Son blog yazımızda, risk analizi yapılarak frictionless doğrulanan işlemlerde de 3D Secure doğrulamanın geçerli sayıldığını ve chargeback talepleri durumunda sorumluluğun issuer'a ait olduğundan bahsetmiştik. Peki, bir işlemin 3D Secure olarak doğrulanmış kabul edilmesi ve chargeback talebi geldiğinde sorumluluğun kime ait olduğu nasıl belirleniyor? İşte bu noktada 3D Secure mesaj içeriğinde bulunan Authentication Value ve ECI değerleri önemli bir rol oynuyor. Ancak bu kavramlara değinmeden önce, chargeback sürecine birlikte bakalım.
Chargeback
Dolandırıldığını düşünen kullanıcılar, ödeme işlemine itiraz eder. Bankalar, bu itirazı değerlendirir ve ödemelerin satıcılar tarafından karşılanması beklenir. Kart sahipleri genellikle itirazlarını kendi bankalarına yapar.
Liability Shift
Her ödeme işlemi için finansal bir sorumluluk doğar. Kullanıcılar dolandırıcılık ile karşılaştıklarında, mağduriyetin kimin tarafından giderileceği kart networkleri tarafından kendi 3D Secure program kuralları ile belirlenmiştir. Örneğin, 3D Secure ile doğrulanmamış bir işlemde sorumluluk işyerine aitken, 3D Secure ile doğrulanmış bir işlemde sorumluluk kart sahibinin bankasına, yani issuera aittir.
Önceki yazılarımızda, bir e-ticaret işleminin ödeme adımlarından ve doğrulama akışının otorizasyon akışı ile nasıl birbirini takip ettiğinden bahsetmiştik. AV ve ECI değerleri, doğrulama ve otorizasyon işlemlerini birbirine bağlayan verilerdir. Issuer, 3D işlem sonucuna göre ECI değerini belirler. ECI’nin değerine göre AV değeri ayarlanır ve işyerine (acquirer) iletilir; bu değer, otorizasyon mesajına eklenerek tekrar issuera gönderilir. Issuer, otorizasyon sistemleri aracılığıyla mesaj içeriğindeki AV değerini çözerek 3D işlem sonucunu elde eder. İşlemin kendisi tarafından doğrulandığını tespit ettiğinde, satın alma işlemine onay verir.
Electronic Commerce Indicator (ECI)
ECI değerleri her kart networkü için farklılık gösterir. Farklı işlem sonuçları için kart networklerinin beklediği ECI değerleri aşağıdaki gibidir.
Başarılı İşlem
Attempt İşlem
Başarız veya Hata Almış İşlem
Visa (CAVV) ve Mastercard (AAV) için authentication value değeri, 3D Secure işlem sonucunu içeren ve issuer tarafından imzalanmış kriptografik değerlerdir. Her kart ağı, bu değerin nasıl imzalanacağı ve nasıl şifreleneceğini program kuralları çerçevesinde belirlemiştir. ECI değerinin başarılı bir işlem veya deneme (attempt) durumunda AV değeri oluşturması beklenir.
Visa 3D Secure 2.0 (EMV 3D Secure) geçişi ile birlikte CAVV değerinin formatında değişikliğe gitmiştir. Bu yazı tarihi itibariyle CAVV Usage 3 Version 7 kullanılmaktadır.
CAVV Usage 3 Version 7 içerisinde işlem sonucu, doğrulama metodu, anahtar indikatörü, CAVV değeri ve işleme dair ek bilgiler yer almaktadır. Bu veri, issuer ACS'sinde bulunan CAVV anahtarı ile imzalanmaktadır.
Mastercard, EMV 3D Secure ile birlikte AAV verisinin oluşturulması için SPA2 algoritmasını kullanmaya başlamıştır ve issuerlardan IAV (Issuer Authentication Value) oluşturmasını beklemektedir. Mastercard’a iletilen IAV, Mastercard tarafından AAV’ye dönüştürülerek işyerine (acquirer) iletilmektedir.
