Bu yazımızda sizlere sürekli uygulanabilirliğini düşündüğümüz bir güvenlik çözümünden bahsedeceğim.

Listeler (Onay, Red, Kontrol)
Herhangi bir dolandırıcılık koruma sistemini konuştuğumuzda bu 3 listenin uygulanabilir olması önemlidir. Eğer bugün herhangi bir koruma sisteminiz yok ise bu listeleri oluşturarak işe başlayabilirsiniz. Bu listelerin faydası, sipariş kontrol aşaması, ödemenin komisyonu ve yapılabilecek telefon araması masrafından sizi kurtarmasıdır. Listelerin oluşturulması son 1 yıllık veri üzerinden yapılabilir. Eğer Onay içerisinde bir sipariş ulaşırsa, işleme devam, Kontrol içerisinde ise, işlemi inceleme, Red listesi içerisinde ise işlemi reddetme kararı verebilirsiniz.
İç Kurallar
İç kurallar e-ticaret veya ödeme hizmeti aldığınız firmanın altyapısına gömülmüş kurallardır(siz istemeseniz de). Bir kaç yöntem ve sezgiler ile oluşturulur. Riskli işlemleri bulmak için Evet/Hayır tipinde sorulardan oluşan bir anketi cevaplamak gibidir. Zaman kaybına neden olan sipariş kontrollerinin çoğu iç kurala dönüştürülebilir. Bakımlarının belirli periyotlar ile yapılması gerekir. Bir kaç farklı kural seti kullanıyor iseniz veya kontrolünüz dışında kurallar uygulanır ise çakışmamasına dikkat etmelisiniz. El ile incelemeye ek olarak hız kontrolleri, makine öğrenmesi olarak bu listeye devam edebiliriz ancak burada durup listeleri ve iç kuralları ne kadar verimli kontrol ettiğimiz üzerine düşünelim.
Bağımsız Liste ve Kural Kontrolü
Çoğu zaman ödeme entegrasyonlarında alınan veriler ödeme hizmet sağlayıcı firmalar veya bankalar ile paylaşılmaz. Bu noktadan yola çıkarak kapsayıcı bir liste kontrolü ve iç kural seti oluşturduk. Üye iş yerinin servis ile paylaşacağı 5 adet bilgi için herhangi bir kayıt(log) tutmadık ve panel oluşturmadık. Basit olmasına özen gösterdik.
Kontrol edilmesini istediğiniz ödemeye ait küçük veri setimiz aşağıdaki gibi;
-BIN/IIN numarası, (Kartın ilk 6 veya 8 hanesi)
-Tutar, (Sitede satılan ürünler baz alınarak kontrole girecek sipariş tutarı)
-Para Birimi, (Sipariş üzerindeki para birimi)
-İp Adresi, (Siparişin verildiği cihazın ip adresi)
-Email uzantısı, (gmail, hotmail, yahoo..vb)
Ödemenizi, buradaki 5 bilgiyi temel alıp oluşturulan liste ve kurallara ulaştırabilmek için aşağıdaki isteği sipariş öncesi veya sonrası çalıştırabilirsiniz.
curl -X GET \
https://pm18g7bj98.execute-api.eu-central-1.amazonaws.com/api/fraud/65005601/92099/TRY/192168001002/gmail \
-H ‘Accept: application/json’ \
-H ‘x-api-key: itRY0IcFJJ4J0Va71uSMG2Op3nBx5j8i7t3DTDEP’
Sonuç olarak ise servisimizin yanıtı şu şekilde oluyor.*
{“check_result”: “review”}
Sonuç
Peki bunu nasıl başarıyoruz? 5 parça bilgiyi 12 farklı listede kontrol edip, detaylı BIN/IP servisleri sayesinde bilgileri zenginleştiriyor ve iş modeline uygun hazırlanmış kurallardan geçiriyoruz. Bunun sonucunda riskli işlemleri yanıt olarak hazırlıyoruz. Dikkatinizi çekti ise henüz kategori bazlı, adrese dayalı, davranışa dayalı bir kontrol uygulamadık. Elimizdeki olabilecek en düşük veri seti ile sadece basit bir başlangıç yaptık. Ana işi dijital ödemelerde koruma sağlamak olan bir firmanın, kendi alanlarında güvenliklerini artırırken iş yükünü azaltmak isteyen üye iş yerlerine bu servis sayesinde faydalı olabileceğini düşünüyorum.
Bu servisi kullanmak isterseniz kartliodemeler@gmail.com adresine sitenizin adresini içeren bir mail göndermeniz yeterli. Merak edenler için servisi Python Serverless Microframework’u olan Chalice ile geliştirdik. (AWS Lambda Free tierdeyiz 😊)
*Test anahtarı tüm kurallara erişmemektedir.

