eTicaret Ders Notları

7/31/2019 eTicaret Ders Notlar

1/46

1. ELEKTRONK TCARET (E-TCARET) NEDR?

Bilindii gibi ticaret ifadesi kavramsal olarak mal veya hizmetin satnalnmas vesatlmas ilemlerini kapsamaktadr. Bu srecin elektronik ortamda, Internet zerinde

yaplmas E-Ticaret kavramn ortaya karmtr. E Ticaret, mevcut iinizin elektronik

ortama aktarlmasdr. Bu bakmdan E-Ticaretin ana hedefi, ticari ilemlerin elektronik

ortamda en basit, hzl, verimli ve gvenli ekilde yaplmasdr.

rnlerin ve hizmetlerin e-kataloglarda dzenli bir ekilde mteriye sunulmas, sipariin

basit bir ekilde alnmas, satn alma ileminin kolaylkla ve gvenlik iinde

gerekletirilmesi, ve rn ya da hizmetin en hzl ekilde mteriye ulatrlmas E Ticaretin

ana hatlarn oluturur. Ksacas e-ticaret, bir irketin i yapma olanaklarn 24 saat-365 gn

devamll iinde btn dnyaya sunmasdr.

E-ticaretin amaci mal ve hizmet maliyetlerini dsrmek ve msteriye hizmet zamanlamasi ve

kalitesini iyilestirmektir. Yeni ekonomide, bilgi aginda elektronik ticaretin bu ilk adimlari

byk bir is stratejisi olarak ortaya ikmaktadir. Bilgisayar teknolojilerindeki ve

telekomnikasyon sistemlerindeki gelismeler isin yapilma seklini degistiren yeni uygulamalara

kapilari amistir. Bir ok degisik byklkteki firmalar elektronik ticaret stratejisini yabaslatmis durumdalar ya da ok yakin bir gelecekte bunu planlamaktadirlar.

Mteri beklentilerindeki mal ve hizmet arzndaki art, i dnyasndaki rekabeti kresel

lekte zorlatrmaktadr. adamlar buna uyum salamak iin organizasyonlarn ve alma

tarzlarn deitirmekte, firma-mteri-tedariki arasdaki bariyerleri nternet ve E-Ticaret ile

kaldrmaktadr.

Elektronik ticaret son yillarda dikkatleri zerine ekmesine ragmen, 20 yildan beri esitli

sekillerde varligini srdrmektedir. EDI (Elektronik Data Intercharge) ve EFT (Elektronik

Funds Transfer) teknolojileri 1970li yillarin sonlarinda kullanilmaya baslanmistir. Kredi karti

kullaniminin artmasi, ATM (Automated Teller Machines) makinalarinin yayginlasmasi ve

telefon bankaciliginin gelismesi 1980lerde elektronik ticarete yn vermistir. Telefon, faks,

televizyon, elektronik fon transferi (EFT), elektronik veri iletiimi (EDI) gibi aralar, halen


2/46

ticari uygulamalarda yaygn olarak kullanlmaktadr. rnek olarak, telefonla sipari vererek,

kredi kart ile demede bulunmak da tanm gerei bir e-ticaret uygulamasdr.

EDI (Electronic Data Interchange) gibi E-Ticaret teknolojilerinin uygulanmas ile irketinizin

llebilir bir ekilde ne kazan saladn ve irketinize ne yararlar getirdiini belirlemenizeyardmc olacaktr.


3/46

EDI sistemi, elektronik iletiim sisteminde satc ve mteri arasnda kat ve i gcne dayal

ilikiyi tmyle deitirmektedir. EDI yalnz bana ticari bilgi alveriini standart hale

getiren bir metod'dur.

Fakat bu gelismelerden hibirisi tek basina Internet kadar elektronik ticaretin gelismesinde

byk bir rol oynamamistir.

Internet teknolojisi, hizmetler sektrnde global ticaret zerinde derin bir etkiye sahiptir.

Bilgisayar yazilimi, eglenceye dnk rnler (Filmler, videolar, oyunlar, mzik ses kayitlari),

enformasyon hizmetleri (Veri tabanlari, online gazeteler), teknik enformasyon, rn lisanslari,

finansal ve profesyonel hizmetler (Is ve teknik danismanlik, muhasebe, mimari tasarim, hukuki

danismanlik, seyahat hizmetleri vs.) elektronik ortamda yapilmaktadir. Bu ticari islemlerde arti

deger online olarak gereklesmektedir. Global enformasyon altyapisi, yeni ticari islem

sekillerini kolaylastirip, maliyetlerde dramatik dsslere yol aarak, hizmetlerde ve diger

alanlarda, ticareti kkten degistirmek potansiyeline sahiptir.

E-Ticaret ile daha esnek yapya kavuan, tedarikileri ile daha yakn alan,

mterilerinin beklenti ve ihtiyalarna daha hzl cevap veren firmalar da, global

lekte deiim yaamaktadr. E-Ticaret, firmalara en iyi tedarikiyi seme ve tm

dnyaya sat yapma imkan sunmaktadr.


4/46

E-ticaret'in alma ekli yledir :

Online mteri, Internet zerinden satcnn Web sitesine girer. Burada bir rn satn

almak istediine karar verir ve kendisi hakknda verdii btn bilgilerin ifrelendii


5/46

"Transaction Server"a ynlendirilir. Sipariini onaylad anda, bilgiler net zerinden

zel bir gei yoluyla demeyi yapan veya demeyi teslim alan bankalarn bu ilemi

onayladklar veya reddettikleri Network ileme mekanizmasna ular. Btn bu

ilemler 5-7 saniyeden fazla srmez. Gnde bir ka sipari alan satclardan, binlerce

sipari alan satclara kadar deiik ihtiyalar karlayacak ekilde farkl deme

sistemleri vardr. "Secure Socket Layer" (Gvenli Soket Katman) sayesinde e-ticaret

gvenli bir hale gelmitir.

Internet birbiri ile balantl bilgisayarlarn oluturduu yapdan mteekkil bir adr. Ancak

bu a sadece bir yada bir ka taneden olumayp alarn adir. Bu kresel bilgi sistemi ekil

de grld zere sunucu ad verilen bilgisayarlar zerindeki bilgiler sayesinde

genilemektedir. Internet teknolojilerinin hzla ilerlemesi ile bu kapsamda ska konuolabilecek dier bir tanm da Intranet ve Extranetdir. Intranet belli bir organizasyona nternet

teknolojilerini kullanarak kurulan bilgisayar adr. Bunu bir tr lokal nternet olarak da ifade

edebiliriz. Ofis otomasyonlarnn hzla yaygnlat u gnlerde Intranet sayesinde bir

organizasyonda iletiim daha hzl ve kolay, koordinasyon imkan daha da artmaktadr.

Extranet ise irketlerin kendi aralarnda veya belirli mterileri ile bilgi alveriinde/ticari

ilikide bulunduklar ve nc taraflara kapal olan uygulamalardr. Bu uygulamalarda EDI

(electronic data interchange) ad verilen bir yntem kullanlmaktadr. EDI, 1990l yllarnortalarnda ABD ve Avrupada youn olarak kullanlmaya balanmtr.


6/46

2.E-TCARETTE TARAFLAR

E ticareti bir mal ya da hizmet reten her tzel kii yapabilir. Bilhassa imalat sektrnde

faaliyet gsteren firmalar iin ucuz ve srekli sat getiren bir pazar olarak eticaret tercih

edilmelidir. Ayn ekilde lkeye yurtdndan mal ithal eden, ithal ettii mallarn az bulunur

olmasna nem gsteren irketler iin eticaret bulunmaz frsattr. nk lkenin her tarafnda,

rnleri ile ilgili, mterilerine bkmadan usanmadan yzlerce sayfalk doru bilgi verebilecek

7 gn 24 saat alan bir maazas ve personeli var demektir

E-Ticarette taraflar drt ayr balkta incelenmektedir;

Firma-Firma : Firmalarn elektronik ortamda tedarikiye sipari vermesi, faturalarn temin

etmesi ve bedellerini demesi bu blmde deerlendirilmektedir. 1999 yl verilerine gre;

Firma-Firma kategorisindeki ticari ilemler, E-Ticaret cirosunun %90nn oluturmaktadr.

Firma-Mteri : WWW teknolojisindeki hzl gelimeler sonucunda ortaya kan Sanal

Maaza uygulamalar ile nternette firmalar elektronik ortamda; bilgisayardan otomobile,

kitapdan pizzaya birok rnn dorudan tketiciye satn yapmaya balamtr.

Firma-Kamu : Firmalar ile kamu kurulular arasndaki ticari ilemleri kapsayan bu blmde

kamu ihalelerinin nternette yaynlanmas ve firmalarn elektronik ortamda teklif vermeleri ilk

rnekleri oluturmaktadr. E-Ticaretin yaygnlamasn desteklemek amac ile kamunun vergi

demeleri, gmrk ilemleri de sanal dnyaya tanmaktadr.

Birey-Kamu : Henz yaygn rnekleri olmayan bu kategoride ehliyet, pasaport bavurular,

sosyal gvenlik primleri ile vergi demeleri, vb. uygulamalar ile Elektronik Devlete geiinsalanmas planlanmaktadr. ngiltere hkmeti, 2005 ylnda tm kamu hizmetlerinin

elektronik ortamda yaplabilecei ve Elektronik Devlete geiin tamamlanacan

duyurmutur. 2002 ylna kadar ise tm okul ve ktphanelerin nternet balantlarnn

salanmas planlanmaktadr. Avustralya da birok kurum internet zerinden servis

vermektedir.


7/46

2.1. E-Ticaret in lk Adm: E-POSTA (E-Mail)

Elektronik posta, bir bilgisayardan dierine/dierlerine veya bir kiiden dier kiiye/kiilere

gnderilen elektronik mesajdr. E-posta ile balayan elektronik iletiim, gnmzde kada

dayal klasik yntemlerin yerini almaktadr. nternet ile elektronik mesajlar, birka dakika

ierisinde e-posta adresi olan dnyann herhangi bir yerindeki alcsna ehirii telefon

tarifesinden daha dk cret ile hzl ve gvenli olarak ulatrlmaktadr.

Mterilerinizin veya dier firmalarn size her zaman ve her durumda ulamas, e-posta ile

mmkn olabilmektedir. Firmanzn tel ve faks numaralarnn deimesi, tanmanz, tatilde

veya seyahatte olmanz e-postalarnzn size ulamasna engel olmamaktadr.

2.2. Firma-Firma E- TCARET

Internet ncesinde firmalar arasndaki E-Ticaret, zel veya katma deerli alar zerinden

Elektronik Veri Deiimi (Electronic Data Interchange; EDI) ile gerekletirilmitir. Firmalar,

i ortaklar/tedarikileri ile arasndaki ticari bilgileri/ilemleri, EDI formatna dnmn

salayan zel programlar kulanarak gerekletirmektedir. nternet ile E-Ticaretin Firma-Firma

kategorisine altyap oluturan EDI uygulamalar, Web ortamna tanarak maliyetler nemli

lde drlm ve etkin olmas salanmtr.

E-Ticaret, firmalararas ticarette maliyetlerin azaltlmas ve verimliliin artrlmasnda

nemli rol oynamaktadr. Btn aamalarnda (kasa, stok kontrol, vb.) barkod okuyucu

kullanan ve ilemlerini elektronik ortamda gerekletiren bir spermarkette, otomasyon ile

bilgisayar; envanterdeki rnlerin (raflar, depo) takibini yapmakta, rnlerin sat eilimlerini

izlemekte ve gerektiinde sipari vermektedir. Yeni sipariler, bilgisayar a zerinden

reticiye otomatik olarak gnderilebilmektedir. Bilgisayar sipari formu hazrladktan sonra,

szkonusu bilgiyi otomatik olarak sat, retim, datm ve muhasebe blmlerinegndermektedir. Siparilerin retimi sonunda rnler, fatura ile birlikte spermarkete

gnderilmektedir.

Bilgisayarlarn otomatik olarak gerekletirdii ilemler sonucunda birok faaliyet iin

personel gereksinimi asgari dzeye ineceinden dolay, personel giderlerinde nemli lde


8/46

tasarruf salanabilecektir. Bilgisayarlarn hassas ilem yapmas dolays ile spermarketin

siparileri de ayn ekilde hasas olaca ngrlmektedir. Bilgisayar destekli titiz ve

zamanndaki sipariler ile depo iin ihtiya duyulan alanda azalma olacaktr. Ayrca satn

alnan rnlerdeki eilimlerin izlenmesiyle, tketicinin ilgisini ekebilecek yeni rnlerin

seimi ve siparii konularnda karar verilmesinde kolaylklar gndeme gelecektir.

2.3. Firma-Mteri E-TCARET: Sanal Maaza

nternet zellikle Dnya Ticaretindeki .com deiimini yakalayan firmalar, sanal

dnyada showroom veya maaza aarak yeni mterilere ulamaya almaktadr.

Gnde 24 saat / haftada 7 gn ak ve dnyann heryerinde ubesi olan maaza

ama/iletme maliyetleri, nternet ile karlayabilecei seviyeye inmitir.

nternette alan maazann genel giderlerinin ok dk olmas, dorudan sat

fiyatlarna da yansmaktadr. nternet mterilerin firmalara, srekli geri bildirimde

bulunma imkan da sunmaktadr.

Sanal i dnyasnda maaza amak iin, web sitesinin teknik altyapsnn ve ieriinin

oluturulmas ve deme ilemleri iin de sanal POS (V-POS) alnmas gerekmektedir.

Muhasebe, stok, vb. ilemleri ile de entegrasyonu salanabilecek Sanal Maazaya

Mterilerin gvenli eriimini iin, SSL standart kullanlmaktadr. Satc firma, bir

onay kurumundan ald elektronik web sitesi kimlii ile maazasnn sanal dnyadaki

kaydn gerekletirmektedir. Mteri ile Satc Firma arasndaki iletiimde gvenlii

salayan SSL; internette ulalan adresin gerekten aranan maaza olup olmadn

kontrol etmekte ve bilgilerin ifrelenerek gnderilmesini salamaktadr.

Satc firma ile banka arasndaki iletiimin gvenlii ise SET protokol ile

gerekletirilmektedir. Mteriden SSL ile alnan deme bilgileri (kredi kart), satcfirma tarafndan bankaya SET protokol ile ifrelenerek gnderilmektedir. Banka,

mterinin hesabnn uygun olmas durumunda, alveriini onaylamakta ve provizyon

bilgisini satc firmaya gndermektedir. Satc firma, mterisine sipariin

tamamlandn bildirdikten sonra bankaya balanarak alveri tutarn hesabna

aktarmaktadr.


9/46

3. E-TCARET TAHMNLER

Dnyada firmalararas E-Ticaret; toplam E-Ticaret hacminin %90nn oluturmaktadr.

Aslnda ilem says olarak irdelendiinde firma-tketici arasndaki E-Ticaret ilemi

ok daha yksektir, ancak, firma-firma arasnda bir seferde yerine getirilen ilemin

parasal hacminin bykl yukarda deinilen orann ykselmesine neden olmaktadr.

Internet in ticari uygulamalarna genel olarak e-ticaret(e-commerce) denir.

OECD E-Ticaret Tahminleri

Ticari Web Sitelerinin Faaliyet Alanlarna Gre Dalm (%) gsteren tablo asagidasunulmutur. Buna gre Yetikinlere ynelik alanlar ncelikli sray alrken onu rezarvasyon

ilemleri takip etmektedir. zellikle Internet zerindeki alveri gvenliliin salanmas ile bu

orann daha da artacag degerlendirilmektedir.


10/46

4. E-TICARETIN FAYDALARI

E-ticaretin ve Internetn klasik ticaret ortam ve yntemlerinden ayran avantajlar aadaki gibi

sralanabilir.

Mteri sadakati

Karll arttrmak

Mteri hizmetleri maliyetlerini azaltmak

24 saat 7 gn sat

Internet dinamiktir. Eklemeler ok ksa srede ve basite yaplabilmektedir. Bilgi

srekli olarak dk bir maaliyetle gncellenebilir. Interaktif marketilik

stediiniz yere sat / stediiniz yerden alveri :

Satclar, rn ve hizmetlerini tm dnyaya satma imkan bulurken, alclar da sunulan

rn ve hizmetler arasndan kolayca seim yapabilirler. Ak a zerinden gerekleen

E-Ticaret faaliyetleri, elektronik iletiimi arttrmtr. Bu ise, iletmelere, tm

tketicilere ve dier iletmelere daha ucuz ve kolay bir ekilde ulama olana

salamaktadr. Pek ok iletme, bu yolla pazarlama a kurmadan rnlerini

pazarlayabilmektedir. Self servis alveri

Rekabette stnlk / Hizmet kalitesinde art :

Satclar, mterilerine daha yakn olduklarndan, rakiplerinden daha ok tercih edilir.


11/46

Mteriler de daha kaliteli hizmete kavuur. Elektronik ortamda retim, pazarlama ve

datm faaliyetleri maliyetleri drmesi nedeniyle, E-Ticaret iletmelere, ulusal ve

uluslararas dzeyde rekabet stnl salamakta ve rekabeti artrmaktadr.

Kiiselletirilmi rnleri ucuza mal edebilme / Kiiselletirilmi rnlere ulaabilme

Satclar, mterilerinin ihtiyalarn ayrntl ve hzl bir ekilde renebilir, onlara

ekonomik fiyatlarla zel hizmet sunabilirler. Mteriler de kendilerine uygun rnlere

daha uygun fiyatla sahip olurlar.

Araclarn azalmas / htiyaca hzl eriim :

E-Ticaret, rn ve hizmetleri, ou kez , reticiden tketiciye aracsz olarak ulatrr.

Bu nedenle, maliyet ve zaman asndan hem satc hem de alc avantajldr. Ulusal ve

uluslararas ticari ilemlerin elektronik ortamda yrtlmesi zamann etkin

kullanlmasn salamaktadr. Bylece rnlerin sipari edilmesi ile teslimi arasnda

geen sre asgariye inmekte, zamandan kaynaklanan maliyetler ile stok maliyetleri

dmektedir.

lem maliyetinden tasarruf / Daha ucuz rn ve hizmetler :

Elektronik ortamda yaplan ilemler normal ilemlere oranla ok daha ucuza mal

olduundan, hem satc hem de alc nemli lde tasarruf edebilir. Elektronik

ticarette ihtiya duyulan belgeler elektronik ortamda hazrlanmakta, bu bilgi ve belgeler

ilgililerin kullanmna sunulmaktadr. Bylece, ilemler minimum hata ile ksa bir sreiinde ve krtasiye masraf denmeksizin tamamlanmaktadr. nternet e dayal E-

Ticaret ve elektronik datm sistemleri uluslararas ticareti hzlandrmaktadr.

Tketiciler iin ilem maliyetleri ve nakliye masraflar dmektedir. Tketiciler

evlerinden kmadan sorun yaamadan ve zaman harcamadan sanal maazalardan

alveri yapabilmektedirler.

Yeni i imkanlar / Yeni rnler :

E-ticaret, mevcut rn ve hizmetler iin pazar yaratmann ve ticaretin yapsn

deitirmesinin yansra, birok yeni rn ve hizmeti de beraberinde getirmitir. E-

Ticaret, mal ve hizmet piyasalarnn yapsn deitirmekte, yeni rnler, yeni

pazarlama ve datm tekniklerine yol amakta, hzl bir ekilde rn gelitirilmesi, test

edilmesi ve mteri ihtiyalarnn tespit edilmesini olanakl klmakta, pazar talebindeki

deiikliklere hzla yant verebilmektedir. Tketiciler internet sayesinde, yeni mamul


12/46

ve rn bilgilerine kolay ulaabilmekte, bilgi sahibi olmakta ve alternatif rnleri

karlatrarak, kolayca satn alabilmektedir.

E-Ticaret, ekonomik bir olgu olmasna karn, sosyal ve politik yaam etkilemektedir.

Ekonominin bilgi ve bilgiyi ynetme temeline dayanmas, eitim, kltr, salk ve

sosyal gvenlik gibi alanlarda internet kullanlmasn yaygnlatrmtr. Bu durum

sosyal politikalarn yeniden gzden geirilmesine yol amtr.

5. E_TICARETIN OLUMSUZ YONLERI

E ticaretin olumlu yanlarna karn baz olumsuzluklar da bulunmaktadr. Bunlar;

E ticaret, bilim ve teknoloji reten, sratle ekonomik ve toplumsal faydaya

dntren gelimi lkeler ile endstri toplumu olmadan bilgi toplumu olmaya

alan geri kalm ve gelimekte olan lkeler arasndaki refah dzeyi farkn daha da

arttracaktr.

Elektronik ticaret, bir yandan yeni i alanlar, grev ve unvanlar ortaya karrken,

dier yandan da organizasyonlarn yatay ve dikey olarak bzlmesi ve geleneksel

ticarette rol alan baz unsurlarn ortadan kalkmas nedenleri ile igc fazlas ortaya

kacak, dolays ile isizlik artacaktr.

E ticaret, btn ile ele alndnda teknik yaps itibari ile denetime msait birnitelikte deildir. nternet e girmek, yararlanmak ve eitli olanaklar kullanmak iin

herhangi bir yasal formalite, bavuru izni, onay gibi ilemler sz konusu deildir.

nternet in hukuki anlamda bir sahibi yoktur. Bu nedenle internet in kullanmnda

ortaya kabilecek suiistimalleri, arlklar, usulszlkleri, kural d davranlar

denetleyip, yaptrm uygulayacak merkezi bir otoritede bulunmayacaktr.

nternet e girmek iin birinci koul bir bilgisayar sahip olmak, ikinci koul bu

bilgisayar modem taklmasn salamaktr. nc olarak bir telefon aboneliine

ihtiya vardr. Son olarak da bilgisayarn internet ortamna girmesini salayan internet

servis salayclar(ISS) vardr. Bunlar internette ilem yapmann balang maliyetini

oluturur ve internette ilem yapma maliyetinin yksek olmasna neden olur.


13/46

Elektronik ticaretle birlikte, hem vergi politikas hem de vergi hukuku alannda yeni

gelime ve sorunlar ortaya kmtr. Uluslar aras E-Ticarette verginin tahsilat, deme

aralarnn gelitirilmesi, gmrk prosedrlerinin basitletirilmesi, E-Ticarete uygun

hale getirilmesi nemlidir ve zlmesi zorunludur.

Dier bir finansal sorunu, elektronik fon transferi, elektronik para, kredi kartlar,

elektronik deme aralar oluturmaktr. Dnya zerinde internet in gittike

yaygnlamas sonucu ticaretin de bu iletiim kanallar ile yaplmaya balamas

neticesinde elektronik para (E-Money) bir deme arac olarak kullanlmaya balamtr.

E-para, kiide bulunan elektronik bir araca yklenmi mali bir deer veya kiisel fonu

ifade eder. Elektronik araca yklenmi olan bu deer, kii arac kullandka azalr ve

yklenmi olan deerin bitimi sonucu tekrar deer yklenilmesi gerekir.

Elektronik ticaret ve internet ilemleri ile ilgili bir dier nemli konu yasal dzenleme

yetersizlii ve belirsizliidir. Yasal belirsizlik zellikle internet araclyla yaplan

ticaretin gelitii lkelerde dzenleme boluu ortaya karmtr. Mevzuat zellikle

kamu hukuku alannda yetersiz kalmaktadr ve bu bakmdan da ciddi sorunlarn bu

alanda ortaya kabilecei sylenebilir.

Telekomnikasyon altyaps iyiletirilmeli herkesin bu hizmetlerden yararlanmasna

imkan tannmaldr.

Elektronik ticaretin tm ekilleri zellikle internet zerinden ticaret, iletiim alt yaplaryolu ile bilgi ak salanarak yaplmaktadr. Bu durum internette bir skmaya,

dolaysyla da bir problemin ortaya kmasna yol amaktadr.

letiim ve bilgi teknolojileri pazarlarnn rekabete almasnn nndeki engeller

kaldrlmaldr.

letiim alanndaki teknik standartlar belirlenmelidir.

Copyright/Telif Haklari:

Bilindigi gibi, internet; film, mzik ve kitap gibi bilgi ve eglence rnleri iin dskmaliyetli bir dagitim kanalidir. Video, compact disk veya kitap gibi bazi rnlerin

fiziksel dagitimi yerine internetten indirilmesi (download edilmesi) daha kolay ve

ucuzdur. Bu gibi nedenlerle izin ve telif hakki alinmayan rnlerin internet zerinden

satisi hizla yayilmaktadir.

Sifreleme yntemleri gibi teknolojik gelismeler, korsanligi ve hileciligi nlemeye


14/46

yardim etse bile, entelektel sermayenin korunmasi veya bununla ilgili bir sorun iktigi

zaman zlebilmesi iin, etkili bir yasal altyapinin olusturulmasi zorunludur.

6.E-TCARETTE VERGLEME SORUNU

Globalleme ve teknolojinin gelimesiyle birlikte ortaya kan sorunlarn banda vergileme

sorunu gelmektedir. Sermaye ve emein, yksek vergilerin bulunduu lkelerden daha dk

lkelere kaymasnn kolaylamas, ok uluslu irketlerin retimlerini birden ok lkede para

para gerekletirmeleri, internet ve elektronik ticaretin gelimesiyle birlikte sanal irketlerin

ortaya kmas, bu irketlerin yerinin kesinlik gstermemesi, irket ve mterilerin farkl

lkelerde olmas ve dolaysyla farkl vergi dzenlemelerine tabii olmas gibi faktrler

vergileme sorununa yol aan nedenlerden sadece bazlardr.E-ticarette, vergi idaresi vedenetimi konusunda iki potansiyel soruna dikkat ekilmektedir. Bunlardan birincisi, internetin

bilgiye eriimi kolaylatran ve bylelikle vergi denetimini zorlatran bir yaps olduudur.

kinci sorun ise, ticari ilemleri gerekletirenin gerek kimliinin ve yerinin saptanmasndaki

glklerdir.

Gelirler zerinden alnan vergilerde, gelirin kayna ve ikametgah konularnda, tartmalar

devam etmektedir. Bu konuda, ABD hkmeti ve OECD farkl grleri savunmaktadr. ABD

Hazine Bakanl yaynlad bir raporda, ikametgah esasna dayal vergilendirmenin daha iyi

bir yntem olduuna dikkat ekmitir. Raporda, corafi unsurlara (rnein servis salaycnn

bulunduu yere) atf yaplmak suretiyle gelirin kaynan belirlemeye alan yaklamlarn

temelindeki mantn iletiim teknolojilerindeki son gelimeler karsnda zayflad

belirtilmitir. OECD Elektronik Ticaret Vergi Aratrma Grubu tarafndan hazrlanan bir rapora

gre; ikametgah esasna dayal vergilendirmenin o kadar kolay olmayaca ifade edilmi,

bunun yerine uluslararas bir uzlamann gereklilii vurgulanmtr.

Harcamalar zerinden alnan vergilerle ilgili ana eilimden sz edilmektedir. lk gre

gre, internette yaplan alveriler vergi d tutulmaldr. kinci gr, mevcut vergilerin

internet zerinden yaplan alverilere de uygulanmasn ancak yeni vergiler konulmamasn

nermektedir. Son gr, zellikle bilgisayar alar zerinden sat yaplan saysal rnlerin


15/46

vergilendirilmesiyle ilgilidir. Bit vergisi olarak adlandrlan bu vergi ierikten bamsz

olarak vergilendirme yapt iin eletirilmektedir.

OECD, bnyesinde yaplan aratrmalar sonucunda, etkin ve uygun bir internet vergilendirmesi

iin dikkate alnmas gerekli ilkeleri aadaki gibi sralamtr (Ekin, 1998:119).

- Sistem adil olmaldr : Ayn durumdaki vergi deyenler benzer ilemleri yaptklarnda ayn

ekilde vergilendirilmelidir.

- Sistem basit olmaldr : Vergi otoritelerinin ynetim masraflar ve itiraz masraflar dk

tutulmaldr.

- Kurallara aklk getirmelidir : Bir ilemin vergi sonucu, nceden bilinmeli, vergi veren neyin

vergilendirildiini ve bu vergiyi nerede deyeceini bilmelidir.

- Sistem etkin olmaldr: Vergi kayplar asgariye indirilmelidir.

- Ekonomik sapmalardan kanlmaldr : irket kararlar vergi yaklamlarndan ziyade ticari

amalarla verilmelidir.

- Sistem yeterli lde esnek ve dinamik olmaldr : Vergi kararlar teknolojik ve ticari

gelimeleri izlemelidir.

Elektronik ticaretin bu potansiyelini gren devletler, internet ilemlerinin vergilendirilmesinde,

vergi kaybna neden olmayacak fakat, ifte vergilendirme veya haksz vergilendirmeye de yol

amayacak dzenlemeleri gerekletirmek iin almalarna devam etmektedirler. Burada

belirtilmesi gereken nemli bir husus, bu tr almalarn dier devletlerle birlikte yrtlmesi

ve soruna uluslararas ortak bir zmn bulunmas gerektiidir.

7.ELEKTRONK DEMELERDE ORTAYA IKAN SORUNLAR

Yeni teknolojiler, Internet zerinde, mallarin ve hizmetlerin bedellerini islemin yapildigi anda

demeyi olasi kilmistir. Elektronik deme yntemlerinden birisi, Internet yoluyla, bilgisayar

kullanici arabirimiyle, kredi kartlarini kapsayan mevcut elektronik bankacilik ve deme

sistemlerine baglanmaktir. Ayrica elektronik para, akilli (Smart) kart ve diger teknolojiler

gelisme halindedir. Elektronik ticaretin temel karekteristiklerinden birisi de aracilara olan

gereksinimi ortadan kaldirmasidir. Bankacilik ve benzeri finansal hizmetlerde, zellikle


16/46

elektronik para ile demelerin yapilmasi hallerinde aracilara gerek bulunmamaktadir.

Gnmzde, nakit, kredi kart ve sat noktasndan fon transferi (EFT/POS) gibi geleneksel

deme sistemleri tam kullanl deildir ve bu deme sistemleri, gvenlik veya sistemlerin

yeteri kadar etkin olmamas nedeniyle yetersiz kalmaktadr. nternet gibi tam gvenli olmayan

ortamlarda, demelerin gvenlii ve bugnk deme sistemlerinin yksek ilem maliyeti gibi

problemleri zmek iin yeni deme sistemleri gelitirilmektedir. Geni anlamda, elektronik

deme sistemleriyle, bir deme ileminde yer alan alc, satc ve banka arasndaki fon

transferinin elektronik cihazlar zerinden yaplmas kastedilirse de, aslnda elektronik deme

sistemleri, elektronik para, smart kart ve benzer aralarla yaplan demelerdir. Dijital para,

elektronik czdan, akll kart, elektronik para gibi duyduumuz yeni kavramlar, elektronik

deme sistemlerinin birer parasdr.

Elektronik deme sistemlerinin gelimesi, elektronik ticareti de gelitirecektir. nk, e-

ticaretin hzl geliiminin karsndaki en byk engel olan, gvenli deme sorunu zlm

olacaktr.

Elektronik deme sistemlerinin gelitirilmesinde ve uygulanmasnda, tam zme

kavuturulamam; gvenlik, gizlilik, kimlik belirleme, kt amalarla kullanlabilme olasl

gibi baz sorunlar mevcuttur.

7.1 Dijital Para

Dijital para veya e-para bankalar tarafndan baslan say dizisidir. E-paray kullanabilmek iin,

hem kullancnn hem de satcnn bir bankada e-para hesabnn olmas gerekir. Banka e-paray

ynetmeye ve transfer etmeyi salayan bir yazlm verir. Kullanclar normal hesaplarndaki

paralarn e-paraya evirerek yazlma transfer edebilirler. E-para kullancnn hard disk'inde

depolanr ve harcanana kadar burada kodlanm biimde tutulur.

E-parann en byk avantajlarndan birisi dk aktarm masrafdr.

7.2 Elektronik ek

Elektronik ek, kat ekle hemen hemen ayn zelliklere sahiptir. Aslnda, baz sistemler

mterinin Web ierisinde bir form doldurmasn isteyebilir. Bu veri daha sonra satcya


17/46

transfer edilerek, bo ek formlaryla kat ek olarak dzenlenir. Bu ek daha sonra bankadan

onaylanarak deme ilemi yaplr.

8.INTERNETTE GVENLK

Internet kullanmnn artmasyla beraber bata finansal kurumlar olmak zere birok kurulu

ticari ilemlerini Internet'e tamaya balamtr. Bylece bilgilerin herkese ak bir a zerinde

dolamasnn yaratt hakl tedirginlik gndeme gelmi, bu konu youn bir ekilde

tartlmaya balanmtr.

Internet'te gvenlik konusu iki temel balk altnda incelenebilir:

1.Yazlm ve a altyapsndan dolay meydana gelebilecek sorunlar Bu kapsamda Internet'e

balandnz servis salayclarn ve kiisel bilgilerinizi verdiiniz kurumlarn bu bilgileri

sakladklar ortamlar ve i gvenlikleri ile bilgisayarlarn Internet'e bal olduklar srede

maruz kaldklar riskler ve nlemler yer alr. ISS'ler, finansal kurumlar, bankalar ve hizmet

verebilmek iin duyarl bilgiler toplamas gereken siteler (elektronik ticaret siteleri, salk

danmanl hizmeti veren siteler vb.) mterilerinden aldklar kiisel bilgilerin gvenliini

salamak iin gereken altyapy oluturmakla ykmldrler. Bu tr kurulular kendi i

alarn Internet yolu ile gelecek tehlikelere kar korumak iin firewall zmleri, virusgateway zmleri gibi teknolojik nlemler almaktadrlar. Bunlara ilave olarak gvenilir

kurumlar, veri tabanlarnda tutulan bilgilerden nemlilerini ifrelenmi olarak tutmakta, bu

bilgileri ifrelenmi olarak irket iindeki ilemlerde kullanmaktadr.

2. Internet zerinde veri ak srasnda, bilgilerin eitli teknik aklar deerlendirilerek kt

amal kullanm iin ele geirilme tehlikesi.Genel bir Internet kullancsnn verebilecei

bilgilerin arasnda kendi gvenlii ve mahremiyeti asndan sakncal olabilecek kredi kart

bilgileri, kullanc isimleri ifreler, adres ve telefon numaralar bulunmaktadr. Bu bilgiler

genellikle, elektronik ticaret veya finansal ilemler (rnein bireysel bankaclk) srasnda

Internete alr, ve ele geirilme olaslklar belirir. Elektronik ticaret ve finansal ilemlerin

yrtld siteler Internet'ten bilgi alveriini ifreleyerek gerekletirdikleri iin genel

olarak gvenlidirler. ifrelenmi bilgi Internet zerinde iletilirken ele geirilse bile, ifrenin


18/46

krlmas ok byk bir yatrm ve olduka uzun bir zaman dilimi gerektirdiinden gvenli

olduu kabul edilebilir ifreleme amacyla yaygn olarak SSL (Secure Socket Layer) gvenlik

standard kullanlmaktadr. Ayrca gvenliin salanmas amacyla yaygn olmamakla birlikte

SET (Secure Electronic Transaction) protokol ad verilen ve gvenlii bir kat daha arttran bir

sistem de kullanlmaktadr.

9.E-TCARETTE GVENLK SORUNU

Elektronik ticaretin gelimesinin karsndaki en byk engel, gvenlik olarak grlmektedir.

nternet zerinden gerekletirilen ticari faaliyetlerde karlaabilecek gvenlik sorunlar unlar

olabilir.

- - Giri yetkisi verilmeyen a kaynaklarna giri,

- - Bilgi ve a kaynaklarn imha etmek, zarar vermek,

- - Bilgiyi deitirmek, kartrmak veya bilgiye yeni eyler eklemek,

- - Yetkisiz kiilere bilginin iletilmesi,

- - Bilgi ve a kaynaklarnn alnmas,

- - Alnan hizmetleri ve gnderilen veya alnan bilgiyi inkar etmek,

- - A hizmetlerinin kesilmesine ve bozulmasna neden olmak,- - Almad veya gndermedii bilgileri aldn veya gnderdiini iddia etmek.

Elektronik ticarette gvenlik sorunu, adan incelenebilir.

Gvenlik Duvarlar:

Gvenlik duvar , korunmu alara veya sitelere yalnzca belirli zelliklere sahip d

kullanclarn girmesine izin veren yazlm veya donanm olarak tanmlanabilir.

Kullanclar, kullanc ad, ifre, internet IP adresi veya alan ad (domain name) kullanarak

sisteme girebilirler. Gvenlik duvar, irket ayla, d internet arasnda bir bariyer oluturur.

Yetkili olmayan kiiler, dorudan a ierisindeki bilgisayarlara giremez. Fakat, yetkili i

kullanclar, a dndaki internet hizmetlerinden yararlanmaya devam eder. Gvenlik duvar,


19/46

a dndan izinsiz girileri nlemek amacyla kullanlabilecei gibi, iletme iinde alanlarn

gizli veya stratejik bilgilere ulamasn engellemek iin de kullanlabilir.

ifreleme ve lem Gvenlii:

Bilginin kanallar zerinden iletilmesi srasnda, alnma ve deitirilme riski olmadan alcya

gnderilmesi byk nem tamaktadr. Bunun iin, eitli kriptografi yntemleri ve aralar

gelitirilmitir. Kriptografi veya kriptoloji (cryptology), gvenli bilgi iletiimi ve/veya

saklanmas iin, ifreleme ve ifre zme yntemlerini treten, gelitiren ve inceleyen bir bilim

daldr ifreleme ilemiyle, gnderilen bilgi, anlamsz saysal veriye dntrlmekte ve

alcya gnderilmektedir. Alc ise, yine anahtar ifreyi kullanarak, anlamsz saysal veriyi

zgn haline dntrmektedir. Farkl ifreleme yntemlerine ve ifre altyaplarna sahip

kriptografi trleri vardr. Bunlar, farkl matematiksel modelleri, ifreleme ve ifre zme

amacyla tasarlanm farkl yazlm ve donanm sistemleri kullanmaktadr.

Gnmzde yaygn olarak kullanlan kriptografi trleri, ak-anahtarl kriptografi ve tek/gizli

anahtarl kriptografi olmak zere iki eittir. Gizlilii ve gvenlii salamak amacyla bu

yntemlerde kullanlan aralar; dijital sertifikalar, dijital ve elektronik imzalar ve onay

kurumlardr.

World Wide Web Gvenlii ve nternet Gvelik Protokolleri:

Elektronik ticarette, kullancnn kimliini kar tarafa bildirmesi, kar tarafn da kendi

kimliini kullancya bildirmesi nemlidir. zellikle, internet zerinden alveri yaplmasnda

ve internet zerinden elektronik deme sistemlerinde gvenlii salamak amacyla eitli

internet gvenlik protokolleri gelitirilmitir. Bunlardan yaygn olarak kullanlan SET ve SSL

protokolleridir. Bunlarn dnda, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose

Internet Mail Extensions), PPTP (Point to-point Tunneling Protokol) ve SOCKSS gibi

gvenlik uygulamalar da mevcuttur.

Elektronik ticarette alc ve satc birbirlerini grmeksizin i yaptklarndan karlkl olarak

gvenin salanmas iin ek bir takm nlemler almaya ihtiya duyarlar. ncelikle alc ve satc


20/46

taraflar birbirlerinin kimliklerinden emin olmak isterler. te bu ihtiya dijital imza ve dijital

sertifikalarn gelitirilme nedenidir. Bunlar araclyla iki taraf birbirlerinin kimliinden emin

olabilmektedir.

Elektronik ticarette alclarn elektronik ticaret sitelerinden alveri yapmak iin vermek

durumunda kaldklar kredi kart vb. bilgilerin Internet zerinden iletilirken nc ahslarn

eline gemesi riski vardir.

Ancak elektronik ticarette kredi kart bilgilerinin bakalarnn eline geme riski gnlk

hayattakine gre ok daha azdr. Gnlk hayatta deme yaparken kredi kart bir bakasna

verilmekte, bu yzden kredi kartnn zerindeki bilgilerin gizlilii byk oranda ortadan

kalkmaktadr. Sanal alveri hizmeti veren firmalar, kredi kart bilgilerinin gvenlii ve

gizliliini salamak iin yaygn olarak SSL ve SET gibi gvenlik standartlarnkullanmaktadrlar. Kullanc, iyeri ve banka arasndaki veri ak srasnda bilgilerin

ifrelenerek aktarlmas esasna dayanan gvenlik sistemleri sayesinde bilgilerin baka bir

kiinin eline gemesi durumunda zlebilmesi (yani kullanlabilmesi) nlenir. Bylece kart

bilgilerinin gizlilii ve alveriin gvenlii salanm olur.

SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi gvenli bir

ekilde "sadece" doru kiiye iletilir ve bilgiyi gnderen bilgisayar ile alan bilgisayar arasnda

gvenli bir veri iletiimi kurulur.

Bylece, kredi kart numaras, isim, adres vb gibi bilgiler gvenli olarak iletilir. nternet

zerinde alveri yaplan tm merkezlerde alveri yaplrken bu tip gvenlik sistemleri

kullanlr. 128 bit ifreleme algoritmalar kullanan bu sistemler, e-ticaret iin gerekli "gvenli

iletiim" ortamn salarlar.

Web zerinde browser ile sunucu arasndaki haberlemeleri kriptolamada SSL (Secure Sockets

Layer) dominant bir protokoldr. SET (Secure Electronic Transactions) ise kredi-kart-tabanltransferlerde koruma salamay amalayan bir protokoldr.


21/46

nternette alveri yaparken, deme ekranlarnda ncelikle kredi kart ve ahsi bilgilerinizi

paylatnz ortamlarn sayfa almlarnn "http:// " yerine "https://" ile balamasna dikkat

etmek gerekir. Normal artlarda bu tip sayfalara ulatnzda gvenli sayfalara erimektesiniz

gibi bir uyar notu grntye gelir. Sayfa alnca da ekrannzn alt blmnde bir asma kilit

grnr. ncelikle bu asma kiliti tklayarak, szkonusu gvenli sayfann kime ait olduunu

kontrol edin. Normal artlarda szkonusu sayfann alveri yaptnz firmaya ait olmas

gerekmektedir.

10. SSL (Secure Socket Layer)


22/46

SSL teknolojisi TCP/IP protokol zerinden alan, web sunucusu ve web taraycs

arasndaki tm bilgi akn koruyan bir gvenlik protokoldr. Btn popler web

tarayclarda ve web sunucularda uygulanmaktadr. Bugnn web zerinden elektronik ticaret

ve elektronik i uygulamalarnda nemli bir rol vardr. SSL protokol iki taraf arasnda

gvenli ve gizli iletiimin salanmasnda elektronik kimlik belgelerini kullanr. SSL balants

zerinden gnderilen veriler nc ahslar tarafndan bozguna uratldnda, bundan

taraflarn annda haberi olur.

Bu sistemde kredi kart bilgileri SSL teknolojisiyle ifrelendikten sonra online olarak bankaya

yollanmaktadr ve bilgiler alveri yaplan maaza alanlar tarafndan grlememektedir.

10.1 SSLin Tarihesi

SSL 1994 ylnda Netscape Navigator browser`nn ilk srm ile tantld. Navigatorùn

haberlemeyi kriptolayabilmesi Netscapeìn seilmesinde ana etkendi.

Ayn yl ierisinde CommerceNet ad verilen i gruplar koalisyonu tarafndan S-HTTP adnda

rakip bir kriptografik protokol sunuldu. S-HTTP ve SSL tarafndan kullanlan kriptografik

ilkeler ayn olsa da (dijital zarflar, imzal sertifikalar, mesaj zetleri) aralarnda iki nemli fark

vard:

1) S-HTTP sadece web protokolleri ile alacak ekilde dizayn edilmiti.

2) SSL popler olan cretsiz bir browser ierisinde bulunuyordu. S-HTTP ise kullanclarn

satn almak zorunda olduu NCSA Mosaicìn modifiye edilmi bir srmnde bulunuyordu.

SSL ksa sre ierisinde web zerinde baskn gvenli protokol oldu ve S-HTTP unutulmaya

yz tuttu.

SSLìn adet srm vard. SSL 1, Netscape ierisinde dahili olarak kullanld ve baz ciddi

hatalar ierdiinden piyasaya srlmedi. SSL 2.0 Netscape 1.0 ile 2.x srmleri ierisine dahil

edildi fakat 'man-in-the-middle' saldrlar ile ilgili baz zayflklar ieriyordu. Ek olarak iki

niversite rencisi Netscapeìn rastgele say reticisindeki bir aktan yararlanarak SSL 2.0`

dakikalar ierisinde krd.


23/46

SSL`in gvenlii konusunda oluan endielerden yararlanmak isteyen Microsoft 1996 ylnda

Internet Explorer`n ilk srmnde rakip protokol PCT`yi sundu. Netscape karlk olarak 2.0

daki problemlerin giderildii ve (Diffie-Hellman anonim anahtar deitokuu ve Fortezza akll

kart destei gibi) yeni zelliklerin eklendii SSL v3.0` sundu.

Bu noktada Microsoft geri adm atarak Internet yazlmlarnn tm srmlerinde SSL`i

desteklemeye karar verdi (geriye uyumluluk iin halen PCT destei bulunuyor). SSL v3.0

Netscape Navigator 3.0 ve yukars srmlerde ve Internet explorer 3.0 ve yukarsnda

bulunuyor.

Gnmzde ticari web sitelerini ziyaret eden kullanclar kt niyetli kiilerin varlndan

dolay bazen kredi kart veya banka hesap numaras gibi bilgileri web sitesine vermekten

ekinirler.Bir web server gvenlik zellii olarak gelitirilen Gvenli Soketler Katman(SSL) 3.0

protokol gvenlii salar ve kullanclarla "encrypt" edilmi bir balant kurmaya olanak

salar. SSL snrlandrlm web sitelerine erien kullanclarn kimliini gvenilir bir ekilde

kantlyorken web ieriinizin authenticity (doruluunu) garanti eder.

SSL 3 temel tipte gvenlik salar:

Server authentication : Bir SSL balants kurulduunda ve gvenli iletiimsinyali gzktnde, URL'nizde belirlediiniz sunucuya balandnzdan

gerekten emin olabilirsiniz.

Encryption ile gizlilik salama: SSL kullanarak istemci ve sunucu arasnda gvenli bir

balant kurabiliyoruz. HTTP kullanarak istemci ve sunucu arasnda iletilen bilgi encrypt

edilemez. Bu nedenle istemci ve sunucu arasnda

iletilen bilgi yetkilendirilmemi eriimler tarafndan grlebilir.

Verilerin btnl: SSL kullanan bir gvenli balant , bir gvenli HTTP

sunucudan aldnz verilerin sunucu tarafndan size yollanan veriler ile ayn

olmasn garantiler.


24/46

1996 ylnda 3.0 versiyonunun karlmasyla hemen btn Internet

tarayclarnn (Microsoft Explorer, Netscape Navigator vb) destekledii bir

standart haline gelmi ve ok geni uygulama alanlar bulmutur.

SSL, gnderilen bilginin kesinlikle ve sadece doru adreste deifre

edilebilmesini salar. Bilgi gnderilmeden nce otomatik olarak ifrelenir ve

sadece doru alc tarafndan deifre edilebilir. Her iki tarafta da dorulama

(authentication, iki bilgisayarn karlkl olarak birbirini tanmas) yaplarak ilemin ve

bilginin gizlilii ve btnl korunur.

Bilgisayarlarn birbirlerini "tanma" ilemi, ak-kapal anahtar tekniine (public-private key

encryption) dayanan bir kripto sistemi ile salanr. Bu sistemde, iki anahtardan oluan bir

anahtar ifti vardr. Bunlardan ak anahtar (public key) herkes tarafndan bilinebilen ve

gnderilen mesaj "ifrelemede" kullanlan bir dijital anahtardr. Ancak, ak anahtar ile

ifrelenen mesaj sadece bu anahtarn dier ifti olan "kapal anahtar" (private key) ile alabilir

(deifre edilebilir). Kapal anahtar da, sadece sizin bildiiniz bir anahtar olduundan, mesaj

gvenlii salanm olur. rnek olarak, size mesaj gndermek isteyen birine kendi ak

anahtarnz gnderirsiniz. Kar taraf bu anahtar kullanarak mesajn ifreler ve size gnderir.

ifrelenen mesaj, sadece sizde olan ikinci bir anahtar (kapal anahtar, private key) zebilir vebu anahtar sadece siz bilirsiniz. Veri aknda kullanlan ifreleme ynteminin

gc kullanlan anahtar uzunluuna baldr.

Anahtar uzunluu bilginin korunmas iin ok nemlidir. rnein; 8 bit zerinden bir iletimin

zlmesi son derece kolaydr. 8 bit ise sadece 28=256 olas farkl anahtar ierir. Bir bilgisayar

bu 256 farkl olasl sra ile inceleyerek bir sonuca ulaabilir. SSL protokolnde 40 bit ve 128

bit ifreleme kullanlmaktadr. 128 bit ifrelemede 2128 deiik anahtar vardr ve bu ifrenin

zlebilmesi ok byk bir maliyet ve zaman gerektirir. Kt niyetli bir kiinin 128 bit'lik

ifreyi zebilmesi iin 1 milyon dolarlk yatrm yaptktan sonra 67 yl gibi bir zaman

harcamas gerekir. Bu rnekten anlald gibi SSL gvenlik sistemi tam ve kesin bir koruma

salar.

Anahtarlar retilirken kullanlan baz popler algoritmalar olarak, DES (Data Encryption


25/46

Standard), RSA, IDEA verilebilir. Bunlardan RSA'nn RC4 algoritmas (128 bit ifreleme

olarak) Netscape ve Internet Explorer'da da kullanlan bir algoritmadr.

stemci bilgisayar, SSL destekleyen bir sunucuya baland anda, (bu, https:// ile balayan

URL satrlar ile gerekleir) dorulama ilemi balar. stemci, kendi ak anahtarn sunucuya

gnderir. Sunucu ise, bu anahtar kullanarak ifreledii bir mesaj istemciye geri

gnderir. Bir sonraki admda istemci sadece kendinde olan kapal (private)

anahtar kullanarak gelen ifreli mesaj zer ve sunucuya geri gnderir. mesaj

ieriinin yolda herhangi bir ekilde deitirilme olaslna kar olarak da

saysal imza ile imzalanr ve ifreli mesaj imzasyla birlikte gnderilir veya alnr.Mesaj alan

sunucu ise, bunu kendisinin gnderdii orijinal mesaj ile karlatrr ve eer iki mesaj "ayn"

ise "dorulama" ilemi baaryla tamamlanmtr ve sunucu bu noktadan itibaren "dorubilgisayarla/kiiyle" iletiimde olduunu anlar. Daha sonra sunucu istemciye o an gerekleen

web oturumunda kullanlacak tm nemli anahtarlar gnderir ve gvenli iletiim balar.

Bu yntem sayesinde SSL web zerindeki iletiimde hem transfer edilen bilginin gizliliini ve

btnln salamakta , hem de istemci ve sunucunun kimliklerini dorulamaktadr.

Daha sonra SSL balants kurulur ve sunucu-kullanici arasndaki tm veriler nc ahslarn

mesaj okumasn nlemek amacyla ifrelenir, SSL / Sunucu Kimlik Dorulamas olarakadlandrlan bu ilemlerin amac kullancya baland sitenin gerekten balandn

dnd site olduunun ve sunucuya gnderilen bilgilerin gerekten de sadece o sunucu

tarafndan okunabileceinin spatnn salanmasdr. Kullanc bundan emin olmak iin SSL

balants sresince sunucudan gelen her bilgiyi web sayfasnn gvenlikle ilgili zelliklerine

bakarak kontrol etmelidir. Eer yabanc veya farkl bir sunucunun kimliiyle karlalrsa

balanlan sunucu balanld sanlan sunucu deildir ve iletiimin gvenlii tehdit altndadr.

SSL, web sunucusunu tanmak iin, dijital olarak imzalanan sertifikalar kullanr. Sertifika,

aslnda, o organizasyon hakknda baz bilgiler ieren bir veri dosyasdr. Ayn zamanda da,

kuruluun ak-kapal anahtar iftinin "ak" anahtar da sertifika iinde yer alr. Sunucu

sertifikas da, o sunucuyu ileten kuruma ait bilgiler ieren bir sertifikadr.


26/46

10.2 SSL karakteristikleri

SSLìn transport katmannda bulunmasnn ana sebeplerinden biri spesifik olarak HTTP

protokol iin yaplmam olmasdr. Bu zellik SSLè esneklik ve protokol bamszl

salamaktadr.Ufak snrlamalardan biri SSL balantsnn dedike/zel bir TCP/IP soketi

kullanmas gerektiidir. Bir web sunucusu SSL modunda altnda kriptolanm

haberlemeler iin ayr bir a portu (genelde port 443) kullanr.

SSLìn nemli zelliklerinden biri simetrik kriptolama algoritmas, mesaj zeti fonksiyonu ve

kimlik tanlama metodlar seimindeki esnekliidir. SSL simetrik kriptolama iin DES (CBC-

cipher block chaining modunda), triple-DES, RC2 veya RC4 kullanabilir. Mesaj zetleri iin

MD5 veya SHA hash algoritmalarn kullanabilir. Kimlik tanlamas iin RSA ak anahtarlar

ve sertifikalarn kullanabilir veya Diffie-Hellman anahtar deitoku algoritmas kullanarak

anonim modda alabilir. Kriptolama algoritmalar iin eitli anahtar uzunluklar

kullanlabilir. Simetrik kriptolama algoritmas, mesaj zeti metodu ve kimlik tanlamann

kullanlmasndaki kombinasyonlar 'ifreleme takm' olarak bilinir. Aadaki liste SSL

tarafndan desteklenen ifreleme takmlarn listelemektedir:

Takm Gc SSL

Srm

Tanm

DES-CBC3-MD5 ok

Yksek

v2.0, v3.0 CBC modunda 3DES, MD5 hash, 168-bit

oturum anahtar

DES-CBC3-SHA ok

Yksek

v2.0, v3.0 CBC modunda 3DES, SHA hash, 168-bit oturum

anahtar

RC4-MD5 Yksek v2.0, v3.0 RC4, MD5 hash, 128-bit anahtar

RC4-SHA Yksek v3.0 RC4, SHA hash, 128-bit anahtar

RC2-CBC-MD5 Yksek v2.0, v3.0 CBC modunda RC2, MD5 hash, 128-bit anahtar

DES-CBC-MD5 Orta v2.0, v3.0 CBC modunda DES, MD5 hash, 56-bit anahtar

DES-CBC-SHA Orta v2.0, v3.0 CBC modunda DES, SHA hash, 56-bit anahtarEXP-DES-CBC-

SHA

Dk v3.0 CBC modunda DES, SHA hash, 40-bit anahtar

EXP-RC4-MD5 Dk v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar

EXP-RC2-CBC-

MD5

Dk v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar


27/46

EXP-RC2-CBC-

MD5

Dk v2.0, v3.0 CBC modunda export seviyesi RC2, MD5 hash,

40-bit anahtar

NULL-MD5 - v2.0, v3.0 Kriptolama yok, MD5 hash, sadece kimlik

tanlama

NULL-SHA - v3.0 Kriptolama yok, SHA hash, sadece kimlik

tanlama

Bir SSL istemcisi sunucu ile ilk balant kurduunda ikisi bir ifreleme takm zerinde

anlarlar. Genel olarak, ikisininde sahip olduu en gl kriptolama metodunu seerler. Eer

sadece 40-bit oturum anahtarlarn destekleyebilen export-srm bir browser bu tip bir

snrlamas olmayan bir sunucuya balanmaya kalkarsa, sunucuda 40-bit ile haberleecektir.

Benzer olarak, yine bu tip bir snrlamas olan istemci ile haberleirken 1024-bit anahtarndan

512-bit RSA ak anahtar tretecektir.

SSL veri sktrmay dahili olarak desteklemektedir. Bu da bir mesaj kriptolandktan sonra

sktrlamayaca iin nemli bir zelliktir.

10.3 SSL ilemleri

Protokoln amac sunucunun kimliini tanlamak (seime bal olarak, istemcinin kimlik

tanlamasnn yaplmas) ve hem istemci hemde sunucunun kriptolanm mesajlar

gnderebilmede kullanabilmesi iin gizli simetrik anahtar belirlemesidir.

lemin admlar ksaca yledir:

1. stemci (rnekte browser) sunucu portuna bir balant aarak 'ClientHello' mesajgnderir. 'ClientHello' istemcinin kulland SSL srm, destekledii ifreleme takm ve

destekledii veri sktrma metodlar gibi bilgileri ierir.

2. Sunucu 'ServerHello' mesaj ile cevap verir. Sunucu setii ifreleme takm ve veri

sktrma metodunu ieren ve balanty tanmlayan oturum ID`sini ieren bir mesaj gnderir.

ifreleme takm ve sktrma metodlarnn seiminden sunucu sorumludur. Eer istemci ve


28/46

sunucu arasnda seimlerde bir uyum salanamazsa sunucu 'handshake failure' mesaj gnderip

balanty kapatr.

3. Sunucu sertifikasn gnderir. Eer sunucu sertifika-tabanl kimlik tanlamas kullanyorsa

sunucu imzal X.509v3 site sertifikasn gnderir. Eer sertifika root olmayan bir sertifika

otoritesi tarafndan imzalanmsa, sunucu ana sertifika otoritesine kadar olan imzal sertifikalar

zincirini de gnderir.

4. Sunucu istemci sertifikas istei gnderir (seime bal). Eer istemci kimlik tanlamas

iin istemci sertifikalar kullanlyorsa sunucu istemciye sertifika istei mesaj gnderir.

5. stemci sertifikasn gnderir (seime bal). Eer sunucu istek yaptysa, istemci imzal

X.509v3 istemci sertifikasn gnderir. Eer istemcinin sertifikas yoksa 'no certificate'

alarmn gnderir. Sunucu bu noktada 'handshake failure' ile balanty iptal edebilir yada

devam edebilir.

6. stemci 'ClientKeyExchange' mesaj gnderir. Burda simetrik oturum anahtar seilir.

Detaylar seilen ifreleme takmna gre deiir fakat tipik bir durumda istemci iyi bir rastgele-

say reteci ile 'pre-master secret' yaratr. Bu anahtar her iki tarafta da oturum anahtar olarak

kullanlacak gerek anahtar yaratmada kullanlr (farkl simetrik ifreler farkl anahtar

uzunluklar kullandndan oturum anahtar direk olarak yaratlmaz). Browser dijital zarf

yaratmak iin bu anahtar sunucunun (sertifikasndan ald) RSA ak anahtar ile kriptolar.

Sonrasnda zarf sunucuya gnderilir.

7. stemci 'CertificateVerify' mesaj gnderir (seime bal). Eer istemci kimlik tanlamas

kullanlyorsa, istemci doru RSA zel anahtarn bildiini gstererek sunucuya kimlik

tanlamasn gerekletirmesi gerekir. 'CertificateVerify' mesaj (aradaki konumay dinleyen

birisinin mdahele etmesini zorlatracak ekilde eitli yollarla deitirilen) 6. admda

yaratlan premaster anahtar ierir. Anahtar istemcinin RSA zel anahtar ile imzalanr ve

sunucuya gnderilir. Sunucu istemcinin sertifikas ile bunu kontrol eder. Burada sunucunun

kimliini tanlamas gerekmediine dikkat edilmeli. stemci premaster anahtarn sunucunun

ak anahtarn kullanarak gnderdii iin sadece sunucunun sertifikasnn sahibi bunu

dekriptolayp kullanabilir.

8. Hem istemci hemde sunucu 'ChangeCipherSpec' mesaj gnderir. Bu mesaj istemci ve

sunucunun kararlatrlan simetrik ifre ve oturum anahtar ile haberlemeye

balayabileceklerini onaylayan basit bir mesajdr.


29/46

9. Hem istemci hemde sunucu 'finished' mesaj gnderir. Bu mesajlar o ana kadarki tm

konumann tam olarak alnd ve yolda deitirilmediini onaylamada kullanlacak olan

MD5 ve SHA hash`lerini ierir.

Bu noktada hem istemci hemde sunucu her iki tarafa doru olan trafii oturum anahtar

kullanarak simetrik olarak kriptolamak iin kriptolama moduna geerler.

Yukarda belirtilen 9 adma ek olarak SSL 3.0 sunucular iin ek bir ilem vardr. 3. admda

sertifikasn gndermek yerine sunucu 'ServerKeyExchange' mesaj gnderir. Bu sunucunun bir

sertifika gndermeden bir oturum anahtar belirlemek iin kullanlr. Bu aadaki durumlardan

herhangi birinde gerekleebilir:

1. Sunucu anonim Diffie-Hellman anahtar deitokuu protokoln kullanyorsa

2.Sunucu Fortezza akll kart kriptolama takmn kullanyorsa

3. Sunucunun sadece imza iin zel anahtar varsa (mesela bir DSS anahtar)

Bu senaryolarn en ilginci Diffie-Hellman anahtar deitokuu algoritmas kullanmdr. Bu

durumda istemci ve sunucu bibirlerini tanmadan paylalan oturum anahtar belirler. Sertifika

deitokuu olmadndan etkileim tamamen anonimdir. Bu ayn zamanda ilemin man-in-

the-middle saldrsndan etkilenebilecei anlamna da gelir.

11.SET (Secure Electronic Transfer)

SET; Internet zerinden gerekletirilen parasal ilemlerin gvenliini salamak iin

gelitirilmi teknik bir standarttr. 1 ubat 1996da VISA ve MasterCard herkese ak


30/46

bilgisayar alar zerinde kredi kart gvenliini salamak zere, ortak bir standart gelitirmek

iin ibirlii yapacaklarn duyurdular. Bu ortak giriimin kararlatrlmasndan nce bu

konuda MasterCard ve VISAnn ayr ayr gelitirmeye alt kurallar bir yana braklarak,

almalar, SETin ortak bir standart olarak hayata geirilmesi zerine ynlendirildi.Internet

zerinden kredi kart ile yaplan deme sistemleri arasnda tm dnyann kabul ettii mevcut

en gvenli standart olan SET protokol, banka kartlar ve demeler ile ilgili bilgilerin

gvenliini salamak amacyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC,

Terisa Systems ve Verisign'n katlmyla oluan bir konsorsiyum tarafndan gelitirilmitir.

SET uyumlu ilk alveri, 18 Temmuz 1997'de San Francisco'da yaplan tantmla spanya ve

Singapur'da bulunan sanal maazalardan gerekletirilmitir. Aralk 1997de VISA ve

MasterCard ortak bir giriimle, SET Secure Electronic Transaction LLC SETCo isimli bir

organizasyon kurdular. SetConun kurulu amac, SET protokolnn gelitirilmesi aamasnda

almalar yrtme ve ynlendirme ilevlerinin salanmas ve bunun yansra, SETin hayata

geirilmesi iin gerekli dier nemli fonksiyonlarn gerekletirilmesiydi. American Express

firmasnn tam yelii iin grmeler de ayn dnemlerde balatld. SETCo SET standardn

ynlendiren, yazlm uyum testlerini yrten ve SETin dnya apnda yaygn bir deme

standard olarak kabul grmesi iin aba gsteren bir organizasyon olarak faaliyetlerini

srdrmektedir. SETCo yesi irketler SET protokolnn gelitirilmesi iin, finans kurulular,

ticarethane sahipleri, kredi kart sahipleri ve yazlm reticileriyle yakn ibirlii iinde

bulunmakta ve SETin en kapsaml e-ticaret deme zm olarak benimsenmesi iin

almaktadrlar.

SETin evrim-ii gvenlik zmlerine getirdii en nemli katk, saysal sertifikalarn

kullanlmasdr. SET, her mteriye bir elektronik czdan verilmesini ngrr. Elektronik

czdan, mteriye ait kredi kart numaras ve saysal sertifika gibi hesap bilgilerini ieren bir

dosyadr. Elektronik czdana sahip bir kullancnn deme ilemi ve teyidi, mteri, ticarethane

ve mterinin bankas arasnda tamamen saysal sertifika ve saysal imzann kombine ekildekullanmyla gerekletirilir. Bu sayede, ilemin kiiye zel ve gvenilir olmas gvence altna

alnm olur.

SET, alveri ilemi srasnda deme bilgisi gizliliini, kart kullancsnn gerek kart sahibi

olduunu ve iyerinin banka ile anlamal bir iyeri olduunu garantiler. Ak Anahtar


31/46

ifrelemesini (Public Key Cryptography) ve DES (Data Encryption Standard), RSA (Rivest,

Shamir, Adleman) ifreleme metotlarnn birleimini kullanan SET protokolnde alveri,

sanal czdan ve sertifika aracl ile daha gvenli bir ortamda gerekletirilir. . SET, kredi

kart ile yaplan online demelerde, bilgilerin internet zerinden aktarmnda gizlilik ve

gvenlik entegrasyonunu salar. SET protokol sadece mteri (rn siparii veren kredi kart

sahibi) ile sanal dkkan (e-dkkan) ve kredi kart irketi arasndaki deme fazn ifreler. Ayn

zamanda kredi kart ve sipari bilgileri farkl olarak ifrelendiinden kredi kart bilgilerinin

maaza tarafndan grlmesini engellemektedir.

SET sisteminde provizyon ilemi mteri alveri seimini yaptktan sonra mterinin sanal

czdan ile maazann Sanal POS'unun (V-POS) birbirlerinin gerekliklerini dijital sertifikalararaclyla kontrol etmeleri ile balar. Maazann Sanal POS yazlm sipari tutarn ve sanal

czdanda bulunan ve alveri iin seilen kredi kartnn sertifika bilgilerini bankaya iletmesi

ile devam eder. Banka yaplan alveriin ieriini (maln ne olduu, ka tane alnd vb.)

grmeksizin provizyon verir. Mterinin kredi kart bilgilerini grmeyen sanal maaza ise

bankadan gelecek onay bekler. Onay aldktan sonra da rn alcsna gnderir.

SET sistemi de SSL'de olduu gibi kullanc, iyeri ve banka arasndaki veri ak srasnda

bilgilerin ifrelenerek gnderilmesi esasna dayanr. Bu sistemden faydalananabilmek iin

kullanlmak istenen kredi kartnn SET uyumlu olmas gerekir. SET protokoln kullanmak

isteyen kredi kart sahipleri iki n koulu yerine getirmek zorundadrlar: ncelikle kullanmak

istedikleri her bir kredi kart iin sertifikasyon kurumu (Certificate Authority) ayr birer SET

sertifikas almaldrlar. Ardndan kart sahipleri yine kredi kart veren bir bankadan sanal

czdan ad verilen bir program alp bilgisayarlarna yklemeli ve bu ykleme srasnda SET

sertifikal kredi kartlarn programa tantmaldrlar. SET uyumlu alveriler sanal czdann

ykl olduu bilgisayar kullanlarak SET uyumlu maazalardan yaplabilecektir. Sanal czdanprogram en fazla kez yklenmek zere yazldndan en fazla bilgisayarda

kullanlabilecektir. SET protokolnn SSL'e gre ok daha yksek denebilecek gvenliine

ramen yeterince yaygnlaamamas sanal czdann mobilitesinin olmamasna balanabilir.

Sanal maazalar ise Sanal POS (Point of Sale) olarak adlandrlan V-POS yazlmn


32/46

ykledikten sonra bir sertifikasyon kurumundan dijital bir sertifika alarak alverilerin

gvenliini salarlar.

SET ile gerekleen alveri srasnda gerekleen ilemler srasyla aadaki gibidir:

SET protokol, kart sahibi Internet zerinde aratrmasn tamamlayp seimini yaptktan ve

sipariini verdikten sonra devreye girmektedir. SET ileminin balamasndan nce kart sahibi

sipari formunu doldurmu ve onaylam olmaldr. Kart sahibi ayrca kart trn de semi

olmaldr.

1. Kart sahibinin yazlm satc firmaya kullanlacak kredi kartn belirten ve deme altyapsn

salayan kuruluun sertifikal ak anahtarnn kopyasn isteyen bir mesaj gnderir.

2. Satc firmann yazlm mesaj aldnda, sadece o mesaja zel bir ilem tanmlama

numaras belirler. Daha sonra bu zel tanmlama numarasyla beraber kart sahibine satc

firmann ak anahtarn ve deme altyapsn salayan kuruluun (genelde bankalar) onayl

ak anahtarn gnderir.

3. Kart sahibinin yazlm satc firmann ve deme altyapsn salayan kuruluun

sertifikalarn kontrol eder ve sipari srecinde kullanmak zere bunlar kaydeder. Kart

sahibinin yazlm sipari bilgisini ve deme talimatlarn oluturur. Yazlm satc firma

tarafndan belirlenen zel tanmlama numaras ile sipari bilgisini ve deme talimatlarn

ilikilendirir. Bu tanmlama daha sonra satc firma tarafndan deme talebi yapldnda,

deme altyapsn salayan kurulu tarafndan sipari bilgisini ve deme talimatlarn

ilikilendirmede kullanlacaktr.

4. Kart sahibinin yazlm sipari bilgisi ve deme talimatlar iin bir dijital imza oluturur.

Yazlm daha sonra deme altyapsn salayan kuruluun ak anahtarn kullanarak dijital

olarak imzalanan deme talimatlarn ifreler. Son olarak yazlm imzalanm ve ifrelenmi

sipari bilgisini ve deme talimatlarn bir mesajla satc firmaya gnderir.


33/46

5. Satc firmann yazlm siparii alr ve kart sahibinin ak anahtar zerindeki dijital

sertifikay kontrol eder. Bundan sonra gene bu ak anahar kullanarak sipariin gerekten kart

sahibinden geldiinden ve mesajn gnderim esnasnda deitirilmediini teyit eder (Satc

firma deme talimatlar deme altyapsn salayan firmann ak anahtar ile ifrelendii iin

deifre edemez).

6. Bu ilemlerin ardndan satc firmann yazlm deme onay istenmesi de dahil olmak zere

siparile ilgili ilemlere balar (ltfen 9. Maddeye baknz)

7. Sipari bilgisi ileme alndktan sonra, satc firmann yazlm bir cevap mesaj hazrlar ve

dijital olarak imzalar (satc firmann onayl ak anahtar ile). Kart sahibinin sipariinin

alndnn ve ileme konulduunun bildirilmesi amacyla hazrlanan cevap mesaj kart

sahibine gnderilir.

8. Kart sahibinin yazlm satc firmadan cevap mesajn ald zaman dijital sertifikasn

kontrol eder. Bunun ardndan bu mesaj kullanarak kart sahibine bir teyit mesaj gsterir veya

sipariin durumunu gnceller.

9. Kart sahibinden gelen siparilerin ileme konulmas esnasnda (ltfen 6. maddeye baknz)

satc firmann yazlm denmesi talep edilen tutar, sipari bilgisindeki ilemi belirleyen zel

tanmlama numarasn ve ilemle ilgili dier bilgileri ieren bir deme onay talebini hazrlar ve

bu mesaj dijital olarak imzalar. Ardndan bu talep deme altyapsn salayan kuruluun ak

anahtar kullanlarak ifrelenir. Satc firmann deme onay talebi ve kart sahibinin ifrelenmi

deme talimatlar deme altyapsn salayan kurulua gnderilir.

10. deme altyapsn salayan kurulu onay talebini ald zaman satc firmadan gelen onay

talebini kendi gizli anahtarn kullanarak deifre eder. Ardndan satc firmann ak anahtar

zerindeki dijital sertifikay kontrol eder ve sertifikann geerlilik srerisinin dolup

dolmadn belirler.

11. deme altyapsn salayan kurulu kart sahibinin satc firmadan gelen onay talebiyle


34/46

birlikte gnderilen deme talimatlarn kart sahibinin ak anahtarn kullanarak deifre eder.

Ardndan bu ak anahtar kullanarak kart sahibinin deme talimatlar zerindeki dijital

imzasn kontrol eder ve bylece deme talimatlarnn kart sahibi tarafndan imzalandndan

ve iletim esnasnda deiiklie uramadndan emin olur.

12. deme altyapsn salayan kurulu satc firma tarafndan gnderilen ilem tanmlaycs

ile ile kart sahibinden gelen deme talimatlarndaki tanmlar karlatrarak her ikisininde ayn

olup olmadn kontrol eder. Kontroln ardndan deme altyapsnn salayan kurulu, kredi

kartn veren bankaya Internet zerinden almayan bir deme sistemiyle bir onay talebi

gnderir.

13. Kart veren banka onay talebini ileme alr ve deme altyapsn salayan kurulua gvenli

deme sistemi araclyla bir cevap gnderir.

14. Onay cevabn aldktan sonra deme altyapsn salayan kurulu kart veren bankann

cevabn ve onayl ak anahtarn ieren bir onay cevap mesaj yaratr ve dijital olarak imzalar.

Cevap satc firmann ak anahtarn kullanarak ifrelenir ve satc firmaya gnderilir.

15. Satc firmann yazlm deme altyapsn salayan kurulutan onay cevabn ald zaman

kendi gizli anahtaryla deifre eder. Ardndan deme altyapsn salayan kuruluun ak

anahtar zerindeki dijital sertifikay kontrol eder ve bu ak anahtar kullanarak deme

alyapsn salayan kuruluun onay cevap mesajndaki dijital imzay kontrol eder. Satc

firmann yazlm, sipari tamamen yerine getirildikten sonra deme talebinde bulunulabilmesi

iin (gn sonu ilemi ile) bu onay cevap mesajn kaydeder.

16. Satc firma onay cevabn aldktan sonra kart sahibinin siparii tamamlar ve ilgili rn

sevkeder veya szkonusu hizmeti verir.

17. Siparii yerine getirdikten sonra satc firma deme talebinde bulunur (Sipariin

tamamlanmas esnasndaki gecikmeler onay talebi ile deme talebi mesajlar arasnda nemli

zaman aralklar olumasna yol aabilir).


35/46

18. deme talebinde bulunmak iin satc firmann yazlm ilemin nihai tutarn, sipari

bilgisindeki ilem tanm numarasn ve ilem hakkndaki dier bilgileri ieren bir gn sonu

ilemi oluturur ve dijital olarak imzalar. Bu talep deme altyaps salayan kuruluun ak

anahtar ile ifrelenir ve deme salayan kurulu gnderilir.

19. deme altyapsn salayan kurulu gn sonu ilemi talebini ald zaman, kendi ak

anahtarn kullanarak talebi deifre eder. Daha sonra satc firmann ak anahtarn kullanarak

gn sonu ilemindeki dijital imzay kontrol eder. Satc firmadan gelen gn sonu ilemiyle,

daha nce ileme alnan onay talebini karlatrr ve bir tahsilat talebi oluturarak bunu kredi

kartn veren bankaya gvenli deme sistemiyle gnderir.

20. deme altyapsn salayan kurulu kendi onayl ak anahtarn ieren bir gn sonu cevap

mesaj oluturur ve bunu dijital olarak imzalar. Bu cevap satc firmann ak anahtar ile

ifrelenerek satc firmaya gnderilir. Bu mesaj sayesinde gn sonu ileminin deme altyapsn

salayan kurulu tarafndan alndn ve ileme konulduunu satc firmaya bildirir.

21. Satc firmann yazlm deme altyapsn salayan kurulutan gn sonu ileminin cevabn

alnca, mesaj kendi gizli anahtarn kullanarak deifre eder. Ardndan deme altyapsn

salayan kuruluun ak anahtar zerindeki dijital sertifikay kontrol eder ve yine bu ak

anahtar kullanarak deme altyapsn salayan kuruluun dijital imzasn kontrol eder. Son

olarak satc firmann yazlm gnsonu ilemi cevabn yaplan demeler iin gnderilen

gnsonu talep mesajlar ile mutabakat iin kaydeder.

11.1 SETin gvenlik seviyeleri

SET protokol, gvenlikle ilgili ana alanda nemli yenilikler salamaktadr. Bu ekilde de

dier deme gvenlii yntemlerine gre ok nemli stnlkler elde etmektedir. Bu alan;

Gizlilik,mesajlarn kriptolanarak okunaksz hale getirilmesiyle salanr.


36/46

Mesaj btnl, saysal imzalama ve hash ile mesajn gnderildii ekilde hi bir

deiiklie uramadan kar tarafa ulatnn garanti edilir. lemler kt amal bireyler

tarafndan hesap numarasnda veya tutarda deiiklik yaplacak ekilde deitirilemez.

Yetkilendirme, saysal imza kullanm ile salanr. Saysal imza sayesinde, ileme katlan

taraflarn kimlikleri dorulanr, gnderdikleri mesaj inkar etmeleri nlenmi olur.

Bu gvenlik unsuru aada biraz daha detaylandrlarak sunulmaktadr:

lemlerin gizlilii ve kiiye zel bilgilerin korunmas kriptolama ile salanmaktadr. SET

protokol, RSA ve DES olmak zere iki farkl algoritma kullanr.

DES simetrik bir algoritmadr ve ilem srasnda transfer edilen datann kriptolanmasylailgilenir. RSA ise asimetrik bir algoritma olup, imzalar iin ve simetrik anahtarlarla banka kart

numaralarnn ak anahtarla (public key) kripto ilemi iin kullanlmaktadr.

Bu ekilde SET protokol, en iyi iki algoritmann birleik kullanmyla, yksek bir kripto

gvenlii seviyesine ulamaktadr. Bu sistem, u ekilde almaktadr: lk olarak, mesaj datas

rastgele retilmi bir simetrik DES anahtaryla kriptolanr. Daha sonra bu anahtar mesaj

alcsnn ak RSA anahtaryla kriptolanr. kinci anahtar mesajn iine yerletirildii bir

saysal zarf niteliindedir. Alc bu zarf ald zaman, kendi zel anahtaryla aarak rastgele

retilmi simetrik anahtara ular ve bu anahtar da orjinal mesajn ifresini zmek iin

kullanr.

Mesajn btnl, yani alcya deiiklie uramadan ulatnn garantisi, hashing

algoritmalarnn kullanld tek ynl kriptolama ve saysal imzalarla salanr. Hashing

algoritmas mesaj terek benzeri olmayan bir forma sokar. Bu ilem tek bana mesajn

btnln garanti etmeye yeterli deildir. Bu nedenle gizli bir kripto anahtaryla birlikte

kullanlr. Bu aamada saysal imzalar devreye girmektedir.

Yetkilendirme, mesajn gndericisinin kimliini dorulamak iin kullanlr. SET ilemine

katlan taraflarn her biri saysal sertifikalarla yetkilendirilir. Bu sertifikalar gvenilir bir

nc parti yetkili bir kurulu (Certification Authority - CA) tarafndan yaynlanmaktadr.


37/46

Her saysal sertifika, ait olduu kiilerin kimlik bilgilerini ve ak anahtarlarndan (public key)

birisini iermektedir. Bunun dnda her sertifika, geerliliinin belgelenmesi iin sertifika

kuruluu tarafndan saysal olarak imzalanr.

SET, gerek internet zerinde sat yapan satclar, gerekse de alveri yapan mterilerin

bugne kadar karlatklar veya karlaabileceklerini bekledikleri sorunlarn almas

ynnde nemli bir aama salyor. Kt niyetli giriimleri nemli lde engelleyecek

yntemler iermesi, kart sahiplerinin Interneti alveri iin kullanma ynndeki gvenlerini

arttryor. te yandan, deme gvencesini alan ticaretheneler iin de ok avantajl bir durum

ortaya kyor. SETin en nemli yarar salad kesimin ise, kt niyetli giriimlerden en

byk zarar gren kredi kart irketleri olaca tahmin ediliyor.

11.2 SET Ne Kadar Gvenlidir?

SET protokolnn kulland kripto algoritmas 1024 bit ile ifreleme yapmaktadr. Bu nedenle

zellikle genel kullanma ak dier uygulamalarla kyaslandnda ok gl bir algoritma

olarak gze arpmaktadr. yle ki, SET protokolnn ngrd birka seviyeli kriptolama

zellii de dikkate alndnda, bu ifreyi krabilmek her biri saniyede 10.000.000 komut

ileme kapasitesinde 100 bilgisayarn, yaklak 2.800.000.000.000 yl uramas gerektii

hesaplanr. Bu durumda bile, zlen ifre sadece bir mesaj iin geerli olacandan, sonraki

mesaj iin btn ilemin yeniden balamas gerekir. SET rnlerinin ABD dna ihrac

onaylanmtr. Tek koul, sadece finansal ilemler iin kullanlmasdr.

SETin alma prensibine gre, ilem iinde yer alan tm taraflar, sadece kendi stlerine

deni yapmak iin yeterli olacak dzeyde bilgiye ulamaktadrlar. Ticarethane kredi kart

numarasn grmemekte, bu numara dorudan bu bilgiyi kullanarak ticarethaneye onay verecek

finans kurumuna ynlenmektedir. Bylece ticarethanenin dorudan ya da dolayl olarak yol

aabilecei kt niyetli giriimler engellenmekte ve ilem gvenlii salanmaktadr.


38/46

Ticarethane ise, alveri yapan kiinin inkar etmesi riskine kar gvence altna

alnmtr.Kredi kurumlar ok yksek dzeyde gvenli alan prestijli kurumlardr. SET, bu

kurumlar tarafndan desteklenmekte olup bu anlamda da nemli bir gvenceye sahip

bulunmaktadr.

11.3 SET yerine Neden SSL Kullanlmasn?

SET`i detayl incelemeye balamadan nce akla gelebilecek bir soru: Niye zel-amal

protokol gerekli? Neden Kredi kart bilgilerini form doldurup SSL kullanarak gndermeyelim?

Kredi kart demelerinde kesinlikle SSL kullanlabilir. Bu gnmzde en ok kullanlan yol ve

Netscape, Microsoft Open Market ve dierleri tarafndan satlan 'ticaret sistemlerinin' ana

zellii. Fakat bu ama iin sadece SSL kullanmann baz dezavantajlar var.

Birincisi, SSL mteriden tccara kredi kart numarasnn gvenli olarak gnderilmesini

salasa da, ilemin sonrasnda bir yarar olmuyor: numarann doruluunun kontrol,

mterinin bu numaray kullanmaya yetkili olup olmadnn kontrol, tketicinin bankas ile

ilemi yetkilendirme ve transferi ileme. Basit bir sistemde, kredi kartnn yazm hatalar bir

CGI script ile kontrol edilebilir ve numaray bir dosya yada veritabanna daha sonra manuel

olarak kontrol iin kaydedilebilir. Fakat ou uygulama iin online olarak kredi kart

yetkilendirmesi bir ihtiyatr. Gelimi ticaret sistemleri kredi kart yetkili servisi tarafndan

altrlan bir sunucuya SSL veya uygun bir protokolle balanarak siparileri annda

onaylarlar. Bu tip sistemler ayrca geri demeleri, ilem kayd tutma, alveri kartlarn, online

kataloglar da ynetebilirler. Tam fonksiyonel bir kredi kart ileme sistemi ya ok sayda zel

programlama yada pahal bir paket zmdr.

SSL-tabanl emalardaki dier bir problemde sunucu-taraf gvenliktir. Kredi kart numaras

tccarn Web sunucusuna gnderildii iin bu bilgi bir dosya veya veritabannda tutulabilir.Eer birisi tccarn web sunucusuna girmeyi baarrsa tm kredi kart numaralarn da ele

geirebilir.

Kredi kart ilemlerinde SSL kullanmada dier bir problem de kredi kart tahmin

programlarnn zayf yazlm sistemlerde kullanlabilmesi. Uzaktaki kullanc nce denemelik

kredi kart numaralar yaratr. Hepsi basit checksum kontroln geecektir fakat hangisinin


39/46

gerek bir hesaba ait olduunu bilmemektedir. Daha sonra bu numaralar bir scripte ekleyerek

bir web sunucusundan sahte satn almalar yapmaya alr. Eer kart geerli deilse sunucu bir

hata dner ve script numaray atar. Eer kart tanlamas doru olarak gerekleirse sunucu

kabul eder ve script satn almay iptal edip numaray kaydeder. Bu tip bir sistem ksa zamanda

yzlerce geerli kredi kart numaras bulabilir. SET bu problemleri kart yetki kontrol ve

satn sonlandrlmasna kadar tm ilemi kontrol eden entegre bir sistem salayarak giderir.

Kredi kart numarasnn alnmasn engellemek iin protokol hibir zaman tccarn kart

numarasna direk eriimine izin vermez, bunun yerine satn almann onaylanp onaylanmad

konusunda bilgilendirilir.

Son olarak Amerikan ihracat kstlamalar konusu var. Gl kriptografi kullanan sistemlerin,

SSL kullananlar dahil, ihra edilmesi yasaktr. Fakat kanun sadece parasal ilemlerde

kullanlan sistemleri hari tuttuu iin gl kriptografi kullanan SET rnleri Amerika dna

kabilir ki bu genel-amal SSL rnleri iin mmkn deildir.

SET sayesinde, tccarlarla bankalar arasnda kredi kart ilemleri Internet zerinden gvenli bir

biimde yrtlebilir. SET, deme amac ile u noktalarda kullanlan sistemlerde herhangi bir

deiiklik yaplmasn gerektirmez. SETin salad gvenlik servisleri gizlilik, veri

btnl ve kart sahibinin dorulanmasdr. Bir SET hareketinde tccar bile kredi kart

sahibinin kart numarasn gremez. Bu i hareketinde banka kredi kartn kontrol ederek,

tccara doru olduuna dair bilgi gnderir.

Kart sahibi de tccarn gerek bir tccar olduundan emin olmas gerekir. Eer bir tccar

banka tarafndan tannmyorsa, herhangi bir ilemin yaplmasna izin vermez. Tccarn saygn

ve gvenilir olduu saysal sertifikalar ve kriptolanm imzalarla salanr.

SETde sertifika ve imzalarn ele aln yntemi X.509 standartlaryla uyumludur. X.509, ITU-

TSS standartlarnda da yer bulmu olan olan bir dorulama(authentication) protokoldr.X.509 standardnn Internette kullanm RFC 1422de belirtilmitir. RFC 1422de

CAler(Certificate Authority) tarafndan saysal olarak imzalanan sertifikalarn format ve

datm tanmlanmtr. Aslnda X.509 ilk olarak PEM ile birlikte Internetde kullanlmak

zere ortaya atlm olmasna karlk, sonradan Internet uygulama ve teknolojilerinin geliimi


40/46

ile birlikte kapsam geniletilmitir.

SET ve X.509 birbirinden bamsz eylerdir. SET basit olarak X.509u kullanmaktadr. SET

ayn zamanda kart sahibinin kiisel bilgilerinin(isim, adres, telefon, vs.) ve satn ald mallarla

ilgili ticari bilgilerin nternetten iletilirken bakalarnca ele geirilmesini veya deitirilmesini

de nler. Buna verinin btnlnn salanmas(data integrity) adn veriyoruz. SET veri

btnln, SHA-1 hashing fonksiyonu ve RSA saysal imzalar ile salar.

Tccar kart sahibinin yasal bir kullanc olduunu dorularken, X.509 saysal sertifikalarn ve

RSA imzalarn kullanr. SET prosesi bir bankada kredi kart hesab almasna ve sonradan

posta yoluyla PIN elde edilmesine benzer. Tek fark, ilemlerin gvensiz bir ortam olan Internet

zerinden gereklenmesidir.

Sipari girme ve sipari onaylarnn verilmesinde mterilerle tccarlar sertifika deitokuu

gerekletirir. Tccar tane sertifika ister. Bunlar:

Mesajlarn imzalanmas iin,

Anahtar dei tokuu iin,

hareketini kabul veya reddeden dorulama otoritesi iin. Bu nc sertifika, bir deme

geityolu(payment gateway) ile tccar arasnda gerekli olup, tccarn deme isteini

gndermesi ile ortaya kar.

Bu ilemler srasnda CA, bir sertifikann gvenli bir ekilde kullanlp kullanlmayacana dair

noter grevi grr.


41/46


42/46

11.4 SSL ile SET arasindaki Farklar Nelerdir?

Ayn ifreleme yntemini kullanmakla beraber SSL ile SET gvenlik protokollerinin

birbirinden farkl olduu nemli noktalar unlardr:

SSL'de kart bilgilerini gnderen kiinin kart sahibi olduu garanti edilememektedir.

Oysa kart sahibinin kullanc ismi ve ifresi ile ulat sanal czdann kulland SET

protokolnde kart bilgilerini gnderen kiinin kart sahibi olduu garanti edilir.

SSL'de kartn ait olduu ve POS'un ait olduu bankalar bu modele dahil deildirler. SSL'de kart sahibinin kart bilgileri internet zerinde ifrelenmekte fakat maaza kart

bilgilerini grmektedir. Oysa SET'te kart bilgileri maazadan gizli tutulup sadece banka

tarafndan grlebilmektedir


43/46

12.Bazi Kavramlar

POS NEDIR?

Point of Sale (POS), kredi kart ile yaplan alverilerde maaza tarafndan kullanlan ve kredi

kart bilgilerinin bankaya gnderilip bankadan provizyon alnmas iin kredi kartnn

geirildii makinedir.

POSNET NEDIR?

POSNET, sanal maazalara internet zerinden kredi kart ile deme yaplmas iin

sunduumuz gvenli altyap hizmetinin addr. Firmalarn internet zerinden yapacaklar

satlarn provizyon hizmetinin bankamz tarafndan salanacak sanal POS (Point of

Sale)'lardan faydalanarak verilmesini kapsamaktadr.

POSNET, internette kredi kart ile gvenli alveri yaplabilmesi iin gelitirilmi yksek

gvenlik standartlarndan SET(Secure Electronic Transaction) ve SSL (Secure Sockets Layer)'i

kullanmaktadr.

Avantajlari:

Yeni bir sat kanal salar,

Pazar geniletir ve mteri potansiyelini arttrr,

Dk maliyetleri ile ok ucuza dkkan ama imkan yaratr,

Sunulan hzl ve teknolojik hizmet sayesinde mteri memnuniyetini ve bamlln

arttrr,

Firmann imajn glendirir,

Firmaya rekabet stnl salar,

rn ve hizmet satnn saniyeler iinde gereklemesini salar.


44/46

3D SET Nedir?

3D SET, SET teknolojisini kullanan Alan Modeli (Three Domain Model) olarak bilinen

mimari zerine kurulmutur.

Alan Modeli, ilem aknn farkl alanlarn kapsamaktadr.

Maaza ve POS'un ait olduu banka - Acquirer Domain: Maazann

gerekliinden sorumludur.

Kart sahibi ve kartn ait olduu banka - Issuer Domain: Kart sahibinin ve kartn

geerliliinden sorumludur.

Kartn ait olduu banka ve POS'un ait olduu banka - Interoperability Domain:lem bilgisinin ortak bir protokol kullanlarak karlkl deitirildii yerdir.

Sistemin ileyii olarak SET'ten tek fark kart sahibinin yazlm ve sertifikasnn, kartn ait

olduu banka tarafnda ve maaza yazlm ve sertifikasnn ise POS'un ait olduu banka

tarafnda tutulabilmesidir.

3D SET modeli utan-uca SET modelinin uygulanmasndaki sertifikalarn datlp ynetilmesi

sorununu zmektedir.

Avantajlari:

Kart sahibinin gvenli deme uygulamas kendi PC'si yerine gvenli bir sunucu'da

tutulduu iin, bu uygulamaya istedii PC'den ulaabilecektir.

Kart sahibinin sunucu'deki czdanna ulaabilmesi iin doruluunun kantlanmas

srecindeki metotlar (rn: kullanc ad, ifre) kartn ait olduu banka belirleyecektir.

Kartn ait olduu banka, kart sahibi adna; POS'un ait olduu banka, maaza adna

sertifikalar tuttuundan sertifikalarn datmna gerek kalmamaktadr.


45/46

Half SET Nedir?

Kart sahibi ile maaza arasndaki veri iletiiminin SSL; maaza ile banka arasndaki veri

iletiiminin SET protokol kullanlarak yapld gvenli deme modelidir. Bu sistemde

mteri ile V-POS (Internet zerinden kredi kartyla deme ileminin gereklemesini salayan

yazlm) arasndaki bilgi ak SSL, V-POS ile Banka arasndaki bilgi ak ise SET ile

korunmaktadr. SET ve SSL yazlmlar, mteri - iletme - banka arasndaki bilgi aknn,

zlme ihtimali matematiksel olarak ok dk ve teknik adan ok zor olan 40 veya 128 bit

teknolojileriyle ifreli olarak yaplmasn salamaktadr.

CVC2 CVV2 Nedir?

CVC2-Card Validation Code (Kart Onay Kodu), MasterCard markal; CVV2-Card

Verification Value (Kart Dorulama Deeri) ise Visa markal kredi kartlarnn arkasnda yer

alan ve 16 haneli kredi kart numarasnn devamnda yazl olan 3 haneli koddur. MO/TO (Mail

Order / Telephone Order) ve SET olmayan internet ilemlerinde gvenlii arttrc nlem

olarak kullanlmas dnlmektedir.


46/46

eTicaret Ders Notları

Documents

Transcript of eTicaret Ders Notları