Glengamoi (Forum) · AspHeute · .NET Heute (RSS-Suche) · AspxFiles (Wiki) · .NET Blogs
ASP German Homepage Homepage
 

Liste

.NET 2.0 (1)
.NET Allgemein (16)
.NET Fu (5)
ADO.NET (11)
Aprilscherz (3)
ASP Grundlagen (44)
ASP Tricks (83)
ASP.NET (44)
ASPIntranet.de (5)
C# (28)
Datenbank (44)
Dokumentation (4)
IIS 6.0 (1)
Komponenten (29)
Optimierung (10)
Server (21)
Sicherheit (34)
Tee Off (6)
VB.NET (6)
WAP (8)
Web Services (11)
XML (9)

RSS 2.0 - Die neuesten fünf Artikel auf AspHeute.com


 

Suchen




 

English Articles
Chinese Articles
Unsere Autoren
 
Link zu AspHeute
Impressum
Werben
Anfragen

Beteiligte Komponenten bei SET Transaktionen (Teil 1)

Geschrieben von: Christian Weissengruber
Kategorie: Sicherheit

Nachdem wir uns im ersten Teil mit der SET-Technologie im Allgemeinen beschäftigt haben, werden wir in diesem Artikel die einzelnen SET-Komponenten näher betrachten.

Das Payment Gateway

Das Payment Gateway (auch kurz nur Gateway genannt) ist die Schnittstelle zwischen dem Händler und den Kreditkartenorganisationen. Das Gateway erhält im Rahmen seiner Installation ein Zertifikat von einer CA (Certificate Authority).

Gateways werden unter anderem von Globeset , IBM und Trintech angeboten. Betrieben werden diese Gateways von den Acquirern. Acquirer sind jene Banken oder Organisationen, die für die Händlerseite der Kreditkartenabwicklung zuständig sind. In Österreich sind dies Visa und Mastercard, in der BRD z.B. B & S Cardsysteme, GZS

Jedes zertifizierte Payment Gateway entspricht dem SET-Protokoll in der aktuellen Version (derzeit 1.0.). Das Gateway verbindet den Karteninhaber - über den Händler - mit dem Zahlungssystem des Kreditkartenunternehmens und stellt auch den Konnex zwischen Händler, Acquirer-Bank und der Kartenorganisation her. Jedes Payment Gateway ist mit allen SET-konformen Produkten aller Hersteller kompatibel. Es unterstützt somit den kompletten Prozeß der Zahlungsautorisierung sowie der Zahlungsabwicklung.

Das Payment Gateway bearbeitet die eingehenden Autorisierungsanfragen und leitet diese an einen Autorisierungshost weiter. Von dort wird das Ergebnis der Anfrage prompt an das Vertragsunternehmen gesendet. Die Wahl eines Gateways ist nicht frei, das Gateway wird vom Acquirer zur Verfügung gestellt.

Zum Punkt POS (Point-of-sale-Anwendungen), einer Software die den Händler mit dem Kundenwallet verbindet, werde ich in einem späteren Artikel genauer eingehen.

Das Wallet

Für einen Kunden, der als zertifizierter Karteninhaber im World Wide Web einkaufen möchte, besteht der Einstieg aus zwei Teilen. Erstens muß er über eine geeignete Software verfügen, zweitens muß er sich Online zertifizieren lassen. Die Software steht dem Kunden primär als Download (z. B. www.set4u.at, www.visa.at, www.europay.at) zur Verfügung, sie kann auch über diverse Provider-CD's oder von Banken (zusammen mit dem SET-Code ) dem Kunden zur Verfügung gestellt werden.

Alles was der Karteninhaber benötigt, ist eine Kreditkarte, einen PC (bis eine Firma ein Java-Wallet auf den Markt bringt, sind MAC-User von der Teilnahme an SET ausgeschlossen), einen Internetzugang und einen gebräuchlichen Browser (Netscape, Microsoft Internet Explorer, etc.). Die Software, die nötig ist, um Kreditkartennummern und damit verknüpfte Zertifikate verwalten zu können wird meist als Wallet oder Pay Purse bezeichnet. Folgende Punkte sind wichtig bei Wallets:

  • Jedes Wallet ist mit jeder Payware kompatibel.
  • Jede Kreditkarte kann in jedes Wallet plaziert werden.

Das MasterWallet der Europay/Mastercard stammt von IBM und ist in ganz Europa gebräuchlich.

Die Paypurse von Visa-Austria stammt von Trintech und wird nur von Visa-Austria verwendet.

Achtung: Das im MS-Internet Explorer 5 enthaltene Wallet ist kein SET-Wallet!

Vor Inbetriebnahme der Software ist vom Karteninhaber ein schriftlicher Antrag auf Ausstellung eines SET-Codes für eine Kreditkarte an die Bank zu stellen. Derzeit ist aus rechtlichen Gründen die Unterschrift des Karteninhabers verpflichtend.

In Österreich übernehmen die Kartengesellschaften Visa und Mastercard (bedingt durch ihre Stellung als alleinige kartenausgebende Institute) auch die Rolle der Bank. Der Informationsfluß wird dadurch teilweise verkürzt, und die Ausstellung beschleunigt. Generell aber regelt die Bank den Zertifikatsantrag des Endkunden und gibt den Antrag an die Kreditkartengesellschaft weiter (wie gesagt, Österreich ist anders...).

Bei der Kreditkartengesellschaft wird der Auftrag zur Generierung des Zertifikats an ein Trust Center erteilt. Das Zertifikat wird dort erstellt. Die Kreditkartengesellschaft wird über die erfolgte Ausstellung des Zertifikates informiert und leitet die Informationen an die Bank weiter. Die Bank kann nun den Zertifikatsbrief (im Idealfall gemeinsam mit einer Wallet-Software) an den Endkunden ausliefern. Dieser braucht das Wallet nur auf seinem PC zu installieren und kann dann das Zertifikat über eine verschlüsselte Internetverbindung zusammen mit einem Autorisierungscode abholen und in seinem Wallet aktivieren.

Im Normalfall geschieht das Abholen des Zertifikates dadurch, daß man im Browser eine vom jeweiligen Karteninstitut bekanntgegebene Web-Seite öffnet, dort auf das entsprechende Symbol klickt und dadurch eine Wake-Up Message für das Wallet erhält.

z.B: http://www.registervisa.com/cgi-bin/visa.atCCA/SET.exe?operation=SETWakeup&wuf=wakeup.dat http://www.europay.at/htdocs/set/zertifikat_set.htm


Zum Vergrößern auf das Bild klicken.

Auf diese Seiten gelangt man auch über Links der Websites von Visa und Mastercard. Zum einen geschieht dies deshalb um den Aufwand für den Karteninhaber zu minimieren und Schreibfehler bei der Eingabe des sogenannten Brands auszuschließen. Zum anderen ist es auf diese Art auch möglich, Testzertifikate in sein Wallet zu bekommen.

An dieser Stelle sind einige Erklärungen notwendig:

  • Acquirer: ist die Bank des Händlers, in Österreich übernehmen Visa-Austria und Europay-Austria als eigenständige Banken diese Rolle, in Deutschland werden die Aufgaben des Acquirers von z.B. GZS oder B&S Cardservice erfüllt.
  • Brand ist die Kartenmarke, die von den Acquirern angeboten wird. Z.B.: Europay-Austria bietet MasterCard an Visa-Austria bietet VISA an. Jedoch bietet B&S Cardservice in Frankfurt sowohl VISA als auch MasterCard an.
  • Produktionsumgebung: Da seitens der Kreditkartenorganisationen keinerlei Testbedingungen (Host-Zugang oder Testkarten) für externe Softwarelösungen geschaffen werden können, kann jede SET-Transaktion nur mit echten Kreditkarten durchgeführt werden.

Um jedoch Software-Entwicklern die Möglichkeit zu bieten, bei komplexeren E-Commerce-Lösungen, wie z.B. Wettbüros oder auch anderen Shops, wo die Kreditkartenzahlung in einen Workflow oder ein vorhandenes Warenwirtschaftssystem integriert werden muß, ihre Software unter realen Bedingungen zu testen, bietet Netlife ein Testgateway, Testhändler, Testkartennummern und einen entsprechenden "Brand".

Unter der Adresse http://194.221.212.108/gs/brandx ist eine WakeUp-Message für den Testbrand "Brand X" vorhanden. Ohne diese WakeUp-Message wäre es nicht möglich diesen Brand und die dazugehörige Testkartennummer in einem Wallet einzugeben.

Der Kunde (Karteninhaber) ist von diesen Dingen natürlich nicht betroffen.

Zulässige Brands für Produktionsumgebungen sind VISA und MasterCard (Schreibweise beachten).

Der Karteninhaber besitzt nun ein der echten Karte entsprechendes Pendant für die virtuelle Welt. Festgelegt durch SET ist die Verwendung und Erzeugung zweier Schlüsselpaare, von denen ein Paar (Public/Private Key), das "Key Exchange" Paar, zur Ver- und Entschlüsselung von Daten dient, während das zweite, das "Signature" Paar, zum Unterschreiben und zur Prüfung von digitalen Unterschriften dient. Alle diese Funktionen laufen für den Karteninhaber unsichtbar im Hintergrund ab. Der Anwender muß nicht explizit Verschlüsselungen oder Unterschriften einleiten, im Zuge einer SET Transaktion geschehen dies Prozeduren automatisch im Hintergrund.

Schlußbemerkung

Nun kann der Kunde im Internet mit SET einkaufen gehen. Die genaue Beschreibung der Händler-Software, dem Kernstück des SET-Ablaufes, erfolgt im dritten Artikel dieser Artikelreihe.

Verwandte Artikel

Beteiligte Komponenten bei SET Transaktionen (Teil 2)
Sichere Zahlungen im Internet mit SET

Links zu anderen Sites

http://www.bs-cardservice.de
http://www.europay.at
http://www.globeset.com
http://www.gzs.de
http://www.ibm.com
http://www.netlife.de
http://www.visa.at

Wenn Sie jetzt Fragen haben...

Wenn Sie Fragen rund um die in diesem Artikel vorgestellte Technologie haben, dann schauen Sie einfach bei uns in den Community Foren der deutschen .NET Community vorbei. Die Teilnehmer helfen Ihnen gerne, wenn Sie sich zur im Artikel vorgestellten Technologie weiterbilden möchten.

Haben Sie Fragen die sich direkt auf den Inhalt des Artikels beziehen, dann schreiben Sie dem Autor! Unsere Autoren freuen sich über Feedback zu ihren Artikeln. Ein einfacher Klick auf die Autor kontaktieren Schaltfläche (weiter unten) und schon haben Sie ein für diesen Artikel personalisiertes Anfrageformular.

 

Und zu guter Letzt möchten wir Sie bitten, den Artikel zu bewerten. Damit helfen Sie uns, die Qualität der Artikel zu verbessern - und anderen Lesern bei der Auswahl der Artikel, die sie lesen sollten.

Bewerten Sie diesen Artikel
 Sehr gut   Nicht genügend  
   1  2  3  4  5  
 

  
   Für Ausdruck optimierte Seite

©2000-2006 AspHeute.com
Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt.
Eine Übernahme von Texten (auch nur auszugsweise) oder Graphiken bedarf unserer schriftlichen Zustimmung.