Kart Ağlarının 3D Secure Programları

Finansal kuruluşlar veya yazılım firmaları tarafından geliştirilen bu uygulamalar akredite test laboratuvarları aracılığı test edilir ve başarılı olanlar EMVCo tarafından sertifikalandırılırlar. EMVCo tarafından sertifikalandırılmış uygulamalar artık bir banka veya bankalara hizmet verecek bir servis sağlayıcı tarafından kullanılabilir durumda demektir. Ancak bir finansal kuruluşun EMVCo sertifikalı bir 3D Secure uygulaması olması o firmanın bütün kartlar için çevrimiçi işlemlerini doğrulayabilmesi için yeterli değildir. Finansal kuruluşlar veya servis sağlayıcıları her bir kart ağı için ilgili ağın 3D Secure programına dahil olmalı ve kart ağının sertifikasyonundan geçmelidir.

Bu programlar kart ağlarının EMV 3D Secure teknolojisinin faydalarını kullanıcılarına sunabilmek için çerçevesini çizdikleri özel kurallardan oluşur. Her kart ağının kendi 3D Secure programı vardır ve her biri temelde benzer şekilde çalışır.👇

Bu programların temel amaçları:

• Dolandırıcılık Koruması: Kartınızı iş yeri sitelerinde çevrimiçi olarak kullanırken yetkisiz kart kullanımını önleyen ek bir koruma katmanından yararlanırsınız.
• Kullanıcı Dostu Deneyim: Çevrimiçi alışverişler sırasında kimliğinizi doğrularken basit ve güvenli bir kimlik doğrulama süreci yaşarsınız.
• Küresel Geçerlilik: Yazılım indirmenize veya hesap oluşturmanıza gerek kalmadan, dünya genelinde katılan çevrimiçi iş yerlerinde güvenli alışveriş yapabilirsiniz.
• Sıfır Sorumluluk: Kartınız kaybolduğunda, çalındığında veya çevrimiçi veya çevrimdışı olarak yetkisiz kullanıldığında oluşabilecek mağduriyetlerden korunursunuz. 
• Ters İbraz Sorumluluk Devri: Bir dolandırıcılık olayı gerçekleştiğinde finansal yükümlülüğe sahip olan tarafı belirleyerek mağduriyetinizin giderilmesini sağlarsınız.

• Visa Secure
  
• Mastercard Identity Check
  
• American Express Safekey
  
• Discover ProtectBuy
  
• JCB J/Secure
  
• China UnionPay 3D Secure

Bu yazıda, Visa'nın 3D Secure programı olan Visa Secure'i detaylı bir şekilde inceleyeceğiz.

Visa Secure

Eski adıyla Verified by Visa, yeni adıyla Visa Secure, Visa tarafından çevrimiçi işlemlerin güvenliğini artırmak için kullanılan programın adıdır. 3D Secure 1.0 protokolü için kullanılan Verified by Visa adı EMV 3D Secure geçişi ile birlikte güncellenmiş Visa Secure olmuştur. Temelde aynı hedeflere sahip olmakla birlikte daha gelişmiş bir protokol olan 3D Secure 2.0’a dayanmakta ve her çıkan yeni 3D Secure versiyonuyla beraber program kuralları da güncellenmektedir. 

Son çıkan EMV 3D Secure versiyonu v2.3.1.1’dir ve Visa da diğer kart ağları gibi kendi program kurallarını yeni çıkan özellikleri kapsayacak şekilde güncellemiştir. Visa Secure program kuralları ve sunduğu özellikler en son Nisan 2024 ayında güncellenerek paylaşılan Visa Secure Program Guide v1.5’te bulunmaktadır. 

Visa Secure programı ile Visa, kart sahipleri, kart veren kuruluşlar, işyerleri ve bankalar için bir e-ticaret ödeme işleminde aşağıdaki faydaları sağlamayı hedeflemektedir:

1. Optimize Edilmiş Onaylar: Dolandırıcılık savunmasında ek bir katman olarak kullanılarak yanlış pozitifler en aza indirilebilir, bu da artan otorizasyon oranına olanak tanır.
2. Operasyonel Giderlerin Azaltılması: Sahte anlaşmazlıkların ve bunlara bağlı kayıpların ve işlem maliyetlerinin azalması, daha sağlıklı bir finansal tabloya katkıda bulunur.
3. Tüketici Güveninin Artırılması: Satın alma anında daha güçlü kimlik doğrulama yöntemlerinin kullanılması, güvenliği artırır ve sürtünmeyi azaltır. Bu da tüketicinin güvenini artırarak işyerleri ve kart veren kuruluşlar için karlılığı artırır.

Visa Secure, kimlik doğrulamasını, yetkilendirmeyi desteklemek üzere etkileşimde bulunan üç ayrı alanı ve kullandıkları 3D Secure bileşenleri şöyle tanımlıyor: 

• İşyeri / Acquirer - 3DS Server / 3DS SDK
• Visa Interoperability - Directory Server
• Kart Veren Kuruluş (Issuer) - ACS

İş yerinden başlayan bir 3D Secure işlemi Visa aracılığı ile kart veren kuruluşun ACS’ine iletiliyor ve burada 3D Secure kullanıcı doğrulaması gerçekleştiriliyor. İşlemin sonucuna göre 2 veri (ECI ve CAVV) ACS tarafından oluşturuluyor ve otorizasyon mesajına eklenmek üzere işyerinin sanal POS’una iletiliyor. 

Electronic Commerce Indicator (ECI): ECI, işlem üzerinde gerçekleştirilen kimlik doğrulama seviyesini gösterir ve işyeri tarafından otorizasyon mesajına eklenir. Alabileceği değerler: 

•  Kart sahibi doğrulaması başarılı 
• İşyeri 3D doğrulama talebinde bulundu
• E-ticaret işlemi doğrulanmadı
  
  

Cardholder Authentication Verification Value (CAVV): CAVV, Visa Secure kimlik doğrulaması sırasında ACS tarafından oluşturulan Visa Secure'a özel şifreleme değeridir. CAVV, Visa Secure e-ticaret satın alımı için kartı veren kuruluşun kimlik doğrulamasını takip eden otorizasyon mesajıyla ilişkilendirir. Şu anda CAVV Usage 3 Version 7 kullanılmaktadır ve iletilen veri içerisinde 3D Secure işlem sonucu, doğrulama metodu, işlem ile ilişkili eşsiz veri gibi bilgiler yer almaktadır. ACS tarafından 3D işlemi içerisinde şifrelenen bu veri otorizasyon mesajında tekrar ıssuera iletilir ve otorizasyon mesajı ile 3D işlemi birbiri ile eşleştirilmiş olur.