Elektronik Ödeme Araçları

F. Mondex Mondex, en yaygın Smart Card hesabıdır ( elektronik çanta ) ve esas itibariyle nakit paranın alternatifi olarak uygulama bulmuştur. Sistem, 1990 yılında bulunmuştur ve özel olarak network uygulamaları için tasarlanmıştır. 1996 yılında kurulan Mondex International, sistemin imtiyaz hakkına ve Şubat 1997'den beri MasterCard'dan sonra çoğunluk hisselerine sahiptir. 1996 ortalarından beri Mondex, Yeni Zelanda ve Avustralya'daki ileri gelen on bankaya teklifte bulunmuştur. Farklı büyük banka kurumları sistemi kabul etmiştir. Müşteri, imzalanmış data formundaki parayı bankasından çekerek kendi Mondex kartına yükler. Bu işlem örneğin; bir telefon üzerinden kart okuyucu ile gerçekleşir. Para karta yerleştirilen bir chip'e kopyalanır. Para ihraç eden kurumun, ülkedeki ihraç bankası veya katılımcı bankaların kurduğu özel bir ortaklık olması gerekir. Elektronik para merkezden dağıtılır. Üye bankaların paralarını bu merkezi kurumdan alması gerekir. Böylece para ihracı kontrol altına alınmış olacaktır. Para birimi herhangi diğer bir katılımcıya gönderilebilir. Bunun için " elektronik wallets " kullanılmaktadır. Elektronik para bir defa tedavüle çıktı mı, hesaba kayıt artık, bankanın araya girmesine gerek olmadan yapılabilecektir. Şifreleme ödeme işlemi sırasında doğrudan doğruya chip'ten chip'e gerçekleşmektedir. Şifre Mondex tarafından idare edilir ve karta yerleştirilir. Kullanılan şifre, periyodik olarak değiştirilir. Chip Kartın kaybedilmesi durumunda, bu karta kopyalanmış olan miktarda para kaybedilmiş demektir. Ancak kart PIN kodu sayesinde bloke edilebilecektir. PIN numarasının birkaç defa üst üste yanlış girilmesi durumunda, kart otomatik olarak işlevini pasif hale gelecektir.

İşlemin Seyri İşleme katılan kartların karşılıklı olarak tanımlanması Ödemeyi yapacak kişinin kartına yönelik ödeme talebi ve dijital imza Karttaki para miktarının kontrolü ve ödenmesi gereken tutarın karttan alınması Satıcı nezdinde ilgili meblağın güvence altına alınması Her işlem sırasında, aynı işlemin daha sonra bir daha tekrarlanmasını ( hileli işlemlere karşı ) önleyecek bir işlem numarası yaratılır. İşlem hakkındaki bilgiler chip karta kopyalanır. Bu ise kötüye kullanma olasılıklarının tespit edilmesine bunlarla mücadele edilmesine hizmet etmektedir. Özellikleri Offline ödeme aracıdır Chip kartı formunda elektronik para çantası Mikro ödemelerin yapılmasına uygundur Son derece az işlem giderleri Anonimlik sağlar Satıcının bankadaki bilgilere müdahale etmesi mümkün değildir Ek bir donanımı gerektirmektedir Gerekli Donanımlar Mondex-Chip Kartı ( Elektronik para hesabının bloke edilmesine, para transferine, bakiyenin görülmesine ve son 10 işlemin ispatına yaramaktadır ). POS-Terminal ( Chip kart okuyucu, dahili elektronik para hesabı ve klavye'den oluşmaktadır ). Bakiye-Okuma Aleti ( Chip kart üzerinde kopyalanmış bulunan paranın o an ki miktarının görülmesine yaramaktadır ). Mondex-Para Hesabı ( Wallet ) Özel bir telefon ( Ödeme transferinin telefonla yapılmasına hizmet eder ). PC için Kart Okuma Aleti ( İnternet üzerinden güvenli bir şekilde ödeme yapılmasını sağlar ). I. Netchex NetChex, Net 1 Firmasının elektronik çek sistemidir. NetChex müşteri için, gerçek banka hesabının arkasında gizlenecek " gölge hesap "adı verilen bir hesap açar. İşlemin Seyri Müşteri, adresini ve bir çek'in suretini NetChex’e gönderir.

Müşteri, 24 saat içinde teyit alır. Özellikleri Tamamen ağ’a dayalı bir sistem değildir. İşlem anonim değildir. Satıcı rizikoyu taşır. Karmaşık bir uygulama İşlem giderlerini satıcı öder ( her işlemde % 3-5 ). Güvenlik Kriterleri Dinamik anahtar yaratma Simetrik ve asimetrik şifreleme yöntemleri kullanılarak şifreleme yapılması Donanım esaslı kimlik tespit etme Şüpheli hesapların otomatik olarak bertaraf edilmesi Çek adedi ( miktar ) için limit E-mail ile teyit Satıcı server’ında kullanabileceği kredi kartı bilgilerine sahip değildir. İ. İnternette Para Kartı ile Yapılan Ödeme Teknoloji konserni Giesecke&Devrient, Alman kredi işleri tarafından hazırlanan para kartlarının kullanılmasıyla internet üzerinde gerçekleştirilecek bir ödeme sistemini denemektedir. Özel bir Smartcard ürünü olanpara kartı için, Alman Bankalar Birliği, bu kartların - internet dışında - perakende satışlarda kullanılmasına ilişkin bir anlaşma akdetmiştir. Ancak Giesecke&Devrient, Merkezi Kredi Kurumu ile, internette kullanılmak üzere geliştirilen " G&D Payment Protocols ( ödeme protolünün ) "’ün teknik özelliklerinin üstlenilmesi konusunda sözleşme yapmıştır. Bu sisteme göre; müşteri bir chip ile donatılan EC ( Electronic Cash )-Kartı kullanacaktır ve bu chip'i ya perakende yapacağı veya internette yapacağı satış tutarlarının ödenmesi için, bir yükleme terminalinde belirli bir para meblağı ile dolduracaktır. Hesaba kayıt bakımından burada, müşterinin cari hesabı örneğin; 10,--DEM karta yüklenmişse, bu miktar kadar borçlandırılır ve müşteri için açılan gölge hesaba ise 10,--DEM alacak kaydedilir. Gölge hesap sadece banka bünyesinde yürütüldüğü için, faiz işletilmez ve müşteri, para kartını kullanmakla bu hesapta hareketlenmeye sebep olacaktır. Bu sebeple, para kartı ile yapılan bu ödeme şekli de, değeri önceden yatırılmış ödeme araçlarından sayılmaktadır. Para kartının chip'i üzerine, ecash'de olduğu gibi artık dijital paralar kopyalanmamakta, aksine gölge hesapta kayıtlı olan miktar oranında, para kartı ile ödeme yapılabilmektedir ( notationssystem ).

Müşterinin para kartını, satıcının kartı ile bağlantı kurmak için, satıcının terminaline soktuğu perakende satışların aksine, internette yapılacak olan ödemelerde işleme katılan kimselerin farklı mekanlarda bulunmaları yüzünden, bu kural aynı kolaylıkla internet işlemlerinde uygulanamamaktadır. İnternet üzerinden yapılacak işlemlerde müşteri, para kartını bilgisayarına yerleştirilmiş olan bir kart okuyucuya yerleştirir ve Giesecke&Devrient tarafından geliştirilen yazılım programının yardımıyla, internet üzerinden satıcının kart okuyucu aleti ve bu alet içinde yerleştirilen satıcının kart ile bağlantı kurabilir. G&D Payment Protocols'ün kullanılmasıyla birlikte müşteriden ödeme yapmasını talep eden satıcı, müşteri tarafından ilgili meblağ kendi kartına gönderildikten sonra, tüm bu verileri ödeme işleminin usulüne uygun olup olmadığının tespit edilmesi için, satıcı kontrol merkezine verir. Ödeme işleminin geçerli olduğunun tasdik edilmesiyle birlikte satıcı, öncelikle para kartını veren bankadan onaylanan miktar için garanti verilmesini isteyecektir. Satıcı bunu takiben, borç kaydı usulüne göre, hesabına alacak kaydedilmesini sağlayacaktır. Müşterinin gölge hesabı ise örneğimizdeki 10-, DEM kadar borçlandırılacaktır

5. TÜRKİYE'DEKİ GÜNCEL ELEKTRONİK ÖDEME SİSTEMLERİ 2000 yılında dünya genelinde sadece B2C elektronik ticaret hacminin 56 milyar USD olacağı tahmin edilmekte olup bunun 2004 yılında 440 milyar USD'na ulaşacağı öngörülmektedir. Türkiye elektronik ticaret pazarı henüz başlangıç aşamasında olmakla beraber 2004 yılında 4.5 milyar USD'lık bir hacme ulaşacağı tahmin edilmektedir. Ülkemizde elektronik ödeme sistemlerinden " elektronik para " konusunda henüz bir uygulama örneği mevcut değildir. Fakat Türkiye Bankalar Birliğinin elektronik para konusunda çalışma yapması ve bir alt yapı oluşturması amacıyla kurduğu bir komisyon vardır. Bunun dışında bankaların, müşterilerinin internette yapacakları alış verişleri güvenli bir şekilde ödeyebilmelerini sağlamak amacıyla hizmete sundukları değişik elektronik ödeme şekilleri mevcuttur: Osmanlı Bankası: " Webmondial Kart “ " Webmondial Kart " Osmanlı Bankasının sanal işlemlerde kullanılmak üzere tasarladığı, kredi kartı esasına dayanan bir sanal Mastercard'dır. Webmondial Kart kart hamiline sadece mektupla, telefonla ya da internet yoluyla yapacağı alışverişlerde ya da abonelik ve aidat ödemeleri gibi işlemlerde kredi kartı limitinin Banka ile mutabık kalınan kısmında, daha güvenli alışveriş yapma imkanı sağlamak ( kredi kartı numarasından farklı bir numara içerdiğinden ve üç haneli Kart Güvenlik Kodu taşıdığından ) üzere Banka’ca verilen, ATM (Otomatik Vezne Makinası ), POS ve Imprinter cihazlarında kullanılamayan, nakit avans çekilemeyen, arkasında manyetik alan ve imza bantı bulunmayan uluslararası geçerliliğe sahip bir karttır. Citibank: " E-Card " " E-Card ", Citibank'ın " İnternette % 100 Alışveriş Garantisi " sloganı ile müşterileri için hazırladığı bir elektronik ödeme aracıdır. Müşterinin e-card kullanırken güvenliğini sağlamak amacıyla, e-card, müşterinin asıl kredi kartından tamamen bağımsız bir kredi kartı numarasına ve asıl kartın yaklaşık % 20'sine eşit bir kredi kartı limitine sahiptir. Ancak müşterinin burada da limiti isterse değiştirme hakkı saklıdır. E-Card'ın üzerindeki karakterler başkaları tarafından kullanımı önlemek amacıyla kabartma kullanılmadan yazılmıştır. Ayrıca yine sahte kullanımı önlemek amacıyla kartın üzerinde Visa/Mastercard logo ve hologramları ve müşteri bilgisinin saklandığı manyetik şerit ve internet dışı alışverişlerde kontrolü zorunlu olan imza paneli yer almamaktadır. E-Card'ın üzerinde son kullanma tarihi bulunmamaktadır. İnternet üzerinden yapılacak alışverişlerde girilmesi zorunlu olan bu tarih, müşterinin asıl kartının son kullanma tarihi ile aynı olacak şekilde hazırlanmıştır. Böylece e-card'ın kaybedilmesi durumunda, son kullanma tarihini sadece müşteri bildiği için, kartın başkaları tarafından kullanılması engellenmiş olacaktır.

Finansbank: FinansWebPos FinansWebPos, internet sitelerinin, ziyaretçilerine kredi kartı ile on-line mal/hizmet satabilmeleri için güvenli bir ortam sağlayan Sanal POS ürünüdür. Finansbank'ın IBM ile yaptığı iş birliğinin bir ürünü olan FinansWebPos'un özellikleri aşağıda açıklanmıştır: Güvenlik FinansWebPos ürününün geliştirilmesinde platform olarak IBM'in SET uyumlu yazılımı Websphere Payment Manager kullanılmıştır. SET şu anda dünyada kullanılan en yüksek güvenliği sağlayan sistemdir. Visa, Mastercard ve Europay'in getirdiği bütün elektronik ticaret ve güvenlik standartlarına uyum sağlayabilecek bir ürün olarak tasarlanan, 2001 yılında dünyada elektronik ticaret işlemleri için getirilecek bütün kurallar göz önüne alınarak hazırlanmıştır. FinansWebPos kullanarak sanal ticaret yapan sitelerin kendi güvenliklerini sağlamaları amacı ile 128 bit SSL sertifikası kullanmaları zorunluluk haline getirilmiştir. Secure Sockets Layer (SSL) 1995 yılında internet üzerinde güvenli veri alış verişi sağlayabilmek amacıyla Netscape Communications tarafından geliştirilmiştir. Şu anda dünyada sanal ticaret işlemlerinde sıkça kullanılmaktadır. SSL hem bir Private Key (gizli anahtar) hem de bir Public Key ( açık anahtar) kullanarak şifreleme yapar. SSL, basitçe özetlemek gerekirse, haberleşme protokolü şeklinde bir teknolojidir. Protokolün buradaki anlamı bilgisayarların birbirleriyle haberleşirken kullanacakları bir dizi kuraldır. SSL Nasıl Çalışır Örnek olarak online kredi kartı ile satış yapan bir sanal ticaret sitesinden bir müşterinin SSL' in nasıl çalıştığına dair bir deneme yapmasını alabiliriz. Bu denemeyi yapmak için müşterinin Web Browser' ının SSL' i desteklemesi gerekir. Netscape ve Internet Explorer gibi browserların çoğu (özellikle yeni versiyonları) SSL' i destekler. Browser' ın SSL 'i desteklememesi halinde upgrade veya security patch ile destekler hale getirmek mümkün olmaktadır. Başlangıç olarak müşteri, browser' ı aracılığı ile sanal ticaret sitesinin server' ına SSL' in versiyon numarasını ve rastgele yaratılmış bazı veriler yollar. Sanal ticaret sitesi server'ı kendisini tanıtabilmek amacıyla, benzeri bilgileri ve dijital sertifikasını müşterinin browswer'ına yollar.

Müşterinin browser' ı sanal ticaret sitesinin dijital sertifikasının geçerliliğini kontrol eder. Bu kontrolün bir parçası olarak sertifikanın son kullanım tarihi, sertifikayı hazırlayan kuruluşun (CA - Certificate Authority) geçerli olup olmadığı ve CA' nın açık anahtarının, CA' nın browserda bulunan dijital imzasını onaylaması işlemleri gerçekleşir. Sanal ticaret sitesinin tanınması ve doğrulanmasının ardından, müşterinin browser' ı sadece bu SSL oturumuna özgü bir gizli/özel (secret/private) anahtar yaratır (bu SSL oturumu bittiğinde anahtar yok olur). Bu anahtara oturum anahtarı adı ( session Key ) verilir. Oturum anahtarı sanal ticaret sitesinin doğrulanmış dijital sertifikasından elde edilmiş genel anahtarla şifrelenerek, sanal ticaret sitesinin server' ına yollanır. Sanal Ticaret sitesi server' ı oturum anahtarını deşifre etmek için özel anahtarını kullanır. Netice itibari ile hem sanal ticaret sitesi hem de müşterinin browser' ı ortak bir oturum anahtarı paylaşmaya başlarlar. Bu işlemlerin yapısı itibari ile oturum anahtarı hiç bir üçüncü grubun farkına varamayacağı ve bu grupların müdahalesine maruz kalmayacak şekilde üretilmiş olur. Oturum anahtarı bundan sonraki mesajlaşmalarda şifreleyici ve şifre çözücü olarak görev yapmaya başlar. Diğer bir deyişle oturum anahtarı, gizli/özel anahtar vazifesi görerek bu SSL oturumdaki bütün mesajları şifreler. SSL' in güvenlik gücü oturum anahtarının büyüklüğüne bağlıdır. En büyük SSL oturum anahtarı 128 bit olup sanal ticaret işlemleri için çok yüksek bir güvenlik sunar. 128 bit şifrelemenin kötü niyetle kırılması/çözülmesi hemen hemen imkansızdır. Ayrıca bir kırılma gerçekleşse bile oturum anahtarı sadece bir oturumda kullanılıp sonra imha edildiğinden dolayı, şifreyi kıran kişi başka hiç bir oturumu göremez.

SET Nasıl Çalışır? Örnek olarak bir üye işyerinde bulunan FinansWebPos'un Finansbank ödeme geçidiyle haberleşmesini alabiliriz. Bu örnekle üye işyerinin Finansbank CA tarafından hazırlanmış SET Sertifikasına sahip olması gerekmektedir. FinansWebPos'un Finansbank Payment Gateway'e (PG) bir ödeme mesajı gönderdiğini düşünelim. A) FinansWebPos tarafındaki şifreleme işlemi Dijital imzanın yaratılması: Bir mesaj özeti oluşturması için FinansWebPos, ödeme mesajını tek yönlü şifrelemeyle sertifikaya geçer. Mesaj özeti dijital imza yaratmak için, FinansWebPos'un sertifikasındaki özel anahtarıyla şifrelenir. Bu dijital imza daha sonra mesajın büyüklüğünü test etmek amacıyla kullanılır. Oturuma özel Gizli/Simetrik (secret/symetric) anahtarın yaratılması ve kullanımı: FinansWebPos oturuma özel bir simetrik anahtar yaratır (oturum anahtarı). Bu anahtarı, ödeme mesajını,1. maddede anlatılan dijital imzayı ve FinansWebPos'un dijital sertifikasını şifrelemek için kullanır. (Dijital sertifika, genel mesaj alışveriş anahtarı ve genel imza anahtarını içerir). FinansWebPos'un dijital sertifikasının ve oturum anahtarının dijital zarf yaratılması amacıyla şifrelenmeleri: İlk kullanıcı tanıma (authentication) basamaklarında, FinansWebPos Payment Gateway'in dijital sertifikasını ve dolayısıyla genel mesaj alışveriş anahtarını elde etmişti. FinansWebPos bu adımda Payment Gateway'in genel mesaj alışveriş anahtarını, Payment Gateway'in dijital sertifikasını ve oturum anahtarını şifrelemek için kullanılır. Bu işlemde elde edilen şifreli pakete dijital zarf adı verilir.2. basamakta üretilmiş şifreli mesaj ve 3. basamaktaki dijital zarf Payment Gateway'e gönderilir. B) Payment Gateway tarafındaki deşifre işlemi Oturum anahtarının alınması için dijital zarfın şifresinin çözülmesi: Payment Gateway özel mesaj değişim anahtarını dijital zarfı (FinansWebPos'un genel mesaj değişim anahtarı ile şifrelenen) deşifre etmek için kullanır. Bu deşifre işleminde oturum anahtarı alınır. Oturum anahtarı kullanarak mesajın deşifre edilmesi: FinansWebPos oturum anahtarını, mesajı, dijital imzayı ve dijital sertifikayı şifrelemek için kullanmıştı. Bir önceki adımda kullanılan oturum anahtarı bu kez mesajı, dijital imzayı ve dijital sertifikayı deşifre edip, onları olduğu gibi çıkartmak için kullanılmaktadır. Tek taraflı şifrelemeye sahip mesajın yeni mesaj özeti yaratmak için kullanılması: Payment Gateway, FinansWebPos'un kullandığı tek taraflı şifreleme met****un aynısını kullanarak, elde edilen mesajdan yeni bir mesaj özeti yaratır.

Orjinal mesaj özetinin elde edilmesi için, FinansWebPos'un dijital imzasının deşifre edilmesi: 2. adımda, Payment Gateway FinansWebPos'un dijital imzasını ve dijital sertifikasını almıştı. Bu dijital sertifikadan elde edilmiş FinansWebPos'un genel mesaj değişim anahtarını kullanarak, orjinal mesaj özetini elde edebilmek için FinansWebPos'un dijital imzası deşifre edilir. Yeni ve orjinal mesaj özelliklerinin karşılaştırılması: 3. ve 4. adımlarda aynı mesajlara ait iki mesaj özeti yaratılmıştı. Eğer mesaj herhangi bir şekilde güvenlik dışı müdahaleye uğramamışsa bu iki özet birbirinin aynısı olmalıdır. Bu yüzden mesajın içeriğinin kontrolü için bu iki mesaj özeti karşılaştırılır. Sonuçta SET sertifika tabanlı bir authentication, şifreleme, deşifre etme ve mesaj içeriği testi için kullanılır. Bu çok yüksek ölçüde güvenlik sağlar. Ancak işlem çok detaylıdır ve bütün tarafların dijital sertifika kullanmasını gerektirir. SET ve SSL 'in Farkı SET ve SSL 'in başlıca farkı SET in yapısı itibari ile bütün kullanıcılarda dijital sertifika kullanması ve bu sayede kullanıcı tanıma (authenticaton) fonksiyonunu yerine getirebilmesidir. SSL ise sadece çok yeni bazı versiyonlarında opsiyonel olarak benzeri bir fonksiyonu sunmaktadır. SET şifreleme ve deşifrelemesi SSL' e göre çok daha karmaşıktır. Diğer bir fark SET' te bütün tarafların iki çift genel ve özel anahtara sahip olması SSL' de ise bir tarafın en çok bir çift anahtara sahip olmasıdır. SET 'te kullanılan anahtarların bir çifti mesaj değişiminde şifreleme ve deşifreleme için diğer çifti ise (imza çifti) dijital imzaların yaratılması ve doğrulanması için kullanılır. Tarafların Tanınması: SSL'de genelde sadece bir taraf tanınabilir (mesajı alan taraf). SET protokolü kullanacak taraflarda dijital sertifika bulunması gerekir. Bu yolla taraflar tanınabilir. Mesaj Bütünlüğü ve Güvenliği: SSL, 128-bit Şifreleme kullanılması halinde güçlü bir güvenlik sağlar. SET ise, güçlü bir güvenlik sunar ayrıca dijital imzalarla mesajın bütünlüğünü de kontrol eder. SSL'de genel güvenlik SET 'e göre daha az güvenlidir. Ancak son gelişmelerle kullanıcı şifresi, sertifika veya smart kartlarla güvenlik arttırılabilmektedir. SET ise, yapı olarak daha güçlü bir güvenlik tasarımına sahiptir. SSL'de kurulum kolaylığı daha kolaydır. SET'de ise daha zor ve karmaşıktır. Tarafların sertifikasyonuna ihtiyaç vardır . SSL'in maliyeti daha ucuzdur. SET ise sertifikasyon işleminden dolayı daha pahalıdır.

Secure Electronic Transaction (SET) Sertifikası, SET güvenlik protokolüyle çalışmaktadır. Bu güvenli alışveriş protokolü için gereken sertifika Finansbank CA tarafından sağlanmaktadır.FinansWebPos'un kullandığı ödeme geçidi (payment gateway) saniyede 100 işlemi geçirebilecek hızdadır. Bu sayının, Türkiye' de en çok kredi kartı işlemi yapan merkezlerin saniyede yaptığı işlem sayısından çok daha fazla olduğu düşünülürse, FinansWebPos ödeme geçidi kapasitesi daha iyi anlaşılabilir. Bazı sanal ticaret ödeme sistemlerinde karşılaşılan işlem sınırları ve işlem sayısına göre farklı ödeme alternatifleri FinansWebPos'da yoktur. Otomatik işyeri onayı (Türkiye' de ilk): FinansWEbPos'da, üye işyeri eğer isterse, işleme provizyon verildiği anda otomatik olarak işyeri onayı verebilir. Çok çeşitli platformda çalışabilme: FinansWebPos birçok platformda çalıştırılabilmektedir. Örnek olarak NT, AIX, Solaris verilebilir Kullanıcı dostu arayüz ( ınterface ): FinansWebPos'un arayüzü fonksiyonel ve sade yapısıyla kullanıcılar için en rahat çalışma ortamını sunmaktadır. Gelişmiş raporlama kabiliyeti: Finansbank tarafından hazırlanan ekstre raporları dışında, üzerinden de müşterilerimiz gün bazında raporlamalar yapabilmektedir. Kesintisiz hizmet: ile verilen hizmette, müşteri memnuniyeti ve kesintisiz hizmet en öncelikli konulardır. Bu yüzden ödeme sisteminin yazılım ve donanım parçaları en yüksek standartta seçilmiş ve bir 7x24 helpdesk ile desteklenmiştir. FinansWebPOS Nasıl Çalışır -Kredi kartı hamili internet üzerinden üye işyerinin sanal ticaret sitesine ulaşır -Kredi kartı hamili üye işyerinin sanal ticaret sitesinden almak istediği ürünleri seçer -Kredi kartı hamili üye işyerinin sanal ticaret sitesinden almak istediği ürünlerin ücretini ödemek üzere kredi kartı numarasını ve son kullanma tarihini girer