Jarmo Kaikkonen

41655R

Jarmo.Kaikkonen@hut.fi

Sisällysluettelo:

1. Lyhenne- ja termiluettelo

2. Johdanto

3. Sähköisen maksamisen edut ja haitat

4. Eri maksutavat

5. Tietoturva

6. Tulevaisuuden näkymät

7. Yhteenveto

8. Lähdeluettelo

Lyhenne- ja termiluettelo

ecash DigiCash:n kehittämä sähköinen raha

RSA Rivest-Shamir-Adleman, MITissä kehitetty julkisen

avaimen salaus

SQL Structured Query Language, tietokantojen yleinen

kyselykieli

SET Secure Electronic Transaction, Turvattu

elektoninen yhteys

SSL Secure Sockets Layer, protokolla datan

cryptaukseen yli turvattoman TCP/IP yhteyden

WWW World Wide Web,

sertifikaatti lupa ja rekisteröinti RSA:n käyttämiseksi

PGP Pretty Good Privacy, julkisen/yksityisen avaimen

salausmenetelmä

DigiCash johtava sähkörahateknologian kehittäjä

EUnet Eurooppalainen ISP

HTML Hypertext Markup Language

ISP Internet Service Provider, Internet yhteyksiä tarjoava

yritys tai yhteisö

1. JOHDANTO

World Wide Web on kasvaessaan tarjonnut yrityksille kasvavat markkina-alueet omien tuotteittensa esille tuomiseen edulliseen hintaan. Varsinainen kaupankäynti ja maksaminen on yleensä toteutettu kuitenkin perinteisillä menetelmillä, kuten käyttäen postiennakkoa. Viimeaikoina kiinnostus tuotteitten ja palvelujen suorasta veloittamisesta verkkoa pitkin on lisääntynyt, mutta eri toteutusmahdollisuuksien määrä ja pelko koko tuohun kannattavuudesta on rajoittanut kauppiaita. Ja kauppiaitten puute tietysti rajoittaa asiakkaittenkin lukumäärää, koska tuskin kukaan opettelee käyttämään uutta maksumenetelmää jos sillä voi asioida vain parissa `kaupassa'. Tässä esityksessä käydään läpi nykyiset vaihtoehdot hoitaa velotus internetissä, eri menetelmien edut ja haitat eri osapuolille ja lopuksi pohditaan sähköisen maksamisen tulevaisuudennäkymiä.

2. ERI MAKSUTAVAT

Myyjä joka alkaa myydä palvelujaan verkon kautta joutuu ensin päättämään millaista tuotetta hän on myymässä ja valita sen jälkeen järkevin vaihtoehto kilpailevista menetelmistä. Valintaan vaikuttaa lähinnä tuotteen hinta ja se onko se jotain fyysistä tavaraa joka toimitetaan asiakkaalle vai esim. tietoa jonka asiakas voi verkon kautta siirtää omalle koneelleen.

2.1 Ecash

DigiCash yrityksen kehittämä ecash on paras vaihtoehto jos tarjottavan palvelun hinta on todella pieni ja on odotettavissa että volyymi tulee olemaan hyvin suuri. Tälläistä palvelua voi olla esimerkiksi reaaliaikaisten pörssitietojen välittäminen asiakkaalle. Ecashin etuna on se että itse maksu transaktio ei maksa mitään eli palvelun hinta voi olla vaikka 50 penniä ja jos päivässä tulee vaikka 10000 ostotapahtumaa niin myyjä rikastuu 5000 päivässä. Kuluina on tosin ISP:n eli esim. Suomessa EUNETin välistä vetämä 2% provisio ja mahdollinen WWW-serverin ja sivutilan vuokraaminen. Aineettomia palveluja myytäessä on otettava huomioon se että joku voi ostaa tiedon ja laittaa sen omille sivuilleen kaikkien selailtavaksi ilman mitään maksua, mutta tällöin tarjottavan tiedon on todella oltava sellaista etta asiakas on valmis maksamaan sen reaaliaikaisuudesta ja oikeudesta. Ja koska hintakaan ei yleensä ole este niin moni tekee varmaan sen valinnan että ostaa tiedon sen alkuperäiseltä tuottajalta.

Ecash perustuu digitaalisen lompakkoon johon voit ostaa elektronista rahaa siirtämällä sitä ihan normaalilta pankkitililtä. Asiakkaaksi liittyminen ei maksa mitään. Rahaa voi pitää säilössä oman mikron kovalevyllä tai ecash palvelun tarjoajan palvelimella (Eunet Suomessa). Ecash lompakon raha on täysin anonyymiä eli rahoissa on koodi, jolla voidaan varmistaa se että raha on aito, mutta sen perusteella ei voida saada selville kuka rahan on käyttänyt mikäli niin halutaan. Tällöin kauppias ei voi tehdä mitään statistiikkaa omista asiakkaistaan. Asiakkaan kone leimaa digitaalirahan omalla satunnaisella sarjanumerollaan, joten tarvittaessa asiakas voi osoittaa mihin hänen rahansa on menneet ja tämä vähentää esim. rahanpesun riskiä ja rikollista toimintaa. Normaalirahassahan kukaan ei voi todistaa mistä rahat on saatu ja näin ecash voidaan sanoa olevan myös tässä suhteessa normaalirahaa parempi valuutta. Digitaali raha siirtyy asiakkaalta kauppialle, josta se edelleen siirtyy ecash pankin koneelle jossa raha merkitään käytetyksi ja kauppiaalle annetaan heti tieto siitä että rahat on hyväksytty. Näin kauppias voi heti lähettää myymänsä hyödykkeen asiakkaalle.

kuva1: Alice maksaa ostoksen Bobille ja Bob tarkistaa rahan oikeuden pankista

Kuluttaja ei pääsääntöisesti voi muuttaa omaa digitaalirahaa takaisin markoiksi, mutta kauppias saa esim. kerran kuussa asikkaitten käyttämää rahaa vastaavan markkamäärän omalle tililleen pankkiin. Ecashin käyttö vaatii Suomessa tällä hetkellä Windows mikron, mutta tulossa on client ohjelmat macintoshille ja UNIX käyttöjärjestelmille.

Ecashiä käyttää päivittäin 30000 käyttäjää ja kauppiaita on useita satoja. Suomessa ecashiä hyväksyy mm. Mikromedia, Keltainen pörssi, City-Lehti ja Suomen Posti Oy. Ulkomailla suurin ecashin hyväksyvä pankki on Mark Twain pankki, jonka palveluja käyttää reilut satakunta internettiä käyttävää kauppiasta.

kuva 2: Tällä logolla varustetussa kaupassa käy ecash

2. Merita Solo-Maksu

Meritalla on alkuvuodesta -96 saakkaa ollut palvelu, jossa Merita pankit asiakkaat ovat voineet maksaa muutaman pilottiyrityksessä olevan yrityksen laskut kätevästi WWW-selaimeen sisäänrakennettua SSL-turvatekniikkaa ja salasanaa käyttäen. Kyseessä on tavallaan internetin kautta tapahtuva tilisiirto omalta tililtä myyjän tilille eli maksuhetkellä käydään nopeasti meritan omalla WWW-palvelimella tekemässä siirto ja tämän jälkeen mennään takaisin myyjän palvelimelle. Myös Meritan Solo-maksua käyttäen ostaminen on melko anonyymiä, koska ostajan tiedot kulkee vain asiakkaan ja meritan välillä. Meritalla oli vaikeuksia sertifikoida oma palvelunsa, koska USA on erittäin tarkka kenelle myöntää käyttöoikeuden cryptausalgoritmeihin. Meritan palvelussa WWW-selain siirtyy secure tilaan itse maksutapahtuman vuoksi, siis siksi ajaksi kun asiakas on yhetydessä Meritan palvelimeen. Itse myyjällä ei siis tarvitse olla sertifikaattia laisinkaan. Sertifikaatti varmistaa että vastapäässä on todella rekisteröity palvelin, koska ainakin Netscape varoittaa heti jos yhteys muuttuu secure-tilaan palvelimen kanssa, jolla ei ole tunnettua sertifikaattia. Tällöin on käyttäjän vastuulla hyväksyä syntynyt yhteys ja lisätä tämä uusi palvelin hyväksyttyjen listaan.

Solo-maksu ei siis vaadi mitään erikoisohjelmistoa myyjältä eikä asiakkaalta. Myyjän WWW-palvelimen on kyettävä muodostamaan tilausvahvistus, joka on itse asiassa FORM ja siinä 16 eri kenttää jotkä myyjän serveri lähettää POST-method:ia käyttäen Meritan CGI-binäärille joka sitten parsii ne ja pyytää ostajalta vielä varmistustunnuksen. Kentät sisältävät mm. paluu URL:n myyjän sivulle, maksun kaikki mahdolliset tiedot ja MD5 algoritmillä lasketun tarkistussumman, jolla varmistetaan että tiedot ovat siirtyneet oikein myyjältä Meritan palvelimelle.

Solo-Palvelulla voi Suomessa maksaa jo ainakin seuraavissa paikoissa: Eunet Finland, PC-SuperStore, Relevantum Oy, VPU Pukutehdas Oy ja Tietokone-lehti. Käyttö vaatii siis sekä myyjältä että asiakkaalta sen että heillä on tili Meritapankissa ja tämä varmaan osaltaan vähentää palvelun käytäjiä, mutta tuohan se Meritalle vastaavasti jonkin verran uusia asiakkaita.

2.4 Luottokorttimaksut

Vanhin verkon kautta käytetty ja vieläkin ihan elinvoimainen tapa on siirtää rahaa on luovuttaa oman luottokorttinsa numero myyjälle, joka sitten veloittaa tiliä haluamansa määrän. Riskit luottokortin numeron joutumisesta kolmannelle osapuolelle ovat kuitenkin melko suuret jos mitään cryptausta ei käytetä siirtoon. Nykyisin aika moni myyjä varoittaakin riskeistä joita siirtoon liittyy ja pyytää käyttämään esim. Faxia numeron välittämiseen. Jotkut myyjistä ovat siirtyneet käyttämään secure WWW-serveriä ja SSL:ää, mutta halvemmalla pääsee esim. PGP:tä käyttämällä.

Luottokortti ei käy pienten ostosten maksamiseen koska luottokortin käytössä on aina kuluja jokaista maksutapahtumaa kohti, joten se on paras kalliihkojen tuotteiden ostamisessa.

2.4 VISAn ja MasterCardin uusi standardi

Helmikuussa 1996 VISA ja MasterCard julkaisivat yhteisen SET-standardin ostoksien maksamiseksi turvattoman internetin yli. Aikaisemmin kunpikin luottokorttiyhtiö oli kehittänyt omaa ratkaisuaa, mutta päätyminen yhteiseen ratkaisuun varmaan lisää kuluttajien uskoa standardiin. Salaus tapahtuu RSA:n julkiden avaimen salausta käyttäem ja avaimen pituus on 1024 bittiä. Erittäin yksityiskohtainen tekninen esitys standardista löytyy mm. VISAn WWW sivuilta: http://www.visa.com/cgi-bin/vee/sf/set/settech.html?2+0

3. SÄHKÖISEN MAKSAMISEN EDUT JA HAITAT

Sähköinen maksaminen tuo kauppiaille varmuutta kauppaan, koska kauppias voi yleensä olla varma siitä että asiakas maksaa tuotteen tai palvelun. Kauppias saa joko rahat tililleen heti tai asiakkaan maksuvaikeudet ottaa hoitaakseen joku luottokorttiyhtiö. Postimyynnillä myytäessähän myyjä joutuu lähettämään paketin asiakkaan postiin ilman mitään varmuutta siitä että sen tulee joku hakemaan sieltä.

Kauppias voi hoitaa koko maksuliikenteen ATK:lla jolloin häneltä jää suurin osa paperitöistä pois. Kun kaikki hinnat, tuotteet ja ostoslogit löytyvät tietokannasta, on niitä helppo muokata tarpeiden mukaan ja tehdä raporttejä SQL-kielellä. Kaikki suurimmat tietokantojen toimitajat ovat julkistaneet oman `Webi-liimansa' eli työkalut ja välineet joilla tietokannan saa näppärästi liitettyä omiin WWW-sovelluksiin.

Asiakkaalle ostaminen on vaivatonta ja nopeaa mikäli hän on ennestään touhunnut tietokoneitten kanssa. Rahalle saa vastineen joko heti maksun tapahduttua tai myyjällä on ainakin mahdollisuus varmentaa maksu heti ja laittaa ostos matkaan.

Pienille yrityksille mainonnan ja maksamisen tuominen verkkoon on hyvin kannattamatonta, koska alkupääoma on oltava aika suuri. Secure WWW-palvelinohjelmisto maksaa tuhansia markkoja ja sertifikointi maksaa n. 2000mk vuosittain. Lisäksi mukaan tulee ISP:n palvelimen vuokrakulut ja aika joka uusien asioitten oppimiseen menee. WWW-sivut on oltava aina ajan tasalla ja tähän menee aikaa yllättävän paljon. Suomen oloissa markkinat ovat lisäksi vielä melko pienet, eli kannattavinta olisi myydä tuotteita joissa olisi kansainväliset markkinat. Helpointa tämä olisi aineettomille tuotteille, koska rahtikulut ovat vakiot maailman joka kolkkaan ja ostajat olisivat tasapuolisessa asemassa toisiinsa nähden.

5. TIETOTURVA

Turvallinen siirto perustuu kaikissa maksutavoissa julkinen/salaisen avaimen digitaaliseen allekirjoitukseen, jossa tieto cryptataan omalla saalaisella avaimella ja vastaanottaja purkaa salauksen lähettäjän julkisella avaimella. Tai sitten tieto voidaan cryptata vastaanottajan julkisella avaimella jolloin ainoastaan vastaanottajan salaisella avaimella saadaan tieto decryptattua alkuperäiseen muotoon.

kuva 3: Public-key allekirjoituksen periaate

6. TULEVAISUUDEN NÄKYMÄT

Vaikka suomessa on erittäin paljon internetin käyttäjiä henkilölukuun suhteutettuna niin internet kaupankäynnin läpilyönnillä on kuitenkin muutama este. Asiakkaalla on oltava internet yhteys ja tämän toteuttamiseksi omistettava oma mikro ja modeemi. Monelle perheelle niitten hankinta on vieläkin taloudellisesti mahdotonta ja osa vanhemmista ihmisistä varmaan vierastaa koko ajatusta sähköisestä kaupankäynnistä.

Toisaalta on tuotteita ja aloja joihin suora veloitus internetin kautta ovat ehdottamasti helpoin ja nopein tapa hoitaa maksuliikenne. Kaikki ATK-tarvikkeita ja palveluja myyvät yritykset soveltuvat erittäin hyvin kauppiaiksi, koska asiakaskunta on valmiiksi karsiintunutta ja käyttäjät ovat valmiiksi potentiaalisia asiakkaita. Myös kaikki online- tiedon myyjät ovat vahvoilla, koska kunnon online-tietoa ei muulla tapaa voida tarjotakaan kun reaaliajassa verkon kautta.

Luultavinta siis on että sähköinen kaupankäynti kasvaa hitaasti mikäli markkinoille ei tule esim. televisioon kytkettäviä WWW-selaimia, jolloin hinta loppukäyttäjille olisi edullinen ja televisiota tuskin kukaan enää Suomessa vierastaa jolloin palvelujen käyttäminen olisi ihan luonnollista kaikkista ihmisistä.

7. YHTEENVETO

Internet kaupankäynti on tullut pitkän matkan siitä kun se alkoi muutama vuosi sitten. Tarve kunnon tietoturvaan on ollut tiedossa ja tarpeen on tiedostanut moni yritys jotka tarjoavat toinen toistaan parempia vaihtoehtojaa rahaliikenteen hoitamiseen turvattoman verkon yli.

Työkalujen ja ohjemien puutetta tai huonoa tietoturvaa ei voi enää syyttää siitä että internet kaupankäynti ei kasva hurjaa vauhtia. Kuten kaikki uusi myös velotus internetissä vaatii hieman aikaa ennenkuin se alkaa levitä jokapäiväiseksi tapahtumaksi länsimaissa. Kunnon mainoskampanjoilla ja kotimikrojen lisääntymisen myötä digitaalirahan käyttö saadaan varmaan Suomessakin moninkertaistumaan lähimpien vuosien aikana.

8. Lähteet

http://www.marktwain.com/

http://www.eunet.fi/ecash/

http://verisign.com/

http://www.merita.fi/

http://www.digicash.com/

http://www.netscape.com/

http://www.rsa.com/

http://www.visa.com/

http://www.mastercard.com/

Tietoviikko nro 14 / 12.4.1996