ELEKTRONİK TİCARET (OSP254) Yazar: Öğr.Gör. Hakan TUNAHAN S1
SAKARYA ÜNİVERSİTESİ Adapazarı Meslek Yüksekokulu Bu ders içeriğinin basım, yayım ve satış hakları Sakarya Üniversitesi ne aittir. "Uzaktan Öğretim" tekniğine uygun olarak hazırlanan bu ders içeriğinin bütün hakları saklıdır. İlgili kuruluştan izin almadan ders içeriğinin tümü ya da bölümleri mekanik, elektronik, fotokopi, manyetik kayıt veya başka şekillerde çoğaltılamaz, basılamaz ve dağıtılamaz. Copyright 2006 by Sakarya University All rights reserved No part of this course contenet may be reproduced or stored in a retrieval system, or transmitted in any form or by any means mechanical, electronic, photocopy, magnetic, tape or otherwise, without permission in writing from the University. Sürüm 1 Sakarya... 2006 S 1
ELEKTRONİK TİCARETTE ÖDEME SİSTEMLERİ I Bu Haftanın Hedefi: Bu Haftanın Materyalleri Bu haftaki dersimizde kullanacağımız bir materyal bulunmamaktadır. Kullanılan semboller Animasyon Soru Veritabanı Bağlantılı Soru Simülasyon Püf Noktası 1
Giriş ve Tanım Artık kişiler dünyanın neresinde olursa olsun, satın almak istedikleri malın siparişini internet üzerinden vermekte ve malın bedelini de yine internet üzerinden ödemektedirler. İnternet üzerinden ticari işlem yapan tarafların (alıcı, satıcı ve aracılar) fiziksel olarak birbirlerinden uzak ve çoğu zaman farklı ülkelerde olmaları sebebiyle, güvenli, güvenilir ve kolay değer transferi sağlamalarına olanak sağlayacak araçların sağlanması hayati önem taşımaktadır. İnternetteki ödeme sistemleri kavramından, internette ürün veya hizmet edimi sunan bir kişinin, sözleşmenin ifası için müşteriye ait olan karşı edimi kabul etmesi sonucu gerçekleşen sistemler anlaşılmaktadır.http://www.bilisimsurasi.org.tr/dosyalar/32.txt Dünya çapındaki yeni dijital mal alış verişi şekli ödeme işlemlerinde farklı ve özel bir takım seçeneklerin mevcudiyetini gündeme getirmektedir. Elektronik Ticarette Kullanılan ödeme araçlarını aşağıdaki şekilde sınıflandırmak mümkündür: 1. Bankalar Tarafından Üretilen Kartlar 1.1 Kredi Kartı 1.2 Akıllı Kart 1.3 Sanal Kart 2. Elektronik Çek 3. Elektronik Para 4. Çevrim Dışı Ödeme 1. Bankalar Tarafından Üretilen Kartlar 1.1. Kredi Kartı Kredi Kartı, bankalar ve çıkartmaya yetkili kuruluşların müşterilerine belirli limitler dahilinde açtıkları kredilerle, nakit kullanmaksızın mal ve hizmet alımı, nakit kredi çekme imkanı sağlamak için verdikleri ödeme aracıdır. Kredi Kartının Yapısı İlk olarak 1960 yılında uygulamaya konulan ilk nesil kredi kartlarının üzerinde sadece fotoğraf ve yazı bulunurken; daha sonra bu kartlara barkod, optik bilgi gibi ilaveler yapılarak kullanım alanları genişletilmiştir. 2
Simgesel bir kredi kartı ve üzerindeki bilgiler aşağıdaki resim üzerinde gösterilmiştir. Bir kredi kartının ön yüzündeki rakamlar; Sistem numaraları Banka numaraları Hesap numaraları ve Kontrol Hanesi olmak üzere dört gruptur. Kredi kartlarının tüm dünyada standart bir ödeme altyapısına sahip olması ve geniş bir kitle tarafından kullanılması e-ticarette en çok kullanılan ödeme yöntemi olmasını sağlamıştır. 1.1.1. Kredi Kartlarıyla İlgili Temel Terimler Kredi kartlarının yapısını anlayabilmek için temel bazı terimlerin anlamları aşağıda verilmiştir: (Özmen, 214 ve BKM) Üye İşyeri:Yaptığı sözleşme çerçevesinde kredi kartı sahibine mal ve hizmet satmayı kabul eden gerçek veya tüzel kişidir. Daha basit ifade ile kredi kartı ile mal veya hizmet satmak için bir bankayla anlaşma yapan işletmedir. POS Cihazı (Point of Sale): İşyerlerinin kredi kartı / banka kartı kabul ederken kullandığı ve banka tarafından verilen elektronik cihazdır. Bu cihaz kartın arka yüzündeki manyetik şerit bilgilerini elektronik olarak okur ve elektronik olarak yetki alıp işlemi tamamlar. Bankalar işyerlerine sundukları POS sistemi kullanma iznini ticari kredi işlemlerine benzer bir biçimde sağlamaktadırlar. POS cihazının işletmeye verilebilmesi için potansiyel kullanıcının ticari kimliğinin bulunması, ticari sicilinin olumlu olması önemli etkenlerdir. POS cihazına sahip olmak için üye işyerinin banka ile bir Üye İşyeri Sözleşmesi imzalaması gerekmektedir. Bir Üye İşyeri Başvuru Formu'nu incelemek için tıklayınız. 3
Kart Üreten Banka: Sahip olduğu lisansa istinaden kart düzenleyip veren bankalar ve diğer kuruluşlardır. Türkiye'de çok sayıda banka kredi kartı üretmekte yani çıkarmaktadır. Kart Kabul Eden Banka: Kredi Kartı kabul eden işyerlerine POS cihazı hizmeti sunan bankalardır. Üye işyeri yapmış olduğu bu hizmet anlaşması çerçevesinde, bir bedel ödeyerek Kart Kabul Eden Banka'dan müşterilerden tahakkuk eden kredi kartı bedellerini alır. Banka Üstünden Yapılan İşlem: Bankanın kendi çıkarttığı kartla, yine kendisinin üye işyerine sağladığı POS cihazı üzerinden yapılan işlemlerdir. Bir işlemde, hem kredi kartı üreten hem de kartı kabul eden banka aynı ise, bu işleme "Banka Üstünden Yapılan İşlem" adı verilir. Örneğin Yapı Kredi Bankası kartı üreten banka ve ürettiği kart "Worldcard" olsun. Bu banka aynı zamanda kendi POS cihazı ile bir işyerinde hizmet versin. Bu işyerinden kredi kartı ile işlem yaptığında müşteri, Yapı Kredi Bankası'nın Worldcard'ını kullanırsa ve bu kart yine Yapı Kredi Bankası'nın POS Cihazı üzerinden geçirilirse bu işlem "Banka Üstünden Yapılan İşlem"dir. Banka Üstünden Yapılmayan İşlem: Bazı ödemelerde kredi kartı veren banka (Kart Üreten Banka) ile POS cihazını işyerine veren banka (Kart Kabul Eden Banka) farklı olabilir. Bu işlemde olduğu üzere, kart üreticisi firma ile kart kabul eden bankanın farklı olduğu işlemlere "Banka Üstünden Yapılmayan İşlem" adı verilir. Örneğin bir müşteri Yapı Kredi Bankası'nın Worldcard'ını kullanırsa ve bu kart Garanti Bankası'nın işleytmeye verdiği POS Cihazı üzerinden geçirilirse bu işlem "Banka Üstünden Yapılan İşlem"dir. Kredi Kartı Ödeme Sistemi: İki bankanın kredi kartlarının ve POS cihazlarının kullanıldığı işlemlerde ödemelerinin gerçekleştirilebilmesi için bir aracıya ihtiyaç duyulmaktadır. Bu aracılık fonksiyonunu Kredi Kartı Ödeme Sistemleri sağlamaktadır. Dünyada yaygın olarak kullanılan iki büyük kredi kartı ödeme sistemi VISA ve Mastercard'dır. Her iki kuruluş da finansal işlem aracısıdır. Bu aracı kuruluşlar, iki banka arasında gerçekleşen işlemlere tarafsız olarak aracılık yapar. Örneğin, Yapı Kredi Bankası'na ait kredi kartı, Garanti Bankası'nın POS cihazında kullanıldığında VISA veya Mastercard aracı olarak işlemin gerçekleşmesini ve paranın hesaplar arasında aktarılmasını sağlar. http://www.visa.com.tr http://www.mastercard.com.tr 4
Bankalararası Kart Merkezi (BKM): VISA ve Mastercard'ın dünya çapında gerçekleştirdiği işlemlerin benzerlerini yerel olarak gerçekleştirmek amacıyla Türkiye'deki bankaların bir araya gelerek kurduğu bir kuruluştur. Bu nedenle Türkiye'de yerel işlemlerde genelde BKM kullanılırken, uluslararası işlemlerde VISA ve Mastercard ağları kullanılmaktadır. Bankalar kendi üye işyerlerinde yurtdışı kartların kullanılması durumunda BKM üzerinden uluslararası ağa bağlanırlar. Ancak bazı bankalar, BKM ağlarını kullanmaksızın da doğrudan uluslararası ağlara erişebilmektedir. BKM ile ilgili daha fazla bilgi için Tıklayınız Provizyon (Otorizasyon): Kartın limitinin müsait olup olmadığı, kartın kayıp - çalıntı kaydının bulunup bulunmadığının tespiti amacıyla telefon ve/veya elektronik olarak yapılan işlemdir. POS ve ATM cihazlarında kartın cihazdan geçirilmesi ile provizyon on-line olarak alınır. Satış Belgesi: Kartla yapılan işlemlerle ilgili olarak üye işyeri tarafından düzenlenen, kart hamilinin (sahibinin) işlemden doğan borcunu ve diğer bilgileri gösteren ve kart hamili tarafından imzalanan belgedir. Kartın Fiziksel Olarak Mevcut Olduğu İşlem: Kartın fiziksel olarak mevcut olduğu ve fiziksel bir POS Cihazı üzerinden geçirildiği işlemlere verilen addır. Bu işlemde kart sahibi aynı zamanda POS cihazının anında ürettiği bir Satış Belgesi'ni imzalayarak işlemi kendisinin gerçekleştirdiğini teyit eder. "Kartın Fiziksel Olarak Mevcut Olduğu İşlemlerin" iki durumu Şekil 1 ve Şekil 2'de açıklanmıştır. 1.1.2. Kredi Kartının İşleyişi Şekil1'de bir üye işyerine POS cihazı hizmeti sunan Yapı Kredi Bankası (Kart Kabul Eden Banka) ile Garanti Bankası (Kart Üreten Banka)'nın Bonus Kartı'na sahip bir müşterisi için "Banka Üstünden Yapılmayan İşlem"de Kredi Kartı Ödeme Akışı gösterilmiştir. 5
Şekil 2'de ise, bir üye işyerine POS cihazı hizmeti sunan Yapı Kredi Bankası (Kart Kabul Eden Banka) ile yurtdışından gelip alışveriş yapan ve Bank of Newyork'un (Kart Üreten Banka) Kredi Kartına sahip bir müşteri için yine "Banka Üstünden Yapılmayan İşlem"de Kredi Kartı Ödeme Akışı gösterilmiştir. Şekilden de görüleceği üzere, BKM bu sefer, Visa veya Mastercard ağları üzerinden yurtdışında bulunan Kart Üreten Banka ile iletişime geçmektedir. 6
Kartın Fiziksel Olarak Mevcut Olmadığı İşlem: Bu işlem türü, Kredi kartlarının e- ticarette kullanılmasını ifade etmektedir. Bu işlemler 16 hanelik kredi kartı numarası kullanarak gerçekleştirilir. Kartın fiziksel olarak mevcut olmadığı durumlarda üç bilgi işlem için yeterli olmaktadır: 1. Kredi kartının numarası 2. Son kullanma tarihi 3. Visa veya Mastercard olduğu bilgisi 1.1.3. E-Ticarette Kredi Kartının İşleyişi İnternet gibi herkese açık ağ ortamlarında dolaşan hassas bilgilerin, kötü niyetli kişilerin eline geçmesine engel olmak için her ödeme sisteminin, güvenlikle ilgili olarak yerine getirmesi gereken bazı zorunluluklar vardır. Bunların başlıcaları: sahttp://www.ykb.com/hizmetler/e_ticaret/e_ticarette_guvenlik.html i. Gizlilik ii. Bilgi Bütünlüğü: Bilginin kaynağında üretildiği şekliyle, değişmeden alıcıya ulaşmasını sağlamak. iii. Kimliğin Kanıtlanması: Kredi kartının geçerliliğinin, kart sahibi ve mağazanın kimliklerinin doğruluğunun kanıtlanması. iv. İnkar Edememe: Alıcının yada satıcının, yaptığı işlem sonrası, o işlemi yaptığını inkar edememesi olarak özetlenebilir. E-Ticaret işlemlerinde kredi kartı kullanımında, tüketicinin banka ve kredi kartı bilgilerinin kötü amaçlı kişilerin eline geçmesini engellemek amacıyla iki önemli güvenlik yazılımı kullanılmaktadır. Bunlar SSL (Güvenli Yuva Katmanı - Secure Sockers Layer) ve SET (Güvenli Elektronik İşlem - Secure Electronic Transaction)'dir. 7
A. SSL - Güvenli Yuva Katmanı SSL internet ortamında en sık kullanılan güvenlik - şifreleme yazılımıdır. SSL güvenlik alanında gönderilen bilgiler, çok sıradan görünen, fakat çözülmesi gerçekte imkansız olan bir kodlama sistemiyle şifrelenir. Girilen bilgiler önce şifrelenmiş ve diğer kişiler tarafından okunması imkansız bir bilgiye dönüştürülür. Bu bilgi ancak diğer uçtaki web server tarafından çözülüp anlamlı bir bilgi haline getirilebilir. SSL aslında bir web sitesindeki bilgilerin internet üzerinde özel bir şifreleme tekniği ile web sitesini ziyaret eden kişiye iletilmesidir. SSL ile güvenilir hale getirilmeyen web sunucularında müşterilerin tarayıcılarından girdiği kredi kartı bilgileri sunucu tarafına şifrelenmeden gelir. Şifrelenmeden gelen bilgileri müşteri ile sunucu arasında olan bir bilgisayarda "Ağ Tarayıcısı" denilen ve birçok web sitesinden ücretsiz olarak indirilebilen programlarla elde etmek mümkündür. SSL, bir internet işleminde rol alan tarafların kimliklerinin doğruluğunu kanıtlamak için Dijital Sertifika'lar kullanmaktadır. Belirli periyotlar için tanzim edilen ve ileride bahsedilecek SET ödeme sisteminde de kullanılan dijital sertifika, ya da dijital kimlik, günlük hayatta kullanılan ehliyet, pasaport gibi kimlik kartlarının elektronik ortamdaki karşılığını ifade etmektedir. Elektronik ortamda yapılan işlemlerde, mesaj gönderen ya da işlem gerçekleştiren kişinin kimliğinin belirlenmesi ve yasalar önünde delil niteliği taşıması ihtiyacı nedeniyle dijital sertifika sistemi oluşturulmuştur. Dijital Sertika mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti ederken, iletilen dokümanların tarih ve zamanını doğrulamaktadır. Ayrıca dijital sertifika sayesinde, imza veya imzalanan belge değişikliğe uğradığında, kolaylıkla anlaşılması ve belgenin reddedilmesi sağlanmaktadır. 8
Bununla birlikte SSL güvenlik protokolünü kullanan sanal bir mağazadan alışveriş yapacaksanız, sertifika için başvurmanız gerekmemektedir. Tüm yaygın tarayıcılar (Netscape Navigator 2.0 ve üzeri versiyonları, Internet Explorer 3.02 ve üzeri versiyonları) SSL-olanaklıdır. Ancak SSL güvenlik protokolünü kullanarak internet üzerinden satış yapacaksanız, internet aracılığıyla başvurup SSL Güvenlik Sertifikası almanız ve web sunucunuza yüklemeniz gerekmektedir. Dijital sertifikaların verilmesi ve yönetilmesini, dünyada sayısı birkaç adet olan CA olarak kısaltılan Sertifika Otoriteleri yapmaktadır. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanmaktadır. SSL şifrelerini çözmenin zorluğunu daha iyi anlayabilmek için aşağıdaki örneği inceleyiniz. SSL'nin 128 bit sürümünün şifresini kırmak için 340,282,366,920,938,000,000,000,000,000,000,000,000 adet kombinasyonunu denemek gerekmektedir. Bu da yaklaşık 1 milyon dolar yatırım ve 67 yıl gerektirmektedir. Yine de hackerları fazla küçümsememek gerekmektedir. (Özmen, 218) 9