3D Secure ve Türkiye’de Elektronik Ticareti Engelleyen Bankalar

September 28th, 2009 • 15 comments Uncategorized
Tags: 3d secure, bankalar, bkm, e-ticaret, elektronik ticaret, eticaret, kredi kartı, ödeme sistemleri, sanal pos

Gelin hep beraber işin başından itibaren başlayıp adım adım neredeyiz analiz edelim. O zaman elektronik ticaret kavramını açalım. Elektronik ticaret tanım olarak ürünlerin veya hizmetlerin aracı elektronik sistemler kullanarak alım ve satımının gerçekleşmesi işlemidir. Bu elektronik sistemler pratikte bir çok ağ olabilir, biz bugün internet üzerinden yapılan alışverişi pratikte elektronik ticaret olarak görüyoruz.

Yaptığımız tanımlamadan dolayı karşımıza geniş bir alan çıkıyor. İnternet üzerinden bir araba görüp sonra onu satın alma faaliyetinizde elektronik ticaret sayılmalı mı yoksa sadece ödeme olarak elektronik ortamı kullanırsanız bu ticaret kavramına gireceksiniz. Çok tartışmalı bir kavram. Benim fikrime göre aracı olarak elektronik yöntemler kullanılıyorsa ödeme sistemi ne olursa olsun bu evrensel elektronik ticaret kümesini oluşturmalı. Elektronik ticaret alt kümelerini daha sonra takip etmemiz mümkün. Dolayısla aslına bakacak olursanız bugün için açıklanan istatistiki veriler sadece elektronik sistemler üzerinden ödeme yapanları gösteriyor. Eğer siz internet üzerinden gitar ders almak için bir öğretmen bulduysanız ve hizmeti alıp elden ödeme yaptıysanız bu hiçbir zaman elektronik ticaret rakamları arasında gözükmüyor.

Kavramın geniş açıklamasından sonra alt kümelerde dahi sorunlarımız ortaya çıkıyor. Elma ve armut sürekli aynı masada karışıyor. Elektronik ticaret denildiğinde çoğunlukla elektronik perakendecilik anlaşılıyor. İnternet üzerindeki bir katalogdan sepete ekle ve satın al yöntemiyle yapılan alışverişlerin tümü elektronik ticaret hacmi olarak algılanabiliyor. Elektronik perakendeciler yani internet mağazacıları kendilerini elektronik ticaretin tümünü temsil ediyor gibi görüyorlar. Bu görüş tamamen yanlış. Keza internetten tatil, alan adı, sigorta, site barındırma hizmeti, abonelik satıyorsanız ne yapacaksınız? Elektronik ticaret dolayısla tüm faaliyet setini ifade ediyor, stoklarını internet üzerinden satan iş modellerine elektronik perakendeciler diyebiliriz.

Kavramlar ve teori üzerinde çok takılmak istemiyorum, ancak tüm yazının diğer aşamalarında bazı tartışmaları önlemek için bu açıklamaları ve kabulleri yapmamız gerekli olduğunu düşünüyorum. Şimdi gelelim elektronik ticaret faaliyetinde ödeme sistemi olarak çevirimiçi çözümleri kullanan tacirlere. Örnekle açıklayarak devam edelim; uçak bileti satan bir turizm acentası ödeme için bir çok çözüm size sunabilir, kredi kartıyla ödeme çözümünü sunuyorsa işte bizim bu yazıda anlatmaya çalışacağımız durum tespitine giriyor. Özellikle 1990’ların ikinci yarısından itibaren internet üzerindeki alışveriş artışı yaşanmaya başladıktan sonra kredi kartlarının online ortamda kullanımı konusunda soru işaretleri ve güvenlik konusu daha sık gündeme geldi. Kredi kartlarının internet üzerindeki alışverişlerde kullanımının sorunlu olabileceği dillendirilmeye başlandı.

Yazının ana konusu internet üzerindeki alışverişlerde kredi kartı kullanımının güvenli olup olmadığı değil. Bu tamamen ayrı bir tartışma alanı. Online ticaret hacimleri 2000’li yıllarda hızla geliştikçe dolandırıcılık suçlarıda artmaya başladı. Yeni gelişen teknolojiler konusunda yeterli bilgisi olmayan bazı müşteriler kredi kartı dolandırıcılıklarına maruz kaldılar. Hatta bunların çoğu günlük yaşamda kredi kartlarını restoran, cafe, bar vb. ortamlarda kullandılar ve kartları internet üzerinde değil fiziksel hayatta çalınıp online ticarette kullanılmaya başlandı. Dolandırıcılıkların bir kısmı çevirimdışı ortamdan geldi. Özellikle son 4-5 senedir “phishing” dedilen “şifre hırsızlığı, internette yapılan kimlik hırsızlığı” suçları artış gösterdi. Güvenlik kavramı daha sık gündeme gelince Bankalar ve Ödeme sistemi şirketleri bunu engellemek ve internetteki alışverişi kolaylaştırmak için yollar düşünmeye başladılar. Aslında ilk kez düşünmüyorlardı. SET (Secure Electronic Transaction) konusunda 1997 – 1998 arasında çalışma başlatmışlar, birçok şirketin desteğinde olmasına rağmen bu sistem başarısızlığa uğramıştı, (yazarın notu SET ‘le ulaşılmaya çalışılan amaç doğruydu.) CVV veya CV2 kısaltmasıyla bildiğimiz (Card Verification Value) yani kredi kartlarında güvenliği arttırıcı 3 rakamın eklenmesindeki amaçta buydu, dolandırıcılığı azaltmak, güvenliği arttırmak. Bu kod kart arkasında yer alan magnetik şeritte yer almadığı için fiziksel çalınma olaylarında önleyici olabiliyor, ancak “phishing” konusunda yine yetersiz kalabiliyor.

Şimdi 3D Secure konusuna yaklaşalım. Nedir bu 3D secure? BKM yani Bankalararası Kart Merkezinin sayfasındaki açıklamaya göre 3D Secure, “İnternet üzerinden kredi kartı ve banka kartıyla yapılan alışveriş işlemlerinin güvenliğinin artırılması için geliştirilmiş olan bir sistemdir. Visa ve MasterCard’ın geliştirdiği “güvenli internet alışverişi” çözümleri ile hem kart sahipleri hem de üye işyerleri sahtekarlıklara karşı güvence altına alınmıştır.” Harika yeni bir güvenlik sistemi daha.

Pratikte nedir 3D Secure? Sizin e-ticaret işlemlerinizde kredi kartı ödemenizi gerçekleştirdiğiniz sayfada online işlemler için olan geçerli şifrenizi girmenizdir. Chip & Pin’i nasıl çevrimdışı hayatta kullanıyorsanız bu şifreyi de çevrimiçi yaşamda kullanacaksınız. Bu da güzel. Binlerce şifreli hayata bir şifre daha eklendi. Peki bu şifreyi nasıl alacağız? Şimdi efendim kredi kartınızı almış olduğunuz bankanın bu sisteme geçmiş olması gerekli eğer geçtiyse internet sitesinden süreçleri geçtikten sonra bu şifreyi belirleyebiliyorsunuz. Bankanın sitesinin yanı sıra 3D secure ödeme sistemini kullanan internet mağazasından da elektronik ticaret süreci devam ederken belirleyebiliyorsunuz. Uzun süredir bu şifre belirleme “pop up” yani yeni açılan bir pencerecikte yapılıyordu. Artık “i-frame” teknolojiyle ilgili sitenin içinden çağrılan sayfayla yapılıyor. İki sistemde müşterilerin korkmasına ve alışveriş yaptıkları mağazanın bu bilgileri hangi amaçla istediğini bilmemesine sebep oluyor. İşin arkasında çalışan ACS , MPI sağlayıcıları, SSL güvenlikleri vb. müşteri algılamasında hiçbir zaman bilmiyor, bırakın algılamayı bu karışık teknolojik sistemleride hiçbir zaman bilmek istemeyecek. Müşteri bir uçak bileti alacak bayramda ailesine gitmek için.

Bizler bu yazıyı yazan ve okuyanlar olarak sistemleri analiz etmeyi severiz ya, bu işin mutfağına bir bakalım. Yapı Kredi Bankasının bilgilendirici sayfasından bir grafiği buraya koyalım. Sistem nasıl işliyor bakalım. (http://setmpos.ykb.com/PosnetF1/duyuruDetay/3d.html)

1. Kart sahibi, üye işyeri (sanal mağaza, POSNET) web sitesinde alışverişini yapar. Kart hamili ödeme sayfasındaki gerekli tüm bilgileri doldurur.
2. 3D secure/SecureCode sistemi için üye işyeri tarafında bir plug in (MPI) bulunur. Üye işyeri Plug-in VISA/MasterCard directory’ye kredi kartı girişi için sorguya gönderir. Eğer Kart numarası sisteme katılan bir Bankanın kartı ise Visa/MasterCard directory kartın geçerliliği için işlemi Kart Bankasının Access Control Server(ACS) yönlendirir. Kart banksından gelen yanıt VISA/MC directory aracılığı ile üye işyeri MPI’e gönderilir.
3. Üye işyeri server MPI, yanıt belgesini kart sahibi browser’ı üzerinden Kart bankasının ACS’ına gönderir.
4. ACS, kart sahibinin şifresini sorar. Kart sahibi şifresini girer ve ACS tarafından doğrulama işlemi yapılır.
5. ACS yanıt belgesini Üye işyeri Server Plug-in’e Kart sahibi browser üzerinden gönderir. Bu aşamada belgeyi kaydedilmek üzere belgeyi arşiv serverınada yönlendirir.
6. Üye işyeri server Plug-in cevabı onaylar.
7. Üye işyeri devam eden süreçte otorizasyonu bankası ile gerçekleştirir.

Vay bee! Kardeş bir USB alacaktım senden. Tabi olayı bu kadar abartmayalım. Sistemin nasıl çalıştığını visa’nın sayfasındaki demo’dan (Verified by Visa activation demo) izleyebilirsiniz. Bu kadar karmaşık olmadığını göreceksiniz. 2 tıkla bitiyor alışveriş !! (http://www.visaeurope.com/merchant/handlingvisapayments/cardnotpresent/verifiedbyvisa.jsp )
Tüm bu latifeyi bir kenara koyalım nesnel olarak 3D secure sistemin anlatılan fayda ve zarar analizine birlikte bakalım.

Açıklanan faydalar:
İşyerleri için

1. Sahtecilikte azalma, Chip & Pin şifrelemesi gibi garantili ödeme yapanların sayısının artması
2. Birinci maddeye ek olarak gelecek işyeri maliyetlerinde azalma, sahtecilik azalacağı için geri ödeme (chargeback) işlemlerinin azalması
3. Satışlarda artış olması, güvenli olduğuna inanan müşteri işlem başına daha fazla harcama yapacak

Kart Sahipleri

1. Kredi kartlarınız çalındığı zaman şifresi sizde olacağı için dolandırılma riskiniz azalacak

3D Secure sistemi için gelen eleştiriler

1. İnternet kullanıcısının “popup veya inner frame” yöntemlerinden hangisi kullanırsa kullanılsın dolandırıcı sayfasıyla bu yeni gelen başka bir adres olan sayfayı ayırması çok zor.

2. Pop up açılan 3D sayfalarında müşteriyi zora sokan ve alışverişi bitirmeden çıkmasına sebep olan

a. Açılan sayfa alışveriş yapılan site değil
b. Kartın alındığı bankanın sayfası olmayabilir
c. Visa veya Mastercard sayfası değil

3. Bunun yanı sıra “iframe”le beraber bu sorunların bir kısmı çözülmesine rağmen ilk şifrenin belirlenmesi sırasında internet mağazasının bu soruları neden sorduğu müşteriler için soru işareti oluşturmuştur. Chip & pin şifrenizi bir mağazanın size belirlemeniz için bir POS getirmesine benzetebiliriz.

4. Ülkeden ülkeye 3D secure için sorulan sorular, şifre sistemleri değişebilmektedir. Amerika’da “Verified by Visa” 3D secure sistemine kayıt olurken Sosyal Güvenlik Sistemi numarasının 4 hanesi istenirken diğer ülkelerde başka bir sistem kullanılabilmektedir.

5. Statik şifrelendirme olduğu için internet dolandırıcılarının bu şifreyi çalma yöntemleri geliştirmeleri ve bu şifreye ulaştıktan sonra 3D secure sistemle alışveriş yapmaları mümkün olabilecektir. (Bugün için sizin kredi kartınızla sizden habersiz işlem yapılırsa burada sizin sorumluluğunuz yoktur. Yapılan harcamanın sizin tarafınızdan yapılmadığını ispat ederseniz ki bu basittir, kredi kartınızdan yapılan harcama size belli bir süre sonra geri ödenecektir. Sorumuluk bankayla işyeri arasında çözümlenecektir. Yeni getirilen sistemde siz sorumlu olacaksınız eğer şifrenizi çaldırırsanız ve çalınırsa geri ödeme alamayacaksınız.)

Dünyada oldukça tartışılan ve elektronik ticaret yapan mağazaların gündeminde olan bir konu bu 3D secure. Bankalar arası Kart Merkezi (BKM) internet üzerinde ticaret yapan tüm üye iş yerlerine Temmuz itibari ile 3D Secure kullanımını zorunlu kılıyor. Tabi burada ortaya bir sorun çıkıyor, çünkü bazı işyerleri 3D secure yerine eski SanalPOS dediğimiz sistemi kullanıyorlar. Yani 3D POS sistemini kullanan işyerleri yukarda saydığımız zorlukları yaşamaya başlıyorlar, bunu seçimlik olan sunanlarda bir aksaklık olmuyor. Lastminute.com İspanya’da 3D Secure kullanmaya başladıklarında satışlarında %30 düşüşler yaşandığını açıklamış. Aynı düşüşler özellikle şifrelerin oluşturulmadığı, müşterilerin bu konu hakkında bilgisiz olduğu dönemde bir çok online mağazada yaşanacaktır. Bu kaçınılmaz bir gerçektir. Dolayısıyla sadece bu yöntemi kullanarak ödeme almaya çalışan internet şirketleri haksız rekabete uğramaktadırlar, keza aynı pazarda hizmet veren rakipleri hem 3D Secure sifresiz hem de isteyen kullanıcılara bu olanağı sağlayabilmektedirler.

İşin kötü tarafı 3D Secure sistemini yasalarla zorunlu tutma çabası olacaktır. Bu taktirde kısa vadede elektronik ticaret hacimlerinde düşüşler yaşanacaktır. Son 1-2 yıl içinde bu sistemin özellikle bankalar tarafından zorunlu bir sistem gibi gösterilerek internet üzerinde mağaza açmak isteyen herkese şart olarak konulması elektronik ticaret yapmak isteyenlerin önündeki en büyük engeldir. Bugün sıfırdan herhangi bir bankacı tanıdığınız olmadan internet mağazası açmaya çalıştığınızda hiçbir banka size Sanal POS sağlamayacaktır. Eğer 3D Secure ödeme sistemini size açıyorlarsa şanslı azınlıktan sayılabilirsiniz. Dolayısıyla girişimcileri internet üzerinde ekonomik katma değer yaratmaya çalışırken karşımızda elektronik ticaret hacmini durduran büyük ekonomik güçlerle karşı karşıyayız: Bankalar. Dünyadaki ortalamaların çok üstünde komisyon oranları ve ödeme tarihleriyle internette ticaretin gelişmesinin önünde Türkiye’deki bankalar durmaktadır. Bu duruma gelmelerinin en büyük sebebi yine kendileridir. Özellikler ekonominin hızlı büyüdüğü dönemlerde risk analizi yapılmadan çalışılan, bu bankalar batan bir çok eticaret şirketinden ağızları yanmıştır. Elektronik ticaret şirketlerinden bir kısmı maalesef geçen yıl kepenklerini kapatmak zorunda kalmışlardır. Bu operasyonlardan çok büyük darbe yiyen banka yöneticileri artık herkese hayır demektedirler. Hatırlar mısınız bu kapanan elektronik ticaret şirketlerini, büyük bankalar bu mağazalara o kadar ayrıcalık tanımışlardı ki, reklam kampanyalarında dahi kredi kartlarının reklamlarını yapıyorlardı. Belki arkadaş ilişkileri, belki şube müdürleriyle yakın ilişkiler bu elektronik ticaret şirketlerine avantajı sağlamıştı. Maalesef ekonomik daralmanın ve kötü yönetimlerin sonucu geçen sene içinde bir çok eticaret şirketi battı. Şimdi o zamanlarda risk analizi yapmamış ve ağızları yanmış bankacılarımız tüm internet şirketlerine kapıyı kapatmaktadırlar veya inanılmaz şartlar öne sürmektedirler. Bu büyük bir haksızlığı piyasaya getirmektedir. Bunun yanı sıra yeni kurulan internet şirketleri ödeme sistemlerini ya kuramamaktadır ya da 3D secure gibi müşterinin henüz ne olduğunu bilmediği sistemlerle başbaşa bırakılmaktadır.

Özetliyelim: Son bir yıl içinde ve önümüzdeki dönemde Türkiye’de elektronik ticaretin gelişmesinin önünde bankalar durmaktadırlar, bir tanıdığınız torpiliniz yoksa sakın internetten bir şey satmaya kalkışmayın. Henüz kimseyi bilgilendirilmemiş bir sistem olan 3D Secure’u zorunlu tutan zihniyet aynı şekilde önümüzdeki diğer büyük engeldir.

Önerilerim: Bankaların internet ticaretinde kendi yaptıkları hataları değerlendirip ödeme sistemlerinde risk analizini düzgün modellerle yapmaya başlamaları kötü eticaret şirketiyle iyi eticaret şirketini ayırt etmeyi öğrenmeleri gereğidir. Sanal POS bir ayrıcalık olarak eş, dost, tanıdık sayesinde alınmaktan çıkartılmalıdır. 3D Secure sisteminin temelde ulaşmak istediği amaç doğrudur ancak uygulama yöntemi hatalıdır. 3D Secure konusunda bilgilendirici kampanyalar başlatılmalı, zorunlu tutulmamalı geçiş süreci zarfında eşit şartlarda bütün elektronik ticaret şirketleri hem bu yöntemi hem de diğer ödeme sistemini sunabilmelidirler. Chip & Pin‘e geçişte uygulanan yöntemlerin hepsi 3D secure’da uygunlanmalıdır. Bir akşamda yaptım oldu tarzı ülkemizin ekonomisine ve girişimcilerine zarar vermektedir.