Online alışverişlerde kart dolandırıcılığına karşı geliştirilen 3D Secure sistemin amacı, devreye ikinci bir güvenlik aşaması sokarak, ödemenin bizzat kart sahibi tarafından yapıldığını doğrulamaktır.

Online alışveriş sayesinde, beğendiğimiz ürünü günün herhangi bir saatinde ekran başından satın alabilme kolaylığı ile tanıştık. Ancak bu rahatlık , bir başka bir sıkıntıyı hayatımıza soktu; online dolandırıcılık.

Dünyada bugün gerçekleşen her 60 online ödeme işleminden birinde dolandırıcılık yapıldığı iddia ediliyor. Bu da online alışverişler için güvenliğin ne kadar önemli olduğunu ortaya koyuyor.

Online dolandırıcılığının önüne geçebilmek için yıllardır çok sayıda güvenlik sistemi üzerinde çalışılıyor. Bunların içinde şüphesiz en önemlisi, “3D Secure” adı verilen güvenlik sistemi. 15 yıl önce kredi kartı ağ işleticisi Visa tarafından geliştirilen “3DS”, ya da açık haliyle, “3 Domain Secure” protokolü, mağaza alışverişlerinde kullanılan kart şifre teknolojisinin online alışverişlere uyarlanmış hali olarak açıklanabilir. Başka bir ifadeyle de, mağazada fiziksel POS cihazlarına şifre girilerek yapılan ödeme işleminin, online alışverişlerdeki sanal POS’larda kullanım şekli.

Burada “Domain”le ya da Türkçesi ile “Alan Adı” ile kastedilen üç aktör; kartı veren finansal kuruluş, kart kullanıcısı müşteri ve ödemeyi alan satıcıdır. “3 Domain Secure” protokolünün amacı, finansal kuruluşun müşterinin gerçek kart kullanıcısı olduğunu doğrulamasıdır. Bunun için online alışverişte ödeme işleminin tamamlanması için, ekranda bir ödeme penceresi açılır ve kart kullanıcısının finansal kuruluşa tanımladığı cep telefonuna bir şifre gönderilir. Kart kullanıcısı, açılan penceredeki forma, bu şifreyi girer, böylece banka onun gerçek kart sahibi olduğunu doğrulayarak ödemeye onay verir. Yani, 3D Secure, online alışverişte, ödeme sürecine ikinci bir güvenlik aşaması getirerek dolandırıcılığı önlemeyi hedeflemektedir.

Firmaları harcama itirazlarına karşı koruyan bir sistem

İnternet üzerinden kart ile ödeme alan firmaları, bankalarla karşı karşıya getiren sorunların başında, çalıntı kartlarla yapılan alışverişler ve kart sahibinin “harcama itirazları (chargeback)” gelmektedir. İtirazlar ya da çalıntı kartlarla yapılan ödeme sayısı arttıkça, bankalar kullanımına izin verdikleri sanal posları iptal etme ya da firmanın sanal pos ve hesaptaki paralarını dondurma işlemine gitmektedirler.

3D Secure sisteminde, telefona gönderilen şifre sayesinde, ödeme yapıldığı sırada kartın kart sahibi tarafından kullanılmış olduğu belgelendiği için, kart sahibinin dolandırıcılığa maruz kaldığı iddiasıyla “harcama itirazı” hakkı ortadan kalkmaktadır. Kart sahibi ile satıcı arasında ödeme konusunda çıkacak bir anlaşmazlıkta, uluslararası kart kuruluşlarının kuralları ve kanunlar, satıcıya ispat yükümlülüğü getirmektedir. Bu yükümlülükten kurtarması sebebiyle, 3D Secure güvenlik protokolü, satıcıyı koruyan bir sistemdir.

Ancak unutulmamalıdır ki, dolandırıcılar da güvenlik sistemlerindeki açıkları bulmak üzere çalışmaktadırlar. Bugün online dolandırıcılar, telefona gönderilen tek kullanımlık şifreler için de çözümler üretebilmektedirler. Dolandırıcılar, kredi kartını çalarak, numarasını, son kullanım tarihini ve CVC güvenlik kodunu ele geçirebildikleri gibi, telefon numaralarına da ulaşabiliyor ve bunu türlü yollarla kendilerine yönlendirebiliyorlar.

3D Secure 2.0 yolda

İşte bu nedenlerle, 3D Secure sisteminin daha da güvenli hale getirilmesi için çalışılıyor. Yakında piyasaya çıkması beklenen yeni versiyonun, mobil uygulamalar ve dijital cüzdanlarla uyumlu olması da hedefleniyor. Ayrıca 3DS 2.0’da, ödeme ekranının kullanılmaması, böylece ödeme için bir adımın ortadan kaldırılması amaçlanıyor. Ekran ve şifre uygulaması yerine parmak izi, yüz okuma gibi biometrik doğrulama yöntemlerinin kullanılması gündemde.

Tabii ki, bütün bu önlemler de kart dolandırıcılığını sıfırlayamayacak, ancak en azından sistemde ortaya çıkan bazı zaafları ortadan kaldırarak, dolandırıcılık çabalarını minimuma indirecek

Moka e-bülten üyeliği ile yeniliklerimizden haberdar olun.

Email adresinizi girerek e-bülten aboneliğinizi başlatabilirsiniz.