507 — Güvenli Mobil Ödemeler ve Elektronik Doküman Yönetimi Tebliği ile İlgili Değerlendirme
Önceki yazımda, Gelir İdaresi Başkanlığı tarafından 1 Haziran 2019’da yayınlanan ve 1 Eylül 2019 itibariyle geçerli olan Güvenli Mobil Ödemeler ve Elektronik Doküman Yönetimi düzenlemesi ile ilgili temel kavramlara değinmiştim. (Buradan erişebilirsiniz) Bu düzenleme, ödemelerin kartlı sistemlere taşınmasına destek olabilecek bir yaklaşım taşıyor. Öte yandan e-fatura/e-arşiv konusunda bilgimin kısıtlı olduğu vurgusu ile bazı soru işaretlerimi ve endişelerimi aşağıda paylaşıyorum. Bu endişe ve sorularım, henüz kesinleşmemiş/yayınlanmamış nihai teknik kılavuz ile açıklığa kavuşabilir.
· Sertifikasız cihazların sertifikasyona ihtiyacı yok mu?
Konuya girmeden cevap vereyim: Evet var, olmalı. Burada kastedilen telefon, tablet gibi cihazların kullanılacak olması.
Sertifikasız cihazlar olarak tanımlanan telefon, tablet gibi cihazlarda kart kabulü yapabilmek için kart okuyucu donanım ve yazılımının sertifikasyonu gerekir. Bu cihazlar, kart sektörü güvenlik standartlarını belirleyen kuruluş olan PCI’dan PCI-PTS belgesi alamayacağı için, kuruluşun ilgili diğer gereksinimlerini karşılamalıdır. Örneğin telefon veya tablet üzerinden kart şifresi istenmesi için yazılımın, PCI-Software PIN entry on COTS (commercial on the shelf) spesifikasyonlarına uygun olması gerekir ki şu anda bu konuda sertifikasyonu tamamlanmış ve satışa sunulmuş bir cihaz bulunmamakta. Bir başka durumun da altını çizmemiz gerekir: Kartın temassız okutulduğu bir mobil telefon ya da tablete aynı zamanda ekrandan şifre girilmesine PCI müsaade etmemektedir. Bu konu ile ilgili okuduğumuz inovasyon haberlerinde anlatılan ürünlerin ise, şu an için özel izin (waiver) ile ilerleyen kavram ispatı projeleri olduğunu öğreniyoruz.
Ayrıca, kart şemaları nezdinde her bir kart kabul kuruluşu nezdinde sertifikasyon yapılması gereksinimi de devam etmekte.
· Kötü örneklerin yaygınlaşması endişesi
Kart numarasının telefon/tablet kameraları ile okutularak sanal pos üzerinden işlem yapılması yöntemi, istenmeyen ve güvenli olmayan bir çözümdür. Sahada bu örneklerin yayılması sonucu normalleşmesi endişesini taşıyorum. Kötü niyetli kişilerce kart bilgilerini ele geçirmek için kullanma ihtimalini de düşünürsek iyi ve kötüyü ayırmak kart hamilleri için zorlaşacak. Kötü niyetli bir girişim, tüm kartlı ödeme sistemlerini zor durumda bırakacak yeni yaygın olumsuz algılara ve efsanelere meydan verebilir.
· E-Belge maliyeti düşük mü?
İnternette e-fatura maliyeti ve yazarkasa fiyatları diye arama yaptım: 1.000 kontör için 160 TL kadar maliyet var. Yani kabaca 1 adet fatura: 0,16 TL Bir yazarkasanın ise kampanyalarla 1.350 TL’ye alınabildiğini görüyoruz. E-faturanın başlangıç, muhasebe programı vb maliyetini göz ardı edersek 10.000 fatura 1.600 TL. Her gün çalışan bir işyeri için günde 10.000/365= 27,4 adet satış anlamına geliyor. Dolayısı ile, e-belge sürecinin daha ucuz olduğuna dair bir kanaat edinemedim. Umuyorum ki bu yazıya, e-belge süreçleri ile ilgili bilgisi olan kişilerden bilgilendirici yorumlar alabilirim.
Öte yandan, yukarıdaki basit hesap bir işyeri açısından görünen maliyetler. Hazır bir EFT özellikli yazarkasa ile bu sistemi yanyana koyup maliyet karşılaştırması yapılınca belirli bir seviyeye kadar anlamlı olabilir. Yazarkasacılar, bankaların yıllarca sürdürdüğü POS işinin ne kadar gelişmiş, karmaşık ve maliyetli olduğunu gördüler. Maliyetlerden dolayı EMV sertifikasyonu konusunu terkedenler var. Dolayısı ile bu yeni yapıda maliyetlerini düşürebildikleri ölçüde daha sürdürülebilir bir model ortaya koyabilirler. Maliyetleri düşürmek ise, verimli işbirlikleri ve 3 bacaklı sistemi mümkün olduğunca etkin olarak kurgulamaktan geçer.
· E-belge üretilirken basılı belge verme zorunluluğu
Satış anında basılı evrak verme zorunluluğu devam ediyor. Bu zorunluluk süreçlerin ve maliyet kalemlerinin içinde bir de yazıcı eklenmesi anlamına geliyor.
· Cihazların mülkiyetinin mükellefte olması ve bir cihazda tek mali uygulama zorunluluğu
Cihaz bağımsız bir sistemde keşke mülkiyet sahipliği de işyeri tarafından özgürce seçilebilseydi. Böylece daha farklı çözümler de üretilebilirdi. İşyerinin dilediği zaman çalıştığı finansal kuruluşu değiştirebilmesi bir cihazda tek bir mali uygulamanın desteklenebilmesi zorunluluğu ile paralel nasıl çalışacak göreceğiz. Şu anda ancak, İşletici Kuruluş’un çalıştığı finansal kuruluşlarla sınırlı olabilir gibi algılıyorum. Bir başka deyişle, birden fazla banka ile çalışan işyerleri, bu sistemi sunan bankadan bir başkası ile çalışmayı istediğinde bunu gerçekleştirmesi bankalar arasında ticari anlaşmaya bağlı olacak. Benzer durum desteklenen yemek kartları vb diğer ödeme yöntemleri için de geçerli.
Bu kapsamda hazırlanacak sistemlerin; işyerlerinin mevcut telefon ve tabletlerine kurulum ile faal hale getirilmesinden ziyade bu iş için özel hazırlanmış cihazların piyasaya sunulması daha olası görünüyor. Bu da işyerlerine yine yeni bir cihaz maliyeti ihtimalini ortaya koyuyor. Ayrıca cihaz sahipliği, cihazın bakım maliyetlerini işyeri açısından kaçınılmaz hale getirebilir.
Son olarak;
Tüm bunların ötesinde, başlıca endişem, cihazların güncel EMV ve PCI gereksinimlerine uyumunun devamlılığının ve böylece ödeme güvenliğinin sağlanmasıdır. İşletici Kuruluş, sistemin tüm sorumluluğunu alırken, olası sahtekarlık durumlarında bu kuruluşların mali yapılarının tüm zararı karşılamak için yeterli olup olmadığına bakılmalı mıdır?
Kaynaklar:
