Sichere Zahlungen im Internet mit SET



Ähnliche Dokumente
Wie sicher sind Zahlungen im Internet?

7 Elektronische Bezahlsysteme

Drägerware.ZMS/FLORIX Hessen

Beteiligte Komponenten bei SET Transaktionen (Teil 1)

SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET. Sicher Online einkaufen

Sichere Zahlung Stand

Sicherheitszertifikate der DKB AG und ihrer Partner

Textvorlagen MasterCard SecureCode TM / Verified by Visa Stufe 2 für Kreditgenossenschaften, die nicht die webbank als Contentsystem verwenden

COMPUTER MULTIMEDIA SERVICE

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Installationsanleitung SSL Zertifikat

Kontaktlos bezahlen mit Visa

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Sicher einkaufen Trusted Shop Gütesiegel - Preiswerte Baustoffe online kaufen.

Einen Mikrofilm bestellen

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

FAQ. Hilfe und Antworten zu häufig gestellten Fragen

PaySquare Online. Benutzerhandbuch Demoversion

Sichere Kommunikation mit Ihrer Sparkasse

Sichere Kommunikation mit Ihrer Sparkasse

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

icloud nicht neu, aber doch irgendwie anders

Lizenzen auschecken. Was ist zu tun?

Mediumwechsel - VR-NetWorld Software

Handbuch SOFORT Überweisung

Willkommen im Online-Shop der Emser Therme GmbH

Internet online Update (Internet Explorer)

Allgemeine Fragen Was ist 3D Secure (Verified by Visa / MasterCard SecureCode )?

Moneybookers Integration bei

Wiederkehrende Bestellungen. Tipps & Tricks

s-sparkasse Wenn eine Idee die Welt verändert, will jeder dabei sein: giropay die Zukunft des Bezahlens im Internet.

Vorschriften zur elektronischen Abwicklung von ServiceCards über das internetbasierte ServiceCardPortal

Neuerungen PRIMUS 2014

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

UMSTELLUNG DIREKT-TRANSAKTION DIALOG-TRANSAKTION VON AUF. VR-Pay virtuell Shop Umstellung auf Dialog-Transaktion

WICHTIGE FRAGEN ZUM THEMA 3D SECURE

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

Häufig gestellte Fragen

Die Dateiablage Der Weg zur Dateiablage

Registrierung am Elterninformationssysytem: ClaXss Infoline

Datatrans Advanced Modul

Kleines Handbuch zur Fotogalerie der Pixel AG

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

Mediumwechsel - VR-NetWorld Software

Informationen für Händler

Sicher kommunizieren dank Secure der Suva

Bestellablauf Online Shop

Anleitung zum online Datenbezug. Inhalt:

SUPERCARDplus und Swisscard Marcel Bührer, CEO Swisscard. Zürich, 16. Juni 2006

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Bedienungsanleitung für den Online-Shop

MoneybookersIntegration bei

Instruktionsheft für neue Webshop Hamifleurs

Internet online Update (Mozilla Firefox)

Mobile Banking App Bedienungsanleitung

Netzwerk einrichten unter Windows

Anleitung vom 4. Mai BSU Mobile Banking App

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Leichte-Sprache-Bilder

So funktioniert das online-bestellsystem GIMA-direkt

Online bezahlen mit e-rechnung

Anmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC

Online Messe Kartensicherheit

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Mehr Sicherheit für Ihre MasterCard. mit 3D Secure und mobiletan

Bedienungsanleitung für den SecureCourier

2.1 Erstellung einer Gutschrift über den vollen Rechnungsbetrag

Online Newsletter III

Anleitung zur Registrierung von MSDNAA (DreamSpark) und Erwerb der Microsoft Produkte

> Lokal, persönlich und traditionell. Ihre Bank. Seit Sparkasse Mobile Banking App > Anleitung zur Aktivierung.

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Ihren Kundendienst effektiver machen

Was meinen die Leute eigentlich mit: Grexit?

Bei SCS bezahlen Sie ohne Risiko. 1. Vorkasse. 2. Kreditkarte. Sie können zwischen folgenden Zahlungsmethoden wählen:

Übersicht: Bezahlsystem-Anbieter

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

DreamSpark - Schritt für Schritt

Installationsanleitung CLX.PayMaker Office (3PC)

GS-Programme 2015 Allgemeines Zentralupdate

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

KAUFPROZESS UND STORNIERUNG V1.2 Stand 12/2012

Datensicherung. Beschreibung der Datensicherung

Microsoft Update Windows Update

Online-Bestellung Tageskarten für Mitglieder des FC St. Pauli, die nicht im Besitz einer Dauer- oder Saisonkarte sind.

CoP in sechs Schritten kaufen

Sichere s. Kundeninformation zur Verschlüsselung von s in der L-Bank

Herzlich Willkommen bei der BITel!

Händlerbedingungen für das System GeldKarte

Anlegen eines DLRG Accounts

Installation Benutzerzertifikat

Aktivieren von Onlinediensten im Volume Licensing Service Center

Verwendung des IDS Backup Systems unter Windows 2000

PeDaS Personal Data Safe. - Bedienungsanleitung -

Frankieren in Microsoft Word mit dem E Porto Add in der Deutschen Post

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Transkript:

Sichere Zahlungen im Internet mit SET Die Abwicklung geschäftlicher Transaktionen im Internet funktioniert nur, wenn auch der Zahlungsverkehr für den Kunden wie für den Händler sichergestellt ist und er darauf vertrauen kann, daß Mißbrauch ausgeschlossen ist. Niemand wirft gerne seine Kreditkartendaten in ein schwarzes Loch. Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe, muß ich (leider) damit rechnen, daß er verloren gehen kann oder daß er von Unbefugten geöffnet wird. Wenn ich denselben Brief eingeschrieben versende, habe ich zumindest die Garantie, daß er ankommt. Wenn ich zusätzlich den Brief noch verschlüssle, habe ich weiters die Gewissheit daß er nur von Befugten - mit einem Schlüssel - gelesen werden kann. Es kommt also immer darauf an, wie man mit einem Medium umgeht. Zahlungsarten Im Internet spielt natürlich auch die physikalische Distanz zwischen Kunde und Händler eine nicht wegzuleugnende Rolle. Hinzu kommt die Anonymität des Kunden, der alles kaufen kann, was er im realen Leben nicht tun würde. Die Verfügbarkeit wirklich aller Art von Waren und Dienstleistungen spielt natürlich die wesentlichste Rolle. Es gibt generell zwei Arten des Warenangebotes im Internet: der klassische Warenversand (Bücher) virtuelle Waren und Dienstleistungen wie Downloads ( Software, Musik, Video) und Informationen. Die Bezahlung im Internet kann auch auf verschiedene Arten erfolgen: Nachnahme Bankeinzug Vorauskasse Elektronische Zahlungsmittel Kreditkarte Nachnahme ist jedoch nur für physikalische Waren möglich.bankeinzug und einige proprietäre Zahlungsysteme wie e-cash, cybercash oder ähnliche, haben eines gemeinsam: sie verlangen nach einer lokalen (nationalen) Clearingstelle zur Abwicklung der Finanztransaktionen. Vorauskasse ist sicher nicht für viele Geschäftsfälle praktikabel - Internet ist, wie der Name schon sagt international. Somit bleibt nur eine Art der Bezahlung die (zur Zeit) weltweit funktionieren kann - die Kreditkarte, und zwar weil die Verwendung den meisten Menschen vertraut ist und der Komfort für den Karteninhaber dabei gegeben ist. Für den Händler sind die Kosten im Vergleich zu Nachnahme oder Rechnung in den meisten Fällen geringer. Es sind hier natürlich einige wesentliche Aspekte zu beachten: die technische Sicherheit die Rechtsverbindlichkeit die Geschwindigkeit der Karten-Autorisierung

Zahlreiche Web Shops bieten die Möglichkeit, Kreditkartenzahlungen per SSL (Secure Socket Layer) zu akzeptieren. SSL ist der zur Zeit gebräuchlichste Standard für die Übertragung von vertraulichen Daten. Dieser bietet einen meist ausreichenden Schutz gegen das Abfangen von Kreditkartendaten oder das Verändern von Daten durch Dritte. SSL stellt lediglich ein Verschlüsselungsverfahren dar, das die Datensicherheit zum Ziel hat. Die eigentliche Autorisierung und Verrechnung von Kreditkartenumsätzen ist dabei noch nicht inkludiert. Die wichtigste Komponente für sichere Zahlungen im Internet ist aber die Gewißheit über die Berechtigung von Händler und Kunde, Zahlungen mit einer Kreditkarte durchführen zu dürfen, sowie über eine rechtsverbindliche Bestätigung einer Bestellung. Um dieses zu erreichen, wurde SET TM geschaffen. Secure Electronic Transaction SET ist ein Sicherheitsstandard für Transaktionen per Kreditkarte über das Internet. SET wurde hauptsächlich von Mastercard, Visa und technologisch führenden Unternehmen entwickelt. Bei der Abwicklung der Transaktionsdaten schreibt das SET Protokoll zweierlei vor. Einerseits bekommt in der virtuellen Welt niemand Informationen zu Einsicht, die nicht für ihn bestimmt sind, anderseits werden alle übermittelten Informationen mittels Verschlüsselung für Dritte unlesbar gemacht. Das heißt, daß der Händler keinerlei Kontodaten des Kunden im Klartext für das Zustandekommen eines Geschäfts benötigt, er sieht nur die Bestellinformationen und erhält eine Benachrichtigung des Kartenausstellers (VISA, MC, etc), ob das Kundenkonto für die Höhe des zu erwartenden Betrag "gut" ist, bzw. ob der Kartenstatus einen Umsatz zuläßt. Die Bank wiederum erhält keine Informationen über die Bestellung des Karteninhabers, für sie ist nur die kontoseitige Information vonnöten. Die wesentlichen SET Komponenten Das Wesen von SET besteht darin, daß sowohl Karteninhaber als auch der Händler ein SET Zertifikat erhalten. Die Zertifikate werden von den jeweiligen Banken, im Falle des Karteninhabers von der kartenausgebenden Bank (Issuer), im Falle des Händlers von der Händlerbank (Acquirer), ausgegeben. Karteninhaber erhalten zur Abwicklung von SET Transaktionen eine sog. Wallet, also eine elektronische Brieftasche, deren Inhalt aus zertifizierten Kreditkarten besteht. Der Händler muß einen SET fähigen Server installieren, der es ermöglicht, SET Transaktionen aufzunehmen, um diese an seine Händlerbank weiterzugeben. Das Payment Gateway. Dieses nimmt SET Transaktionen von Händlern auf und setzt diese in die derzeit gängigen ISO Formate um, die in den Netzen der Kartenorganisationen benutzt werden:

Visa:VisaNet Mastercard: Banknetz Das Payment Gateway erhält ein Zertifikat direkt von SETCO. SETCO: Um eine einheitliche und flächendeckende Verbreitung des Standards zu gewährleisten, wurde von Visa und Mastercard die Zertifizierungs-Instanz SETCO gegründet. Aufgabe der SETCO ist es, sämtliche eingereichten Softwareprodukte auf SET-Konformität zu prüfen. Erst mit der offiziellen Vergabe des SET-Logos bestätigt die Instanz, daß das eingereichte Produkt zu 100% der aktuellen Spezifikation des SET-Protokolls entspricht. Somit ist auch sichergestellt, daß ein Händler, der das SET-Logo in seinem Shop verwendet, von einer Kreditkartengesellschaft dazu autorisiert ist. Der Zahlungsverkehr zwischen Händlerbank und kartenausgebender Bank läuft wie bisher in internen Netzwerken, also nicht über offene Netze ab. Zur gegenseitigen Kenntlichmachung der SET Fähigkeit wurde ein SET Warenzeichen entwickelt, welches der Händler nach entsprechender Zertifizierung auf seiner Web Seite zeigen darf - das sogenannte SET Mark Unter SET-Transaktion versteht man standardmäßig eine 3KP (Key Pair) Transaktion, daneben gibt es 2KP Transaktionen, im Sprachgebrauch auch als SET-MIA (Merchant Initiated Authorization) oder MO-SET (Merchant Originated) bekannt. In der Terminologie der Software-Hersteller sind die o.g. Begriffe einfach unter SSL benannt. Die Bedeutung der Key Pairs ist folgende: (1 Key Pair, also Schlüsselpaar entspricht einem Zertifikat) 2KP bedeutet: 1 Zertifikat liegt beim Händler 1 Zertifikat liegt beim Paymentgateway Der Karteninhaber hat in dem Fall kein Zertifikat zur Verfügung und gibt seine Kartendaten wie von anderen Seiten gewohnt über eine https-verbindung ein (Kartennummer, Ablaufdatum; Name auf Karte) 3KP bedeutet: 1 Zertifikat liegt beim Händler 1 Zertifikat liegt beim Paymentgateway 1 Zertifikat liegt beim Karteninhaber Der wesentliche Unterschied zwischen 3KP und 2KP Transaktionen liegt in der Zahlungsgarantie seitens der Kartenorganisationen gegenüber dem Händler bei Verwendung von SET. Wir können derzeit davon ausgehen, daß die Verbreitung von SET-Wallets nicht

flächendeckend ist, und daher von Online-Shops beide Lösungen angeboten werden sollten. Ablauf einer SET-Transaktion: Während des Verkaufsdialoges wählt der Käufer auf den Angebotsseiten des Händlers die gewünschten Waren oder Dienstleistungen aus. Bei der Bestellung wird er eine Wahlmöglichkeit für die Bezahlung mit SET finden und auswählen. Daraufhin wird am PC des Käufers automatisch das SET-Wallet gestartet. Der Käufer muss das Wallet mit seinem Benutzernamen und einem Passwort freigeben. Der Käufer wählt eine der im Wallet verfügbaren Kreditkarten aus, es wird ihm im SET-Wallet die Rechnung nochmals angezeigt und er bestätigt die Zahlung. Nun werden zuerst die Zertifikate des Händlers und des SET-Payment-Gateways überprüft. Dies gibt dem Käufer die Gewissheit, daß es sich um offizielle Vertragspartner handelt. Danach wird eine Meldung mit einer "Prüfsumme" über die Rechnung, die Währung und den Betrag erstellt. Diese Meldung wird mit dem geheimen Schlüssel des Karteninhabers unterschrieben, verschlüsselt und zusammen mit dem Zertifikat des Karteninhabers an den Händler geschickt. Der Händler prüft als erstes das Zertifikat des Kunden, um sicherzugehen, daß er die Daten vom echten Karteninhaber erhalten hat. Danach erstellt die Händler-Software eine Autorisierungsanfrage an das SET-Payment-Gateway mit folgendem Inhalt: 1. Die Meldung des Käufers mit dessen Zertifikat 2. Eine Meldung des Händlers, welche dieselben Informationen (Prüfsumme, Währung, Betrag) aus der Sicht des Händlers enthält. Diese Meldung hat der Händler mit seinem privaten SET-Schlüssel unterschrieben, verschlüsselt und mit seinem Zertifikat ergänzt. Das SET-Payment-Gateway prüft die Unterschrift des Karteninhabers, die Unterschrift des Händlers sowie Übereinstimmung von Rechnungs-Prüfsumme, Währung und Betrag aus den beiden Meldungen. Sofern diese Prüfungen erfolgreich sind, ist sowohl die Echtheit von Karteninhaber und Händler als auch die Übereinstimmung der Kaufabsichten von Käufer und Händler erwiesen. Das SET- Payment-Gateway leitet nun die Währung, den Betrag und die Kartennummer an den Autorisierungshost weiter. Der Autorisierungshost der Kreditkartenorganisation prüft, ob ein gültiger Vertrag mit dem Händler vorliegt, die Karte des Kunden nicht gesperrt ist und das Limit der Karte nicht überschritten ist. Das Ergebnis der Autorisierung wird wieder an das SET-Payment-Gateway zurückgesandt, das seinerseits den Händler-Server über das Resultat informiert. Wenn der Kauf vom SET-Payment-Gateway freigegeben wurde, wird die erfolgreiche Abwicklung des Kaufes dem Käufer bestätigt. Andernfalls wird der Karteninhaber über den Grund der Ablehnung informiert. Nach Abschluss der Autorisierung erfolgt außerhalb von SET die Auslieferung der bestellten Waren oder Dienstleistungen durch den Händler. Dieser relativ kompliziert wirkende Vorgang läuft innerhalb weniger Sekunden ab, so daß sich der Kunde nahezu verzugslos weiteren Aktivitäten im Internet widmen

kann. Die abschließende Sektion des heutigen Artikels gibt detailliert Aufschluß wann und wie welcher Schritt des SET Einkaufsvorgangs abläuft. Der Nachrichtenverlauf im Detail 1. Der Karteninhaber füllt den Warenkorb und leitet den Kaufvorgang ein (kein 2. Der Server des Händlers sendet eine Initialisierungsnachricht an die Payware (kein 3. Die Payware sendet eine Wakeup-Nachricht an den Händler-Server (kein 4. Der Händler-Server leitet die Wakeup-Nachricht an den Browser weiter (kein 5. Der Browser erhält die Wakeup-Nachricht und aktiviert das Wallet (kein 6. Das Wallet sendet eine Anforderung der Kaufinitialisierung (PInitReq) an die Payware ( 7. Die Payware sendet eine Antwort wegen Kaufinitialisierung (PInitRes) an das Wallet mit der Frage nach Bestelldetails ( 8. Das Wallet sendet eine Kaufanforderung mit Bestelldetails (PReq) an die Payware ( 9. Die Payware sendet eine Anforderung der Kaufautorisierung (AuthReq) an das Payment Gateway ( 10. Das Payment Gateway sendet eine Anforderung (AuthReq) der Kaufgenehmigung an die abwickelnde Bank ( 11. Die abwickelnde Bank sendet eine Antwort (AuthRes) auf die Genehmigungsanforderung an das Payment Gateway ( 12. Das Payment Gateway sendet eine Antwort wegen Kaufautorisierung (AuthRes) an die Payware ( 13. Die Payware sendet die Autorisierungsantwort an den Händler-Server (kein 14. Die Payware sendet eine Transaktionsbestätigung (PRes) an das Wallet ( 15. Das Wallet veranlasst den Browser zur Anzeige einer Ausgabeseite (Erfolgs- /Fehlermeldung) (kein Schlußbemerkung In diesem Artikel habe ich Ihnen die Grundlagen von SET, und wie die einzelnen Schritte (Kunde, Händler, Gateway, Kreditkartenfirmen) ablaufen im Überblick

präsentiert. Details zu den Einzelkomponenten (Gateway, Wallet, Händlersoftware) folgen im nächsten Artikel. Links zu anderen Sites Ecin www.ecin.de Setco www.setco.org Visa.at www.visa.at/set/index.html Mastercard.at www.europay.at/htdocs/index.htm Visa.de www.visa.de/ks/service/internetshopping.htm Mastercard.d www.eurocard.de/online-shopping/index.html

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback