EMV 3D Secure, dünyanın herhangi bir yerinde kartınız ile e-ticaret ödemesi yaparken güvenliğinizi sağlamak için küresel çapta uyumluluk gerektirir. Bunu yapabilmek için ödeme ekosisteminde yer alan bütün paydaşların kullanacağı 3D Secure bileşenleri ve sorumlulukları belirlenmiştir.
Bir ödeme işleminin iş yeri ödeme sayfasından kart veren bankaya kadar ulaşmasını ve kart hamilinin işleminin bankası tarafından doğrulanmasını sağlamak için gerekli bileşenleri ve bu bileşenlerin yer aldığı domainleri gelin birlikte inceleyelim. İmplementasyon özelinde bazı sorumluluklar paydaşlar arasında değişkenlik gösterebilir ancak aşağıdaki bilgiler genel olarak fikir verecektir.
Acquirer Domain
3D Secure işleminin başlatıldığı yerdir. 3DS Requestor Environment olarak da bilinir. Bu domainde aşağıdaki bileşenler bulunur:
- 3DS Requestor: 3D Secure işlemini başlatandır. İşyeri gibi düşünülebilir.
- 3DS Client: Web işlemler için Browser, App işlemler için 3DS SDK aracılığı ile cihaz bilgilerinin iletilmesinde ve kullanıcı ile etkileşime geçilmesinde kullanılır. Kullanıcı ile etkileşim web işlemlerinde Browser aracılığı ile sağlanırken App işlemlerde işyeri uygulamasında bulunan SDK aracılığı ile sağlanır. Türkiye’de bugün itibari ile 3DS SDK bulunmamakta ve işlemlerin %100’ü web işlem olarak gerçekleşmektedir.
- 3DS Server: İş yerinden gelen bilgileri kendisindeki ek bilgiler ile zenginleştiren ve güvenli bir şekilde Directory Server'lara ileten bileşendir.
Türkiye’de acquirer bankaların sanal POS yazılımları ile entegre çalışmaktadır. Bu yüzden yurt içindeki işyerleri 3DS Server hizmetini sanal POS hizmeti aldıkları bankalar aracılığı ile temin etmektedir. Yurt dışında ise iş yerlerinin direkt olarak bir 3DS Server servis sağlayıcısından hizmet almaları rastlanan bir durumdur.
Finartz sanal POS yazılımı olan bankalara 3DS Server hizmeti sunarken bunu iş yerlerine de sunabilen tek servis sağlayıcıdır. Türkiye’de yerleşik PCI DSS ve PCI 3DS belgeli güvenli veri merkezinden, Visa, Mastercard, American Express, Discover, UnionPay, JCB markalı kartlar için EMVCo sertifikalı yazılımı ile hizmet vermektedir.
3DS Requestor Environment 3DS Requestor API’lerini, 3DS Server API’lerini ve browser etkileşimlerini barındırır. Burada toplanan bilgilerler 3DS Server Authentication Request mesajını oluşturur ve periyodik olarak DS’lerden temin ettikleri kart aralıkları üzerinden Directory Server’lara gönderir.
Interoperability Domain
Dünyanın herhangi bir yerindeki bir e-ticaret sitesinden Papara kartınızla ödeme yapmaya çalıştığınızı düşünelim. Bu iş yerinin ve beraber çalıştığı acquirer bankanın Türkiye’de yer alan ve kartınızı veren issuer’a ulaşmasını sağlayan ara katmana interoperability domain ve bu alanda bulunan 3D Secure bileşenine Directory Server deniyor.
- Directory Server
Ödeme ağı gibi düşünebilir. EMVCo tarafından sertifikalandırılmış DS’ler Visa, Mastercard veya BKM gibi kuruluşlara aittir. Bu ağlar kendisine üye olan acquirer ve issuerlar arasında iletişimi sağlar ve iş yeri ile işlemin yapıldığı kartı veren bankanın bağlantısı bu şekilde kurulmuş olur. Böylece bir banka on binlerce iş yeri ile entegrasyon yapmak yerine sadece ödeme ağı ile entegre olarak küresel çapta uyumluluk elde etmiş olur. Directory Server'lar hem acquirer ve issuer'lar arasında iletişimin kurulmasına olanak tanır hem de programın genel kurallarını da ortaya koyarak sorumlulukları belirler. Visa Secure, Mastercard Identity Check bu programlara örnek olarak gösterilebilir. Bir dolandırıcılık durumunda sorumluluğun kimde olduğu bu programların kuralları çerçevesinde belirlenmiştir.
Visa, Mastercard ve American Express gibi ödeme ağları küresel ölçekte bağlantı kurulmasına olanak tanırken ülkemizdeki BKM gibi yerel ağlar sadece kendi bölgelerinde yer alan üye bankalar arasında bağlantı kurabilir.
Bir issuer kendisine ait olan BIN’leri ve kart aralıklarını Directory Server’lara kaydederek 3D Secure özelliğini aktive eder. 3DS Server’lar da periyodik olarak DS’lerden kendilerinde kayıtlı olan kart aralıklarını alarak işlem anında hangi DS’e işlemi yönlendirmeleri gerektiğini anlar. Böylece küresel ölçekte bağlantı kurulmuş olur.
Sıralamayı düşünecek olursak öncelikle bir issuer ödeme ağından temin ettiği BIN için 3D Secure özelliğini aktive eder ve bunu beraber çalışacağı DS’e iletir. DS bu veriyi kendisinde tutar ve talep eden 3DS Serverlar ile toplu olarak paylaşır. İşyerinden 3D Secure özelliği olan bir kartla işlem yapıldığında 3DS Server daha önce aldığı kart aralıkları listesinden hangi DS’e işlemi yönlendirmesi gerektiğini, DS ise kendi kayıtlarından o kart aralığının hangi issuer’a ait olduğunu bilir ve issuerun kullandığı ACS’e işlemi iletir.
Issuer Domain
3D Secure işleminin başlatıldığı yerdir. 3DS Requestor Environment olarak da geçer. Bu domain’de aşağıdaki bileşenler bulunur:
- Issuer: Müşterisine kart veren, bu kartın 3D secure özelliğini aktive eden ve kartın ait olduğu kart aralığını DS’e bildiren kuruluştur. Kartınızın üzerinde logosunu gördüğünüz, kartı size veren banka veya elektronik para kuruluşu gibi düşünebilirsiniz.
- Access Control Server (ACS): Issuer ile DS arasında iletişimi kuran, ek doğrulama yapılması gerektiğinde kart hamili ile etkileşime geçerek doğrulama sayfasını ve yönlendirmelerini gösteren bileşendir.
- Kart Hamili: E-ticaret ödemesi için kart ile işlem yapan kişi.
- Kullanıcı Cihazı: Browser veya 3DS SDK’yı bulunduran kullanıcı cihazı.
Bir issuer kendi ACS yazılımına sahip olabilir veya Finartz’ın ACS servisi hizmetinden faydalanarak en güncel teknolojiler ile kullanıcılarına daha güvenli ve sürtünmesiz bir e-ticaret ödeme deneyimi sağlayabilir.
