3D Secure Nedir?
Chargeback sorumluluğu nedeni ile işyerleri alınan siparişlerle ilgili siparişi veren kişinin asıl kart hamili olup olmadığını kontrol etmekle yükümlüdür. Visa ve MasterCard’ın sağladığı Verified by Visa, MasterCard Secure Code (3D Secure) uygulamaları kart hamili doğrulamada en güvenli metodlardır.
3D Secure sisteminde, sanal ödeme işlemi gerçekleşirken, banka tarafından kart sahibine sadece kendisinin bildiği ödeme şifresi sorulmakta ve kart sahibinin kimliği doğrulanmaktadır. Yetkisiz kişilerin kartlarını internet ortamında kullanması engellenmektedir.
3D Secure Nasıl İşler?
Kart sahibi, kartını internet bankacılığı kanalıyla yada alışveriş esnasında karşısına çıkan kayıt ekranından bankasına kaydettirir. Kartına bağlı bir şifre ve bir güvenlik soru - cevabı tanımlar.
Kart sahibi, sisteme uyumlu sanal işyerinde alışverişini yapar ve ödeme bölümüne geçer. Kart sahibinin karşısına, bankası tarafından, işlem şifresini soran bir ekran açılır. Kart sahibi şifresini girerek işleme devam eder. Şifre, banka tarafından doğrulanınca işlem tamamlanır.
İşyerlerinde 3D Secure Nasıl Kullanılır?
3D Secure ile kart sahibi doğrulama işlemi 5 farklı şekilde sonuçlanabilir. Bu durumlarda satış işleminin aşağıdaki gibi yönlendirilmesi gerekir:
- Şifre doğru,
- Kart sahibi bankası 3D Secure desteklemiyor,
- Kart sahibi bankası 3D Secure destekliyor ama kartsahibi kayıt olmadan işlem yapıyor.
Bu durumlarda satışa devam edin ve SanalPOS provizyon alma sürecini başlatın.
Bu durumda satışı durdurun.
Bu durumda standart fraud kontrolleriniz ile riski hesaplayarak satışı kararı verin.
3D Secure işlemleri satışa gönderirken gerekli alanlar gönderdiğinizden emin olun. Gerekli alanlar alışverişin 3D Secure ile yapıldığının ispatı olan CAVV, XID ve ECI alanlarıdır. Bu alanların doğru gönderildiğinden emin olmanız için SanalPOS yönetim ekranlarında işlemlerin yanında 3D Secure logosunun varlığını kontrol ediniz.
2. Veri Güvenliği ve PCI
Kredi kartı numarası, son kullanma tarihi ve kartın arkasındaki 3 haneli güvenlik kodu hassas kart bilgilerini oluşturur. Internetten alışveriş sırasında hassas kart bilgileri Internet ve web sunucular üzerinden bankalara kadar uzanan bir yol izlerler. Bu yol üzerinde her noktada kart bilgilerinin güvenliğinin sağlanması gerekmektedir. PCI güvenlik standartları kart bilgilerinin güvenliğini korumak için Visa ve Mastercard’ın ortak çalışması ile oluşturulan bir dizi koşul ve süreçlerden oluşur.
PCI Veri Güvenliği Standartları, aşağıdaki 12 ana güvenlik kuralı altında gruplanmış detay güvenlik şartlarından oluşmuştur:
1. Verileri korumak için bir güvenlik duvarı kurun ve devamlılığını sağlayın.
2. Tedarikçilerden alınan varsayılan şifreleri ve diğer güvenlik parametrelerini olduğu gibi kullanmayın.
3. Sistemde saklı verileri koruyun.
4. Kart hamili verilerine ve hassas bilgilere ait işlemleri şifreleyin.
5. Anti-virüs yazılımı kullanın ve yazılımı düzenli olarak güncelleyin.
6. Güvenlik sistemleri ve uygulamaları geliştirin ve bunların devamlılığını sağlayın.
7. İş gereklerinin veri erişimini sınırlayın.
8. Bilgisayar erişimi olan her bir kişi için ayrı bir ID tanımlayın.
9. Kart hamili verilerine fiziksel erişimi sınırlayın.
10. Ağ kaynaklarına ve kart hamili verilerine tüm erişimi izleyin ve monitörleyin.
11. Güvenlik sistemlerini ve süreçlerini düzenli olarak sınayın.
12. Bilgi güvenliğine yönelik bir politika belirleyin.
Banka ve işyerlerine ödeme hizmeti sağlayan kuruluşlar yanında işyerlerinin de işlem hacmine bağlı olarak farklı şekillerde PCI güvenlik standartlarına uyma zorunluluğu vardır. İşyerleri PCI uyum gereksinimleriile ilgili olarak bankalar tarafından bilgilendirilirler. PCI standartları hakkında daha fazla bilgiyi aşağıdaki linklerden öğrenebilirsiniz.
PCI sitesi:
https://www.pcisecuritystandards.org
Visa’nın bu konuda hazırladığı türkçe döküman:
http://www.visaeurope.com/documents/ais/merchants_guide_turkish.pdf?d=121207
