Czas protokołu SET jeszcze nie nadszedł

Już w 1996 r. przewidywano możliwość robienia zakupów za pomocą kart kredytowych przez sieć Internet. Transakcje miał zabezpieczać protokół SET (Secure Electronic Transaction), którego zastosowanie miało na celu zapobieżenie problemom związanym z zagwarantowaniem wysokiego poziomu bezpieczeństwa transakcji.

Już w 1996 r. przewidywano możliwość robienia zakupów za pomocą

kart kredytowych przez sieć Internet. Transakcje miał zabezpieczać protokół SET (Secure Electronic Transaction), którego zastosowanie miało na celu zapobieżenie problemom związanym z zagwarantowaniem wysokiego poziomu bezpieczeństwa transakcji.

Minęło 18 miesięcy od ogłoszenia pierwszej wersji protokołu SET i można śmiało powiedzieć, że nie spowodował on po-ważnych zmian w technologii transakcji elektronicznych. I gdy wydawało się, że pójdzie w zapomnienie, implementa-cje i wsparcie ze strony przemysłu pozwalają prognozować powrót protokołu SET do łask. Zwłaszcza stosowanie na poziomie hostów będzie stymulowało szerokie jego wykorzystanie w nadchodzących latach.

Rosnące zainteresowanie protokołem SET wynika ze sposobu, w jaki gwarantuje on dystrybucję i zabezpieczenie cyfrowych certyfikatów związanych z transakcjami finansowymi.

Przedmiotem rozważań jest, czy mechanizmy zabezpieczeń protokołu SET są dostatecznie silne w przypadku dania sprzedawcom (handlowcom) i bankom swobody w puszczeniu w obieg zbyt dużej liczby kart kredytowych. Problem tkwi również w tym, kto poniesie konsekwencje oszukańczych transakcji. Wiodące korporacje kart kredytowych (Visa i MasterCard) jak dotąd nie kwapią się do brania odpowiedzialności za takie transakcje.

CO MOŻE PROTOKÓŁ SET

Protokół SET ma na celu zapewnienie kodowania i uwierzytelnienia (legalizacji) transakcji zawieranych za pośrednictwem kart kredytowych. Jest to możliwe dzięki stworzeniu systemu kodowanej komunikacji z wykorzystaniem publicznych i prywatnych kluczy, podpisów cyfrowych i legalizujących certyfikatów.

System taki jest efektywny. Na przykład jeśli sprzedawca otrzyma zamówienie z komputera z certyfikatem protokołu SET, wówczas może być pewny, że za tym zamówieniem kryje się ważna karta kredytowa. Tak samo kupujący mogą być pewni, że są obsługiwani przez poważnego sprzedawcę upoważnionego przez znaną firmę kart kredytowych, taką jak Visa, MasterCard, Express itp. Sprzedawca ma dodatkowe zabezpieczenie w postaci dostępu do informacji w banku, któremu przedkłada do zapłaty zamówienie finansowane z karty kredytowej.

OGRANICZENIA PROTOKOŁU SET

Wśród ograniczeń wnoszonych przez protokół SET wymienia się następujące:

• Specyfikacja nie określa sposobu, w jaki banki przydziela

ją klientom certyfikaty.

• Brak gwarancji „honorowania", co oznacza, że sprzedaw

ca nie ma w pełni bezpiecznego sposobu sprawdzenia, czy

zamówienie zostało złożone przez klienta z przydzielonym

konkretnie jemu certyfikatem. Jeśli masz certyfikat protokołu

SET i sprawne oprogramowanie na komputerze, to może się zdarzyć, że ktoś inny może wykorzystać chwilę twojej nieuwagi i używając programu łamiącego odczytać twoje hasło.

W praktyce protokół SET dopuszcza znaczną swobodę, co może doprowadzić do utraty wielu jego zalet. Na przykład jedną z zalet użycia opcji identyfikacji certyfikatów i kluczy jest to, że komputer sprzedawcy podczas transakcji nie ma numeru karty. Jest to niekorzystne z punktu widzenia sprzedawców, którzy używają numeru karty kredytowej klienta do indeksowania różnych rekordów w systemie komputerowym. Dlatego do specyfikacji protokołu SET wprowadzono możliwość pozwalającą bankom po przeprowadzeniu transakcji przekazać zwrotnie sprzedawcy numer karty kredytowej. W rezultacie potencjalnie nie zabezpieczony numer karty może być przechowywany w komputerze sprzedawcy i nielegalnie wykorzystany. Protokół SET nie wskazuje sposobu zabezpieczenia danych rezydujących w komputerze nabywcy, sprzedawcy lub banku.

WOLNE TEMPO ZMIAN

Mimo sporów protokół SET jest stopniowo wprowadzany. Obecnie banki i korporacje oferujące karty kredytowe pracują nad dodatkowymi zasadami i regulacjami uściślającymi protokół. Działania te spowodują opóźnienie pełnej implementacji protokołu.

Nie należy się raczej spodziewać zastosowania protokołu SET na szeroką skalę w ciągu najbliższych 15 miesięcy. Przyczyną tego stanu jest to, że:

• sprzedawcy żądają niższych opłat za przeprowadzane

transakcje za pomocą protokołu SET od obecnych przepro

wadzanych bez użycia kart

• konieczne jest sformułowanie i zainicjowanie kosztowne

go programu marketingowego i szkoleniowego obejmującego

nabywców (klientów)

• implementacja protokołu SET wymaga od sprzedawców

dodatkowych nakładów na sprzęt i oprogramowanie

• oprogramowanie po strome nabywcy musi być zintegro

wane z przeglądarkami webowymi, by stać się dostatecznie

łatwe w użyciu.

Nie bez wpływu na tempo rozpowszechniania protokołu SET jest pojawienie się na rynku technologii kart inteligentnych (smart cards). Ich zwolennicy twierdzą, że są one mniej nieporęczne i bezpieczniejsze od protokołu SET. Obrońcy SET mówią, że nie jest to radykalna zmiana strategii obsługi transakcji elektronicznych i karty inteligentne nie zastąpią protokołu SET.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200