SCA ve 3DS2 Açıklaması: PSD2 Ödeme Kimlik Doğrulaması
Avrupa'daki müşterilere çevrimiçi satış yapmak, isteseniz de istemeseniz de SCA ve 3DS2 ile uğraşmak anlamına gelir. Güçlü Müşteri Kimlik Doğrulaması, PSD2 kapsamında zorunlu bir yasal gerekliliktir ve çoğu satıcı bunu 3D Secure 2 ile yerine getirir. SCA ve 3DS2'nin pratikte ne anlama geldiği, istisnai durumların neler olduğu ve yanlış yapmanın maliyeti — bu kılavuz işte bunları ele alıyor.
SCA Nedir? Güçlü Müşteri Kimlik Doğrulamasının Tanımı
Güçlü Müşteri Kimlik Doğrulaması, AB'nin Ödeme Hizmetleri Direktifi 2 (PSD2) kapsamında bir doğrulama gerekliliğidir. Bu, bir müşteri elektronik ödeme başlattığında ve hem kartı veren banka hem de satıcının işlem bankası Avrupa Ekonomik Alanı'nda bulunduğunda geçerlidir.
Kuralın kendisi faktörlerle ilgilidir. Güvenli kimlik doğrulama, üç faktörden en az ikisini kullanmalıdır ve bunlar ayrı kategorilerden gelmelidir:
- Bilgi — kart sahibinin bildiği bir şey: parola, PIN veya güvenlik sorusu.
- Sahip olunan şey — kart sahibinin sahip olduğu bir şey: cep telefonu, donanım belirteci veya akıllı kart.
- Kalıtsal özellikler — kart sahibinin kimliği: parmak izi, yüz tanıma, ses kimliği
Faktörler birbirinden bağımsız olmalıdır; birinin tehlikeye atılması diğerini etkilememelidir. Ayrıca, belirli işlem tutarı ve alıcıyla dinamik olarak bağlantılı olmaları gerekir. Her satın alma işleminde çalışan statik bir şifre yeterli değildir.
Kapsam: SCA, müşteri tarafından başlatılan çevrimiçi kart alışverişlerini kapsar. Satıcı tarafından başlatılan işlemlere (ilk yetkilendirmeden sonra tekrarlayan faturalandırma), posta siparişlerine veya telefon siparişlerine veya satıcının veya kart sahibinin bankasının Avrupa Ekonomik Alanı (AEA) dışında olduğu herhangi bir işleme uygulanmaz. Bu son kategoriye "tek taraflı çıkış" denir ve karma küresel müşteri tabanına sahip satıcılar için geçerlidir.
3DS2 nedir ve SCA ile ilişkisi nedir?
İsim şu şekilde açıklanabilir: 3D, üç alanı temsil eder: kart sahibinin kartını çıkaran banka, satıcının ödemelerini işleyen banka ve bunların arasında yer alan kart ağı. Sürüm 2, Visa'nın 1999 yılında "Verified by Visa" adıyla piyasaya sürdüğü orijinal protokolden farklıdır. Visa, Mastercard, Amex ve diğer kuruluşların ortak sahibi olduğu EMVCo, 3D Secure 2 standardını geliştirmiş ve şu anda da sürdürmektedir.
SCA ile bağlantısı nedir? PSD2, kart ödemelerinin iki faktörle doğrulanmasını gerektirir. 3D Secure 2, satıcıların kartın fiziksel olarak mevcut olmadığı işlemler için bu doğrulamayı gerçekleştirmek için kullandığı mekanizmadır. Teknik olarak, açık bankacılık akışları ve banka uygulaması yönlendirmeleri de SCA'yı karşılayabilir; ancak gerçek dünyada, çevrimiçi kart ödemelerinin büyük çoğunluğunu 3DS2 yönetir.
Visa ve Mastercard, Ekim 2022'de Avrupa işlemlerinde 3DS1 desteğini sonlandırdı. Bu kesintiden sonra, kart ödemelerini 3DS1 üzerinden yönlendirmek sadece modası geçmiş olmakla kalmadı, aynı zamanda sistem uyumluluğunun da dışına çıktı. Bir zamanlar isteğe bağlı olan şey zorunlu hale geldi ve işlemcilerin yıllardır önerdiği 3D Secure 2 yükseltmesi tek çözüm yolu oldu.
3D Secure'un Tarihçesi: 3DS1'den 3DS2'ye
3DS1, 2000'li yılların başında piyasaya sürüldü. Kimlik doğrulama mekanizması, genellikle kartı veren banka tarafından sunulan bir yönlendirme açılır penceresiydi. Kart sahipleri yeni bir tarayıcı penceresi görüyor, genellikle unuttukları statik bir şifre giriyor ve ya işlemi tamamlıyor ya da vazgeçiyordu. Bu aşamada terk edilme, her kategorideki satıcılar için ölçülebilir bir sorundu.
| Özellik | 3DS1 | 3DS2 |
|---|---|---|
| Kimlik Doğrulama Kullanıcı Arayüzü | Yönlendirme açılır penceresi / yeni pencere | Gömülü iframe veya yerel SDK |
| Veriler ihraççıya gönderildi. | ~15 veri noktası | 100'den fazla veri noktası (cihaz, davranış, geçmiş) |
| Mobil destek | Kötü — yerel SDK yok | Tamamen yerel iOS ve Android SDK'sı |
| Sürtünmesiz akış | Müsait değil | Evet — işlemlerin çoğunluğu |
| Meydan okuma yöntemi | Statik parola | OTP, anlık bildirim, biyometrik |
| Sorumluluk kayması | Evet | Evet (genişletilmiş kapsam) |
| AB statüsü | Ekim 2022'de kullanımdan kaldırıldı. | Zorunlu |
3DS2, 3DS1'in neden olduğu dönüşüm hasarını gidermek için tasarlandı. Protokol, işlem akışının başlangıcında ihraççıya 100'den fazla risk sinyali göndererek, bankalara müşteriden hiçbir şey istemeden çoğu işlemi onaylamak için yeterli veriyi sağlıyor. Bir doğrulama işlemi gerçekleştiğinde, bu bir SMS kodu veya biyometrik veri oluyor, kart sahibinin üç yıl önce belirlediği bir şifre değil.
3DS2 Kimlik Doğrulama İşlemi Adım Adım Nasıl Çalışır:
Her 3DS2 işlemi iki yoldan birinden geçer. İşlemi gerçekleştiren banka, aldığı risk verilerine göre hangi yolun izleneceğini seçer. Çoğu durumda, müşteriler kimlik doğrulamasının gerçekleştiğini hiç fark etmezler.
Sürtünmesiz akış (%70-90 işlem):
- Müşteri ödeme sırasında kart bilgilerini girer.
- Satıcının ödeme ağ geçidi veya 3DS sunucusu 100'den fazla veri noktası toplar: cihaz parmak izi, IP coğrafi konumu, tarayıcı özellikleri, işlem geçmişi, davranışsal sinyaller.
- Bunlar, kart ağının dizin sunucusuna bir Kimlik Doğrulama İsteği (AReq) olarak gönderilir ve ardından kartı veren bankanın Erişim Kontrol Sunucusuna (ACS) iletilir.
- ACS, otomatik risk değerlendirmesini genellikle bir saniyeden kısa sürede gerçekleştirir.
- İşlem düşük riskli olarak değerlendirilirse, ACS müşteriden herhangi bir işlem gerektirmeden sorunsuz bir onay verir.
- İşlem, yükümlülüğün ihraç eden bankaya geçmesiyle tamamlanır.
Zorluk akışı (%10-30 işlem):
- 1-3. adımlar aynıdır: veri toplama ve AReq gönderimi.
- ACS, işlemi daha yüksek riskli olarak işaretliyor: yeni cihaz, olağandışı tutar, yeni teslimat adresi veya ilgili satıcı kategorisi için yüksek dolandırıcılık oranı.
- Müşteriden ikinci bir doğrulama faktörü istenir: SMS tek kullanımlık şifre, bankacılık uygulamasından gelen bildirim veya biyometrik veriler.
- Müşteri görevi tamamladı.
- İşlem, sorumluluğun ihraççıya geçmesi koşuluyla onaylandı.
3DS2'yi selefinden ayıran şey, sorunsuz işlem sürecidir. Müşterilerin çoğu, ekstra bir şey yapmadan kimlik doğrulamalı bir işlemi tamamlar. Bir zorluk ortaya çıktığında ise, tanıdık bir yöntem kullanılır: banka havalesini onaylamak için kullandıkları aynı anlık bildirim.
SCA Muafiyetleri ve Ne Zaman Uygulanırlar
Her işlem için SCA (Tek Faktörlü Kimlik Doğrulama) gerekli değildir. PSD2, iki faktörlü kimlik doğrulama olmadan ödemelerin gerçekleşmesine izin veren istisnalar tanımlar. İstisna talep etmek, istisna almakla aynı şey değildir. Ödemeyi yapan banka, talebi kabul edip etmeyeceğine karar verir. Reddedilme, geçici bir ret anlamına gelir ve satıcının SCA'yı tetikleyerek yeniden göndermesi gerekir.
| Muafiyet türü | Durum | Sınır |
|---|---|---|
| Düşük değerli işlem | 30 €'nun altındaki işlem | Son SCA'dan bu yana en fazla 5 ardışık işlem veya toplam 100 €'luk işlem. |
| İşlem Riski Analizi (TRA) | Alıcı veya ihraççı dolandırıcılık oranı eşik değerin altında | 100 €'da ≤%0,13 dolandırıcılık oranı / 250 €'da ≤%0,06 / 500 €'da ≤%0,01 dolandırıcılık oranı |
| Tekrarlayan işlemler (sabit tutar) | İlk SCA'dan sonra aynı tutar, aynı alıcı. | Sınır yok |
| Satıcı tarafından başlatılan işlem | Abonelik faturalandırması, taksitler | SCA yalnızca ilk işlemde gereklidir. |
| Güvenilir hak sahibi | Kart sahibi, söz konusu iş yerini bankası aracılığıyla beyaz listeye eklemiştir. | İşyerine özel, kart sahibi tarafından kontrol edilen |
| Güvenli kurumsal ödemeler | Özel B2B ödeme sistemleri | Yalnızca düzenleyici kurum tarafından onaylanmış sistemler |
Muafiyet talebinde bulunan tarafın sorumluluğu, muafiyeti kimin talep ettiğine bağlıdır. Eğer ödeme alıcısı TRA muafiyeti talep eder ve ödeme veren kuruluş bunu kabul ederse, bir sorun çıkması durumunda ödeme alıcısı (ve dolayısıyla satıcı) dolandırıcılık sorumluluğunu üstlenir. Ödeme veren kuruluş muafiyeti bağımsız olarak uygulamışsa, sorumluluk onlara aittir. TRA muafiyetleri kapsamında yüksek hacimli işlem yapan satıcılar, her işlemin hangi yoldan geçtiğini takip etmelidir.
SCA ve 3DS2'nin Tüccarları Nasıl Etkilediği
SCA 3DS2'yi doğru bir şekilde geliştirmenin ticari gerekçesi, yasal uyumluluğun çok ötesine uzanıyor:
- Sorumluluk kayması : Tamamlanan 3DS2 kimlik doğrulaması, dolandırıcılık nedeniyle oluşan geri ödeme sorumluluğunu satıcıdan kartı veren bankaya aktarır. Kimlik doğrulaması yapılmaması durumunda, satıcı kart dolandırıcılığını doğrudan üstlenir. AB'de kart dolandırıcılığı, SCA'nın zorunlu olmadığı bölgelerde 17 kat daha yüksektir.
- Onay oranları : 3DS2, genellikle doğrulanmamış ödemelere kıyasla onay oranlarını iyileştirir. Kart veren kuruluşlar, kart numarası ve CVV yerine 100 veri noktasına sahip olduklarında daha güvenle onay verirler.
- Ödeme dönüşümü : Zorlu akış bir adım ekler, ancak sorunsuz 3DS2 neredeyse hiç sürtünme yaratmaz. İyi uygulanmış 3DS2, genellikle 3DS1'e kıyasla düz veya pozitif bir dönüşüm etkisi yaratır.
- Veri kalitesi : AReq yükünün kalitesi, işlemlerin ne kadarının sorunsuz gerçekleştiğini belirler. Yalnızca zorunlu alanları gönderen satıcılar, isteğe bağlı alanları (cihaz parmak izi, geçmiş işlem sayısı, gönderim adresi yaşı) dolduranlara göre daha yüksek doğrulama oranlarıyla karşılaşırlar.
- Coğrafya : SCA kuralları, Avrupa Ekonomik Alanı üye devletlerinde, Birleşik Krallık'ta (Brexit sonrası kendi SCA zaman çizelgesi) ve diğer pazarlarda farklılık gösterir. Küresel bir ödeme sisteminin, bunları talep düzeyinde doğru şekilde segmentlere ayırması gerekir.
Çevrimiçi Satıcılar için SCA Uyumluluk Kontrol Listesi
SCA 3DS2 kurulumunu doğru bir şekilde gerçekleştirmek, ağ geçidinde 3DS2'yi etkinleştirmekten daha fazlasını gerektirir. Devam eden çalışmalar da önemlidir:
- PSP'nizin veya ağ geçidinizin 3DS2'yi desteklediğinden emin olun. Çoğu büyük işlemci (Stripe, Adyen, Worldpay, Braintree) bunu otomatik olarak halleder. Bölgesel veya eski işlemciler hala 3DS1 üzerinde çalışabilir veya kısmi uygulamalara sahip olabilir.
- AReq veri yükünüzü denetleyin. Ödeme sağlayıcınızla birlikte çalışarak, yalnızca zorunlu minimum alanları değil, 100'den fazla isteğe bağlı veri alanının tamamını gönderdiğinizden emin olun. Her ek alan, ödeme sağlayıcısının sorunsuz onay alma konusundaki güvenini artırır.
- İşlem türlerinizi eşleştirin. Hangi ödemelerin satıcı tarafından başlatıldığını (kurulum sonrası abonelikler), posta siparişi/telefon siparişi veya tek aşamalı ödeme olduğunu belirleyin. Bunları doğru şekilde işaretleyin; bunlar 3DS2 üzerinden geçmez ve oraya yönlendirilmemelidir.
- Görev akışının kullanıcı deneyimini test edin. Bir adım yukarı görev tetiklendiğinde, deneyim net ve mobil uyumlu olmalıdır. Kafa karıştırıcı bir OTP ekranı dönüşüm oranlarını düşürür. Yayına geçmeden önce cihazlar ve tarayıcılar genelinde test edin.
- Sorunsuz işlem oranları ile zorlu işlem oranlarını izleyin. Sorunsuz işlem oranındaki düşüş bir soruna işaret eder: veri yükünün bozulması, ihraççı kuruluşun risk modelini değiştirmesi veya satıcı kategorisindeki dolandırıcılık oranının TRA eşiğini aşması.
- Muafiyet sonuçlarını takip edin. Hangi muafiyetleri talep ettiğinizi, hangilerinin kabul edildiğini ve hangilerinin reddedildiğini öğrenin. Düşük değerli muafiyetlerde reddedilme, genellikle 100 €'luk toplam limite ulaşıldığı ve sıfırlama yapılmadığı anlamına gelir.
- PSD3 zaman çizelgesini takip edin. Avrupa Komisyonu'nun PSD3 önerisi yasama sürecindedir; üye devletlerin uygulamaya geçmesi 2026-2027 yılları arasında beklenmektedir. Bu öneri, SCA'yı değiştirmek yerine genişletmektedir; kimlik doğrulama gereksinimleri hafifletilmek yerine daha ayrıntılı hale gelmektedir.
Birçok işletmenin sca 3ds2 hakkında farkında olmadığı bir şey var: tüm çerçeve, PSD2 kapsamında düzenlenen elektronik ödeme işlemlerine, yani bankalar ve kart ağları üzerinden hareket eden itibari para birimlerine yöneliktir. Kripto para ödemeleri bu kapsamın tamamen dışında kalmaktadır.
Bir müşteri Bitcoin, Ethereum veya bir stablecoin ile ödeme yaptığında, işlem bir kart ağına veya bankaya dokunmaz. Hiçbir ihraççı ACS çalıştırmaz. AReq, dizin sunucusu veya yönetilmesi gereken bir doğrulama akışı yoktur. Ödeme türü düzenleyici kapsamın dışında kaldığı için SCA kuralları geçerli değildir.
Satıcılar için bu durum somut olarak ortaya çıkıyor. Kripto para ile ödeme işleminde 3DS2 kimlik doğrulama adımı, OTP isteği ve doğrulama akışı yok. Müşteri cüzdanından ödeme yapıyor; paralar hesaba geçiyor. Geri ödeme talepleri de söz konusu değil; kripto para işlemleri geri alınamaz olduğundan, dolandırıcılık sorumluluğu mekanizması tamamen ortadan kalkıyor.
Kart doğrulama çerçevesinin tamamen dışında bir ödeme seçeneği eklemek isteyen işletmeler için Plisio , SCA yükü olmadan, ters ibraz riski olmadan ve ihraç eden bankanın risk modeline bağımlılık olmaksızın 20'den fazla kripto para birimini desteklemektedir.
SCA ve 3DS2 Ödeme Sistemleriniz İçin Ne Anlama Geliyor?
SCA (Güçlü Kimlik Doğrulama) daha da basitleşmiyor. PSD3, kimlik doğrulama gereksinimlerini daha da genişletecek ve Birleşik Krallık, Brexit sonrası kendi SCA uygulama sürecini yürütüyor. Satıcılar için pratik soru, SCA 3DS2 uygulamasının ne kadar iyi çalıştığıdır, uygulanıp uygulanmayacağı değil.
Doğru uygulandığında, bu çerçeve ilgili herkes için işe yarar. Satıcılar, sahtekarlık kaynaklı geri ödemelerde sorumluluk koruması elde eder. Ödeme kuruluşları, 3D Secure 2'nin genişletilmiş veri yükü sayesinde daha zengin sinyaller alır ve daha fazla işlemi güvenle onaylar. Müşteriler, genellikle ödeme işlemlerini hiç kesintiye uğratmayan güvenli kimlik doğrulama elde eder. Sıkışıp kalan satıcılar ise, 3DS2'yi ağ geçidi minimumunda etkinleştiren ve sorunsuz işlem oranlarına, AReq veri yükü kalitesine veya muafiyet isabet oranlarına bir daha hiç bakmayanlardır.
