Nog niet geSETteld

De invoering van de SET-standaard voor elektronisch betalen is een informatiseringsproject van de eerste orde. Het bijschaven duurt langer dan voorzien, maar de einddatum blijft. “Eind dit jaar zijn we volledig operationeel,” stelt projectleider Johan Ameye.

De Belgische tests met veilige elektronische kredietkaartbetalingen op Internet lopen vertraging op. In april had algemeen directeur Dirk Brackenier van Visa Belgium nog juni vooropgesteld, later werd dat augustus. Binnen de Roularta-groep, één van de partners in het pilootproject én uitgever van Trends, wordt er nu vanuit gegaan dat ten vroegste over drie maanden kan worden gestart. Eind september zullen de banken wel al proeven beginnen met 2000 van hun eigen werknemers.

Dat er wat vertraging zit op de implementatie van SET hoeft niet te verwonderen. De Secure Electronic Transaction-standaard, die door Visa, Mastercard, IBM, Netscape, Microsoft, Verisign en anderen is ontwikkeld om transacties met bankkaarten over het Internet te beveiligen, is bijzonder gesofistikeerd.

SET wil verdergaan dan de SSL-transactiebeveiliging ( Secure Socket Layer) op het Internet, die in de huidige generatie van Internet-browsers is ingebouwd. SSL op zich biedt een redelijk veilig en betrouwbaar communicatiekanaal tussen koper en handelaar, maar “het probleem is dat de meeste fraude gebeurt door de handelaars zelf,” stelt gedelegeerd bestuurder Stef Bijnens van het Leuvense engineeringhuis NetVision. “Aan het einde van de SSL-sessie ziet de handelaar uw kredietkaartnummer en daar kan hij dan bij wijze van spreken naar hartelust mee frauderen.” Er is ook het gevaar dat hackers kredietkaartinformatie gaan ophalen op de server van de handelaars.

Om dat te voorkomen houdt SET via een ingenieuze procedure de kredietkaartgegevens voor de handelaar geheim, terwijl omgekeerd de kredietkaartorganisatie ook geen inzage krijgt in de inhoud van de transactie.

Bijnens : “De moeilijkheid met SET is dat er zoveel opties in het protocol zitten. SET gaat ook veel verder dan de naakte financiële transactie, er zit ondersteuning in voor de methode van levering, voor de facturatie enzovoort.”

En waar plaats is voor opties, is ook plaats voor onverenigbaarheden. “Voor het kind goed en wel geboren is, praat iedereen in de SET-wereld over interoperability : werkt de SET-uitvoering van merk X wel met die van merk Y ?,” stelt Stef Bijnens vast.

“Het is inderdaad veel ingewikkelder dan vele mensen denken,” bevestigt Daniel Dumas van de Network Computing Solutions divisie van IBM Belgium. Met een SET-transactie is een hele softwarepuzzel gemoeid.

Wallet. De koper moet in zijn browser (de gewone Internet-software) een wallet-module hebben, een “portefeuille” waarin hij zijn elektronische kredietkaarten bewaart. De Belgische bankwereld kiest hiervoor waarschijnlijk en zeker in het pilootproject de wallet van Microsoft.

SET plug-in. In de wallet hoort een SET-software, die de eigenlijke SET-communicaties verzorgt. Deze add-in is in het Belgische pilootproject de PayPurse van de Ierse SET-specialist Trintech.

Verkoopserver. Op de server van de handelaar communiceert een SET-module via het Internet zowel met de PayPurse als met de Payment Gateway van de kredietkaartorganisatie. Alle pilootimplementaties gebeuren momenteel met de Merchant Server van Microsoft, al zijn ook andere leveranciers welkom.

Payment gateway. De software bij de kredietkaartorganisatie die de kredietkaartinformatie decrypteert, ze vergelijkt met een zwarte lijst en de transactie toelaat of niet. De payment gateway in de Belgische piloot is geschreven door IBM.

VeriSign. De transacties in SET worden beveiligd door een systeem van elektronische handtekeningen en digitale certificaten voor elk van de partijen (koper, handelaar, gateway…). Die sleutels en identiteitsbewijzen worden gehomologeerd door een Certificatie Autoriteit ( CA), waaraan de payment gateway refereert. De test doet daarvoor een beroep op het Amerikaanse VeriSign, maar als kandidaten voor the real thing worden onder meer BelSign en Isa CA genoemd.

Veel partijen dus, wat het werk niet vergemakkelijkt. Maar laten we duidelijk zijn : in de hierna opgesomde knelpunten wordt week na week vooruitgang geboekt.

Wachten op wallets

Nog niet opgelost aan consumentenzijde is de manier waarop de koper aan zijn software raakt. “Momenteel duurt het zo’n 45 minuten om die software af te halen van het Internet, en dat is voor ons te lang,” zegt Johan Ameye, verantwoordelijke Strategie Telecommunicatie en Nieuwe Technologieën bij Bank Card Company ( Visa/Europay) en de Belgische SET-projectleider. “We bekijken dus wat het zou kosten om die bijvoorbeeld via diskettes langs de banken te verspreiden.”

Een ander euvel voor hem is dat de SET-programma’s nog te “zwaar” zijn voor een klassieke thuispc, met een verwerkingstijd op een snelle Pentium-computer van vijftien seconden (in juli was dat nog 25 tot 30 seconden).

Wie de SET-standaard erop naleest, zal zich daar niet over verwonderen. Een verkoopsessie met een handelaar vergt 21 logische stappen, zonder de betalingsautorisatie-sessie tussen die handelaar en de kredietkaartorganisatie (22 stappen) te rekenen. Onder potentiële gebruikers wordt dan ook al bezorgd gekeken naar de tijd die de server klokt om de ingewikkelde SET-procedures af te handelen.

“De wallet zelf is ook meer versie-afhankelijk gebleken dan was gedacht. Een wallet voor Internet Explorer 3 zou niet automatisch ook met versie 4 werken,” vertelt informaticadirecteur Luc Misseeuw, die bij Roularta het pilootproject opvolgt en er net twee dagen en nachten voor de (succesvolle) installatie van de Merchant Server heeft opzitten. “In de huidige stand van zaken zouden maar 22 % à 23 % percent van onze lezers met een Internet-aansluiting de SET-software ook werkelijk kunnen gebruiken. Dat is te weinig.” Komt daar nog bij dat de installatieprocedure een teer punt na de ervaringen met het bancaire netwerk Isabel in haar huidige vorm arbeidsintensief dreigt te worden, met allerlei potentiële conflicten tussen programma’s, zodat de helplijn overbelast zou geraken. Roularta wil aan de leden van zijn Media Club de SET-faciliteit ter beschikking stellen, maar eerst moeten dergelijke hindernissen wel van de baan zijn, zegt Luc Misseeuw. Tegen 24 augustus heeft Microsoft alvast een nieuwe wallet beloofd, die wel compatibel zou zijn.

Niet naar Ierland

Ook aan de kant van de handelaar is de SET-ploeg nog niet rond. “Vijf tot zes landen hebben in de pers al uitgepakt met hun eerste SET-transactie, maar zij hebben de gemakkelijke weg gekozen door samen te werken met slechts één softwareleverancier ( nvdr – meestal IBM),” zegt Johan Ameye. België brengt de “open” filosofie van SET in de praktijk. Het SET-consortium wil immers dat de handelaars en kopers vrij zijn om hun softwareleverancier te kiezen, wat de prijs van de modules laag en de beschikbaarheid hoog moet houden. De keerzijde is dat er daardoor meer kans is op uiteenlopende interpretaties. Zo lag het pilootproject enkele weken stil omdat de payment gateway, die de transacties moet goedkeuren, niet overweg kon met een vrij veld in de software bij de handelaar. De mogelijkheid van een vrij veld was voorzien door SET de handelaar in kwestie wou er zijn klantnummer in kwijt maar niet door de payment gateway, die erop afknapte.

“Het doel van het pilootproject is precies van maturiteit te verwerven in de cryptografische technieken, die toch relatief nieuw zijn,” zegt Johan Ameye. “Wij hebben daar een schoon boek geschreven ( nvdr – de SET-standaard beslaat ettelijke honderden bladzijden), maar bepaalde zinsneden zijn misschien voor interpretatie vatbaar, kunnen misbegrepen zijn of gewoon fout geïmplementeerd.”

De compatibiliteitsproblemen zijn niet tot België beperkt. “Wie vanuit België wil bestellen bij Shop Ireland, de on line winkel van de Bank of Ireland, die met Trintech-software werkt, zal even goed problemen hebben.”

Momenteel werkt in het Belgische pilootproject de Trintech-software maar voor ongeveer de helft van de SET-berichten samen met de payment gateway van IBM. Ameye : “Dat zijn dan wel alle courante berichten, maar natuurlijk willen we ook de speciale aankunnen.” SET is immers een gesofistikeerd protocol, dat de handelaar bijvoorbeeld toelaat een transactie gedeeltelijk te herzien als een levering niet helemaal kan doorgaan.

Bank Card Company vertrouwt er intussen op dat SET over een jaar commercieel kan worden gelanceerd. Tegen eind 1997 wil men het pilootproject uitbreiden tot een 5000-tal kaarthouders.

BRUNO LEIJNSE

De SET-norm staat op de Electronic Commerce pagina van Visa : http://www.visa.com/cgi-bin/vee/sf/standard.html?2+0 Trintech is op http://www.trintech.ie

JOHAN AMEYE (BANK CARD COMPANY) Eind dit jaar zijn we technisch rond.