AÖF - Anadolu Üniversitesi AÖL - Açık Lise AÖO - Açık Ortaokul
ATA-AÖF Soru iOS Mobile Uygulama ATA-AÖF Soru Android Mobile Uygulama

Elektronik Ödeme Sistemlerinde Güvenlik

Elektronik ticarette güvenlik konusunda ilk akla gelen konu tarafların birbirlerinin kimliklerinden emin olmaları gerektiğidir. Ayrıca kullanıcıların elektronik ortamda alışveriş yapmak için vermek durumunda kaldıkları kişisel bilgiler, adres bilgileri, kredi kartı bilgileri vb. bilgilerin üçüncü şahısların eline geçmesi tehlikesi de önemlidir.

Elektronik ödemelerde güvenlik uygulamaları, sistem güvenliği ve bilgi güvenliği olarak iki ana başlık altında toplanabilir.

E-ticarette güvenlik sağlanması için dört temel şartın yerine getirilmesi gerekir: Gizlilik (Confidentiality), Bilgi Bütünlüğü (Integrity), Kimliğin Kanıtlanması (Authentication) ve İnkâr Edememe (Non-repudiation).

Kredi kartı bilgilerinin güvenliği PCI-DSS adı verilen bir standartla sağlanır. Payment Card Industry (PCI) Data Security Standart-DSS (Ödeme Kartları Endüstrisi Veri Güvenliği Standardı), Mastercard ve VISA tarafından belirlenmiş verinin kullanımı, korunması, saklanması ve iletimi ile ilgili ortak güvenlik standardıdır.

Ödeme sistemlerinde güvenliği sağlamak için mantıksal yapılar da geliştirilmiştir. Bunlardan biri, Sanal POS uygulaması, diğeri de Secure 3D’dir. Sanal POS uygulamasında banka girilen kredi kartı bilgisinin doğruluğunu onaylar ve satıcıya bu işlemlerin gerçekleştirildiğine dair bilgi yollanır. 3D secure ise, siteden alışveriş yaparken kartı kullanan kişinin gerçekten kartın sahibi olup olmadığını anlamak amacıyla kullanılmaktadır.

Bir güvenlik sistemi oluşturulurken kullanılan şifreleme algoritmalarının tanımlanması ve yeterince güvenli olup olmadığının ölçülmesi gerekir. Algoritmaların güvenilirliği,belirli standartlara uygunluğunun üçüncü tarafça (standartları üreten kuruluş) onaylanması ile sağlanmaktadır.

Şifreleme algoritmalarında iki tür anahtar kullanılır. Bu anahtarlara, şifreleme ve şifreyi çözme işlemleri aynı anahtarla yapılıyorsa "Özel Anahtar", iki işlem için farklı anahtarlar kullanılıyorsa "Açık Anahtar" adı verilir.

Dijital (sayısal) imza, bir elektronik mesaj veya iletiye eklenen ve taklit edilmesi neredeyse imkansız sayısal bir kodlama olup uygulamada en çok tercih edilen ve en güvenilir elektronik imza türlerindendir. Mesajın sayısal olarak imzalanmasının temel olarak iki amacı vardır. Birinci amaç veri bütünlüğünün (Integrity) korunmasıdır. İkinci amaç ise mesajı gönderen tarafın kimliğinin kanıtlanmasıdır (Authentication).

Dijital sertifikalar; ağ üzerinde kullanıcı veya sunucu (server) bilgisayarların kimliğini tanımlamak ve kanıtlamak için kullanılan ve sertifika otoritesi adı verilen kurumlar tarafından üretilen özel yazılımlardır.

SSL, web üzerindeki iletişim güvenliği için kullanılan ve bilgi transferinin gizliliğini ve bütünlüğünü sağlayan güvenlik protokolüdür. Web siteleri ve tarayıcılar tarafından yaygın olarak desteklenen SSL, müşteri ve mağaza arasındaki mesajların şifrelenmesini ve sadece doğru adreste deşifre edilmesini sağlar. Bilgisayarların birbirlerini tanıma işlemi, açık anahtarlı (public key) şifreleme ile sağlanır ve web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır.

SET, özellikle kredi kartı bilgilerinin çevrimiçi iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizliliği ve güvenliği sağlar. SET protokolü sadece müşteri (ürün siparişi veren kredi kartı sahibi) ile sanal dükkân (edükkân) ve kredi kartı şirketi arasındaki iletişimi şifreler. SET ile, ödeme işlemine taraf olan herkes birbirlerini tanırlar ve bu ispatlanabilir.