Günümüz teknolojisinin ilerlemesi, insanlar üzerindeki yer ve zaman kısıtlarını ortadan kaldırmaya devam etmektedir. Artık iletişim çağında dünyanın başka bir köşesindeki birine ulaşmak eskiden olduğu kadar zor ve zaman alan bir olay değildir.

Ticaretin temellerinin dayandığı iletişim konusu, iletişimin üzerindeki kısıtların azalmasıyla en önce insan ilişkilerini, buna bağlı olarak da ticaretin gelişimini etkilemiştir. Elektronik devrimin dinamiğini oluşturduğu iletişim teknolojileri, bu duruma bağlı olarak ortaya, ticarette iletişimin elektronik yollarla hızlandırıldığı, E-Ticaret’i doğurmuştur.

E-Ticaret, teknolojinin sağladığı elektronik iletişim olanakları ile yapılan bir ticaret yapma biçimidir. Bunun günümüzdeki en büyük ve yaygın örneği İnternet üzerinden yapılanıdır. İnternetin gelişmesi ve yaygınlaşması sayesinde E-Ticaret de hayatımızın bir parçası haline gelmiştir.

E-Ticaret yapılırken en önemli nokta, para ve mal arasındaki yer değişimi döngüsünün kontrol edilmesidir. E-Ticaret platformları, alıcı ve satıcı arasındaki bir buluşma noktası olurken, satın alınan hizmet veya mal, elektronik bir ortam ürünü , hizmet veya fiziksel bir ürün olabilmektedir. Fiziksel ürünlerin elektronik ortama taşınması yanında da paranın elektronik ortama geçişi gerekliliğini getirmektedir. Madem para elektronik ortama aktarılmalı, o zaman paranın elektronik ortamdaki akışını sağlayacak bir sisteme, yani Ödeme Sistemlerine de gereksinim olmalıdır.

E-Ticarette kullanılan ödeme sistemlerini şu şekilde sıralayabiliriz:

1. Kapıda nakit ödeme

2. Kapıda debit kart (vadesiz hesap kartı) / kredi kartı ile ödeme

3. Havale / EFT ile ödeme

4. Debit kart ile online ödeme

5. Kredi kartı ile online ödeme

6. Sanal kredi kartı ile online ödeme

7. Kredi kartı ile 3D Secure online ödeme

8. Mail Order (ödeme talimatı için kart bilgilerinin satıcıya doğrudan verilmesi) ile online ödeme

9. Aracı kurumlar (PayPal vb.) ile online ödeme

10. Mobil Ödeme (cep telefonu ile ödeme)

Kredi kartı ile ödeme: Kredi kartı hesabından ödeme tutarının online POS ile çekilmesi yoluyla gerçekleşir. Benzer şekilde, debit kart ile de ödeme vadesiz hesaplardan ödeme tutarı çekilerek ödeme yapılması söz konusudur. Ayrıca, sadece online alışverişlerde kullanılmak üzere üretilen sanal kredi kartları ile de ödeme yapılabilmektedir. Tercih edilmesinin nedeni, hem pratik hem de güvenilir bir üçüncü taraf, yani bankanın alışverişe ait kaydı tutabiliyor olmasıdır. Yasal bir kredi kartı işleminin gerçekleşebilmesi için VISA, Amex, Discover veya Mastercard tarafından izin verilmiş (sertifikasyonu yapılmış) bir finansal kuruluşunun aracı olması gereklidir. Değişik bankalara ait değişik kredi kartlarının yine değişik bankaların POS (Point of Sale) cihazlarında kullanılabilmesi için VISA, Amex, Discover ve Mastercard'ın ağlarından yararlanmak gerekmektedir. Bu ağlara giriş kapıları ise yine bankalardır .

Sanal Kredi Kartı ile Ödeme:  Sanal kredi kartlarında da benzer şekilde bir süreç ile ödeme gerçekleştirilir. Sanal kredi kartları, fiziksel olarak var olmayan kredi kartlarıdır. Kişinin kredi kartı hesabına bağlı olarak alışveriş sırasında belli bir limit ile belirlenen ve alışveriş sonrasında limiti sıfırlanan kredi kartlarıdır .

Aracı Kurumlar (PayPal )ile ödeme: İnternet üzerinde açılan sanal hesap cüzdanları arasında tek bir otoritenin denetimi altında para aktarımını sağlayan bir hizmetin markasıdır. Kredi kartı ya da banka hesap bilgileri bir kez girilerek PayPal hesabı açılır. Böylece, hesap bilgilerini alıcı veya satıcılarla paylaşılmadan online ödeme yapılmasını sağlar.

PayPal ile alışveriş yapılırken, alıcılar nasıl ödeme yapmak istediklerini seçer (kredi kartı, nakit), PayPal parayı transfer eder, daha sonra satıcılar paralarını bankalarına aktarırlar.

Mobil ödeme: GSM operatörlerinin sanal cüzdanları tutan otorite olarak kullanıldığı ödeme şeklidir. Ödeme tutarı, cep telefonu faturasına yansıtılır. Düşük miktardaki ödemelerin cep telefonu üzerinden yapılması ve ödeme tutarının cep telefonu faturasına yansıtılması ile gerçekleştirilir. Böylece kredi kartı ya da banka hesap bilgisi kullanılmadan online alışveriş yapılabilir.

Mobil alışveriş yapılırken, web üzerinden telefon numarası girilerek (ödeme SMS ile onaylanır) ya da SMS gönderilerek ödeme yapılabilir .

Uluslararası Güvenlik Platformu (3D Secure): Sanal platformlarda ödeme sistemlerinde güvenliği artırma amacıyla çeşitli uygulamalar geliştirilmektedir.  Bunların en yenilerden birisi 3D Secure olarak isimlendirilen Visa, Amex, Discover ve MasterCard ödeme sistemlerinin uygulamaya koyduğu Ulusal Güvenlik Platformu'dur.  Siteden alışveriş yaparken kartı kullanan kişinin gerçekten kartın sahibi olup olmadığını anlamak amacıyla kullanılmaktadır. Sitede ödeme işlemi sırasında sadece kişinin kendisinin bildiği dört haneli şifre (pin numarasını) ve yine kendisinin belirlediği güvenlik sorusunun yer aldığı pop-up ekran alışveriş sitesi tarafından değil doğrudan bankanın kendi sisteminden kullanıcıya sunduğu bir hizmettir.

DPT’nin (2010) Bilgi Toplumu İstatistikleri raporuna göre, 2008’de işletmelerin İnternet üzerinden satışını kısıtlayan faktörlerin başında %48 oranı ile ödemelerle ilgili güvenlik problemleri gelmektedir .

Bu ödeme sistemlerinden kredi kartı ve onun güvenlik için uyarlanmış olan varyasyonlarının (3D Secure, Sanal Kredi kartı gibi) günümüzde yaygın kullanılan ödeme sistemlerindendir . Bunun nedeni, kredi kartı ile yapılan işlemlerin hızlı bir şekilde gerçekleşmesi ve kredi kartlarının gündelik ticaret hayatında da olan yaygınlığıdır. Bu kadar yaygın olan bir ödeme sisteminin güvenliği de son derece önemli bir konudur. Yaygınlığın getirdiği işlem hacmi beraberinde saldırganlara motivasyon kaynağı olacak olan parayı da getirecektir. Bu durumda yapılması gereken; alıcı, satıcı ve aracı kurumlar ile alt sistemler arasındaki bilgi güvenliğini sağlamaktır.

Temel anlamda kredi kartı bilgilerinin güvenliğini sağlamakta kullanılan sistemler araştırıldığında gündeme en çok gelen sistemin SSL (Secure Sockets Layer) olduğu görülmektedir. Hâlbuki SSL, sadece kredi kartı bilgilerinin saklanması için geliştirilmiş bir sistem değildir. SSL, ağ üzerinde hassas ve gizli kalması gereken bilgilerin geçtiği her yerde gizliliği sağlamak üzere geliştirilmiş bir şifreleme sistemidir. Bilgisayar teknolojisinde zaten hassas bilgilerin ağ trafiği içinde başkaları tarafından görülmemesi adına kullanılan bir yöntem olan SSL ile şifreleme, kredi kartı bilgilerinin geçtiği bilişim sistemlerinde bir standart ve disiplin olarak kullanılmaktadır.

SSL ile şifrelemenin gerçekleştiriliyor olması, kredi kartı bilgilerinin şifreleme yönteminin kırılarak başkaları tarafından görülemeyeceği anlamını taşımamaktadır. SSL ile şifreleme yapılırken dikkat edilmesi gereken teknik güvenlik unsurları mevcuttur. Eğer bu teknik güvenlik unsurları dikkatle yönetilmez ise, kredi kartı bilgilerinin gizliliğinin bozulması söz konusu olabilir. Bu unsurları şu şekilde bir arada toplayabiliriz:

• Zayıf algoritmalar ile şifreleme yapılması

• Kısa anahtar uzunlukları ile şifreleme yapılması

• Sertifika otoritesi kullanılmaması

Bahsi geçen bu teknik güvenlik unsurlarının her biri, şifreleme sisteminin aşılarak gizliliğin bozulmasına neden olabilecek türdendir.

Kredi kartı bilgilerinin güvenliği söz konusu olduğunda, süreçlerin güvenlik standartlarını belirlemeye yarayan PCI-DSS konusuna da değinmek gerekir. Payment Card Industry (PCI) Data Security Standart (Ödeme Kartları Endüstrisi Veri Güvenliği Standardı), Mastercard ve VISA tarafından belirlenmiş verinin kullanımı, korunması, saklanması ve iletimi ile ilgili ortak güvenlik standardıdır. Kısaca PCI-DSS olarak adlandırılmaktadır. Kredi kartları ile işlem kabul eden tüm işyerleri ve bankalar PCI-DSS standardına uymak zorundadır.

Kredi kartı bilgilerini ve böylece kredi kartı sahiplerini korumaya yönelik hazırlanan PCI-DSS, standartlara uymayanlar için bazı cezai yaptırımları da yanında beraber getirmektedir.

Kredi kartı bilgilerinin güvenliğinin nasıl sağlanması gerektiğini belirten PCI-DSS standardı, gerçek anlamda kredi kartı bilgilerinin nasıl korunmasını gerektiğine dair geliştirilmiş bir güvenlik standardıdır. Bu standart, teknik olarak SSL ve diğer şifreleme yöntemlerinin nasıl ve nerede kullanılacağına açıklık getirerek, günümüzde kullanılan teknik altyapıların nasıl yönetileceğine dair yol göstermektedir. SSL ise bu teknik altyapılardan sadece birini oluşturmaktadır ve kamuoyundaki yanılgının aksine SSL, başlı başına bir güvenlik standardı değildir.

Teknik olarak hassas bilgilerin saklanması adımlarının her biri kredi kartı bilgilerinin veri tabanı üzerinde saklanması aşamasında da kullanılmaktadır. Kredi kartı bilgisini veri tabanına alan bir şirket, bu bilgiyi şifreli olarak saklamakla yükümlüdür. Benzeri teknik uygulamalar diğer hassas bilgiler için de kullanılmaktadır.

Ödeme sistemlerinde güvenliği sağlamak için mantıksal yapılar da geliştirilmiştir. Yukarıda bahsi geçen veri tabanı üzerinde şifreleme yapılması örneği, aracı bir şirketin kredi kartı bilgilerini kendi veri tabanında tutarak riski üstlendiğini göstermektedir. Bu riski bertaraf etmek için kullanılan mantıksal birkaç güvenlik sistemi, yani güvenli ödeme sitemleri de mevcuttur. Bu sistemlere örneklerden den biri Sanal POS uygulaması, diğeri de Secure 3D’dir. Sanal POS uygulamasında banka girilen kredi kartı bilgisinin doğruluğunu onaylar ve yine banka tarafında bütün işlemler gerçekleştirildikten sonra satıcıya bu işlemlerin gerçekleştirildiğine dair bilgi yollanır. Bu durumda satıcı kredi kartı bilgilerini bir veri tabanı üzerinde saklama gereği duymaz ve bu riski üzerine almamış olur .

Benzer ödeme yöntemlerinden biri de PayPal ve benzeri aracı kurumlarla yapılanıdır. Bu sistemlerde para transferi sanal krediler üzerinden yapılır. Bu kredileri elde etmek için kişiler yine diğer ödeme türlerini kullanarak (kredi kartı, havale vb.) hesaplarına kredi yüklerler. Bu kredileri başkalarının hesaplarındaki kredilere aktarımı ile birlikte transfer işlemi gerçekleşmiş olur.

Güvenlik konusunda bu sistemleri kullanan alıcı ve satıcıların bilinçli olması beklenir. Her ne kadar teoride bu durumun böyle olacağı varsayılsa da aslında uygulamada işler farklı şekilde gelişmektedir. Bunun farkında olan bankalar ve aracı kurumlar, yeni güvenli ödeme sistemlerini geliştirmeye ve satıcı ile alıcı arasındaki bilgi güvenliğini tehdit edecek etkenleri minimuma indirmeye yönelik çalışmalar yapmaktadır.

Kurumların E-Ticaret yaparken dikkat etmesi gereken hem teknik hem de sürece dayalı olan birçok güvenlik unsuru vardır. Bu unsurların birçoğunun uygulanmıyor olması, kurumun hukuki sorunlarla karşı karşıya kalmasına neden olabilir.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.