Bu yazı 30 Haziran 2011 tarihinde Eticaret MAG’de yayınlanmıştır.
Çeşitli yöntemlerle, özellikle fiziksel yollardan ele geçirilen kredi kartı bilgilerinin Fraud işlemler gönderilerek sınandığı ortam; bankalar tarafından Üye İşyerlerine sağlanan “Sanal Pos” altyapıları olur.
Online ödeme altyapısı kullanan Üye İşyerleri gerçekleşen transaction’ları detaylı analiz ederek, çeşitli parametrik değerlerle süzmezler ise; charge-back riski ile karşı karşıya kalacakları gibi, kredi kartı ekstresinde bu hareketleri fark eden tüketiciler tarafında da itibar kaybı söz konusu olur.
Öncelikle; gerçekleşen işlemler müşteri doğrulanarak “güvenli” statüsüne çekilene kadar ön otorizasyonlu “PreAuth” olarak Sanal Pos’lara gönderilmelidir. PreAuth’u açıklamak gerekirse; kısaca kredi kartına borç geçmeden, kart limitine bloke konulması olarak değerlendirebiliriz.
Bu tip işlemlerde muhasebeleşen bir tutar olmadığı için; kredi kartı ekstresinde de haraket olmayacak, işlem gerçekten kart sahibine ait değilse charge-back riski doğmayacaktır. İşlemin kart sahibine ait olmadığının tespit edilmesi durumunda açık provizyonda bekleyen tutar kolaylıkla “iptal” edilebilir.
Özellikle stoksuz, tedarik usulu ile çalışılan modellerde müşteri tarafından ödemesi yapılan sepetin tamamının tedarik edilememe olasılığı büyüktur. Bu tip durumlarda da kredi kartında gereksiz harekete sebebiyet vermeden, işlemler ön otorizasyonlu olarak alınıp, sepetin tedariğinin ardından açıkta bekleyen tutarın istenilen oranda muhasebeleştirilmesi sağlanabilir (Sepetteki 5 ürünün 2’sinin tedarik edilebilmesi durumu). Birçok büyük B2C bu yöntemle faaliyetine devam etmektedir.
Üyelerin gri, beyaz ve kara liste şeklinde 3 farklı grup altında takip edilmesi, kart doğrulama ile uğraşan operasyonel ekibin yükünü hafifletecektir. Kartı bir kere doğrulanan müşteri için alışveriş tutarı geçmişe dönük siparişlerinin çok üzerinde değilse PreAuth yerine Auth, yani direk satış işlemi gönderilebilir.
Örneğin; ortalama 100 TL sipariş veren sadık bir kullanıcı, bir sepette 3.000 YTL’lik sipariş gönderiyorsa bu siparişin fraud kontrolünden geçmesi gerekmektedir. Daha önce 3D Secure doğrulama yöntemi ile kartını doğrulayan müşterilerin de beyaz listeye alınması, daha hızlı ve az maliyetli bir doğrulama yöntemine tabi tutulması operasyonu hafifletecektir.
Üye İşyerleri bankalardan kart sahibi doğrulatabilir mi?
Kart doğrulama ile ilgili bankadan bankaya değişen birimler ile irtibata geçilebilir. Belirli tutarların üzerinde kalan siparişlerde bankaların operasyon merkezleri tarafından kart doğrulama hizmeti verilmektedir. Bu işlemler için transaction’a ait verileri bir mail ile ilgililere göndermeniz istenir (Provizyon numarası, tutar, kart sahibi adı vb.).
Banka kart sahibi ile irtibata geçerek sipariş doğruluğunu onaylar ve Üye İşyerine bilgi verir. Onayı alan Üye İşyeri, PreAuth olarak gerçekleşen işlemi onaylayarak muhasebeleşmesini sağlar. Artık siparişe ilişkin tutarlar kart dönem içi işlemlerine yansımıştır.
Benim de proje yöneticisi olduğum ve Türkiye’de yeni kullanılmaya başlanan alternatif doğrulama yöntemleri bir sonraki yazının konusu
Fraud Kontrolleri;
Unutulmaması gereken; faaliyetine yeni başlayan bir Elektronik Ticaret işletmesinin kötü niyetli kullanıcıların hedefi olacağıdır. Bu sitelerin müşteri veritabanları henüz oluşmadığından, çeşitli açıkları oldukları varsayılır. Sektöre yeni giren start-up’ların bir müddet yüksek maliyetli reklamlar yapmak yerine, altyapıyı gözlemlemesi ve 3D Secure doğrulama yöntemi ile yola devam etmesi gerekebilir (Özellikle kolay paraya çevrilebilen ürünler satılıyor ise).
Dikkat edilmesi gereken birkaç nokta;
- Aynı IP’den birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı verilmelidir. Kredi kartı bilgisi ele geçiren kullanıcı, kartlarının hepsini denemek isteyecektir.
- Aynı üyelik ile birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir.
- Aynı kart numarası ile birden fazla işlem gönderilmesi durumu (aynı gün, hafta, ay) incelenmeli. Müşteri geçmişi, sepet ortalaması ile birlikte gözlemlenmelidir.
- Hata alan işlemlerin hata açıklamaları incelenmelidir. Sanal Pos’ta onay mesajı “00″ ile ifade edilir. 01′den 99′a kadar alınan mesajlar hata açıklamalarını ifade etmektedir. “51″ gayet masum bir limit yetersiz hatasıyken, “82″ hatalı CVV anlamına gelmekedir. 41 ve 43 no’lu hatalar Çalıntı kartları ifade etmektedir. Dolayısıyla bu hata mesajlarını alan işlemler, IP, üyelik, kredi kartı numarası takip edilmeli, çeşitli uyarılar ile desteklenmelidir. Üst üste kayıp/çalıntı kart hatası alan bir müşterinizden yakın zamanda bir fraud işlem bekleyebilirsiniz.
- Anlamsız ve ücretsiz mail adresleri fraud habercisi olabilir. Sipariş öncesi müşteri mail adresi doğrulanmalıdır. Üye girişi gerekmeksizin sipariş sonlandıran web siteleri oluşabilecek know-how’ın da önünü kapamış olacaktır.
- Aynı kredi kartı ile çok düşük tutarlı bir kaç farklı sipariş, kartın limiti olup olmadığının test edilmesi anlamına gelmektedir. Gerçek bir kullanıcı hepsini aynı sepette alarak tek bir kargo ücreti ödemek isteyecektir. Bu tip işlemler yüksek miktarda gelecek fraud provizyonun habercisidir.
Bu örnekleri çoğaltmak mümkün, sektörden sektöre değişen farklı fraud senaryoları halen birçok elektronik ticaret işletmesinin ciddi bir gider kalemini oluşturur.