Sanal POS uygulamaları ve çevrimiçi alışverişlerde sahtekarlığı önlemek için geliştirilen 3D Güvenlik modellerinin anlatımı.

1. Sanal POS Uygulamaları ve3D Güvenlik Modelleri Ali İNAL

2. Sanal POS Nedir? Sanal POS, kurumların, çalışmak istedikleri banka ile anlaşarak, internet üzerinden kredi kartı işlemlerini bankaya göndererek çevrimiçi alışveriş hizmeti sunabilmelerine olanak veren sistemlerin genel adıdır. Temelde sanal POS’lar üzerinden yapılan işlem, kullanıcının alışveriş bilgilerini, SSL üzerinden güvenli olarak banka sunucularına göndermek ve bankanın vereceği onay veya red cevabına göre kullanıcının sitedeki gezintisine devam etmesini sağlamaktır.

3. Sanal POS sistemlerinin geliştirildiği ilk dönemlerde, kredi kartı bilgilerinin güvenli şekilde bankalara ulaştırılması ve gerekiyorsa kredi kartlarının bilgilerinin depolanması tüccar siteye ait bir sorumluluktu. Bu modelde, özellikle yurtdışı alışverişe açık sistemlerde kötü niyetli işlemlere karşı doğrudan bir önlem almak mümkün değildi. Başkasının kredi kartı numarasını ve diğer gerekli bilgileri ele geçirmiş olan kişiler, rahatlıkla çevrimiçi alışveriş operasyonları gerçekleştirebilmekteydiler. 3D Güvenlik Nedir? (1/5)

4. Özellikle satılan değerin “hizmet” olduğu ve kredi kartı onayının verildiği anda müşterilere hizmetin sunulduğu sistemlerde (örneğin çevrimiçi abonelikler) tüccar firma sahtekar işlemi tespit etme şansından yoksundu ve çalıntı kartlarla işlemler yapılabilmekte ve bu işlemler iptal edilme noktasına gelindiğinde zararlı çıkan tüccar siteler olmaktaydı. Bankalar bu tip işlemlerin artmasıyla “chargeback” işlemlerini (özellikle uluslar arası alışverişlerde) her zaman kart sahibini haklı görecek şekilde kolaylaştırdılar. 3D Güvenlik Nedir? (2/5)

5. Diğer bir değişle, hizmet için gereken ücret kredi kartından tahsil edildikten sonra, kart sahibi bankasına itiraz ederek işlemin kendisine ait olmadığını belirttiğinde işlem tüccar firmaya sormaksızın iptal edilebilmekte ve ücret banka tarafından karta iade edilmekteydi. Gerçekten sahtekarlığa uğrayan kart hamillerinin mağduriyetini gideren bu uygulama, bir yandan da tüccar siteleri ciddi şekilde mağdur etmekteydi. 3D Güvenlik Nedir? (3/5)

6. Fiziksel POS makinesi kullanılarak yapılan işlemlerde bu tip sahtekarlıkların önüne geçmek için PIN uygulamasına bütün dünyada hızla geçiliyor. Şu anda geçişin %80 civarında tamamlandığı bilinmektedir. Fiziksel olarak kartın ibraz edilmediği alışverişlerde (card-absentoperations), önceki yansılarda bahsettiğimiz sahtekarlıkların önüne geçilebilmesi için fiziksel işlemlerdeki PIN uygulamasına benzer bir yapılanmaya gidildi ve bu yapılanmaya “3D Güvenlik” (3D Security) adı verildi. 3D Güvenlik Nedir? (4/5)

7. Artık çevrimiçi POS başvurularının neredeyse tamamı bankalar tarafından 3D güvenlik protokolü zorunluluğu ile verilmekte. 3D Güvenlik uygulamalarında, kart hamilleri, çevrimiçi alışveriş yaparlarken, aynen fiziksel işlem yapar gibi bir şifre girme zorunluluğundalar. Sonraki yansılarda anlatılacak özel yöntemlerle, işlemi yapan kişinin gerçekten kart sahibi olduğu, kartı veren banka tarafından onaylanmaktadır. 3D Güvenlik Nedir? (5/5)

8. 3D Güvenlik Öncesi Model (1/2) Kullanıcı, kredi kartı bilgilerini SSL ile güvenliği sağlanmış şekilde tüccar siteye ulaştırır. Tüccar site, yine SSL ile güvenliği sağlanmış bir şekilde kredi kartı bilgilerini sanal POS hizmetini veren bankaya ulaştırır. Bu işlem sırasında hizmeti veren bankanın sunduğu hizmet çeşitlerine göre farklı API’ler HTTP post-get yöntemleri vs. kullanılabilir. Banka, karttan işlem için kendi tarafında gerekli operasyonları gerçekleştirir. Başarılı veya başarısız olarak tüccar siteye bilgi gönderir. Tüccar site, bankadan aldığı işlem cevabını kullanıcısı ile paylaşarak, kullanıcıyı sisteminde uygun şekilde yönlendirir.

9. Bir önceki yansıda görüldüğü üzere, bu işlemde kredi kartının çalıntı olduğuna dair bankada herhangi bir bilgi yoksa, işlemi gerçekleştirenin kart sahibi olup olmadığına dair herhangi bir kontrol yapılmamaktadır. 3D güvenlik öncesi modelde tüccar site arzu ederse kredi kartı bilgilerini saklayabilmekte ve bununla daha sonra tekrar işlem yapabilmekteydi (özellikle süreli abonelik sağlayan sistemlerde). 3D güvenlik modelinde, kart bilgilerinin tüccar site tarafından saklanması bir anlam ifade etmemekle beraber tamamen yasaklanmıştır ve saklanması durumunda tüccar siteye ciddi yaptırımlar uygulanabilmektedir. 3D Güvenlik Öncesi Model (2/2)

10. 3D güvenlik modelinde, kullanıcı-tüccar site-banka(lar) arasındaki iletişim üç farklı metot ile yapılabilmektedir. Bu metotlardan birinin seçimi, bankanın onayı ile tüccar siteye bırakılmaktadır. 3D Alt modelleri; 3D Model 3D Pay Model 3D SP Model (SharedPayment Model) 3D Güvenlikte Model (1/2)

11. Bir önceki yansıda bahsedilen üç alt model için de akış diyagramları birbirinden farklı olmakla beraber mantık aynıdır. Kredi kartından ücret tahsilatı öncesinde, kullanıcı, kendine özel belirleyeceği bir şifreyi girerek kartın kendisine ait olduğunu ispatlamalıdır. Bahsi geçen “şifre” her kart için tanımlanmaktadır ve ilk kullanımda oluşturularak daha sonra aynı şifre ile işlem yapılmaktadır. Buradaki bir diğer önemli nokta, şifre validasyonunun, sanal POS hizmetini sağlayan banka tarafından değil, kredi kartını veren banka tarafından yapılmasıdır. 3D Güvenlikte Model (2/2)

12. 3D Model: Tüccar site kredi kartı bilgilerini alır, önce 3D doğrulamasını yapar, daha sonra ücret tahsilatını gerçekleştirir. Tüccar site için SSL sertifikası gerekir. 3D Pay Model: Tüccar site kredi kartı bilgilerini alır, bankaya gönderir. Banka önce 3D doğrulamasını daha sonra başarılıysa ücret tahsilatını yapar, iki sonucu beraber siteye gönderir. Tüccar site için SSL sertifikası gerekir. 3D SP Model: Tüccar site, sadece ödeme tutarını bankaya bildirir, kart bilgilerini almaz. Kart bilgilerini sanal POS bankası kullanıcıdan alır, daha sonra 3D doğrulamasını tamamlar son olarak başarılıysa ücret tahsilatını da yapar ve iki sonucu beraber siteye gönderir. Tüccar site için SSL sertifikası gerekmez. 3D Alt Modeller

13. 3D Model Kullanıcı kredi kartı bilgilerini siteye gönderir. Site, sanal POS bankasının 3D güvenlik kapısına kart bilgilerini gönderir. 3D güvenlik kapısı, müşterinin kartını veren banka ile irtibata geçerek, 3D onaylaması için kullanıcıyı onlara ait ekrana yönlendirir. Kullanıcı şifresini kendi bankasına gönderir. Banka, 3D onay sonucunu 3D güvenlik kapısına gönderir. 3D güvenlik kapısı, 3D onay sonucunu siteye döndürür. 3D onayı başarısızsa site 7 ve 8. adımları gerçeklemez 9 adıma geçerek olumsuz sonucu kullanıcıya bildiri.3D onayı başarılıysa, tüccar site aldığı kredi kartı bilgilerini ve 3D onayını bu sefer sanal POS bankasının ödeme kapısına gönderir. Sanal POS ödeme kapısı ödeme işlemi sonucunu siteye döndürür. Site işlem sonucunu kullanıcıya bildirir.

14. 3D Pay Model Kullanıcı kredi kartı bilgilerini siteye gönderir. Site, sanal POS bankasının 3D güvenlik kapısına kart bilgilerini gönderir. 3D güvenlik kapısı, müşterinin kartını veren banka ile irtibata geçerek, 3D onaylaması için kullanıcıyı onlara ait ekrana yönlendirir. Kullanıcı şifresini kendi bankasına gönderir. Banka, 3D onay sonucunu 3D güvenlik kapısına gönderir. 3D güvenlik kapısı, 3D onayı başarılıysa, kredi kartı bilgilerini ve 3D onayını ödeme kapısına gönderir. Sanal POS ödeme kapısı ödeme işlemi sonucunu siteye döndürür. Site işlem sonucunu kullanıcıya bildirir.

15. 3D SP Model Kullanıcı kredi kartı bilgilerini doğrudan Sanal POS Bankasının 3D güvenlik kapısına gönderir. 3D güvenlik kapısı, müşterinin kartını veren banka ile irtibata geçerek, 3D onaylaması için kullanıcıyı onlara ait ekrana yönlendirir. Kullanıcı şifresini kendi bankasına gönderir. Banka, 3D onay sonucunu 3D güvenlik kapısına gönderir. 3D güvenlik kapısı, 3D onayı başarılıysa, kredi kartı bilgilerini ve 3D onayını ödeme kapısına gönderir. Sanal POS ödeme kapısı ödeme işlemi sonucunu siteye döndürür. Site işlem sonucunu kullanıcıya bildirir.

16. Model Karşılaştırma (1/2)

17. Model Karşılaştırma (2/2) Bir önceki yansıdaki farkları özetlersek; 3D öncesi model ile, 3D Model arasındaki fark, araya tüccar site tarafından gerçekleştirilen 3D onayının yerleştirilmesidir. 3D Model ile 3D Pay Model arasındaki fark, 3D onayı sonucunun banka tarafından değerlendirilmesi ve sonrasında tahsilat talebinin kendi içinde banka tarafından gerçekleştirilmesidir. 3D Pay Model ile 3D SP Model arasındaki fark, kredi kartı bilgilerinin önce tüccar siteye sonra bankaya değil, doğrudan bankaya gönderilmesidir. Bu sebeple tüccar site SSL sertifikasına sahip olmak zorunda değildir.

18. 3D Modellerinin Artıları-Eksileri

19. Çevrimiçi alışveriş potansiyelinin artması ile bu platformlar üzerinde gerçekleşen sahtekarlıkların artması, bankaları farklı metotlar geliştirmeye yöneltmektedir. 3D güvenlik, bir önceki yansıda belirtilen artılar ve eksiler açısından değerlendirildiğinde, ilk yatırım maliyetini arttırması, sanal POS’ların alınmasında zorluklar çıkarılması sebebiyle normal şartlar altında dezavantaj sağlar gibi görünebilmektedir. Ancak sistem üzerinden gerçekleşmesi olası sahtekarlıkların yaratabileceği potansiyel maddi kayıplar ile beraber değerlendirildiğinde karşılanabilecek seviyededir. Sonuç (1/2)

20. Şu anda bankalar, önceden sanal POS hizmeti almaya başlamış tüccar sitelerin yapılarını değiştirmesini beklememektedir. Ancak bilinen planlar dahilinde bu geçişler de uzun vadede zorunlu hale getirilecektir. Firmalar, müşterilerine hazırladıkları sistemleri başka sebeplerle güncelliyorlarsa, geçiş gerektiği zaman zorlanmamak adına şimdiden 3D uygulamasına başlayabilirler. Bankalar bu konuda yardımcı olmaktalar. Sonuç (2/2)

21. Ali İNAL 03.12.2009 Güvenli alışverişler!