Secure Electronic Transaction ( SET ) es un protocolo de comunicaciones estándar para asegurar las transacciones con tarjetas de crédito en redes , específicamente, Internet . SET no era en sí un sistema de pago , sino más bien un conjunto de protocolos y formatos de seguridad que permitían a los usuarios utilizar la infraestructura de pago con tarjetas de crédito existente en una red abierta de manera segura. Sin embargo, no logró atraer al mercado. Visa ahora promueve el sistema 3-D Secure .
Secure Electronic Transaction (SET) es un sistema para garantizar la seguridad de las transacciones financieras en Internet. Inicialmente, fue respaldado por Mastercard, Visa, Microsoft, Netscape y otros. Con SET, se le proporciona al usuario una billetera electrónica (certificado digital) y se realiza y verifica una transacción utilizando una combinación de certificados digitales y firmas digitales entre el comprador, un comerciante y el banco del comprador de una manera que garantiza la privacidad y la confidencialidad.
SET fue desarrollado por el Consorcio SET , establecido en 1996 por Visa y Mastercard en cooperación con GTE , IBM , Microsoft , Netscape , SAIC , Terisa Systems, RSA y VeriSign . [1] El objetivo del consorcio era combinar los protocolos similares pero incompatibles de las asociaciones de tarjetas (STT de Visa/Microsoft y SEPP de Mastercard/IBM) en un único estándar. [2]
SET permitía a las partes identificarse entre sí e intercambiar información de forma segura. La vinculación de identidades se basaba en certificados X.509 con varias extensiones. [3] SET utilizaba un algoritmo de enmascaramiento criptográfico que, en efecto, habría permitido a los comerciantes sustituir un certificado por el número de tarjeta de crédito de un usuario. Si se hubiera utilizado SET, el propio comerciante nunca habría tenido que saber los números de tarjeta de crédito que enviaba el comprador, lo que habría proporcionado un pago verificado y correcto, pero habría protegido a los clientes y a las compañías de crédito del fraude.
Se pretendía que SET se convirtiera en el método de pago estándar de facto en Internet entre los comerciantes, los compradores y las compañías de tarjetas de crédito.
Lamentablemente, la implementación por parte de cada uno de los principales interesados fue costosa o engorrosa. También hubo algunos factores externos que pudieron haber complicado la manera en que se integraría el elemento de consumidor en el navegador. Hubo un rumor alrededor de 1994-1995 que sugería que Microsoft buscaba un flujo de ingresos del 0,25% de cada transacción asegurada por los componentes integrados compatibles con SET que Microsoft implementara en su navegador de Internet.
Para satisfacer los requisitos del negocio, SET incorpora las siguientes características:
Un sistema SET incluye los siguientes participantes:
Tanto los titulares de tarjetas como los comerciantes deben registrarse en la CA (autoridad de certificación) antes de poder comprar o vender en Internet. Una vez realizado el registro, el titular de la tarjeta y el comerciante pueden comenzar a realizar transacciones, que implican nueve pasos básicos en este protocolo, que es simplificado.
Como se describe en (Stallings 2000):
Una innovación importante introducida en SET es la firma dual . El propósito de la firma dual es vincular dos mensajes que están destinados a dos destinatarios diferentes. En este caso, el cliente desea enviar la información del pedido (OI) al comerciante y la información del pago (PI) al banco. El comerciante no necesita saber el número de tarjeta de crédito del cliente, y el banco no necesita saber los detalles del pedido del cliente. El cliente obtiene protección adicional en términos de privacidad al mantener estos dos elementos separados. Sin embargo, los dos elementos deben estar vinculados de una manera que pueda usarse para resolver disputas si es necesario. El vínculo es necesario para que el cliente pueda demostrar que este pago está destinado a este pedido y no a otros bienes o servicios.
El cliente calcula de forma independiente el resumen del mensaje (MD) del OI y del PI. Estos se concatenan y a partir de ellos se calcula otro MD. Por último, se crea la firma dual cifrando el MD con la clave secreta del cliente. La firma dual se envía tanto al comerciante como al banco. El protocolo dispone que el comerciante vea el MD del PI sin ver el PI en sí, y que el banco vea el MD del OI pero no el OI en sí. La firma dual se puede verificar utilizando el MD del OI o del PI, sin necesidad de que estos últimos estén disponibles. La privacidad se preserva ya que el MD no se puede revertir, lo que revelaría el contenido del OI o del PI.