eTicaret Ders Notları
-
Upload
aykutovski -
Category
Documents
-
view
309 -
download
6
Transcript of eTicaret Ders Notları
-
7/31/2019 eTicaret Ders Notlar
1/46
1. ELEKTRONK TCARET (E-TCARET) NEDR?
Bilindii gibi ticaret ifadesi kavramsal olarak mal veya hizmetin satnalnmas vesatlmas ilemlerini kapsamaktadr. Bu srecin elektronik ortamda, Internet zerinde
yaplmas E-Ticaret kavramn ortaya karmtr. E Ticaret, mevcut iinizin elektronik
ortama aktarlmasdr. Bu bakmdan E-Ticaretin ana hedefi, ticari ilemlerin elektronik
ortamda en basit, hzl, verimli ve gvenli ekilde yaplmasdr.
rnlerin ve hizmetlerin e-kataloglarda dzenli bir ekilde mteriye sunulmas, sipariin
basit bir ekilde alnmas, satn alma ileminin kolaylkla ve gvenlik iinde
gerekletirilmesi, ve rn ya da hizmetin en hzl ekilde mteriye ulatrlmas E Ticaretin
ana hatlarn oluturur. Ksacas e-ticaret, bir irketin i yapma olanaklarn 24 saat-365 gn
devamll iinde btn dnyaya sunmasdr.
E-ticaretin amaci mal ve hizmet maliyetlerini dsrmek ve msteriye hizmet zamanlamasi ve
kalitesini iyilestirmektir. Yeni ekonomide, bilgi aginda elektronik ticaretin bu ilk adimlari
byk bir is stratejisi olarak ortaya ikmaktadir. Bilgisayar teknolojilerindeki ve
telekomnikasyon sistemlerindeki gelismeler isin yapilma seklini degistiren yeni uygulamalara
kapilari amistir. Bir ok degisik byklkteki firmalar elektronik ticaret stratejisini yabaslatmis durumdalar ya da ok yakin bir gelecekte bunu planlamaktadirlar.
Mteri beklentilerindeki mal ve hizmet arzndaki art, i dnyasndaki rekabeti kresel
lekte zorlatrmaktadr. adamlar buna uyum salamak iin organizasyonlarn ve alma
tarzlarn deitirmekte, firma-mteri-tedariki arasdaki bariyerleri nternet ve E-Ticaret ile
kaldrmaktadr.
Elektronik ticaret son yillarda dikkatleri zerine ekmesine ragmen, 20 yildan beri esitli
sekillerde varligini srdrmektedir. EDI (Elektronik Data Intercharge) ve EFT (Elektronik
Funds Transfer) teknolojileri 1970li yillarin sonlarinda kullanilmaya baslanmistir. Kredi karti
kullaniminin artmasi, ATM (Automated Teller Machines) makinalarinin yayginlasmasi ve
telefon bankaciliginin gelismesi 1980lerde elektronik ticarete yn vermistir. Telefon, faks,
televizyon, elektronik fon transferi (EFT), elektronik veri iletiimi (EDI) gibi aralar, halen
-
7/31/2019 eTicaret Ders Notlar
2/46
ticari uygulamalarda yaygn olarak kullanlmaktadr. rnek olarak, telefonla sipari vererek,
kredi kart ile demede bulunmak da tanm gerei bir e-ticaret uygulamasdr.
EDI (Electronic Data Interchange) gibi E-Ticaret teknolojilerinin uygulanmas ile irketinizin
llebilir bir ekilde ne kazan saladn ve irketinize ne yararlar getirdiini belirlemenizeyardmc olacaktr.
-
7/31/2019 eTicaret Ders Notlar
3/46
EDI sistemi, elektronik iletiim sisteminde satc ve mteri arasnda kat ve i gcne dayal
ilikiyi tmyle deitirmektedir. EDI yalnz bana ticari bilgi alveriini standart hale
getiren bir metod'dur.
Fakat bu gelismelerden hibirisi tek basina Internet kadar elektronik ticaretin gelismesinde
byk bir rol oynamamistir.
Internet teknolojisi, hizmetler sektrnde global ticaret zerinde derin bir etkiye sahiptir.
Bilgisayar yazilimi, eglenceye dnk rnler (Filmler, videolar, oyunlar, mzik ses kayitlari),
enformasyon hizmetleri (Veri tabanlari, online gazeteler), teknik enformasyon, rn lisanslari,
finansal ve profesyonel hizmetler (Is ve teknik danismanlik, muhasebe, mimari tasarim, hukuki
danismanlik, seyahat hizmetleri vs.) elektronik ortamda yapilmaktadir. Bu ticari islemlerde arti
deger online olarak gereklesmektedir. Global enformasyon altyapisi, yeni ticari islem
sekillerini kolaylastirip, maliyetlerde dramatik dsslere yol aarak, hizmetlerde ve diger
alanlarda, ticareti kkten degistirmek potansiyeline sahiptir.
E-Ticaret ile daha esnek yapya kavuan, tedarikileri ile daha yakn alan,
mterilerinin beklenti ve ihtiyalarna daha hzl cevap veren firmalar da, global
lekte deiim yaamaktadr. E-Ticaret, firmalara en iyi tedarikiyi seme ve tm
dnyaya sat yapma imkan sunmaktadr.
-
7/31/2019 eTicaret Ders Notlar
4/46
E-ticaret'in alma ekli yledir :
Online mteri, Internet zerinden satcnn Web sitesine girer. Burada bir rn satn
almak istediine karar verir ve kendisi hakknda verdii btn bilgilerin ifrelendii
-
7/31/2019 eTicaret Ders Notlar
5/46
"Transaction Server"a ynlendirilir. Sipariini onaylad anda, bilgiler net zerinden
zel bir gei yoluyla demeyi yapan veya demeyi teslim alan bankalarn bu ilemi
onayladklar veya reddettikleri Network ileme mekanizmasna ular. Btn bu
ilemler 5-7 saniyeden fazla srmez. Gnde bir ka sipari alan satclardan, binlerce
sipari alan satclara kadar deiik ihtiyalar karlayacak ekilde farkl deme
sistemleri vardr. "Secure Socket Layer" (Gvenli Soket Katman) sayesinde e-ticaret
gvenli bir hale gelmitir.
Internet birbiri ile balantl bilgisayarlarn oluturduu yapdan mteekkil bir adr. Ancak
bu a sadece bir yada bir ka taneden olumayp alarn adir. Bu kresel bilgi sistemi ekil
de grld zere sunucu ad verilen bilgisayarlar zerindeki bilgiler sayesinde
genilemektedir. Internet teknolojilerinin hzla ilerlemesi ile bu kapsamda ska konuolabilecek dier bir tanm da Intranet ve Extranetdir. Intranet belli bir organizasyona nternet
teknolojilerini kullanarak kurulan bilgisayar adr. Bunu bir tr lokal nternet olarak da ifade
edebiliriz. Ofis otomasyonlarnn hzla yaygnlat u gnlerde Intranet sayesinde bir
organizasyonda iletiim daha hzl ve kolay, koordinasyon imkan daha da artmaktadr.
Extranet ise irketlerin kendi aralarnda veya belirli mterileri ile bilgi alveriinde/ticari
ilikide bulunduklar ve nc taraflara kapal olan uygulamalardr. Bu uygulamalarda EDI
(electronic data interchange) ad verilen bir yntem kullanlmaktadr. EDI, 1990l yllarnortalarnda ABD ve Avrupada youn olarak kullanlmaya balanmtr.
-
7/31/2019 eTicaret Ders Notlar
6/46
2.E-TCARETTE TARAFLAR
E ticareti bir mal ya da hizmet reten her tzel kii yapabilir. Bilhassa imalat sektrnde
faaliyet gsteren firmalar iin ucuz ve srekli sat getiren bir pazar olarak eticaret tercih
edilmelidir. Ayn ekilde lkeye yurtdndan mal ithal eden, ithal ettii mallarn az bulunur
olmasna nem gsteren irketler iin eticaret bulunmaz frsattr. nk lkenin her tarafnda,
rnleri ile ilgili, mterilerine bkmadan usanmadan yzlerce sayfalk doru bilgi verebilecek
7 gn 24 saat alan bir maazas ve personeli var demektir
E-Ticarette taraflar drt ayr balkta incelenmektedir;
Firma-Firma : Firmalarn elektronik ortamda tedarikiye sipari vermesi, faturalarn temin
etmesi ve bedellerini demesi bu blmde deerlendirilmektedir. 1999 yl verilerine gre;
Firma-Firma kategorisindeki ticari ilemler, E-Ticaret cirosunun %90nn oluturmaktadr.
Firma-Mteri : WWW teknolojisindeki hzl gelimeler sonucunda ortaya kan Sanal
Maaza uygulamalar ile nternette firmalar elektronik ortamda; bilgisayardan otomobile,
kitapdan pizzaya birok rnn dorudan tketiciye satn yapmaya balamtr.
Firma-Kamu : Firmalar ile kamu kurulular arasndaki ticari ilemleri kapsayan bu blmde
kamu ihalelerinin nternette yaynlanmas ve firmalarn elektronik ortamda teklif vermeleri ilk
rnekleri oluturmaktadr. E-Ticaretin yaygnlamasn desteklemek amac ile kamunun vergi
demeleri, gmrk ilemleri de sanal dnyaya tanmaktadr.
Birey-Kamu : Henz yaygn rnekleri olmayan bu kategoride ehliyet, pasaport bavurular,
sosyal gvenlik primleri ile vergi demeleri, vb. uygulamalar ile Elektronik Devlete geiinsalanmas planlanmaktadr. ngiltere hkmeti, 2005 ylnda tm kamu hizmetlerinin
elektronik ortamda yaplabilecei ve Elektronik Devlete geiin tamamlanacan
duyurmutur. 2002 ylna kadar ise tm okul ve ktphanelerin nternet balantlarnn
salanmas planlanmaktadr. Avustralya da birok kurum internet zerinden servis
vermektedir.
-
7/31/2019 eTicaret Ders Notlar
7/46
2.1. E-Ticaret in lk Adm: E-POSTA (E-Mail)
Elektronik posta, bir bilgisayardan dierine/dierlerine veya bir kiiden dier kiiye/kiilere
gnderilen elektronik mesajdr. E-posta ile balayan elektronik iletiim, gnmzde kada
dayal klasik yntemlerin yerini almaktadr. nternet ile elektronik mesajlar, birka dakika
ierisinde e-posta adresi olan dnyann herhangi bir yerindeki alcsna ehirii telefon
tarifesinden daha dk cret ile hzl ve gvenli olarak ulatrlmaktadr.
Mterilerinizin veya dier firmalarn size her zaman ve her durumda ulamas, e-posta ile
mmkn olabilmektedir. Firmanzn tel ve faks numaralarnn deimesi, tanmanz, tatilde
veya seyahatte olmanz e-postalarnzn size ulamasna engel olmamaktadr.
2.2. Firma-Firma E- TCARET
Internet ncesinde firmalar arasndaki E-Ticaret, zel veya katma deerli alar zerinden
Elektronik Veri Deiimi (Electronic Data Interchange; EDI) ile gerekletirilmitir. Firmalar,
i ortaklar/tedarikileri ile arasndaki ticari bilgileri/ilemleri, EDI formatna dnmn
salayan zel programlar kulanarak gerekletirmektedir. nternet ile E-Ticaretin Firma-Firma
kategorisine altyap oluturan EDI uygulamalar, Web ortamna tanarak maliyetler nemli
lde drlm ve etkin olmas salanmtr.
E-Ticaret, firmalararas ticarette maliyetlerin azaltlmas ve verimliliin artrlmasnda
nemli rol oynamaktadr. Btn aamalarnda (kasa, stok kontrol, vb.) barkod okuyucu
kullanan ve ilemlerini elektronik ortamda gerekletiren bir spermarkette, otomasyon ile
bilgisayar; envanterdeki rnlerin (raflar, depo) takibini yapmakta, rnlerin sat eilimlerini
izlemekte ve gerektiinde sipari vermektedir. Yeni sipariler, bilgisayar a zerinden
reticiye otomatik olarak gnderilebilmektedir. Bilgisayar sipari formu hazrladktan sonra,
szkonusu bilgiyi otomatik olarak sat, retim, datm ve muhasebe blmlerinegndermektedir. Siparilerin retimi sonunda rnler, fatura ile birlikte spermarkete
gnderilmektedir.
Bilgisayarlarn otomatik olarak gerekletirdii ilemler sonucunda birok faaliyet iin
personel gereksinimi asgari dzeye ineceinden dolay, personel giderlerinde nemli lde
-
7/31/2019 eTicaret Ders Notlar
8/46
tasarruf salanabilecektir. Bilgisayarlarn hassas ilem yapmas dolays ile spermarketin
siparileri de ayn ekilde hasas olaca ngrlmektedir. Bilgisayar destekli titiz ve
zamanndaki sipariler ile depo iin ihtiya duyulan alanda azalma olacaktr. Ayrca satn
alnan rnlerdeki eilimlerin izlenmesiyle, tketicinin ilgisini ekebilecek yeni rnlerin
seimi ve siparii konularnda karar verilmesinde kolaylklar gndeme gelecektir.
2.3. Firma-Mteri E-TCARET: Sanal Maaza
nternet zellikle Dnya Ticaretindeki .com deiimini yakalayan firmalar, sanal
dnyada showroom veya maaza aarak yeni mterilere ulamaya almaktadr.
Gnde 24 saat / haftada 7 gn ak ve dnyann heryerinde ubesi olan maaza
ama/iletme maliyetleri, nternet ile karlayabilecei seviyeye inmitir.
nternette alan maazann genel giderlerinin ok dk olmas, dorudan sat
fiyatlarna da yansmaktadr. nternet mterilerin firmalara, srekli geri bildirimde
bulunma imkan da sunmaktadr.
Sanal i dnyasnda maaza amak iin, web sitesinin teknik altyapsnn ve ieriinin
oluturulmas ve deme ilemleri iin de sanal POS (V-POS) alnmas gerekmektedir.
Muhasebe, stok, vb. ilemleri ile de entegrasyonu salanabilecek Sanal Maazaya
Mterilerin gvenli eriimini iin, SSL standart kullanlmaktadr. Satc firma, bir
onay kurumundan ald elektronik web sitesi kimlii ile maazasnn sanal dnyadaki
kaydn gerekletirmektedir. Mteri ile Satc Firma arasndaki iletiimde gvenlii
salayan SSL; internette ulalan adresin gerekten aranan maaza olup olmadn
kontrol etmekte ve bilgilerin ifrelenerek gnderilmesini salamaktadr.
Satc firma ile banka arasndaki iletiimin gvenlii ise SET protokol ile
gerekletirilmektedir. Mteriden SSL ile alnan deme bilgileri (kredi kart), satcfirma tarafndan bankaya SET protokol ile ifrelenerek gnderilmektedir. Banka,
mterinin hesabnn uygun olmas durumunda, alveriini onaylamakta ve provizyon
bilgisini satc firmaya gndermektedir. Satc firma, mterisine sipariin
tamamlandn bildirdikten sonra bankaya balanarak alveri tutarn hesabna
aktarmaktadr.
-
7/31/2019 eTicaret Ders Notlar
9/46
3. E-TCARET TAHMNLER
Dnyada firmalararas E-Ticaret; toplam E-Ticaret hacminin %90nn oluturmaktadr.
Aslnda ilem says olarak irdelendiinde firma-tketici arasndaki E-Ticaret ilemi
ok daha yksektir, ancak, firma-firma arasnda bir seferde yerine getirilen ilemin
parasal hacminin bykl yukarda deinilen orann ykselmesine neden olmaktadr.
Internet in ticari uygulamalarna genel olarak e-ticaret(e-commerce) denir.
OECD E-Ticaret Tahminleri
Ticari Web Sitelerinin Faaliyet Alanlarna Gre Dalm (%) gsteren tablo asagidasunulmutur. Buna gre Yetikinlere ynelik alanlar ncelikli sray alrken onu rezarvasyon
ilemleri takip etmektedir. zellikle Internet zerindeki alveri gvenliliin salanmas ile bu
orann daha da artacag degerlendirilmektedir.
-
7/31/2019 eTicaret Ders Notlar
10/46
4. E-TICARETIN FAYDALARI
E-ticaretin ve Internetn klasik ticaret ortam ve yntemlerinden ayran avantajlar aadaki gibi
sralanabilir.
Mteri sadakati
Karll arttrmak
Mteri hizmetleri maliyetlerini azaltmak
24 saat 7 gn sat
Internet dinamiktir. Eklemeler ok ksa srede ve basite yaplabilmektedir. Bilgi
srekli olarak dk bir maaliyetle gncellenebilir. Interaktif marketilik
stediiniz yere sat / stediiniz yerden alveri :
Satclar, rn ve hizmetlerini tm dnyaya satma imkan bulurken, alclar da sunulan
rn ve hizmetler arasndan kolayca seim yapabilirler. Ak a zerinden gerekleen
E-Ticaret faaliyetleri, elektronik iletiimi arttrmtr. Bu ise, iletmelere, tm
tketicilere ve dier iletmelere daha ucuz ve kolay bir ekilde ulama olana
salamaktadr. Pek ok iletme, bu yolla pazarlama a kurmadan rnlerini
pazarlayabilmektedir. Self servis alveri
Rekabette stnlk / Hizmet kalitesinde art :
Satclar, mterilerine daha yakn olduklarndan, rakiplerinden daha ok tercih edilir.
-
7/31/2019 eTicaret Ders Notlar
11/46
Mteriler de daha kaliteli hizmete kavuur. Elektronik ortamda retim, pazarlama ve
datm faaliyetleri maliyetleri drmesi nedeniyle, E-Ticaret iletmelere, ulusal ve
uluslararas dzeyde rekabet stnl salamakta ve rekabeti artrmaktadr.
Kiiselletirilmi rnleri ucuza mal edebilme / Kiiselletirilmi rnlere ulaabilme
Satclar, mterilerinin ihtiyalarn ayrntl ve hzl bir ekilde renebilir, onlara
ekonomik fiyatlarla zel hizmet sunabilirler. Mteriler de kendilerine uygun rnlere
daha uygun fiyatla sahip olurlar.
Araclarn azalmas / htiyaca hzl eriim :
E-Ticaret, rn ve hizmetleri, ou kez , reticiden tketiciye aracsz olarak ulatrr.
Bu nedenle, maliyet ve zaman asndan hem satc hem de alc avantajldr. Ulusal ve
uluslararas ticari ilemlerin elektronik ortamda yrtlmesi zamann etkin
kullanlmasn salamaktadr. Bylece rnlerin sipari edilmesi ile teslimi arasnda
geen sre asgariye inmekte, zamandan kaynaklanan maliyetler ile stok maliyetleri
dmektedir.
lem maliyetinden tasarruf / Daha ucuz rn ve hizmetler :
Elektronik ortamda yaplan ilemler normal ilemlere oranla ok daha ucuza mal
olduundan, hem satc hem de alc nemli lde tasarruf edebilir. Elektronik
ticarette ihtiya duyulan belgeler elektronik ortamda hazrlanmakta, bu bilgi ve belgeler
ilgililerin kullanmna sunulmaktadr. Bylece, ilemler minimum hata ile ksa bir sreiinde ve krtasiye masraf denmeksizin tamamlanmaktadr. nternet e dayal E-
Ticaret ve elektronik datm sistemleri uluslararas ticareti hzlandrmaktadr.
Tketiciler iin ilem maliyetleri ve nakliye masraflar dmektedir. Tketiciler
evlerinden kmadan sorun yaamadan ve zaman harcamadan sanal maazalardan
alveri yapabilmektedirler.
Yeni i imkanlar / Yeni rnler :
E-ticaret, mevcut rn ve hizmetler iin pazar yaratmann ve ticaretin yapsn
deitirmesinin yansra, birok yeni rn ve hizmeti de beraberinde getirmitir. E-
Ticaret, mal ve hizmet piyasalarnn yapsn deitirmekte, yeni rnler, yeni
pazarlama ve datm tekniklerine yol amakta, hzl bir ekilde rn gelitirilmesi, test
edilmesi ve mteri ihtiyalarnn tespit edilmesini olanakl klmakta, pazar talebindeki
deiikliklere hzla yant verebilmektedir. Tketiciler internet sayesinde, yeni mamul
-
7/31/2019 eTicaret Ders Notlar
12/46
ve rn bilgilerine kolay ulaabilmekte, bilgi sahibi olmakta ve alternatif rnleri
karlatrarak, kolayca satn alabilmektedir.
E-Ticaret, ekonomik bir olgu olmasna karn, sosyal ve politik yaam etkilemektedir.
Ekonominin bilgi ve bilgiyi ynetme temeline dayanmas, eitim, kltr, salk ve
sosyal gvenlik gibi alanlarda internet kullanlmasn yaygnlatrmtr. Bu durum
sosyal politikalarn yeniden gzden geirilmesine yol amtr.
5. E_TICARETIN OLUMSUZ YONLERI
E ticaretin olumlu yanlarna karn baz olumsuzluklar da bulunmaktadr. Bunlar;
E ticaret, bilim ve teknoloji reten, sratle ekonomik ve toplumsal faydaya
dntren gelimi lkeler ile endstri toplumu olmadan bilgi toplumu olmaya
alan geri kalm ve gelimekte olan lkeler arasndaki refah dzeyi farkn daha da
arttracaktr.
Elektronik ticaret, bir yandan yeni i alanlar, grev ve unvanlar ortaya karrken,
dier yandan da organizasyonlarn yatay ve dikey olarak bzlmesi ve geleneksel
ticarette rol alan baz unsurlarn ortadan kalkmas nedenleri ile igc fazlas ortaya
kacak, dolays ile isizlik artacaktr.
E ticaret, btn ile ele alndnda teknik yaps itibari ile denetime msait birnitelikte deildir. nternet e girmek, yararlanmak ve eitli olanaklar kullanmak iin
herhangi bir yasal formalite, bavuru izni, onay gibi ilemler sz konusu deildir.
nternet in hukuki anlamda bir sahibi yoktur. Bu nedenle internet in kullanmnda
ortaya kabilecek suiistimalleri, arlklar, usulszlkleri, kural d davranlar
denetleyip, yaptrm uygulayacak merkezi bir otoritede bulunmayacaktr.
nternet e girmek iin birinci koul bir bilgisayar sahip olmak, ikinci koul bu
bilgisayar modem taklmasn salamaktr. nc olarak bir telefon aboneliine
ihtiya vardr. Son olarak da bilgisayarn internet ortamna girmesini salayan internet
servis salayclar(ISS) vardr. Bunlar internette ilem yapmann balang maliyetini
oluturur ve internette ilem yapma maliyetinin yksek olmasna neden olur.
-
7/31/2019 eTicaret Ders Notlar
13/46
Elektronik ticaretle birlikte, hem vergi politikas hem de vergi hukuku alannda yeni
gelime ve sorunlar ortaya kmtr. Uluslar aras E-Ticarette verginin tahsilat, deme
aralarnn gelitirilmesi, gmrk prosedrlerinin basitletirilmesi, E-Ticarete uygun
hale getirilmesi nemlidir ve zlmesi zorunludur.
Dier bir finansal sorunu, elektronik fon transferi, elektronik para, kredi kartlar,
elektronik deme aralar oluturmaktr. Dnya zerinde internet in gittike
yaygnlamas sonucu ticaretin de bu iletiim kanallar ile yaplmaya balamas
neticesinde elektronik para (E-Money) bir deme arac olarak kullanlmaya balamtr.
E-para, kiide bulunan elektronik bir araca yklenmi mali bir deer veya kiisel fonu
ifade eder. Elektronik araca yklenmi olan bu deer, kii arac kullandka azalr ve
yklenmi olan deerin bitimi sonucu tekrar deer yklenilmesi gerekir.
Elektronik ticaret ve internet ilemleri ile ilgili bir dier nemli konu yasal dzenleme
yetersizlii ve belirsizliidir. Yasal belirsizlik zellikle internet araclyla yaplan
ticaretin gelitii lkelerde dzenleme boluu ortaya karmtr. Mevzuat zellikle
kamu hukuku alannda yetersiz kalmaktadr ve bu bakmdan da ciddi sorunlarn bu
alanda ortaya kabilecei sylenebilir.
Telekomnikasyon altyaps iyiletirilmeli herkesin bu hizmetlerden yararlanmasna
imkan tannmaldr.
Elektronik ticaretin tm ekilleri zellikle internet zerinden ticaret, iletiim alt yaplaryolu ile bilgi ak salanarak yaplmaktadr. Bu durum internette bir skmaya,
dolaysyla da bir problemin ortaya kmasna yol amaktadr.
letiim ve bilgi teknolojileri pazarlarnn rekabete almasnn nndeki engeller
kaldrlmaldr.
letiim alanndaki teknik standartlar belirlenmelidir.
Copyright/Telif Haklari:
Bilindigi gibi, internet; film, mzik ve kitap gibi bilgi ve eglence rnleri iin dskmaliyetli bir dagitim kanalidir. Video, compact disk veya kitap gibi bazi rnlerin
fiziksel dagitimi yerine internetten indirilmesi (download edilmesi) daha kolay ve
ucuzdur. Bu gibi nedenlerle izin ve telif hakki alinmayan rnlerin internet zerinden
satisi hizla yayilmaktadir.
Sifreleme yntemleri gibi teknolojik gelismeler, korsanligi ve hileciligi nlemeye
-
7/31/2019 eTicaret Ders Notlar
14/46
yardim etse bile, entelektel sermayenin korunmasi veya bununla ilgili bir sorun iktigi
zaman zlebilmesi iin, etkili bir yasal altyapinin olusturulmasi zorunludur.
6.E-TCARETTE VERGLEME SORUNU
Globalleme ve teknolojinin gelimesiyle birlikte ortaya kan sorunlarn banda vergileme
sorunu gelmektedir. Sermaye ve emein, yksek vergilerin bulunduu lkelerden daha dk
lkelere kaymasnn kolaylamas, ok uluslu irketlerin retimlerini birden ok lkede para
para gerekletirmeleri, internet ve elektronik ticaretin gelimesiyle birlikte sanal irketlerin
ortaya kmas, bu irketlerin yerinin kesinlik gstermemesi, irket ve mterilerin farkl
lkelerde olmas ve dolaysyla farkl vergi dzenlemelerine tabii olmas gibi faktrler
vergileme sorununa yol aan nedenlerden sadece bazlardr.E-ticarette, vergi idaresi vedenetimi konusunda iki potansiyel soruna dikkat ekilmektedir. Bunlardan birincisi, internetin
bilgiye eriimi kolaylatran ve bylelikle vergi denetimini zorlatran bir yaps olduudur.
kinci sorun ise, ticari ilemleri gerekletirenin gerek kimliinin ve yerinin saptanmasndaki
glklerdir.
Gelirler zerinden alnan vergilerde, gelirin kayna ve ikametgah konularnda, tartmalar
devam etmektedir. Bu konuda, ABD hkmeti ve OECD farkl grleri savunmaktadr. ABD
Hazine Bakanl yaynlad bir raporda, ikametgah esasna dayal vergilendirmenin daha iyi
bir yntem olduuna dikkat ekmitir. Raporda, corafi unsurlara (rnein servis salaycnn
bulunduu yere) atf yaplmak suretiyle gelirin kaynan belirlemeye alan yaklamlarn
temelindeki mantn iletiim teknolojilerindeki son gelimeler karsnda zayflad
belirtilmitir. OECD Elektronik Ticaret Vergi Aratrma Grubu tarafndan hazrlanan bir rapora
gre; ikametgah esasna dayal vergilendirmenin o kadar kolay olmayaca ifade edilmi,
bunun yerine uluslararas bir uzlamann gereklilii vurgulanmtr.
Harcamalar zerinden alnan vergilerle ilgili ana eilimden sz edilmektedir. lk gre
gre, internette yaplan alveriler vergi d tutulmaldr. kinci gr, mevcut vergilerin
internet zerinden yaplan alverilere de uygulanmasn ancak yeni vergiler konulmamasn
nermektedir. Son gr, zellikle bilgisayar alar zerinden sat yaplan saysal rnlerin
-
7/31/2019 eTicaret Ders Notlar
15/46
vergilendirilmesiyle ilgilidir. Bit vergisi olarak adlandrlan bu vergi ierikten bamsz
olarak vergilendirme yapt iin eletirilmektedir.
OECD, bnyesinde yaplan aratrmalar sonucunda, etkin ve uygun bir internet vergilendirmesi
iin dikkate alnmas gerekli ilkeleri aadaki gibi sralamtr (Ekin, 1998:119).
- Sistem adil olmaldr : Ayn durumdaki vergi deyenler benzer ilemleri yaptklarnda ayn
ekilde vergilendirilmelidir.
- Sistem basit olmaldr : Vergi otoritelerinin ynetim masraflar ve itiraz masraflar dk
tutulmaldr.
- Kurallara aklk getirmelidir : Bir ilemin vergi sonucu, nceden bilinmeli, vergi veren neyin
vergilendirildiini ve bu vergiyi nerede deyeceini bilmelidir.
- Sistem etkin olmaldr: Vergi kayplar asgariye indirilmelidir.
- Ekonomik sapmalardan kanlmaldr : irket kararlar vergi yaklamlarndan ziyade ticari
amalarla verilmelidir.
- Sistem yeterli lde esnek ve dinamik olmaldr : Vergi kararlar teknolojik ve ticari
gelimeleri izlemelidir.
Elektronik ticaretin bu potansiyelini gren devletler, internet ilemlerinin vergilendirilmesinde,
vergi kaybna neden olmayacak fakat, ifte vergilendirme veya haksz vergilendirmeye de yol
amayacak dzenlemeleri gerekletirmek iin almalarna devam etmektedirler. Burada
belirtilmesi gereken nemli bir husus, bu tr almalarn dier devletlerle birlikte yrtlmesi
ve soruna uluslararas ortak bir zmn bulunmas gerektiidir.
7.ELEKTRONK DEMELERDE ORTAYA IKAN SORUNLAR
Yeni teknolojiler, Internet zerinde, mallarin ve hizmetlerin bedellerini islemin yapildigi anda
demeyi olasi kilmistir. Elektronik deme yntemlerinden birisi, Internet yoluyla, bilgisayar
kullanici arabirimiyle, kredi kartlarini kapsayan mevcut elektronik bankacilik ve deme
sistemlerine baglanmaktir. Ayrica elektronik para, akilli (Smart) kart ve diger teknolojiler
gelisme halindedir. Elektronik ticaretin temel karekteristiklerinden birisi de aracilara olan
gereksinimi ortadan kaldirmasidir. Bankacilik ve benzeri finansal hizmetlerde, zellikle
-
7/31/2019 eTicaret Ders Notlar
16/46
elektronik para ile demelerin yapilmasi hallerinde aracilara gerek bulunmamaktadir.
Gnmzde, nakit, kredi kart ve sat noktasndan fon transferi (EFT/POS) gibi geleneksel
deme sistemleri tam kullanl deildir ve bu deme sistemleri, gvenlik veya sistemlerin
yeteri kadar etkin olmamas nedeniyle yetersiz kalmaktadr. nternet gibi tam gvenli olmayan
ortamlarda, demelerin gvenlii ve bugnk deme sistemlerinin yksek ilem maliyeti gibi
problemleri zmek iin yeni deme sistemleri gelitirilmektedir. Geni anlamda, elektronik
deme sistemleriyle, bir deme ileminde yer alan alc, satc ve banka arasndaki fon
transferinin elektronik cihazlar zerinden yaplmas kastedilirse de, aslnda elektronik deme
sistemleri, elektronik para, smart kart ve benzer aralarla yaplan demelerdir. Dijital para,
elektronik czdan, akll kart, elektronik para gibi duyduumuz yeni kavramlar, elektronik
deme sistemlerinin birer parasdr.
Elektronik deme sistemlerinin gelimesi, elektronik ticareti de gelitirecektir. nk, e-
ticaretin hzl geliiminin karsndaki en byk engel olan, gvenli deme sorunu zlm
olacaktr.
Elektronik deme sistemlerinin gelitirilmesinde ve uygulanmasnda, tam zme
kavuturulamam; gvenlik, gizlilik, kimlik belirleme, kt amalarla kullanlabilme olasl
gibi baz sorunlar mevcuttur.
7.1 Dijital Para
Dijital para veya e-para bankalar tarafndan baslan say dizisidir. E-paray kullanabilmek iin,
hem kullancnn hem de satcnn bir bankada e-para hesabnn olmas gerekir. Banka e-paray
ynetmeye ve transfer etmeyi salayan bir yazlm verir. Kullanclar normal hesaplarndaki
paralarn e-paraya evirerek yazlma transfer edebilirler. E-para kullancnn hard disk'inde
depolanr ve harcanana kadar burada kodlanm biimde tutulur.
E-parann en byk avantajlarndan birisi dk aktarm masrafdr.
7.2 Elektronik ek
Elektronik ek, kat ekle hemen hemen ayn zelliklere sahiptir. Aslnda, baz sistemler
mterinin Web ierisinde bir form doldurmasn isteyebilir. Bu veri daha sonra satcya
-
7/31/2019 eTicaret Ders Notlar
17/46
transfer edilerek, bo ek formlaryla kat ek olarak dzenlenir. Bu ek daha sonra bankadan
onaylanarak deme ilemi yaplr.
8.INTERNETTE GVENLK
Internet kullanmnn artmasyla beraber bata finansal kurumlar olmak zere birok kurulu
ticari ilemlerini Internet'e tamaya balamtr. Bylece bilgilerin herkese ak bir a zerinde
dolamasnn yaratt hakl tedirginlik gndeme gelmi, bu konu youn bir ekilde
tartlmaya balanmtr.
Internet'te gvenlik konusu iki temel balk altnda incelenebilir:
1.Yazlm ve a altyapsndan dolay meydana gelebilecek sorunlar Bu kapsamda Internet'e
balandnz servis salayclarn ve kiisel bilgilerinizi verdiiniz kurumlarn bu bilgileri
sakladklar ortamlar ve i gvenlikleri ile bilgisayarlarn Internet'e bal olduklar srede
maruz kaldklar riskler ve nlemler yer alr. ISS'ler, finansal kurumlar, bankalar ve hizmet
verebilmek iin duyarl bilgiler toplamas gereken siteler (elektronik ticaret siteleri, salk
danmanl hizmeti veren siteler vb.) mterilerinden aldklar kiisel bilgilerin gvenliini
salamak iin gereken altyapy oluturmakla ykmldrler. Bu tr kurulular kendi i
alarn Internet yolu ile gelecek tehlikelere kar korumak iin firewall zmleri, virusgateway zmleri gibi teknolojik nlemler almaktadrlar. Bunlara ilave olarak gvenilir
kurumlar, veri tabanlarnda tutulan bilgilerden nemlilerini ifrelenmi olarak tutmakta, bu
bilgileri ifrelenmi olarak irket iindeki ilemlerde kullanmaktadr.
2. Internet zerinde veri ak srasnda, bilgilerin eitli teknik aklar deerlendirilerek kt
amal kullanm iin ele geirilme tehlikesi.Genel bir Internet kullancsnn verebilecei
bilgilerin arasnda kendi gvenlii ve mahremiyeti asndan sakncal olabilecek kredi kart
bilgileri, kullanc isimleri ifreler, adres ve telefon numaralar bulunmaktadr. Bu bilgiler
genellikle, elektronik ticaret veya finansal ilemler (rnein bireysel bankaclk) srasnda
Internete alr, ve ele geirilme olaslklar belirir. Elektronik ticaret ve finansal ilemlerin
yrtld siteler Internet'ten bilgi alveriini ifreleyerek gerekletirdikleri iin genel
olarak gvenlidirler. ifrelenmi bilgi Internet zerinde iletilirken ele geirilse bile, ifrenin
-
7/31/2019 eTicaret Ders Notlar
18/46
krlmas ok byk bir yatrm ve olduka uzun bir zaman dilimi gerektirdiinden gvenli
olduu kabul edilebilir ifreleme amacyla yaygn olarak SSL (Secure Socket Layer) gvenlik
standard kullanlmaktadr. Ayrca gvenliin salanmas amacyla yaygn olmamakla birlikte
SET (Secure Electronic Transaction) protokol ad verilen ve gvenlii bir kat daha arttran bir
sistem de kullanlmaktadr.
9.E-TCARETTE GVENLK SORUNU
Elektronik ticaretin gelimesinin karsndaki en byk engel, gvenlik olarak grlmektedir.
nternet zerinden gerekletirilen ticari faaliyetlerde karlaabilecek gvenlik sorunlar unlar
olabilir.
- - Giri yetkisi verilmeyen a kaynaklarna giri,
- - Bilgi ve a kaynaklarn imha etmek, zarar vermek,
- - Bilgiyi deitirmek, kartrmak veya bilgiye yeni eyler eklemek,
- - Yetkisiz kiilere bilginin iletilmesi,
- - Bilgi ve a kaynaklarnn alnmas,
- - Alnan hizmetleri ve gnderilen veya alnan bilgiyi inkar etmek,
- - A hizmetlerinin kesilmesine ve bozulmasna neden olmak,- - Almad veya gndermedii bilgileri aldn veya gnderdiini iddia etmek.
Elektronik ticarette gvenlik sorunu, adan incelenebilir.
Gvenlik Duvarlar:
Gvenlik duvar , korunmu alara veya sitelere yalnzca belirli zelliklere sahip d
kullanclarn girmesine izin veren yazlm veya donanm olarak tanmlanabilir.
Kullanclar, kullanc ad, ifre, internet IP adresi veya alan ad (domain name) kullanarak
sisteme girebilirler. Gvenlik duvar, irket ayla, d internet arasnda bir bariyer oluturur.
Yetkili olmayan kiiler, dorudan a ierisindeki bilgisayarlara giremez. Fakat, yetkili i
kullanclar, a dndaki internet hizmetlerinden yararlanmaya devam eder. Gvenlik duvar,
-
7/31/2019 eTicaret Ders Notlar
19/46
a dndan izinsiz girileri nlemek amacyla kullanlabilecei gibi, iletme iinde alanlarn
gizli veya stratejik bilgilere ulamasn engellemek iin de kullanlabilir.
ifreleme ve lem Gvenlii:
Bilginin kanallar zerinden iletilmesi srasnda, alnma ve deitirilme riski olmadan alcya
gnderilmesi byk nem tamaktadr. Bunun iin, eitli kriptografi yntemleri ve aralar
gelitirilmitir. Kriptografi veya kriptoloji (cryptology), gvenli bilgi iletiimi ve/veya
saklanmas iin, ifreleme ve ifre zme yntemlerini treten, gelitiren ve inceleyen bir bilim
daldr ifreleme ilemiyle, gnderilen bilgi, anlamsz saysal veriye dntrlmekte ve
alcya gnderilmektedir. Alc ise, yine anahtar ifreyi kullanarak, anlamsz saysal veriyi
zgn haline dntrmektedir. Farkl ifreleme yntemlerine ve ifre altyaplarna sahip
kriptografi trleri vardr. Bunlar, farkl matematiksel modelleri, ifreleme ve ifre zme
amacyla tasarlanm farkl yazlm ve donanm sistemleri kullanmaktadr.
Gnmzde yaygn olarak kullanlan kriptografi trleri, ak-anahtarl kriptografi ve tek/gizli
anahtarl kriptografi olmak zere iki eittir. Gizlilii ve gvenlii salamak amacyla bu
yntemlerde kullanlan aralar; dijital sertifikalar, dijital ve elektronik imzalar ve onay
kurumlardr.
World Wide Web Gvenlii ve nternet Gvelik Protokolleri:
Elektronik ticarette, kullancnn kimliini kar tarafa bildirmesi, kar tarafn da kendi
kimliini kullancya bildirmesi nemlidir. zellikle, internet zerinden alveri yaplmasnda
ve internet zerinden elektronik deme sistemlerinde gvenlii salamak amacyla eitli
internet gvenlik protokolleri gelitirilmitir. Bunlardan yaygn olarak kullanlan SET ve SSL
protokolleridir. Bunlarn dnda, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose
Internet Mail Extensions), PPTP (Point to-point Tunneling Protokol) ve SOCKSS gibi
gvenlik uygulamalar da mevcuttur.
Elektronik ticarette alc ve satc birbirlerini grmeksizin i yaptklarndan karlkl olarak
gvenin salanmas iin ek bir takm nlemler almaya ihtiya duyarlar. ncelikle alc ve satc
-
7/31/2019 eTicaret Ders Notlar
20/46
taraflar birbirlerinin kimliklerinden emin olmak isterler. te bu ihtiya dijital imza ve dijital
sertifikalarn gelitirilme nedenidir. Bunlar araclyla iki taraf birbirlerinin kimliinden emin
olabilmektedir.
Elektronik ticarette alclarn elektronik ticaret sitelerinden alveri yapmak iin vermek
durumunda kaldklar kredi kart vb. bilgilerin Internet zerinden iletilirken nc ahslarn
eline gemesi riski vardir.
Ancak elektronik ticarette kredi kart bilgilerinin bakalarnn eline geme riski gnlk
hayattakine gre ok daha azdr. Gnlk hayatta deme yaparken kredi kart bir bakasna
verilmekte, bu yzden kredi kartnn zerindeki bilgilerin gizlilii byk oranda ortadan
kalkmaktadr. Sanal alveri hizmeti veren firmalar, kredi kart bilgilerinin gvenlii ve
gizliliini salamak iin yaygn olarak SSL ve SET gibi gvenlik standartlarnkullanmaktadrlar. Kullanc, iyeri ve banka arasndaki veri ak srasnda bilgilerin
ifrelenerek aktarlmas esasna dayanan gvenlik sistemleri sayesinde bilgilerin baka bir
kiinin eline gemesi durumunda zlebilmesi (yani kullanlabilmesi) nlenir. Bylece kart
bilgilerinin gizlilii ve alveriin gvenlii salanm olur.
SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi gvenli bir
ekilde "sadece" doru kiiye iletilir ve bilgiyi gnderen bilgisayar ile alan bilgisayar arasnda
gvenli bir veri iletiimi kurulur.
Bylece, kredi kart numaras, isim, adres vb gibi bilgiler gvenli olarak iletilir. nternet
zerinde alveri yaplan tm merkezlerde alveri yaplrken bu tip gvenlik sistemleri
kullanlr. 128 bit ifreleme algoritmalar kullanan bu sistemler, e-ticaret iin gerekli "gvenli
iletiim" ortamn salarlar.
Web zerinde browser ile sunucu arasndaki haberlemeleri kriptolamada SSL (Secure Sockets
Layer) dominant bir protokoldr. SET (Secure Electronic Transactions) ise kredi-kart-tabanltransferlerde koruma salamay amalayan bir protokoldr.
-
7/31/2019 eTicaret Ders Notlar
21/46
nternette alveri yaparken, deme ekranlarnda ncelikle kredi kart ve ahsi bilgilerinizi
paylatnz ortamlarn sayfa almlarnn "http:// " yerine "https://" ile balamasna dikkat
etmek gerekir. Normal artlarda bu tip sayfalara ulatnzda gvenli sayfalara erimektesiniz
gibi bir uyar notu grntye gelir. Sayfa alnca da ekrannzn alt blmnde bir asma kilit
grnr. ncelikle bu asma kiliti tklayarak, szkonusu gvenli sayfann kime ait olduunu
kontrol edin. Normal artlarda szkonusu sayfann alveri yaptnz firmaya ait olmas
gerekmektedir.
10. SSL (Secure Socket Layer)
-
7/31/2019 eTicaret Ders Notlar
22/46
SSL teknolojisi TCP/IP protokol zerinden alan, web sunucusu ve web taraycs
arasndaki tm bilgi akn koruyan bir gvenlik protokoldr. Btn popler web
tarayclarda ve web sunucularda uygulanmaktadr. Bugnn web zerinden elektronik ticaret
ve elektronik i uygulamalarnda nemli bir rol vardr. SSL protokol iki taraf arasnda
gvenli ve gizli iletiimin salanmasnda elektronik kimlik belgelerini kullanr. SSL balants
zerinden gnderilen veriler nc ahslar tarafndan bozguna uratldnda, bundan
taraflarn annda haberi olur.
Bu sistemde kredi kart bilgileri SSL teknolojisiyle ifrelendikten sonra online olarak bankaya
yollanmaktadr ve bilgiler alveri yaplan maaza alanlar tarafndan grlememektedir.
10.1 SSLin Tarihesi
SSL 1994 ylnda Netscape Navigator browser`nn ilk srm ile tantld. Navigator`un
haberlemeyi kriptolayabilmesi Netscape`in seilmesinde ana etkendi.
Ayn yl ierisinde CommerceNet ad verilen i gruplar koalisyonu tarafndan S-HTTP adnda
rakip bir kriptografik protokol sunuldu. S-HTTP ve SSL tarafndan kullanlan kriptografik
ilkeler ayn olsa da (dijital zarflar, imzal sertifikalar, mesaj zetleri) aralarnda iki nemli fark
vard:
1) S-HTTP sadece web protokolleri ile alacak ekilde dizayn edilmiti.
2) SSL popler olan cretsiz bir browser ierisinde bulunuyordu. S-HTTP ise kullanclarn
satn almak zorunda olduu NCSA Mosaic`in modifiye edilmi bir srmnde bulunuyordu.
SSL ksa sre ierisinde web zerinde baskn gvenli protokol oldu ve S-HTTP unutulmaya
yz tuttu.
SSL`in adet srm vard. SSL 1, Netscape ierisinde dahili olarak kullanld ve baz ciddi
hatalar ierdiinden piyasaya srlmedi. SSL 2.0 Netscape 1.0 ile 2.x srmleri ierisine dahil
edildi fakat 'man-in-the-middle' saldrlar ile ilgili baz zayflklar ieriyordu. Ek olarak iki
niversite rencisi Netscape`in rastgele say reticisindeki bir aktan yararlanarak SSL 2.0`
dakikalar ierisinde krd.
-
7/31/2019 eTicaret Ders Notlar
23/46
SSL`in gvenlii konusunda oluan endielerden yararlanmak isteyen Microsoft 1996 ylnda
Internet Explorer`n ilk srmnde rakip protokol PCT`yi sundu. Netscape karlk olarak 2.0
daki problemlerin giderildii ve (Diffie-Hellman anonim anahtar deitokuu ve Fortezza akll
kart destei gibi) yeni zelliklerin eklendii SSL v3.0` sundu.
Bu noktada Microsoft geri adm atarak Internet yazlmlarnn tm srmlerinde SSL`i
desteklemeye karar verdi (geriye uyumluluk iin halen PCT destei bulunuyor). SSL v3.0
Netscape Navigator 3.0 ve yukars srmlerde ve Internet explorer 3.0 ve yukarsnda
bulunuyor.
Gnmzde ticari web sitelerini ziyaret eden kullanclar kt niyetli kiilerin varlndan
dolay bazen kredi kart veya banka hesap numaras gibi bilgileri web sitesine vermekten
ekinirler.Bir web server gvenlik zellii olarak gelitirilen Gvenli Soketler Katman(SSL) 3.0
protokol gvenlii salar ve kullanclarla "encrypt" edilmi bir balant kurmaya olanak
salar. SSL snrlandrlm web sitelerine erien kullanclarn kimliini gvenilir bir ekilde
kantlyorken web ieriinizin authenticity (doruluunu) garanti eder.
SSL 3 temel tipte gvenlik salar:
Server authentication : Bir SSL balants kurulduunda ve gvenli iletiimsinyali gzktnde, URL'nizde belirlediiniz sunucuya balandnzdan
gerekten emin olabilirsiniz.
Encryption ile gizlilik salama: SSL kullanarak istemci ve sunucu arasnda gvenli bir
balant kurabiliyoruz. HTTP kullanarak istemci ve sunucu arasnda iletilen bilgi encrypt
edilemez. Bu nedenle istemci ve sunucu arasnda
iletilen bilgi yetkilendirilmemi eriimler tarafndan grlebilir.
Verilerin btnl: SSL kullanan bir gvenli balant , bir gvenli HTTP
sunucudan aldnz verilerin sunucu tarafndan size yollanan veriler ile ayn
olmasn garantiler.
-
7/31/2019 eTicaret Ders Notlar
24/46
1996 ylnda 3.0 versiyonunun karlmasyla hemen btn Internet
tarayclarnn (Microsoft Explorer, Netscape Navigator vb) destekledii bir
standart haline gelmi ve ok geni uygulama alanlar bulmutur.
SSL, gnderilen bilginin kesinlikle ve sadece doru adreste deifre
edilebilmesini salar. Bilgi gnderilmeden nce otomatik olarak ifrelenir ve
sadece doru alc tarafndan deifre edilebilir. Her iki tarafta da dorulama
(authentication, iki bilgisayarn karlkl olarak birbirini tanmas) yaplarak ilemin ve
bilginin gizlilii ve btnl korunur.
Bilgisayarlarn birbirlerini "tanma" ilemi, ak-kapal anahtar tekniine (public-private key
encryption) dayanan bir kripto sistemi ile salanr. Bu sistemde, iki anahtardan oluan bir
anahtar ifti vardr. Bunlardan ak anahtar (public key) herkes tarafndan bilinebilen ve
gnderilen mesaj "ifrelemede" kullanlan bir dijital anahtardr. Ancak, ak anahtar ile
ifrelenen mesaj sadece bu anahtarn dier ifti olan "kapal anahtar" (private key) ile alabilir
(deifre edilebilir). Kapal anahtar da, sadece sizin bildiiniz bir anahtar olduundan, mesaj
gvenlii salanm olur. rnek olarak, size mesaj gndermek isteyen birine kendi ak
anahtarnz gnderirsiniz. Kar taraf bu anahtar kullanarak mesajn ifreler ve size gnderir.
ifrelenen mesaj, sadece sizde olan ikinci bir anahtar (kapal anahtar, private key) zebilir vebu anahtar sadece siz bilirsiniz. Veri aknda kullanlan ifreleme ynteminin
gc kullanlan anahtar uzunluuna baldr.
Anahtar uzunluu bilginin korunmas iin ok nemlidir. rnein; 8 bit zerinden bir iletimin
zlmesi son derece kolaydr. 8 bit ise sadece 28=256 olas farkl anahtar ierir. Bir bilgisayar
bu 256 farkl olasl sra ile inceleyerek bir sonuca ulaabilir. SSL protokolnde 40 bit ve 128
bit ifreleme kullanlmaktadr. 128 bit ifrelemede 2128 deiik anahtar vardr ve bu ifrenin
zlebilmesi ok byk bir maliyet ve zaman gerektirir. Kt niyetli bir kiinin 128 bit'lik
ifreyi zebilmesi iin 1 milyon dolarlk yatrm yaptktan sonra 67 yl gibi bir zaman
harcamas gerekir. Bu rnekten anlald gibi SSL gvenlik sistemi tam ve kesin bir koruma
salar.
Anahtarlar retilirken kullanlan baz popler algoritmalar olarak, DES (Data Encryption
-
7/31/2019 eTicaret Ders Notlar
25/46
Standard), RSA, IDEA verilebilir. Bunlardan RSA'nn RC4 algoritmas (128 bit ifreleme
olarak) Netscape ve Internet Explorer'da da kullanlan bir algoritmadr.
stemci bilgisayar, SSL destekleyen bir sunucuya baland anda, (bu, https:// ile balayan
URL satrlar ile gerekleir) dorulama ilemi balar. stemci, kendi ak anahtarn sunucuya
gnderir. Sunucu ise, bu anahtar kullanarak ifreledii bir mesaj istemciye geri
gnderir. Bir sonraki admda istemci sadece kendinde olan kapal (private)
anahtar kullanarak gelen ifreli mesaj zer ve sunucuya geri gnderir. mesaj
ieriinin yolda herhangi bir ekilde deitirilme olaslna kar olarak da
saysal imza ile imzalanr ve ifreli mesaj imzasyla birlikte gnderilir veya alnr.Mesaj alan
sunucu ise, bunu kendisinin gnderdii orijinal mesaj ile karlatrr ve eer iki mesaj "ayn"
ise "dorulama" ilemi baaryla tamamlanmtr ve sunucu bu noktadan itibaren "dorubilgisayarla/kiiyle" iletiimde olduunu anlar. Daha sonra sunucu istemciye o an gerekleen
web oturumunda kullanlacak tm nemli anahtarlar gnderir ve gvenli iletiim balar.
Bu yntem sayesinde SSL web zerindeki iletiimde hem transfer edilen bilginin gizliliini ve
btnln salamakta , hem de istemci ve sunucunun kimliklerini dorulamaktadr.
Daha sonra SSL balants kurulur ve sunucu-kullanici arasndaki tm veriler nc ahslarn
mesaj okumasn nlemek amacyla ifrelenir, SSL / Sunucu Kimlik Dorulamas olarakadlandrlan bu ilemlerin amac kullancya baland sitenin gerekten balandn
dnd site olduunun ve sunucuya gnderilen bilgilerin gerekten de sadece o sunucu
tarafndan okunabileceinin spatnn salanmasdr. Kullanc bundan emin olmak iin SSL
balants sresince sunucudan gelen her bilgiyi web sayfasnn gvenlikle ilgili zelliklerine
bakarak kontrol etmelidir. Eer yabanc veya farkl bir sunucunun kimliiyle karlalrsa
balanlan sunucu balanld sanlan sunucu deildir ve iletiimin gvenlii tehdit altndadr.
SSL, web sunucusunu tanmak iin, dijital olarak imzalanan sertifikalar kullanr. Sertifika,
aslnda, o organizasyon hakknda baz bilgiler ieren bir veri dosyasdr. Ayn zamanda da,
kuruluun ak-kapal anahtar iftinin "ak" anahtar da sertifika iinde yer alr. Sunucu
sertifikas da, o sunucuyu ileten kuruma ait bilgiler ieren bir sertifikadr.
-
7/31/2019 eTicaret Ders Notlar
26/46
10.2 SSL karakteristikleri
SSL`in transport katmannda bulunmasnn ana sebeplerinden biri spesifik olarak HTTP
protokol iin yaplmam olmasdr. Bu zellik SSL`e esneklik ve protokol bamszl
salamaktadr.Ufak snrlamalardan biri SSL balantsnn dedike/zel bir TCP/IP soketi
kullanmas gerektiidir. Bir web sunucusu SSL modunda altnda kriptolanm
haberlemeler iin ayr bir a portu (genelde port 443) kullanr.
SSL`in nemli zelliklerinden biri simetrik kriptolama algoritmas, mesaj zeti fonksiyonu ve
kimlik tanlama metodlar seimindeki esnekliidir. SSL simetrik kriptolama iin DES (CBC-
cipher block chaining modunda), triple-DES, RC2 veya RC4 kullanabilir. Mesaj zetleri iin
MD5 veya SHA hash algoritmalarn kullanabilir. Kimlik tanlamas iin RSA ak anahtarlar
ve sertifikalarn kullanabilir veya Diffie-Hellman anahtar deitoku algoritmas kullanarak
anonim modda alabilir. Kriptolama algoritmalar iin eitli anahtar uzunluklar
kullanlabilir. Simetrik kriptolama algoritmas, mesaj zeti metodu ve kimlik tanlamann
kullanlmasndaki kombinasyonlar 'ifreleme takm' olarak bilinir. Aadaki liste SSL
tarafndan desteklenen ifreleme takmlarn listelemektedir:
Takm Gc SSL
Srm
Tanm
DES-CBC3-MD5 ok
Yksek
v2.0, v3.0 CBC modunda 3DES, MD5 hash, 168-bit
oturum anahtar
DES-CBC3-SHA ok
Yksek
v2.0, v3.0 CBC modunda 3DES, SHA hash, 168-bit oturum
anahtar
RC4-MD5 Yksek v2.0, v3.0 RC4, MD5 hash, 128-bit anahtar
RC4-SHA Yksek v3.0 RC4, SHA hash, 128-bit anahtar
RC2-CBC-MD5 Yksek v2.0, v3.0 CBC modunda RC2, MD5 hash, 128-bit anahtar
DES-CBC-MD5 Orta v2.0, v3.0 CBC modunda DES, MD5 hash, 56-bit anahtar
DES-CBC-SHA Orta v2.0, v3.0 CBC modunda DES, SHA hash, 56-bit anahtarEXP-DES-CBC-
SHA
Dk v3.0 CBC modunda DES, SHA hash, 40-bit anahtar
EXP-RC4-MD5 Dk v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar
EXP-RC2-CBC-
MD5
Dk v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar
-
7/31/2019 eTicaret Ders Notlar
27/46
EXP-RC2-CBC-
MD5
Dk v2.0, v3.0 CBC modunda export seviyesi RC2, MD5 hash,
40-bit anahtar
NULL-MD5 - v2.0, v3.0 Kriptolama yok, MD5 hash, sadece kimlik
tanlama
NULL-SHA - v3.0 Kriptolama yok, SHA hash, sadece kimlik
tanlama
Bir SSL istemcisi sunucu ile ilk balant kurduunda ikisi bir ifreleme takm zerinde
anlarlar. Genel olarak, ikisininde sahip olduu en gl kriptolama metodunu seerler. Eer
sadece 40-bit oturum anahtarlarn destekleyebilen export-srm bir browser bu tip bir
snrlamas olmayan bir sunucuya balanmaya kalkarsa, sunucuda 40-bit ile haberleecektir.
Benzer olarak, yine bu tip bir snrlamas olan istemci ile haberleirken 1024-bit anahtarndan
512-bit RSA ak anahtar tretecektir.
SSL veri sktrmay dahili olarak desteklemektedir. Bu da bir mesaj kriptolandktan sonra
sktrlamayaca iin nemli bir zelliktir.
10.3 SSL ilemleri
Protokoln amac sunucunun kimliini tanlamak (seime bal olarak, istemcinin kimlik
tanlamasnn yaplmas) ve hem istemci hemde sunucunun kriptolanm mesajlar
gnderebilmede kullanabilmesi iin gizli simetrik anahtar belirlemesidir.
lemin admlar ksaca yledir:
1. stemci (rnekte browser) sunucu portuna bir balant aarak 'ClientHello' mesajgnderir. 'ClientHello' istemcinin kulland SSL srm, destekledii ifreleme takm ve
destekledii veri sktrma metodlar gibi bilgileri ierir.
2. Sunucu 'ServerHello' mesaj ile cevap verir. Sunucu setii ifreleme takm ve veri
sktrma metodunu ieren ve balanty tanmlayan oturum ID`sini ieren bir mesaj gnderir.
ifreleme takm ve sktrma metodlarnn seiminden sunucu sorumludur. Eer istemci ve
-
7/31/2019 eTicaret Ders Notlar
28/46
sunucu arasnda seimlerde bir uyum salanamazsa sunucu 'handshake failure' mesaj gnderip
balanty kapatr.
3. Sunucu sertifikasn gnderir. Eer sunucu sertifika-tabanl kimlik tanlamas kullanyorsa
sunucu imzal X.509v3 site sertifikasn gnderir. Eer sertifika root olmayan bir sertifika
otoritesi tarafndan imzalanmsa, sunucu ana sertifika otoritesine kadar olan imzal sertifikalar
zincirini de gnderir.
4. Sunucu istemci sertifikas istei gnderir (seime bal). Eer istemci kimlik tanlamas
iin istemci sertifikalar kullanlyorsa sunucu istemciye sertifika istei mesaj gnderir.
5. stemci sertifikasn gnderir (seime bal). Eer sunucu istek yaptysa, istemci imzal
X.509v3 istemci sertifikasn gnderir. Eer istemcinin sertifikas yoksa 'no certificate'
alarmn gnderir. Sunucu bu noktada 'handshake failure' ile balanty iptal edebilir yada
devam edebilir.
6. stemci 'ClientKeyExchange' mesaj gnderir. Burda simetrik oturum anahtar seilir.
Detaylar seilen ifreleme takmna gre deiir fakat tipik bir durumda istemci iyi bir rastgele-
say reteci ile 'pre-master secret' yaratr. Bu anahtar her iki tarafta da oturum anahtar olarak
kullanlacak gerek anahtar yaratmada kullanlr (farkl simetrik ifreler farkl anahtar
uzunluklar kullandndan oturum anahtar direk olarak yaratlmaz). Browser dijital zarf
yaratmak iin bu anahtar sunucunun (sertifikasndan ald) RSA ak anahtar ile kriptolar.
Sonrasnda zarf sunucuya gnderilir.
7. stemci 'CertificateVerify' mesaj gnderir (seime bal). Eer istemci kimlik tanlamas
kullanlyorsa, istemci doru RSA zel anahtarn bildiini gstererek sunucuya kimlik
tanlamasn gerekletirmesi gerekir. 'CertificateVerify' mesaj (aradaki konumay dinleyen
birisinin mdahele etmesini zorlatracak ekilde eitli yollarla deitirilen) 6. admda
yaratlan premaster anahtar ierir. Anahtar istemcinin RSA zel anahtar ile imzalanr ve
sunucuya gnderilir. Sunucu istemcinin sertifikas ile bunu kontrol eder. Burada sunucunun
kimliini tanlamas gerekmediine dikkat edilmeli. stemci premaster anahtarn sunucunun
ak anahtarn kullanarak gnderdii iin sadece sunucunun sertifikasnn sahibi bunu
dekriptolayp kullanabilir.
8. Hem istemci hemde sunucu 'ChangeCipherSpec' mesaj gnderir. Bu mesaj istemci ve
sunucunun kararlatrlan simetrik ifre ve oturum anahtar ile haberlemeye
balayabileceklerini onaylayan basit bir mesajdr.
-
7/31/2019 eTicaret Ders Notlar
29/46
9. Hem istemci hemde sunucu 'finished' mesaj gnderir. Bu mesajlar o ana kadarki tm
konumann tam olarak alnd ve yolda deitirilmediini onaylamada kullanlacak olan
MD5 ve SHA hash`lerini ierir.
Bu noktada hem istemci hemde sunucu her iki tarafa doru olan trafii oturum anahtar
kullanarak simetrik olarak kriptolamak iin kriptolama moduna geerler.
Yukarda belirtilen 9 adma ek olarak SSL 3.0 sunucular iin ek bir ilem vardr. 3. admda
sertifikasn gndermek yerine sunucu 'ServerKeyExchange' mesaj gnderir. Bu sunucunun bir
sertifika gndermeden bir oturum anahtar belirlemek iin kullanlr. Bu aadaki durumlardan
herhangi birinde gerekleebilir:
1. Sunucu anonim Diffie-Hellman anahtar deitokuu protokoln kullanyorsa
2.Sunucu Fortezza akll kart kriptolama takmn kullanyorsa
3. Sunucunun sadece imza iin zel anahtar varsa (mesela bir DSS anahtar)
Bu senaryolarn en ilginci Diffie-Hellman anahtar deitokuu algoritmas kullanmdr. Bu
durumda istemci ve sunucu bibirlerini tanmadan paylalan oturum anahtar belirler. Sertifika
deitokuu olmadndan etkileim tamamen anonimdir. Bu ayn zamanda ilemin man-in-
the-middle saldrsndan etkilenebilecei anlamna da gelir.
11.SET (Secure Electronic Transfer)
SET; Internet zerinden gerekletirilen parasal ilemlerin gvenliini salamak iin
gelitirilmi teknik bir standarttr. 1 ubat 1996da VISA ve MasterCard herkese ak
-
7/31/2019 eTicaret Ders Notlar
30/46
bilgisayar alar zerinde kredi kart gvenliini salamak zere, ortak bir standart gelitirmek
iin ibirlii yapacaklarn duyurdular. Bu ortak giriimin kararlatrlmasndan nce bu
konuda MasterCard ve VISAnn ayr ayr gelitirmeye alt kurallar bir yana braklarak,
almalar, SETin ortak bir standart olarak hayata geirilmesi zerine ynlendirildi.Internet
zerinden kredi kart ile yaplan deme sistemleri arasnda tm dnyann kabul ettii mevcut
en gvenli standart olan SET protokol, banka kartlar ve demeler ile ilgili bilgilerin
gvenliini salamak amacyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC,
Terisa Systems ve Verisign'n katlmyla oluan bir konsorsiyum tarafndan gelitirilmitir.
SET uyumlu ilk alveri, 18 Temmuz 1997'de San Francisco'da yaplan tantmla spanya ve
Singapur'da bulunan sanal maazalardan gerekletirilmitir. Aralk 1997de VISA ve
MasterCard ortak bir giriimle, SET Secure Electronic Transaction LLC SETCo isimli bir
organizasyon kurdular. SetConun kurulu amac, SET protokolnn gelitirilmesi aamasnda
almalar yrtme ve ynlendirme ilevlerinin salanmas ve bunun yansra, SETin hayata
geirilmesi iin gerekli dier nemli fonksiyonlarn gerekletirilmesiydi. American Express
firmasnn tam yelii iin grmeler de ayn dnemlerde balatld. SETCo SET standardn
ynlendiren, yazlm uyum testlerini yrten ve SETin dnya apnda yaygn bir deme
standard olarak kabul grmesi iin aba gsteren bir organizasyon olarak faaliyetlerini
srdrmektedir. SETCo yesi irketler SET protokolnn gelitirilmesi iin, finans kurulular,
ticarethane sahipleri, kredi kart sahipleri ve yazlm reticileriyle yakn ibirlii iinde
bulunmakta ve SETin en kapsaml e-ticaret deme zm olarak benimsenmesi iin
almaktadrlar.
SETin evrim-ii gvenlik zmlerine getirdii en nemli katk, saysal sertifikalarn
kullanlmasdr. SET, her mteriye bir elektronik czdan verilmesini ngrr. Elektronik
czdan, mteriye ait kredi kart numaras ve saysal sertifika gibi hesap bilgilerini ieren bir
dosyadr. Elektronik czdana sahip bir kullancnn deme ilemi ve teyidi, mteri, ticarethane
ve mterinin bankas arasnda tamamen saysal sertifika ve saysal imzann kombine ekildekullanmyla gerekletirilir. Bu sayede, ilemin kiiye zel ve gvenilir olmas gvence altna
alnm olur.
SET, alveri ilemi srasnda deme bilgisi gizliliini, kart kullancsnn gerek kart sahibi
olduunu ve iyerinin banka ile anlamal bir iyeri olduunu garantiler. Ak Anahtar
-
7/31/2019 eTicaret Ders Notlar
31/46
ifrelemesini (Public Key Cryptography) ve DES (Data Encryption Standard), RSA (Rivest,
Shamir, Adleman) ifreleme metotlarnn birleimini kullanan SET protokolnde alveri,
sanal czdan ve sertifika aracl ile daha gvenli bir ortamda gerekletirilir. . SET, kredi
kart ile yaplan online demelerde, bilgilerin internet zerinden aktarmnda gizlilik ve
gvenlik entegrasyonunu salar. SET protokol sadece mteri (rn siparii veren kredi kart
sahibi) ile sanal dkkan (e-dkkan) ve kredi kart irketi arasndaki deme fazn ifreler. Ayn
zamanda kredi kart ve sipari bilgileri farkl olarak ifrelendiinden kredi kart bilgilerinin
maaza tarafndan grlmesini engellemektedir.
SET sisteminde provizyon ilemi mteri alveri seimini yaptktan sonra mterinin sanal
czdan ile maazann Sanal POS'unun (V-POS) birbirlerinin gerekliklerini dijital sertifikalararaclyla kontrol etmeleri ile balar. Maazann Sanal POS yazlm sipari tutarn ve sanal
czdanda bulunan ve alveri iin seilen kredi kartnn sertifika bilgilerini bankaya iletmesi
ile devam eder. Banka yaplan alveriin ieriini (maln ne olduu, ka tane alnd vb.)
grmeksizin provizyon verir. Mterinin kredi kart bilgilerini grmeyen sanal maaza ise
bankadan gelecek onay bekler. Onay aldktan sonra da rn alcsna gnderir.
SET sistemi de SSL'de olduu gibi kullanc, iyeri ve banka arasndaki veri ak srasnda
bilgilerin ifrelenerek gnderilmesi esasna dayanr. Bu sistemden faydalananabilmek iin
kullanlmak istenen kredi kartnn SET uyumlu olmas gerekir. SET protokoln kullanmak
isteyen kredi kart sahipleri iki n koulu yerine getirmek zorundadrlar: ncelikle kullanmak
istedikleri her bir kredi kart iin sertifikasyon kurumu (Certificate Authority) ayr birer SET
sertifikas almaldrlar. Ardndan kart sahipleri yine kredi kart veren bir bankadan sanal
czdan ad verilen bir program alp bilgisayarlarna yklemeli ve bu ykleme srasnda SET
sertifikal kredi kartlarn programa tantmaldrlar. SET uyumlu alveriler sanal czdann
ykl olduu bilgisayar kullanlarak SET uyumlu maazalardan yaplabilecektir. Sanal czdanprogram en fazla kez yklenmek zere yazldndan en fazla bilgisayarda
kullanlabilecektir. SET protokolnn SSL'e gre ok daha yksek denebilecek gvenliine
ramen yeterince yaygnlaamamas sanal czdann mobilitesinin olmamasna balanabilir.
Sanal maazalar ise Sanal POS (Point of Sale) olarak adlandrlan V-POS yazlmn
-
7/31/2019 eTicaret Ders Notlar
32/46
ykledikten sonra bir sertifikasyon kurumundan dijital bir sertifika alarak alverilerin
gvenliini salarlar.
SET ile gerekleen alveri srasnda gerekleen ilemler srasyla aadaki gibidir:
SET protokol, kart sahibi Internet zerinde aratrmasn tamamlayp seimini yaptktan ve
sipariini verdikten sonra devreye girmektedir. SET ileminin balamasndan nce kart sahibi
sipari formunu doldurmu ve onaylam olmaldr. Kart sahibi ayrca kart trn de semi
olmaldr.
1. Kart sahibinin yazlm satc firmaya kullanlacak kredi kartn belirten ve deme altyapsn
salayan kuruluun sertifikal ak anahtarnn kopyasn isteyen bir mesaj gnderir.
2. Satc firmann yazlm mesaj aldnda, sadece o mesaja zel bir ilem tanmlama
numaras belirler. Daha sonra bu zel tanmlama numarasyla beraber kart sahibine satc
firmann ak anahtarn ve deme altyapsn salayan kuruluun (genelde bankalar) onayl
ak anahtarn gnderir.
3. Kart sahibinin yazlm satc firmann ve deme altyapsn salayan kuruluun
sertifikalarn kontrol eder ve sipari srecinde kullanmak zere bunlar kaydeder. Kart
sahibinin yazlm sipari bilgisini ve deme talimatlarn oluturur. Yazlm satc firma
tarafndan belirlenen zel tanmlama numaras ile sipari bilgisini ve deme talimatlarn
ilikilendirir. Bu tanmlama daha sonra satc firma tarafndan deme talebi yapldnda,
deme altyapsn salayan kurulu tarafndan sipari bilgisini ve deme talimatlarn
ilikilendirmede kullanlacaktr.
4. Kart sahibinin yazlm sipari bilgisi ve deme talimatlar iin bir dijital imza oluturur.
Yazlm daha sonra deme altyapsn salayan kuruluun ak anahtarn kullanarak dijital
olarak imzalanan deme talimatlarn ifreler. Son olarak yazlm imzalanm ve ifrelenmi
sipari bilgisini ve deme talimatlarn bir mesajla satc firmaya gnderir.
-
7/31/2019 eTicaret Ders Notlar
33/46
5. Satc firmann yazlm siparii alr ve kart sahibinin ak anahtar zerindeki dijital
sertifikay kontrol eder. Bundan sonra gene bu ak anahar kullanarak sipariin gerekten kart
sahibinden geldiinden ve mesajn gnderim esnasnda deitirilmediini teyit eder (Satc
firma deme talimatlar deme altyapsn salayan firmann ak anahtar ile ifrelendii iin
deifre edemez).
6. Bu ilemlerin ardndan satc firmann yazlm deme onay istenmesi de dahil olmak zere
siparile ilgili ilemlere balar (ltfen 9. Maddeye baknz)
7. Sipari bilgisi ileme alndktan sonra, satc firmann yazlm bir cevap mesaj hazrlar ve
dijital olarak imzalar (satc firmann onayl ak anahtar ile). Kart sahibinin sipariinin
alndnn ve ileme konulduunun bildirilmesi amacyla hazrlanan cevap mesaj kart
sahibine gnderilir.
8. Kart sahibinin yazlm satc firmadan cevap mesajn ald zaman dijital sertifikasn
kontrol eder. Bunun ardndan bu mesaj kullanarak kart sahibine bir teyit mesaj gsterir veya
sipariin durumunu gnceller.
9. Kart sahibinden gelen siparilerin ileme konulmas esnasnda (ltfen 6. maddeye baknz)
satc firmann yazlm denmesi talep edilen tutar, sipari bilgisindeki ilemi belirleyen zel
tanmlama numarasn ve ilemle ilgili dier bilgileri ieren bir deme onay talebini hazrlar ve
bu mesaj dijital olarak imzalar. Ardndan bu talep deme altyapsn salayan kuruluun ak
anahtar kullanlarak ifrelenir. Satc firmann deme onay talebi ve kart sahibinin ifrelenmi
deme talimatlar deme altyapsn salayan kurulua gnderilir.
10. deme altyapsn salayan kurulu onay talebini ald zaman satc firmadan gelen onay
talebini kendi gizli anahtarn kullanarak deifre eder. Ardndan satc firmann ak anahtar
zerindeki dijital sertifikay kontrol eder ve sertifikann geerlilik srerisinin dolup
dolmadn belirler.
11. deme altyapsn salayan kurulu kart sahibinin satc firmadan gelen onay talebiyle
-
7/31/2019 eTicaret Ders Notlar
34/46
birlikte gnderilen deme talimatlarn kart sahibinin ak anahtarn kullanarak deifre eder.
Ardndan bu ak anahtar kullanarak kart sahibinin deme talimatlar zerindeki dijital
imzasn kontrol eder ve bylece deme talimatlarnn kart sahibi tarafndan imzalandndan
ve iletim esnasnda deiiklie uramadndan emin olur.
12. deme altyapsn salayan kurulu satc firma tarafndan gnderilen ilem tanmlaycs
ile ile kart sahibinden gelen deme talimatlarndaki tanmlar karlatrarak her ikisininde ayn
olup olmadn kontrol eder. Kontroln ardndan deme altyapsnn salayan kurulu, kredi
kartn veren bankaya Internet zerinden almayan bir deme sistemiyle bir onay talebi
gnderir.
13. Kart veren banka onay talebini ileme alr ve deme altyapsn salayan kurulua gvenli
deme sistemi araclyla bir cevap gnderir.
14. Onay cevabn aldktan sonra deme altyapsn salayan kurulu kart veren bankann
cevabn ve onayl ak anahtarn ieren bir onay cevap mesaj yaratr ve dijital olarak imzalar.
Cevap satc firmann ak anahtarn kullanarak ifrelenir ve satc firmaya gnderilir.
15. Satc firmann yazlm deme altyapsn salayan kurulutan onay cevabn ald zaman
kendi gizli anahtaryla deifre eder. Ardndan deme altyapsn salayan kuruluun ak
anahtar zerindeki dijital sertifikay kontrol eder ve bu ak anahtar kullanarak deme
alyapsn salayan kuruluun onay cevap mesajndaki dijital imzay kontrol eder. Satc
firmann yazlm, sipari tamamen yerine getirildikten sonra deme talebinde bulunulabilmesi
iin (gn sonu ilemi ile) bu onay cevap mesajn kaydeder.
16. Satc firma onay cevabn aldktan sonra kart sahibinin siparii tamamlar ve ilgili rn
sevkeder veya szkonusu hizmeti verir.
17. Siparii yerine getirdikten sonra satc firma deme talebinde bulunur (Sipariin
tamamlanmas esnasndaki gecikmeler onay talebi ile deme talebi mesajlar arasnda nemli
zaman aralklar olumasna yol aabilir).
-
7/31/2019 eTicaret Ders Notlar
35/46
18. deme talebinde bulunmak iin satc firmann yazlm ilemin nihai tutarn, sipari
bilgisindeki ilem tanm numarasn ve ilem hakkndaki dier bilgileri ieren bir gn sonu
ilemi oluturur ve dijital olarak imzalar. Bu talep deme altyaps salayan kuruluun ak
anahtar ile ifrelenir ve deme salayan kurulu gnderilir.
19. deme altyapsn salayan kurulu gn sonu ilemi talebini ald zaman, kendi ak
anahtarn kullanarak talebi deifre eder. Daha sonra satc firmann ak anahtarn kullanarak
gn sonu ilemindeki dijital imzay kontrol eder. Satc firmadan gelen gn sonu ilemiyle,
daha nce ileme alnan onay talebini karlatrr ve bir tahsilat talebi oluturarak bunu kredi
kartn veren bankaya gvenli deme sistemiyle gnderir.
20. deme altyapsn salayan kurulu kendi onayl ak anahtarn ieren bir gn sonu cevap
mesaj oluturur ve bunu dijital olarak imzalar. Bu cevap satc firmann ak anahtar ile
ifrelenerek satc firmaya gnderilir. Bu mesaj sayesinde gn sonu ileminin deme altyapsn
salayan kurulu tarafndan alndn ve ileme konulduunu satc firmaya bildirir.
21. Satc firmann yazlm deme altyapsn salayan kurulutan gn sonu ileminin cevabn
alnca, mesaj kendi gizli anahtarn kullanarak deifre eder. Ardndan deme altyapsn
salayan kuruluun ak anahtar zerindeki dijital sertifikay kontrol eder ve yine bu ak
anahtar kullanarak deme altyapsn salayan kuruluun dijital imzasn kontrol eder. Son
olarak satc firmann yazlm gnsonu ilemi cevabn yaplan demeler iin gnderilen
gnsonu talep mesajlar ile mutabakat iin kaydeder.
11.1 SETin gvenlik seviyeleri
SET protokol, gvenlikle ilgili ana alanda nemli yenilikler salamaktadr. Bu ekilde de
dier deme gvenlii yntemlerine gre ok nemli stnlkler elde etmektedir. Bu alan;
Gizlilik,mesajlarn kriptolanarak okunaksz hale getirilmesiyle salanr.
-
7/31/2019 eTicaret Ders Notlar
36/46
Mesaj btnl, saysal imzalama ve hash ile mesajn gnderildii ekilde hi bir
deiiklie uramadan kar tarafa ulatnn garanti edilir. lemler kt amal bireyler
tarafndan hesap numarasnda veya tutarda deiiklik yaplacak ekilde deitirilemez.
Yetkilendirme, saysal imza kullanm ile salanr. Saysal imza sayesinde, ileme katlan
taraflarn kimlikleri dorulanr, gnderdikleri mesaj inkar etmeleri nlenmi olur.
Bu gvenlik unsuru aada biraz daha detaylandrlarak sunulmaktadr:
lemlerin gizlilii ve kiiye zel bilgilerin korunmas kriptolama ile salanmaktadr. SET
protokol, RSA ve DES olmak zere iki farkl algoritma kullanr.
DES simetrik bir algoritmadr ve ilem srasnda transfer edilen datann kriptolanmasylailgilenir. RSA ise asimetrik bir algoritma olup, imzalar iin ve simetrik anahtarlarla banka kart
numaralarnn ak anahtarla (public key) kripto ilemi iin kullanlmaktadr.
Bu ekilde SET protokol, en iyi iki algoritmann birleik kullanmyla, yksek bir kripto
gvenlii seviyesine ulamaktadr. Bu sistem, u ekilde almaktadr: lk olarak, mesaj datas
rastgele retilmi bir simetrik DES anahtaryla kriptolanr. Daha sonra bu anahtar mesaj
alcsnn ak RSA anahtaryla kriptolanr. kinci anahtar mesajn iine yerletirildii bir
saysal zarf niteliindedir. Alc bu zarf ald zaman, kendi zel anahtaryla aarak rastgele
retilmi simetrik anahtara ular ve bu anahtar da orjinal mesajn ifresini zmek iin
kullanr.
Mesajn btnl, yani alcya deiiklie uramadan ulatnn garantisi, hashing
algoritmalarnn kullanld tek ynl kriptolama ve saysal imzalarla salanr. Hashing
algoritmas mesaj terek benzeri olmayan bir forma sokar. Bu ilem tek bana mesajn
btnln garanti etmeye yeterli deildir. Bu nedenle gizli bir kripto anahtaryla birlikte
kullanlr. Bu aamada saysal imzalar devreye girmektedir.
Yetkilendirme, mesajn gndericisinin kimliini dorulamak iin kullanlr. SET ilemine
katlan taraflarn her biri saysal sertifikalarla yetkilendirilir. Bu sertifikalar gvenilir bir
nc parti yetkili bir kurulu (Certification Authority - CA) tarafndan yaynlanmaktadr.
-
7/31/2019 eTicaret Ders Notlar
37/46
Her saysal sertifika, ait olduu kiilerin kimlik bilgilerini ve ak anahtarlarndan (public key)
birisini iermektedir. Bunun dnda her sertifika, geerliliinin belgelenmesi iin sertifika
kuruluu tarafndan saysal olarak imzalanr.
SET, gerek internet zerinde sat yapan satclar, gerekse de alveri yapan mterilerin
bugne kadar karlatklar veya karlaabileceklerini bekledikleri sorunlarn almas
ynnde nemli bir aama salyor. Kt niyetli giriimleri nemli lde engelleyecek
yntemler iermesi, kart sahiplerinin Interneti alveri iin kullanma ynndeki gvenlerini
arttryor. te yandan, deme gvencesini alan ticaretheneler iin de ok avantajl bir durum
ortaya kyor. SETin en nemli yarar salad kesimin ise, kt niyetli giriimlerden en
byk zarar gren kredi kart irketleri olaca tahmin ediliyor.
11.2 SET Ne Kadar Gvenlidir?
SET protokolnn kulland kripto algoritmas 1024 bit ile ifreleme yapmaktadr. Bu nedenle
zellikle genel kullanma ak dier uygulamalarla kyaslandnda ok gl bir algoritma
olarak gze arpmaktadr. yle ki, SET protokolnn ngrd birka seviyeli kriptolama
zellii de dikkate alndnda, bu ifreyi krabilmek her biri saniyede 10.000.000 komut
ileme kapasitesinde 100 bilgisayarn, yaklak 2.800.000.000.000 yl uramas gerektii
hesaplanr. Bu durumda bile, zlen ifre sadece bir mesaj iin geerli olacandan, sonraki
mesaj iin btn ilemin yeniden balamas gerekir. SET rnlerinin ABD dna ihrac
onaylanmtr. Tek koul, sadece finansal ilemler iin kullanlmasdr.
SETin alma prensibine gre, ilem iinde yer alan tm taraflar, sadece kendi stlerine
deni yapmak iin yeterli olacak dzeyde bilgiye ulamaktadrlar. Ticarethane kredi kart
numarasn grmemekte, bu numara dorudan bu bilgiyi kullanarak ticarethaneye onay verecek
finans kurumuna ynlenmektedir. Bylece ticarethanenin dorudan ya da dolayl olarak yol
aabilecei kt niyetli giriimler engellenmekte ve ilem gvenlii salanmaktadr.
-
7/31/2019 eTicaret Ders Notlar
38/46
Ticarethane ise, alveri yapan kiinin inkar etmesi riskine kar gvence altna
alnmtr.Kredi kurumlar ok yksek dzeyde gvenli alan prestijli kurumlardr. SET, bu
kurumlar tarafndan desteklenmekte olup bu anlamda da nemli bir gvenceye sahip
bulunmaktadr.
11.3 SET yerine Neden SSL Kullanlmasn?
SET`i detayl incelemeye balamadan nce akla gelebilecek bir soru: Niye zel-amal
protokol gerekli? Neden Kredi kart bilgilerini form doldurup SSL kullanarak gndermeyelim?
Kredi kart demelerinde kesinlikle SSL kullanlabilir. Bu gnmzde en ok kullanlan yol ve
Netscape, Microsoft Open Market ve dierleri tarafndan satlan 'ticaret sistemlerinin' ana
zellii. Fakat bu ama iin sadece SSL kullanmann baz dezavantajlar var.
Birincisi, SSL mteriden tccara kredi kart numarasnn gvenli olarak gnderilmesini
salasa da, ilemin sonrasnda bir yarar olmuyor: numarann doruluunun kontrol,
mterinin bu numaray kullanmaya yetkili olup olmadnn kontrol, tketicinin bankas ile
ilemi yetkilendirme ve transferi ileme. Basit bir sistemde, kredi kartnn yazm hatalar bir
CGI script ile kontrol edilebilir ve numaray bir dosya yada veritabanna daha sonra manuel
olarak kontrol iin kaydedilebilir. Fakat ou uygulama iin online olarak kredi kart
yetkilendirmesi bir ihtiyatr. Gelimi ticaret sistemleri kredi kart yetkili servisi tarafndan
altrlan bir sunucuya SSL veya uygun bir protokolle balanarak siparileri annda
onaylarlar. Bu tip sistemler ayrca geri demeleri, ilem kayd tutma, alveri kartlarn, online
kataloglar da ynetebilirler. Tam fonksiyonel bir kredi kart ileme sistemi ya ok sayda zel
programlama yada pahal bir paket zmdr.
SSL-tabanl emalardaki dier bir problemde sunucu-taraf gvenliktir. Kredi kart numaras
tccarn Web sunucusuna gnderildii iin bu bilgi bir dosya veya veritabannda tutulabilir.Eer birisi tccarn web sunucusuna girmeyi baarrsa tm kredi kart numaralarn da ele
geirebilir.
Kredi kart ilemlerinde SSL kullanmada dier bir problem de kredi kart tahmin
programlarnn zayf yazlm sistemlerde kullanlabilmesi. Uzaktaki kullanc nce denemelik
kredi kart numaralar yaratr. Hepsi basit checksum kontroln geecektir fakat hangisinin
-
7/31/2019 eTicaret Ders Notlar
39/46
gerek bir hesaba ait olduunu bilmemektedir. Daha sonra bu numaralar bir scripte ekleyerek
bir web sunucusundan sahte satn almalar yapmaya alr. Eer kart geerli deilse sunucu bir
hata dner ve script numaray atar. Eer kart tanlamas doru olarak gerekleirse sunucu
kabul eder ve script satn almay iptal edip numaray kaydeder. Bu tip bir sistem ksa zamanda
yzlerce geerli kredi kart numaras bulabilir. SET bu problemleri kart yetki kontrol ve
satn sonlandrlmasna kadar tm ilemi kontrol eden entegre bir sistem salayarak giderir.
Kredi kart numarasnn alnmasn engellemek iin protokol hibir zaman tccarn kart
numarasna direk eriimine izin vermez, bunun yerine satn almann onaylanp onaylanmad
konusunda bilgilendirilir.
Son olarak Amerikan ihracat kstlamalar konusu var. Gl kriptografi kullanan sistemlerin,
SSL kullananlar dahil, ihra edilmesi yasaktr. Fakat kanun sadece parasal ilemlerde
kullanlan sistemleri hari tuttuu iin gl kriptografi kullanan SET rnleri Amerika dna
kabilir ki bu genel-amal SSL rnleri iin mmkn deildir.
SET sayesinde, tccarlarla bankalar arasnda kredi kart ilemleri Internet zerinden gvenli bir
biimde yrtlebilir. SET, deme amac ile u noktalarda kullanlan sistemlerde herhangi bir
deiiklik yaplmasn gerektirmez. SETin salad gvenlik servisleri gizlilik, veri
btnl ve kart sahibinin dorulanmasdr. Bir SET hareketinde tccar bile kredi kart
sahibinin kart numarasn gremez. Bu i hareketinde banka kredi kartn kontrol ederek,
tccara doru olduuna dair bilgi gnderir.
Kart sahibi de tccarn gerek bir tccar olduundan emin olmas gerekir. Eer bir tccar
banka tarafndan tannmyorsa, herhangi bir ilemin yaplmasna izin vermez. Tccarn saygn
ve gvenilir olduu saysal sertifikalar ve kriptolanm imzalarla salanr.
SETde sertifika ve imzalarn ele aln yntemi X.509 standartlaryla uyumludur. X.509, ITU-
TSS standartlarnda da yer bulmu olan olan bir dorulama(authentication) protokoldr.X.509 standardnn Internette kullanm RFC 1422de belirtilmitir. RFC 1422de
CAler(Certificate Authority) tarafndan saysal olarak imzalanan sertifikalarn format ve
datm tanmlanmtr. Aslnda X.509 ilk olarak PEM ile birlikte Internetde kullanlmak
zere ortaya atlm olmasna karlk, sonradan Internet uygulama ve teknolojilerinin geliimi
-
7/31/2019 eTicaret Ders Notlar
40/46
ile birlikte kapsam geniletilmitir.
SET ve X.509 birbirinden bamsz eylerdir. SET basit olarak X.509u kullanmaktadr. SET
ayn zamanda kart sahibinin kiisel bilgilerinin(isim, adres, telefon, vs.) ve satn ald mallarla
ilgili ticari bilgilerin nternetten iletilirken bakalarnca ele geirilmesini veya deitirilmesini
de nler. Buna verinin btnlnn salanmas(data integrity) adn veriyoruz. SET veri
btnln, SHA-1 hashing fonksiyonu ve RSA saysal imzalar ile salar.
Tccar kart sahibinin yasal bir kullanc olduunu dorularken, X.509 saysal sertifikalarn ve
RSA imzalarn kullanr. SET prosesi bir bankada kredi kart hesab almasna ve sonradan
posta yoluyla PIN elde edilmesine benzer. Tek fark, ilemlerin gvensiz bir ortam olan Internet
zerinden gereklenmesidir.
Sipari girme ve sipari onaylarnn verilmesinde mterilerle tccarlar sertifika deitokuu
gerekletirir. Tccar tane sertifika ister. Bunlar:
Mesajlarn imzalanmas iin,
Anahtar dei tokuu iin,
hareketini kabul veya reddeden dorulama otoritesi iin. Bu nc sertifika, bir deme
geityolu(payment gateway) ile tccar arasnda gerekli olup, tccarn deme isteini
gndermesi ile ortaya kar.
Bu ilemler srasnda CA, bir sertifikann gvenli bir ekilde kullanlp kullanlmayacana dair
noter grevi grr.
-
7/31/2019 eTicaret Ders Notlar
41/46
-
7/31/2019 eTicaret Ders Notlar
42/46
11.4 SSL ile SET arasindaki Farklar Nelerdir?
Ayn ifreleme yntemini kullanmakla beraber SSL ile SET gvenlik protokollerinin
birbirinden farkl olduu nemli noktalar unlardr:
SSL'de kart bilgilerini gnderen kiinin kart sahibi olduu garanti edilememektedir.
Oysa kart sahibinin kullanc ismi ve ifresi ile ulat sanal czdann kulland SET
protokolnde kart bilgilerini gnderen kiinin kart sahibi olduu garanti edilir.
SSL'de kartn ait olduu ve POS'un ait olduu bankalar bu modele dahil deildirler. SSL'de kart sahibinin kart bilgileri internet zerinde ifrelenmekte fakat maaza kart
bilgilerini grmektedir. Oysa SET'te kart bilgileri maazadan gizli tutulup sadece banka
tarafndan grlebilmektedir
-
7/31/2019 eTicaret Ders Notlar
43/46
12.Bazi Kavramlar
POS NEDIR?
Point of Sale (POS), kredi kart ile yaplan alverilerde maaza tarafndan kullanlan ve kredi
kart bilgilerinin bankaya gnderilip bankadan provizyon alnmas iin kredi kartnn
geirildii makinedir.
POSNET NEDIR?
POSNET, sanal maazalara internet zerinden kredi kart ile deme yaplmas iin
sunduumuz gvenli altyap hizmetinin addr. Firmalarn internet zerinden yapacaklar
satlarn provizyon hizmetinin bankamz tarafndan salanacak sanal POS (Point of
Sale)'lardan faydalanarak verilmesini kapsamaktadr.
POSNET, internette kredi kart ile gvenli alveri yaplabilmesi iin gelitirilmi yksek
gvenlik standartlarndan SET(Secure Electronic Transaction) ve SSL (Secure Sockets Layer)'i
kullanmaktadr.
Avantajlari:
Yeni bir sat kanal salar,
Pazar geniletir ve mteri potansiyelini arttrr,
Dk maliyetleri ile ok ucuza dkkan ama imkan yaratr,
Sunulan hzl ve teknolojik hizmet sayesinde mteri memnuniyetini ve bamlln
arttrr,
Firmann imajn glendirir,
Firmaya rekabet stnl salar,
rn ve hizmet satnn saniyeler iinde gereklemesini salar.
-
7/31/2019 eTicaret Ders Notlar
44/46
3D SET Nedir?
3D SET, SET teknolojisini kullanan Alan Modeli (Three Domain Model) olarak bilinen
mimari zerine kurulmutur.
Alan Modeli, ilem aknn farkl alanlarn kapsamaktadr.
Maaza ve POS'un ait olduu banka - Acquirer Domain: Maazann
gerekliinden sorumludur.
Kart sahibi ve kartn ait olduu banka - Issuer Domain: Kart sahibinin ve kartn
geerliliinden sorumludur.
Kartn ait olduu banka ve POS'un ait olduu banka - Interoperability Domain:lem bilgisinin ortak bir protokol kullanlarak karlkl deitirildii yerdir.
Sistemin ileyii olarak SET'ten tek fark kart sahibinin yazlm ve sertifikasnn, kartn ait
olduu banka tarafnda ve maaza yazlm ve sertifikasnn ise POS'un ait olduu banka
tarafnda tutulabilmesidir.
3D SET modeli utan-uca SET modelinin uygulanmasndaki sertifikalarn datlp ynetilmesi
sorununu zmektedir.
Avantajlari:
Kart sahibinin gvenli deme uygulamas kendi PC'si yerine gvenli bir sunucu'da
tutulduu iin, bu uygulamaya istedii PC'den ulaabilecektir.
Kart sahibinin sunucu'deki czdanna ulaabilmesi iin doruluunun kantlanmas
srecindeki metotlar (rn: kullanc ad, ifre) kartn ait olduu banka belirleyecektir.
Kartn ait olduu banka, kart sahibi adna; POS'un ait olduu banka, maaza adna
sertifikalar tuttuundan sertifikalarn datmna gerek kalmamaktadr.
-
7/31/2019 eTicaret Ders Notlar
45/46
Half SET Nedir?
Kart sahibi ile maaza arasndaki veri iletiiminin SSL; maaza ile banka arasndaki veri
iletiiminin SET protokol kullanlarak yapld gvenli deme modelidir. Bu sistemde
mteri ile V-POS (Internet zerinden kredi kartyla deme ileminin gereklemesini salayan
yazlm) arasndaki bilgi ak SSL, V-POS ile Banka arasndaki bilgi ak ise SET ile
korunmaktadr. SET ve SSL yazlmlar, mteri - iletme - banka arasndaki bilgi aknn,
zlme ihtimali matematiksel olarak ok dk ve teknik adan ok zor olan 40 veya 128 bit
teknolojileriyle ifreli olarak yaplmasn salamaktadr.
CVC2 CVV2 Nedir?
CVC2-Card Validation Code (Kart Onay Kodu), MasterCard markal; CVV2-Card
Verification Value (Kart Dorulama Deeri) ise Visa markal kredi kartlarnn arkasnda yer
alan ve 16 haneli kredi kart numarasnn devamnda yazl olan 3 haneli koddur. MO/TO (Mail
Order / Telephone Order) ve SET olmayan internet ilemlerinde gvenlii arttrc nlem
olarak kullanlmas dnlmektedir.
-
7/31/2019 eTicaret Ders Notlar
46/46