ELEKTRONİK TİCARETTE GÜVENLİK 1
Eğer birisi sisteminize gerçekten zarar vermek istiyorsa muhtemelen bunu yapabilir. Ne yapılmalı? 2
İNTERNETİN EKSİKLİKLERİ İnternetteki kişiler diğer kişilerin kimliklerinden emin olamazlar. Tüketiciler, gizli kalmasını istedikleri bilgileri tüm dünyaya açmak istemez. Denetlemek mümkün değildir. Yasaklamalar uygulansa bile çok etkin değildir. Hassas bilgilerin güvenli bir şekilde muhafaza edilmesi kolay değildir. 3
E-ticarette güvenliğin göz önünde bulundurulduğu dört konu mevcuttur: Müşteri odaklı güvenlik konuları Sunucu odaklı güvenlik konuları İşlem odaklı güvenlik konuları Örgütsel ve yasal güvenlik konuları 4
MÜŞTERİ ODAKLI GÜVENLİK Kullanıcı doğrulama, karşı tarafın iddia edilen kişi olup olmadığını belirler. Kullanıcı yetkilendirme, kaynağa erişime izin verilmesini sağlar. Erişim kontrolü, yetkilendirilmiş kullanıcıları takip eden bir sistemdir. Yetkilendirilmemiş kullanıcıların erişimine izin vermez. 5
MÜŞTERİ ODAKLI GÜVENLİK Antivirüs koruması, kötü niyetli kodlara karşı (virüsler, truva atları vb.) koruma sağlar. Sunucu kimlik tespiti, bir birey gibi sunucunun da doğrulanmasını sağlar. İletim raporunun inkar edilememesi, bir ileti alındığında göndericinin farzedilen alıcının iletiyi aldığını kanıtlamasıdır. Anonimlik, diğer kullanıcılara kimliklerini açıklama zorunluluğu olmadan prensipte izin verir. 6
SUNUCU ODAKLI GÜVENLİK Müşteri kimlik tespiti, sunucuya, kullanıcının meşru kullanıcı olup olmadığını doğrulatma imkanı verir. Müşteri yetkilendirme, meşru kullanıcı için kaynağa erişim imkanı sağlar. Kökenin inkar edilememesi, mesajın belirli bir alandan gönderildiğinin bir kanıtıdır. Gönderici anonimliği, insanların kimliklerinin veri yoluyla başkalarına sızdırılmasına karşı kalkan görevi görür. 7
SUNUCU ODAKLI GÜVENLİK Denetim davası, hangi eylemin yer alacağı ve onu kimin ortaya koyacağını kararlaştırmak için sistemleri analiz etme sürecidir. Sayılabilirlik, meydana gelen olayların tutanaklaşmasını ve listelenmesini ifade eder. Güvenilirlik, ödemelerin hepsinin ya da bir kısmının başarılı bir şekilde yapılıp yapılmadığını gösterir. Ulaşılabilirlik, sunucunun 7/24 ulaşılabilir olmasını ifade eder. 8
İŞLEM ODAKLI GÜVENLİK İşlem güvenliği çeşitli güvenlik hizmetlerine ihtiyaç duyar: Güçlü veri ve kullanıcı kimlik tespiti Şifreleme Digest algoritması ile işlem bütünlüğü sağlama (tek yönlü şifreleme ile işlem bütünlüğünü test etmek için kullanılır) İşlemle ilgili anlaşmazlıkları, inkar edilemezlik yardımı ile çözüme kavuşturma 9
ÖRGÜTSEL VE YASAL GÜVENLİK Denetimin yapılamaması Telif hakları ve patentler Gerçek hayatta işletilen kanunların e-ticarete birebir uygulanması şu an için çok da yapılabilir değildir. E-ticaretin kanunlardaki yeri henüz net bir şekilde kabul edilmemiştir. 10
SSL (SECURE SOCKETS LAYER) İnternet ortamında en sık kullanılan güvenlik- şifreleme yazılımıdır. Güvenli mesaj iletimini sağlamak için geliştirilmiştir. Çoğunlukla ödeme sistemlerinde kullanılır ancak güvenlik gerektiren her mesajda kullanılabilir. Web tarayıcılarına entegre edilmiş arka planda çalışan bir sistemdir. Web sitesi yüklenirken program da otomatik olarak yüklenir. Adres çubuğunda bulunan ‘https’ ve kilit simgesi bu sistemin bir kanıtıdır. 11
SET (SECURE ELECTRONIC TRANSFER) MasterCard, Visa ve diğer teknoloji ortakları tarafından, sanal ticarette güvenli işlemlerin yapılabilmesi için geliştirilmiştir. Çift şifre anahtarı kullanılır. Hem provizyon hem de kimlik belirleme işlemleri yapabilir. İşlemler sadece ilgili taraflarca görülebilir. Başka bir ifadeyle, kredi kartı bilgisi sadece banka tarafından görülürken, sipariş bilgisi sadece satıcı tarafından görüntülenmektedir. 12
SET (SECURE ELECTRONIC TRANSFER) Tam ve yarım SET olarak iki gruba ayrılır. Tam SET sisteminde dört bileşen bulunmaktadır: Sanal Cüzdan: Müşterinin bilgisayarına kurulan bir güvenlik yazılımıdır. Sistemde müşterinin kimliğinin belirlenmesini sağlar. Sanal POS: Sanal güvenlikle birleştirilmiş sanal ödeme yazılımıdır. Hem güvenli kart kabulünü hem de satıcının kimliğinin belirlenmesini sağlar. Ödeme Geçidi: Bir bankanın finansal hizmetlerine erişimi sağlayan kapıdır. İşlemler için güvenlik ve kimliğin belirlenmesini sağlar. Sertifika Sağlayıcı: Taraflarca kullanılabilen tüm güvenlik anahtarlarının doğruluğunun ve sahibi tarafından kullanıldığının garantisidir. 13
SET (SECURE ELECTRONIC TRANSFER) Tam SET sistemi oldukça yüksek bir güvenliğe sahip olmasına rağmen kullanımı yaygın olan bir sistem değildir. Nedenleri: Kurulmasının ve kullanılmasının zor olması Maliyetinin yüksek olması Son kullanıcılara sanal cüzdan dağıtımını gerektirmesi Yarım SET sisteminde, kart sahibi ile mağaza arasında SSL, mağaza ile banka arasında ise SET protokolü kullanılarak yapılır. Sanal cüzdan bulundurma zorunluluğu olmadığından daha kullanışlıdır. 14
3D SECURE Sahtecilik ve işlem itirazlarını minimuma indiren bir sistemdir. Alışverişin geçerli sayılabilmesi için kart sahibinin bir şifre ile onaylaması gerekir. 15
GÜVENLİ ÖDEME SAYFALARI SSL’i olmayan firmaların ortak kullanımı için hazırlanmıştır. Avantajları: Ödeme işlemleri için mağaza yazılımı tarafında karmaşık ayarlar gerekmemektedir. Özel ayar ve programların yüklenmesi gerekmeyeceğinden özel bir hosting paketi alınması zorunluluğu ortadan kalkar. Sayfanın bakımı ve güvenliği banka tarafından sağlanmaktadır. SSL sertifikasının alınmasına gerek kalmayacağından maliyetlerde azalma sağlar. 16
AÇIK VE GİZLİ ANAHTAR Açık anahtar, kişiye ait herkesin ulaşabildiği bir algoritmadır. Gizli anahtar ise, açık anahtar ile şifrelenmiş bilgiyi çözebilen ve sadece kişide bulunan bir algoritmadır. Kullanıcıya biri açık diğer gizli iki anahtar verilir. Birisiyle şifrelenen bilgi ancak diğeriyle açılabilir. 17
DİJİTAL İMZA Elektronik veriye eklenen veya bağlantısı bulunan, kimlik doğrulama amacıyla kullanılan imzadır. Elle atılan imzaya eşdeğer nitelikte kullanılabildiğinden elektronik ortamda her türlü resmi işlemin kağıt ortamına göre daha hızlı, güvenilir ve maliyet etkin bir biçimde iletilmesini sağlar. 18
DİJİTAL İMZANIN YARARLARI Veri Bütünlüğü: Verinin izinsiz ya da yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önler. Veri akışı sırasında bilgilerin içeriğini korur. Kimlik Doğrulama ve Onaylama: Mesajın ve mesaj sahibinin geçerliliğini sağlar. Verinin başkası tarafından yollanmadığını garanti eder. İnkar Edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önler. 19
DİJİTAL İMZA & ISLAK İMZA Islak imzanın kime ait olduğunun belirlenmesi uzun bir süreci gerektirir. Bu amaçla imza sirküleri kullanılır. Ancak dijital imzanın doğruluğunun teyit edilmesine gerek yoktur. Çünkü bir onay otoritesi tarafından doğruluğu onaylanmış bir şekilde gelir. Islak imzada ayrıca imzayı atanın yetki durumunun belirlenmesi gerekir. Dijital ortamda ise ayrıca gerek yoktur. Çünkü elektronik ortamda yetki tanımlamaları yapılarak, kişinin yetkisi olmayan belgeleri göndermeleri engellenebilir. 20
DİJİTAL İMZA & ISLAK İMZA Islak olarak imzalanmış bir belgede sonradan değişiklik ve tahrifat yapılıp yapılmadığının belirlenmesi zordur. Halbuki dijital imza, belgenin bütünlüğünü korur. Ayrıca belge içeriği gönderici ve alıcı dışında başka biri tarafından okunamayacak şekilde karıştırılmış olarak gönderilir. Bir belge dijital olarak imzalandığında zaman etiketi belge üzerine eklenir ve böylece belgenin hangi saat ve tarihte imzalandığı kolayca görülebilir. 21