Βασικές Έννοιες

5.19 SET (Secure Electronic Transactions)

5.19.1 Ορισμός

Το SET (Secure Electronic Transaction) είναι ένα πρωτόκολλο εμπορικών συναλλαγών με τη χρήση καρτών σε ανοικτά δίκτυα, το οποίο αναπτύχθηκε από την MasterCard και την Visa σαν μια μέθοδος εξασφάλισης των συναλλαγών με τη χρήση καρτών διαμέσου του Ιnternet.

Η διαδικασία περιλαμβάνει ένα αριθμό ελέγχων ασφαλείας που πραγματοποιείται με τη χρήση ψηφιακών πιστοποιητικών που χορηγούνται στους εμπλεκόμενους αγοραστές, εμπόρους και τράπεζες.

5.19.2 Προδιαγραφές

Το SET έχει δημιουργηθεί βάση συγκεκριμένων προδιαγραφών που προήλθαν από τις απαιτήσεις των επιχειρήσεων και αφορούσαν τις συναλλαγές τους. Αυτές οι προδιαγραφές είναι:

  1. Παροχή προστασίας των οικονομικών δεδομένων ή και άλλων που διακινούνται μαζί τους από υποκλοπή.
  2. Διασφάλιση της ακεραιότητας των δεδομένων.
  3. Παροχή διαδικασιών πιστοποίησης ταυτότητας του κατόχου κάρτας.
  4. Παροχή υπηρεσιών πιστοποίησης των εμπόρων που μπορούν να δεχθούν την πληρωμή με τη χρήση τέτοιας μεθόδου, που προκύπτει από τη σχέση τους με κάποιο οικονομικό ίδρυμα παροχής καρτών.
  5. Διασφάλιση της χρήσης των καλύτερων τεχνικών ασφάλειας και σχεδίασης συστημάτων για την προστασία όλων των νόμιμα εμπλεκομένων πλευρών.
  6. Η δημιουργία ενός πρωτοκόλλου το οποίο να είναι ανεξάρτητο από τους μηχανισμούς ασφάλειας του επιπέδου μεταφοράς χωρίς όμως και να αποτρέπει τη χρήση τους.
  7. Να είναι διαλειτουργικό (όλοι οι κύριοι browsers δουλεύουν με όλους τους κύριους servers και οι τελευταίοι με τη σειρά τους δεν θα έχουν πρόβλημα συμβατότητας με τους Payment Gateway Servers).

5.19.3 Συστατικά Στοιχεία του SET

Τα συστατικά στοιχεία του συστήματος SET είναι τέσσερα και είναι τα παρακάτω:

Είναι ένα προϊόν που χρησιμοποιεί ο καταναλωτής που βρίσκεται on-line και που επιτρέπει την πραγματοποίηση ασφαλών συναλλαγών σε ένα δίκτυο. Το Wallet πρέπει να δημιουργεί μηνύματα που τα αντιλαμβάνονται τα άλλα τρία προϊόντα που απαρτίζουν το SET (Merchant, Payment Gateway, Certificate Authority).

Είναι ένα προϊόν το οποίο τρέχει κάποιος on-line έμπορος για την επεξεργασία των στοιχείων των συναλλαγών και τη διεκπεραίωσή τους. Επικοινωνεί και αυτό με τα άλλα τρία μέρη του SET.

Είναι το προϊόν που τρέχει κάποιος τρίτος ο οποίος και επεξεργάζεται την πιστοποίηση των εμπόρων και των συναλλαγών (συμπεριλαμβανομένων οδηγιών πληρωμών από κατόχους καρτών). Επιπλέον αλληλεπιδρά και με ιδιωτικά εμπορικά δίκτυα.

Είναι το τελευταίο από τα συστατικά στοιχεία του SET το οποίο τρέχει μια αρμόδια υπηρεσία έκδοσης και πιστοποίησης ψηφιακών πιστοποιητικών για το σκοπό αυτό και όποτε ζητείται από τα Wallet, Merchant και Payment Gateway πάνω από δημόσια ή ιδιωτικά δίκτυα.

Το SET σαν πρωτόκολλο έχει ήδη υιοθετηθεί από τράπεζες και οικονομικούς οργανισμούς παγκοσμίως. Παρακάτω παρατίθενται σε μορφή πίνακα τα χαρακτηριστικά του και μια σύντομη αναφορά στο τι ακριβώς σημαίνουν.

Ανοικτές Προδιαγραφές

Το SET είναι πρωτόκολλο ανοικτών προδιαγραφών που έχει επιλεγεί παγκοσμίως από μεγάλα χρηματοπιστωτικά ιδρύματα για συναλλαγές με πιστωτικές κάρτες στο Internet

Βιομηχανική Υποστήριξη

Το SET έχει την υποστήριξη των κυριότερων μελών της βιομηχανίας πιστωτικών καρτών όπως οι Visa, MasterCard, American Express και JCB

Ανεξαρτησία Πλατφόρμας

Το SET έχει σχεδιαστεί να είναι ανεξάρτητο από οποιαδήποτε συγκεκριμένη πλατφόρμα

Διαλειτουργικότητα

Το SET είναι το μόνο πρωτόκολλο ηλεκτρονικού εμπορίου που σχεδιάστηκε για συνεργασία με πολλαπλά προγράμματα που προέρχονται από διαφορετικούς κατασκευαστές

Επέκταση της Υπάρχουσας Υποδομής

Το SET επεκτείνει την υπάρχουσα υποδομή πιστωτικών καρτών στο Internet

Δυνατή Ασφάλεια

Το SET χρησιμοποιεί τεχνολογία κρυπτογράφησης για να προστατεύσει ευαίσθητες πληροφορίες από τα αδιάκριτα βλέμματα τρίτων

Πιστοποίηση

Η τεχνολογία SET πιστοποιεί όλα τα εμπλεκόμενα, σε μια συναλλαγή, μέρη κάνοντας χρήση ψηφιακών πιστοποιητικών

Περιβάλλον Εμπιστοσύνης

Το SET χρησιμοποιεί ένα ιεραρχικό σχήμα πέντε επιπέδων πιστοποίησης της εγκυρότητας, διασφαλίζοντας ένα περιβάλλον εμπιστοσύνης για το ηλεκτρονικό εμπόριο

Λύσεις End-to-End

To SET πιστοποιεί και εγκρίνει όλα τα εμπλεκόμενα μέρη

5.19.4 Χρηματο-Οικονομικές Λύσεις Στο Internet

Το Internet επιτρέπει εύκολες, φθηνές και μαζικές επικοινωνίες και αυτός είναι ο λόγος για τον οποίο όλοι νιώθουν την ανάγκη να το εκμεταλλευτούν επενδύοντας σε αυτό.

Προς αυτή τη κατεύθυνση κινούνται και οι τράπεζες με τρόπο που θα επηρεάσει

  1. Τον τρόπο που οι πελάτες συναλλάσσονται με τις τράπεζες και είναι γνωστό σαν "INTERNET BANKING".
  2. Τον τρόπο με τον οποίο πελάτες και έμποροι κλείνουν και εκτελούν τις δουλειές τους και που είναι γνωστός σαν "ELECTRONIC COMMERCE".

Αυτά τα δύο αντικείμενα είναι απολύτως συσχετισμένα μεταξύ τους και πρέπει να αντιμετωπίζονται αναλόγως.

Ο όρος "INTERNET BANKING" αναφέρεται στην ικανότητα ενός συνδρομητή του Internet να έχει πλήρη πρόσβαση στο τραπεζικό σύστημα και σαν αποτέλεσμα αυτού να διαλέγει και να χρησιμοποιεί προϊόντα και υπηρεσίες διαμέσου του Internet όπως θα έκανε εάν βρισκόταν σε κάποιο υποκατάστημα τράπεζας.

O όρος "ELECTRONIC COMMERCE" αναφέρεται στην δυνατότητα που έχει ένας έμπορος να διαφημίζει τα προϊόντα του στο Internet και να δέχεται παραγγελίες και το αντίτιμό τους μέσω αυτού. Αναφέρεται επιπλέον στη δυνατότητα του καταναλωτή να ψάχνει και όταν βρίσκει να αγοράζει οποιοδήποτε προϊόν.

Η σχέση μεταξύ των δύο επιτρέπει στον καταναλωτή να αγοράζει προϊόντα πληρώνοντας με ηλεκτρονικό τρόπο. Αυτό μπορεί να γίνει με τη χρήση πιστωτικής κάρτας, μεταφοράς του ποσού στο λογαριασμό του προμηθευτή με τη μορφή ψηφιακής επιταγής ή τέλος ακόμα και με τη πληρωμή με "ηλεκτρονικό" ρευστό.

Τα χαρακτηριστικά του ραγδαία αναπτυσσομένου τομέα του "INTERNET BANKING" είναι τα παρακάτω:

Όλα τα παραπάνω αποτελούν σίγουρα την εικόνα του παρόντος για πολλές οικονομίες αλλά και του κοντινού μέλλοντος για άλλες. Η μόνη κριτική που έχει μέχρι τώρα διατυπωθεί για το σύστημα αφορά την ασφάλειά του κατά τη διάρκεια της εκπομπής των πληροφοριών από τον πελάτη στη τράπεζα και αντίστροφα. Η ασφάλεια αυτών των δεδομένων διασφαλίζεται από τη χρήση ειδικών γλωσσών προγραμματισμού όπως η Java, ειδικών αλγορίθμων κρυπτογράφησης και αποκρυπτογράφησης και άλλων διαδικασιών.

5.19.5 Διαχείριση PIN/TAN

Η διαχείριση PIN/TAN είναι μια εφαρμογή που χρησιμοποιείται για πιστοποίηση των πελατών που συνδέονται μέσω εφαρμογών INTERNET BANKING. Αυτό το πρόγραμμα παρέχει δυνατότητες ασφαλούς διαχείρισης του PIN του πελάτη από τον ίδιο τον πελάτη. Το PIN χρησιμοποιείται από τον πελάτη κατά τη σύνδεσή του στο σύστημα μέσω Internet.

Το πρόγραμμα παρέχει επίσης δυνατότητα διαχείρισης του TAN (Transaction Authentication Number). Μια λίστα αριθμών δίνεται στον πελάτη με τυχαία σειρά. Η εφαρμογή ζητάει έναν από αυτούς τους αριθμούς κάθε φορά που αιτείται η μεταφορά κάποιου ποσού. Κάθε αριθμός μπορεί να χρησιμοποιηθεί μόνο μια φορά. Η εφαρμογή απαντά σε αυτό το αριθμό με τον αντίστοιχό του ο οποίος περιέχεται στην εφαρμογή και έτσι είναι γνωστός στον πελάτη. Μέσα από αυτή τη διαδικασία ο πελάτης επιβεβαιώνει τη σύνδεσή του με τη τράπεζα και αντίστροφα. Η χρήση του PIN σε συνδυασμό με τον TAN παρέχει μια πολύ δυνατή διαδικασία πιστοποίησης του πελάτη. Ο λόγος είναι ότι και να καταφέρει κάποιος να τους αλγόριθμους κρυπτογράφησης δεν θα είναι σε θέση να αναπαράγει τον επόμενο τυχαίο αριθμό για να τον χρησιμοποιήσει για παράνομη μεταφορά κεφαλαίου. Επιπρόσθετα, το σύστημα κλειδώνει το λογαριασμό μετά από κάποιο αποτυχημένο αριθμό προσπαθειών παροχής του σωστού ΤΑΝ από το χρήστη.

Υπάρχουν επιπλέον μέθοδοι πιστοποίησης πελατών με τη χρήση έξυπνων καρτών και ψηφιακών πιστοποιητικών.

Αυτό το πρόγραμμα απαιτεί τη χρήση περιβάλλοντος RDBMS Oracle ή Sybase όπου η πληροφορία φυλάγεται σε ειδική (hash) μορφή.

Κρυπτογράφηση

Το προϊόν που χρησιμοποιείται παρέχει επιπλέον κρυπτογράφηση από αυτήν που προσφέρουν οι Internet browsers—για αυτό το λόγο είναι και προαιρετική. Αποτελείται από Κλάσεις Ασφάλειας της Java που παρέχουν κρυπτογράφηση 128-bit. Έτσι είναι δυνατό να σχεδιαστούν εφαρμογές ανοικτές σε ρυθμίσεις ώστε να καλύπτουν τις ανάγκες του κάθε ξεχωριστού πελάτη.

Αυτές οι Κλάσεις "κατεβαίνουν" στο PC του πελάτη κατά τη σύνδεσή στον server της τράπεζας. Ο πελάτης θα πρέπει να χρησιμοποιεί κάποια πρόσφατη έκδοση των πιο διαδεδομένων browser (Internet Explorer, Netscape Navigator). Δεν είναι απαραίτητη η εγκατάσταση κάποιου επιπλέον λογισμικού ή οποιουδήποτε είδους συσκευής. Οποιεσδήποτε αλλαγές στην τραπεζική εφαρμογή δεν επηρεάζουν με κανένα τρόπο τη λειτουργία του συστήματος αφού η εφαρμογή "κατεβαίνει" κάθε φορά στο PC του πελάτη.

Η κρυπτογράφηση 128-bit, την οποία διαθέτουν όλοι οι browsers στις Η. Π. Α. , είναι αντικείμενο περιορισμού εξαγωγής και έτσι δεν είναι διαθέσιμοι σε όλο το κόσμο. Πρόσφατα συγκεκριμένες εταιρίες εκτός Η. Π. Α. κατάφεραν να αναπαράγουν τον αυτόν τον αλγόριθμο και να τον διαθέσουν σε όλους.

Συστήματα που έχουν εγκατασταθεί στην Ελλάδα χρησιμοποιούν κρυπτογράφηση η οποία λειτουργεί επιπρόσθετα σε κάθε άλλη στο επίπεδο SSL. Με άλλα λόγια η τεχνολογία αυτή κρυπτογραφεί τα δεδομένα προτού και αφού δοθούν για μεταφορά Έτσι έχουμε μία 128-bit κρυπτογράφηση που "κάθεται" πάνω σε μια άλλη (SSL - 128-bit).

H κυβέρνηση των Η. Π. Α. έδωσε προσφάτως την έγκρισή της για εξαγωγή του 128-bit αλγόριθμου SSL κρυπτογράφησης για χρήση μόνο από χρηματο-οικονομικά ιδρύματα (εκτός των χωρών : Κούβα, Ιράν, Ιράκ, Λιβύη, Βόρειος Κορέα, Σουδάν Συρία, Ρωσία, Κίνα και Γαλλία).

5.19.7 Περαιτέρω Πληροφορίες

Ο αναγνώστης μπορεί να βρει links για επιπλέον πληροφορίες στα site των εταιρίων: http://www.GlobeSet.com

http://www.informer.gr

Βασικές Έννοιες