Temel anlamda kredi kartı bilgilerinin güvenliğini sağlamakta kullanılan sistemler araştırıldığında gündeme en çok gelen sistemin SSL (Secure Sockets Layer) olduğu görülmektedir. Hâlbuki SSL, sadece kredi kartı bilgilerinin saklanması için geliştirilmiş bir sistem değildir. SSL, ağ üzerinde hassas ve gizli kalması gereken bilgilerin geçtiği her yerde gizliliği sağlamak üzere geliştirilmiş bir şifreleme sistemidir. Bilgisayar teknolojisinde zaten hassas bilgilerin ağ trafiği içinde başkaları tarafından görülmemesi adına kullanılan bir yöntem olan SSL ile şifreleme, kredi kartı bilgilerinin geçtiği bilişim sistemlerinde bir standart ve disiplin olarak kullanılmaktadır.
SSL ile şifrelemenin gerçekleştiriliyor olması, kredi kartı bilgilerinin şifreleme yönteminin kırılarak başkaları tarafından görülemeyeceği anlamını taşımamaktadır. SSL ile şifreleme yapılırken dikkat edilmesi gereken teknik güvenlik unsurları mevcuttur. Eğer bu teknik güvenlik unsurları dikkatle yönetilmez ise, kredi kartı bilgilerinin gizliliğinin bozulması söz konusu olabilir. Bu unsurları şu şekilde bir arada toplayabiliriz:
• Zayıf algoritmalar ile şifreleme yapılması
• Kısa anahtar uzunlukları ile şifreleme yapılması
• Sertifika otoritesi kullanılmaması
Bahsi geçen bu teknik güvenlik unsurlarının her biri, şifreleme sisteminin aşılarak gizliliğin bozulmasına neden olabilecek türdendir.
Kredi kartı bilgilerinin güvenliği söz konusu olduğunda, süreçlerin güvenlik standartlarını belirlemeye yarayan PCI-DSS konusuna da değinmek gerekir. Payment Card Industry (PCI) Data Security Standart (Ödeme Kartları Endüstrisi Veri Güvenliği Standardı), Mastercard ve VISA tarafından belirlenmiş verinin kullanımı, korunması, saklanması ve iletimi ile ilgili ortak güvenlik standardıdır. Kısaca PCI-DSS olarak adlandırılmaktadır. Kredi kartları ile işlem kabul eden tüm işyerleri ve bankalar PCI-DSS standardına uymak zorundadır.
Kredi kartı bilgilerini ve böylece kredi kartı sahiplerini korumaya yönelik hazırlanan PCI-DSS, standartlara uymayanlar için bazı cezai yaptırımları da yanında beraber getirmektedir.
Kredi kartı bilgilerinin güvenliğinin nasıl sağlanması gerektiğini belirten PCI-DSS standardı, gerçek anlamda kredi kartı bilgilerinin nasıl korunmasını gerektiğine dair geliştirilmiş bir güvenlik standardıdır. Bu standart, teknik olarak SSL ve diğer şifreleme yöntemlerinin nasıl ve nerede kullanılacağına açıklık getirerek, günümüzde kullanılan teknik altyapıların nasıl yönetileceğine dair yol göstermektedir. SSL ise bu teknik altyapılardan sadece birini oluşturmaktadır ve kamuoyundaki yanılgının aksine SSL, başlı başına bir güvenlik standardı değildir.
Teknik olarak hassas bilgilerin saklanması adımlarının her biri kredi kartı bilgilerinin veri tabanı üzerinde saklanması aşamasında da kullanılmaktadır. Kredi kartı bilgisini veri tabanına alan bir şirket, bu bilgiyi şifreli olarak saklamakla yükümlüdür. Benzeri teknik uygulamalar diğer hassas bilgiler için de kullanılmaktadır.
Ödeme sistemlerinde güvenliği sağlamak için mantıksal yapılar da geliştirilmiştir. Yukarıda bahsi geçen veri tabanı üzerinde şifreleme yapılması örneği, aracı bir şirketin kredi kartı bilgilerini kendi veri tabanında tutarak riski üstlendiğini göstermektedir. Bu riski bertaraf etmek için kullanılan mantıksal birkaç güvenlik sistemi, yani güvenli ödeme sitemleri de mevcuttur. Bu sistemlere örneklerden den biri Sanal POS uygulaması, diğeri de Secure 3D’dir. Sanal POS uygulamasında banka girilen kredi kartı bilgisinin doğruluğunu onaylar ve yine banka tarafında bütün işlemler gerçekleştirildikten sonra satıcıya bu işlemlerin gerçekleştirildiğine dair bilgi yollanır. Bu durumda satıcı kredi kartı bilgilerini bir veri tabanı üzerinde saklama gereği duymaz ve bu riski üzerine almamış olur .
Benzer ödeme yöntemlerinden biri de PayPal ve benzeri aracı kurumlarla yapılanıdır. Bu sistemlerde para transferi sanal krediler üzerinden yapılır. Bu kredileri elde etmek için kişiler yine diğer ödeme türlerini kullanarak (kredi kartı, havale vb.) hesaplarına kredi yüklerler. Bu kredileri başkalarının hesaplarındaki kredilere aktarımı ile birlikte transfer işlemi gerçekleşmiş olur.
Güvenlik konusunda bu sistemleri kullanan alıcı ve satıcıların bilinçli olması beklenir. Her ne kadar teoride bu durumun böyle olacağı varsayılsa da aslında uygulamada işler farklı şekilde gelişmektedir. Bunun farkında olan bankalar ve aracı kurumlar, yeni güvenli ödeme sistemlerini geliştirmeye ve satıcı ile alıcı arasındaki bilgi güvenliğini tehdit edecek etkenleri minimuma indirmeye yönelik çalışmalar yapmaktadır.
Kurumların E-Ticaret yaparken dikkat etmesi gereken hem teknik hem de sürece dayalı olan birçok güvenlik unsuru vardır. Bu unsurların birçoğunun uygulanmıyor olması, kurumun hukuki sorunlarla karşı karşıya kalmasına neden olabilir.
Gökhan MUHARREMOĞLU