Zdaniem specjalistów, nie musi być to jednak instytucja polska, ponieważ zarówno MasterCard, jak i Visa udzielają certyfikatów swoim kontrahentom i klientom. Można więc korzystać z ich usług lub stworzyć własną firmę, która się tym zajmie. Obie organizacje wymagają jedynie, by klucze i certyfikaty były odpowiednio zabezpieczone przed kradzieżą.

Dylemat

W ubiegłym roku w Internecie przeprowadzono pierwszą transakcję za pomocą karty kredytowej, zgodną z technologią Secure Electronic Transaction. Mimo to organizacje odpowiedzialne za wydawanie kart płatniczych, a jednocześnie pracujące nad rozwojem tej technologii, m.in. Visa, oficjalnie odradzają dokonywanie jakichkolwiek zakupów za pośrednictwem Internetu przy użyciu kart kredytowych. Numery kart przesyłane pocztą, faksem lub podawane telefonicznie nie są w pełni zabezpieczone. Internet bowiem stwarza oszustom możliwość masowego ich przechwytywania - twierdzą przedstawiciele tych instytucji. Co więcej, kupujący w sieci nigdy nie ma gwarancji, czy serwer, z którym się połączył, jest utrzymywany przez istniejącą firmę. Technologia SET - zdaniem jej twórców - ma stanowić skuteczne zabezpieczenie przeciwko tego typu nadużyciom.

Secure Electronic Transaction bazuje na podpisie elektronicznym, którego podstawą ma być algorytm RSA. Instytucja finansowa występuje w roli pośrednika, który poprzez certyfikaty potwierdza autentyczność sprzedawcy i kupującego.

Sukces standardu Secure Electronic Transaction zależy od upowszechnienia kart mikroprocesorowych i liczby czytników kart zainstalowanych w dowolnym urządzeniu np. komputerze. Na takiej karcie może bowiem być umieszczony cyfrowy podpis użytkownika, potrzebny w algorytmie RSA. Na Zachodzie tego typu karty są już bardzo popularne. Dopiero przed miesiącem Visa zapowiedziała ich wprowadzenie na rynek polski. 12 banków polskich wraz ze spółką PolCard uczestniczy w programie wdrażania mikroprocesorowej karty Visa Smart Credit/Debit.

Konkurencja

Wśród zalet SET wymienia się przede wszystkim wspólną platformę dokonywania płatności wszelkimi kartami kredytowymi. Jej wdrożenie ma znacznie przyspieszyć rozwój handlu w sieci. Obecnie internetowa sprzedaż jest obarczana dużym współczynnikiem ryzyka. Przekłada się to na wyższy procent opłat, jakimi są obciążane zawierane transakcje. Po wprowadzeniu SET, ma być ona jednak traktowana jako bezpieczniejsza forma płatności, nawet bardziej bezpieczna niż zakupy w tradycyjnym sklepie z użyciem karty plastikowej.

Użytkownik dysponuje dołączonym do swojej internetowej przeglądarki "elektronicznym portfelem", w którym znajdują się zakodowany numer jego karty kredytowej i certyfikat poświadczający tożsamość. Po wysłaniu przez użytkownika polecenia zapłaty, serwer sprzedawcy skieruje do komputera użytkownika - zgodne z protokołem SET - informacje z tego portfela. Sprzedawca nie ma jednak możliwości poznania numeru tej karty (jest ona wysyłana w postaci zakodowanej) - zamiast tego przekazuje otrzymaną informację do instytucji finansowej. Tam sprawdzana jest autentyczność kupującego i obciążenie jego karty kredytowej (na ogół serwery zajmujące się realizacją płatności i wydaniem zgody na realizację transakcji są rozdzielone). Sprzedawcy przekazywana jest pozytywna odpowiedź. Wszystkie te operacje wymagają jedynie minimalnej interwencji ze strony użytkownika - jest to duża zaleta standardu SET.

Jednak obecnie pojawiają się pewne różnice w stosowanych rozwiązaniach. Kilka firm zamierza wprowadzi do SET algorytm Elliptic Curve Cryptosystem (ECC), który jest bardziej efektywny obliczeniowo od RSA (istotną wadą SET są wysokie wymagania sprzętowe). W ten sposób zamierzają one uniezależnić się od jednego rozwiązania opracowanego przez RSA Data Security. Opcję tę popiera MasterCard, krytycznie jednak ustosunkowuje się do niej Visa.

W ubiegłym miesiącu Europay, przy poparciu MasterCard, wprowadziła na rynek rozwiązanie Smart Card Payment Protocol (SCPP), konkurencyjne wobec standardu Secure Electronic Transaction. "Jest ono znacznie tańsze przy wdrożeniu niż SET, ponieważ do dokonania bezpiecznej transakcji wykorzystywana jest obecna infrastruktura związana z Internetem. Klient musi mieć jedynie kartę chipową i czytnik podłączony do dowolnego komputera z dostępem do Internetu" - twierdzi Przemysław Figarski. SCPP bazuje na już stosowanych rozwiązaniach, takich jak TLS (Transport Layer Security) i SSL (Secure Socket Layer), wspieranych przez wszystkich dostawców przeglądarek internetowych. Obecnie jest on wdrażany w angielskim banku Barclay.