Основан на использовании цифровых сертификатов по стандарту X509, который распространен MasterCard и Visa при участии IBM. Он позволяет покупателям приобретать товары через интернет, используя самый защищенный на настоящее время механизм выполнения платежей с использованием пластиковых карточек. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщений, шифрование ценных и уязвимых данных. Set позволяет подтвердить подлинность всех участников сделки в интернете. С помощью криптографии и применения цифровых сертификатов.
SET обеспечивает следующие специальные требования защиты операций электронной коммерции:
1. Секретность данных оплаты и конфиденциальность заказа
2. Сохранение целостность данных платежей с помощью ЦП
3. Специальная криптография с открытым ключом для проверки аутентификации
4. Аутентификацию держателя по кредитной карте, которая обеспечивается применением ЦП и сертификатов держателя карты
5. Аутентификацию продавца и его возможность принимать платежи по пластиковой карте, также с применением ЦП и сертификатов продавца
6. Подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи через связь процессинговой системой. Это подтверждение обеспечивается ЦП и сертификатом продавца
7. Готовность оплаты транзакции в результате аутентификации сертификата с открытым ключом для всех сторон
8. Безопасность передачи данных посредством преимущественного использования криптографии.
Основным преимуществом SET перед другими системами защиты: использование цифровых сертификатов ст X509, которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений Visa и MasterCard
5,7
ДК
Пр
Пш
СО
БПр
БП
Пунктирные линии – возможные операции
Сплошные – обязательные операции
ДК – держатель карты
Пр - продавец
БП – банк покупателя
ВПр – банк продавца
СО – сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификат.
ПШ – платежный шлюз – система контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с БП
1. Участники запрашивают и получают сертификаты от сертифицирующей организации
2. Владелец карточки выбирает товар и посылает заказ
3. Продавец предъявляет свой сертификат владельцу карточки
4. Владелец карточки предъявляет свой сертификат продавцу
5. Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившей электронную карточку.
6. После проверки платежный шлюз возвращает информацию продавцу
7. Продавец требует у платежного шлюза выполнить финансовую операцию и шлюз посылает запрос на перевод средств из банка покупателя в банк продавца.
Сравнительные характеристики SET и SSL:
- SSL при аутентификации обеспечивает только двухточечное взаимодействие (только покупателя и продавца)
- в SET вовлечены 4 стороны
- SET требует аутентификации всех сторон
- SET предотвращает доступ к информации о пластиковой карточке и доступ банка-эмитента к частной информации заказчика, касающейся его заказа.
- в SSL разрешается контролируемый доступ к серверам, директориям, файлам и другой информации
- оба протокола используют современную систему криптографии с систему цифровых сертификатов
- SSL предназначен преимущественно для защиты коммуникаций в интернете, SET обеспечивает защиту транзакций электронной коммерции в целом, что обеспечивает юридическую значимость защищаемой ценной информации
- при этом через SET транзакции происходят медленнее, чем в SSL, и ее стоимость (SET) намного выше, поэтому, несмотря на технологическое совершенствование протокола SET его использование во всем мире весьма ограничено.
