Hap Bilgi Niyetine | Online Güvenli Ödeme ve 3D Secure 2.0
Her geçen gün gelişen ve farklı ihtiyaçlar doğuran teknoloji çağında, artık her birey telefon, bilgisayar ve tablet gibi cihazlara sahip. Bunlar ile tüm ihtiyaçlarını hızlı, pratik ve en önemlisi de güvenli bir şekilde karşılamak istiyor. Birçok büyük e-ticaret sitesinin (hepsiburada, gittigidiyor, trendyol vb.) yanı sıra küçük çaplı tabiri caiz ise çorap satan bir butik dahi kullanıcılarına birçok kanaldan(mobil,web) ulaşıp güvenli bir şekilde ödeme almayı amaçlıyor. Bu kısımda her iki taraf için de en kıymetli olan şey tabii ki para oluyor :)
Online ödeme dediğimizde, basit anlamda bir e-ticaret sitesine gireriz ürünü seçer, sepete ekler ve kart bilgilerini girdikten sonra ilerler ve cep telefonumuza kod gelir ve gireriz veya gelmeyebilir (bundan ilerleyen kısımda bahsedeceğim) ve ödemeyi gerçekleştiririz. Bir yandan çok basit gibi dursa da arka tarafta birçok prosedür gerçekleştirilmektedir.
Bu yazıda; bir güvenli ödeme işlemi başlatıp güvenlik kısmında hızlıca 3DSecure 2.0'ı inceledikten sonra ödemenin nasıl gerçekleştiğini konuşacağız. Üye işyeri gözünden sisteme dahil oluşu inceleyip sektördeki paydaşları konuşacağız. Ardından 3DSecure’ün modüllerini inceleyip bunlar nedir nerdedir gözümüzde canlandıracağız ve neler yapabiliriz onu konuşacağız.
Hadi başlayalım :)
Hadi 3DSecure 2.0 ile Ödeme Yapalım ve Domain’leri Tanıyalım
Bir e-ticaret sitesine girip ürünü almak için kart bilgilerini girdiğimde 3DSecure sürecini:
- bası siteler zorunlu tutar.
- bazıları ise 3DSecure entegrasyonunu hiç yapmamaktadır.
- bazı sitelerde seçenek olarak sunar. Örn; hepsiburada. 3DSecure’ü seçmediğimizi varsayarsak, ödeme direk karttan yapılır ve telefona mesaj gelmez. Yükümlülük üye işyerindedir.
3DSecure’ü seçtiğimizde telefonumuza kod(one time password) içeren mesaj gelir ve kod girilip güvenli ödeme yapılmış olunur.
- Şu senaryoda mevcuttur: Belli bir miktarın altındaki ürünler için mesela100₺, üye işyeri için para miktarı önemsiz olduğu için 3DSecure ödeme istemez iken; 2000₺ miktarındaki telefon için size 3DSecure sürecini işletip, telefonunuza mesaj gönderip ürünü alan kişinin siz olduğunuzdan emin olmak ister. Bu sayede yükümlülüğü size verir.
Hatta e-ticaret siteleri güvenli ödeme gereken para limitini müşteri bazlı tutuyor bile olabilir. Düzenli alışveriş yapan sorunsuz müşteri için güvenlik adımına 1000₺’de sokulurken, aksi bir müşteri için 200₺ olabilir.
Güvenlik (3DSecure 2.0)
3DSecure’ ün yüzeysel olarak modüllerinden ve modüller arasındaki süreçten bahsedelim. Ödeme yaparken yukarıdaki görseldeki gibi güvenli ödeyi seçtiğimizi veya pahalı bir ürün aldığımızı varsayarak devam edelim.
Üye işyerinde bulunan 3DSRequestor’ın topladığı bilgiler 3DSServertarafından authentication için ilgili DS(Directory Server)’a iletilir. DS de bilgileri kart aralığına göre ACS(Access Control Server)’e iletilir. Bu kısımda ACS, banka ile iletişim kurarak banka tarafından challenge(doğrulama isteği) yapılması istenir.
Bu sefer 3DSRequestor tarafından ACS’e challenge isteği yapılır ve ACStarafından doğrulama ekranı açılır. Kart bilgilerini giren kişinin gerçekten müşteriye ait olduğunun anlaşılması için banka tarafından telefona kodgönderilir. Açılan ekranda kullanıcının girdiği kod, ACS tarafından kontrol edilir ve onaylanır. Sonuç DS’e ve Acquirer Domain kısmındaki 3DSRequetor’a iletilir. Bu şekilde güvenlik kısmı tamamlanmış olur.
3DSecure 2.0 bileşenlerini, sürecini Kaan Öztemir’in 3DSecure 2.0 yazısından ayrıntılı inceleyebilirsiniz.
Aşağıdaki görsel modülleri ve içerisindeki domain’leri göstermektedir.
Şu an sadece Güvenli + Ödeme kısmının:
- Güvenlik ✓
- Ödeme
Ödeme
Ödeme kısmını detaylı bir şekilde incelemeden önce birkaç terime göz atalım.
Acquirer: Üye işyerinin entegre olduğu, kart bilgilerimizi alan sanal pos’a ait bankadır.
Issuer: Ödeme yapılan kartın ait olduğu bankadır.
Merchant: Üye işyeri
Gerçek hayatın içerisinden örneklendirecek olursak; bir mağazaya alışveriş için girdiğimizde mağaza=merchant, kartımızı okuttuğumu cihaz fiziksel pos, fiziksel pos’un üzerinde yer alan banka acquirer(ziraat bankası), kartımızın ait olduğu banka ise issuer(garanti bankası)’dur.
Aşağıdaki görsel “3DSecure+Ödeme”nin adım adım mesajlar ile gösterimidir.
Şimdi üye işyerinin bu ödeme sistemine entegre olması ile ödeme işlemini açıklayalım. Üye işyeri kullanıcının tüm bilgilerini alır. 3DSRequestor olarak 3DS Server’a iletir ve aşamaları geçerek güvenlik adımını tamamlar.
Bu iki katman aynı yerde olabilir fakat 3DS Server tüm DS’leri bilmesi gerektiği için sanal pos(birazdan bahsedeceğiz) üzerinde konumlandırılır. Üye işyeri sanal pos’u aldığında bir anlamda 3D Secure de içerisinde entegre olmuş şekilde gelmektedir.
Güvenlik onayı da alındığına göre artık acquirer bankaya ait sanal pos ile ödeme network’ü üzerinden ilgili kartın ait olduğu issuer banka haberleşerek para transferini yapar ve sonucu 3DS Requestor’a ileterek müşterinin karşısında kocaman bir tik işareti (✓) görülmesini sağlar.
Güvenli + Ödeme kısmının:
- Güvenlik ✓
- Ödeme ✓
Ödeme Network’ünün Çalışma Prensibi
1.Para göndermek isteyen müşteri, sisteme üye (sistemin katılımcısı) olan bankasına gerçekleştirmek istediği para transfer işlemi için ödeme emri verir.
2.Müşterisinden ödeme emrini alan banka, işlemle ilgili transfer emrini sisteme iletir.
3.EFT Sistemi aracılığıyla, paranın kaydı olarak (sadece elektronik kayıtlarda mevcut olacak şekilde) gönderici banka hesabından alıcı banka hesabına geçmesi sağlanır.
4.Alıcı banka, işlemin durumu hakkında bilgilendirilir.
5.Alıcı banka, sistemden gelen “işlem gerçekleşti” bilgisi üzerine, müşterisi olan alıcıya parayı öder.
Sanal POS Nedir ?
Sanal POS, mağaza alışverişlerinde kredi kartı veya banka kartı ile ödeme yaparken kullandığımız POS cihazının internet ortamında kullanılan ve fiziki olmayan halidir. Sanal POS ile ödeme süreci fiziki POS ile ödeme sürecinden pek farklı değil. Sadece ödeme sırasında müşteri kartı POS cihazından geçirmek yerine kart bilgilerinin ekranda girmesi gerekiyor.
Çoğu bankanın kendisine ait sanal posu vardır. Üye işyeri sanal pos’u bankalardan almak istediği zaman;
— her bir banka ile sözleşme ve evrak karmaşasına giriyor ve bu süreç uzun sürüyor.
— müşterilerine farklı ödeme seçenekleri sunmak için hepsi ile teker teker entegre olmasını gerektiriyor. Aksi halde az ödeme seçeneği sunduğu için müşteri kaybetmesi muhtemel.
— herbir banka ile komisyon hesaplama, muhasebe karmaşasına girmesi gerekiyor.
— her üye işyerinin kendine ait entegrasyon için yazılımcısı olması gerekiyor.
gibi nedenlerden dolayı sektörde ihtiyacı karşılayan paydaşlar oluşmuştur.
Bu gibi sıkıntılar sektörde yeni paydaşlar oluşturmuştur. Bunları karşılayamayan daha küçük çaplı e-ticaret siteleri İyzico yeni adı ile PayUveya HepsiPay gibi kuruluşlar ile hızlı bir şekilde entegre olup, tüm bu karmaşadan kurtularak ödeme sistemine dahil olup kısa sürede ödeme alabilmektedirler.
Peki Bu 3DSecure 2.0 Katmanları Kimler ? Nerdeler?
3DS Server: Üye işyerinden gelen bilgileri DS’in anlayacağı mesaj formatına dönüştürür ve ilgili DS’e iletir. Bu katman üye işyerinde olabildiği gibi tüm DS’leri tanımak zorunda olması bir yük olduğu için ortak bir yerde yani sanal pos’larda bulunması daha daha muhtemeldir.
DS(Directory Server): 3DSServer ile ACS arasındaki iletişimi sağlar. Kart şemasına(master/visa)/kart aralığına göre ilgili ACS’e yönlendirir. Şu an Türkiye’de DS bulunmamaktadır. Her ödeme işlemi(yurt içi ve yurt dışı) içinyurt dışındaki Master/Visa ait belli merkezlerdeki DS’lere gidilmektedir. Her işlem üzerinden belli bir komisyon alınmaktadır.
ACS(Access Control Server): Aslında bütün business kuralların işletildiği kısımdır. ACS katmanı Türkiye’de BKM(Bankalar Arası Kart Merkezi)’de bulunmaktadır.
3DSecure için BKM’deki ACS’e bir istek geldiğinde, kartın ait olduğu issuer bankanın seçtiği doğrulama yöntemi ile süreç işletilir ve işlem gerçekleştirilir. Aksi halde her bankanın ACS’i geliştirmesi ve entegre olması ve sertifikasyonu tamamlaması gerekmektedir.
Tamam 3 katmanın 2 tanesi bizde. Geriye kaldı DS(Directory Server).
Peki Ya DS’i de Türkiye’ye alırsak ?
Ne dedik her bir işlem için yurt dışındaki kart şemalarına(master/visa) ait olan DS’lere gidiyoruz. Hem de buna komisyon veriyoruz. Bizim yazdığımız DS’in global dünyaya master ve visanın izin vermeyeceğini düşünerek biraz kafa patlatalım! Bizim DS’in üzerinden geçebildiğimiz durumları (✓) leyelim.
— Yurt içi bir üye işyerinden alışveriş yaptığımız durumda üye işyeri ülkemizdeki DS’e gidecek ve o da BKM’deki ACS’e gidecek. (✓)
— Yurt dışı üye işyerlerinden alışveriş yaptığımız durumda global olan DS’e düşecek ve oradan kart aralığı BKM’ye ait olduğu için üzerindeki ACS’e gelecek. (x)
— Yurt dışı kart aralığına sahip bir kart ile Türkiye’deki bir üye işyerinden alışveriş yaptığıını varsayarsak, kart yurt dışındaki bir ACS’e ait olduğu için DS tarafından bunun yurt dışındaki ACS’e yönlendirilmesi gerekmektedir. Bu ayrımı ya 3DS Server ya da Türkiye’deki DS yönetmek etmek zorunda kalacaktır. (x)
Bu durumda aslında kendimize ait DS’imiz olduğunda, global olamasa bile en azından yurt içi ödemelerimizde master ve visa’ya komisyon parası ödememize gerek kalmayacak.
Umarım aklınızda ödeme dünyasına dair bir şeyler canlandırabilmişimdir :)
-Bu makale Fuat Buğra AYDIN tarafından Finartz için hazırlanmıştır.
