Vyšlo v týdeníku CHIPweek č. 22/98, 26. května 1998
Vytištěno z adresy: http://www.earchiv.cz/a98/a822k800.php3

První transakce SET v ČR

Rozvoji elektronického obchodu stojí v cestě mnoho různých překážek - od chybějící legislativy, přes ne zcela bezpečný způsob placení, až po instinktivní strach uživatelů před on-line nakupováním. Postupně se ale objevují i účinná řešení, šitá na míru těmto problémům. Jedním z nich je i protokol SET, který pokrývá oblast placení po Internetu a činí tuto operaci dostatečně bezpečnou, spolehlivou a důvěryhodnou - pro všechny zúčastněné strany.

Problematika elektronického obchodování (e-commerce) je opravdu rozsáhlá, a protokol SET pokrývá jen jednu její část, byť velmi významnou: placení. Nezabývá se například tím, jak je uživatelům nabízeno nejrůznější zboží, jak si uživatelé z nabídky vybírají, jak konkrétně říkají co kupují atd. Nastupuje až v okamžiku, kdy již kupující "má vybráno", a se svým virtuálním nákupním košíkem se odebírá k virtuální pokladně virtuálního obchodního domu, aby zde za svůj nákup zaplatil reálnými penězi a získal reálné zboží (či služby). Protokol SET tedy umožňuje uživateli zaplatit (a obchodníkovi dostat své peníze), ale tím zase jeho působnost končí - další fáze on-line nákupu už zase nepokrývá (například způsob dodání zboží či faktické poskytnutí služby, případné reklamace, uplatnění záručních vad atd).

V čem je problém?

Abychom správně pochopili smysl a význam protokolu SET, naznačme si nejprve v čem je podstata problému s placením po Internetu. Jde o placení bezhotovostní, takže platba musí proběhnout jako přímý převod příslušné částky z účtu kupujícího na účet prodávajícího. Je to nutné proto, že prodávající a kupující zde nejsou ve fyzickém kontaktu, a nemohou si proto předat žádné mince ani bankovky. Stejně tak si ale nemohou fyzicky předat ani žádný jiný platební doklad - kupující nemůže prodávajícímu podepsat platební příkaz či jiný analogický dokument, se kterým by pak prodávající šel do banky a nechal si příslušnou částku převést z účtu kupujícího na svůj účet. Stejně tak nemůže kupující podat prodávajícímu svou platební kartu, nechat ji přejet tzv. žehličkou (imprinterem), a podepsat prodávajícímu příkaz k platbě z účtu, ke kterému je karta vystavena. Kupující může pouze poslat prodávajícímu identifikační údaje své platební karty, a prodávající se pak může obrátit na banku která kartu vydala (resp. u které je veden příslušný účet), a vznést požadavek ve smyslu: "majitel karty s takovým a takovým číslem mne pověřil, abych si z jeho účtu zkasíroval takovou a takovou částku". Úskalí jsou zřejmá: banka nemusí prodávajícímu obchodníkovi věřit, zvláště když obchodník nemá v ruce doslova nic, ani podpis kupujícího na kusu papíru. Prodávající nemusí mít jistotu, že údaje ke kartě které obdržel jsou pravé, či zda na účtu skrytém za kartou je dostatek peněz apod. Kupující nemá jistotu, že prodávající nezneužije data o jeho kreditní kartě, která mu poskytnul (třeba tak, že si nechá strhnout větší částku, což vlastník karty může poznat třeba až při nejbližším měsíčním vyúčtování plateb ze své kreditní karty). Hrozba číhá i během přenosu údajů o platební kartě kupujícího skrz Internet, který funguje jako nezabezpečený - je tedy v zásadě možné, aby někdo se zlými úmysly odposlechl číslo něčí karty, a pak si jeho jménem něco koupil a zaplatil prostřednictvím takto "ukradené" karty.

Co řeší SSL a co SET?

Pro bezpečnější možnosti on-line placení po Internetu samozřejmě existují různá řešení. Jedním z nich je protokol SSL (Secure Sockets Layer), který zabezpečuje data během jejich přenosu skrz Internet, pomocí šifrování. Vzhledem k exportním omezením USA na šifrovací technologie se ale v rámci SSL standardně používají jen 40-bitové klíče, které neposkytují příliš velkou míru bezpečnosti (a pouze pro bankovní sektor platí výjimka a možnost použití 128-bitových klíčů). Hlavní nevýhoda SSL je ale možná někde jinde: SSL eliminuje pouze jedno z celé škály nebezpečí (to, že někdo neoprávněný odposlechne data při jejich přenosu a pak je zneužije). SSL sice zajistí bezpečný přenos identifikačních údajů o platební kartě od kupujícího až k prodávajícímu, ale už nedokáže nijak zabránit tomu, aby je prodávající eventuelně nezneužil. Stejně tak nechrání prodávajícího před podvodem ze strany kupujícího, protože nijak neinterpretuje přenášená data.

Protokol SET (Secure Electronic Transaction) vznikl jako řešení pokrývající nejen samotný přenos údajů o platebních kartách, ale také chování dalších zúčastněných subjektů: prodávajícího i kupujícího, ale také banky která vydala kartu k účtu kupujícího, i banky u které má svůj účet prodávající. Pokud použijeme určitou míru nadsázky, můžeme konstatovat, že protokol SET zajišťuje, že všechny zúčastněné strany se budou chovat korektně (samy nic nezneužijí), budou mít dostatečnou jistotu o korektním chování ostatních stran (že nebudou podvedeny), a budou mít k dispozici právě a pouze takové informace, které ke své činnosti potřebují - například prodávající obchodník se vůbec nedozví číslo účtu prodávajícího, banka u které má kupující účet se nedozví co vlastně kupuje atd.

Historie SET-u

Historie protokolu SET se začala psát již poměrně dávno, alespoň podle časového měřítka rychle se rozvíjejícího Internetu - již v polovině devadesátých let začaly na vlastním řešení platebního protokolu pracovat obě velká jména ve světě platebních karet, firmy Visa a Mastercard. Každá ovšem sama za sebe, a nikoli společně. Mastercard začal vyvíjet protokol SEPP (Secure Electronic Payment Protocol), a firma VISA protokol STT (Secure Transaction Technology), a to za podpory velkých jmen světa Internetu (Microsoft, Netscape a dalších). Chvíli to skutečně vypadalo, že vzniknou dvě řešení, která budou vzájemně neslučitelná, ale časem dostaly obě strany rozum - prvního února roku 1996 ohlásily, že budou vyvíjet jediné společné řešení, pod názvem SET (Secure Electronic Transaction protocol). To je dnes již na světě, alespoň ve formě první verze nezbytného standardu.

SET v ČR

V poslední době vznikají v mnoha zemích světa pilotní projekty, které mají v praxi ověřit životaschopnost nového protokolu. U nás byla existence takovéhoto pilotního projektu avizována již poměrně dlouho, a stejně tak bylo veřejně známé složení účastníků tohoto pilota, vystupuje zde:

  • Jedna banka, a to Komerční banka, http://www.koba.cz (vystupující současně ve dvou rolích, jako banka u které má svůj účet kupující i jako banka, u které má svůj účet prodávající).
  • Jeden virtuální obchodní dům, a to Virtuální obchodní dům!, http://www.inet.cz
  • Jedno autorizační středisko plateb, a to ISC MUZO, http://www.muzo.com
  • Jeden poskytovatel technologie, a to firma IBM (používána je především její platforma Net.Commerce),http://www.cz.ibm.com

Dne 29. dubna pak byla v Praze, v prostorách Komerční banky, uspořádána tisková konference k českému pilotnímu projektu protokolu SET. Na této tiskovce byla také provedena první živá SET-platba po Internetu. Kupujícím byl pan Jan Souček, generální ředitel IBM ČR, který si ve virtuálním obchodním domě VOD! koupil elektronický diář. Neplatil jej ale sám - ze své kreditní karty jej prostřednictvím protokolu SET zaplatil sám generální ředitel Komerční banky, senátor Richard Salzmann. Historický okamžik, kdy senátor Salzmann fakticky uskutečnil celou platbu (kliknutím myši) zachycuje fotografie na obrázku (jde o domovskou stránku WWW serveru http://www.set.cz, který se problematice SETu a jeho zavádění u nás systematicky věnuje.

Závěrečná fáze pilotního projektu SET-u v ČR, odstartovaná touto symbolickou transakcí, bude trvat někdy do druhé poloviny letošního roku (žádný přesnější odhad nebyl poskytnut). Poté by měl být celý projekt otevřen, zejména pro další virtuální obchodní domy, a platby pomocí protokolu SET by se postupně měly stát rutinní záležitostí.