Öncelikle; Charge-back kurallarını okumanızı öneririm… Kısaca; bankaların uymak zorunda oldukları ve kart sahibi kuruluşlara ait kurallar derki; alışveriş esnasında, kartın fiziksel olarak ortamda bulunmadığı “Card Not Present” işlemlerde, kart sahibi, “bu işlemi ben yapmadım” itiraz kodu ile bankasına ulaşırsa; kart sahibi haklıdır… Bir diğer itiraz kodu da “bu ürün veya hizmeti alamadım” şeklindedir. İnternet üzerinden sipariş ettiğiniz bir ürünün elinize ulaşmaması olarak düşünebilirsiniz.

Chip&Pin’e geçişle birlikte, fiziksel dünyada yaşanan fraud’un çok büyük bir bölümü online ortama taşınmış ve üye işyerleri ile birlikte işyerlerine kefil olan şubelerin riskleri artmıştır. Özellikle 2007-2008 yıllarında batan, kötü niyetle üye işyerini kapatıp giden birçok Sanal işyerinin yaşadığı tüm charge-back’ler şubeleri tarafından karşılanmıştır. Kart sahibi tarafından charge-back başvurusu geldiğinde; üye işyeri ile bir takım evraklar paylaşılır ve delilleri kart sahibi bankaya göndermesi istenir. Eğer üye işyeri faaliyetine devam etmiyorsa veya hesaplarında ilgili meblağların karşılığı yoksa; tüm tutarı bağlı bulunduğu şubesi ödemek zorundadır.

İşte bu yüzdendir ki, bir firmaya düşük valörlü (3 gün, 5 gün vb.) Sanal POS hizmetini tanımlamak, limitsiz kredi tanımlamak ile eşdeğerdir. Kart sahibinin charge-back başvuru hakkının 4 ay olduğunu düşünürseniz riskin ne kadar büyüyebileceğini de görmüş olursunuz.

Mevcut durumda “bu işlemi ben yapmadım” itirazının önüne geçebilmenin tek yolu, 3D Secure ürünün Full Secure yönteminin üye işyeri tarafında uygulanması, 3D Full Secure gerçekleşen işlemler için; “ürün hizmeti almadım” itiraz hakkı devam etse de üye işyeri ve şube tarafından kolay kanıtlanabilir bir olgudur bu.  Bu yüzden bankaların birçok sektörde 3D Secure ürününü zorunlu tuttuğunu görürsünüz.  Örnek olarak; Charge-back riski yüksek olan, domain-hosting satışları, arkadaşlık siteleri, kontör ve altın satışını verebilirim.

Diğer taraftan bankaların daha kolay Sanal POS vermeye yönelik çalışmaları var. Her ne olursa olsun bağlı bulundukları kart sahibi kuruluş kurallarını unutmamak gerekiyor.

Bu yüzdendir ki; Türkiye’de alternatif ödeme sistemlerinin hızlı gelişimini heyecanla takip ediyorum. Eksikleri olmasına rağmen mikro ödeme hızla yayılıyor. Keza 2010’un ilk çeyreğinde bankalar ile anlaşarak Paypal’da “TL” ödeme kabul etmeye başlıyor olacak, Türkiye’ye yeni giriş yapan ve birçok ülkede aktif kullanılan PayU ile de  taksit yapabilir tüm banka sanal pos’larını hemen kullanmaya başlamak mümkün. Bu gelişmeler e-ticaret pazarını hızla büyütüyor olacak, özelikle Sanal POS alamayan firmaların alternatif yöntemler ile ödeme kabul etmeleri, bir zaman sonra bankalardan Sanal POS alabilecek kredibiliteye ulaşmaları yeni oyuncuları da beraberinde getiriyor olacak,

]]> http://www.emreguzer.com/index.php/2008/11/12/ip-kredi-karti-uyelik-kontrolu/feed/ 2 http://www.emreguzer.com/index.php/2008/11/12/eticaret-islemleri-tablolama-yapisi/ http://www.emreguzer.com/index.php/2008/11/12/eticaret-islemleri-tablolama-yapisi/#comments Wed, 12 Nov 2008 07:00:45 +0000 Y.Emre http://www.emreguzer.com/?p=401 İnternet üzerinden gerçekleşen işlemlerde dikkat edilmesi gereken birkaç noktayı burada belirtmiştim. Sanal Pos altyapısı kullanan firmaların gerçekleşen ya da gerçekleşmeyen işlemler için “belirledikleri kriterleri” sağlayan tabloları güvenlik nedeniyle kayıt altına alıyor olmaları, fraud riskine karşı hızlı aksiyon alabilmelerini sağlayacaktır.

Aşağıda çıkardığım bir örneği bularak çeşitlendirebilirsiniz.

Herhangi bir mağazanın POS cihazından debit kartla ödeme yapmak yerine, önce bir banka ATM’i arıyor, para çekiyor ve mağazaya gidiyoruz. Halbuki debit kartlar oldukça güvenli birer ödeme aracı olarak kullanılabilir.

Dikkatimi çeken bir diğer durum bu kartların İnternet üzerinden kullanım oranları; bu oranlar online ödeme altyapısı kullanan firmalar ile debit kart sahibi kullanıcıların konuyla ile ilgili yeteri kadar bilgi sahibi olmadığını doğrular nitelikte,

Online ödeme altyapısı kullanan işyerleri tarafından baktığımızda; kredi kartı olmayan, kredi kartı olmasına rağmen internet üzerinden kredi kartı bilgilerini vermekten korkan potansiyel bir alıcı kitlesi mevcut,  sitede, “ilgili sayfalarda” debit kartlar ile ödeme yapılabileceğinin duyurulması işyeri cirolarını artıracaktır.

Debit kart sahipleri tarafından baktığımızda; kredi kartı kullanmıyor olsa bile debit kart bilgileri ile (kart numarası, güvenlik numarası, son kullanma tarihi) hızlı ve kolay bir şekilde ödeme yapabilecektir.

Burada online ödeme altyapısı kullanan Üye İşyerlerinin dikkat etmesi  gerekenler;

1.       Debit kartlar sadece bağlı bulundukları bankanın sanal pos’ları üzerinden provizyon alabilir. Üye işyerleri tarafından bin numarası kontrolü yapılarak ilgili bankanın Sanal Pos’una yönlendirilmeli

2.       Debit kartlar ile ön otorizasyonlu satış yapılamaz. Direk satış işlemi gönderilmeli

3.       Sanal Pos yönetim ekranlarında yer alan “iade” fonksiyonu kullanılamaz.

Debit kart cirolarının internet üzerine kaydırılmasının E-ticaret pazarına direk etki edeceğini düşünüyorum.

Siparişler mesai saati ile birlikte artmaya başlayarak yine mesai saati bitimi olan 18:00 – 19:00′a kadar sürüyor. Bu bağlamda yoğunluğu işyerlerinden verilen siparişlerin oluşturduğunu söyleyebiliriz.

Genel kanı en yoğun saatlerin 09:00-11:00 aralığı olduğunu söylüyor olsa da, en yoğun saatler 14:00 – 15:00 ve 16:00 olarak göze çarpıyor. Öğle yemeklerinde yapılan hararetli sohbetlerin dolayısıyla WOMM’un satın alma davranışını tetiklediğini düşünüyorum.

Bu arada sabah saatlerinde verilen siparişlerin o gün içerisinde B2C’ler tarafından lojistik firmalarana teslim edilebiliritesi daha yüksektir. Belirli bir saatten sonra gelen siparişleri bir sonraki takip eden günün akşamı kargoya teslim ederler. Bu bağlamda siparişlerin sabah saatlerine kaydırılarak teslimat süresinin azaltılmasına ilişkin kampanyalar düzenlenebilir.

Ekleme; Sanal Poslar üzerinden gerçekleşen işlemler içinde fiziksel poslarda olduğu gibi “gün sonu” işlemi mevcuttur. Gün sonu saati sistem tarafından otomatik olarak alınmakta ve bankadan bankaya değişiklik göstermektedir. Örn; Garanti Bankası Sanal Pos’ları her gün 20:00′de gün sonu alarak o güne ait işlemleri kapatır. O gün içerisinde 20:00′den sonra gerçekleşen tüm siparişleri bir gün sonra 20:00′de muhasebeleştirilecek ve kredi kartı dönem içi işlemlerine yansıtılacaktır.

Bu konuyla ilgili bir kaç ipucu vermek istiyorum.

Öncelikle; Gerçekleşen işlemler, müşteri doğrulanarak “güvenli” statüsüne çekilene kadar “PreAuth” olarak Sanal Pos’a gönderilmelidir. PreAuth’u( Ön otorizasyonlu) açıklamak gerekirse; kısaca kredi kartına borç geçmeden, kart limitine bloke konulması olarak değerlendirebiliriz. Bu tip işlemlerde muhasebeleşen bir tutar olmadığı için; kredi kartı ekstresinde de haraket olmayacak, işlem gerçekten kart sahibine ait değilse charge-back riski doğmayacaktır. İşlemin kart sahibine ait olmadığının tespit edilmesi durumunda açık provizyonda bekleyen tutar kolaylıkla “iptal” edilebilir.

Üyelerin gri, beyaz ve kara liste şeklinde 3 farklı grup altında takip edilmesi, kart doğrulama ile uğraşan operasyonel ekibin yükünü hafifletecektir. Kartı bir kere doğrulanan müşteri için alışveriş tutarı geçmişe dönük siparişlerinin çok üzerinde değilse PreAuth yerine Auth, yani direk satış işlemi gönderilebilir. Örn; ortalama 100 YTL sipariş veren sadık bir kullanıcı, bir sepette 3.000 YTL’lik sipariş gönderiyorsa bu siparişin fraud kontrolünden geçmesi gerekmektedir.

Üye İşyerleri bankalardan kart sahibi doğrulatabilir mi?

Kart doğrulama ile ilgili bankadan bankaya değişen birimler ile irtibata geçilebilir… Belirli tutarların üzerinde kalan siparişlerde bankaların operasyon merkezleri tarafından kart doğrulama hizmeti verilmektedir. Bu işlemler için transaction’a ait verileri bir mail ile ilgililere göndermeniz istenir. (provizyon numarası, tutar, kart sahibi adı vb.) banka kart sahibi ile irtibata geçerek sipariş doğruluğunu onaylar ve Üye İşyerine bilgi verir. Onayı alan Üye İşyeri PreAuth olarak gerçekleşen işlemi onaylayarak muhasebeleşmesini sağlar. Artık siparişe ilişkin tutarlar kart dönem içi işlemlerine yansımıştır.

Fraud Kontrolleri;

Unutulmaması gereken; yeni açılan Sanal Pos kullanıcı Üye İşyerlerinin hedef olduğudur. Bu sitelerin müşteri veritabanları henüz oluşmamış ve çeşitli açıkları oldukları varsayılır. Yeni açılan siteler, B2C’ler ilk bir kaç günü çok iyi gözlemlemekte fayda var.

1 – Aynı IP’den birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir. Bir kaç kredi kartı bilgisi ele geçiren kullanıcı kartlarının hepsini deneyecektir. Bu uyarılar e-mail, cep telefonu mesajı vb şekillerde olabilir.

2 – Aynı üyelik ile birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir.

3 – Aynı kart numarası ile birden fazla işlem gönderilmesi durumu (aynı gün) incelenmeli Müşterinin daha önceki siparişleri ile son siparişi arasındaki oransal fark incelenmelidir.

4 – Hata alan işlemlerin hata açıklamaları incelenmelidir. Sanal Pos’ta onay mesajı “00″ ile ifade edilir. 01′den 99′a kadar alınan mesajlar hata açıklamalarını ifade etmektedir. “51″ gayet masum bir limit yetersiz hatasıyken, “82″ hatalı CVV anlamına gelmekedir. 41 ve 43 no’lu hatalar Çalıntı kartları ifade etmektedir. Dolayısıyla bu hata mesajlarının alan işlemler, IP, üyelik, Kredi Kartı numarası takip edilmeli, çeşitli uyarılar ile desteklenmelidir.

5 – Anlamsız ve ücretsiz mail adresleri fraud habercisi olabilir.

6 – Aynı kredi kartı ile çok düşük tutarlı bir kaç farklı sipariş, kartın limiti olup olmadığının test edilmesi anlamına gelmektedir. Gerçek bir kullanıcı hepsini aynı sepette alarak tek bir kargo ücreti ödemek isteyecektir. Bu tip işlemler yüksek miktarda gelecek fraud  provizyonun habercisidir.

Bu örnekleri çoğaltmak mümkün aklıma gelen, en çok karşılaşılanları listelemeye çalıştım.

Benim merak ettiğim, ilgili açıklamanın 2. maddesinde yer alan;

“Şayet verdiğiniz siparişiniz Weblebi.com tarafından henüz kargo şirketine teslim edilmemişse, tüketici olarak öncelikle yapmanız gereken sitemizden yapmış olduğunuz alışverişte kullandığınız kredi kartının bağlı olduğu bankaya bir itiraz dilekçesi yazarak ilgili tutarın kredi kartınıza iade edilmesini talep etmektir.”

Yapılan siparişler neden firma yetkilileri tarafından sanal pos yönetim ekranlarından iade edilmiyor da chargeback sürecinin başlatılması isteniyor. Bilindiği gibi yapılan chargebackler firmanın bankalar tarafındaki kredibilitesini etkiliyor. Ayrıca sanal posun bağlı bulunduğu şube, her chargeback için ayrıca bir maliyete katlanıyor.

Konu ile ilgili bankaların tutumunu merak ediyorum.
Güncelleme: Uyarı mesajı kaldırılmış 06.08.2008