1. ELEKTRONK TCARET (E-TCARET) NEDR?

Bilindii gibi ticaret ifadesi kavramsal olarak mal veya hizmetin satnalnmas ve satlmas ilemlerini kapsamaktadr. Bu srecin elektronik ortamda, Internet zerinde yaplmas E-Ticaret kavramn ortaya karmtr. E Ticaret, mevcut iinizin elektronik ortama aktarlmasdr. Bu bakmdan E-Ticaretin ana hedefi, ticari ilemlerin elektronik ortamda en basit, hzl, verimli ve gvenli ekilde yaplmasdr. rnlerin ve hizmetlerin e-kataloglarda dzenli bir ekilde mteriye sunulmas, sipariin basit bir ekilde alnmas, satn alma ileminin kolaylkla ve gvenlik iinde gerekletirilmesi, ve rn ya da hizmetin en hzl ekilde mteriye ulatrlmas E Ticaretin ana hatlarn oluturur. Ksacas e-ticaret, bir irketin i yapma olanaklarn 24 saat-365 gn devamll iinde btn dnyaya sunmasdr. E-ticaretin amaci mal ve hizmet maliyetlerini dsrmek ve msteriye hizmet zamanlamasi ve kalitesini iyilestirmektir. Yeni ekonomide, bilgi aginda elektronik ticaretin bu ilk adimlari byk bir is stratejisi olarak ortaya ikmaktadir. Bilgisayar teknolojilerindeki ve telekomnikasyon sistemlerindeki gelismeler isin yapilma seklini degistiren yeni uygulamalara kapilari amistir. Bir ok degisik byklkteki firmalar elektronik ticaret stratejisini ya baslatmis durumdalar ya da ok yakin bir gelecekte bunu planlamaktadirlar. Mteri beklentilerindeki mal ve hizmet arzndaki art, i dnyasndaki rekabeti kresel lekte zorlatrmaktadr. adamlar buna uyum salamak iin organizasyonlarn ve alma tarzlarn deitirmekte, firma-mteri-tedariki arasdaki bariyerleri nternet ve E-Ticaret ile kaldrmaktadr. Elektronik ticaret son yillarda dikkatleri zerine ekmesine ragmen, 20 yildan beri esitli sekillerde varligini srdrmektedir. EDI (Elektronik Data Intercharge) ve EFT (Elektronik Funds Transfer) teknolojileri 1970li yillarin sonlarinda kullanilmaya baslanmistir. Kredi karti kullaniminin artmasi, ATM (Automated Teller Machines) makinalarinin yayginlasmasi ve telefon bankaciliginin gelismesi 1980lerde elektronik ticarete yn vermistir. Telefon, faks, televizyon, elektronik fon transferi (EFT), elektronik veri iletiimi (EDI) gibi aralar, halen

ticari uygulamalarda yaygn olarak kullanlmaktadr. rnek olarak, telefonla sipari vererek, kredi kart ile demede bulunmak da tanm gerei bir e-ticaret uygulamasdr. EDI (Electronic Data Interchange) gibi E-Ticaret teknolojilerinin uygulanmas ile irketinizin llebilir bir ekilde ne kazan saladn ve irketinize ne yararlar getirdiini belirlemenize yardmc olacaktr.

EDI sistemi, elektronik iletiim sisteminde satc ve mteri arasnda kat ve i gcne dayal ilikiyi tmyle deitirmektedir. EDI yalnz bana ticari bilgi alveriini standart hale getiren bir metod'dur. Fakat bu gelismelerden hibirisi tek basina Internet kadar elektronik ticaretin gelismesinde byk bir rol oynamamistir. Internet teknolojisi, hizmetler sektrnde global ticaret zerinde derin bir etkiye sahiptir. Bilgisayar yazilimi, eglenceye dnk rnler (Filmler, videolar, oyunlar, mzik ses kayitlari), enformasyon hizmetleri (Veri tabanlari, online gazeteler), teknik enformasyon, rn lisanslari, finansal ve profesyonel hizmetler (Is ve teknik danismanlik, muhasebe, mimari tasarim, hukuki danismanlik, seyahat hizmetleri vs.) elektronik ortamda yapilmaktadir. Bu ticari islemlerde arti deger online olarak gereklesmektedir. Global enformasyon altyapisi, yeni ticari islem sekillerini kolaylastirip, maliyetlerde dramatik dsslere yol aarak, hizmetlerde ve diger alanlarda, ticareti kkten degistirmek potansiyeline sahiptir. E-Ticaret ile daha esnek yapya kavuan, tedarikileri ile daha yakn alan, mterilerinin beklenti ve ihtiyalarna daha hzl cevap veren firmalar da, global lekte deiim yaamaktadr. E-Ticaret, firmalara en iyi tedarikiyi seme ve tm dnyaya sat yapma imkan sunmaktadr.

E-ticaret'in

alma

ekli

yledir

Online mteri, Internet zerinden satcnn Web sitesine girer. Burada bir rn satn almak istediine karar verir ve kendisi hakknda verdii btn bilgilerin ifrelendii

"Transaction Server"a ynlendirilir. Sipariini onaylad anda, bilgiler net zerinden zel bir gei yoluyla demeyi yapan veya demeyi teslim alan bankalarn bu ilemi onayladklar veya reddettikleri Network ileme mekanizmasna ular. Btn bu ilemler 5-7 saniyeden fazla srmez. Gnde bir ka sipari alan satclardan, binlerce sipari alan satclara kadar deiik ihtiyalar karlayacak ekilde farkl deme sistemleri vardr. "Secure Socket Layer" (Gvenli Soket Katman) sayesinde e-ticaret gvenli bir hale gelmitir. Internet birbiri ile balantl bilgisayarlarn oluturduu yapdan mteekkil bir adr. Ancak bu a sadece bir yada bir ka taneden olumayp alarn adir. Bu kresel bilgi sistemi ekil de grld zere sunucu ad verilen bilgisayarlar zerindeki bilgiler sayesinde genilemektedir. Internet teknolojilerinin hzla ilerlemesi ile bu kapsamda ska konu olabilecek dier bir tanm da Intranet ve Extranetdir. Intranet belli bir organizasyona nternet teknolojilerini kullanarak kurulan bilgisayar adr. Bunu bir tr lokal nternet olarak da ifade edebiliriz. Ofis otomasyonlarnn hzla yaygnlat u gnlerde Intranet sayesinde bir organizasyonda iletiim daha hzl ve kolay, koordinasyon imkan daha da artmaktadr. Extranet ise irketlerin kendi aralarnda veya belirli mterileri ile bilgi alveriinde/ticari ilikide bulunduklar ve nc taraflara kapal olan uygulamalardr. Bu uygulamalarda EDI (electronic data interchange) ad verilen bir yntem kullanlmaktadr. EDI, 1990l yllarn ortalarnda ABD ve Avrupada youn olarak kullanlmaya balanmtr.

2.E-TCARETTE TARAFLAR
E ticareti bir mal ya da hizmet reten her tzel kii yapabilir. Bilhassa imalat sektrnde faaliyet gsteren firmalar iin ucuz ve srekli sat getiren bir pazar olarak eticaret tercih edilmelidir. Ayn ekilde lkeye yurtdndan mal ithal eden, ithal ettii mallarn az bulunur olmasna nem gsteren irketler iin eticaret bulunmaz frsattr. nk lkenin her tarafnda, rnleri ile ilgili, mterilerine bkmadan usanmadan yzlerce sayfalk doru bilgi verebilecek 7 gn 24 saat alan bir maazas ve personeli var demektir E-Ticarette taraflar drt ayr balkta incelenmektedir; Firma-Firma : Firmalarn elektronik ortamda tedarikiye sipari vermesi, faturalarn temin etmesi ve bedellerini demesi bu blmde deerlendirilmektedir. 1999 yl verilerine gre; Firma-Firma kategorisindeki ticari ilemler, E-Ticaret cirosunun %90nn oluturmaktadr. Firma-Mteri : WWW teknolojisindeki hzl gelimeler sonucunda ortaya kan Sanal Maaza uygulamalar ile nternette firmalar elektronik ortamda; bilgisayardan otomobile, kitapdan pizzaya birok rnn dorudan tketiciye satn yapmaya balamtr. Firma-Kamu : Firmalar ile kamu kurulular arasndaki ticari ilemleri kapsayan bu blmde kamu ihalelerinin nternette yaynlanmas ve firmalarn elektronik ortamda teklif vermeleri ilk rnekleri oluturmaktadr. E-Ticaretin yaygnlamasn desteklemek amac ile kamunun vergi demeleri, gmrk ilemleri de sanal dnyaya tanmaktadr. Birey-Kamu : Henz yaygn rnekleri olmayan bu kategoride ehliyet, pasaport bavurular, sosyal gvenlik primleri ile vergi demeleri, vb. uygulamalar ile Elektronik Devlete geiin salanmas planlanmaktadr. ngiltere hkmeti, 2005 ylnda tm kamu hizmetlerinin elektronik ortamda yaplabilecei ve Elektronik Devlete geiin tamamlanacan duyurmutur. 2002 ylna kadar ise tm okul ve ktphanelerin nternet balantlarnn salanmas planlanmaktadr. Avustralya da birok kurum internet zerinden servis vermektedir.

2.1. E-Ticaret in lk Adm: E-POSTA (E-Mail)

Elektronik posta, bir bilgisayardan dierine/dierlerine veya bir kiiden dier kiiye/kiilere gnderilen elektronik mesajdr. E-posta ile balayan elektronik iletiim, gnmzde kada dayal klasik yntemlerin yerini almaktadr. nternet ile elektronik mesajlar, birka dakika ierisinde e-posta adresi olan dnyann herhangi bir yerindeki alcsna ehirii telefon tarifesinden daha dk cret ile hzl ve gvenli olarak ulatrlmaktadr. Mterilerinizin veya dier firmalarn size her zaman ve her durumda ulamas, e-posta ile mmkn olabilmektedir. Firmanzn tel ve faks numaralarnn deimesi, tanmanz, tatilde veya seyahatte olmanz e-postalarnzn size ulamasna engel olmamaktadr. 2.2. Firma-Firma E- TCARET Internet ncesinde firmalar arasndaki E-Ticaret, zel veya katma deerli alar zerinden Elektronik Veri Deiimi (Electronic Data Interchange; EDI) ile gerekletirilmitir. Firmalar, i ortaklar/tedarikileri ile arasndaki ticari bilgileri/ilemleri, EDI formatna dnmn salayan zel programlar kulanarak gerekletirmektedir. nternet ile E-Ticaretin Firma-Firma kategorisine altyap oluturan EDI uygulamalar, Web ortamna tanarak maliyetler nemli lde drlm ve etkin olmas salanmtr. E-Ticaret, firmalararas ticarette maliyetlerin azaltlmas ve verimliliin artrlmasnda nemli rol oynamaktadr. Btn aamalarnda (kasa, stok kontrol, vb.) barkod okuyucu kullanan ve ilemlerini elektronik ortamda gerekletiren bir spermarkette, otomasyon ile bilgisayar; envanterdeki rnlerin (raflar, depo) takibini yapmakta, rnlerin sat eilimlerini izlemekte ve gerektiinde sipari vermektedir. Yeni sipariler, bilgisayar a zerinden reticiye otomatik olarak gnderilebilmektedir. Bilgisayar sipari formu hazrladktan sonra, szkonusu bilgiyi otomatik olarak sat, retim, datm ve muhasebe blmlerine gndermektedir. Siparilerin retimi sonunda rnler, fatura ile birlikte spermarkete gnderilmektedir. Bilgisayarlarn otomatik olarak gerekletirdii ilemler sonucunda birok faaliyet iin personel gereksinimi asgari dzeye ineceinden dolay, personel giderlerinde nemli lde

tasarruf salanabilecektir. Bilgisayarlarn hassas ilem yapmas dolays ile spermarketin siparileri de ayn ekilde hasas olaca ngrlmektedir. Bilgisayar destekli titiz ve zamanndaki sipariler ile depo iin ihtiya duyulan alanda azalma olacaktr. Ayrca satn alnan rnlerdeki eilimlerin izlenmesiyle, tketicinin ilgisini ekebilecek yeni rnlerin seimi ve siparii konularnda karar verilmesinde kolaylklar gndeme gelecektir.

2.3. Firma-Mteri E-TCARET: Sanal Maaza

nternet zellikle Dnya Ticaretindeki .com deiimini yakalayan firmalar, sanal dnyada showroom veya maaza aarak yeni mterilere ulamaya almaktadr. Gnde 24 saat / haftada 7 gn ak ve dnyann heryerinde ubesi olan maaza ama/iletme maliyetleri, nternet ile karlayabilecei seviyeye inmitir. nternette alan maazann genel giderlerinin ok dk olmas, dorudan sat fiyatlarna da yansmaktadr. nternet mterilerin firmalara, srekli geri bildirimde bulunma imkan da sunmaktadr. Sanal i dnyasnda maaza amak iin, web sitesinin teknik altyapsnn ve ieriinin oluturulmas ve deme ilemleri iin de sanal POS (V-POS) alnmas gerekmektedir. Muhasebe, stok, vb. ilemleri ile de entegrasyonu salanabilecek Sanal Maazaya Mterilerin gvenli eriimini iin, SSL standart kullanlmaktadr. Satc firma, bir onay kurumundan ald elektronik web sitesi kimlii ile maazasnn sanal dnyadaki kaydn gerekletirmektedir. Mteri ile Satc Firma arasndaki iletiimde gvenlii salayan SSL; internette ulalan adresin gerekten aranan maaza olup olmadn kontrol etmekte ve bilgilerin ifrelenerek gnderilmesini salamaktadr. Satc firma ile banka arasndaki iletiimin gvenlii ise SET protokol ile gerekletirilmektedir. Mteriden SSL ile alnan deme bilgileri (kredi kart), satc firma tarafndan bankaya SET protokol ile ifrelenerek gnderilmektedir. Banka, mterinin hesabnn uygun olmas durumunda, alveriini onaylamakta ve provizyon bilgisini satc firmaya gndermektedir. Satc firma, mterisine sipariin tamamlandn bildirdikten sonra bankaya balanarak alveri tutarn hesabna aktarmaktadr.

3. E-TCARET TAHMNLER
Dnyada firmalararas E-Ticaret; toplam E-Ticaret hacminin %90nn oluturmaktadr. Aslnda ilem says olarak irdelendiinde firma-tketici arasndaki E-Ticaret ilemi ok daha yksektir, ancak, firma-firma arasnda bir seferde yerine getirilen ilemin parasal hacminin bykl yukarda deinilen orann ykselmesine neden olmaktadr. Internet in ticari uygulamalarna genel olarak e-ticaret(e-commerce) denir.

OECD E-Ticaret Tahminleri

Ticari Web Sitelerinin Faaliyet Alanlarna Gre Dalm (%) gsteren tablo

asagida

sunulmutur. Buna gre Yetikinlere ynelik alanlar ncelikli sray alrken onu rezarvasyon ilemleri takip etmektedir. zellikle Internet zerindeki alveri gvenliliin salanmas ile bu orann daha da artacag degerlendirilmektedir.

4. E-TICARETIN FAYDALARI
E-ticaretin ve Internetn klasik ticaret ortam ve yntemlerinden ayran avantajlar aadaki gibi sralanabilir.

Mteri sadakati Karll arttrmak Mteri hizmetleri maliyetlerini azaltmak 24 saat 7 gn sat

Internet dinamiktir. Eklemeler ok ksa srede ve basite yaplabilmektedir. Bilgi srekli olarak dk bir maaliyetle gncellenebilir. Interaktif marketilik stediiniz yere sat / stediiniz yerden alveri :

Satclar, rn ve hizmetlerini tm dnyaya satma imkan bulurken, alclar da sunulan rn ve hizmetler arasndan kolayca seim yapabilirler. Ak a zerinden gerekleen E-Ticaret faaliyetleri, elektronik iletiimi arttrmtr. Bu ise, iletmelere, tm tketicilere ve dier iletmelere daha ucuz ve kolay bir ekilde ulama olana salamaktadr. Pek ok iletme, bu yolla pazarlama a kurmadan rnlerini pazarlayabilmektedir. Self servis alveri Rekabette stnlk / Hizmet kalitesinde art : Satclar, mterilerine daha yakn olduklarndan, rakiplerinden daha ok tercih edilir.

Mteriler de daha kaliteli hizmete kavuur. Elektronik ortamda retim, pazarlama ve datm faaliyetleri maliyetleri drmesi nedeniyle, E-Ticaret iletmelere, ulusal ve uluslararas dzeyde rekabet stnl salamakta ve rekabeti artrmaktadr. Kiiselletirilmi rnleri ucuza mal edebilme / Kiiselletirilmi rnlere ulaabilme Satclar, mterilerinin ihtiyalarn ayrntl ve hzl bir ekilde renebilir, onlara ekonomik fiyatlarla zel hizmet sunabilirler. Mteriler de kendilerine uygun rnlere daha uygun fiyatla sahip olurlar. Araclarn azalmas / htiyaca hzl eriim : E-Ticaret, rn ve hizmetleri, ou kez , reticiden tketiciye aracsz olarak ulatrr. Bu nedenle, maliyet ve zaman asndan hem satc hem de alc avantajldr. Ulusal ve uluslararas ticari ilemlerin elektronik ortamda yrtlmesi zamann etkin kullanlmasn salamaktadr. Bylece rnlerin sipari edilmesi ile teslimi arasnda geen sre asgariye inmekte, zamandan kaynaklanan maliyetler ile stok maliyetleri dmektedir. lem maliyetinden tasarruf / Daha ucuz rn ve hizmetler : Elektronik ortamda yaplan ilemler normal ilemlere oranla ok daha ucuza mal olduundan, hem satc hem de alc nemli lde tasarruf edebilir. Elektronik ticarette ihtiya duyulan belgeler elektronik ortamda hazrlanmakta, bu bilgi ve belgeler ilgililerin kullanmna sunulmaktadr. Bylece, ilemler minimum hata ile ksa bir sre iinde ve krtasiye masraf denmeksizin tamamlanmaktadr. nternet e dayal ETicaret ve elektronik datm sistemleri uluslararas ticareti hzlandrmaktadr. Tketiciler iin ilem maliyetleri ve nakliye masraflar dmektedir. Tketiciler evlerinden kmadan sorun yaamadan ve zaman harcamadan sanal maazalardan alveri yapabilmektedirler. Yeni i imkanlar / Yeni rnler : E-ticaret, mevcut rn ve hizmetler iin pazar yaratmann ve ticaretin yapsn deitirmesinin yansra, birok yeni rn ve hizmeti de beraberinde getirmitir. ETicaret, mal ve hizmet piyasalarnn yapsn deitirmekte, yeni rnler, yeni pazarlama ve datm tekniklerine yol amakta, hzl bir ekilde rn gelitirilmesi, test edilmesi ve mteri ihtiyalarnn tespit edilmesini olanakl klmakta, pazar talebindeki deiikliklere hzla yant verebilmektedir. Tketiciler internet sayesinde, yeni mamul

ve rn bilgilerine kolay ulaabilmekte, bilgi sahibi olmakta ve alternatif rnleri karlatrarak, kolayca satn alabilmektedir. E-Ticaret, ekonomik bir olgu olmasna karn, sosyal ve politik yaam etkilemektedir. Ekonominin bilgi ve bilgiyi ynetme temeline dayanmas, eitim, kltr, salk ve sosyal gvenlik gibi alanlarda internet kullanlmasn yaygnlatrmtr. Bu durum sosyal politikalarn yeniden gzden geirilmesine yol amtr.

5. E_TICARETIN OLUMSUZ YONLERI

E ticaretin olumlu yanlarna karn baz olumsuzluklar da bulunmaktadr. Bunlar; E ticaret, bilim ve teknoloji reten, sratle ekonomik ve toplumsal faydaya dntren gelimi lkeler ile arttracaktr. Elektronik ticaret, bir yandan yeni i alanlar, grev ve unvanlar ortaya karrken, dier yandan da organizasyonlarn yatay ve dikey olarak bzlmesi ve geleneksel ticarette rol alan baz unsurlarn ortadan kalkmas nedenleri ile igc fazlas ortaya kacak, dolays ile isizlik artacaktr. E ticaret, btn ile ele alndnda teknik yaps itibari ile denetime msait bir nitelikte deildir. nternet e girmek, yararlanmak ve eitli olanaklar kullanmak iin herhangi bir yasal formalite, bavuru izni, onay gibi ilemler sz konusu deildir. nternet in hukuki anlamda bir sahibi yoktur. Bu nedenle internet in kullanmnda ortaya kabilecek suiistimalleri, arlklar, usulszlkleri, kural d davranlar denetleyip, yaptrm uygulayacak merkezi bir otoritede bulunmayacaktr. nternet e girmek iin birinci koul bir bilgisayar sahip olmak, ikinci koul bu bilgisayar modem taklmasn salamaktr. nc olarak bir telefon aboneliine ihtiya vardr. Son olarak da bilgisayarn internet ortamna girmesini salayan internet servis salayclar(ISS) vardr. Bunlar internette ilem yapmann balang maliyetini oluturur ve internette ilem yapma maliyetinin yksek olmasna neden olur. endstri toplumu olmadan bilgi toplumu olmaya alan geri kalm ve gelimekte olan lkeler arasndaki refah dzeyi farkn daha da

Elektronik ticaretle birlikte, hem vergi politikas hem de vergi hukuku alannda yeni gelime ve sorunlar ortaya kmtr. Uluslar aras E-Ticarette verginin tahsilat, deme aralarnn gelitirilmesi, gmrk prosedrlerinin basitletirilmesi, E-Ticarete uygun hale getirilmesi nemlidir ve zlmesi zorunludur.

Dier bir finansal sorunu, elektronik fon transferi, elektronik para, kredi kartlar, elektronik deme aralar oluturmaktr. Dnya zerinde internet in gittike yaygnlamas sonucu ticaretin de bu iletiim kanallar ile yaplmaya balamas neticesinde elektronik para (E-Money) bir deme arac olarak kullanlmaya balamtr. E-para, kiide bulunan elektronik bir araca yklenmi mali bir deer veya kiisel fonu ifade eder. Elektronik araca yklenmi olan bu deer, kii arac kullandka azalr ve yklenmi olan deerin bitimi sonucu tekrar deer yklenilmesi gerekir.

Elektronik ticaret ve internet ilemleri ile ilgili bir dier nemli konu yasal dzenleme yetersizlii ve belirsizliidir. Yasal belirsizlik zellikle internet araclyla yaplan ticaretin gelitii lkelerde dzenleme boluu ortaya karmtr. Mevzuat zellikle kamu hukuku alannda yetersiz kalmaktadr ve bu bakmdan da ciddi sorunlarn bu alanda ortaya kabilecei sylenebilir.

Telekomnikasyon altyaps iyiletirilmeli herkesin bu hizmetlerden yararlanmasna imkan tannmaldr. Elektronik ticaretin tm ekilleri zellikle internet zerinden ticaret, iletiim alt yaplar yolu ile bilgi ak salanarak yaplmaktadr. Bu durum internette bir skmaya, dolaysyla da bir problemin ortaya kmasna yol amaktadr.

letiim ve bilgi teknolojileri pazarlarnn rekabete almasnn nndeki engeller kaldrlmaldr. letiim alanndaki teknik standartlar belirlenmelidir. Copyright/Telif Haklari: Bilindigi gibi, internet; film, mzik ve kitap gibi bilgi ve eglence rnleri iin dsk maliyetli bir dagitim kanalidir. Video, compact disk veya kitap gibi bazi rnlerin fiziksel dagitimi yerine internetten indirilmesi (download edilmesi) daha kolay ve ucuzdur. Bu gibi nedenlerle izin ve telif hakki alinmayan rnlerin internet zerinden satisi hizla yayilmaktadir. Sifreleme yntemleri gibi teknolojik gelismeler, korsanligi ve hileciligi nlemeye

yardim etse bile, entelektel sermayenin korunmasi veya bununla ilgili bir sorun iktigi zaman zlebilmesi iin, etkili bir yasal altyapinin olusturulmasi zorunludur.

6.E-TCARETTE

VERGLEME

SORUNU

Globalleme ve teknolojinin gelimesiyle birlikte ortaya kan sorunlarn banda vergileme sorunu gelmektedir. Sermaye ve emein, yksek vergilerin bulunduu lkelerden daha dk lkelere kaymasnn kolaylamas, ok uluslu irketlerin retimlerini birden ok lkede para para gerekletirmeleri, internet ve elektronik ticaretin gelimesiyle birlikte sanal irketlerin ortaya kmas, bu irketlerin yerinin kesinlik gstermemesi, irket ve mterilerin farkl lkelerde olmas ve dolaysyla farkl vergi dzenlemelerine tabii olmas gibi faktrler vergileme sorununa yol aan nedenlerden sadece bazlardr.E-ticarette, vergi idaresi ve denetimi konusunda iki potansiyel soruna dikkat ekilmektedir. Bunlardan birincisi, internetin bilgiye eriimi kolaylatran ve bylelikle vergi denetimini zorlatran bir yaps olduudur. kinci sorun ise, ticari ilemleri gerekletirenin gerek kimliinin ve yerinin saptanmasndaki glklerdir. Gelirler zerinden alnan vergilerde, gelirin kayna ve ikametgah konularnda, tartmalar devam etmektedir. Bu konuda, ABD hkmeti ve OECD farkl grleri savunmaktadr. ABD Hazine Bakanl yaynlad bir raporda, ikametgah esasna dayal vergilendirmenin daha iyi bir yntem olduuna dikkat ekmitir. Raporda, corafi unsurlara (rnein servis salaycnn bulunduu yere) atf yaplmak suretiyle gelirin kaynan belirlemeye alan yaklamlarn temelindeki mantn iletiim teknolojilerindeki son gelimeler karsnda zayflad belirtilmitir. OECD Elektronik Ticaret Vergi Aratrma Grubu tarafndan hazrlanan bir rapora gre; ikametgah esasna dayal vergilendirmenin o kadar kolay olmayaca ifade edilmi, bunun yerine uluslararas bir uzlamann gereklilii vurgulanmtr.

Harcamalar zerinden alnan vergilerle ilgili ana eilimden sz edilmektedir. lk gre gre, internette yaplan alveriler vergi d tutulmaldr. kinci gr, mevcut vergilerin internet zerinden yaplan alverilere de uygulanmasn ancak yeni vergiler konulmamasn nermektedir. Son gr, zellikle bilgisayar alar zerinden sat yaplan saysal rnlerin

vergilendirilmesiyle ilgilidir. Bit vergisi olarak adlandrlan bu vergi ierikten bamsz olarak vergilendirme yapt iin eletirilmektedir.

OECD, bnyesinde yaplan aratrmalar sonucunda, etkin ve uygun bir internet vergilendirmesi iin dikkate alnmas gerekli ilkeleri aadaki gibi sralamtr (Ekin, 1998:119). - Sistem adil olmaldr : Ayn durumdaki vergi deyenler benzer ilemleri yaptklarnda ayn ekilde tutulmaldr. - Kurallara aklk getirmelidir : Bir ilemin vergi sonucu, nceden bilinmeli, vergi veren neyin vergilendirildiini Sistem etkin ve bu olmaldr: vergiyi Vergi nerede kayplar deyeceini asgariye bilmelidir. indirilmelidir. verilmelidir. izlemelidir. vergilendirilmelidir. - Sistem basit olmaldr : Vergi otoritelerinin ynetim masraflar ve itiraz masraflar dk

- Ekonomik sapmalardan kanlmaldr : irket kararlar vergi yaklamlarndan ziyade ticari amalarla gelimeleri - Sistem yeterli lde esnek ve dinamik olmaldr : Vergi kararlar teknolojik ve ticari Elektronik ticaretin bu potansiyelini gren devletler, internet ilemlerinin vergilendirilmesinde, vergi kaybna neden olmayacak fakat, ifte vergilendirme veya haksz vergilendirmeye de yol amayacak dzenlemeleri gerekletirmek iin almalarna devam etmektedirler. Burada belirtilmesi gereken nemli bir husus, bu tr almalarn dier devletlerle birlikte yrtlmesi ve soruna uluslararas ortak bir zmn bulunmas gerektiidir.

7.ELEKTRONK DEMELERDE ORTAYA IKAN SORUNLAR

Yeni teknolojiler, Internet zerinde, mallarin ve hizmetlerin bedellerini islemin yapildigi anda demeyi olasi kilmistir. Elektronik deme yntemlerinden birisi, Internet yoluyla, bilgisayar kullanici arabirimiyle, kredi kartlarini kapsayan mevcut elektronik bankacilik ve deme sistemlerine baglanmaktir. Ayrica elektronik para, akilli (Smart) kart ve diger teknolojiler gelisme halindedir. Elektronik ticaretin temel karekteristiklerinden birisi de aracilara olan gereksinimi ortadan kaldirmasidir. Bankacilik ve benzeri finansal hizmetlerde, zellikle

elektronik para ile demelerin yapilmasi hallerinde aracilara gerek bulunmamaktadir. Gnmzde, nakit, kredi kart ve sat noktasndan fon transferi (EFT/POS) gibi geleneksel deme sistemleri tam kullanl deildir ve bu deme sistemleri, gvenlik veya sistemlerin yeteri kadar etkin olmamas nedeniyle yetersiz kalmaktadr. nternet gibi tam gvenli olmayan ortamlarda, demelerin gvenlii ve bugnk deme sistemlerinin yksek ilem maliyeti gibi problemleri zmek iin yeni deme sistemleri gelitirilmektedir. Geni anlamda, elektronik deme sistemleriyle, bir deme ileminde yer alan alc, satc ve banka arasndaki fon transferinin elektronik cihazlar zerinden yaplmas kastedilirse de, aslnda elektronik deme sistemleri, elektronik para, smart kart ve benzer aralarla yaplan demelerdir. Dijital para, elektronik czdan, akll kart, elektronik para gibi duyduumuz yeni kavramlar, elektronik deme sistemlerinin birer parasdr. Elektronik deme sistemlerinin gelimesi, elektronik ticareti de gelitirecektir. nk, eticaretin hzl geliiminin karsndaki en byk engel olan, gvenli deme sorunu zlm olacaktr. Elektronik deme sistemlerinin gibi baz sorunlar mevcuttur. gelitirilmesinde ve uygulanmasnda, tam zme kavuturulamam; gvenlik, gizlilik, kimlik belirleme, kt amalarla kullanlabilme olasl

7.1 Dijital Para

Dijital para veya e-para bankalar tarafndan baslan say dizisidir. E-paray kullanabilmek iin, hem kullancnn hem de satcnn bir bankada e-para hesabnn olmas gerekir. Banka e-paray ynetmeye ve transfer etmeyi salayan bir yazlm verir. Kullanclar normal hesaplarndaki paralarn e-paraya evirerek yazlma transfer edebilirler. E-para kullancnn hard disk'inde depolanr E-parann ve en harcanana byk kadar burada birisi kodlanm dk biimde tutulur. avantajlarndan aktarm masrafdr.

7.2 Elektronik ek
Elektronik ek, kat ekle hemen hemen ayn zelliklere sahiptir. Aslnda, baz sistemler mterinin Web ierisinde bir form doldurmasn isteyebilir. Bu veri daha sonra satcya

transfer edilerek, bo ek formlaryla kat ek olarak dzenlenir. Bu ek daha sonra bankadan onaylanarak deme ilemi yaplr.

8.INTERNETTE GVENLK
Internet kullanmnn artmasyla beraber bata finansal kurumlar olmak zere birok kurulu ticari ilemlerini Internet'e tamaya balamtr. Bylece bilgilerin herkese ak bir a zerinde dolamasnn yaratt hakl tedirginlik gndeme gelmi, bu konu youn bir ekilde tartlmaya balanmtr. Internet'te gvenlik konusu iki temel balk altnda incelenebilir: 1. Yazlm ve a altyapsndan dolay meydana gelebilecek sorunlar Bu kapsamda Internet'e balandnz servis salayclarn ve kiisel bilgilerinizi verdiiniz kurumlarn bu bilgileri sakladklar ortamlar ve i gvenlikleri ile bilgisayarlarn Internet'e bal olduklar srede maruz kaldklar riskler ve nlemler yer alr. ISS'ler, finansal kurumlar, bankalar ve hizmet verebilmek iin duyarl bilgiler toplamas gereken siteler (elektronik ticaret siteleri, salk danmanl hizmeti veren siteler vb.) mterilerinden aldklar kiisel bilgilerin gvenliini salamak iin gereken altyapy oluturmakla ykmldrler. Bu tr kurulular kendi i alarn Internet yolu ile gelecek tehlikelere kar korumak iin firewall zmleri, virus gateway zmleri gibi teknolojik nlemler almaktadrlar. Bunlara ilave olarak gvenilir kurumlar, veri tabanlarnda tutulan bilgilerden nemlilerini ifrelenmi olarak tutmakta, bu bilgileri ifrelenmi olarak irket iindeki ilemlerde kullanmaktadr. 2. Internet zerinde veri ak srasnda, bilgilerin eitli teknik aklar deerlendirilerek kt amal kullanm iin ele geirilme tehlikesi.Genel bir Internet kullancsnn verebilecei bilgilerin arasnda kendi gvenlii ve mahremiyeti asndan sakncal olabilecek kredi kart bilgileri, kullanc isimleri ifreler, adres ve telefon numaralar bulunmaktadr. Bu bilgiler genellikle, elektronik ticaret veya finansal ilemler (rnein bireysel bankaclk) srasnda Internete alr, ve ele geirilme olaslklar belirir. Elektronik ticaret ve finansal ilemlerin yrtld siteler Internet'ten bilgi alveriini ifreleyerek gerekletirdikleri iin genel olarak gvenlidirler. ifrelenmi bilgi Internet zerinde iletilirken ele geirilse bile, ifrenin

krlmas ok byk bir yatrm ve olduka uzun bir zaman dilimi gerektirdiinden gvenli olduu kabul edilebilir ifreleme amacyla yaygn olarak SSL (Secure Socket Layer) gvenlik standard kullanlmaktadr. Ayrca gvenliin salanmas amacyla yaygn olmamakla birlikte SET (Secure Electronic Transaction) protokol ad verilen ve gvenlii bir kat daha arttran bir sistem de kullanlmaktadr.

9.E-TCARETTE GVENLK SORUNU

Elektronik ticaretin gelimesinin karsndaki en byk engel, gvenlik olarak grlmektedir. nternet zerinden gerekletirilen ticari faaliyetlerde karlaabilecek gvenlik sorunlar unlar olabilir. Alnan A Bilgiyi Giri Bilgi ve yetkisi a Yetkisiz Bilgi hizmetleri hizmetlerinin ve ve gnderilen kesilmesine verilmeyen kaynaklarn kartrmak veya a veya ve kiilere imha a bilgiye kaynaklarna etmek, yeni bilginin kaynaklarnn alnan bilgiyi bozulmasna neden inkar zarar eyler giri, vermek, eklemek, iletilmesi, alnmas, etmek, olmak,

deitirmek,

- - Almad veya gndermedii bilgileri aldn veya gnderdiini iddia etmek. Elektronik Gvenlik kullanclarn girmesine izin veren yazlm veya donanm olarak ticarette gvenlik sorunu, adan incelenebilir. Duvarlar: tanmlanabilir.

Gvenlik duvar , korunmu alara veya sitelere yalnzca belirli zelliklere sahip d

Kullanclar, kullanc ad, ifre, internet IP adresi veya alan ad (domain name) kullanarak sisteme girebilirler. Gvenlik duvar, irket ayla, d internet arasnda bir bariyer oluturur. Yetkili olmayan kiiler, dorudan a ierisindeki bilgisayarlara giremez. Fakat, yetkili i kullanclar, a dndaki internet hizmetlerinden yararlanmaya devam eder. Gvenlik duvar,

a dndan izinsiz girileri nlemek amacyla kullanlabilecei gibi, iletme iinde alanlarn gizli veya stratejik bilgilere ve ulamasn engellemek lem iin de kullanlabilir. Gvenlii:

ifreleme

Bilginin kanallar zerinden iletilmesi srasnda, alnma ve deitirilme riski olmadan alcya gnderilmesi byk nem tamaktadr. Bunun iin, eitli kriptografi yntemleri ve aralar gelitirilmitir. Kriptografi veya kriptoloji (cryptology), gvenli bilgi iletiimi ve/veya saklanmas iin, ifreleme ve ifre zme yntemlerini treten, gelitiren ve inceleyen bir bilim daldr ifreleme ilemiyle, gnderilen bilgi, anlamsz saysal veriye dntrlmekte ve alcya gnderilmektedir. Alc ise, yine anahtar ifreyi kullanarak, anlamsz saysal veriyi zgn haline dntrmektedir. Farkl ifreleme yntemlerine ve ifre altyaplarna sahip kriptografi trleri vardr. Bunlar, farkl matematiksel modelleri, ifreleme ve ifre zme amacyla tasarlanm farkl yazlm ve donanm sistemleri kullanmaktadr.

Gnmzde yaygn olarak kullanlan kriptografi trleri, ak-anahtarl kriptografi ve tek/gizli anahtarl kriptografi olmak zere iki eittir. Gizlilii ve gvenlii salamak amacyla bu yntemlerde kullanlan aralar; dijital sertifikalar, dijital ve elektronik imzalar ve onay kurumlardr. World Wide Web Gvenlii ve nternet Gvelik Protokolleri:

Elektronik ticarette, kullancnn kimliini kar tarafa bildirmesi, kar tarafn da kendi kimliini kullancya bildirmesi nemlidir. zellikle, internet zerinden alveri yaplmasnda ve internet zerinden elektronik deme sistemlerinde gvenlii salamak amacyla eitli internet gvenlik protokolleri gelitirilmitir. Bunlardan yaygn olarak kullanlan SET ve SSL protokolleridir. Bunlarn dnda, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose Internet Mail Extensions), PPTP (Point to-point Tunneling Protokol) ve SOCKSS gibi gvenlik uygulamalar da mevcuttur.

Elektronik ticarette alc ve satc birbirlerini grmeksizin i yaptklarndan karlkl olarak gvenin salanmas iin ek bir takm nlemler almaya ihtiya duyarlar. ncelikle alc ve satc

taraflar birbirlerinin kimliklerinden emin olmak isterler. te bu ihtiya dijital imza ve dijital sertifikalarn gelitirilme nedenidir. Bunlar araclyla iki taraf birbirlerinin kimliinden emin olabilmektedir. Elektronik ticarette alclarn elektronik ticaret sitelerinden alveri yapmak iin vermek durumunda kaldklar kredi kart vb. bilgilerin Internet zerinden iletilirken nc ahslarn eline gemesi riski vardir. Ancak elektronik ticarette kredi kart bilgilerinin bakalarnn eline geme riski gnlk hayattakine gre ok daha azdr. Gnlk hayatta deme yaparken kredi kart bir bakasna verilmekte, bu yzden kredi kartnn zerindeki bilgilerin gizlilii byk oranda ortadan kalkmaktadr. Sanal alveri hizmeti veren firmalar, kredi kart bilgilerinin gvenlii ve gizliliini salamak iin yaygn olarak SSL ve SET gibi gvenlik standartlarn kullanmaktadrlar. Kullanc, iyeri ve banka arasndaki veri ak srasnda bilgilerin ifrelenerek aktarlmas esasna dayanan gvenlik sistemleri sayesinde bilgilerin baka bir kiinin eline gemesi durumunda zlebilmesi (yani kullanlabilmesi) nlenir. Bylece kart bilgilerinin gizlilii ve alveriin gvenlii salanm olur.

SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi gvenli bir ekilde "sadece" doru kiiye iletilir ve bilgiyi gnderen bilgisayar ile alan bilgisayar arasnda gvenli bir veri iletiimi kurulur. Bylece, kredi kart numaras, isim, adres vb gibi bilgiler gvenli olarak iletilir. nternet zerinde alveri yaplan tm merkezlerde alveri yaplrken bu tip gvenlik sistemleri kullanlr. 128 bit ifreleme algoritmalar kullanan bu sistemler, e-ticaret iin gerekli "gvenli iletiim" ortamn salarlar. Web zerinde browser ile sunucu arasndaki haberlemeleri kriptolamada SSL (Secure Sockets Layer) dominant bir protokoldr. SET (Secure Electronic Transactions) ise kredi-kart-tabanl transferlerde koruma salamay amalayan bir protokoldr.

nternette alveri yaparken, deme ekranlarnda ncelikle kredi kart ve ahsi bilgilerinizi paylatnz ortamlarn sayfa almlarnn "http:// " yerine "https://" ile balamasna dikkat etmek gerekir. Normal artlarda bu tip sayfalara ulatnzda gvenli sayfalara erimektesiniz gibi bir uyar notu grntye gelir. Sayfa alnca da ekrannzn alt blmnde bir asma kilit grnr. ncelikle bu asma kiliti tklayarak, szkonusu gvenli sayfann kime ait olduunu kontrol edin. Normal artlarda szkonusu sayfann alveri yaptnz firmaya ait olmas gerekmektedir.

10. SSL (Secure Socket Layer)

SSL teknolojisi TCP/IP protokol zerinden alan, web sunucusu ve web taraycs arasndaki tm bilgi akn koruyan bir gvenlik protokoldr. Btn popler web tarayclarda ve web sunucularda uygulanmaktadr. Bugnn web zerinden elektronik ticaret ve elektronik i uygulamalarnda nemli bir rol vardr. SSL protokol iki taraf arasnda gvenli ve gizli iletiimin salanmasnda elektronik kimlik belgelerini kullanr. SSL balants zerinden gnderilen veriler nc ahslar tarafndan bozguna uratldnda, bundan taraflarn annda haberi olur. Bu sistemde kredi kart bilgileri SSL teknolojisiyle ifrelendikten sonra online olarak bankaya yollanmaktadr ve bilgiler alveri yaplan maaza alanlar tarafndan grlememektedir.

10.1 SSLin Tarihesi

SSL 1994 ylnda Netscape Navigator browser`nn ilk srm ile tantld. Navigator`un haberlemeyi kriptolayabilmesi Netscape`in seilmesinde ana etkendi. Ayn yl ierisinde CommerceNet ad verilen i gruplar koalisyonu tarafndan S-HTTP adnda rakip bir kriptografik protokol sunuldu. S-HTTP ve SSL tarafndan kullanlan kriptografik ilkeler ayn olsa da (dijital zarflar, imzal sertifikalar, mesaj zetleri) aralarnda iki nemli fark vard: 1) S-HTTP sadece web protokolleri ile alacak ekilde dizayn edilmiti. 2) SSL popler olan cretsiz bir browser ierisinde bulunuyordu. S-HTTP ise kullanclarn satn almak zorunda olduu NCSA Mosaic`in modifiye edilmi bir srmnde bulunuyordu. SSL ksa sre ierisinde web zerinde baskn gvenli protokol oldu ve S-HTTP unutulmaya yz tuttu.

SSL`in adet srm vard. SSL 1, Netscape ierisinde dahili olarak kullanld ve baz ciddi hatalar ierdiinden piyasaya srlmedi. SSL 2.0 Netscape 1.0 ile 2.x srmleri ierisine dahil edildi fakat 'man-in-the-middle' saldrlar ile ilgili baz zayflklar ieriyordu. Ek olarak iki niversite rencisi Netscape`in rastgele say reticisindeki bir aktan yararlanarak SSL 2.0` dakikalar ierisinde krd.

SSL`in gvenlii konusunda oluan endielerden yararlanmak isteyen Microsoft 1996 ylnda Internet Explorer`n ilk srmnde rakip protokol PCT`yi sundu. Netscape karlk olarak 2.0 daki problemlerin giderildii ve (Diffie-Hellman anonim anahtar deitokuu ve Fortezza akll kart destei gibi) yeni zelliklerin eklendii SSL v3.0` sundu. Bu noktada Microsoft geri adm atarak Internet yazlmlarnn tm srmlerinde SSL`i desteklemeye karar verdi (geriye uyumluluk iin halen PCT destei bulunuyor). SSL v3.0 Netscape Navigator 3.0 ve yukars srmlerde ve Internet explorer 3.0 ve yukarsnda bulunuyor. Gnmzde ticari web sitelerini ziyaret eden kullanclar kt niyetli kiilerin varlndan dolay bazen kredi kart veya banka hesap numaras gibi bilgileri web sitesine vermekten ekinirler. Bir web server gvenlik zellii olarak gelitirilen Gvenli Soketler Katman(SSL) 3.0 protokol gvenlii salar ve kullanclarla "encrypt" edilmi bir balant kurmaya olanak salar. SSL snrlandrlm web sitelerine erien kullanclarn kimliini gvenilir bir ekilde kantlyorken web ieriinizin authenticity (doruluunu) garanti eder. SSL 3 temel tipte gvenlik salar:

Server authentication : Bir SSL balants kurulduunda ve gvenli iletiim sinyali gzktnde, gerekten URL'nizde belirlediiniz emin sunucuya balandnzdan olabilirsiniz.

Encryption ile gizlilik salama: SSL kullanarak istemci ve sunucu arasnda gvenli bir balant kurabiliyoruz. HTTP kullanarak istemci ve sunucu arasnda iletilen bilgi encrypt edilemez. iletilen Bu bilgi nedenle yetkilendirilmemi istemci ve sunucu tarafndan arasnda grlebilir. eriimler

Verilerin btnl: SSL kullanan bir gvenli balant , bir gvenli HTTP sunucudan aldnz olmasn garantiler. verilerin sunucu tarafndan size yollanan veriler ile ayn

1996 ylnda 3.0 versiyonunun karlmasyla hemen btn Internet tarayclarnn (Microsoft Explorer, Netscape Navigator vb) destekledii bir standart haline gelmi ve ok geni uygulama alanlar bulmutur. SSL, gnderilen bilginin kesinlikle ve sadece doru adreste deifre edilebilmesini salar. Bilgi gnderilmeden nce otomatik olarak ifrelenir ve sadece doru alc tarafndan deifre edilebilir. Her iki tarafta da dorulama (authentication, iki bilgisayarn karlkl olarak birbirini tanmas) yaplarak ilemin ve bilginin gizlilii ve btnl korunur. Bilgisayarlarn birbirlerini "tanma" ilemi, ak-kapal anahtar tekniine (public-private key encryption) dayanan bir kripto sistemi ile salanr. Bu sistemde, iki anahtardan oluan bir anahtar ifti vardr. Bunlardan ak anahtar (public key) herkes tarafndan bilinebilen ve gnderilen mesaj "ifrelemede" kullanlan bir dijital anahtardr. Ancak, ak anahtar ile ifrelenen mesaj sadece bu anahtarn dier ifti olan "kapal anahtar" (private key) ile alabilir (deifre edilebilir). Kapal anahtar da, sadece sizin bildiiniz bir anahtar olduundan, mesaj gvenlii salanm olur. rnek olarak, size mesaj gndermek isteyen birine kendi ak anahtarnz gnderirsiniz. Kar taraf bu anahtar kullanarak mesajn ifreler ve size gnderir. ifrelenen mesaj, sadece sizde olan ikinci bir anahtar (kapal anahtar, private key) zebilir ve bu anahtar sadece siz bilirsiniz. Veri aknda kullanlan ifreleme ynteminin gc kullanlan anahtar uzunluuna baldr. Anahtar uzunluu bilginin korunmas iin ok nemlidir. rnein; 8 bit zerinden bir iletimin zlmesi son derece kolaydr. 8 bit ise sadece 28=256 olas farkl anahtar ierir. Bir bilgisayar bu 256 farkl olasl sra ile inceleyerek bir sonuca ulaabilir. SSL protokolnde 40 bit ve 128 bit ifreleme kullanlmaktadr. 128 bit ifrelemede 2128 deiik anahtar vardr ve bu ifrenin zlebilmesi ok byk bir maliyet ve zaman gerektirir. Kt niyetli bir kiinin 128 bit'lik ifreyi zebilmesi iin 1 milyon dolarlk yatrm yaptktan sonra 67 yl gibi bir zaman harcamas gerekir. Bu rnekten anlald gibi SSL gvenlik sistemi tam ve kesin bir koruma salar. Anahtarlar retilirken kullanlan baz popler algoritmalar olarak, DES (Data Encryption

Standard), RSA, IDEA verilebilir. Bunlardan RSA'nn RC4 algoritmas (128 bit ifreleme olarak) Netscape ve Internet Explorer'da da kullanlan bir algoritmadr. stemci bilgisayar, SSL destekleyen bir sunucuya baland anda, (bu, https:// ile balayan URL satrlar ile gerekleir) dorulama ilemi balar. stemci, kendi ak anahtarn sunucuya gnderir. Sunucu ise, bu anahtar kullanarak ifreledii bir mesaj istemciye geri gnderir. Bir sonraki admda istemci sadece kendinde olan kapal (private) anahtar kullanarak gelen ifreli mesaj zer ve sunucuya geri gnderir. mesaj ieriinin yolda herhangi bir ekilde deitirilme olaslna kar olarak da saysal imza ile imzalanr ve ifreli mesaj imzasyla birlikte gnderilir veya alnr.Mesaj alan sunucu ise, bunu kendisinin gnderdii orijinal mesaj ile karlatrr ve eer iki mesaj "ayn" ise "dorulama" ilemi baaryla tamamlanmtr ve sunucu bu noktadan itibaren "doru bilgisayarla/kiiyle" iletiimde olduunu anlar. Daha sonra sunucu istemciye o an gerekleen web oturumunda kullanlacak tm nemli anahtarlar gnderir ve gvenli iletiim balar. Bu yntem sayesinde SSL web zerindeki iletiimde hem transfer edilen bilginin gizliliini ve btnln salamakta , hem de istemci ve sunucunun kimliklerini dorulamaktadr. Daha sonra SSL balants kurulur ve sunucu-kullanici arasndaki tm veriler nc ahslarn mesaj okumasn nlemek amacyla ifrelenir, SSL / Sunucu Kimlik Dorulamas olarak adlandrlan bu ilemlerin amac kullancya baland sitenin gerekten balandn dnd site olduunun ve sunucuya gnderilen bilgilerin gerekten de sadece o sunucu tarafndan okunabileceinin spatnn salanmasdr. Kullanc bundan emin olmak iin SSL balants sresince sunucudan gelen her bilgiyi web sayfasnn gvenlikle ilgili zelliklerine bakarak kontrol etmelidir. Eer yabanc veya farkl bir sunucunun kimliiyle karlalrsa balanlan sunucu balanld sanlan sunucu deildir ve iletiimin gvenlii tehdit altndadr. SSL, web sunucusunu tanmak iin, dijital olarak imzalanan sertifikalar kullanr. Sertifika, aslnda, o organizasyon hakknda baz bilgiler ieren bir veri dosyasdr. Ayn zamanda da, kuruluun ak-kapal anahtar iftinin "ak" anahtar da sertifika iinde yer alr. Sunucu sertifikas da, o sunucuyu ileten kuruma ait bilgiler ieren bir sertifikadr.

10.2 SSL karakteristikleri

SSL`in transport katmannda bulunmasnn ana sebeplerinden biri spesifik olarak HTTP protokol iin yaplmam olmasdr. Bu zellik SSL`e esneklik ve protokol bamszl salamaktadr.Ufak snrlamalardan biri SSL balantsnn dedike/zel bir TCP/IP soketi kullanmas gerektiidir. Bir web sunucusu SSL modunda altnda kriptolanm haberlemeler iin ayr bir a portu (genelde port 443) kullanr. SSL`in nemli zelliklerinden biri simetrik kriptolama algoritmas, mesaj zeti fonksiyonu ve kimlik tanlama metodlar seimindeki esnekliidir. SSL simetrik kriptolama iin DES (CBCcipher block chaining modunda), triple-DES, RC2 veya RC4 kullanabilir. Mesaj zetleri iin MD5 veya SHA hash algoritmalarn kullanabilir. Kimlik tanlamas iin RSA ak anahtarlar ve sertifikalarn kullanabilir veya Diffie-Hellman anahtar deitoku algoritmas kullanarak anonim modda alabilir. Kriptolama algoritmalar iin eitli anahtar uzunluklar kullanlabilir. Simetrik kriptolama algoritmas, mesaj zeti metodu ve kimlik tanlamann kullanlmasndaki kombinasyonlar 'ifreleme takm' olarak bilinir. Aadaki liste SSL tarafndan Takm desteklenen Gc SSL Srm v2.0, v3.0 v2.0, v3.0 v2.0, v3.0 v3.0 v2.0, v3.0 v2.0, v3.0 v2.0, v3.0 v3.0 v2.0, v3.0 v2.0, v3.0 ifreleme Tanm CBC modunda 3DES, MD5 hash, 168-bit oturum anahtar CBC modunda 3DES, SHA hash, 168-bit oturum anahtar RC4, MD5 hash, 128-bit anahtar RC4, SHA hash, 128-bit anahtar CBC modunda RC2, MD5 hash, 128-bit anahtar CBC modunda DES, MD5 hash, 56-bit anahtar CBC modunda DES, SHA hash, 56-bit anahtar CBC modunda DES, SHA hash, 40-bit anahtar Export seviyesi RC4, MD5 hash, 40-bit anahtar Export seviyesi RC4, MD5 hash, 40-bit anahtar takmlarn listelemektedir:

DES-CBC3-MD5 ok Yksek DES-CBC3-SHA ok Yksek RC4-MD5 Yksek RC4-SHA Yksek RC2-CBC-MD5 Yksek DES-CBC-MD5 Orta DES-CBC-SHA Orta EXP-DES-CBC- Dk SHA EXP-RC4-MD5 EXP-RC2-CBCMD5 Dk Dk

EXP-RC2-CBCMD5 NULL-MD5 NULL-SHA

Dk -

v2.0, v3.0 v2.0, v3.0 v3.0

CBC modunda export seviyesi RC2, MD5 hash, 40-bit anahtar Kriptolama yok, MD5 hash, sadece kimlik tanlama Kriptolama yok, SHA hash, sadece kimlik tanlama

Bir SSL istemcisi sunucu ile ilk balant kurduunda ikisi bir ifreleme takm zerinde anlarlar. Genel olarak, ikisininde sahip olduu en gl kriptolama metodunu seerler. Eer sadece 40-bit oturum anahtarlarn destekleyebilen export-srm bir browser bu tip bir snrlamas olmayan bir sunucuya balanmaya kalkarsa, sunucuda 40-bit ile haberleecektir. Benzer olarak, yine bu tip bir snrlamas olan istemci ile haberleirken 1024-bit anahtarndan 512-bit RSA ak anahtar tretecektir.

SSL veri sktrmay dahili olarak desteklemektedir. Bu da bir mesaj kriptolandktan sonra sktrlamayaca iin nemli bir zelliktir.

10.3 SSL ilemleri

Protokoln amac sunucunun kimliini tanlamak (seime bal olarak, istemcinin kimlik tanlamasnn yaplmas) ve hem istemci hemde sunucunun kriptolanm mesajlar gnderebilmede kullanabilmesi iin gizli simetrik anahtar belirlemesidir. lemin admlar ksaca yledir: 1. stemci (rnekte browser) sunucu portuna bir balant aarak 'ClientHello' mesaj gnderir. 'ClientHello' istemcinin kulland SSL srm, destekledii ifreleme takm ve destekledii veri sktrma metodlar gibi bilgileri ierir. 2. Sunucu 'ServerHello' mesaj ile cevap verir. Sunucu setii ifreleme takm ve veri sktrma metodunu ieren ve balanty tanmlayan oturum ID`sini ieren bir mesaj gnderir. ifreleme takm ve sktrma metodlarnn seiminden sunucu sorumludur. Eer istemci ve

sunucu arasnda seimlerde bir uyum salanamazsa sunucu 'handshake failure' mesaj gnderip balanty kapatr. 3. Sunucu sertifikasn gnderir. Eer sunucu sertifika-tabanl kimlik tanlamas kullanyorsa sunucu imzal X.509v3 site sertifikasn gnderir. Eer sertifika root olmayan bir sertifika otoritesi tarafndan imzalanmsa, sunucu ana sertifika otoritesine kadar olan imzal sertifikalar zincirini de gnderir. 4. Sunucu istemci sertifikas istei gnderir (seime bal). Eer istemci kimlik tanlamas iin istemci sertifikalar kullanlyorsa sunucu istemciye sertifika istei mesaj gnderir. 5. stemci sertifikasn gnderir (seime bal). Eer sunucu istek yaptysa, istemci imzal X.509v3 istemci sertifikasn gnderir. Eer istemcinin sertifikas yoksa 'no certificate' alarmn gnderir. Sunucu bu noktada 'handshake failure' ile balanty iptal edebilir yada devam edebilir. 6. stemci 'ClientKeyExchange' mesaj gnderir. Burda simetrik oturum anahtar seilir. Detaylar seilen ifreleme takmna gre deiir fakat tipik bir durumda istemci iyi bir rastgelesay reteci ile 'pre-master secret' yaratr. Bu anahtar her iki tarafta da oturum anahtar olarak kullanlacak gerek anahtar yaratmada kullanlr (farkl simetrik ifreler farkl anahtar uzunluklar kullandndan oturum anahtar direk olarak yaratlmaz). Browser dijital zarf yaratmak iin bu anahtar sunucunun (sertifikasndan ald) RSA ak anahtar ile kriptolar. Sonrasnda zarf sunucuya gnderilir. 7. stemci 'CertificateVerify' mesaj gnderir (seime bal). Eer istemci kimlik tanlamas kullanlyorsa, istemci doru RSA zel anahtarn bildiini gstererek sunucuya kimlik tanlamasn gerekletirmesi gerekir. 'CertificateVerify' mesaj (aradaki konumay dinleyen birisinin mdahele etmesini zorlatracak ekilde eitli yollarla deitirilen) 6. admda yaratlan premaster anahtar ierir. Anahtar istemcinin RSA zel anahtar ile imzalanr ve sunucuya gnderilir. Sunucu istemcinin sertifikas ile bunu kontrol eder. Burada sunucunun kimliini tanlamas gerekmediine dikkat edilmeli. stemci premaster anahtarn sunucunun ak anahtarn kullanarak gnderdii iin sadece sunucunun sertifikasnn sahibi bunu dekriptolayp kullanabilir. 8. Hem istemci hemde sunucu 'ChangeCipherSpec' mesaj gnderir. Bu mesaj istemci ve sunucunun kararlatrlan simetrik ifre ve oturum anahtar ile haberlemeye balayabileceklerini onaylayan basit bir mesajdr.

9. Hem istemci hemde sunucu 'finished' mesaj gnderir. Bu mesajlar o ana kadarki tm konumann tam olarak alnd ve yolda deitirilmediini onaylamada kullanlacak olan MD5 ve SHA hash`lerini ierir. Bu noktada hem istemci hemde sunucu her iki tarafa doru olan trafii oturum anahtar kullanarak simetrik olarak kriptolamak iin kriptolama moduna geerler. Yukarda belirtilen 9 adma ek olarak SSL 3.0 sunucular iin ek bir ilem vardr. 3. admda sertifikasn gndermek yerine sunucu 'ServerKeyExchange' mesaj gnderir. Bu sunucunun bir sertifika gndermeden bir oturum anahtar belirlemek iin kullanlr. Bu aadaki durumlardan herhangi 2.Sunucu Fortezza birinde akll kart gerekleebilir: kriptolama takmn kullanyorsa 1. Sunucu anonim Diffie-Hellman anahtar deitokuu protokoln kullanyorsa 3. Sunucunun sadece imza iin zel anahtar varsa (mesela bir DSS anahtar) Bu senaryolarn en ilginci Diffie-Hellman anahtar deitokuu algoritmas kullanmdr. Bu durumda istemci ve sunucu bibirlerini tanmadan paylalan oturum anahtar belirler. Sertifika deitokuu olmadndan etkileim tamamen anonimdir. Bu ayn zamanda ilemin man-inthe-middle saldrsndan etkilenebilecei anlamna da gelir.

11. SET (Secure Electronic Transfer)

SET; Internet zerinden gerekletirilen parasal ilemlerin gvenliini salamak iin gelitirilmi teknik bir standarttr. 1 ubat 1996da VISA ve MasterCard herkese ak

bilgisayar alar zerinde kredi kart gvenliini salamak zere, ortak bir standart gelitirmek iin ibirlii yapacaklarn duyurdular. Bu ortak giriimin kararlatrlmasndan nce bu konuda MasterCard ve VISAnn ayr ayr gelitirmeye alt kurallar bir yana braklarak, almalar, SETin ortak bir standart olarak hayata geirilmesi zerine ynlendirildi.Internet zerinden kredi kart ile yaplan deme sistemleri arasnda tm dnyann kabul ettii mevcut en gvenli standart olan SET protokol, banka kartlar ve demeler ile ilgili bilgilerin gvenliini salamak amacyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign'n katlmyla oluan bir konsorsiyum tarafndan gelitirilmitir. SET uyumlu ilk alveri, 18 Temmuz 1997'de San Francisco'da yaplan tantmla spanya ve Singapur'da bulunan sanal maazalardan gerekletirilmitir. Aralk 1997de VISA ve MasterCard ortak bir giriimle, SET Secure Electronic Transaction LLC SETCo isimli bir organizasyon kurdular. SetConun kurulu amac, SET protokolnn gelitirilmesi aamasnda almalar yrtme ve ynlendirme ilevlerinin salanmas ve bunun yansra, SETin hayata geirilmesi iin gerekli dier nemli fonksiyonlarn gerekletirilmesiydi. American Express firmasnn tam yelii iin grmeler de ayn dnemlerde balatld. SETCo SET standardn ynlendiren, yazlm uyum testlerini yrten ve SETin dnya apnda yaygn bir deme standard olarak kabul grmesi iin aba gsteren bir organizasyon olarak faaliyetlerini srdrmektedir. SETCo yesi irketler SET protokolnn gelitirilmesi iin, finans kurulular, ticarethane sahipleri, kredi kart sahipleri ve yazlm reticileriyle yakn ibirlii iinde bulunmakta ve SETin en kapsaml e-ticaret deme zm olarak benimsenmesi iin almaktadrlar. SETin evrim-ii gvenlik zmlerine getirdii en nemli katk, saysal sertifikalarn kullanlmasdr. SET, her mteriye bir elektronik czdan verilmesini ngrr. Elektronik czdan, mteriye ait kredi kart numaras ve saysal sertifika gibi hesap bilgilerini ieren bir dosyadr. Elektronik czdana sahip bir kullancnn deme ilemi ve teyidi, mteri, ticarethane ve mterinin bankas arasnda tamamen saysal sertifika ve saysal imzann kombine ekilde kullanmyla gerekletirilir. Bu sayede, ilemin kiiye zel ve gvenilir olmas gvence altna alnm olur. SET, alveri ilemi srasnda deme bilgisi gizliliini, kart kullancsnn gerek kart sahibi olduunu ve iyerinin banka ile anlamal bir iyeri olduunu garantiler. Ak Anahtar

ifrelemesini (Public Key Cryptography) ve DES (Data Encryption Standard), RSA (Rivest, Shamir, Adleman) ifreleme metotlarnn birleimini kullanan SET protokolnde alveri, sanal czdan ve sertifika aracl ile daha gvenli bir ortamda gerekletirilir. . SET, kredi kart ile yaplan online demelerde, bilgilerin internet zerinden aktarmnda gizlilik ve gvenlik entegrasyonunu salar. SET protokol sadece mteri (rn siparii veren kredi kart sahibi) ile sanal dkkan (e-dkkan) ve kredi kart irketi arasndaki deme fazn ifreler. Ayn zamanda kredi kart ve sipari bilgileri farkl olarak ifrelendiinden kredi kart bilgilerinin maaza tarafndan grlmesini engellemektedir.

SET sisteminde provizyon ilemi mteri alveri seimini yaptktan sonra mterinin sanal czdan ile maazann Sanal POS'unun (V-POS) birbirlerinin gerekliklerini dijital sertifikalar araclyla kontrol etmeleri ile balar. Maazann Sanal POS yazlm sipari tutarn ve sanal czdanda bulunan ve alveri iin seilen kredi kartnn sertifika bilgilerini bankaya iletmesi ile devam eder. Banka yaplan alveriin ieriini (maln ne olduu, ka tane alnd vb.) grmeksizin provizyon verir. Mterinin kredi kart bilgilerini grmeyen sanal maaza ise bankadan gelecek onay bekler. Onay aldktan sonra da rn alcsna gnderir. SET sistemi de SSL'de olduu gibi kullanc, iyeri ve banka arasndaki veri ak srasnda bilgilerin ifrelenerek gnderilmesi esasna dayanr. Bu sistemden faydalananabilmek iin kullanlmak istenen kredi kartnn SET uyumlu olmas gerekir. SET protokoln kullanmak isteyen kredi kart sahipleri iki n koulu yerine getirmek zorundadrlar: ncelikle kullanmak istedikleri her bir kredi kart iin sertifikasyon kurumu (Certificate Authority) ayr birer SET sertifikas almaldrlar. Ardndan kart sahipleri yine kredi kart veren bir bankadan sanal czdan ad verilen bir program alp bilgisayarlarna yklemeli ve bu ykleme srasnda SET sertifikal kredi kartlarn programa tantmaldrlar. SET uyumlu alveriler sanal czdann ykl olduu bilgisayar kullanlarak SET uyumlu maazalardan yaplabilecektir. Sanal czdan program en fazla kez yklenmek zere yazldndan en fazla bilgisayarda kullanlabilecektir. SET protokolnn SSL'e gre ok daha yksek denebilecek gvenliine ramen yeterince yaygnlaamamas sanal czdann mobilitesinin olmamasna balanabilir. Sanal maazalar ise Sanal POS (Point of Sale) olarak adlandrlan V-POS yazlmn

ykledikten sonra bir sertifikasyon kurumundan dijital bir sertifika alarak alverilerin gvenliini salarlar.

SET ile gerekleen alveri srasnda gerekleen ilemler srasyla aadaki gibidir: SET protokol, kart sahibi Internet zerinde aratrmasn tamamlayp seimini yaptktan ve sipariini verdikten sonra devreye girmektedir. SET ileminin balamasndan nce kart sahibi sipari formunu doldurmu ve onaylam olmaldr. Kart sahibi ayrca kart trn de semi olmaldr. 1. Kart sahibinin yazlm satc firmaya kullanlacak kredi kartn belirten ve deme altyapsn salayan kuruluun sertifikal ak anahtarnn kopyasn isteyen bir mesaj gnderir. 2. Satc firmann yazlm mesaj aldnda, sadece o mesaja zel bir ilem tanmlama numaras belirler. Daha sonra bu zel tanmlama numarasyla beraber kart sahibine satc firmann ak anahtarn ve deme altyapsn salayan kuruluun (genelde bankalar) onayl ak anahtarn gnderir.

3. Kart sahibinin yazlm satc firmann ve deme altyapsn salayan kuruluun sertifikalarn kontrol eder ve sipari srecinde kullanmak zere bunlar kaydeder. Kart sahibinin yazlm sipari bilgisini ve deme talimatlarn oluturur. Yazlm satc firma tarafndan belirlenen zel tanmlama numaras ile sipari bilgisini ve deme talimatlarn ilikilendirir. Bu tanmlama daha sonra satc firma tarafndan deme talebi yapldnda, deme altyapsn salayan kurulu tarafndan sipari bilgisini ve deme talimatlarn ilikilendirmede kullanlacaktr.

4. Kart sahibinin yazlm sipari bilgisi ve deme talimatlar iin bir dijital imza oluturur. Yazlm daha sonra deme altyapsn salayan kuruluun ak anahtarn kullanarak dijital olarak imzalanan deme talimatlarn ifreler. Son olarak yazlm imzalanm ve ifrelenmi sipari bilgisini ve deme talimatlarn bir mesajla satc firmaya gnderir.

5. Satc firmann yazlm siparii alr ve kart sahibinin ak anahtar zerindeki dijital sertifikay kontrol eder. Bundan sonra gene bu ak anahar kullanarak sipariin gerekten kart sahibinden geldiinden ve mesajn gnderim esnasnda deitirilmediini teyit eder (Satc firma deme talimatlar deme altyapsn salayan firmann ak anahtar ile ifrelendii iin deifre edemez).

6. Bu ilemlerin ardndan satc firmann yazlm deme onay istenmesi de dahil olmak zere siparile ilgili ilemlere balar (ltfen 9. Maddeye baknz)

7. Sipari bilgisi ileme alndktan sonra, satc firmann yazlm bir cevap mesaj hazrlar ve dijital olarak imzalar (satc firmann onayl ak anahtar ile). Kart sahibinin sipariinin alndnn ve ileme konulduunun bildirilmesi amacyla hazrlanan cevap mesaj kart sahibine gnderilir.

8. Kart sahibinin yazlm satc firmadan cevap mesajn ald zaman dijital sertifikasn kontrol eder. Bunun ardndan bu mesaj kullanarak kart sahibine bir teyit mesaj gsterir veya sipariin durumunu gnceller.

9. Kart sahibinden gelen siparilerin ileme konulmas esnasnda (ltfen 6. maddeye baknz) satc firmann yazlm denmesi talep edilen tutar, sipari bilgisindeki ilemi belirleyen zel tanmlama numarasn ve ilemle ilgili dier bilgileri ieren bir deme onay talebini hazrlar ve bu mesaj dijital olarak imzalar. Ardndan bu talep deme altyapsn salayan kuruluun ak anahtar kullanlarak ifrelenir. Satc firmann deme onay talebi ve kart sahibinin ifrelenmi deme talimatlar deme altyapsn salayan kurulua gnderilir.

10. deme altyapsn salayan kurulu onay talebini ald zaman satc firmadan gelen onay talebini kendi gizli anahtarn kullanarak deifre eder. Ardndan satc firmann ak anahtar zerindeki dijital sertifikay kontrol eder ve sertifikann geerlilik srerisinin dolup dolmadn belirler.

11. deme altyapsn salayan kurulu kart sahibinin satc firmadan gelen onay talebiyle

birlikte gnderilen deme talimatlarn kart sahibinin ak anahtarn kullanarak deifre eder. Ardndan bu ak anahtar kullanarak kart sahibinin deme talimatlar zerindeki dijital imzasn kontrol eder ve bylece deme talimatlarnn kart sahibi tarafndan imzalandndan ve iletim esnasnda deiiklie uramadndan emin olur.

12. deme altyapsn salayan kurulu satc firma tarafndan gnderilen ilem tanmlaycs ile ile kart sahibinden gelen deme talimatlarndaki tanmlar karlatrarak her ikisininde ayn olup olmadn kontrol eder. Kontroln ardndan deme altyapsnn salayan kurulu, kredi kartn veren bankaya Internet zerinden almayan bir deme sistemiyle bir onay talebi gnderir. 13. Kart veren banka onay talebini ileme alr ve deme altyapsn salayan kurulua gvenli deme sistemi araclyla bir cevap gnderir.

14. Onay cevabn aldktan sonra deme altyapsn salayan kurulu kart veren bankann cevabn ve onayl ak anahtarn ieren bir onay cevap mesaj yaratr ve dijital olarak imzalar. Cevap satc firmann ak anahtarn kullanarak ifrelenir ve satc firmaya gnderilir. 15. Satc firmann yazlm deme altyapsn salayan kurulutan onay cevabn ald zaman kendi gizli anahtaryla deifre eder. Ardndan deme altyapsn salayan kuruluun ak anahtar zerindeki dijital sertifikay kontrol eder ve bu ak anahtar kullanarak deme alyapsn salayan kuruluun onay cevap mesajndaki dijital imzay kontrol eder. Satc firmann yazlm, sipari tamamen yerine getirildikten sonra deme talebinde bulunulabilmesi iin (gn sonu ilemi ile) bu onay cevap mesajn kaydeder.

16. Satc firma onay cevabn aldktan sonra kart sahibinin siparii tamamlar ve ilgili rn sevkeder veya szkonusu hizmeti verir.

17. Siparii yerine getirdikten sonra satc firma deme talebinde bulunur (Sipariin tamamlanmas esnasndaki gecikmeler onay talebi ile deme talebi mesajlar arasnda nemli zaman aralklar olumasna yol aabilir).

18. deme talebinde bulunmak iin satc firmann yazlm ilemin nihai tutarn, sipari bilgisindeki ilem tanm numarasn ve ilem hakkndaki dier bilgileri ieren bir gn sonu ilemi oluturur ve dijital olarak imzalar. Bu talep deme altyaps salayan kuruluun ak anahtar ile ifrelenir ve deme salayan kurulu gnderilir.

19. deme altyapsn salayan kurulu gn sonu ilemi talebini ald zaman, kendi ak anahtarn kullanarak talebi deifre eder. Daha sonra satc firmann ak anahtarn kullanarak gn sonu ilemindeki dijital imzay kontrol eder. Satc firmadan gelen gn sonu ilemiyle, daha nce ileme alnan onay talebini karlatrr ve bir tahsilat talebi oluturarak bunu kredi kartn veren bankaya gvenli deme sistemiyle gnderir.

20. deme altyapsn salayan kurulu kendi onayl ak anahtarn ieren bir gn sonu cevap mesaj oluturur ve bunu dijital olarak imzalar. Bu cevap satc firmann ak anahtar ile ifrelenerek satc firmaya gnderilir. Bu mesaj sayesinde gn sonu ileminin deme altyapsn salayan kurulu tarafndan alndn ve ileme konulduunu satc firmaya bildirir. 21. Satc firmann yazlm deme altyapsn salayan kurulutan gn sonu ileminin cevabn alnca, mesaj kendi gizli anahtarn kullanarak deifre eder. Ardndan deme altyapsn salayan kuruluun ak anahtar zerindeki dijital sertifikay kontrol eder ve yine bu ak anahtar kullanarak deme altyapsn salayan kuruluun dijital imzasn kontrol eder. Son olarak satc firmann yazlm gnsonu ilemi cevabn yaplan demeler iin gnderilen gnsonu talep mesajlar ile mutabakat iin kaydeder.

11.1 SETin gvenlik seviyeleri

SET protokol, gvenlikle ilgili ana alanda nemli yenilikler salamaktadr. Bu ekilde de dier deme gvenlii yntemlerine gre ok nemli stnlkler elde etmektedir. Bu alan; Gizlilik, mesajlarn kriptolanarak okunaksz hale getirilmesiyle salanr.

Mesaj btnl, saysal imzalama ve hash ile mesajn gnderildii ekilde hi bir deiiklie uramadan kar tarafa ulatnn garanti edilir. lemler kt amal bireyler tarafndan hesap numarasnda veya tutarda deiiklik yaplacak ekilde deitirilemez. Yetkilendirme, saysal imza kullanm ile salanr. Saysal imza sayesinde, ileme katlan taraflarn kimlikleri dorulanr, gnderdikleri mesaj inkar etmeleri nlenmi olur. Bu gvenlik unsuru aada biraz daha detaylandrlarak sunulmaktadr: lemlerin gizlilii ve kiiye zel bilgilerin korunmas kriptolama ile salanmaktadr. SET protokol, RSA ve DES olmak zere iki farkl algoritma kullanr. DES simetrik bir algoritmadr ve ilem srasnda transfer edilen datann kriptolanmasyla ilgilenir. RSA ise asimetrik bir algoritma olup, imzalar iin ve simetrik anahtarlarla banka kart numaralarnn ak anahtarla (public key) kripto ilemi iin kullanlmaktadr. Bu ekilde SET protokol, en iyi iki algoritmann birleik kullanmyla, yksek bir kripto gvenlii seviyesine ulamaktadr. Bu sistem, u ekilde almaktadr: lk olarak, mesaj datas rastgele retilmi bir simetrik DES anahtaryla kriptolanr. Daha sonra bu anahtar mesaj alcsnn ak RSA anahtaryla kriptolanr. kinci anahtar mesajn iine yerletirildii bir saysal zarf niteliindedir. Alc bu zarf ald zaman, kendi zel anahtaryla aarak rastgele retilmi simetrik anahtara ular ve bu anahtar da orjinal mesajn ifresini zmek iin kullanr. Mesajn btnl, yani alcya deiiklie uramadan ulatnn garantisi, hashing algoritmalarnn kullanld tek ynl kriptolama ve saysal imzalarla salanr. Hashing algoritmas mesaj terek benzeri olmayan bir forma sokar. Bu ilem tek bana mesajn btnln garanti etmeye yeterli deildir. Bu nedenle gizli bir kripto anahtaryla birlikte kullanlr. Bu aamada saysal imzalar devreye girmektedir. Yetkilendirme, mesajn gndericisinin kimliini dorulamak iin kullanlr. SET ilemine katlan taraflarn her biri saysal sertifikalarla yetkilendirilir. Bu sertifikalar gvenilir bir nc parti yetkili bir kurulu (Certification Authority - CA) tarafndan yaynlanmaktadr.

Her saysal sertifika, ait olduu kiilerin kimlik bilgilerini ve ak anahtarlarndan (public key) birisini iermektedir. Bunun dnda her sertifika, geerliliinin belgelenmesi iin sertifika kuruluu tarafndan saysal olarak imzalanr.

SET, gerek internet zerinde sat yapan satclar, gerekse de alveri yapan mterilerin bugne kadar karlatklar veya karlaabileceklerini bekledikleri sorunlarn almas ynnde nemli bir aama salyor. Kt niyetli giriimleri nemli lde engelleyecek yntemler iermesi, kart sahiplerinin Interneti alveri iin kullanma ynndeki gvenlerini arttryor. te yandan, deme gvencesini alan ticaretheneler iin de ok avantajl bir durum ortaya kyor. SETin en nemli yarar salad kesimin ise, kt niyetli giriimlerden en byk zarar gren kredi kart irketleri olaca tahmin ediliyor.

11.2 SET Ne Kadar Gvenlidir?

SET protokolnn kulland kripto algoritmas 1024 bit ile ifreleme yapmaktadr. Bu nedenle zellikle genel kullanma ak dier uygulamalarla kyaslandnda ok gl bir algoritma olarak gze arpmaktadr. yle ki, SET protokolnn ngrd birka seviyeli kriptolama zellii de dikkate alndnda, bu ifreyi krabilmek her biri saniyede 10.000.000 komut ileme kapasitesinde 100 bilgisayarn, yaklak 2.800.000.000.000 yl uramas gerektii hesaplanr. Bu durumda bile, zlen ifre sadece bir mesaj iin geerli olacandan, sonraki mesaj iin btn ilemin yeniden balamas gerekir. SET rnlerinin ABD dna ihrac onaylanmtr. Tek koul, sadece finansal ilemler iin kullanlmasdr. SETin alma prensibine gre, ilem iinde yer alan tm taraflar, sadece kendi stlerine deni yapmak iin yeterli olacak dzeyde bilgiye ulamaktadrlar. Ticarethane kredi kart numarasn grmemekte, bu numara dorudan bu bilgiyi kullanarak ticarethaneye onay verecek finans kurumuna ynlenmektedir. Bylece ticarethanenin dorudan ya da dolayl olarak yol aabilecei kt niyetli giriimler engellenmekte ve ilem gvenlii salanmaktadr.

Ticarethane ise, alveri yapan kiinin inkar etmesi riskine kar gvence altna alnmtr.Kredi kurumlar ok yksek dzeyde gvenli alan prestijli kurumlardr. SET, bu kurumlar tarafndan desteklenmekte olup bu anlamda da nemli bir gvenceye sahip bulunmaktadr.

11.3 SET yerine Neden SSL Kullanlmasn?

SET`i detayl incelemeye balamadan nce akla gelebilecek bir soru: Niye zel-amal protokol gerekli? Neden Kredi kart bilgilerini form doldurup SSL kullanarak gndermeyelim? Kredi kart demelerinde kesinlikle SSL kullanlabilir. Bu gnmzde en ok kullanlan yol ve Netscape, Microsoft Open Market ve dierleri tarafndan satlan 'ticaret sistemlerinin' ana zellii. Fakat bu ama iin sadece SSL kullanmann baz dezavantajlar var. Birincisi, SSL mteriden tccara kredi kart numarasnn gvenli olarak gnderilmesini salasa da, ilemin sonrasnda bir yarar olmuyor: numarann doruluunun kontrol, mterinin bu numaray kullanmaya yetkili olup olmadnn kontrol, tketicinin bankas ile ilemi yetkilendirme ve transferi ileme. Basit bir sistemde, kredi kartnn yazm hatalar bir CGI script ile kontrol edilebilir ve numaray bir dosya yada veritabanna daha sonra manuel olarak kontrol iin kaydedilebilir. Fakat ou uygulama iin online olarak kredi kart yetkilendirmesi bir ihtiyatr. Gelimi ticaret sistemleri kredi kart yetkili servisi tarafndan altrlan bir sunucuya SSL veya uygun bir protokolle balanarak siparileri annda onaylarlar. Bu tip sistemler ayrca geri demeleri, ilem kayd tutma, alveri kartlarn, online kataloglar da ynetebilirler. Tam fonksiyonel bir kredi kart ileme sistemi ya ok sayda zel programlama yada pahal bir paket zmdr.

SSL-tabanl emalardaki dier bir problemde sunucu-taraf gvenliktir. Kredi kart numaras tccarn Web sunucusuna gnderildii iin bu bilgi bir dosya veya veritabannda tutulabilir. Eer birisi tccarn web sunucusuna girmeyi baarrsa tm kredi kart numaralarn da ele geirebilir. Kredi kart ilemlerinde SSL kullanmada dier bir problem de kredi kart tahmin programlarnn zayf yazlm sistemlerde kullanlabilmesi. Uzaktaki kullanc nce denemelik kredi kart numaralar yaratr. Hepsi basit checksum kontroln geecektir fakat hangisinin

gerek bir hesaba ait olduunu bilmemektedir. Daha sonra bu numaralar bir scripte ekleyerek bir web sunucusundan sahte satn almalar yapmaya alr. Eer kart geerli deilse sunucu bir hata dner ve script numaray atar. Eer kart tanlamas doru olarak gerekleirse sunucu kabul eder ve script satn almay iptal edip numaray kaydeder. Bu tip bir sistem ksa zamanda yzlerce geerli kredi kart numaras bulabilir. SET bu problemleri kart yetki kontrol ve satn sonlandrlmasna kadar tm ilemi kontrol eden entegre bir sistem salayarak giderir. Kredi kart numarasnn alnmasn engellemek iin protokol hibir zaman tccarn kart numarasna direk eriimine izin vermez, bunun yerine satn almann onaylanp onaylanmad konusunda bilgilendirilir. Son olarak Amerikan ihracat kstlamalar konusu var. Gl kriptografi kullanan sistemlerin, SSL kullananlar dahil, ihra edilmesi yasaktr. Fakat kanun sadece parasal ilemlerde kullanlan sistemleri hari tuttuu iin gl kriptografi kullanan SET rnleri Amerika dna kabilir ki bu genel-amal SSL rnleri iin mmkn deildir. SET sayesinde, tccarlarla bankalar arasnda kredi kart ilemleri Internet zerinden gvenli bir biimde yrtlebilir. SET, deme amac ile u noktalarda kullanlan sistemlerde herhangi bir deiiklik yaplmasn gerektirmez. SETin salad gvenlik servisleri gizlilik, veri btnl ve kart sahibinin dorulanmasdr. Bir SET hareketinde tccar bile kredi kart sahibinin kart numarasn gremez. Bu i hareketinde banka kredi kartn kontrol ederek, tccara doru olduuna dair bilgi gnderir.

Kart sahibi de tccarn gerek bir tccar olduundan emin olmas gerekir. Eer bir tccar banka tarafndan tannmyorsa, herhangi bir ilemin yaplmasna izin vermez. Tccarn saygn ve gvenilir olduu saysal sertifikalar ve kriptolanm imzalarla salanr.

SETde sertifika ve imzalarn ele aln yntemi X.509 standartlaryla uyumludur. X.509, ITUTSS standartlarnda da yer bulmu olan olan bir dorulama(authentication) protokoldr. X.509 standardnn Internette kullanm RFC 1422de belirtilmitir. RFC 1422de CAler(Certificate Authority) tarafndan saysal olarak imzalanan sertifikalarn format ve datm tanmlanmtr. Aslnda X.509 ilk olarak PEM ile birlikte Internetde kullanlmak zere ortaya atlm olmasna karlk, sonradan Internet uygulama ve teknolojilerinin geliimi

ile

birlikte

kapsam

geniletilmitir.

SET ve X.509 birbirinden bamsz eylerdir. SET basit olarak X.509u kullanmaktadr. SET ayn zamanda kart sahibinin kiisel bilgilerinin(isim, adres, telefon, vs.) ve satn ald mallarla ilgili ticari bilgilerin nternetten iletilirken bakalarnca ele geirilmesini veya deitirilmesini de nler. Buna verinin btnlnn salanmas(data integrity) adn veriyoruz. SET veri btnln, SHA-1 hashing fonksiyonu ve RSA saysal imzalar ile salar. Tccar kart sahibinin yasal bir kullanc olduunu dorularken, X.509 saysal sertifikalarn ve RSA imzalarn kullanr. SET prosesi bir bankada kredi kart hesab almasna ve sonradan posta yoluyla PIN elde edilmesine benzer. Tek fark, ilemlerin gvensiz bir ortam olan Internet zerinden gereklenmesidir.

Sipari girme ve sipari onaylarnn verilmesinde mterilerle tccarlar sertifika deitokuu gerekletirir. Tccar Mesajlarn Anahtar dei tane sertifika imzalanmas tokuu ister. Bunlar: iin, iin,

hareketini kabul veya reddeden dorulama otoritesi iin. Bu nc sertifika, bir deme geityolu(payment gateway) ile tccar arasnda gerekli olup, tccarn deme isteini gndermesi ile ortaya kar.

Bu ilemler srasnda CA, bir sertifikann gvenli bir ekilde kullanlp kullanlmayacana dair noter grevi grr.

11.4 SSL ile SET arasindaki Farklar Nelerdir?

Ayn ifreleme yntemini kullanmakla beraber SSL ile SET gvenlik protokollerinin birbirinden farkl olduu nemli noktalar unlardr:

SSL'de kart bilgilerini gnderen kiinin kart sahibi olduu garanti edilememektedir. Oysa kart sahibinin kullanc ismi ve ifresi ile ulat sanal czdann kulland SET protokolnde kart bilgilerini gnderen kiinin kart sahibi olduu garanti edilir.

SSL'de kartn ait olduu ve POS'un ait olduu bankalar bu modele dahil deildirler. SSL'de kart sahibinin kart bilgileri internet zerinde ifrelenmekte fakat maaza kart bilgilerini grmektedir. Oysa SET'te kart bilgileri maazadan gizli tutulup sadece banka tarafndan grlebilmektedir

12.Bazi Kavramlar POS NEDIR?

Point of Sale (POS), kredi kart ile yaplan alverilerde maaza tarafndan kullanlan ve kredi kart bilgilerinin bankaya gnderilip bankadan provizyon alnmas iin kredi kartnn geirildii makinedir.

POSNET NEDIR?
POSNET, sanal maazalara internet zerinden kredi kart ile deme yaplmas iin sunduumuz gvenli altyap hizmetinin addr. Firmalarn internet zerinden yapacaklar satlarn provizyon hizmetinin bankamz tarafndan salanacak sanal POS (Point of Sale)'lardan faydalanarak verilmesini kapsamaktadr. POSNET, internette kredi kart ile gvenli alveri yaplabilmesi iin gelitirilmi yksek gvenlik standartlarndan SET(Secure Electronic Transaction) ve SSL (Secure Sockets Layer)'i kullanmaktadr. Avantajlari: Yeni bir sat kanal salar, Pazar geniletir ve mteri potansiyelini arttrr, Dk maliyetleri ile ok ucuza dkkan ama imkan yaratr, Sunulan hzl ve teknolojik hizmet sayesinde mteri memnuniyetini ve bamlln arttrr, Firmann imajn glendirir, Firmaya rekabet stnl salar, rn ve hizmet satnn saniyeler iinde gereklemesini salar.

3D SET Nedir?
3D SET, SET teknolojisini kullanan Alan Modeli (Three Domain Model) olarak bilinen mimari zerine kurulmutur.

Alan Modeli, ilem aknn farkl alanlarn kapsamaktadr. Maaza ve POS'un ait olduu banka - Acquirer Domain: Maazann gerekliinden sorumludur. Kart sahibi ve kartn ait olduu banka - Issuer Domain: Kart sahibinin ve kartn geerliliinden sorumludur. Kartn ait olduu banka ve POS'un ait olduu banka - Interoperability Domain: lem bilgisinin ortak bir protokol kullanlarak karlkl deitirildii yerdir. Sistemin ileyii olarak SET'ten tek fark kart sahibinin yazlm ve sertifikasnn, kartn ait olduu banka tarafnda ve maaza yazlm ve sertifikasnn ise POS'un ait olduu banka tarafnda tutulabilmesidir.

3D SET modeli utan-uca SET modelinin uygulanmasndaki sertifikalarn datlp ynetilmesi sorununu zmektedir. Avantajlari:

Kart sahibinin gvenli deme uygulamas kendi PC'si yerine gvenli bir sunucu'da tutulduu iin, bu uygulamaya istedii PC'den ulaabilecektir. Kart sahibinin sunucu'deki czdanna ulaabilmesi iin doruluunun kantlanmas srecindeki metotlar (rn: kullanc ad, ifre) kartn ait olduu banka belirleyecektir. Kartn ait olduu banka, kart sahibi adna; POS'un ait olduu banka, maaza adna sertifikalar tuttuundan sertifikalarn datmna gerek kalmamaktadr.

Half SET Nedir? Kart sahibi ile maaza arasndaki veri iletiiminin SSL; maaza ile banka arasndaki veri iletiiminin SET protokol kullanlarak yapld gvenli deme modelidir. Bu sistemde mteri ile V-POS (Internet zerinden kredi kartyla deme ileminin gereklemesini salayan yazlm) arasndaki bilgi ak SSL, V-POS ile Banka arasndaki bilgi ak ise SET ile korunmaktadr. SET ve SSL yazlmlar, mteri - iletme - banka arasndaki bilgi aknn, zlme ihtimali matematiksel olarak ok dk ve teknik adan ok zor olan 40 veya 128 bit teknolojileriyle ifreli olarak yaplmasn salamaktadr.

CVC2 CVV2 Nedir?

CVC2-Card Validation Code (Kart Onay Kodu), MasterCard markal; CVV2-Card Verification Value (Kart Dorulama Deeri) ise Visa markal kredi kartlarnn arkasnda yer alan ve 16 haneli kredi kart numarasnn devamnda yazl olan 3 haneli koddur. MO/TO (Mail Order / Telephone Order) ve SET olmayan internet ilemlerinde gvenlii arttrc nlem olarak kullanlmas dnlmektedir.