Status
På www.betaling.dk har PBS offentliggjort en status på internethandel med en oversigt over antallet af danske kortbetalinger på internettet pr. måned fra april 1999 til marts 2001. Betalingerne er foretaget ved brug af enten Secure Socket Layer (SSL) eller Secure Electronic Transactions (SET) med Dankort, Visa/Dankort, Visa, Eurocard eller Mastercard. I det følgende gennemgår vi kort SET og SSL.
PBS har tegnet 2.042 SSL-aftaler og 110 SET-aftaler med danske e-handels forretninger. PBS kunne ikke umiddelbart oplyse hvor mange af kortbetalingerne, der var foretaget via henholdsvis SSL og SET. Formentlig er der tale om, at meget få benytter SET, da det er for besværligt at bruge. PBS kunne heller ikke oplyse, om der findes en offentliggjort liste over hvilke e-forretninger, der har henholdsvis SSL og SET.
I april 1999 blev der foretaget sølle 8.069 kortbetalinger over Internettet. Dette antal er steget gradvist med 24.770 kortbetalinger i januar 2000, 68.293 i januar 2001 til 81.379 i marts 2001.
Uanset om man bruger SSL eller SET, skal man huske at kontrollere sine kontoudskrifter. Hvis man finder en fejludgift, som man ikke selv er skyld i, skal man rette henvendelse til sit pengeinstitut. Derefter vil det enten være pengeinstituttet eller eksempelvis Visa, der skal dække eventuelle omkostninger.
SET
SET - Secure Electronic Transactions
For at handle via SET skal man have et SET-certifikat samt en elektronisk tegnebog. Certifikatet kan rekvireres via www.betaling.dk eller gennem et pengeinstitut, og det tager et par dage få certifikatet. En version af den elektroniske tegnebog kan downloades gratis fra www.betaling.dk. På PC World Online prøvede vi at installere den elektroniske tegnebog. Først efter gentagne forsøg lykkedes det, så det er ikke helt let at komme til at benytte SET. Man kan altså ikke bare benytte SET med det samme til at købe varer på internettet.
I den elektroniske tegnebog indtaster brugeren oplysninger om sit betalingskort. Når en bruger skal betale for varer i en e-forretning, der tilbyder betaling med SET, åbner den elektroniske tegnebog automatisk.
Alle informationer mellem bruger, forretning og pengeinstitut er krypterede. Forretningen får kun adgang til oplysninger om de varer som brugeren har bestilt, mens pengeinstituttet og PBS kun kan få adgang til oplysninger om betaling. På denne måde sikres det blandt andet at en forretning ikke kan gemme kreditkortnumre. Der har været flere tilfælde i USA, hvor en forretnings server blev hacket og derefter blev alle kunders kreditkortnumre misbrugt eller solgt videre.
I SET benyttes der både symmetrisk og asymmetrisk kryptering samt digitale signaturer. Den offentlige nøgle udveksles via certifikater, og både forretninger og kunder skal have SET-certifikater. Brugerens certifikat fungerer som en identifikation af brugeren. Som bruger skal man godkendes af sit pengeinstitut, før man kan få et SET-certifikat, men det er PBS i sin egenskab af certifikatmyndighed, der udsteder certifikatet. En forretnings certifikat fungerer egentlig som en elektronisk erstatning for kortmærkerne i forretningernes vinduer. Dette er brugerens garanti for, at forretningen er godkendt af PBS.
En stor ulempe ved at bruge SET er, at man som bruger er bundet til den computer, hvorpå man har installeret den elektroniske tegnebog. En anden ulempe er vejledningerne i IBM's elektroniske tegnebog. Klikker man på hjælp og slår op under adgangskode, står der eksempelvis "Du kan evt. benytte samme adgangskode som til andre programmer, så du kun skal huske én adgangskode.". Alle burde vide, at det ikke er smart at bruge den samme adgangskode til flere programmer.
Den elektroniske tegnebog
SSL
SSL - Secure Socket Layer
SSL er en sikkerhedsstandard som er udviklet af Netscape, men den er ikke specielt designet til kortbetaling som SET er. SSL er den mest benyttede sikkerhedsstandard i forbindelse med e-handel. SSL er indbygget i de fleste browsere, og der kræves ikke installation af software såsom en elektronisk tegnebog for at benytte SSL. Man kan derfor med det samme benytte SSL til at købe varer på internettet.
SSL benytter sig også af certifikater til forretninger og brugere. Men det er valgfrit for brugeren, om han vil rekvirere et certifikat. De fleste benytter derfor SSL version 1, hvori brugeren ikke skal have et certifikat. Forretningen skal altid have et certifikat, der bruges til at identificere forretningen.
SSL krypterer alle informationer mellem bruger, forretning og pengeinstitut. Men modsat SET kan en forretning få adgang til oplysninger om betalingen såsom kreditkortnumre.
Når der skal handles ved hjælp af SSL skal der de fleste steder kun oplyses kortnummer og udløbsdato. Disse oplysninger findes på en del kvitteringer fra eksempelvis banker, hvilket gør, at SSL ikke er så sikkert som SET. Derfor vil PBS også indføre, at der skal indtastes tre kontrolcifre. På bagsiden af de fleste betalingskort er der påtrykt et langt nummer. Kontrolcifrene er de sidste tre cifre af dette nummer. Nogle ældre Dankort har ikke dette lange nummer påtrykt, så hvis man vil øge sikkerheden ved brug af SSL, skal man have sit Dankort udskiftet.
En fordel ved at bruge SSL er, at man kan bruge det på alle computere, der har installeret en browser med SSL. Man er altså ikke bundet sin egen computer.
