E-Ticaret ’te Güvenli Ödemelerin Lokomotifi 3D Secure, “2.0” versiyonu ile geliyor !
E-Ticaret’te yıllar içerisinde Güvenli Ödeme araçları çeşitlense de, yaygın kullanım açısından 3D Secure (3DS) Sistemi her zaman ön planda oldu. Tabi bu durum, özellikle son yıllarda sistemin en iyi çözümü ve kullanıcı deneyimi sunmasından ziyade, Visa, Mastercard, JCB, American Express ve Discover gibi kart şemaları tarafından benimsenmesi ve kabul edilmesi ile oluştu. Ancak şunu da kabul etmek lazım, 3DS Sistemi’nin doğuşu olan 1999 yılında, günümüzdekinden çok farklı bir teknoloji bulunuyordu ve zamanın şartlarında, en kolay ve uygulanabilir çözüm olarak ön plana çıkarak, tüm dünyada kullanılmaya başlandı.
1996 yılı itibariyle, E-Ticaret’te Güvenli Ödemeler ile ilgili çalışmalar başlıyor;
1999 yılına gelinceye kadar, E-Ticaret’te Güvenli Ödeme için farklı çözümler üzerine çalışıldı. Internette veri güvenliğini sağlamak için Netscape tarafından geliştirilen SSL (Secure Socket Layer), 3.0 versiyonu ile 1996 yılında kullanılmaya başlandı. Yine aynı yıl, SSL ’in Ödeme Sistemleri için özelleştirilmiş çözümü olan SET (Secure Electronic Transactions) Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign’ın katılımıyla oluşan bir konsorsiyum tarafından geliştirildi. SET ile ortaya konulan çözüm, güvenlik perspektifi açısından oldukça uygun bir çözümdü. SSL’den farklı olarak, hem kullanıcının kart hamili olduğunu doğrulamış oluyor, hem de kart bilgilerinin sadece ilgili Issuer banka tarafından görülmesini sağlıyordu. SET uyumlu ilk alışveriş, 18 Temmuz 1997’de San Francisco’da yapılan tanıtımla İspanya ve Singapur’da bulunan sanal mağazalardan gerçekleştirildi. Ancak, bu çözümün sahada uygulanabilmesi oldukça zor olduğu için yaygınlaşmasında ciddi problemler yaşandı. Kart sahiplerinin SET uyumlu özel yazılımları kendi PC’lerine, iş yerlerinin ise SET yazılımlarını sunucularına yükleyip, kendi web siteleriyle entegre etmeleri gerekiyordu. Ayrıca, iş yerlerine yüklenilen yazılım karmaşık bir yapıya sahip olduğu için, iş yerleri tarafından entegre edilmesi ve yönetilmesi zordu.
3DS 1.0, Verified By Visa ismi ile hayatımıza giriyor;
Tüm bu olumsuzluklar sonucunda, SET’e kıyasla çok daha basit bir yapıya sahip, 3DS Sistemi, Verified By Visa (VbV) ismiyle, Visa tarafından 1999 yılında yayınlandı. Diğer kart şemaları da, ilgili protokolde ufak değişiklikler yaparak, 3DS Sistemi’ni Güvenli Ödeme çözümü olarak kabul ettiler. Bu doğrultuda, Mastercard “SecureCode”, JCB “J/Secure”, American Express “SafeKey” ve Discover ise “ProtectBuy” ismiyle 3DS 1.0.2’yi kullanmaya başladı.
Şu an 3DS, 1.0.2 versiyonu ile 19 yıldan beri, büyük değişiklikler olmadan kullanılmaya devam ediyor. Ancak, son zamanlarda gelişen teknolojiyle birlikte çeşitlenen ihtiyaçlar ve mobil cihazların yaygınlaşmasıyla birlikte E-Ticaret’te mobil ödemelerin artması, yeni çözüm arayışlarına gidilmesine yol açtı.
17 yıl sonra 3DS 2.0 protokolü EMVCo tarafından yayınlanıyor;
Bu ihtiyaçlar çerçevesinde, 2016 yılında EMVCo, 3DS Sistemi’nin 2.0 versiyonunu yayınladı. Her ne kadar, yeni çözüm mevcut çözümün bir üst versiyonu olarak yayınlansa da, hem teknolojik hem de fonksiyon olarak, 3DS 1.0’dan oldukça farklılaşıyor, yepyeni özelliklerle 3DS 2.0 hayatımıza girmeye hazırlanıyor.
3DS 2.0’ın en önemli motivasyonu, mobil dünya için bir çözüm oluşturmaktı. Bu doğrultuda, ilk yayınlanan spesifikasyonlar mobil cihaz akışları için oldu. Bunlar, belirli bir olgunluğa erişince de web için olan akışlar yayınlandı. Şu an, 3DS 2.0’ın 2.2 versiyonu yayınlanmak üzere. 2.0 versiyonu henüz hayata geçmeden, yeni versiyonların yayınlanmasının sebebi, PSD2 (Second Payment Services Directive) ve GDPR (General Data Protection Regulation)’ın etkileriyle birlikte, sektörde uzun zamandan beridir ihtiyaç duyulan yeni özelliklerin de, sektörde faaliyet gösterenler tarafından büyük bir hevesle ekleniyor olması.
3DS 2.0 ile ilgili gelişmeler bu şekilde devam ederken, yayınlanan spesifikasyonlar, E-Ticaret sektöründeki tüm oyuncular tarafından yakından takip ediliyor. Özellikle 3DS 2.0 ile birlikte gelen tüm değişikliklerin anlaşılması, 3DS 1.0’dan bu platforma geçişte önem arz ediyor.
3DS 2.0 ile birlikte ne gibi değişiklikler geliyor?
Risk Bazlı Doğrulama : 3DS 2.0’da ödeme deneyimini daha yalın hale getirebilmek için, müşteriyle daha az etkileşime girilmesi amaçlanıyor. Bu doğrultuda, ACS’lerde bulunan Risk Hesaplama Modülleri, Issuer bankaların kendilerinin tanımladığı kurallar doğrultusunda, 3DS işlemini gerçekleştiren müşteri için ek bir doğrulamaya ihtiyaç duymadan 3DS akışını sonuçlandırabiliyor. Buna “Frictionless” akış deniliyor. Örnek vermek gerekirse, ACS’te tanımlanan aşağıdaki kural doğrultusunda, bir işlem gerçekleşirse ACS, kullanıcıya ekstra bir OTP doğrulaması gerçekleştirmeden, işlemi başarılı bir şekilde tamamlanmasına izin verebiliyor.
- Mobil bir cihazla,
- Yurt içinde,
- “ABC” işyerinden,
- Son 3 ayda en az bir defa OTP doğrulaması yapılmış, minimum 3 başarılı işlemi bulunan bir kart ile gerçekleştirilen,
- 90 TL altındaki işlemler
3DS 2.0’da, doğru bir şekilde bir Risk Değerlendirmesi yapabilmek için, 3DS 1.0’a kıyasla, 10 katı kadar bir bilgi 3DS Sistemi tarafından toplanıyor ve bu bilgiler, yurt dışında bulunan Kart Şemaları’na ait DS’ler üzerinden ACS’lere iletiliyor. Bu bilgilerin içerisinde, müşterinin adı soyadı, telefon numarası, email adresi, teslimat adres bilgisi, cihaz bilgisi, vb. gibi bilgiler bulunabiliyor. Dolayısıyla bu durum, özellikle Kişisel Verilerin Korunması Kanunu (KVKK) açısından incelenmesi gereken bir durum olarak ön plana çıkıyor.
Ödeme Harici İşlemler için Doğrulama : 3DS 1.0’da doğrulama işlemleri, sadece Ödeme İşlemleri için gerçekleştirilirken, 3DS 2.0 ile birlikte artık, Ödeme Harici İşlemler (Non-Payment) için de 3DS doğrulaması yapılabiliyor. Örneğin, herhangi bir Dijital Cüzdan’a eklenmek istenen bir kartın, kart hamilini doğrulamak için, provizyona çıkılmasına gerek kalınmadan 3DS doğrulaması gerçekleştirilebiliyor.
Mobil Uyumluluk ve Mobil SDK : 3DS 2.0 ile birlikte, Mobil cihazlardan yapılan ödemelerin daha sorunsuz bir şekilde gerçekleştirilebilmesi için, müşteri doğrulama ekranlarının mobil uyumlu olması sağlanıyor. Ek olarak, ilgili Mobil uygulamalarda Native bir şekilde 3DS entegrasyonunun yapılabilmesi için, EMVCo tarafından spesifikasyonu belirlenmiş, bir SDK kullanılabiliyor.
Out-of-Band (OOB) Çözümler : Bir mobil uygulamadan gerçekleştirilen 3DS işleminde, ilgili Issuer bankanın başka bir mobil uygulaması (örneğin Mobil Bankacılık Uygulamaları gibi) aracılığıyla da müşterinin doğrulaması yapılabiliyor.
Alternatif Doğrulama Yöntemleri : 3DS 2.0 ile birlikte, OTP gibi klasik doğrulama yöntemlerine ek olarak, Parmak İzi, Ses ve Yüz Tanıma gibi Biyometrik Doğrulama teknolojilerinin kullanılması mümkün olabiliyor.
Mesaj Standartları : 3DS 1.0’da kullanılan XML mesajları yerine, artık daha basit bir yapısı olan JSON mesajları kullanılmaya başlanıyor. 3DS mesaj isimleri de bu doğrultuda farklılaşıyor.
Güvenlik Gereksinimleri : 3DS 2.0 protokolünün yayınlanmasıyla birlikte, 3DS Güvenlik Gereksinimleri ve Denetim Süreçlerinde de büyük değişiklikler oldu. Bu zamana kadar Visa tarafından yılda bir defa gerçekleştirilen Güvenlik Denetimleri, 2018 yılı itibariyle PCI kapsamında, PCI-3DS olarak yapılmaya başlandı.
3DS 1.0’dan farklı olarak, sadece ACS bileşeni değil, artık 3DS Server bileşeni de, PCI-3DS gereksinimlerine uygun olarak, özel şartlarda işletilmesi gerekiyor olacak. Bu durum da, özellikle MPI’ları işleten Acquirer Banka ve Vendor’ların 3DS Server bileşenini kendi platformlarında işletebilmeleri için, daha fazla yatırım yapmalarına sebep olabilir.
3DS 2.0 geçişinin nasıl olması bekleniyor?
Öncelikle ilk aşama olarak, Issuer Domain’deki ACS’lerin 3DS 2.0 işlemlerini karşılamaları bekleniyor. Bir 3DS işleminin 2.0 olarak gerçekleştirilmesi, iş yerlerinin 3DS 2.0 sistemlerine yönlendirilmesi ile sağlanması planlanıyor. Bu doğrultuda, Acquirer Domain’de bulunan 3DS Integrator, Acquirer bankanın da hazır olmasıyla birlikte, iş yerlerini 3DS Server’a yönlendirebilir. Tabi bu yönlendirme kararı, 3DS Server’da bulunan kart aralığı ve ACS’in desteklediği versiyon numarası bilgilerine göre de verilebilecektir. Bu çözümler, 3DS Integrator’ların ortaya koyduğu ürünler çerçevesinde bir miktar farklılaşabilir. Örneğin 3DS Integrator tarafından, mevcut MPI uygulamalarının 2.0’ı destekleyecek şekilde bir çözümün ortaya konulmasıyla, 3DS 1.0 ile 3DS 2.0 arasındaki yönlendirme çok daha kolay yapılabilecektir.
ACS’ler içinse, basitçe 3DS 1.0’da doğrulanabilen bir kartın, benzer şekilde 3DS 2.0 için de doğrulanabilir olması sağlanmalıdır.
3DS 2.0 tam anlamıyla ne zaman hayatımıza giriyor olacak?
Kart Şemaları’ndan Visa ve Mastercard’ın yayınlamış olduğu takvimlere göre öncelikle Issuer Domain’deki ACS bileşenlerinin, 2019 Nisan ayında 3DS 2.0 işlemleri kabul ediyor olması bekleniyor. Acquirer’lar içinse henüz net bir tarih açıklanmış olmasa da, 2019 yıl sonu itibariyle, 3DS Server’ların devreye girmiş olması bekleniyor.
