yok:
Yorum Gönder