Online alışverişlerinizde Kartlı ödeme yöntemiyle yapmış olduğunuz işlemin, 3D secure olarak adlandırıldığını ve aynı zaman da“3D secure şifresini girme zahmetine” katlanmadğınızı hayal edebilir misiniz?
İşte buna 3D secure 2.0 diyoruz.
3D secure 1.0 protokolü yaklaşık 16 yıldır, kart sahiplerinin online alışverişlerinde sunmuş olduğu ekstra güvenlik katmanı ile hizmet vermeye devam ediyor. Kart bankası aracılığıyla sağlanan ve ödeme işleminin geçtiği ödeme noktasında(Sanal POS) kart sahibinin kimliğini doğrulayarak(SMS ile güvenlik kodu, statik bir kod) satıcının yanında olarak chargeback işlemlerin önlenmesine destek veren 3D secure 1.0 protokolü, hem kart sahibi hem de Sanal POS sahibi satıcı ya da ödeme kuruluşlarını korumanın faydalarına ragmen, özellikle kart sahibi ile 3D secure işleme devam etme tercihi arasında kimi zaman güven kime zamanda nefret etme duygusu oluşmuştur.
Bazı müşteri segmentleri özellikle 3D secure adımı ile işlemlere devam etmeyi tercih ederken, “tek tıkla alışveriş” gibi bir mantıkla ve olabildiğince hızlı sonuca ulaşmak isteyen hatırı sayılı sayıdaki bir grup içinse, işkenceye dönebiliyor. Yavaş yavaş bir çok Sanal POS bankası 3D secure ile ödeme koşulunu zorunlu hale getirse de, müşteri memnuniyetleri göz önünde alınarak ve Sanal POS mağazalarının isteği ile bu seçenek opsiyonel hale gelebiliyor.Bunun yani sıra kendi güvenlik önlemlerini almak isteyen bazı firmalar, 3D secure adımını belirli bir tutarın üstüne uygulayabiliyor, kayıtlı kartlarla yapılan ödemelerde 3D secure u zorunlu tutmayabiliyor, ya da bir level daha üst seviyede kendi fraud tooları veya third party fraud toolları ile ekstra güvenlik önlemi almak isteyebiliyor.
3D Secure 1.0 ve Sorunlu Noktaları
Online ödemeler yoluyla ortaya çıkan suç ve dolandırıcıkların azımsanmayacak derecede yüksek olduğuna şüphe olmamakla birlikte, kart sahiplerinin bu gibi durumlarda doğrudan etkilendiklerini veya sürekli haksız tarafta olarak cezayı çeken konumdadır, demek doğru değildir. Tüketici mahkemeleri veya bankalar benzer itirazlarda genellikle kart sahibinin yanında olur ve hatayı Sanal POS firmasında arayabilir.
Bunun sonucunda da doğrudan etkilenen taraf kart sahipleri olmadığı için, 3D secure gibi ekstra bir güvenlik adımı ile karşı karşı kaldıklarında, bu durumun gereksiz ve ya zaman kaybı olduğunu düşünen, ya da ilk defa bu sürece girdiği için ne yapacağını tam olarak bilemeyen bir zümre olduğunu hatırlamak gerekir.
Bununla birlikte entegrasyon noklarını da ele aldığımızda 3D Secure 1.0’ın Web tabanlı bir dünya hayali ile daha kolay bir entegrasyona sahip olduğunu, mobil uygulama ve mobil kullanımının gün geçtikçe artmasıyla, monil üzerinden yapılan online ödemler için gerek müşteri deneyimi, gerekse mobil uygulama için entegrasyon kusurlarından dolayı sorunlara sahip olduğunu söylemek gerekir.
3D Secure 1.0 protokolü, tüm koşullar göz önüne alındığında müşteri deneyimi üzerinde zararlı bir etkiye sahiptir ve müşterinin işlemi terk etmesine neden olabilir. Bu durumun ilgili satışların başarıya dönüşüm oranları üzerinde doğrudan bir etkisi vardır ve sonuç olarak, tüccarlar ilk etapta protokolü benimsemeye o kadar hevesli olmayabilir. Yani chargeback durumlarını göz önüne alarak, online alışveriş platformlarına none secure dediğimiz 3D Secure olmadan işleme devam edilmesine yönelik yöntemi tercih edebilirler.
Sorun şu ki, online dolandırıcılık malesef hayatımızın bir gerçeği ve kötü niyetli kişiler her geçen gün sistemin açıklarını aramaya devam ediyor. Bu nedenle 3D secure protokolünün geitrdiği ekstra güvenlik önlemi ve önemleri daha da önemli hale geliyor.
Peki, hem daha güvenli hem de müşteri/ satıcı memnuniyetini sağlayacak bir protokol mümkün mü?
3D Secure 2.0 Çözümü
Ödeme sistemleri arasındaki güvenli ödeme işlemlerinin standartlarının oluşturan EMVCo, 3D Secure 2.0 spesifikasyonu ile yukarıdaki endişeleri doğrudan ele alıyor.
Dijitalleşen dünyada teknolojiyi, ihtiyaçları ve açıkları yakından takip eden kural koyuculardan birisi olan EMVCo, 3D Secure 2.0 ile firmaların mobil cihazlar üzerinden tetiklenen online alışveriş uygulamalarında 3D secure protokolünü kolayca entegre etmelerine olanak tanıyan, SDK’ların geliştirilmesiyle tam mobil entegrasyonu hedeflemektedirler.
Bu gelişmeler, mobil cihazlarda 3DS deneyimini büyük ölçüde geliştirdi ve satıcıların, müşterilerini çok çeşitli platformlarda dolandırıcılığa karşı korumalarına olanak sağlamaya başladı.
Tıpkı Strong Customer Authentication’da olduğu gibi 3D Secure 2.0 protokolününde PSD2’nun standartlarına uygun olduğu bilgisi, 3DS 2.0’ı benimseyen finans kurumlarının uyum sağlamasını kolaylaştırmıştır.
3D Secure 2.0 ile birlikte belkide en önemli yeniliklerden birisi Risk-based Authentication ile zahmetsiz 3D secure akışı ile müşteri deneyiminin sağlanabilecek olmasıdır.
Risk-Based Authentication
Risk tabanlı kimlik doğrulama, belirli bir işleme bağlı riski belirleme sürecidir ve risk düzeyine bağlı olarak, kullanıcıya ek kimlik doğrulama adımlarıyla işleme devam edip etmemesini belirler.
3D Secure 2.0, online işlemler sırasında daha zengin veri alışverişini ve ek veri paylaşımını destekleyerek, sanal POS sahibi firmaların ve sanal POS bankalarının risk tabanlı kimlik doğrulama yeteneklerini geliştirir. İşlem sırasındaki ek veri parametreleri, hem banka hem de firma tarafından 3D Secure kimlik doğrulama adımlarına devam edip etmeme konusunda daha bilinçli bir karar vermek için kullanılabilir duruma gelecek. Zaten hali hazırda özellikle bankaların mobil bankacılık uygulamalarında belli başlı bilgilerimiz yer alıyor. Örneğin kullandığımız kredi kartına ait bilgilere ek olarak, kullandığımız akıllı telefonun marka ve model bilgisi de kullanılan mobil uygulama tarafından biliniyor ve ek güvenlik kontrolleri yapılabiliyor.(uygulamaya erişim izni vb.)
Burada artık bankaları kendi müşterilerini daha çok tanıyacak ve sistemlerinde bir skorlama mantığı ile müşterinin alışveriş sırasında riskini belirleyecek. Düzenli aralıklarla, belirli limit, cihaz bilgisi, IP adresi gibi ödeme yapan “risksiz müşteriler” için ek güvenlik protokolü devreye almaya gerek kalmayacak. Farklı risk kategorileri oluşturulacak ve bu risk kategorilerine göre atanan skorun altında kalan işlemler 3D secure şifre adımına gerek kalmadan devam edebilecek.
Risk kategorilerinin unsurları;
*İşlemin tutarı ve sıklığı,
*İşlem geçmişi,
*Yeni veya mevcut kart sahibi,
*Davranı geçmişi,
*Cihaz bilgileri .vb
Kurallar zamanla ve sistem tam anlamıyla etkin oldukça daha çeşitli kategoriler ile zenginleşebilecektir.
Dolayısıyla, firmanın online platformu üzerinden başlatılmak istenen bir işlem sırasında, sistemde işlem geçmişi olmayan bir kullanıcı tarafından yeni bir kart kullanıldığını tespit edilirse, yani daha önce belirlenmiş risk kategorilerine giren bir işlem ile karşı karşıya kalınmış ise, doğrulama sürecinde risk büyük olasılıkla yüksek sayılacaktır ve 3D secure kimlik doğrulama adımına sokulabilecektir.
Tam tersi bir alışveriş isteğini düşündüğümüzde ise, ilgili kart sahibi direkt olarak ödemeye yönlendirilebilecek ve 3D adımı atlanabilir olacaktır. Benzer şekilde, müşterinin platformla bir satın alma geçmişi varsa, ancak bunu daha önce kullanmadığı yeni bir cihazda kullanıyorsa, satıcı artık bilinmeyen bir değişken olduğu için 3DS aracılığıyla kimlik doğrulamasını zorunlu kılabilir. Burada tamamen kategorize edilen risk gruplarına göre 3D secure /None Secure adımlar işleyecektir.
Neden 3D Secure 2.0
ACS’de gerçekleştirilen risk tabanlı kimlik doğrulama sayesinde, kart sahibi ile etkileşime girmeye gerek kalmadan kart issuer ların bir işlemi onaylamasına olanak sağlayan bu sistem, güven ve hızı bir arada getirir.
Müşteri online bir satın alma işlemi yaptığında, alışveriş sepetine ürünlerini ekler, normal satın alma bilgilerini doldurur ve ardından satın alma işlemini devam eder. Cihaz verilerini, satın alınan ürünü, tutarı ve gerekli olan diğer bilgileri içeren satın alma ayrıntıları, kart sahibinin gerçekliğini belirlemek için ACS sunucusuna gönderilir. ACS daha sonra bunu risk temelli unsurlarla tarar, riskin düşük olduğu kabul edilirse, ACS müşterinin kimliğini pasif olarak doğrulayabilir ve ekstra onay ile onları rahatsız etmez. Bu işlemler müşteri deneyimi açısında perde arkasından yapılan işlemler olduğu için, devam eden kontrollü süreç müşteri tarafından görünmez ve müşteri sadece bankadan aldığı onaylandı/ başarısız cevabını ile karşılaşır.
ACS
Buna ek olarak, yeni Access Security Control (ACS) çok faktörlü kimlik doğrulamayı, 3D Güvenli kimlik doğrulamayı ve 3DS olmayan kimlik doğrulamayı destekleyecek ve böylece herkesin kapsamına girecek. Issuers için 3D Secure 2.0 protokolünü destekleyecek bir ACS uygulaması gerekecektir.
Satıcının platformu yalnızca risk yüksekse ek kimlik doğrulaması gerektirecektir. Risk tabanlı kimlik doğrulamanın kullanılmasıyla, 3D secure 2.0 ile işlemlerin küçük bir yüzdesinin karşı karşı kalacağı öngörülmektedir.
Kart sahipleri için hızlı ve aynı zamanda risk tabanlı kimlik doğrulama ile güvenli bir alışveriş deneyimi sunulmuş olacaktır.
Satıcılar için ise, işlem itirazlarında chargeback riskini minimum seviye indirirken, satıcıyı koruyan ve platformlarıın da 3D Secure protokolünün avantajlarını sunmuş, aynı zamanda müşterilerinin kötü niyetli işlemlere karşı korunmasına da yardım etmiş olurlar.
Sonuç olarak, 3D Secure sisteminin ikinci versiyonuna geçmiş ve geçecek olan platformlar önemli bir avantaja sahip olacaklar.
Satıcıların, mobil uygulamalar da dahil olmak üzere sistemlerine kolay entegrasyon ile birden çok platformda koruma sağlamalarına ve 2.0 protokolünün sağladığı avantajlardan yararlanmaya devam etmelerine olanak tanınmıştır. Ayrıca alışveriş sepetinden vazgeçme oranlarının önemli ölçüde düşeceği tahmin edilen bu sistemin tercih edilmemesi için hiçbir sebep yoktur.
Kart bankaları, satıcılarla daha fazla veri paylaşabilir ve alabilir, bu da onlara daha yüksek doğrulukla riski belirlemelerine ve dolayısıyla kimlik doğrulama sürecini iyileştirmelerine olanak tanıyan işlem kalıpları hakkında daha fazla bilgi verir. 3DS 2.0 ayrıca bankalara PSD2’nin gereksinimlerine zahmetsizce uyma fırsatı sunacak.
Visa Kıdemli Başkan Yardımcısı Mike Lemberger, 2.0 sürecini mükemmel bir şekilde özetledi;
“3DS 2.0’ın geliştirilmesine öncülük ederek, bu ödemeleri hem daha hızlı hem de daha güvenli hale getiren gelişmiş bir kimlik doğrulama hizmeti sunabiliyoruz. Avrupalı perakendeciler için bu süreç, bir e-ticaret pazarında alışveriş sepetinin terk edilmesini azaltmaya yönelik devam eden zorluğun üstesinden gelinmesine yardımcı olacak. Bu güncelleme ayrıca, kart ödemeleri için PSD2 uyumluluğunu sağlamak için gerekli tüm araçları sağlar, bu da hafife alınmaması gereken büyük bir avantaj. “
Thank You For Your Vote!
Sorry You have Already Voted!