Zbliża się czas wdrożenia technologii Secure Electronic Transactions, która ma umożliwić przeprowadzanie bezpiecznych transakcji handlowych poprzez sieci komputerowe.

W Internecie przeprowadzono pierwszą transakcję za pomocą karty kredytowej zgodnej z technologią Secure Electronic Transaction (SET). Przy jej stworzeniu współpracowały m.in. American Express, RSA Data Security, Gem Plus i Open Market. Obecnie organizacje odpowiedzialne za prowadzenie kart płatniczych oficjalnie odradzają dokonywanie jakichkolwiek zakupów za pomocą kart w Internecie. Chociaż numery kart przesyłanych pocztą, faksem lub telefonicznie nie są w pełni bezpieczne, to dopiero otwarte środowisko Internetu stwarza wyspecjalizowanym krakerom możliwość masowego kolekcjonowania numerów kart. Co więcej, kupujący w sieci nigdy nie ma gwarancji, czy serwer, z którym się połączył, jest rzeczywiście utrzymywany przez istniejącą firmę. Technologia SET ma stanowić skuteczne remedium na te problemy.

Istnieje już pierwsza dostępna publicznie implementacja protokołu SETREF, mająca służyć współpracy między różnymi systemami SET. W kwietniu br. ma pojawić się wstępna wersja protokołu SET, wtedy też poznamy pierwsze sklepy, które przystąpią do nowej formy internetowej sprzedaży. Obecnie rozpoczyna się realizacja kilku projektów pilotażowych. Największy z nich ma miejsce w Danii, gdzie tysiąc użytkowników Internetu będzie mogło poprzez karty MasterCard/EuroCard dokonywać zakupów w trzech sklepach. Podobne projekty zostaną zrealizowane we Francji, Azji Południowo-Wschodniej i USA. Niestety, obecnie dostępne specyfikacje SET nie obejmują debetowych kart opartych na numerze PIN (stosowanych w Polsce).

Podstawowe zalety

SET ma stanowić wspólną platformę dokonywania płatności wszelkimi kartami kredytowymi w Internecie. Jej wdrożenie może znacznie przyspieszyć rozwój handlu w sieci. Obecnie internetowa sprzedaż jest traktowana tak samo, jak domy sprzedaży wysyłkowej, które są obarczane dużym współczynnikiem ryzyka przez instytucje finansowe prowadzące rozliczenia. Przekłada się to oczywiście na wyższy procent opłat, jakim są obciążane zawierane transakcje.

Po wprowadzeniu SET, internetowa sprzedaż będzie mogła być traktowana jako zupełnie inna kategoria transakcji - bezpieczniejsza nawet niż zakupy w tradycyjnym sklepie z użyciem plastikowej karty. Ponadto zniknie także niebezpieczeństwo niewłaściwego wykorzystania numeru karty kredytowej przez oferującego sprzedaż produktów lub usług - nie będzie on w ogóle dysponował taką informacją. Teoretycznie konsekwencją powinno być także znaczne obniżenie kosztów przetworzenia transakcji zawieranej za pomocą karty kredytowej (obecnie pochłania to od 25 centów do kilku USD).

Dysputy nad terminarzem

W grudniu ub. r. VISA International ogłosiła, iż prace nad wdrożeniem technologii SET będą trwały dłużej niż pierwotnie planowano i dopiero rok 1998 przyniesie gotowe rozwiązania. W odpowiedzi na to, MasterCard ogłosił, że udało mu się przeprowadzić we współpracy z IBM i Danish Payment Systems (PBS) pierwszą internetową transakcję opartą na protokole SET.

VISA i MasterCard różni podejście do harmonogramu wdrażania technologii SET. Pierwsza firma chce najpierw przygotować ostateczną wersję specyfikacji i ją dokładnie przetestować w internetowych produktach, podczas gdy MasterCard woli wprowadzać ją stopniowo, początkowo w wersjach beta dla ograniczonego kręgu klientów, pozyskując do współpracy coraz liczniejsze grono firm.

Idee i technologie

Secure Electronic Transaction bazuje na podpisie elektronicznym. Podstawą ma być algorytm RSA. Instytucja finansowa występuje w roli pośrednika, który potwierdza autentyczność sprzedawcy i kupującego. Wykorzystywane są w tym celu certyfikaty. Proces zawierania transakcji w SET jest znacznie bardziej skomplikowany, bowiem wymaga podwójnych podpisów elektronicznych.

Problemem dotyczącym wszystkich systemów opartych na asymetrycznym algorytmie kodowania, jest dystrybucja kluczy publicznych. Najlepiej, gdyby mogły one docierać do użytkowników drogą nieelektroniczną. Europay International, firma współpracująca z Mastercard i VISA, zamierza przenosić unikatowe klucze prywatne, potrzebne do tworzenia podpisów elektronicznych w SET, na inteligentne karty (smart cards).

Wdrożenie tej technologii wymaga wyposażenia komputera w czytnik kart inteligentnych, jednak ma ona ogromną przewagę nad rozwiązaniami czysto programowymi. Znajdujący się na karcie klucz służyłby do elektronicznego podpisywania zawieranych transakcji i wysyłanych listów. Użytkownik dzięki posiadaniu łatwej do przenoszenia karty nie byłby obciążony zapewnieniem bezpieczeństwa klucza prywatnego, umieszczonego na konkretnym komputerze.

Pojawienie się na masowym rynku takich czytników w cenie możliwej do zaakceptowania przez przeciętnego użytkownika, spodziewane jest jednak najwcześniej w połowie 1998 r.

Nad wdrożeniem SET pracują twórcy oprogramowania m.in. Nestscape, Microsoft, Oracle, Terisa Systems i VeriFone.

<hr size=1 noshade>Kilkusetstronicowe dokumenty, szczegółowo opisujące techniczne i biznesowe zagadnienia związane z SET, można znaleźć w Internecie na serwerze pod adresemhttp://www.visa.com.