E-ticaretin pazar payı hızla artarken, dolandırıcılık vakaları da bu trendle paralel bir yükseliş gösteriyor. Bu durum, güvenlik kaygılarının yanı sıra
e-ticaret işlemlerinin onay oranlarının, fiziksel ödemelerle kıyaslandığında daha düşük olmasına yol açıyor.

Bu bağlamda, EMV 3D Secure, tüketicilerin banka veya dijital cüzdanları aracılığıyla kullanıcı doğrulaması yapmalarını sağlayarak sorunsuz bir ödeme deneyimi sunmak için geliştirilen teknik bir spesifikasyon. Tüm 3D Secure uygulamaları bu spesifikasyona uygun olarak tasarlanmakta ve her yeni versiyonda yenilikler eklenmektedir. Bu sayede, hem güvenliği artırmak hem de e-ticaret işlemlerinde onay oranlarını yükseltmek amaçlanmaktadır.

Her kart ağının kendi 3D Secure programı vardır ve her biri temelde benzer şekilde çalışır.👇

Dolandırıcılık Koruması: Kartınızı iş yeri sitelerinde çevrimiçi olarak kullanırken yetkisiz kart kullanımını önleyen ek bir koruma katmanından yararlanırsınız.

Kullanıcı Dostu Deneyim: Çevrimiçi alışverişler sırasında kimliğinizi doğrularken basit ve güvenli bir kimlik doğrulama süreci yaşarsınız.

Küresel Geçerlilik: Yazılım indirmenize veya hesap oluşturmanıza gerek kalmadan, dünya genelinde katılan çevrimiçi iş yerlerinde güvenli alışveriş yapabilirsiniz.

Sıfır Sorumluluk: Kartınız kaybolduğunda, çalındığında veya çevrimiçi veya çevrimdışı olarak yetkisiz kullanıldığında oluşabilecek mağduriyetlerden korunursunuz.

Ters İbraz Sorumluluk Devri: Bir dolandırıcılık olayı gerçekleştiğinde finansal yükümlülüğe sahip olan tarafı belirleyerek mağduriyetinizin giderilmesini sağlarsınız.

Kart ağlarının güvenli ödemeler için uyguladığı 3D Secure programlarını ele aldığımız detaylı blog yazımıza web sitemizden ulaşabilirsiniz. Visa’nın 3D Secure programı olan Visa Secure’u keşfetmek için tıklayın!

EMV 3D Secure, e-ticaret sitelerinde yaptığınız ödemelerde ekstra güvenlik sağlayan bir kimlik doğrulama yöntemidir. Ödeme sırasında cep telefonunuza gelen bir doğrulama kodu ile işlemi tamamlarsınız, böylece kart bilgileriniz güvende olur. Visa Secure, Mastercard Identity Check ve Amex Safekey gibi popüler kart programları da bu teknolojiyi uygular.

1999 yılında Europay, Mastercard ve Visa tarafından kurulan EMVCo, ödeme işlemlerinin güvenliğini sağlamak ve teknolojik altyapıyı geliştirmekle sorumludur. Zamanla American Express, Discover, JCB ve UnionPay gibi büyük ödeme ağlarının katılımıyla global bir yapı haline gelmiştir. EMVCo’nun geliştirdiği standartlar, dünya genelinde kartlı ödemelerde sahteciliği önlemeyi amaçlar ve hem mağaza içi hem de online işlemler için kritik bir rol oynar.

Güvenli bir ödeme altyapısı sunmak isteyen finansal kuruluşlar Finartz 3D Secure gibi EMVCo sertifikalı bir ürünü alarak kart şemalarının programlarına dahil olabilirler. Her kart şeması, programa dahil olmak isteyen finansal kuruluşu veya 3D Secure servis sağlayıcısını kendi program kurallarına uygunluğu teyit etmek için teste tabi tutar. EMVCo sertifikalı bir ürünün kullanılıyor olması, PCI 3DS uyumluluğuna sahip olunması ve programa özel testlerden başarıyla geçilmesi durumunda kart networküne dahil olunabilir ve ödeme işlemlerinde EMV 3D Secure kullanılmaya başlanabilir.

EMV 3D Secure’un nasıl çalıştığı, yazılımların sertifikalandırılması ve bu sürecin sizin güvenliğinize nasıl katkı sağladığına dair detaylı bilgi almak için blog yazımızın tamamını okumak üzere web sitemizi ziyaret edebilirsiniz.

Bu yazıda çevrimiçi e-ticaret ödemelerinde kullanıcı deneyimi ve güvenliğin nasıl birlikte güçlendirilebileceğine odaklanacağız. Doğası gereği bankaların hareket alanları katı regülasyonlar ile sınırlandırılırken yeni nesil fintech şirketleri daha rahat hareket edebiliyor ve sundukları kullanıcı deneyimi ile rekabet avantajı elde edebiliyorlar. Hem bankaların regülasyonlara uygun bir şekilde kullanıcı deneyimini iyileştirmeleri hem de fintechlerin dolandırıcılığa karşı yüksek güvenlikli önlemler alabilmeleri henüz her alanda olmasa bile e-ticaret ödemeleri için mümkün.

Günümüzde bankalar, ödeme kuruluşları ve e-para kuruluşları çevrimiçi alışverişte ödeme alınabilmesi için arka planda beraber çalışıyorlar. Çevrimiçi alışverişin payı toplam ticaret içerisinde arttıkça dolandırıcılar için de her geçen gün daha çekici bir alan haline geliyor. E-ticaret işyerleri ve ödeme altyapısı sağlayan finansal kuruluşlar bir yandan en kolay ve hızlı yoldan ödeme yapılabilmesini sağlamaya çalışırken bir yandan da değişen ve gelişen dolandırıcılık yöntemlerine karşı önlemler almak durumunda kalıyorlar. Çevrimiçi ödeme yöntemlerinden en büyük paya sahip kartlı ödemelerin güvenliğinin sağlanması konusunda ise son 30 yıldır odaklanılan yaklaşım kart sahibinin alışveriş sırasında doğrulanması.

Kullanıcı Deneyimi ve Güvenlik

Çevrimiçi ödemelerde kullanıcı deneyimi ve güvenlik kavramları birbirine rakip güçler olarak görülmeye oldukça yatkın. Kart sahibini alışveriş sırasında doğrulayan yöntemler kimlik doğrulama sürecinde kullanıcı açısından gecikmeye ve fazladan adıma neden olduğundan akışı sekteye uğratarak sürtünmeye neden olabiliyor. Dolayısıyla müşterinin ödeme yolculuğunu kesintiye uğratan bu yöntemler olumsuz bir alışveriş deneyimine yol açtığından kullanıcı deneyimi ve güvenlik çekişmesini azaltmak için etkili olamıyor. Teknolojinin ve kullanıcı beklentilerinin geldiği yeri göz önünde bulundurduğumuzda artık güvenliği sağlarken kullanıcı deneyiminin iyi ya da kötü etkilenmesi kaçınılmaz olmadığı gibi güvenlikten feragat etmek de bir zorunluluk değil. Doğru ürünler ve teknolojiler ile hem deneyim hem de güvenlik aynı anda mümkün olabiliyor. Hatta doğru şekilde yapıldığında güvenlik aslında deneyim için büyük bir geliştirici olabiliyor. Örneğin iPhone’daki FaceID doğrulaması. Sizin için yüzünüzden daha benzersiz ne olabilir? Bu uygulamanıza erişmek için hiçbir tuşa basmak zorunda olmadığınız ve güvenli olduğunu bildiğiniz bir çözüm.

Peki kimlik doğrulama adımlarını kullanıcı için sorunsuz bir deneyim ve kuruluşunuz için güvenli bir ortam yaratacak şekilde dengelemek mümkün mü?

Teknolojinin hızla ilerlemesi, işimizi daha karmaşık hale getiriyor gibi görünebilir, ancak aslında bu yeni fırsatları keşfetmemize olanak tanıyor. Dolandırıcılığı önlemek ve kullanıcı deneyimini geliştirmek söz konusu olduğunda doğru ürünleri seçmek gerçekten de başarının anahtarı.

Bu seçimler, işimizi daha güvenli hale getirirken müşterilerimize daha iyi bir alışveriş deneyimi sunmamıza yardımcı olabilir. Şimdi neler yapabileceğimizi daha yakından ele almak için dolandırıcılığı azaltmada ve kullanıcı deneyimini geliştirmede bize yardımcı olabilecek bazı teknolojileri inceleyeceğiz.

Risk Analizi ile Kesintisiz Doğrulama

Alışveriş sepetinin terk edilmesinde ana nedenin ek doğrulama adımları ve buralarda yaşanan problemler olduğunu hepimiz biliyoruz. Güvenliği ve kullanıcı deneyimini bir arada sunan risk bazlı kimlik doğrulama yöntemi siz ödeme işleminizi gerçekleştirirken arka planda konum, cihaz bilgisi gibi geçmiş hareketlerinizi analiz ederek zaman kazandıran bir alternatif sunuyor. Kullanıcı tanınan ve güvenilen bir cihazdan mı giriş yapıyor, beklenen bir konumdan mı yoksa uzak, potansiyel olarak şüpheli bir konumdan mı işlemi gerçekleştiriyor gibi soruları sizin için arka planda değerlendiriyor. Tüm bu faktörlerin analizine dayanan bir risk puanı değerlendirmesini size hiç hissettirmeden birkaç milisaniye içinde yapıyor ve ödeme işleminin kesintisiz bir şekilde tamamlanmasını sağlıyor. Şu anda Türkiye’de güvenli e-ticaret işlemlerinin tamamı kullanıcının aktif olarak kendisini doğrulamasını gerektiriyor. Yurt dışında ise artan oranlarda çevrimiçi işlemlerin büyük verinin analiz edilerek kullanıcı etkileşimine gerek kalmadan doğrulamanın yapılması söz konusu.

En sık kullandığınız e-ticaret işyerinden bir alışveriş yaptınız ve aynı alışverişi çok kısa bir süre içerisinde aynı işyerinden tekrarlayacaksınız. Günümüz teknolojileri ikinci işlemin güvenli olduğuna ve sizin tarafınızdan yapıldığına karar vermek için işlem anında aktarılan verileri analiz edebiliyor ve gereksiz ek doğrulama adımlarına başvurmadan ödemenizi tamamlayabiliyor.

Geçiş Anahtarları (Passkeys) ile Doğrulama

Her bir uygulama veya web sitesi için ayrı bir şifre oluşturmak, bu şifreleri güncel tutmak ve son 5 şifre ile çakışmamalarını sağlamak hepimiz için karmaşık bir görev halini aldı. Bu karmaşık şifre yönetimi sorunu, gelecekte şifresiz bir dünyanın kapılarını aralamak için bizleri oldukça hevesli hale getirdi. Şifrelerin olmadığı güvenli bir internet deneyimi hızla yaygınlaşıyor. Şifresiz yeni dünyada hayatımıza girmeye başlamış olan Geçiş Anahtarları, bir web sitesine kayıt olurken ve sonraki girişlerde kullanıcı doğrulaması yapmak için en çok tercih edilecek yöntem olacağa benziyor.

FIDO tarafından geliştirilen ve akıllı cihazlarımızda yerini almaya başlayan Geçiş Anahtarları kullanıcıların şifre yazma ve hatırlama ihtiyacını ortadan kaldırmak amacıyla hareket ediyor. Microsoft, Apple, Google gibi büyük teknoloji oyuncuları tarafından desteklenen bu teknoloji güvenlik ve kolaylığı artırmak için hızla yaygınlaşıyor. Bu yöntemle tek seferde oluşturulan geçiş anahtarı ile daha sonraki girişlerde kullanıcının kendisini tek bir tıklama ile doğrulayabilmesi mümkün hale geliyor. Artık son güncelleme sonrası tekrar giriş yapmak istediğiniz favori uygulamanıza şifrenizi hatırlamakta zorlanmayacağınız, kriptografik bir altyapı ile güvenliğinizi sağlayan geçiş anahtarınızı seçerek giriş yapabileceksiniz. Henüz tüm alanlarda uygulanmamış olsa da bahsettiğimiz gelişmeler, gelecekte e-ticaret ödemelerinin hem güvenli hem de kullanıcı dostu bir deneyim sunabileceği umuduyla bizi aydınlatıyor.

Bir tıklama ile yüksek güvenlik sağlayabilen Geçiş Anahtarları, özellikle e-ticaret ödemeleri gibi güvenlik ve hız beklediğimiz işlemler için kullanılabilir mi?

E-ticaret ödemeleri sırasında yüksek güvenliği tek bir tıklamayla sağlayabileceğiniz bir doğrulama yöntemini mi tercih ederdiniz yoksa hala telefonunuzun mesajlar bölümünden doğrulama kodu aramak, hızlıca kopyalamak veya hafızada tutmaya çalışmak zorunda olduğunuz, ya da bankanızdan geldiği söylenen ancak bulmakta zorlandığınız mobil bildirimlerle uğraşmayı mı? Kullanıcılar için seçenekler hızla artmaya devam ederken arka planda e-ticaret ve ödeme altyapısı sağlayan finansal kuruluşlar, yenilikçi teknolojileri müşterilere sunma konusunda karşılaştıkları önemli bir engelle baş başalar: Geleneksel alışkanlıklardan ayrılma zorluğu.

Regülasyonlara uygun bir şekilde hareket eden finans sektörü oyuncuları ve daha geniş hareket kabiliyetine sahip e-ticaret ve ödeme altyapısı sağlayan fintech kuruluşları Secureartz çevrimiçi güvenli ödeme çözümlerimiz ile yeni teknolojileri kullanarak e-ticaret ödemelerinde daha iyi bir deneyim sunma ve güvenliği artırma potansiyelini yakalayabilirler.

#RBA #Passkeys #FIDO #3DSecure

Bir önceki blog yazımızda e-para kuruluşları için dijital cüzdan uygulamalarının ne ifade ettiği üzerinde durmuştuk. Bugün ise odak noktamızı bankacılık sektörüne çeviriyoruz. Bu blog yazısında geleneksel ve dijital bankaların dijitalleşme süreçlerinde farklı çıkış noktalarından yola çıkarak, aynı hedefe ulaşmak için dijital cüzdan uygulamalarını nasıl benimsediklerini keşfedeceğiz.

Kullanıcılar 2020 yılından bu yana her zamankinden daha hızlı dijital kanallara geçiş yapıyor. Dijitale dönüşüm uzun yıllar önce başlayan ve hızlanarak devam eden bir dönüşüm yarattı. Dolayısıyla işletmelerin faaliyet gösterme ve müşterileriyle iletişim kurma şeklini değiştirirken bankacılık sektörünü de etkiledi. Halihazırda devam etmekte olan online ve mobil bankacılığa geçişi hızlandıran bu gelişme, finansal işlemleri dijitalleştirmeye yönelik beklentilerle birlikte bankaların müşterilerine hizmet vermenin yeni yollarını aramaya başlamasına neden oldu.

Bankaların Dijital Cüzdan Kullanımı

Geleneksel bankaların dijitalleşme süreci, önce internet bankacılığı ve mobil bankacılık gibi dijital kanalların kullanıma sunulması ile başladı. Bu değişim banka şubelerinde aldığımız hizmetleri dijitale taşıdı. Başlangıçta gündelik hayatımızda yaşadığımız ödeme deneyiminde radikal bir değişiklik yaratmazken daha sonrasında fiziksel şubeleri aracılığıyla hizmet veren geleneksel bankalar dijital cüzdanlarını çıkarmaya başladılar. Bu dönemde ülkemizde de World, Bonus, Axess gibi örnekleri bulunan kart ve kart programları kampanyalarının ön planda olduğu sadakat ve kart odaklı cüzdanlar geliştirildi.

Bu cüzdan modeliyle birlikte geleneksel bankalar müşterilerine kartlarını dijital cüzdanlarında görüntüleyebilme, ödeme yapabilme ve kampanyalardan daha kolay haberdar olabilme imkanı sağladılar. Bu sayede kullanıcılar ilgili kampanyaların hepsine tek bir noktadan ulaşabilir, kart ekstreleri ve limitleri gibi finansal bilgilerine erişebilir hale geldiler. Hatta dijital cüzdanlarını NFC ve QR ile ödeme teknolojileriyle birlikte pos cihazlarında kullandılar. BKM Express ise bu aşamada başlangıçta e-ticaret işlemlerinde kullanımı hedefleyen, tüm bankaların kartlarını saklayabilen ve kart numarasının sadece ilk 6 ve son 4 rakamı ile işlem yapılabilen güvenli bir cüzdan oluşturarak konuyu farklı bir boyuta taşıdı.

Şu ana kadar odaklandığımız temel düşünce, geleneksel bankaların mevcut müşteri ödeme deneyimini dönüştürme ve müşterilerine kolaylık sağlama hedefinde olmaları üzerineydi. Ancak günümüzde dijital bankaların yükselişiyle birlikte bu durum değişmeye başladı.

Dijital bankaları geleneksel bankalardan ayıran en belirgin özellikler, şubelerinin olmaması ve hizmetlerini tamamen dijital kanallar üzerinden sunmaları. Söz konusu dijital bankalar, geleneksel bankalardan farklı olarak dijital doğarlar ve yeni kurulan bankalar oldukları için öncelikli hedefleri arasında kullanıcı sayılarını arttırmak vardır. Dolayısıyla dijital cüzdanlar, hızlı müşteri edinimi sağlayabilen, dijital dünyaya daha yakın olan genç neslin ihtiyaçlarına kolaylıkla cevap verebilen, cashback gibi yeni nesil kampanyaların kurgulanabildiği uygulamalar olarak karşımıza çıkıyor. Özetle dijital cüzdanlar tekrar sahnede yer alıyor, ancak bu kez sadece kartları saklamak ve kampanyalar sunmakla kalmıyorlar. Artık kullanıcıların temel finansal ihtiyaçlarını karşılayan ve sadakat programları sunabilen bir yapıdalar.

Dijital Cüzdanlar Aracılığıyla Üretilen Değer

Günümüzde geleneksel bankaların dijital cüzdanları da dahil olmak üzere, sadece bir akıllı telefon ve internet erişimi ile banka hesabı olmayan kullanıcıların dahi ödeme yapma, havale alma hatta kredi veya sigorta hizmetlerine erişim gibi çeşitli finansal faaliyetleri gerçekleştirebildiği bir ekosistem içindeyiz.

Bu ekosistem içindeki geleneksel bankacılık anlayışında, mevcut müşterilere daha üstün bir deneyim sağlamak amacıyla oyunlaştırma ve sadakat programları öncelik taşırken, dijital bankacılıkta ise temel amaç, nakit iadesi(cashback), oyunlaştırma(gamification) ve sadakat programlarıyla ilk müşteri kazanımını bu kanaldan gerçekleştirmek oluyor. Dijital cüzdanlar; e-ticaret platformlarına kusursuz entegrasyon, bankacılıkta sundukları kolaylıklar, oyun, telekomünikasyon ve mobilite gibi farklı sektörler üzerindeki dönüştürücü etkileri ile birçok alanda değerini kanıtlıyor.

Dijital cüzdan yazılımına mı ihtiyacınız var?

Payartz ekibi olarak ödeme teknolojileri platformumuz aracılığıyla e-para şirketi, banka, perakende, mobilite gibi sektörünüze özel ihtiyaçlarla uyumlu dijital cüzdan çözümleri sunuyoruz.

Güncel talep ve regülasyonlara uyumlu % 100 API tabanlı altyapımız ile fintech alanındaki yeni gelişmelere karşı hazır olmanızı sağlayacak bir altyapı sağlıyoruz.

#dijitalcüzdan #dijitalcüzdanyazılımı #dijitalcüzdanaltyapısı

E-para kuruluşları, ödeme hizmetleri sunmak amacıyla e-para ihraç etme yetkisine sahip olan kuruluşlardır. Bu izinleri, dünya genelindeki finansal düzenleyici otoriteler tarafından belirlenen kurallar ve düzenlemelere tabi olarak alırlar. Dijital cüzdanlar ise e-para kuruluşlarının sunduğu sihirli araçlardır. Bir dijital cüzdan kullanarak ödemeler yapabilir, para transferleri gerçekleştirebilir ve diğer finansal işlemlerinizi kolayca halledebilirsiniz.

Türkiye’de, 2013 yılında yürürlüğe giren 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” ödeme sistemleri ve elektronik para kuruluşları alanında düzenlemeler getirmiştir ve bu kanunla elektronik paranın yasal statüsü ilk kez belirlenmiştir. Kanunun amacı elektronik ödeme hizmeti sağlayıcılarının finansal sistem etkinliğini incelemek ve güvenilirliğini arttırmaktır. Ayrıca bu kanunla elektronik ödeme kuruluşları için standartlar belirlenerek sektörün uyumunu sağlamak ve finansal istikrarı güvence altına almak hedeflenmiştir. Bu gelişmeler ışığında ülkemizin mevzuatında ilk defa “ödeme hizmeti”, “ödeme kuruluşu” ve “elektronik para kuruluşu” gibi kavramlar tanımlanmıştır. Bu tanımlar sayesinde, elektronik para düzenlemeleri daha net bir şekilde belirlenmiş ve bu alanda faaliyet gösteren kuruluşlar için bir düzen oluşturulmuştur. 2015 yılına gelindiğinde ise ödeme hizmetlerine ilişkin düzenleme ve denetim yetkisi BDDK’dan Türkiye Cumhuriyeti Merkez Bankası’na geçmiştir ve bunu takiben 2019 yılında ödeme hizmeti sağlayıcılarının yetkileri genişletilerek açık bankacılık faaliyetlerinde bulunma yetkisine de sahip hale gelmişlerdir.

6493 sayılı kanundaki gelişmelerde günümüze yaklaşırken, 2021 yılında ödeme hizmeti sağlayıcıları için gereken sermaye miktarı artmış ve ödeme hizmeti lisansı alabilmek için adımlar güçleşmiştir. Aynı zamanda, kuruluşlar için açık bankacılık standartları belirlenmiş ve etkili kimlik doğrulama sistemlerinin kullanımı zorunlu hale getirilmiştir. Bu değişikliklerin ötesinde, kullanım faaliyetlerinin denetimi için kuruluşların BKM tarafından oluşturulan iş yeri kayıt sistemine katılması gerekliliği de getirilmiştir. Günümüze ilişkin güncel verilere bakıldığında ise 2023 yılı itibariyle ülkemizde halihazırda lisanslı olarak faaliyet gösteren 48 elektronik para ve 27 ödeme kuruluşunun resmi kayıtlara geçtiği görülmektedir.

E-para kuruluşları fiziksel şubelere ihtiyaç duymaksızın, çevrimiçi ve mobil kanallar üzerinden hizmet sunar. Bu kuruluşlar, kullanıcıların finansal işlemlerini dijital platformlar aracılığıyla gerçekleştirmelerine imkan tanır. Aynı zamanda dijital cüzdanlar, mobil ödeme uygulamaları ve çevrimiçi bankacılık gibi teknolojik çözümler üzerine odaklanarak müşterilere daha hızlı, erişilebilir ve kullanıcı dostu bir bankacılık, ödeme ve finansmana erişim deneyimi sunmayı hedefler.

Başlangıçta ön ödemeli kartları merkeze alarak kullanıcılarıyla bir temas noktası yakalayan e-para şirketleri, dijital cüzdanın getirdiği çok daha geniş kapsamlı özellik setiyle kullanıcılarıyla olan etkileşimlerini dijital cüzdanlara doğru yönlendirmişlerdir. Bu nedenle dijital cüzdanlar e-para kuruluşlarının yol haritasında önemli bir yer tutmaktadır.

Günümüzde e-para kuruluşları dijital cüzdanları aracılığıyla kullanıcıların para transferi, alışveriş ödemeleri, fatura ve farklı kurum ödemeleri ile gündelik finansal ihtiyaçlarını karşılayabiliyor. Gündelik finansal ihtiyaçları dijital cüzdanın yalın arayüzüyle kullanıcılarına sağlarken, cashback (alışverişte para iadesi) gibi sadakat programları, gamification (oyunlaştırma) yaklaşımları ve kişisel harcama yönetimi özellikleri ile kullanıcıları için finansal hizmet deneyimini dönüştürüyorlar.

Peki bir e-para kuruluşu dijital cüzdan çözümü edinirken nelere dikkat etmeli?

Pek çok etkileyici faktör göz önünde bulundurulabilir ancak burada ana hatlarıyla üç önemli madde üzerinde durmak faydalı olacaktır.

• Özelleştirilebilir ön yüz ve fonksiyonlar: Kendi finansal ekosisteminizi yaratırken standartların dışına çıkmanız gerekebilir.
• Güvenli ve ölçeklenebilir bir altyapı: Bir finansal uygulamanın gerektirdiği güvenliği sağlarken dijital dünyanın hızına ulaşabilmek için performansa ihtiyacınız olacak.
• Farklı fintek ürünleriyle entegre çalışabilme: Yeni işbirlikleri ile kullanıcılarınıza sunduğunuz finansal hizmetleri genişletmek isteyebilirsiniz.

Payartz

Fintek ürünleri oluşturma ve ölçeklendirme konusunda uzun yıllara dayanan deneyime sahip olan Finartz ekibi olarak, Payartz markamız altında ödeme teknolojileri platformumuzu oluşturduk. Bu platform altında geliştirdiğimiz dijital cüzdan çözümümüz ile e-para şirketi, banka, perakende, mobilite gibi sektörünüze özel ihtiyaçları içeren dijital cüzdanınızı geliştiriyoruz. Güncel talep ve regülasyonlara uyumlu % 100 API tabanlı dijital cüzdan altyapımız ile fintech alanındaki yeni gelişmelere karşı hazır olmanızı sağlayacak bir altyapı sağlıyoruz.

#dijitalcüzdan #dijitalcüzdanyazılımı #dijitalcüzdanaltyapısı

İnternet üzerinden yapılan kartlı ödemelerde “Güçlü Kimlik Doğrulama (SCA)” AB Ödeme Hizmetleri Direktifi (PSD2)’nin bir gerekliliğidir. Bu gereklilik, elektronik ödemelerin güvenliğini artırmak için ödemelerin çok faktörlü kimlik doğrulama ile yapılmasını sağlar.

Özellikle ödemelerin dijitalleşmesiyle birlikte dolandırıcılık sayısı ve dolandırıcılığa konu olan para miktarı da önemli ölçüde arttı. Dijitalleşmeyi artıran pandemi öncesinde Hindistan Merkez Bankası’nın 2018–19 verilerine göre dolandırıcılık sayısı yüzde 15 artarken, dolandırıcılığa konu olan para miktarı da yüzde 74 arttı. Business Insider’a göre dünyanın en büyük 5 bankası dolandırıcılık nedeniyle yaklaşık 65 milyar dolar kaybetti. Pandemi sırasında, hesap devralma olarak dolandırıcılık 2019'da %34 iken 2020'de %54'e yükseldi. Çevrimiçi dolandırıcılıkların şirketlerin kârlarının %1,8'ine mal olduğu da tahmin edilen veriler arasında bulunuyor. Verilere baktığımızda dijitalleşme ile birlikte çevrimiçi işlemler için daha gelişmiş güvenlik sistemlerinin gerektiğini söyleyebiliriz.

Bir diğer yandan finans sektörünün en önemli oyuncularından olan bankalar, ülkelerin makro ekonomik performansını doğrudan etkileyebilecek finansal kuruluşlar olarak biliniyor. Ülkelerin makro ekonomik durumuna bu kadar etki eden kuruluşların kontrol edilmesi ve düzenleyici anlamda belirli sınırlar içinde tutulması, devlet yetkililerinin olası krizleri önlemek için aldığı tedbirler arasında bulunuyor.

Bankalar, yetkililerin tahmin ettiğinden daha yüksek risk alma potansiyelinde olsalar dahi iş performansı ve karlılıkları, risk faktörleri ile orantılı olarak değişme eğilimindedir. Bu nedenlerden dolayı bankalar ciddi risk değerlendirme süreçlerine sahiplerdir.

Bankalar devlet otoriteleri tarafından sıkı bir şekilde denetlenirken, şirket anlayışlarını bu denetim öncülleri doğrultusunda geliştirmişlerdir. Bu denetim mekanizmaları ve üstün nitelikli düzenlemeler finans sektöründe inovasyon ihtiyacını ortaya çıkarmıştır. Gelişmiş kullanıcı deneyiminin sağladığı faydaların çeşitli gelişim fırsatlarını da beraberinde getirdiğini düşündüğümüzde, finans sektörü inovasyon konusunda yetersiz kalmaya başlamış ve bu durum sektörle ilgili yeni arayışların da önünü açmıştır. Fintech şirketleri ise ürettikleri yenilikçi çözümlerle birlikte sektörde büyük bir açığı kapatmayı amaçlayan kuruluşlar olarak ön plana çıkıyorlar.

Üçüncü kaynaklar, bireylerin alışveriş deneyimini zenginleştiren yenilikçi çözümler sunarken güvenlikten de ödün vermemeleri gerekiyor. Kişilerin gizli finansal verileri hassas bir yapıya sahip olduğundan dolayı fintech’lerin regülasyonlara uygun çözümler üretmeleri gerekiyor. Fintech endüstrisinin sunduğu inovasyon günümüzde bir ihtiyaç iken, artan oyuncu sayısı güvenlikle ilgili bazı soruları da beraberinde getiriyor. PSD2, sektördeki fintech oyuncularının önünü açarken gerekli kıldığı Güçlü Kimlik Doğrulama Sistemi ile de dijitalleşme nedeniyle artan dolandırıcılık oranlarının en aza indirilmesini hedefliyor. SCA yani Güçlü Kimlik Doğrulama’nın işleyiş sürecini gelin birlikte inceleyelim.

En az iki veya daha fazla faktörlü kimlik doğrulama aşağıdaki şekilde sınıflandırılır:

Çevrimiçi bir işlemin Güçlü Kimlik Doğrulama (SCA) gereklilikleriyle uyumlu olması için kullanıcıların yukarıdaki bilgilerden en az ikisini kullanarak kimliğini doğrulaması gerekmektedir.

Müşterilerin kimlik doğrulaması ise şu durumlarda başlatılmalıdır;

• Müşterinin ödeme hesabına giriş yapması
• Elektronik ödeme başlatması
• Ayrı bir kanal kullanılsa bile ödeme güvenliği açısından dolandırıcılık riski oluşturan bir eylemin olması

Elektronik ödeme yöntemlerinin çok çeşitli olması ve Güçlü Kimlik Doğrulama şartının her işlemde yerine getirilememesi uyum süreçlerinde eksikliklere neden olmaktadır. Bu ve bazı durumlarda riskin belli bir seviyenin altında olması sebebiyle Güçlü Kimlik Doğrulama uygulanmayacak işlemler için bir “muafiyet listesi” hazırlanmış ve yayınlanmıştır. Oluşturulan muafiyet listesinde risk analizi ile yapılan işlemler, düşük tutarlı ödemeler, yinelenen ödemeler, kurumsal ödemeler, gibi SCA şartının dışında kalan işlemlere detaylı şekilde yer veriliyor. Elimizdeki verilere göre AB’de SCA şartının dışında tutularak gerçekleşen işlemler 2020’nin dördüncü çeyreğinde %12 iken Nisan 2021’e kadar olan süreçte ise %35 oranında olduğu görülmüştür. Verileri incelediğimizde muafiyet listesinde SCA şartı olmadan gerçekleştirilen işlemlerin hacminin arttığını görüyoruz. En sık uygulanan SCA muafiyetleri risk analizi ile yapılan işlemlerde olmuş ve bunu devamında düşük tutarlı işlemler, tekrarlanan işlem muafiyetleri izlemiştir.

Güçlü Kimlik Doğrulama (SCA)’nın Satışlara Etkisi

Elektronik ödeme işlemleri, belirli uzmanlık alanlarına sahip çok sayıda oyuncunun dahil olduğu karmaşık yapılar üzerine kuruludur. Bu yapıda, işletmelerin belki de en son isteyeceği şey, işlemlerdeki bir veya daha fazla oyuncunun hatası veya eksikliğinden dolayı işlemin satışa dönmemesi ve hata almasıdır. Bu, Güçlü Kimlik Doğrulama (SCA)’nın en büyük risklerinden biridir. Bu risk ile beraber işletmeler, daha fazla satışın reddedilme veya terk edilme durumuyla karşı karşıya kalmaktadırlar. Barclaycard Payments’tan elde edilen veriler, İngiltere’de SCA’nın zorunlu hale gelmesinden bu yana günde 4,3 milyon sterlin değerinde 22.000'den fazla işlemin reddedildiğini gösteriyor. Açıklanan verilerde Perakende satıcılarının ise Güçlü Kimlik Doğrulama (SCA) kurallarına tam olarak uymamaları nedeniyle şimdiye kadar 130 milyon sterlin değerinde satış kaybettiğini görüyoruz.

Güçlü kimlik doğrulama ile doğrulama yükümlülüklerinin artması ve iki faktörlü doğrulamanın gerekliliği, tüketicilerin sağlaması gereken bilgi veya verileri artırarak doğrulama sürecini uzatıyor ve satın alma deneyimini olumsuz etkileyebiliyor. Bunun sonucunda ise ödemeler daha güvenli hale gelirken internet alışverişlerinde iptal oranlarının da artacağı öngörülüyor. İptal oranlarının artması ise satışların azalması anlamına gelirken ayrıca verimsizlikler ve kötü müşteri deneyimi marka algısına da zarar verebiliyor. Bu sebeple, SCA bir gereklilik olmadan önce, ödeme sırasında sürtünme yaşanması ve alışveriş terk etme oranının yüksek olmasından dolayı perakende ve pazar yerlerinin çoğu güçlü kimlik doğrulama öğelerini kullanmayı tercih etmiyordu.

Elimizdeki verilere göre SCA gereksinimleri kapsamında müşterilerin kimliklerinin doğrulamaları istendiğinde tarayıcı tabanlı işlemlerin %14'ünü ve uygulama tabanlı işlemlerin %25'ini terk ettiği görüldü. Ancak bu kayıpları önleyecek ve sürtünmesiz bir alışveriş deneyimi yaşatacak bir fintech çözümü var: 3D Secure 2 Teknolojisi.

3D Secure, Güçlü Kimlik Doğrulama’yı destekleyen ve ödeme akışına sahip tüm kuruluşların uyum sağlamaları gereken bir teknoloji olarak karşımıza çıkıyor. 3D Secure, kullanıcılara PSD2 uyumlu Güçlü Kimlik Doğrulama’nın gerekliliklerini karşılayacak bir sistem sağlarken dolandırıcılık (fraud) riskini azaltarak son kullanıcıya da akıcı bir ödeme deneyimi yaşatıyor.

Bu yazımızda son zamanlarda ödeme dünyasının gündeminde olan Güçlü Kimlik Doğrulama’yı sizlere aktardık.

Ödeme teknolojilerinin geleceğini merakla bekliyor ve yakından takip etmeye devam ediyoruz. Gelecek yazılarımızda görüşmek üzere, keyifli okumalar :)

Güçlü Kimlik Doğrulama (SCA) Nedir? was originally published in Finartz on Medium, where people are continuing the conversation by highlighting and responding to this story.

Yapay zeka, son günlerde dünya gündemini olduğu gibi ülkemizin gündemini de oldukça meşgul etmektedir. Kimilerine göre yapay zekanın gelişimiyle istihdam artacak, yeni çalışma alanları ortaya çıkacak, insanlık için büyük fırsatlar doğacaktır. Diğer yandan ise uygulamada insan gücüne duyulan ihtiyacın azalacağı, insan eliyle yapılan çoğu şeyin yapay zeka aracılığıyla yapılacağı bu nedenle de büyük bir işsizliğe yol açacağı düşünülmektedir. “Çoğu zaman yapay zeka insanın yerini alacak mı, insanlığı yok edecek mi?” gibi sorular herkesin aklını kurcalamaktadır. Peki aslında yapay zeka nedir?

Tarihin ilk zamanlarından beri insanların aklında cansız varlıkların zeki varlıklar haline getirmek vardı. Fakat yapay zeka ismini resmi olarak ilk defa John McCarthy öncülüğünde 1956 yılında ‘Dartmouth College Artificial Intelligence’ konferansında ortaya atılmış ve temelleri oluşturulmuştur. İlk yapay zeka laboratuvarı ise 1959 yılında Massachusetts Teknoloji Enstitüsü’ nde (Massachusetts Institute of Technology-MIT) John McCarty ve Marvin Minsky tarafından kurulmuştur.

Günümüzdeki yapay zeka tanımlamasının yapılabilmesi için ise en önemli adım ise ‘Perseptron’ tanımının yapılmasıdır. Bir psikolog olan Rosenblatt, Perseptron’u beyinlerimizdeki nöronların nasıl çalıştığının basitleştirilmiş bir matematiksel modeli olarak tasarladı. Yapısal olarak nöron’u 5 parça da inceleyebiliriz.

Dentritler (Dendrites): Bir sinir impulsunu hücresel gövde boyunca ileten tipik biçimde dallı sinir lifi. Sistem girişidir.

Çekirdek (Nucleus): Hücre gövdesinde yer alır ve hücrelerin işlevleri için enerji üretmekten sorumludur.

Akson (Axon): Dendritler tarafından alınarak hücre gövdesine iletilen uyartıları alarak bir başka nöronun dendiritine taşımakla görevlidir.

Miyelin Tabaka (Myelin Sheath): Uyartıların akson boyunca daha hızlı iletilmesini sağlar.

Sinaps (Synapse): Bir nöronun akson ucu ile diğer nöronun dendritinin birbirine bağlanmasını sağlar

Biyolojik nöronun matematiksel tanımı olan perseptronun ise yapısal olarak 4 parçaya bölebiliriz.

1. Input Values
2. Weights and Bias
3. Weighted Sum
4. Activation Function

x: Input W: Weight b: Bias

Ağırlık ile girilen değer çarpılıp bias eklenmesiyle sonucumuz ortaya çıkar. Burda öğrenme için en önemli şey en iyi sonucu veren Weight ve Bias değerlerinin hesaplanmasıdır.

Ancak bu yöntemle birlikte AND ve OR düzlemde iki ayrı gruba ayrılabildiği için doğru sonuçlar alınsa da, XOR için bunu gerçekleştirilememektedir. Bu olaydan sonra yani ‘AI Winter’ olarak bilinen dönemde yapay zeka geliştirme sürecini eleştiren birçok rapor yayınlandı. Bu raporlardan sonra devletlerin yapay zekaya olan ilgisi ve desteği azalmıştır.

Multi-Layer Perceptron XOR işlemini gerçekleştirmek için yapılan araştırmalar sonucunda bulunmuştur. Rumelhart ve arkadaşları tarafından geliştirilen bu modeli ‘Backpropagation Model’ olarakta bilinmektedir. Multi-Layer Perceptron özellikle sınıflandırma ve genelleme yapma durumlarında etkin çalıştığı için yapay zeka’nın yeniden önem kazanmasında ve günümüzdeki konumuna gelmesinde etkisi çok büyüktür.

Multi-Layer Perceptron

Yapay zekanın yeniden önem kazanmasıyla birlikte 1994 yıllında Yann LeCun, Leon Bottou, Yosuha Bengio ve Patrick Haffner LeNet-5 olarak adlandırdığı Konvolüsyonel Sinir Ağı, MNIST (Modified National Institute of Standards and Technology) veri seti üzerinde deneyler yapmıştır. 32x32 gri tonlamalı olan bu görüntüler sonucunda çıktı olarak 0 ile 9 arasındaki rakamlara karşılık gelen 10 değer bulunmaktadır.

Günümüzde, tıpta kanserli hücrelerin tespitinde, haberleşme sektöründe, görüntü ve veri sıkıştırmada, savunma sanayiinde ve günlük hayatta kullandığımız birçok uygulamada yapay sinir ağlarıyla sınırlı olmadan genetik algoritmalar, fuzzy logic, görüntü ve doğal dil işleme gibi bir çok alanda çalışmalar devam etmektedir.

Yapay zeka hayatımızın her alanında başrol olmaya başladı. Günümüze kadar ulaşan araştırmalar ile yapay zeka geleceğimizi şekillendiriyor. Bir zamanlar sadece bilim kurgu filmlerinde görülen icatlar günlük hayatta yerlerini almaya ve insan hayatına adapte olmaya devam ediyor. Hayatımızın bundan sonraki aşamasında ne tür yenilikler bizi bekliyor, teknolojik gelişmelerin devamında yapay zekanın da gelişimini ve hayatlarımızı nasıl değiştireceğini hep beraber göreceğiz.

Umarım yapay zeka ile ilgili olarak size yardımcı olabilmişizdir :)

-Bu makale Özgür Çetintaş tarafından Finartz için hazırlanmıştır.

Yapay Zekanın Kısa Tarihi was originally published in Finartz on Medium, where people are continuing the conversation by highlighting and responding to this story.

İnternet ve sosyal medya kullanımının her yaş grubu arasında hızla artmasıyla beraber, bilişimle ilgili herhangi bir konu hemen herkes tarafından ciddiye alınmaya başlandı. Özellikle ‘cool’ olarak görülen “Siber” kelimesini içeren meslekler, eğitim alanları, seminerler, kurslar, haberler, makaleler, ve hatta renkli arka plan üzerine büyük harflerle yazılmış sözler bile artık insanların ilgisini çekmekte.

Yunanca’da ‘yönlendirmek’ anlamına gelen ‘kubernan’ kelimesinden türetilen ‘kubernētēs’ kelimesi, ilk defa 1948 yılında İngilizce’de ‘cybernetics’ olarak kullanılmıştı; 1958 yılında ise Lois Couffignal tarafından, canlı ve/veya makineler arasındaki ilişkileri tanımlamak amacıyla ‘cyber’ kelimesi türetilmiştir. Siber kelimesi de, tahmin edileceği üzere, İngilizce’deki bu ‘cyber’ kelimesinden gelmektedir. 1980'lerden itibaren ise bilişimle, internetle ve sanal geçeklikle ilgili olan konuların soyut tanımlarında kullanılan bir sözcük olmaya başlamıştır.

Siber Güvenlik

İnsanlık tarafından kullanılmış ve kullanılmakta olan her araç-gereçte olduğu gibi, tabii ki siber alemdeki güvenliğimiz de en önemli konulardan biridir. İşte siber güvenliğin en önemli kapsamlarından biri de tüzel ve gerçek kişilerin gizlilik ve güvenliğinin korunmasıdır. Siber güvenlik genel olarak bilgisayar güvenliği, operasyon güvenliği, veri güvenliği, kişisel bilgi güvenliği, internet ağı güvenliği, hatta herhangi bir sinyal alışverişi içeren cihaz güvenliği ve buna benzer bir çok insan-makine iletişimini içeren konuyu içermektedir. Bu konuların böyle çoklanmasının ve önem kazanmasının bir sebebi de doğal olarak karşılaşılan saldırılardır. Siber saldırıların çeşitleri, yoğunlukları ve etkileri arttıkça; siber güvenlik alanında atılan adımların artması da çoğunlukla aynı oranda olmuştur. Hatta özellikle 1980'li yıllardan itibaren ‘siber dünyada etik’, ‘siber korsanlık’ ve ‘etik siber korsanlık’ gibi tanımlar ortaya çıkmaya başlamış, ve akademik, sosyal ve siyasal dünyadaki tartışmalar arasında yerini almıştır.

Siber Saldırılar

Siber saldırılara karşı ne gibi önlemler alınabilir sorusuna geçmeden önce, saldırıların çeşitleriyle ilgili kısa bir bilgilendirme yapmak istiyorum. Siber saldırı çeşitlerini ve yöntemlerini aşağıdaki gibi gruplandırabiliriz;

• Hedef sistemin güvenlik duvarı aşarak veri kopyalama,
• Açık mikrofon/kamera dinleme,
• Network scanning dediğimiz Ağ tarama ile içeri sızma,
• Hedef sistemde barınan ve kullanılabilen tüm hizmetler servis dışı bırakma (Denial of Service),
• Hedef yapının tüm internet servislerini yıkıcı aksiyon alma,
• Kripto saldırı ile şifreler kırma,
• IP gizleme ve başka IP’nin yerine geçme (IP Masquerading),
• İki bağlantı arasına sızarak dinleme ve veri ele geçirme (MITM),
• Yemleme (Phishing).

Bilgi Güvenliği

Görüldüğü üzere; en yakın arkadaşlarımızın, ailemizin bile bilmediği bilgilerimizin içeren siber alem, bir çok çeşit saldırıyla sürekli olarak tehdit altında bulunmakta. Siber dünyada tehdit altında olan alanlardan biri de -yukarıda da belirttiğim gibi- kişisel verilerimizdir. Bu konu ‘Kişisel Bilgi Güvenliği’ başlığı altında detaylı olarak incelenmektedir.

Siber Güvenliğin ve Bilgi Güvenliğinin Kapsam Alanları

Siber güvenlik ve bilgi güvenliği genellikle aynı anlamda kullanılsa da; siber güvenlik daha soyut ve geniş bir ağ alanını kapsarken, bilgi güvenliği biraz daha teknik bir şekilde gerçek ve tüzel kişilerin verilerini korumayla odaklanmaktadır.

Bilgi Güvenliği Standartları

Kişisel bilgi güvenliğimizin korunması amacıyla atılan ilk global adım 1990’lı yılların ortalarına denk gelmektedir. Bu yıllarda İngiltere’de bazı sanayi kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile, Bilgi Güvenliği Standartları’nın temelleri atılmış, ‘BS7799’ standartı ortaya çıkmıştır. 2000 yılında ise Uluslararası Standartlar Komitesi (ISO) tarafından Bilgi Güvenliği ile ilgili standardın birinci bölümü olan ‘ISO 17799’ yayınlamıştır. Bilgi Güvenliği yönetimi için uygulama prensiplerini içeren standardın son gözden geçirmeleri 2004 tamamlanmış ve 2005 yılında yeni versiyonu olan ‘ISO 27001’ yayınlanmıştır.

ISO 27001, ITIL, COBIT gibi global çapta kabul görmüş standartlar; sürekli değişen ve gelişen günümüz koşullarında, bireysel ve kurumsal anlamda bilgi güvenliğinin korunması ve yönetilmesiyle ilgili politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

Türkiye’de Bilgi Güvenliği

Ülkemizde bilgi güvenliği üzerine atılan ilk adım, 2003 yılında yayınlanan ‘2003/10 Başbakanlık Genelgesi’dir. 2004 yılında bilgi güvenlik ve gizliliğinin koruma altına alınması ve hukuki anlamda işlem yapılabilmesini sağlamak amacıyla ‘Elektronik Ceza Kanunu’ ve ‘Türk Ceza Kanunu’ yürürlüğe sokulmuştur. Devam edilen yıllarda bu çalışmalar genişletilerek devam ettirilmiş, ve 2008 yılında Türkiye Bilgisayar Olayları Müdahale Ekibi (TR-BOME) tarafından ülkemizde ilk defa bilgi sistemleri güvenliği tatbikatı gerçekleştirilmiştir.

Siber saldırılar, siber savaşlar gibi terimlerim ciddiyetinin artmasıyla beraber, tüm dünyada olduğu gibi, ülkemizde de konuya verilen önem; 2013 yılında ‘Siber Savunma Komutanlığı’nın kurulmasıyla sonuçlanmıştır.

2016 yılında, hepimizin son zamanlarda sıkça duymaya başladığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdi. Sosyal medya kullanımlarımızda, internet alışverişlerimizde, ve diğer bir çok elektronik ortam işlemlerimizde; toplanan kişisel verilerimiz ilgili kurumlar tarafından işlenmektedir. Bu sayede hem ilgili kurum hem de bilgilerin yasal olarak paylaşıldığı kurumlar tarafından çeşitli kampanya ve indirimler hakkında haber sahibi oluruz. Ancak bilgilerimizin kötüye kullanılması olasılığı da vardır. KVKK’nda amaç; bu olasılığı ortadan kaldırmak, verilerin belli standartlar altında korunmasını ve işlenmesini sağlamaktır. Bu sayede bizlerin, kişisel verilerimiz üzerinde söz sahibi olmamız sağlanır.

Kişisel Bilgi Güvenliğimizi Nasıl Koruruz?

Şu ana kadar bilgi güvenliğimizin yasalar ve kurumlar tarafından nasıl koruma altına alındığını ana hatlarıyla anlatmaya çalıştım. Gerek uluslarası standartlar, gerekse ulusal çalışmalarımız ile verilerimiz olabilecek en yüksek oranda koruma alınmaktadır. Ancak hiçbir zaman %100 başarıyla siber saldırılara ve kişisel bilgi hırsızlığına engel olabilecek bir yöntem ortaya konulamamıştır. Bu gibi durumlarda tabii ki yasal yollara başvurarak hakkımızı koruyabiliriz; fakat kopyalanmış, ve izinsiz, kötü amaçlı olarak kullanıma alınmış verilerimizi kurtarmamız pek mümkün değildir. Saldırı ve hırsızlıklardan korunabilmek için, bizlerin de alabileceği bazı önlemler bulunmakta. Temel anlamda internet ortamında veri güvenliğimizi koruyabilmemiz adına bir dizi öneride bulunacağım; ancak unutulmamalıdır ki bu önlemler de size tam koruma sağlayamayacaktır, ayrıca her cihaz ve sanal ortamın zayıflıkları ve alınması gereken önlemleri de farklı olabilmektedir.

• Özellikle toplu taşıma ve kafelerde çokça karşımıza çıkan ortak ağları olabildiğince minimum seviyede kullanmaya, hatta mümkünse hiç kullanmamaya özen göstermeliyiz.
• İnternet kullanımı esnasında erişim sağlanan web sayfalarının adres satırındaki ‘https’ ifadesinin kontrolü yapmalıyız.
• Eğer bir iş yerinde yani ortak ağda çalışıyorsak güvenli erişim kanalları (VPN) kullanılmasına özen göstermeliyiz.
• Evde / İş yerinde kullandığımız modemlerimizi her zaman en güncel sürümde tutmalıyız.
• Sniffing ataklarına karşı, mümkünse, modem üreticisinin önerdiği üçüncü parti firmware kullanmalı ve her zaman en güncel sürümde tutmalıyız.
• Modem arayüzü giriş bilgilerini fabrika ayarları değerlerinde kullanmamalı, kesinlikle değiştirmeliyiz.
• Telefon, bilgisayar, tablet gibi cihazlarımızı en güncel sürümlerinde kullanmalıyız.
• Hesaplarımızda ne olursa olsun basit şifreler kullanmamalıyız. Şifrelerimiz sık sık olmasa bile 3–6 ay arasında değiştirmeye dikkat etmeliyiz.
• Her platformda aynı şifreyi kullanmamalıyız.
• Verilerimizi düzenli olarak yedeklemeli, yedeklerimizi de yine ayrı parolalar ile yönetmeliyiz.
• Önümüze çıkan her linke hemen tıklamamalı, önce dikkatlice okuyup, düşünmeliyiz. Phishing tuzaklarına karşı her zaman tetikte olmalıyız. Panik uyandıran ve güvenilir gibi görünen kaynaklara karşı tedbirli olmalı, gerekirse çevredeki bilirkişilere danışmalıyız.

Çağımızın en popüler konularından olan Siber Güvenlik ve Kişisel Bilgi Güvenliği olgularını, yer yer sıkıcı tarihsel bilgilerle ve az da olsa faydam olur niyetine çeşitli önerilerimle sizlere sunuyorum. Umarım konuya; meraklıların bilgilenmesini, ilgisizlerin hayret etmesini, hakimlerin eleştirmesini sağlayabilmişimdir. Her ne kadar sürçülisan ettimse affola!

-Bu makale Ozan Güldali tarafından Finartz için hazırlanmıştır.

Kaynakça

http://belgelendirme.ctr.com.tr/iso-27001.html

http://www.iso27001.gen.tr/bilgi-guvenligi-tarihcesi.html

https://www.kvkk.gov.tr/

https://blog.logo.com.tr/kvkk-nedir-kapsaminda-neler-bulunur/

https://webdosya.csb.gov.tr/db/cbs/icerikler/tez_gdk-_v4-20180925134524.pdf

Siber Güvenlik Nedir? Kişisel Bilgi Güvenliğimizi Nasıl Koruruz? was originally published in Finartz on Medium, where people are continuing the conversation by highlighting and responding to this story.

Her geçen gün baytlarla olan etkileşimimiz artmaktadır. Bu etkileşimin akıllı telefonlar ile nirvanaya ulaştığını söyleyebiliriz. Uç noktada olan bizlerin bu baytlarla etkileşimi mobil uygulamalar üzerinden gerçekleşmektedir. Mobil uygulamalar arttıkça bu işin pazar boyutu ortaya çıkmaktadır. Uygulamanın pazarlamasını sağlayabilmek için öncelikle ürün gözüyle bir yaklaşım sergilenmeli ve bu ürünü daha cazip kılacak nitelikler ortaya çıkartılmalıdır.

Ürünü daha cazip kılacak birçok özellik sayılabilir. Maliyet, şüphesiz bunların en başında gelmektedir. Kullanıcılar uygulama marketlerinde ilk önce ücretsiz uygulamaları indirmeyi tercih eder.

Ürünün cazibesini kılacak bir diğer etmen ise kullanıcı deneyimi ve bununla gelen uygulamanın görsel tasarımıdır. Duyguları olan bir varlık olarak insanların cansız ve bu tek yönlü bilgi iletimi sağlayan mobil uygulamalarla iletişim kurması aslında zorlu bir süreçtir.

Bu bakış açısıyla kullanıcı deneyimini özetlerken paranın yönetimini ortalama 5.5 inç’ lik mobil cihazlarda sağlamak bu işi daha da zorlaştırmaktadır. Bu ilişkiyi daha sağlıklı açıklamak için finansal dünya teknolojilerinden bahsetmekte fayda var. Mobil uygulamalarda yapılan temel finansal işlemler; EFT, havale, döviz alım/satım, fatura ödeme diyebiliriz. Başlıca tanımlayacak olursak;

• Havale: Bir bankanın hesabından aynı bankanın diğer hesabına yapılan para transferidir. Dışarıdan bakıldığında bankada herhangi bir para hareketi yaşanmamıştır. Sadece ilgili miktarın içerideki adresi değişmiştir.
• EFT: Aslında uzun hali ‘Electronic Fund Transfer’ olarak geçer. Paranın bir hesaptan diğerine aktarılmasıdır. Havale ile aynı işlevselliğe sahiptir ama tek farkı paranın bir bankanın hesabından başka bir bankanın hesabına geçmesidir.
• Döviz alış/satış : Belirli bir miktar parayla aynı değerde farklı birimde paranın alınması veya satılmasıdır.

Kaldı ki bu işlemleri gerçekleştirecek uygulama kullanıcıyı hiç yormamalı, tabir yerindeyse ‘şak’ diye gerçekleştirmelidir. Kullanıcılar bu işlemleri gerçekleştireceği gibi paranın kontrolü adına geçmişe dönük bakiyesinin hareketlerini, anlık bakiye durumunu, ileriye dönük ödemelerini görüntüleyecek minimal izleme yeteneklerine de ihtiyaç duymaktadır.

Finansal kavramların getirmiş olduğu ‘karmaşa’ nın yanında uygulamanın servis vereceği kitle de tasarım açısından önemlidir. Mevcut bankaların sağlamış olduğu mobil uygulamaları bankalarda reşit olan ve ilgili bankada herhangi bir ürün kullanan kişiler kullanmaktadır. Bu segmentin yanında yaşı gereği henüz bankalara erişemeyen ve ihtiyaçları gereği bazı finansal servislere ihtiyaç duyan bir kitle de karşımıza çıkmaktadır.

2007 Haziran GarantiBBVA(eski adıyla Garanti) Bankacılık Uygulaması Girişi

Günümüz GarantiBBVA Bankacılık Uygulaması Girişi

Kavramlar ve kitleye göre günümüzdeki tasarımlar artık olabildiğince sade ve alt kitleye hitap edecek şekilde uygulamalar tasarlanmaktadır. Garanti Bankasının üstteki uygulaması 2007 Haziran ayından alınmış bir örnek. Bu uygulamaya giriş yapmak için Adobe Flash Player önerisi, kurumsal kullanıcılar için kod, mobil imza ve şifrematik gibi süreçler tek bir ekran üzerinde toplanmıştır. Günümüz uygulama giriş sayfasına baktığımızda bu bütün login akışı iki input ve bir butona indirgendiği, kullanıcı tipinin(kurumsal, bireysel) daha bu ekrana gelmeden ayırt edildiği görülmektedir. Kaldı ki verilen bu örnek bir web uygulamasına aittir. Günümüz son kullanıcının artık mobil cihazlarla bu işlevleri gerçekleştirmektedir. Bu yüzden kurumlar artık yavaş yavaş sistemlerini mobil dünyaya ve kullanıcı dostu ön planda olacak şekilde geçirmektedir. Bu konuda en güncel örnek ise aslında global bir kimlik doğrulama altyapısı olan 3D Secure sisteminin ikinci sürümüdür.

Günümüzde Kullanılan -Temsili- 3D Secure 1.0 Ekranı

Hepimizin gördüğü soldaki ekran, internetten alışverişin son adımında karşımıza çıkan ekrandır (Bankaların özelleştirmelerine göre logolar ve metinler değişebilir) . Bu ekran 20 yıla yakın Web’ e servis vermektedir. Fakat mobil deneyim sonradan aramıza katıldığı için artık bu ekranlar istenilen deneyimi sunamamaktadır. Çünkü mobil dünya ile farklı ekran boyutlarındaki cihazlar, çeşitli işletim sistemleri ve tarayıcılar pazara girmiştir.

Son olarak Versiyon 2 ile doğrulama ekranları mobil cihazlar için hem hibrid bir ortamda hem de direkt cihazın kendisinde kullanıcı deneyimini sunması için bir kütüphaneye çevrildi.

3D Secure 2.0' da Modernize Edilen Ödeme Ekranları(Temsili)

Bu sayede artık mobil cihazın ait olduğu ortamdan(ekran boyutu, işletim sistemi, tarayıcı vs.) bağımsız son kullanıcılara hem kurumların kimliklerini koruyacak şekilde özelleştirme sunuyor hem de maksimum kullanıcı deneyimi sağlayan bir doğrulama altyapısı sunulmaktadır. Ayrıca akıllı saatler gibi giyilebilir teknolojiler de versiyon 2 kapsamına dahil edilmiştir.

3D Secure 2.0 Altyapısının Çoklu Cihazlarda Desteklenmesi

Son söz olarak bankaların ve konsorsiyumların artık ödeme sistemleri için tasarımsal ve deneyim olarak ayrıca çalıştıkları bu çıktılardan anlaşılmaktadır. Dokunmatik ekranlardan sonra bizi nasıl bir teknolojik kasırganın alıp götüreceği henüz belli değil ama belli olan bir şey var o da artık ödeme uygulamaları bu zamandan sonra yeterli kullanıcı deneyimi ve tasarım kaygısıyla üretilmedikleri vakit pazarda daha zor rekabet edeceklerdir.

-Bu makale Yasin Fırat Payalan tarafından Finartz için hazırlanmıştır.

Ödeme Uygulamalarında Kullanıcı Deneyimi was originally published in Finartz on Medium, where people are continuing the conversation by highlighting and responding to this story.

Her geçen gün gelişen ve farklı ihtiyaçlar doğuran teknoloji çağında, artık her birey telefon, bilgisayar ve tablet gibi cihazlara sahip. Bunlar ile tüm ihtiyaçlarını hızlı, pratik ve en önemlisi de güvenli bir şekilde karşılamak istiyor. Birçok büyük e-ticaret sitesinin (hepsiburada, gittigidiyor, trendyol vb.) yanı sıra küçük çaplı tabiri caiz ise çorap satan bir butik dahi kullanıcılarına birçok kanaldan(mobil,web) ulaşıp güvenli bir şekilde ödeme almayı amaçlıyor. Bu kısımda her iki taraf için de en kıymetli olan şey tabii ki para oluyor :)

Online ödeme dediğimizde, basit anlamda bir e-ticaret sitesine gireriz ürünü seçer, sepete ekler ve kart bilgilerini girdikten sonra ilerler ve cep telefonumuza kod gelir ve gireriz veya gelmeyebilir (bundan ilerleyen kısımda bahsedeceğim) ve ödemeyi gerçekleştiririz. Bir yandan çok basit gibi dursa da arka tarafta birçok prosedür gerçekleştirilmektedir.

Bu yazıda; bir güvenli ödeme işlemi başlatıp güvenlik kısmında hızlıca 3DSecure 2.0'ı inceledikten sonra ödemenin nasıl gerçekleştiğini konuşacağız. Üye işyeri gözünden sisteme dahil oluşu inceleyip sektördeki paydaşları konuşacağız. Ardından 3DSecure’ün modüllerini inceleyip bunlar nedir nerdedir gözümüzde canlandıracağız ve neler yapabiliriz onu konuşacağız.
Hadi başlayalım :)

Hadi 3DSecure 2.0 ile Ödeme Yapalım ve Domain’leri Tanıyalım

Bir e-ticaret sitesine girip ürünü almak için kart bilgilerini girdiğimde 3DSecure sürecini:
- bası siteler zorunlu tutar.
- bazıları ise 3DSecure entegrasyonunu hiç yapmamaktadır.
- bazı sitelerde seçenek olarak sunar. Örn; hepsiburada. 3DSecure’ü seçmediğimizi varsayarsak, ödeme direk karttan yapılır ve telefona mesaj gelmez. Yükümlülük üye işyerindedir.

3DSecure’ü seçtiğimizde telefonumuza kod(one time password) içeren mesaj gelir ve kod girilip güvenli ödeme yapılmış olunur.
- Şu senaryoda mevcuttur: Belli bir miktarın altındaki ürünler için mesela100₺, üye işyeri için para miktarı önemsiz olduğu için 3DSecure ödeme istemez iken; 2000₺ miktarındaki telefon için size 3DSecure sürecini işletip, telefonunuza mesaj gönderip ürünü alan kişinin siz olduğunuzdan emin olmak ister. Bu sayede yükümlülüğü size verir.

Hatta e-ticaret siteleri güvenli ödeme gereken para limitini müşteri bazlı tutuyor bile olabilir. Düzenli alışveriş yapan sorunsuz müşteri için güvenlik adımına 1000₺’de sokulurken, aksi bir müşteri için 200₺ olabilir.

Güvenlik (3DSecure 2.0)

3DSecure’ ün yüzeysel olarak modüllerinden ve modüller arasındaki süreçten bahsedelim. Ödeme yaparken yukarıdaki görseldeki gibi güvenli ödeyi seçtiğimizi veya pahalı bir ürün aldığımızı varsayarak devam edelim.

Üye işyerinde bulunan 3DSRequestor’ın topladığı bilgiler 3DSServertarafından authentication için ilgili DS(Directory Server)’a iletilir. DS de bilgileri kart aralığına göre ACS(Access Control Server)’e iletilir. Bu kısımda ACS, banka ile iletişim kurarak banka tarafından challenge(doğrulama isteği) yapılması istenir.

Bu sefer 3DSRequestor tarafından ACS’e challenge isteği yapılır ve ACStarafından doğrulama ekranı açılır. Kart bilgilerini giren kişinin gerçekten müşteriye ait olduğunun anlaşılması için banka tarafından telefona kodgönderilir. Açılan ekranda kullanıcının girdiği kod, ACS tarafından kontrol edilir ve onaylanır. Sonuç DS’e ve Acquirer Domain kısmındaki 3DSRequetor’a iletilir. Bu şekilde güvenlik kısmı tamamlanmış olur.
3DSecure 2.0 bileşenlerini, sürecini Kaan Öztemir’in 3DSecure 2.0 yazısından ayrıntılı inceleyebilirsiniz.

Aşağıdaki görsel modülleri ve içerisindeki domain’leri göstermektedir.

Şu an sadece Güvenli + Ödeme kısmının:
- Güvenlik ✓
- Ödeme

Ödeme

Ödeme kısmını detaylı bir şekilde incelemeden önce birkaç terime göz atalım.
Acquirer: Üye işyerinin entegre olduğu, kart bilgilerimizi alan sanal pos’a ait bankadır.
Issuer: Ödeme yapılan kartın ait olduğu bankadır.
Merchant: Üye işyeri

Gerçek hayatın içerisinden örneklendirecek olursak; bir mağazaya alışveriş için girdiğimizde mağaza=merchant, kartımızı okuttuğumu cihaz fiziksel pos, fiziksel pos’un üzerinde yer alan banka acquirer(ziraat bankası), kartımızın ait olduğu banka ise issuer(garanti bankası)’dur.
Aşağıdaki görsel “3DSecure+Ödeme”nin adım adım mesajlar ile gösterimidir.

Şimdi üye işyerinin bu ödeme sistemine entegre olması ile ödeme işlemini açıklayalım. Üye işyeri kullanıcının tüm bilgilerini alır. 3DSRequestor olarak 3DS Server’a iletir ve aşamaları geçerek güvenlik adımını tamamlar.
Bu iki katman aynı yerde olabilir fakat 3DS Server tüm DS’leri bilmesi gerektiği için sanal pos(birazdan bahsedeceğiz) üzerinde konumlandırılır. Üye işyeri sanal pos’u aldığında bir anlamda 3D Secure de içerisinde entegre olmuş şekilde gelmektedir.

Güvenlik onayı da alındığına göre artık acquirer bankaya ait sanal pos ile ödeme network’ü üzerinden ilgili kartın ait olduğu issuer banka haberleşerek para transferini yapar ve sonucu 3DS Requestor’a ileterek müşterinin karşısında kocaman bir tik işareti (✓) görülmesini sağlar.

Güvenli + Ödeme kısmının:
- Güvenlik ✓
- Ödeme ✓

Ödeme Network’ünün Çalışma Prensibi

1.Para göndermek isteyen müşteri, sisteme üye (sistemin katılımcısı) olan bankasına gerçekleştirmek istediği para transfer işlemi için ödeme emri verir.
2.Müşterisinden ödeme emrini alan banka, işlemle ilgili transfer emrini sisteme iletir.
3.EFT Sistemi aracılığıyla, paranın kaydı olarak (sadece elektronik kayıtlarda mevcut olacak şekilde) gönderici banka hesabından alıcı banka hesabına geçmesi sağlanır.
4.Alıcı banka, işlemin durumu hakkında bilgilendirilir.
5.Alıcı banka, sistemden gelen “işlem gerçekleşti” bilgisi üzerine, müşterisi olan alıcıya parayı öder.

Sanal POS Nedir ?

Sanal POS, mağaza alışverişlerinde kredi kartı veya banka kartı ile ödeme yaparken kullandığımız POS cihazının internet ortamında kullanılan ve fiziki olmayan halidir. Sanal POS ile ödeme süreci fiziki POS ile ödeme sürecinden pek farklı değil. Sadece ödeme sırasında müşteri kartı POS cihazından geçirmek yerine kart bilgilerinin ekranda girmesi gerekiyor.

Çoğu bankanın kendisine ait sanal posu vardır. Üye işyeri sanal pos’u bankalardan almak istediği zaman;
 — her bir banka ile sözleşme ve evrak karmaşasına giriyor ve bu süreç uzun sürüyor.
 — müşterilerine farklı ödeme seçenekleri sunmak için hepsi ile teker teker entegre olmasını gerektiriyor. Aksi halde az ödeme seçeneği sunduğu için müşteri kaybetmesi muhtemel.
 — herbir banka ile komisyon hesaplama, muhasebe karmaşasına girmesi gerekiyor.
 — her üye işyerinin kendine ait entegrasyon için yazılımcısı olması gerekiyor.
gibi nedenlerden dolayı sektörde ihtiyacı karşılayan paydaşlar oluşmuştur.

Bu gibi sıkıntılar sektörde yeni paydaşlar oluşturmuştur. Bunları karşılayamayan daha küçük çaplı e-ticaret siteleri İyzico yeni adı ile PayUveya HepsiPay gibi kuruluşlar ile hızlı bir şekilde entegre olup, tüm bu karmaşadan kurtularak ödeme sistemine dahil olup kısa sürede ödeme alabilmektedirler.

Peki Bu 3DSecure 2.0 Katmanları Kimler ? Nerdeler?

3DS Server: Üye işyerinden gelen bilgileri DS’in anlayacağı mesaj formatına dönüştürür ve ilgili DS’e iletir. Bu katman üye işyerinde olabildiği gibi tüm DS’leri tanımak zorunda olması bir yük olduğu için ortak bir yerde yani sanal pos’larda bulunması daha daha muhtemeldir.

DS(Directory Server): 3DSServer ile ACS arasındaki iletişimi sağlar. Kart şemasına(master/visa)/kart aralığına göre ilgili ACS’e yönlendirir. Şu an Türkiye’de DS bulunmamaktadır. Her ödeme işlemi(yurt içi ve yurt dışı) içinyurt dışındaki Master/Visa ait belli merkezlerdeki DS’lere gidilmektedir. Her işlem üzerinden belli bir komisyon alınmaktadır.

ACS(Access Control Server): Aslında bütün business kuralların işletildiği kısımdır. ACS katmanı Türkiye’de BKM(Bankalar Arası Kart Merkezi)’de bulunmaktadır.
3DSecure için BKM’deki ACS’e bir istek geldiğinde, kartın ait olduğu issuer bankanın seçtiği doğrulama yöntemi ile süreç işletilir ve işlem gerçekleştirilir. Aksi halde her bankanın ACS’i geliştirmesi ve entegre olması ve sertifikasyonu tamamlaması gerekmektedir.

Tamam 3 katmanın 2 tanesi bizde. Geriye kaldı DS(Directory Server).

Peki Ya DS’i de Türkiye’ye alırsak ?

Ne dedik her bir işlem için yurt dışındaki kart şemalarına(master/visa) ait olan DS’lere gidiyoruz. Hem de buna komisyon veriyoruz. Bizim yazdığımız DS’in global dünyaya master ve visanın izin vermeyeceğini düşünerek biraz kafa patlatalım! Bizim DS’in üzerinden geçebildiğimiz durumları (✓) leyelim.

— Yurt içi bir üye işyerinden alışveriş yaptığımız durumda üye işyeri ülkemizdeki DS’e gidecek ve o da BKM’deki ACS’e gidecek. (✓)
 — Yurt dışı üye işyerlerinden alışveriş yaptığımız durumda global olan DS’e düşecek ve oradan kart aralığı BKM’ye ait olduğu için üzerindeki ACS’e gelecek. (x)
 — Yurt dışı kart aralığına sahip bir kart ile Türkiye’deki bir üye işyerinden alışveriş yaptığıını varsayarsak, kart yurt dışındaki bir ACS’e ait olduğu için DS tarafından bunun yurt dışındaki ACS’e yönlendirilmesi gerekmektedir. Bu ayrımı ya 3DS Server ya da Türkiye’deki DS yönetmek etmek zorunda kalacaktır. (x)

Bu durumda aslında kendimize ait DS’imiz olduğunda, global olamasa bile en azından yurt içi ödemelerimizde master ve visa’ya komisyon parası ödememize gerek kalmayacak.

Umarım aklınızda ödeme dünyasına dair bir şeyler canlandırabilmişimdir :)

-Bu makale Fuat Buğra AYDIN tarafından Finartz için hazırlanmıştır.

Hap Bilgi Niyetine | Online Güvenli Ödeme ve 3D Secure 2.0 was originally published in Finartz on Medium, where people are continuing the conversation by highlighting and responding to this story.