"Enter"a basıp içeriğe geçin

Non-Secure/3D secure v1 ve Tek tıkla ödeme

Tarih: Ağustos 23, 2021 | Yazar: Mehmet Evirgen

Ödeme sistemleri döngüsünün olmazsa olmazı, “ödemeyi tamamla” adımıdır.
Birçok online alışveriş platformu, “hızlı ve güvenilir ödeme noktası” söylemi ile kart sahiplerini tutundurma ve devamlılığını sağlamayı hedeflemektedir.  3D Secue ödeme adımının adını “Güvenli ödeme” diye adlandırırken, non-secure ödemenin adı, “güvensiz😊” yerine,  “hızlı” olarak nitelendirilir. Doğal olarak kimse alışveriş sırasında böyle bir kelime görmek istemez. Sanal POS entegrasyonlarının, kartlı ödeme sistemlerine sunduğu, 3D secure ve Non-secure olarak iki ana entegrasyon tipi bulunmaktadır.
3D Secure, online kredi ve banka kartı işlemlerini korumak için tasarlanmış gelişmiş bir güvenlik protokolüdür. 3D Secure ile müşterilerin, işlemi yaparken gerçekten kart sahibi olduklarını doğrulamak için fazladan bir kimlik doğrulama adımını tamamlamaları gerekir. Gereklilik, kartı veren kuruluştan müşterinin cep telefonuyla paylaşılan bir kodu girmesini isteyen bir istem şeklindedir. 3D Secure’un önceki dönemlerinde, müşterilerden önceden tanımladıkları statik bir şifre girmelerini istiyordu, ancak bu durum şuan Tek Seferlik Şifreler (OTP) yöntemiyle değiştirildi.Visa, 3D Secure sürecini “Verified by Visa” olarak adlandırırken, Mastercard’ın çözümü “MasterCard SecureCode” olarak belirlemiştir.

Kart markaları ve tüm sanal POS/ kart bankaları tarafından, Sanal POS üye işyerlerine 3D Secure ile ödeme entegrasyonu kullanımı zorunlu kılınmaz. 3D Secure adımı işlemlerin güvenliğini sağladığı gibi, ödeme kolaylığı ve hızı noktasında birçok Sanal POS üye işyeri veya kart sahibi tarafından tercihler arasında yer almayabilir. 3D Secure sisteminin kullanım ve entegrasyonu noktasında regülatif bir zorunluluk söz konusu olmadığı gibi, bazı bankalar kart sahiplerinin güvenliğini ve Sanal POS üye işyerlerinin faaliyet, segment, satılan ürün veya bankanın genel kararını göz önünde bulundurarak 3D Secure kullanımını zorunlu hale getirmektedir. Sanal POS bankalarının bazı veya tüm üye işyerleri için zorunlu hale getirdiği bu kural, belirlenmiş yetkiler ile üye işyerlerine göre yönetilebilir durumdadır.
3D Secure zorunluluğunu dikta etmeyen bankalar ise, üye işyerlerine 3D Secure kullanımını önermektedirler.

Neden 3D Secure Kullanmalıyız?

3D Secure sisteminin asıl amacı yukarıda belirrttiğim gibi, 3D Secure kullanmanın temel nedeni dolandırıcılık korumasıdır. Fiziki olarak Kartın mevcut olmadığı satın alma işlemini gerçekleştirmeye çalışan kişinin gerçekten de gerçek kart sahibi olduğunu doğrulaması gerektiğinden, online alışveriş sırasında hizmet veya ürün satın almak için çalıntı kart bilgilerinin kullanılması riskini ortadan kaldırmaktır. Bu riskin ortadan kaldırılması, yalnızca dolandırıcılık faaliyeti sırasında kart sahibinin yaşamış olduğu, kart bilgilerinin çalınması durumunun yanı sıra, kart sahibinin çalıntı sonrası bankasına yapacağız “işlem itirazı” durumunda Sanal POS sahibi olan üye işyerininde en az veta hiç etkilenmemesine olanak tanır. Bir ödemeye kart sahibi tarafından itiraz edilmesi durumunda, kart markaları sorumluluğu, 3D Secure sistemini zorunlu kılmadıkları için bankalara, bankalarda üye işyerine yıkmaktadır.

3D Secure Sistemi gerçekten Secure mü?
Half/ Full Secure

“Güvenli ödeme” olarak bilinen 3D Secure sistemi entegrasyon yapısında bazı karmaşıklıklara sahiptir. Bu karmaşıklı bankaların Sanal POS  3D Secure entegrasyonlarını doğrudan yaptıkları veya bir servis sağlayıcı aracılığıyla yaptıkları, kart bankası ve Sanal POS bankasının BKM Go ya da 3D secure ACS sisteminde bacağındaki karmaşıklıktır. Bu kompleks yapının, 3D Secure entegrasyonu sürecinde  üye işyeri bacağına büyük etkileri yoktur.

3D Secure sürecinin yapılmak istenen/ devam eden veya tamamlanan online işleme etkisi, half Secure ve full secure olarak iki tiptir.

Half 3D Secure işlem, kısaca üye işyerinin 3D Secure işlemleri desteklerken kartın desteklememesi/ işlemden sonra daha sonra desteklemesi durumlarında sahip olunan tiptir..
Bu tip 3D Secure işlemleri sonrasında, servis sağlayıcı veya üye işyerinin yönetebilmesi için dönen bazı değerlere sahiptir. Bu değerlern en önemlisi MDStatus değeridir.
MDStatus=1 haricinde dönen tüm değerler “Half Secure”veya hata olarak değerlendirilebilir.

3D Secıre entegrasyon modellerine göre;
-3D Secure entegrasyon,
-3D Secure cevabına göre ödeme entegrasyonu (Genel ismi 3D model),
 iki aşamalı entegrasyonu sağlayan üye işyerleri veya gateway ler, 3D Secure sisteminden dönen MDStatus değerine göre ödeme adımını yönetebilirler. MDstatus=1 haricinde gelen tüm isteklerin, ödeme adımına yürütülmemesini yöneterek sistemlerinin, 3D Secure Full Secure ile desteklenmesini garanti ederler.
MDstatus yönetimi Sanal POS entegrasyonunu yapan üye işyerleri tarafından yukarıda bahsettiğim yöntemlerle yönetilebilirken, Sanal POS bankası veya servis sağlayıcısı tarafından da kurallarla yönetilebilir.
Örneğin;
Sisteminden half secure işlem geçmesini istemeyen ancak MDstatus kontrolü yapmayan üye işyerleri için, banka veya servis sağlayıcısı tarafında da kurallar yazılarak engellemeler yapılabilir.

Sürecin daha net olmasını anlatan bazı teknik bilgiler vermek gerekirse;

3D Secure işlemlerinde 3D Secure, half 3D Secure ve 3D Secure olmayan işlemleri Visa VERes, PARes ve ECI(Electronic Commerce Indicator) kodları belirler;

VEReq mesajının sonucu olarak üretilen VERes mesajında;

  • VERes değeri Y ve N haricinde bir değer gelirse 3D Secure olmayan bir işlem (ECI=7) olarak değerlendirilir.
  • VERes değeri N ise Yarım 3D Secure olarak değerlendirilir.
  • VERes değer Y ise;
    • PAReq mesajı gönderilir. PAReq mesajının cevabı olarak üretilen PARes değeri;
      • PARes Değeri Y ise; 3D Secure işlem
      • PARes Değeri A ise; Yarım 3D Secure işlem
      • PARes Değeri U ise; 3D Secure olmayan işlem olarak değerlendirilir.
      • PARes değeri N, Hatalı ya da imza doğrulama başarısız ise işlem üye işyeri tarafından otorizasyon akışına dahil edi

3D Secure Sisteminin Dezavantajları

Her sistemin olduğu gibi 3D Secure yapısının özellikle müşteri deneyimi noktasın bazı dezavantajları mevcuttur;

-Hız göz önüne alındığında, 3D Secure aşaması OTP sürecine girdiği için işlem süreci doğal olarak uzamaktadır.
-Standart olarak Web üzerinden çalışan bir yapı olarak tasarlandığı ve dijital çağın kolaylıkları olan mobil uyumluluk kısırlığı, non-responsive olması güncel .css ve .html teknoloji ve kütüphanelerindeki kullanımı noktasında eksikleri söz konusudur.

-Standart OTP akışında sadece tek kullanımlık şifre desteğinin yanı sıra farklı doğrulama yöntemleri sunmaması gibi,
durumlar söz konusudur.

Not: Bu dezavantajların bir kısmı ve daha fazlası nedeniyle 3D Secure 2.0 ve faklı doğrulama yöntemlerinin doğmasına neden olmuştur.

Non-Secure

3D Secure ile ilgili olarak anlattığım tüm bilgilerin tam tersine “Non-Secure” ödeme diyebiliriz.
Sanal POS entegrasyonlarının, kartlı ödeme sistemlerine sunduğu diğer entegrasyon modelidir.
3D Secure ödeme yönetmi zorunluluğunu sunmayan bankaların Sanal POS müşterisi üye işyerleri, kendi online alışveriş platformlarında non-secure, “hızlı ödeme” adı altında bu entegrasyonu konumlandırabilirler.
Non-Secure işlem entegrasyonuna sahip üye işyerleri, ödeme adımında işlemin 3D Secure sisteminde olduğu gibi, OTP ile kart sahibi doğrulama sürecine girmemiş demektir.
Non-Secure işlemlerde, 3D Secure de olduğu gibi ara bir doğrulama katmanı olmadığı için, ilgili kartın markası, bankası veya Sanal POS üye işyeri tarafında işlemin yapılmasına engel bir durum olmadığı ve kartın limitinin de müsait olması durumunda  işlem başarılı ve hızlı bir şekilde sonlanır.

Non-Secure işlemlerde yaşanabilecek dolandırıcılık ve işlem itirazı süreçlerinde bankaların, kart saiplerinin yanında olma ihtimalinin yüksek olması nedeniyle, non-secure entegrasyonlara sahip üye işyerleri veya servis sağlayıcı ürünler kendilerine ait bazı güvenlik algoritmaları yazabilir veya fraud ürünleri kullanabilirler. Bankalar veya servis sağlayıcıları non-secure işlemlere izin verse dahi, kendi taraflarında da bir dizi fraud kontrolleri yaparak kart sahiplerinin mağduriyetlerini ve dolaylı olarak üye işyeri mağduriyetlerini önlemeye çalışırlar.
Non-secure işlem entegrasyonu üzerinden gelebilecek yoğun fraud ataklarına karşı Sanal POS üye işyerinin tamamen kapatılması, non-secure işlem yetkisinin kapatılması veya belirli bir tutarın altına izin verilmesi ortaya çıkabilecek sonuçlardır.
Aslında net bir tabirle kart sahibinin mal varlığının güvenliği söz konusu olacağı için, Sanal POS üye işyerini kapatmak gibi katı aksiyonlar bir anda alınabilmektedir.

None Secure işlem entegrasyonlarının, 3D Secure entegrasyonunda olduğu gibi web tabanlı bir yapıya bağımlılığı olmadığından, mobil uygulamalar üzerindeki entegrasyonu üye işyerlerinin mobil uygulama geliştiricilerinin kabiliyetiyle şekillenebilmektedir. Özellikle farklı ödeme kanallarına(IVR) ve iş modellerine(Tekrarlı ödeme, kayıtlı kart ile ödeme) sahip üye işyerleri için non-secure ödeme yöntemi büyük bir kolaylıktır.
Non-secure entegrasyon modeli ile doğrudan beckend üzerinden ilerleyen bir süreç söz konusu olduğu için, işlem süreleri oldukça hızlıdır. Tabi bu süre aradaki diğer entegrasyon katmanlarının performanslarına da bağlı olarak değişecektir

Tek Tıkla Ödeme

Tek tıkla ödeme bir entegrasyon modeli olmayıp, online platformların kart sahiplerine sunduğu hızlı bir ödeme süreci özelliğidir.
Tek tıkla ödeme tanımının arkasında bir dizi güvenlik önlemleriyle (PCI-DSS) kaydedilmiş kart bilgileri ile ödemeye devam etme koşulu vardır.
Tek tıkla ödeme non-secure ve 3D Secure entegrasyon tiplerinden herhangi birisi veya ikisi ile yapılabileceği gibi, kart sahibinin kayıtlı kartını seçerek non-secure/ 3D secure adımına devam etmesi ve üye işyerinin kayıtlı kart ile işlem tetiklemesiyle gerçekleşebilmektedir.
İş modeline göre farklılık gösteren bu adım aktif olarak tercih eden üye işyerlerinin işlem hacimlerini ve tercih edilme nedenlerini ciddi oranda arttıran bir yöntemdir.
Online alışveriş sırasında müşteri deneyimini ve kolaylığını artıran yöntemlerin başında gelen “kart bilgilerinin kaydedilmesi”, alışveriş deneyimi sırasında kart bilgilerini her defasında girmek istemeyen müşteriler için mükemmel bir kolaylıktır. Alışveriş deneyiminin en can alıcı noktası olan “ödeme adımı”nda geçen süreyi minimuma indiren bu özellik hem 3D Secure hem de non-secure işlem adımıyla devam edebilmektedir.
Tek tıkla ödeme başlı başına bir hız sağlamşken, bu özelliğin 3D Secure adımıyla devam etmesi tamamen müşteri veya üye işyeri iş modeli ile ilgilidir.
Online platformlarda alışveriş yapan kart sahiplerinin adres/ teslimat bilgilerini otomatik olarak tanımlattığınız gibi, bu özelliğin benzerini hassas kart verilerini güvenli ve güvenilir bir güvenceyle kayıt altına aldıran üye işyerlerinin rakiplerinin yanında bir adım önde olduğu görülmektedir.

Kart bilgilerinin kaydedilmesi rastgele sağlanan bir ayrıcalık değildir. Bunun için PCI -DSS tarafından belirlenmiş belirli sertifikasyon süreçlerine sahip olması gereken üye işyerleri, genellikle bu işi uzmanlık edinmiş uygulamalarla entegredir. Tokenization teknolojisi ile saklanan kartların dışardan bir müdahale ile çözülmesi ve açık olarak ele geçirilmesi imkansızdır.

Tek tıkla ödeme admında kartın bankası veya Sanal POS üye işyeri banlası ilgili işlem adımının “kayıtlı kart ile y apıldığı” anlayamaz. Üye işyerinin tek tıkla ödeme entegrasyonuna göre yine non-secure ve 3D secure akışları geçerlidir.
Tek tıkla ödeme eş zamanlı olarak kart sahibinin sakladığı kartın bulunduğu online platformdan kartını seçerek tetiklediği bir akış olabildiği gibi, belirli sektör ve üye sistemlerinin iş modeline göre, kart sahibinin daha önce vermiş olduğu yazılı rıza sonucunda, üye işyeri tarafından da tetiklenebilen bir akışa sahip olabilir.
Kart sahibinin vermiş olduğu rıza ile tetiklenen “Tek tıkla ödeme” adımında 3D Secure entegrasyonun kullanılması mantıksızdır. (Kart sahibibi OTP giremeyeceği için). Bu durumda genellikle non-secure işlem entegrasyonu kullanılır.  Burada hassas bir bilgi ise, kart sahibini daha önce verdiği rıza ile kayıtlı kart ile non-secure olarak üye işyeri tarafından tetiklenen bu isteğin, bankalar veya servis sağlayıcıları tarafından bilinmesini sağlayan bazı belirteçlerin olmasıdır.
Kısaca Mail order olarak bilinen bu belirteç, üye işyerini non-secure entegrasyonda gönderdiği paramerelerden birisidir. Ayrıca bu parametrede yetki ile yönetilen ve üye işyerlerinin Sanal POS’larına tanımlanan bir kuraldır.

<Extra>
   <MOTO>YES</MOTO>
</Extra>

1 - 0

Thank You For Your Vote!

Sorry You have Already Voted!

Tarih: Ödeme Sistemleri ve Ödeme Yöntemleri

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Don`t copy text!