Strong Customer Authentication(Güçlü Müşteri Kimlik Doğrulaması) kısa adıyla SCA, elektronik ödemelere ve Açık bankacılık işlemlerine(Open Banking) ekstra güvenlik katmanları eklemeyi amaçlayan PSD2’nun yeni bir gerekliliğidir.
PSD2’nin tanımından kısaca bahsetmek gerekirse, Payment Service Directive, İngiltere ve Avrupa Birliği’nde 13 Ocak 2018 itibariyle kurumlar ve üçüncü parti servis sağlayıcılar arasında geliştirilecek yeni uygulamaların yöntem ve işleyişini belirleyen devrim niteliğindeki yasal altyapı kurallar bütünüdür.
Bu yazımızda SCA konusu üzerine eğilerek, bu yapıya entegre olan/olacak olan online ödeme dünyasını bekleyen konuları ve son kullanıcı olarak kart sahipleri tarafındaki deneyim ve etkileri üzerine konuşacağız.
Avrupa Birliği ve İngiltere’yi bağlayan(Türkiye için geçerli değildir.) bu direktifler(PSD2) 14 Eylül 2019 itibarıyla yürürlüğe koyduğu ve 14 Eylül 2021 son tarih olarak belirlediği kural olan Güçlü Müşteri Kimlik Doğrulaması (SCA), Avrupalı kart sahiplerinin online ödemeleri ve Open Banking(Daha sonra değineceğimiz bir konu) işlemlerini doğrulama yöntemlerinde değişiklik yapılmasını gerektiriyor.
Online kart ödemeleri ve Açık Bankacılık işlemleri için bu gereksinimler, hem işletmenin hem de kart sahibinin bankasının Avrupa Ekonomik Alanı’nda (EEA) bulunduğu işlemler için geçerlidir.
Kart ödemeleri, SCA gereksinimlerini karşılamak için farklı bir kullanıcı deneyimi gerektirmektedir.
Kart sahipleri ilk ödemelerde belirli tanımlamaları yapmaları gerekecektir.
PDS2’nun belirlediği tamamlanma tarihine kadar bankaların ve ödeme sistemi döngüsünde olan tüm paydaşların gerekli entegrasyonları yapması gerekmektedir. Aksi durumda eski yapıyla giden istekler bankalar tarafından reddedilmeye başlayacaktır. Online kartlı ödeme sistemlerinin en yaygın iki ödeme yöntemine baktığımızda, 3D Secure 1.0 ödeme ve none secure(OTP olmayan) ödeme dediğimiz yöntemlerle karşı karşıyayız. Kısaca 3D Secure ödeme yöntemi bilindiği gibi ödeme sırasında kart sahibinin bankasındaki kayıtlı cep telefonuna SMS ile gönderilen bir secure kod ve bu kodun doğru olarak girilmesiyle devam eden bir akış söz konusu.
3D Secure 1.0 dan Farkı Ne?
Bu yeni entegrasyon veya diğer bir değişle ödeme yöntemi SCA yapısı ile amaç dolandırıcılık işlemlerinin oldukça az seviye indirmeyi ve işlemlere daha güvenli devam edilmesini hedeflemektir.
SCA entegrasyon yapısı, hesabınıza erişim talep eden veya ödeme yapmaya çalışan kişinin siz veya onay verdiğiniz biri olduğundan emin olmayı amaçlar.
Ödemeyi yapan kart sahiplerinin kimliklerinin daha kapsamlı şekilde doğrulanacağı bu yapıda, aktif olarak banka sistemlerindeki kimlik veya yetkilendirme doğrulamalarınızda devreye girmektedir.
Bilindiği gibi genellikle ödeme sistemlerinde yapılan regülasyon değişiklikler kart sahiplerine pek etki ettiği söylenemez.
Ancak SCA ile Ödeme sistemi kartlı işlemler döngüsünde yer tüm taraflar, kart sahipleri dahil(ilk deneyim nedeniyle) bu yapıdan etkilenmektedir.
SCA entegrasyon yöntemine entegre olmuş bir online alışveriş sırasında ilk ödemede belirlenmiş bazı bilgileri, entegrasyon aracılığıyla kart sahibi bankasıyla paylaşmış olacak.
Bir kereye mahsus yapılan bu işlemin ardından daha sonra yapılacak ödeme adımlarında eğer banka gerekli görürse, kart sahibinden işleme devam edebilmesi için aşağıdaki üç doğrulama tipinden en az iki tanesini doğrulayarak alışverişe devam edebileceğini belirtecektir.
Diğer bir değişle 3D Secure entegrasyon yapısına benzeyen bir kurguyu kartınızın bankasının kontrolüne vermiş ve riskli bulunabilecek durumlarda artık tek adımda doğrulama yerine en az iki doğrulama adımının geçilmesi gerekecektir.
Kart sahiplerinin tanıtacağı bu bilgiler;
*Sadece kart sahibinin belirlediği statik bir şifre ya da pin bilgisi
*Kart sahibinin ödemeler için sahip olduğu telefon ya da donanım bilgisi
*Kart sahibinin sahip olduğu parmak izi ya da yüz taraması
Banka Risk Analizi
3D Secure yapısında bilindiği gibi “tam secure” doğrulamalar için her zaman bir SMS girme durumu söz konusudur.
Entegrasyon tipine göre değişiklik göstermekle birlikte bankalara veya ödeme sağlayıcıya, ilgili müşteri ödeme isteğini, SCA yöntemi döngüsüne alıp almayacağını belirlemek için gerçek zamanlı bir risk analizi yapmasına izin verilir. Analiz sonuçlarına göre belirlenen eşiklere göre son kullanıcı SCA yöntemine yönlendirir. Aksi durumda None-secure bir işlem gibi doğrudan ve hızlı bir şekilde ödeme yapılır. Eğer riskli olduğu halde bir işlem bu döngüye sokulmazsa ve bir fraud şikayeti ortaya çıkarsa tamamen banka sorumludur. 2019’da kullanıma sunulan kimlik doğrulama protokolünün yeni sürümü olan 3D Secure 2.0, online kart ödemelerini doğrulamak ve yeni SCA gereksinimlerini karşılamak için ana yöntem olacak. Bu yeni sürüm, kimlik doğrulamanın ödeme akışına eklediği bazı anlaşmazlıkları en aza indirmeye yardımcı olacak daha iyi bir kullanıcı deneyimi sunacağı beklenmektedir.
Her ne kadar ülkemiz Avrupa Birliği Üyesi olmadığı için PSD2 regülasyonuna bağlı kuralları karşılamak zorunda olmasa da gelişen ve hızla büyüyen Online Ödeme Sistemleri dünyamızda, bütün fikir ve öneriler çok değerlidir. Online ödemeler ve bu alandaki teknoloji, çözüm ve seçenekler geliştikçe, sistemi koruyabilme kaygısı o derece artmaktadır. Bu nedenle kural koyucular tarafından farklı çözüm önerileri ve alternatifler sürekli gündeme gelmektedir.
Thank You For Your Vote!
Sorry You have Already Voted!