Online Alışverişlerde 3D Secure Kullandırmalı mıyım?

21  Temmuz tarihinde Eticaret MAG’de yayınlanan yazımı aşağıda bulabilirsiniz.

Elektronik ticaretle ilgili yazılan birçok kitapta, verilen eğitimlerde hatta katıldığınız organizasyonlarda genellikle bu iş yapış şeklinin avantajlarına değinilir. 7/24, dünyanın her yerine az maliyetle satış yapabiliyor olma fikri, kolları hemen sıvama dürtüsü uyandırır.

Derinlemesine incelenmeyen nokta; elektronik ticarete konu olan işlemlerin CNP (Card not Present)olmasından dolayı barındırdığı charge-back (ters ibraz) riskidir.

Kısaca açıklamak gerekirse; kart sahibi, alışverişini takip eden 4 ay süre ile (bu süre kısalmaz, lakin uzayabilir) birkaç itiraz kodundan birini seçerek bankası aracılığıyla alışverişine itirazda bulunabilir. Kötüye kullanılabilir endişesi ile detaylarına girmeyeceğim bu itiraza konu olan işlemde, 3D Secure doğrulama yöntemi yok ise; kart sahibi lehine sonuçlanacak bir süreç devreye girmiş olur ve dolayısıyla konu işyerinin zararı ile sonuçlanır.

Avrupa’nın birçok ülkesinde fiziksel dünyada yaşanan Chip&PIN dönüşümü ile birlikte kredi kartı kopyalama riski minimize edilmiştir. Bu gelişme herhangi bir yolla ele geçirilen ve kopyalanamayankredi kartlarının internet üzerinde kullanılmaya başlamasına yol açmıştır. Dolayısıyla fiziksel dünya riski azalırken, online dünya işyerleri için daha riskli bir hal almıştır.Türkiye 3D Secure Kullanımı (2010)

Uzun yıllardır Türkiye’de kullanılan ve gün geçtikce daha son kullanıcı dostu bir hal alan 3D Secure doğrulama yöntemi , dolandırıcılık nedeni kodlu itirazların önüne geçerek riski minimize edebilmek maksadıyla ; MasterCard ve VISA tarafından geliştirilmiştir.

Kısaca CHIP&PIN’in internet üzerindeki versiyonu olarak adlandırabileceğimiz bu ürün, 2010 yılına kadar yeterli ilgiyi görmemiş olsa da, özellikle 2010 yılı birlikte Türkiye’de gerçekleşen tüm e-ticaret transaction’larının %12’sinde kullanılmıştır. Sigorta ve acenteler aracılığıyla yapılan ciroları bir kenara koyarsak bu oranın yaklaşık %23’e çıktığını görürüz.

Yukarıdaki tabloda 2010 yılında Half ve Full Secure doğrulanan toplam transaction sayısını bulabilirsiniz. 2011 yılında bankaların 3D Secure sayfaları optimizasyonları ile bu adetlerde %30’luk bir artış beklediğimi de eklemek istiyorum.

2010 yılı ile birlikte özellikle ISKI, IGDAS, Gelir İdaresi Başkanlığı vb. devlet kurumlarının elektronik ticaret’le tanışması ve sadece 3D Secure doğrulama yöntemi ile ödeme kabul etmesi, bu doğrulama yöntemininin Türkiye’de kullanım oranını artıran bir kaldıraç vazifesi görmüş, işletmelerin 3D Secure yüzünden ciro kaçırırım endişesini ortadan kaldırmaya başlamıştır.

Öyle ki “Private Shopping” gibi rekabetin yoğun yaşandığı bir modelde bile sektör büyüklerinden bazıları 3D Secure’suz yola devam ederken, bazıları sadece 3D Secure doğrulama yöntemi ile ödeme kabul etmektedir. Bugün birçok büyük B2C, C2C hatta B2B full secure veya belirledikleri bazı kurallara takılan üyeleri 3D Secure ile alışverişe yönlendirmektedir. (Örneğin; yeni üye ve kolay paraya çevrilebilir bir ürün alıyor ise)

Gelelim 3D Secure kullanmalı mıyım sorusunun cevabına, sektörde karşılaştığım 3 tip işletme var. Kısa kısa açıklamaya çalışacağım.

3D Secure’u ciro kaçırırım endişesi ile kullanmak istemeyenler

Bünyesinde tecrübeli fraud (sahtekarlık) departmanı kurmuş, yüksek kar marjı ile çalışan, uzun yıllar sektörde faaliyet gösterdiği için; müşteri database’i oluşturmuş online işletmeler. Bu tip işletmeler 3D Secure’u genellikle bazı kurallara takılan üyeleri doğrulamak için kullanırlar. Bugün sektörde faaliyet gösteren birçok büyük B2B ve B2C’de 5 ila 15 kişi arasında fraud ekipleri bulunmaktadır.

3D Secure olmadan faaliyetlerine devam edemeyecek olanlar

Özellikle düşük kar marjı ile çalışan ve riskli ürün grupları olarak adlandırılan, kolay paraya çevrilebilen ürünler satan işyerleri (altın, kontör, cep telefonu, uçak bileti vb.)

Burada yaşanabilecek bir charge-back düşük kar marjı ve yüksek sepet ortamalasından dolayı işyerini zarara uratacağından, işyerinin 3D Secure’suz yaşamaya devam edebilmesi mümkün değildir.

3D Secure’den habersiz, tesadüfen faaliyetlerine devam eden işyerleri

Düşük kar marjı ile kolay paraya çevrilebilen ürün satışı yapan, bünyesinde fraud birimi kurmamış işyerleri. Dolandırıcılar tarafından keşfedilene kadar faaliyetlerine devam edebileceklerdir.

“Elektronik Ticarette Fraud Önleme Yöntemleri” ile başladığım online ödemede güvenlik olgusunu, 3D Secure ve Türkiye’de kullanımı ile bir adım öteye taşımayı planladım. Güvenlik nedeniyle detaylandıramadığım birkaç nokta olsa bile, özellikle bankaların 3D Secure sayfalarında yakın zamanda yapılan optimizasyonlar ile birlikte artan müşteri deneyimi fırsatları beraberinde getiriyor.

Diğer taraftan, Türkiye’de kullanılan debit kartların (69 mio adet) sadece 3D Secure ile online provizyon alabiliyor olması kredi kartı kullanmayan, debit kartı ile online alışveriş yapmak isteyen kullanıcılara da altyapı sağlayabilmenize olanak sağlıyor.

 

E-ticaret İşlemleri Tablolama Yapısı

İnternet üzerinden gerçekleşen işlemlerde dikkat edilmesi gereken birkaç noktayı burada belirtmiştim. Sanal Pos altyapısı kullanan firmaların gerçekleşen ya da gerçekleşmeyen işlemler için “belirledikleri kriterleri” sağlayan tabloları güvenlik nedeniyle kayıt altına alıyor olmaları, fraud riskine karşı hızlı aksiyon alabilmelerini sağlayacaktır.

Aşağıda çıkardığım bir örneği bularak çeşitlendirebilirsiniz.

Chargeback Nedir?

Visa/MasterCard/Diners gibi kredi kart kuruluşlarının kurallarına göre, kredi kart sahipleri kendi kartlarıyla yapılan işlemlere itiraz etme hakkına sahiptirler. Bu itiraz kart sahibi banka tarafından işyeri bankasına iletilir, işyeri bankası ise ilgili işyerinden itiraz edilen işlem ile ilgili belgeleri talep eder. Talep edilen belgelerin yetersiz olması durumunda, söz konusu işlem tutarı işyeri bankası tarafından ilgili işyerinden tahsil edilir ve kart sahibi bankaya aktarılır. Bu işleme “chargeback” adı verilir.

Chargeback Prosedürü Nasıl İşler?

Prosedür aşağıdaki şekilde özetlenebilir:

1. Kart sahibi kredi kart bankasına itirazını iletir.
2. Kart sahibi banka bu itirazı işyeri bankasına yönlendirir.
3. İşyeri bankası ilgili itirazı işyerine sunar ve işlem ile ilgili belgeleri talep eder.
4. İşyeri ilgili belgeleri bankaya iletir.
5. Eğer işyerine tanınan süre dahilinde hiç belge iletilmediyse veya gönderilen belgeler yeterli görülmezse, itiraz edilen tutar işyeri hesabından çekilir ve kart sahibi bankaya iade edilir.
6. Gelen belgeler yeterli görülürse kart sahibi bankaya iletilirler ve itiraz reddedilir. İşyeri ilgili tutarı iade etmek zorunda kalmaz.

Daha fazla bilgi için:

http://www.merchantfraudsquad.com

“Worldwide E-Commerce Fraud Prevention Network” adını taşıyan ve ABD’nin en büyük online satış firmaları tarafından kurulan bu site, e-Ticaret yapan işyerlerini bilgilendirerek sahtekarlığa karşı korumayı hedefliyor.


Garanti Sanal Pos Yönetim ekranlarında yer alan makalenin küçük bir kesitidir.

Sanal Pos’a İşlem Gönderirken Dikkat Edilmesi Gerekenler.

Çeşitli yöntemlerle, fiziksel yollardan ele geçirilen kredi kartı bilgilerinin Fraud işlemler gönderilerek sınandığı ortam; bankalar tarafından Üye İşyerlerine sağlanan “Sanal Pos” altyapıları olur. Üye İşyerleri gerçekleşen transaction’ları detaylı analiz ederek, çeşitli parametrik değerlerle süzmezlerse charge-back riski ile karşı karşıya kalırlar.

Bu konuyla ilgili bir kaç ipucu vermek istiyorum.

Öncelikle; Gerçekleşen işlemler, müşteri doğrulanarak “güvenli” statüsüne çekilene kadar “PreAuth” olarak Sanal Pos’a gönderilmelidir. PreAuth’u( Ön otorizasyonlu) açıklamak gerekirse; kısaca kredi kartına borç geçmeden, kart limitine bloke konulması olarak değerlendirebiliriz. Bu tip işlemlerde muhasebeleşen bir tutar olmadığı için; kredi kartı ekstresinde de haraket olmayacak, işlem gerçekten kart sahibine ait değilse charge-back riski doğmayacaktır. İşlemin kart sahibine ait olmadığının tespit edilmesi durumunda açık provizyonda bekleyen tutar kolaylıkla “iptal” edilebilir.

Üyelerin gri, beyaz ve kara liste şeklinde 3 farklı grup altında takip edilmesi, kart doğrulama ile uğraşan operasyonel ekibin yükünü hafifletecektir. Kartı bir kere doğrulanan müşteri için alışveriş tutarı geçmişe dönük siparişlerinin çok üzerinde değilse PreAuth yerine Auth, yani direk satış işlemi gönderilebilir. Örn; ortalama 100 YTL sipariş veren sadık bir kullanıcı, bir sepette 3.000 YTL’lik sipariş gönderiyorsa bu siparişin fraud kontrolünden geçmesi gerekmektedir.

Üye İşyerleri bankalardan kart sahibi doğrulatabilir mi?

Kart doğrulama ile ilgili bankadan bankaya değişen birimler ile irtibata geçilebilir… Belirli tutarların üzerinde kalan siparişlerde bankaların operasyon merkezleri tarafından kart doğrulama hizmeti verilmektedir. Bu işlemler için transaction’a ait verileri bir mail ile ilgililere göndermeniz istenir. (provizyon numarası, tutar, kart sahibi adı vb.) banka kart sahibi ile irtibata geçerek sipariş doğruluğunu onaylar ve Üye İşyerine bilgi verir. Onayı alan Üye İşyeri PreAuth olarak gerçekleşen işlemi onaylayarak muhasebeleşmesini sağlar. Artık siparişe ilişkin tutarlar kart dönem içi işlemlerine yansımıştır.

Fraud Kontrolleri;

Unutulmaması gereken; yeni açılan Sanal Pos kullanıcı Üye İşyerlerinin hedef olduğudur. Bu sitelerin müşteri veritabanları henüz oluşmamış ve çeşitli açıkları oldukları varsayılır. Yeni açılan siteler, B2C’ler ilk bir kaç günü çok iyi gözlemlemekte fayda var.

    1 – Aynı IP’den birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir. Bir kaç kredi kartı bilgisi ele geçiren kullanıcı kartlarının hepsini deneyecektir. Bu uyarılar e-mail, cep telefonu mesajı vb şekillerde olabilir.

    2 – Aynı üyelik ile birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir.

    3 – Aynı kart numarası ile birden fazla işlem gönderilmesi durumu (aynı gün) incelenmeli Müşterinin daha önceki siparişleri ile son siparişi arasındaki oransal fark incelenmelidir.

    4 – Hata alan işlemlerin hata açıklamaları incelenmelidir. Sanal Pos’ta onay mesajı “00” ile ifade edilir. 01’den 99’a kadar alınan mesajlar hata açıklamalarını ifade etmektedir. “51” gayet masum bir limit yetersiz hatasıyken, “82” hatalı CVV anlamına gelmekedir. 41 ve 43 no’lu hatalar Çalıntı kartları ifade etmektedir. Dolayısıyla bu hata mesajlarının alan işlemler, IP, üyelik, Kredi Kartı numarası takip edilmeli, çeşitli uyarılar ile desteklenmelidir.

    5 – Anlamsız ve ücretsiz mail adresleri fraud habercisi olabilir.

    6 – Aynı kredi kartı ile çok düşük tutarlı bir kaç farklı sipariş, kartın limiti olup olmadığının test edilmesi anlamına gelmektedir. Gerçek bir kullanıcı hepsini aynı sepette alarak tek bir kargo ücreti ödemek isteyecektir. Bu tip işlemler yüksek miktarda gelecek fraud  provizyonun habercisidir.

Bu örnekleri çoğaltmak mümkün aklıma gelen, en çok karşılaşılanları listelemeye çalıştım.