Adyen 3D Secure: 3DS2 Kimlik Doğrulaması Nasıl Çalışır?
3D Secure, kart ödemesi ile onaylanması arasında yer alan kimlik doğrulama katmanıdır. Adyen 3DS, bu standardın en yaygın kullanılan uygulamalarından biridir; Adyen'in ödeme platformuna entegre edilmiştir ve Avrupa, Kuzey Amerika ve Asya'da yılda milyarlarca işlemi yönetmektedir.
Adyen'in 3D Secure'u nasıl ele aldığı, kart ödemelerini entegre eden her geliştirici ve dolandırıcılık önleme ile ödeme dönüşümünü dengelemeye çalışan her satıcı için önemlidir. İkisi doğrudan bir çatışma içindedir: daha fazla kimlik doğrulama daha az dolandırıcılık anlamına gelir, ancak aynı zamanda daha fazla sürtünme anlamına da gelir ve sürtünme satışları düşürür. Bu konudaki bölgesel veriler -özellikle ABD ve Brezilya'dan- çoğu satıcının beklediğinden daha vahimdir.
Adyen 3D Secure Nedir?
Birisi Visa kartıyla çevrimiçi ödeme yaptığında, Visa, alışveriş yapan kişiden kim olduğunu kanıtlamasını isteyebilir. Bunu yapma mekanizması, kart ağlarının (Visa buna Verified by Visa, Mastercard ise SecureCode diyor) özellikle kartın fiziksel olarak bulunmadığı işlemler için geliştirdiği bir kimlik doğrulama protokolü olan 3D Secure'dur. Adyen, ödeme platformunda bunu Adyen 3DS ile uyguluyor.
İki versiyonu var. İlk nesil olan 3DS1, alışveriş yapanı kart veren kuruluşun kendi doğrulama sayfasına yönlendirerek ödeme sürecini tamamen bozdu. Dönüşüm oranları düştü. Satıcılar bundan nefret etti. Çoğu satıcı, mümkün olan her yerde 3DS1'i terk etti.
3D Secure 2, daha akıllı bir yaklaşımla bunu değiştirdi. Yönlendirme yapmak yerine, arka planda sessizce cihaz ve tarayıcı verilerini (ekran çözünürlüğü, saat dilimi, IP adresi, oturum geçmişi) toplar ve bunların tümünü işlemi gerçekleştiren bankaya gönderir. Bankanın risk motoru, değerlendirmek için 150'den fazla veri noktası alır. Bu kadar çok sinyalle, çoğu zaman işlemi sessizce onaylayabilir ve alışveriş yapan kişi 3DS'nin çalıştığını hiç fark etmez.
AB ve AEA ülkelerindeki satıcıların burada pek fazla seçeneği yok. PSD2'nin Güçlü Müşteri Kimlik Doğrulama kuralları, 30 € üzerindeki kart ödemeleri için 3D Secure 2'yi zorunlu kılıyor. Kart işlemi içeren her ödeme yöntemi kapsam dahilindedir. AB dışında, sağladığı dolandırıcılık sorumluluğu koruması nedeniyle 3DS2 şiddetle tavsiye edilir, ancak yasal olarak zorunlu değildir.
Adyen 3DS2 Kimlik Doğrulama Nasıl Çalışır?
3DS2 akışı üç aşamadan geçer: veri toplama, kimlik doğrulama ve yetkilendirme. Her şey sorunsuz ilerlediğinde saniyeler içinde tamamlanır.
- Müşteri ödeme işlemini başlatır — satıcının ödeme sayfasında kart bilgilerini girer.
- Adyen, cihaz verilerini toplar ; küçük bir JavaScript bileşeni (3DS2 parmak izi) arka planda çalışarak tarayıcı ve cihaz sinyallerini toplar: ekran çözünürlüğü, saat dilimi, dil, cihaz türü, IP adresi.
- Adyen bir kimlik doğrulama isteği gönderir ; cihaz parmak izi ve işlem verileri paketlenir ve kart ağı üzerinden kartı veren kuruluşa gönderilir.
- Kartı veren kuruluş talebi değerlendirir ; kuruluşun risk motoru, 150'den fazla veri noktasını kart sahibinin davranış geçmişi ve dolandırıcılık sinyalleriyle karşılaştırır.
- İhraççı karar verir: sorunsuz veya doğrulamalı — eğer risk düşükse, ihraççı sessizce kimlik doğrulaması yapar (sorunsuz); risk sinyalleri mevcutsa, ihraççı doğrulama talebinde bulunur.
- Tetiklendiğinde doğrulama akışı çalışır ; alışveriş yapan kişi ek doğrulama işlemlerini tamamlar: tek kullanımlık şifre, biyometrik veriler veya banka uygulaması onayı.
- Kimlik doğrulama sonucu döndürüldü — Adyen, kimlik doğrulama sonucunu (kimlik doğrulandı, kimlik doğrulanmadı veya denendi) alır.
- Adyen yetkilendirme talebini gönderir ; doğrulama sonucu da eklendikten sonra ödeme, kart ağı üzerinden yetkilendirme aşamasına geçer.
- Sorumluluk kayması geçerlidir — kimlik doğrulama başarılı olursa, dolandırıcılıkla ilgili geri ödeme sorumluluğu satıcıdan ödemeyi yapan bankaya geçer.
3DS1 ve 3D Secure 2 arasındaki temel fark 2. adımdadır. 3DS1'de, kartı veren kuruluşun kullanabileceği neredeyse hiç veri yoktu, bu nedenle sık sık sorunlar yaşanıyordu. 3D Secure 2'de ise daha zengin cihaz parmak izi sayesinde, kartı veren kuruluşlar, alışveriş yapan kişinin hangi ödeme yöntemini kullandığına bakılmaksızın, kartla ödeme yapıldığı sürece çok daha fazla işlemi sessizce onaylayabiliyor.
Adyen'de Sürtünmesiz Akış ve Zorlu Akış Karşılaştırması
Sorunsuz ve itirazlı ödeme sonuçları Adyen veya satıcı tarafından değil, ödemeyi gerçekleştiren kuruluş tarafından belirlenir. Bununla birlikte, Adyen'in veri toplama kalitesi, ödemeyi gerçekleştiren kuruluşların ne sıklıkla sorunsuz ödeme yapabileceğini doğrudan etkiler; daha iyi cihaz parmak izi verileri, daha az sayıda kuruluşun itiraz yoluna başvurması anlamına gelir.
| Faktör | Sürtünmesiz akış | Zorluk akışı |
|---|---|---|
| Alışveriş deneyimi | Görünmez — ekstra bir adıma gerek yok | OTP, biyometrik veya uygulama onayı gerektirir. |
| Dönüşüm etkisi | Minimal — 3DS'siz olmakla aynı | Önemli düşüş (piyasaya göre değişir) |
| Kim karar veriyor? | İhraç eden bankanın risk motoru | İhraç eden bankanın risk motoru |
| Tetiklemek | Risk sinyalleri düşük, veriler yeterli. | Risk sinyalleri yüksek veya veriler eksik |
| Sorumluluk kayması | Evet — ihraççı dolandırıcılık riskini üstlenir. | Evet — ihraççı dolandırıcılık riskini üstlenir. |
| Tipik pay | İşlemlerin %40-93'ü (piyasa koşullarına bağlı olarak) | %7–%60 (piyasa koşullarına bağlı) |
Japonya, sorunsuz işlem yapmanın avantajını gösteriyor: 3DS işlemlerinin yaklaşık %60'ı sorunsuz bir şekilde tamamlanıyor ve genel dönüşüm oranı %93'te kalıyor. Brezilya ise tam tersi; yaygın olarak görülen doğrulama süreçleri %55'lik bir dönüşüm oranı düşüşüne neden oldu. Stripe'ın 3DS benimseme modelleri üzerine yaptığı araştırmaya göre, ABD'de doğrulama süreçlerinin ortalama dönüşüm oranı üzerindeki etkisi %43 seviyesinde.
Dolandırıcılık koruması, hangi akışın tamamlandığına bakılmaksızın tutarlıdır. Hem sorunsuz hem de zorlu kimlik doğrulama, sorumluluk kaymasını tetikler. Başarılı 3DS kimlik doğrulamasından sonra dolandırıcılıkla ilgili bir geri ödeme, satıcının değil, kartı veren kuruluşun mali sorunudur.
Adyen Dinamik 3D Güvenlik Kuralları
Çoğu 3D Secure uygulaması, kimlik doğrulamasını evrensel olarak uygular: her işlemde, her zaman. Adyen'in Dinamik 3D Secure kural motoru, satıcıların bu konuda daha hassas davranmasına olanak tanır.
Dinamik 3DS, satıcıların risk sinyallerine, istisnalara ve işlem özelliklerine bağlı olarak 3DS'yi seçici bir şekilde uygulayan kural tabanlı yönlendirmeyi yapılandırmasına olanak tanır. Amaç, riskli işlemlerde kimlik doğrulamayı en üst düzeye çıkarırken, düşük riskli işlemlerde sürtünmeyi azaltmak için istisnalardan yararlanmaktır.
Adyen'in Dinamik 3DS yapılandırmasında bulunan başlıca kural türleri:
- Muafiyet kuralları — düşük riskli işlemleri, yasal olarak izin verilen durumlarda 3DS'yi tamamen atlamak için SCA muafiyetleri (işlem risk analizi, 30 €'nun altındaki düşük değerli muafiyetler, güvenilir satıcı listeleri) aracılığıyla yönlendirin.
- Yumuşak reddetme işlemi — 3DS olmadan işlem verenlerin reddettiği işlemleri otomatik olarak yeniden yönlendirir ve ikinci denemede 3DS kimlik doğrulamasını tetikler.
- Hız kuralları — belirli bir zaman dilimi içinde belirli bir kart veya cihazdan yapılan işlem sıklığına göre 3DS uygulayın.
- Miktar eşikleri — Belirtilen işlem değerinin üzerindeki alımlarda 3DS'yi tetiklerken, daha küçük alımlarda muafiyet sağlar.
- Ülke bazlı kurallar — alışveriş yapan kişinin ülkesine bağlı olarak farklı kimlik doğrulama mantığı uygulanır; bölgesel SCA (Güvenlik Bilgisi Hesabı) zorunlulukları ve kartı veren kuruluşun davranışları dikkate alınır.
- Kart türü kuralları — kurumsal veya premium kartları 3DS üzerinden yönlendirirken, standart tüketici banka kartlarının muafiyet akışlarından geçmesine izin verin.
Dinamik 3DS'yi akıllıca yapılandıran satıcılar, evrensel 3DS uygulamasına kıyasla doğrulama akışına maruz kalma riskini önemli ölçüde azaltırken, yüksek riskli segmentlerde tam dolandırıcılık korumasını da sürdürebilirler.
Adyen 3DS Entegrasyon Yöntemleri
Satıcıların 3DS'yi Adyen üzerinden nasıl entegre edecekleri, kullandıkları ödeme entegrasyon yöntemine bağlıdır. Adyen üç temel yaklaşımı destekler:
- Oturumlar (önerilir) — Adyen'in önceden oluşturulmuş entegrasyonu, ek yapılandırma gerektirmeden 3DS'yi yerel olarak ele alır. Oturumlar akışı, cihaz parmak izlerini otomatik olarak toplar ve sorunsuz/zorlamalı yönlendirmeyi şeffaf bir şekilde yönetir. Çoğu satıcı için en basit yol.
- Drop-in — Adyen'in barındırılan kullanıcı arayüzü bileşeni, satıcının ödeme sayfasına yerleştirilir ve doğrulama açılır pencereleri ve sonuç işleme dahil olmak üzere 3DS akışlarını yönetir. Tam bir API entegrasyonundan daha az yapılandırma, Sessions'tan daha fazla özelleştirme imkanı sunar.
- API entegrasyonu — 3DS akışı üzerinde tam kontrol. Satıcının kodu parmak izi toplama, kimlik doğrulama istekleri, sonuç ayrıştırma ve yetkilendirme gönderimini yönetir. Son derece özelleştirilmiş ödeme işlemleri veya uygulama arayüzünde yerel 3DS2'ye ihtiyaç duyan yerel mobil uygulamalar için gereklidir.
Çoğu e-ticaret işletmesi için, Oturumlar veya Drop-in, entegrasyon çabası ve 3DS uyumluluğu arasında en iyi dengeyi sağlar. Yerel API entegrasyonu genellikle özel ödeme mühendisliği ekiplerine sahip kurumsal işletmeler tarafından kullanılır.
Adyen'e özgü bir detay: mobil uygulamalarda yerel 3DS2 kullanımı, parmak izi bileşenlerini ve doğrulama arayüzünü içeren Adyen'in iOS ve Android SDK'larını gerektirir. Oturumlar veya Drop-in kullanan web entegrasyonları bunu otomatik olarak halleder.
3D Secure Dönüşümünün Etkisi: Bölgesel Veriler
"3DS dönüşüm oranlarını düşürüyor" başlığı kısmen doğru, ancak gerçek etki neredeyse tamamen pazara özgü faktörlere bağlıdır; yani alışveriş yapanların banka kimlik doğrulama süreçlerine ne kadar aşina olduklarına ve mobil bankacılık kullanıcı deneyiminin sorunsuz olup olmadığına bağlıdır.
| Pazar | Zorluk oranı | Dönüşüm etkisi | Notlar |
|---|---|---|---|
| Japonya | ~%40 zorluk | Minimum düşüş | Banka uygulaması kimlik doğrulaması tanıdık; yüksek sürtünme oranı. |
| Birleşik Krallık | ~%25 zorluk | Düşük-orta | Banka uygulaması (biyometrik) standart ve hızlı bir deneyim sunuyor. |
| Fransa | ~%50 zorluk | Ilıman | Zorluk oranları iki katına çıktı ancak OTP'ye aşina olan kullanıcılar da var. |
| BİZ | ~%45 zorluk | -İtiraz edilen işlemlerde %43 | 3DS hala yeni bir cihaz; kullanıcılar banka OTP akışına aşina değil. |
| Brezilya | ~%60+ zorluk | -55% | Zorluk oranları yüksek; banka kimlik doğrulama süreçleri tutarsız. |
| Küresel ortalama | — | 1,72 milyar ABD doları piyasa değeri (2026) | 2034 yılına kadar 4,66 milyar ABD dolarına ulaşması bekleniyor. |
Sahtekarlık azaltma rakamları daha net: 3DS kimlik doğrulaması, sahtekarlık anlaşmazlıklarını %80'e kadar azaltıyor ve Avrupa, bunun yıllık yaklaşık 900 milyon Euro'luk sahtekarlık kaybını önlediğini tahmin ediyor. Bunlar satıcı tarafındaki tasarruflardır. Geri ödemeler, işlem değerinin ötesinde maliyetlidir; operasyonel ek maliyetler, risk puanlama cezaları ve bazı durumlarda işlemci ilişkisi riskini de beraberinde getirir.
Dönüşüm paradoksu, iki şeyi birbirinden ayırdığınızda çözülür: 3DS'nin uygulanıp uygulanmadığı ve doğrulama işleminin sorunsuz olup olmadığı. İyi mobil bankacılık uygulamalarına ve deneyimli alışveriş yapanlara sahip pazarlar, doğrulama sürtünmesini iyi tolere eder. Alışveriş yapanların SMS yoluyla OTP'ye veya tutarsız banka uygulamalarına takıldığı pazarlar ise çok sayıda ödeme işlemini kaybeder.
3DS ve Kripto Para Ödemeleri
3D Secure yalnızca kart ödemeleri için geçerlidir. Kripto para işlemleri kart ağlarından geçmediği için tetiklenecek bir 3D Secure akışı da yoktur.
Bu durum iki yönlü işliyor. Kripto ödeme ağ geçitleri, 3DS sorumluluk kaydırmasına güvenemez; dolandırıcılık riskini devredecek bir banka yok. Güvenlik, diğer mekanizmalara bağlıdır: işlem izleme, cüzdan taraması, ağ geçidi düzeyinde gerçek zamanlı risk puanlaması.
Diğer taraf: 3DS'nin hiçbir zorluğu yok. Arka planda çalışan cihaz parmak izi alma işlemi yok, kart veren kuruluşun doğrulaması yok, beklemeniz gereken tek kullanımlık şifre yok. Ödeme işlemi, cüzdan adresini taramak veya cüzdan uygulamasında onaylamak kadar basit. ABD veya Brezilya'da doğrulama sürecinin dönüşüm oranlarını düşürdüğünü gören satıcılar için bu basitlik gerçek para değerinde.
Geleneksel kartların yanı sıra kripto para birimlerini de ödeme seçeneği olarak sunmak isteyen işletmeler için Plisio , işletmenin sistemine 3DS uyumluluk karmaşıklığı eklemeden kripto para kabulünü sağlayan bir kripto ödeme ağ geçidi sunar.
