Paranız sanal alışverişlerde nasıl güvende kalıyor? İşte kredi kartı ekstrenizde sizi şoke edecek harcamalar görmenizi engelleyen e-ticaret standartları…
Kredi kartı ödemeleri içinPCI DSS standardı
Kredi kartı ödemeleri için PCI DSS standardı PCI DSS, Ödeme Kartı Endüstrisi Veri Güvenliği Standartları anlamına geliyor. Kredi kartıyla yapılan ödemeleri işlerken uyulması gereken ödeme güvenliği yönergeleri, PCI DSS standardını oluşturuyor. Kredi kartı şirketleri, veri güvenliğini artırmak için küresel bir standart belirlediler ve PCI DSS çerçevesini geliştirdiler. Örnek vermek gerekirse; çevrimiçi perakendecilerin müşterilerinin kredi kartı bilgilerini kaydetmelerine yalnızca PCI DSS sertifikasına sahip olmaları halinde izin veriliyor. Güvenlik yönergelerine uyduklarını düzenli olarak kanıtlamak perakendecilerin yükümlülüğü altında bulunuyor. Bir firmanın, PCI DSS sertifikalı olmak için aşağıdaki güvenlik kanıtlarını sunması gerekiyor:
- Yıllık öz değerlendirme, şirket hakkında genel bilgileri, diğer şirketlerle ilişkileri ve kredi kartı bilgilerinin nasıl işlendiğine dair teknik ayrıntıları kapsar.
- Her çeyrekte güvenlik açığı taramaları, e-ticaret firmalarının sistemlerindeki veya web sitelerindeki, bilgisayar korsanlarının müşterilerin kredi kartı bilgilerine erişmesini sağlayabilecek zayıf noktaların tespit edilmesine yardımcı olur. Ağ bileşenleri, kullanılan işletim sistemlerinin, uygulamaların ve altyapının diğer bölümlerinin değerlendirilmesini içerir.
- Yıllık yerinde denetimler, yılda milyonlarca işlem gerçekleştiren büyük şirketlere yönelik yapılır. Sunucuların incelenmesini, çalışanlarla görüşülmesini, süreç dokümantasyonunun denetlenmesini kapsar.
PSD 2
PSD2 öncelikle Avrupa Birliği/Avrupa Ekonomik Alanı (AB/AEA) ülkelerindeki para birimlerinde yapılan ödemeler için geçerli olan bir ödeme güvenliği standardıdır. Amacı, dijital işlemlerde ödeme güvenliğini artırmak ve daha fazla tüketici koruması sağlamaktır. PSD2’ye uyum sağlamak için kredi kartı şirketleri Visa ve Mastercard, 3D Secure protokolünün geliştirilmesinde kredi kartı endüstrisi birliği EMVCo ile iş birliği yaptı. Protokolün en son sürümü olan 3D Secure 2, PSD2 uyumludur ve tüm AB ülkeleri ve İsviçre’de kullanılır.
İki faktörlü kimlik doğrulama
PSD2 kapsamında, AB/AEA para birimlerinde ödeme kabul eden tüm çevrimiçi perakendeciler, 1 Ocak 2021 tarihinden itibaren Güçlü Müşteri Kimlik Doğrulaması (SCA) kullanarak işlemlerini güvence altına aldı. Aşağıdaki bilgilerin paylaşılması durumunda iki faktörlü kimlik doğrulama devreye girer:
- Bilgi: Şifre gibi sadece müşterinin bildiği bilgiler.
- Sahiplik: Müşterinin fiziksel olarak sahip olduğu, örneğin akıllı telefonu gibi, işlem kimlik doğrulama numarası (TAN) bulunan bilgiler.
- Kalıtım: Parmak izi gibi benzersiz bir kişisel özellik.
Bir müşteri banka havalesi yoluyla ödeme yapmak isterse, çevrimiçi bankacılık platformuna erişmek için önce şifresini girmesi gerekir.
Daha sonra, ödeme işleminin tamamlanabilmesi için akıllı telefonlarında yüz tanıma özelliğini kullanarak kimliklerini doğrulamaları gerekiyor. Bu durumda iki faktörlü kimlik doğrulama devreye girer.
Perakendeciler için ek ödeme güvenliği
İki faktörlü kimlik doğrulama, yalnızca tüketiciler için değil, perakendeciler için de daha fazla ödeme güvenliği sağlar.
Kullanıcı kimliğini doğrulamanın ve dolandırıcılık riskini azaltmanın hızlı, kolay ve uygun maliyetli bir yoludur.
PSD2 ayrıca giropay gibi anlık ödeme hizmetleri için işlemleri daha güvenli hale getirir. Perakendeciler için bu ödeme yöntemleri özellikle güvenlidir, çünkü:
- Sipariş anında ödenir ve ödeme işlemi direkt olarak doğrulanır. Bu, siparişi daha hızlı işlenmesini ve gönderilmesini sağlar.
- Müşteriler kimliği doğrulanmış bir ödemeyi hemen geri alamaz.
PSD2 kapsamında artan ödeme güvenliğinin bir diğer önemli yönü de online perakendecilerin ödeme süreçlerini mümkün olduğunca kısa ve net bir şekilde yapılandırılmalarından geçiyor. Bir müşteri çok fazla adımı tıklamak zorunda kalırsa, alışveriş deneyimi kötüleşir.
Makul ödeme seçenekleri
Almanya gibi birçok ülkede çevrimiçi mağazaların ücretsiz olan en az bir ortak ödeme seçeneği sunması gerekiyor. Bu gereklilik ödeme güvenliği için de geçerli.
Frankfurt Bölge Mahkemesi, banka havalesi yöntemi Sofort’un ‘makul’ olarak sınıflandırılamayacağına karar verdi. Bunun nedenini ise kullanıcıların banka hesabı giriş bilgilerini normal çevrimiçi bankacılık platformlarının dışında bir ortamda girmelerini gerektirmesi olarak gösterdi. Bu da veri gizliliği ihlali riskini artırıyordu.
Peki, nedir bu yaygın ve makul kabul edilen ödeme yöntemleri?
- Şimdi al, sonra öde (fatura ile ödeme)
- Peşin ödeme (banka havalesi)
- PayPal (Her ne kadar ülkemizde kullanılmasa da)
- Yaygın kredi kartları
Ödeme güvenliği yönergeleri, hem tüketiciler hem de perakendeciler için daha fazla ödeme güvenliği sağlar. Online perakendecilerin PCI DSS standartlarının yanı sıra 3D Secure 2 protokolüne de uymaları ise oldukça önemlidir. Doğru ödeme seçeneklerinin olmasının yanı sıra, ödeme güvenliği sertifikaları da alışveriş yapacağınız firmaya güvenmeden önce bakılması gereken kriterlerden biri.
Son olarak, e-ticaret sırasında kendi güvenliğinizi nasıl sağlayacanızı da anlattık:
- E-ticaret sitesinin yayın bilgileri ve iletişim bilgilerini bulunuyor mu?
- Tüketicinin bir siparişi iptal veya iade etme konusundaki yasal hakları hakkında bilgilendirme yapılmış mı?
- Fiyatlar piyasa ile benzerlik gösteriyor mu?
- Genel hüküm ve koşullara ulaşabiliyor musunuz?
- Veri gizliliği hakkında bilgilendirme yapılıyor mu?
- Alışveriş yaptığınız sitenin tasarımı profesyonel bir görünüme sahip mi?
- Gezinmesi kolay bir yapı sağlanmış mı?
- Sayfalar hızlı yükleniyor mu?
- Ürün ve şirket hakkında kapsamlı bilgilere ulaşabiliyor musunuz?
- Şirketin iletişim bilgilerine ulaşabiliyor musunuz?
- Alışveriş yaptığınız e-ticaret sitesi, güvenlik sertifikasına sahip mi?
- Müşteri yorumları olumlu mu?
- PCI DSS standartları ve 3D Secure 2 protokolü ile uyumlu güvenli bir ödeme süreci sunuluyor mu?
Bu sorulara ne kadar evet cevabı verebiliyorsanız, o kadar güvendesiniz demektir. İyi alışverişler…
Bu yazı Digital Report Dergisinin 16. sayısında yayınlanmıştır.