İçindekiler

Bu yazımızda, hem son kullanıcı hem de üye işyeri tarafında gri bölgede kalan bir konu olan 3D Secure‘a ait detayları sizlerle paylaşacağız. İletişiminin oldukça hassas yapılması gereken “güvenlik” kavramını ele alırken öncelikle online dünyanın, offline dünyadan çok daha güvenli olduğunu hatırlatmakta fayda var. 

3D Secure Nedir?

Visa tarafından “Verified by Visa” ismiyle geliştirilen, daha sonra MasterCard’ın da “SecureCode” ile dahil olduğu sisteme ortak olarak 3D Secure ismi verilir. Türkiye’de 3D Secure isminin yanısıra bankaların bu sisteme verdiği Uluslararası Güvenlik Platformu, Maxinet, 3 Boyutlu Güvenlik Sistemi gibi isimler olsa da özünde hepsi aynı protokolü ifade eder.

3D Secure; internet üzerinden yapılan ödemelerde güvenliği bir boyut daha ileriye taşıyan; üye işyeri, banka ve kart sahibi arasındaki sorumlulukları düzenleyen bir platformdur. Kullanıcının kart bilgilerini girmesinden sonra bildiğimiz normal ödeme işleminin gerçekleşmesinden farklı olarak, ödeme esnasında kullanıcının kartının bankası tarafından ek bir ekran (browser redirection ile) gösterilerek kullanıcıdan kayıtlı cep telefonuna gelen SMS şifresi ve/veya CVC2 bilgisini girmesi istenir. Kullanıcıya SMS şifresi ve/veya CVC2 bilgisi de sorulduğu için kart sahibinin kimliği doğrulanır ve kartın sahibi dışındaki kişilerce kullanılmasının önüne geçilmiş olunur.

3D secure arayüzü

3D Secure’un Avantajları ve Dezavantajları Nelerdir?

3D Secure son kullanıcı açısından ek güvenlik önlemleri getirse de sanılanın aksine son kullanıcıdan ziyade üye işyerini korur. Son kullanıcılar özellikle güvenemediği websitelerde 3D Secure ile alışveriş yaptıklarında bankanın 3DS ekranlarında gördükleri, SMS şifresini ve/veya CVC2 kodunu girdikleri için kendilerini güvende hissederler. Üye işyeri açısından ise çalıntı kartların internet üzerinden kullanımını engellediği için ve işlemi yapan kişinin kart sahibinin kendisi olduğunu garanti altına aldıkları için üye işyerleri olası ters ibraz (chargeback) bildiriminden muaf olurlar. 

Hem son kullanıcı hem de üye işeri açısından dezavantajlarına gelince, işlem süresinin ve adımlarının uzamasından ötürü, 3DS’a kayıtlı banka/kullanıcı olmaması, kullanıcının 3DS şifresini, CVC2 kodunu yanlış girmesi, SMS şifresinin geç gelmesi, kullanıcının ekranı terketmesi, browser redirection problemleri vb. nedenleden ötürü üye işyeri ciro kaybeder. Genel olarak normal ödemelerin başarı oranı (başarılı ödeme sayısı / gelen toplam ödeme sayısı) %80-85 bandında gezerken, 3DS işlemler için bu oran %65-75 seviyelerindedir. 

3D Secure Seçeneği Sunmalı Mıyım? 3D Secure Kullanmalı Mıyım?

Son kullanıcının psikolojik bariyerini geçip güvenini kazanmak için üye işyeri olarak mutlaka 3DS seçeneğini sunmalısınız. Ayrıca banka kartları (debit kartlar) ve ön ödemeli kartlar (prepaid kartlar) ile ödeme almak istiyorsanız 3DS seçeneği sizin için vazgeçilmez hale geliyor. Zira debit ve prepaid kartlar ile 3DS olmayan normal ve taksitli ödeme yapılamaz, dolayısıyla bu kartları tanıyıp 3DS seçeneğini zorunlu kılıp, tek çekim olarak bankaya iletmeniz gelir. Ayrıca sahtecilik (fraud) riskinin yüksek olduğu cash-out (nakde çevirme) yapılması kolay olan veya yüksek ücretli ürün/hizmet grupları (online ürünler, kontör, altın, telefon, elektronik, uçak bileti …) satıyorsanız 3DS’u zorunlu tutmalısınız.

3D Secure Modelleri Nelerdir, Hangi Modeli Tercih Etmeliyim?

Üye işyeri tarafında 3D Secure entegrasyonu yaparken özetle 3 alternatifli model göreceksiniz. Bunlardan mutlaka ve mutlaka 3D Model‘i kullanmalısınız (gerekçelerini aşağıda bulabilirsiniz). Craftgate; triple-handshake (üçlü doğrulama, üye işyeri – craftgate – banka) sunar, mutlaka ve mutlaka sadece 3D modeli ile çalışır ve bu sayede askıda kalan sipariş, parası çekildi sipariş oluşmadı veya mükerrer para çekilmesi gibi problemleri yaşamazsınız. Craftgate ile 3D Secure ödeme alma API’sine buradan ulaşabilirsiniz.

e-ticaret ödeme arayüzü

3D Model

Kullanıcı kart bilgilerini üye işyerine girdikten sonra 3DS seçeneğini seçmişse, ödeme talebi önce 3DGate’e oradan da browser aracılığıyla ACS’a (Access Control Server) iletilir ve kullanıcının karşısına en üstteki gibi SMS şifresini ve/veya CVC2 numarasını gireceği bir ekran çıkar. Bu noktadan sonra kullanıcı SMS şifresini girip ilerlediğinde para çekilmeden işleme ait durum bilgisi (mdstatus değeri) üye işyerinin success veya fail urline browser redirection ile iletilir. Eğer işlem success url‘e gelmişse, işleme ait durum bilgisi kullanıcının bilgilerini doğru girdiğine işaret ediyorsa (mdstatus==1), bu kez paranın çekilmesi için son kontrollerinizi (Session timeout olmuş mu? Ürün hala satışta mı? Ürünün fiyatı değişmiş mi? Ürünün stoğu hala var mı? ..) yapıp, milisaniye düzeyinde browser redirection vs olmadan API call şeklinde ödeme işlemini tamamlayabilirsiniz. Bu noktaya kadar işlemler asenkron gibi çalışır, yani üye işyerinin web sitesinden çıkıp browserda bankanın ACS’a ait url’in görünmesinden tekrar üye işyerinin sitesine dönünceye kadar epey bir zaman geçecektir, bu süre zarfında kullanıcının oturumu sonlanacağı gibi, ürünün stoğu tükenmiş olabilir veya ürün satıştan kalmış olabilir. Bu modelin en büyük avantajı asenkron kısımdan senkron kısma dönerken, parayı çekmeden önce gerekli kontrolleri yapmanıza olanak sağlar, karşılıklı handshake mekanizması imkanı sunar.

3D Secure nasıl çalışır?

3D-PAY Model

SMS şifresinin girileceği bankanın ACS ekranına kadar herşey aynıdır, tek fark kullanıcı bu bilgileri girdikten hemen sonra para çekilir ve ardından üye işyerinin success url‘ine browser redirection yapılır. Uygulaması daha kolay olsa da para çekildikten sonra internet bağlantısının kopması veya üye işyerinde ürünün satıştan kaldırılmış olması, ürün fiyatının değişmiş olması, stoğunun bitmiş olması vb nedenlerle sipariş oluşturulamayabilir. Bu durumda kullanıcıdan para çekilmiş olmasına rağmen karşılığında bir hizmet olmadığı için hem kullanıcı, hem müşteri hizmetleriniz hem de teknik ve muhasebe birimleriniz mağdur olacaktır, manuel işlem yapmaları gerekecektir.

3D-PAY-OOS (3D-PAY-HOSTING) Model

Daha çok yazılım ekibi bulunmayan küçük firmalar için tercih edilebilir. Tüm ödeme sayfası tamamen banka tarafından host edilir, dolayısıyla üye işyerinde bir kartlı ödeme sayfası uygulaması yoktur, 3D-PAY Modeli gibi çalışır.

3D Secure Tam Doğrulama Nedir, Tercih Etmeli Miyim?

Tam doğrulama, kullanıcının 3DS ekranında cep telefonuna gelen SMS şifresini doğru girmesiyle üye işyerinin success url‘ine mdstatus değerinin 1 olarak yönlenmesi, yani herşeyin kuralına uygun olduğunun göstergesidir. Bu şekildeki 3D Secure ödemeler tam doğrulama ile gerçekleşmiş olur. Örneğin 3D Model’ini kullanıp tam doğrulamayı tercih ederseniz, ki en mükemmel olan ikili budur, FULL-3DS ödeme almış olursunuz ve bankaların olası chargeback taleplerini anında geri çevirebilirsiniz. 

Kullanıcının üye işyeri ödeme sayfasında kart bilgilerini girmesinden ve 3DS seçeneğini seçmesinden sonra bazen işlem ACS’dan direkt olarak, SMS şifresinin sorulduğu ekranı göstermeden, fail url’inize veya success url‘inize yönlenebilir. Bu iki durumda da mdstatus=1 dışında bir değer olduğu için tam doğrulama yapamazsınız. Eğer success url‘inize düşen mdstatus değeri 2, 3 veya 4 ise işleme 3DS’miş gibi devam edip ödeme alabilirsiniz, böylece yarım doğrulama yapmış olursunuz. Örneğin 3D Model’ini kullanıp yarım doğrulamayı tercih ederseniz, HALF-3DS ödeme almış olursunuz. Bu durumda herhangi bir chargeback talebinde gri bölgedesiniz demektir.

Banka ile anlaşmanıza göre yarım doğrulama da kullanabilirsiniz. Tüm mdstatus değerleri şu şekildedir:

  • [SUCESS_URL] [FULL] mdStatus = 1 : Tam doğrulama 
  • [SUCESS_URL] [HALF] mdStatus = 2 : Kart sahibi veya bankası sisteme kayıtlı değil
  • [SUCESS_URL] [HALF] mdStatus = 3 : Kartın bankası sisteme kayıtlı değil 
  • [SUCESS_URL] [HALF] mdStatus = 4 : Doğrulama denemesi, kart sahibi sisteme daha sonra kayıt olmayı seçmiş 
  • [FAIL_URL] – mdStatus = 5 : Doğrulama yapılamıyor
  • [FAIL_URL] – mdStatus = 6 : 3D Secure hatası
  • [FAIL_URL] – mdStatus = 7 : Sistem hatası
  • [FAIL_URL] – mdStatus = 8 : Bilinmeyen kart no
  • [FAIL_URL] – mdStatus = 0 : 3D Secure imzası geçersiz, doğrulama yapılamıyor, SMS şifresi yanlış veya kullanıcı iptal butonuna basmış

Referanslar

Yazar

    Kişisel verileriniz İnternet Sitesi Aydınlatma Metni kapsamında işlenmektedir.

      Your personal data is processed within the scope of the Clarification Text on Our Website.