EMV 3DS Erişim Kontrol Sunucusu: Passkey'ler, FIDO ve SPC

1. Giriş#

Çevrimiçi ödeme kimlik doğrulama ortamı, hem gelişmiş dolandırıcılığa karşı güvenliği artırma hem de sürtünmeyi ve sepet terkini azaltmak için kullanıcı deneyimini iyileştirme gibi ikili ihtiyaçlar nedeniyle önemli bir dönüşüm geçiriyor. EMV® 3-D Secure (3DS) protokolü, özellikle sonraki sürümleri (EMV 3DS 2.x), kartın fiziken bulunmadığı (CNP) işlemlerin dünya çapında doğrulanması için temel teknoloji olarak hizmet vermektedir. EMVCo tarafından yönetilen bu protokol, kart sahibi kimliğini doğrulamak için işletmeler, kart veren kuruluşlar (Erişim Kontrol Sunucuları - ACS aracılığıyla) ve birlikte çalışabilirlik alanı (ödeme şemaları tarafından işletilen Dizin Sunucuları) arasında veri alışverişini kolaylaştırır.

Bu çerçevede, FIDO (Fast Identity Online) Alliance standartlarıyla ilgili iki temel teknolojik gelişme ortaya çıkmaktadır:

1. Önceki kullanıcı etkileşimleri sırasında (örneğin, işletme girişi) oluşturulan FIDO kimlik doğrulama verilerinin, EMV 3DS sorunsuz akışı için risk değerlendirmesini zenginleştirmek amacıyla kullanılması.
2. FIDO/WebAuthn üzerine inşa edilmiş bir W3C web standardı olan Güvenli Ödeme Onayı (SPC) entegrasyonu, EMV 3DS akışı içinde modern ve kimlik avına dayanıklı bir "doğrulama" yöntemi olarak kullanılması.

Bu makale, kart veren bankalara sunulan EMV 3DS Erişim Kontrol Sunucusu (ACS) çözümlerinin küresel pazarına genel bir bakış sunmaktadır. Başlıca satıcıları belirlemekte ve hem SPC dışı FIDO veri yapıları hem de doğrulama akışları için Güvenli Ödeme Onayı (SPC) konusundaki mevcut desteklerini değerlendirmeye çalışmaktadır. Ayrıca, kart veren kuruluşların SPC aracılığıyla 3DS doğrulama akışı içinde kriptografik doğrulama için kendi FIDO passkey'lerini nasıl kullanabilecekleri mekanizmasını açıklamakta ve bu standardın küresel uygulanabilirliğini tartışmaktadır.

2. EMV 3DS, FIDO ve SPC'ye Genel Bakış#

2.1 EMV 3DS'te Sorunsuz ve Doğrulama Akışları#

EMV 3DS temel olarak iki farklı kimlik doğrulama yoluyla çalışır:

• Sorunsuz Akış: Bu, kesintisiz bir kullanıcı deneyimi hedefleyen tercih edilen yoldur. Kart veren kuruluşun ACS'si, işlem başlatma sırasında (Kimlik Doğrulama Talebi veya AReq mesajı aracılığıyla) değiş tokuş edilen zengin bir veri setine dayanarak bir risk değerlendirmesi yapar. Bu veriler arasında işlem detayları, işletme bilgileri, cihaz özellikleri, tarayıcı verileri (potansiyel olarak 3DSMethod JavaScript aracılığıyla toplanan) ve muhtemelen önceki kimlik doğrulama bilgileri bulunur. Risk düşük kabul edilirse, işlem kart sahibinden herhangi bir doğrudan etkileşim veya "doğrulama" gerektirmeden doğrulanır. Bu akış, özellikle risk motorlarının iyi ayarlandığı durumlarda 3DS işlemlerinin çoğunluğunu oluşturur.
• Doğrulama Akışı: ACS, işlem riskinin yüksek olduğunu belirlerse, düzenlemeler (Avrupa'daki PSD2 SCA gibi) veya kart veren kuruluş politikası gerektiriyorsa, kart sahibinden kimliğini doğrulaması aktif olarak istenir. Geleneksel doğrulama yöntemleri arasında SMS ile gönderilen Tek Kullanımlık Şifreler (OTP), bilgi tabanlı sorular veya bir bankacılık uygulaması aracılığıyla Bant Dışı (OOB) kimlik doğrulama bulunur. Yeni 3DS sürümlerinin ve SPC gibi ilgili teknolojilerin amacı, bu doğrulama akışını eski yöntemlere göre daha güvenli ve daha az zahmetli hale getirmektir.

2.2 Sorunsuz Akışın İyileştirilmesinde FIDO Verilerinin (SPC Dışı) Rolü#

EMVCo ve FIDO Alliance, işletmelerin önceki FIDO kimlik doğrulamaları hakkındaki bilgileri (burada işletme Güvenen Taraf olarak hareket eder, örn. kullanıcı girişi sırasında) standart 3DS AReq mesajı içinde kart veren kuruluşun ACS'sine iletmesi için standartlaştırılmış bir yol tanımlamak üzere işbirliği yapmıştır. İlk olarak EMV 3DS v2.1'de desteklenen bu mekanizma, AReq içindeki belirli alanlardan, özellikle de threeDSRequestorAuthenticationData gibi alt alanları içeren threeDSRequestorAuthenticationInfo yapısından yararlanır.

FIDO Alliance Teknik Notu ve ilgili EMVCo teknik raporu, önceki FIDO kimlik doğrulama detaylarını iletirken bu threeDSRequestorAuthenticationData alanı için bir JSON yapısı belirtir. Bu JSON nesnesi, kimlik doğrulama zamanı (authTime), FIDO Güvenen Taraf ID'si (rpId veya appId) ve kullanılan doğrulayıcı(lar) hakkında bilgiler içerir; bunlar arasında açık anahtar, AAGUID/AAID ve kullanıcı varlığı (UP) ile kullanıcı doğrulaması (UV) göstergeleri bulunur.

Bunun arkasındaki mantık şudur: Eğer bir işletme, satın almayı başlatan kullanıcı oturumu için yakın zamanda güçlü bir FIDO kimlik doğrulaması (örneğin, biyometri veya bir passkey kullanarak) gerçekleştirdiyse, bu bilgi kart veren kuruluşun ACS'si için değerli bir ek risk sinyali olarak hizmet edebilir. Bu standartlaştırılmış FIDO verilerini alıp işleyerek, ACS potansiyel olarak işlemin meşruiyetine daha fazla güvenebilir, bu da sorunsuz bir onay olasılığını artırır ve ayrı bir doğrulama ihtiyacını azaltır. Bu senaryoda, işletmenin FIDO RP'si olduğunu ve kart veren kuruluşun bu veriyi risk motoruna bir girdi olarak tükettiğini belirtmek önemlidir; kart veren kuruluş, bu sorunsuz akış içinde FIDO onayını (assertion) kriptografik olarak doğrulamaz. ACS, bu veriyi işlemek üzere yapılandırılmamışsa görmezden gelme seçeneğini saklı tutar.

2.3 Doğrulama Akışında Güvenli Ödeme Onayının Rolü#

Güvenli Ödeme Onayı (SPC), FIDO standartlarının EMV 3DS doğrulama akışı içinde farklı bir entegrasyonunu temsil eder. SPC, FIDO ve EMVCo ile işbirliği içinde geliştirilen, WebAuthn üzerine inşa edilmiş bir W3C web standardıdır. EMV 3DS'te 2.3 sürümünden itibaren resmi olarak desteklenmektedir.

SPC bir doğrulama yöntemi olarak kullanıldığında:

1. Kart veren kuruluş (veya kart veren kuruluş tarafından açıkça yetkilendirilmiş bir taraf, örneğin bir ödeme şeması) FIDO Güvenen Tarafı (RP) olarak işlev görür. Bu, daha önce açıklanan ve işletmenin genellikle kendi giriş/kimlik doğrulama amaçları için RP olarak hareket ettiği SPC dışı FIDO veri akışından temel olarak farklıdır.
2. 3DS doğrulaması sırasında, ACS, SPC ihtiyacını bildirir ve gerekli FIDO kimlik bilgisi tanımlayıcılarını ve bir kriptografik sorgulamayı işletmeye/3DS Sunucusuna sağlar.
3. İşletmenin sistemi, tarayıcının SPC API'sini çağırarak işlem detaylarını (tutar, para birimi, alacaklı, enstrüman) kullanıcıya güvenli, tarayıcı kontrollü bir diyalogda sunar.
4. Kullanıcı, FIDO doğrulayıcısını (örneğin, cihaz biyometrisi, PIN, güvenlik anahtarı) kullanarak kimliğini doğrular. Bu işlem, işlem detaylarını ve sorgulamayı, kart veren kuruluş tarafından kaydedilen passkey ile ilişkili özel anahtarı kullanarak imzalar.
5. Sonuçta ortaya çıkan FIDO onayı (assertion) (kimlik doğrulama ve rızanın kriptografik kanıtı), 3DS protokolü aracılığıyla (genellikle ikinci bir AReq mesajı ile) kart veren kuruluşun ACS'sine geri iletilir.
6. ACS, RP olarak, onayı (assertion) ilgili açık anahtarı kullanarak kriptografik olarak doğrular ve kart sahibinin kimliğini ve belirli işlem detaylarına rızasını teyit eder.

SPC, hem daha güvenli (kimlik avına dayanıklı, kimlik doğrulamanın işlem verilerine dinamik bağlanması) hem de potansiyel olarak daha az sürtünmeli (genellikle OTP girişinden daha hızlı) bir doğrulama deneyimi sunmayı amaçlar.

FIDO entegrasyonu için bu ikili yollar — biri sorunsuz risk değerlendirmesi için önceki işletme kimlik doğrulama verilerinden yararlanırken, diğeri SPC aracılığıyla doğrudan FIDO tabanlı bir doğrulama için kart veren kuruluş tarafından yönetilen kimlik bilgilerini kullanır — EMV 3DS çerçevesi içinde güvenliği ve kullanıcı deneyimini artırmak için farklı yaklaşımlar sunar. Her biri için satıcı desteğini anlamak, kimlik doğrulama stratejilerini planlayan kart veren kuruluşlar ve PSP'ler için hayati önem taşır.

3. Başlıca EMV 3DS ACS Satıcılarının Analizi#

Bu bölüm, EMV 3DS ACS çözümlerinin küresel sağlayıcılarının yeteneklerini, pazar varlıklarına ve FIDO verileri (SPC dışı) ile Güvenli Ödeme Onayı (SPC) desteklerine odaklanarak analiz etmektedir. Kesin pazar payı rakamları özeldir ve kamuya açık olarak elde edilmesi zordur; bu nedenle, varlık, satıcı iddiaları, sertifikalar, ortaklıklar, coğrafi erişim ve pazar raporlarına dayanarak değerlendirilmektedir.

3.1 Entersekt (Modirum dahil) 3DS ACS#

• Pazar Varlığı: Entersekt, özellikle Aralık 2023'te Modirum'un 3DS yazılım işini satın aldıktan sonra, kendisini EMV 3DS çözümlerinin önde gelen küresel sağlayıcısı olarak konumlandırarak ilk beş pazar konumunu hedeflemektedir. Modirum'un 3DS alanında 20 yılı aşkın deneyimi vardı. Entersekt, özellikle Kuzey Amerika'daki yeni müşteriler ve Mastercard ile genişletilmiş bir ilişki de dahil olmak üzere stratejik ortaklıklar sayesinde rekor büyüme kaydettiğini vurgulamaktadır. Yıllık 2,5 milyardan fazla işlemi güvence altına aldıklarını (FY24 itibarıyla) iddia ediyorlar ve Liminal tarafından bankacılıkta ATO önlemede 1. sırada yer alıyorlar. ACS'leri barındırılan (Entersekt veya müşteri tarafından) veya şirket içinde mevcuttur. Küresel olarak kart veren kuruluşlara ve işlemcilere hizmet vermektedirler.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): Entersekt, Context Aware™ Kimlik Doğrulama, risk sinyalleri için cihaz ve davranış analitiği ve çeşitli risk puanlama hizmetleriyle entegrasyonunu vurgulamaktadır. ACS'leri FIDO EMVCo 2.2 sertifikalıdır. Sorunsuz akış geliştirmesi için threeDSRequestorAuthenticationInfo alanındaki önceki işletme kimlik doğrulamalarından gelen standartlaştırılmış FIDO onay verilerini işlediklerine dair açık bir onay, çevrimiçi materyallerde belirtilmemiştir. Ancak, gelişmiş kimlik doğrulama ve risk sinyallerine odaklanmaları bu yeteneğe sahip olduklarını düşündürmektedir.
• SPC Desteği (Doğrulama): Güçlü göstergeler Entersekt'in SPC'yi desteklediğini göstermektedir. Entersekt'in 3DS işini satın aldığı Modirum, Visa'nın uzantılarla 3DS 2.2 kullanan SPC pilotu için bileşenler sağlamıştır. Entersekt, düzenleyici uyumluluk yetkinliklerinin bir parçası olarak SPC uyumluluğu desteğini açıkça listelemektedir. ACS'leri biyometrik kimlik doğrulamayı destekler, EMV 3DS 2.2 için sertifikalıdır ve muhtemelen Modirum'un pilot katılımından gelen yetenekleri içermektedir. Modirum satın alması, SPC uyumluluğunun açıkça belirtilmesi ve FIDO sertifikasyonunun birleşimi, mevcut tekliflerinde SPC desteğine güçlü bir şekilde işaret etmektedir.

3.2 Broadcom (Arcot) 3DS ACS#

• Pazar Varlığı: Broadcom'un Arcot'u, orijinal protokolü Visa ile birlikte icat ederek 3DS pazarında temel bir oyuncudur. Kendilerini dünya çapında 5.000'den fazla finans kurumuna hizmet veren ve 229 ülkeden gelen işlemleri işleyen tanınmış bir küresel lider olarak konumlandırmaktadırlar. Arcot Ağı, dolandırıcılık puanlaması ve risk motorlarını güçlendirmek için geniş bir konsorsiyum veri yaklaşımını (600 milyondan fazla cihaz imzası, 150 trilyon veri noktası iddiasıyla) vurgulamaktadır. Avrupa, Avustralya ve Kuzey Amerika'da güçlü bir varlıkları vardır.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): Broadcom, veri ağlarının zenginliğini ve dolandırıcılık tespiti ile risk tabanlı değerlendirme için yapay zeka/sinir ağlarının kullanımını, standart EMV 3DS veri öğelerinin ötesine geçerek yoğun bir şekilde vurgulamaktadır. Çözümlerinin birden fazla kart veren kuruluştan akan verilerden yararlandığını ve cihaz ve coğrafi konum gibi dijital verileri içerdiğini açıkça belirtmektedirler. threeDSRequestorAuthenticationData'dan gelen belirli FIDO JSON yapısını işlediklerini açıkça belirtmeseler de, RBA için çeşitli veri noktalarını alma odakları, sağlandığı takdirde bu tür verileri tüketebileceklerini ve EMVCo/FIDO kılavuzunun amacına uygun hareket ettiklerini güçlü bir şekilde düşündürmektedir. Platformları, üstün risk değerlendirmesi yoluyla sorunsuz onayları en üst düzeye çıkarmayı amaçlamaktadır.
• SPC Desteği (Doğrulama): Broadcom'un belgeleri, daha geniş VIP Kimlik Doğrulama Merkezi / Kimlik Güvenliği paketleri içinde FIDO doğrulayıcıları (Güvenlik Anahtarı, Biyometrik, Passkey) desteğini doğrulamaktadır. 3DS ACS'leri, OTP'ler ve anlık bildirimler de dahil olmak üzere çeşitli doğrulama yöntemlerini destekler ve biyometri desteğinden bahsederler. Ayrıca Yetkilendirilmiş Kimlik Doğrulama yetkinlikleri sunarlar ve doğrulama sonrası risk değerlendirme özellikleri sunmuşlardır. Ancak, EMV 3DS ACS ürünlerinin şu anda belirli bir doğrulama yöntemi olarak SPC'yi (EMV 3DS v2.3+ yetenekleri ve iki AReq akışı gerektiren) desteklediğine dair açık bir onay, sağlanan belgelerde bulunmamaktadır. Büyük bir oyuncu olarak bunu uygulama yeteneğine sahip olsalar da, mevcut kamuya açık materyaller daha çok RBA motorlarına ve geleneksel/OOB doğrulama yöntemlerine odaklanmaktadır.

3.3 Netcetera 3DS ACS#

• Pazar Varlığı: Netcetera, kendisini özellikle Avrupa ve Orta Doğu'da güçlü, önemli bir uluslararası ödeme oyuncusu olarak konumlandırmaktadır. ACS'lerinin 800'den fazla banka/kart veren kuruluş tarafından kullanıldığını ve dünya çapında 50 milyondan fazla kartı güvence altına aldığını belirtmektedirler. Tüm büyük kart ağları (Visa, Mastercard, Amex, Discover, JCB, UnionPay, vb.) ile sertifikasyonlarını ve PCI uyumluluğunu vurgulamaktadırlar. Özellikle dünya çapında EMV 3DS 2.3.1 sertifikasyonunu alan ilk ACS satıcısı olmuşlardır.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): Netcetera'nın belgeleri, sorunsuz kimlik doğrulamayı artırmak için ACS risk değerlendirmesi için 3DSMethod aracılığıyla toplanan verilerin önemini vurgulamaktadır. Risk araçlarıyla entegrasyon sunmaktadırlar. Ancak, risk değerlendirmesi için önceki işletme FIDO kimlik doğrulama verilerinin (threeDSRequestorAuthenticationInfo'dan) işlenmesine ilişkin özel bir onay, incelenen materyallerde açıkça belirtilmemiştir.
• SPC Desteği (Doğrulama): Netcetera, SPC için güçlü bir destek göstermektedir. SPC'yi içeren sürüm olan EMV 3DS 2.3.1 için küresel olarak sertifikalandırılan ilk satıcıydılar. v2.3.1 bileşenlerini sağlayarak Visa SPC pilotuna katıldılar. Ürün belgeleri SPC'yi açıkça tanımlamaktadır. FIDO ve SPC entegrasyonunu tartışan web seminerleri düzenlediler ve SPC'nin faydalarını vurgulayan makaleler yayınladılar. Bu sertifikasyon, pilot katılımı ve açık belgelerin birleşimi, SPC doğrulamaları için desteklerini doğrulamaktadır.

3.4 Worldline 3DS ACS#

• Pazar Varlığı: Worldline, kendisini ödeme ve işlem hizmetlerinde Avrupa lideri ve büyük bir küresel oyuncu olarak konumlandırmaktadır (dünya çapında 4. ödeme oyuncusu statüsü iddiasıyla). Yıllık milyarlarca işlemi işlerler ve garantili uyumluluk, yapay zeka/makine öğrenmesi kullanarak dolandırıcılık kontrolü ve ölçeklenebilirliği vurgularlar. ACS'lerinin EMV 3DS sertifikalı olduğu ve büyük şemalarla (Visa Secure, Mastercard Identity Check) ve PSD2 ile uyumlu olduğu belirtilmektedir. 100'den fazla kart veren kuruluş için yıllık 2,4 milyardan fazla 3DS işlemi işlediklerini bildirmektedirler.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): Worldline'ın ACS teklifi, kart veren kuruluşların riske dayalı olarak sorunsuz veya doğrulama akışlarını yapılandırmasına olanak tanıyan bir RBA kural motoru içerir. Daha geniş "Güvenilir Kimlik Doğrulama" çözümleri, cihaz zekası ve davranışsal analizden yararlanır. Genel olarak FIDO'yu destekleseler de, ACS içinde risk değerlendirmesi için önceki işletme FIDO verilerinin (SPC dışı) işlendiğine dair açık bir onay, sağlanan kısa bilgilerde ayrıntılı olarak verilmemiştir.
• SPC Desteği (Doğrulama): Worldline, SPC'yi desteklediğine dair net göstergeler sunmaktadır. Belgeleri, EMV 3DS 2.3'ün SPC/FIDO'yu içerecek şekilde evrimini kabul etmektedir. "WL Güvenilir Kimlik Doğrulama" çözümlerini FIDO kimlik doğrulamasını desteklediğini açıkça pazarlamaktadırlar ve "3DS kullanım durumları, emvCO2.3 ve SPC ile" uyumlu bir "WL FIDO Sunucusu" sunmaktadırlar.

3.5 GPayments 3DS ACS#

• Pazar Varlığı: GPayments, ActiveAccess'i 3D Secure alanında 20 yılı aşkın süredir "sağlam, pazar lideri bir Erişim Kontrol Sunucusu (ACS) platformu" olarak konumlandırmaktadır. Hem 3DS1 hem de EMV 3DS için büyük kart şemalarıyla (Visa Secure, Mastercard Identity Check, JCB J/Secure) sertifikalıdırlar. Çözümleri şirket içinde veya bulutta barındırılabilir. Pazar raporları, GPayments'i ACS çözümleri sunan dikkate değer bir oyuncu olarak tanımlamaktadır.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): ActiveAccess, üçüncü taraf RBA çözümleriyle entegrasyonu destekler ve kendi risk değerlendirmesi için çeşitli parametreler kullanır. Ancak, sağlanan belgeler, sorunsuz risk değerlendirmesi için önceki işletme FIDO kimlik doğrulama verilerini (SPC dışı) alma veya kullanma desteğinden açıkça bahsetmemektedir.
• SPC Desteği (Doğrulama): ActiveAccess için incelenen belgeler, doğrulama akışı yetkinliklerinin bir parçası olarak Güvenli Ödeme Onayı (SPC), WebAuthn doğrulamaları veya FIDO doğrulamaları desteğinden açıkça bahsetmemektedir. OOB (biyometriyi kapsayabilen) dahil olmak üzere çeşitli kimlik doğrulama yöntemlerini destekleseler de, belirli SPC desteği mevcut bilgilerden net değildir.

3.6 Visa (Visa Secure) 3DS ACS#

• Pazar Varlığı: Visa, büyük bir küresel ödeme ağı olarak, EMV 3DS standardına dayanan Visa Secure programını tanımlar. Orijinal 3DS protokolünün öncülüğünü yapmışlardır. Entersekt veya Broadcom gibi teknoloji şirketleriyle aynı şekilde doğrudan bir ACS satıcısı olarak hareket etmek yerine, Visa programı işletir ve ürünleri EMV 3DS ve Visa Secure kurallarıyla uyumlu sertifikalı 3DS satıcılarının (ACS sağlayıcıları dahil) bir listesine güvenir. Kart veren kuruluşlar genellikle ACS çözümlerini bu sertifikalı satıcılardan temin eder. Visa'nın kendisi ağa (Dizin Sunucusu), program kurallarını tanımlamaya, benimsemeyi teşvik etmeye ve SPC pilotları gibi yenilikleri yönlendirmeye odaklanır.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): EMV 3DS'e dayanan Visa Secure, sorunsuz akışı sağlamak için risk değerlendirmesi için zengin veri alışverişini doğal olarak destekler. Önceki FIDO verilerini geçirmek için EMVCo/FIDO çerçevesi, seçilen ACS satıcısı bunu işlemeyi destekliyorsa Visa Secure ekosistemi içinde çalışır.
• SPC Desteği (Doğrulama): Visa, SPC'yi pilot uygulama ve teşvik etme konusunda aktif olarak yer almaktadır. 3DS protokolü içinde SPC akışını test etmek ve iyileştirmek için ortaklarla (pilotlarda Netcetera ve Modirum/Entersekt gibi) çalışmaktadırlar. Bu güçlü katılım, ekosistem hazırlığına (ACS, işletme, tarayıcı desteği) bağlı olarak Visa Secure programı içinde bir doğrulama yöntemi olarak SPC'ye stratejik desteği göstermektedir.

3.7 Mastercard (Identity Check) 3DS ACS#

• Pazar Varlığı: Visa'ya benzer şekilde, Mastercard da EMV 3DS'e dayanan Mastercard Identity Check programını işletmektedir. Kart veren kuruluşlar ve işletmeler için, stand-in işleme ve potansiyel olarak NuData gibi ortaklardan veya yan kuruluşlardan yararlanma dahil olmak üzere seçenekler sunarlar. Mastercard, 2017 yılında davranışsal biyometri şirketi NuData Security'yi satın alarak risk değerlendirme yetkinliklerini artırmıştır. Ayrıca biyometri, RBA ve yapay zeka alanındaki sürekli yeniliği vurgularlar. Visa gibi, temel ACS bileşenleri için sertifikalı satıcılara güvenirler ancak paket hizmetler sunabilir veya satın alınan teknolojiden yararlanabilirler.
• SPC Dışı FIDO Veri Desteği (Sorunsuz): Mastercard Identity Check, geliştirilmiş risk kararları ve sorunsuz akış için EMV 3DS 2.x'in zengin veri alışverişinden yararlanır. NuData'yı satın almaları, bu risk değerlendirmesinin bir parçası olarak davranışsal analitiğe güçlü bir odaklanma olduğunu göstermektedir. Önceki işletme FIDO verilerini işleme desteği, kart veren kuruluşun Identity Check programı içinde kullandığı belirli ACS uygulamasına bağlı olacaktır.
• SPC Desteği (Doğrulama): Mastercard, EMVCo'nun kilit bir üyesidir ve SPC'yi destekleyen v2.3 de dahil olmak üzere EMV 3DS standartlarının geliştirilmesinde yer almaktadır. Ayrıca daha genel olarak passkey benimsenmesini teşvik etmektedirler. Daha fazla ayrıntı burada bulunabilir. Güçlü bir SPC destekçisidirler ve modern kimlik doğrulama yöntemlerine doğru ilerlemektedirler.

3.8 Diğer 3DS ACS Satıcıları#

EMV 3DS ACS pazarı, yukarıda ayrıntıları verilenlerin ötesinde çok sayıda sağlayıcıya sahiptir. /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop ve diğerleri gibi satıcılar da sertifikalı çözümler sunar veya belirli bölgelerde veya segmentlerde önemli roller oynar. Bu analiz, önde gelen küresel oyuncuları kapsamayı amaçlamaktadır ancak pazarın dinamik doğası nedeniyle kapsamlı değildir. Satıcı yetenekleri, özellikle SPC gibi gelişmekte olan standartlar konusunda hızla gelişmektedir. FIDO verileri veya Güvenli Ödeme Onayı için satıcı desteği hakkında herhangi bir yanlışlık fark ederseniz veya güncel bilgilere sahipseniz, bu genel bakışın güncel ve doğru kalmasını sağlamak için lütfen bizimle iletişime geçin.

4. Güvenli Ödeme Onayı ile Kart Veren Kuruluşun Passkey Kimlik Doğrulaması#

4.1 Mekanizmanın Açıklaması: Güvenen Taraf Olarak Kart Veren Kuruluş#

EMV 3DS doğrulama akışı içinde Güvenli Ödeme Onayı (SPC) kullanmanın temel bir ilkesi, kart veren kuruluşun (veya kart veren kuruluş tarafından açıkça yetkilendirilmiş bir tarafın, örneğin bir ödeme şemasının) FIDO Güvenen Tarafı (RP) olarak işlev görmesidir. Bu, daha önce açıklanan ve işletmenin genellikle kendi giriş/kimlik doğrulama amaçları için RP olarak hareket ettiği SPC dışı FIDO veri akışından temel olarak farklıdır.

SPC'nin bir 3DS doğrulamasında işlev görmesi için aşağıdaki adımlar gereklidir:

1. Kayıt: Kart sahibi önce bir FIDO doğrulayıcısını (örneğin, parmak izi/yüz tanıma gibi cihaz biyometrisi, cihaz PIN'i veya gezici bir güvenlik anahtarı) kartını veren bankaya kaydettirmelidir. Bu işlem bir passkey oluşturur; burada açık anahtar ve benzersiz bir kimlik bilgisi tanımlayıcısı kart veren kuruluş tarafından saklanır ve kart sahibinin hesabı veya belirli ödeme kartı ile ilişkilendirilir. Kayıt, bankanın mobil uygulamasında, çevrimiçi bankacılık portalında veya potansiyel olarak başarılı bir geleneksel 3DS doğrulamasından sonra sunulabilir. Önemli olan, SPC'nin bir işletme web sitesi gibi üçüncü bir taraf tarafından çağrılabilmesi için, kimlik bilgisinin genellikle bu tür bağlamlarda kullanımına izin veren açık kullanıcı onayı ile oluşturulması gerekir, bu da genellikle kayıt sırasında belirli WebAuthn uzantılarını içerir.
2. Kimlik Doğrulama (3DS Doğrulaması Sırasında):
   • Bir 3DS işlemi bir doğrulama tetiklediğinde ve kart veren kuruluş/ACS, SPC'yi destekleyip seçtiğinde, ACS kart sahibine ve cihaza bağlı ilgili FIDO kimlik bilgisi ID'lerini tanımlar.
   • ACS, bu kimlik bilgisi ID'lerini, benzersiz bir kriptografik sorgulama ve işlem detayları (tutar, para birimi, alacaklı adı/kaynağı, enstrüman simgesi/görünen adı) ile birlikte 3DS Sunucusuna/Talep Eden'e geri gönderilen Kimlik Doğrulama Yanıtı'na (ARes) dahil eder.
   • İşletmenin 3DS Talep Eden bileşeni, ARes'ten gelen bu bilgiyi tarayıcının SPC API'sini çağırmak için kullanır.
   • Tarayıcı, ACS tarafından sağlanan işlem detaylarını gösteren standartlaştırılmış, güvenli bir diyalog sunar.
   • Kullanıcı, kayıtlı FIDO doğrulayıcısını kullanarak işlemi onaylar ve kimliğini doğrular (örneğin, bir parmak izi sensörüne dokunarak, yüz tanıma ile, cihaz PIN'ini girerek, bir güvenlik anahtarına dokunarak). Bu eylem, cihazda/doğrulayıcıda güvenli bir şekilde saklanan özel anahtarın kilidini açar.
   • Doğrulayıcı, sunulan işlem detaylarını ve ACS'den alınan kriptografik sorgulamayı imzalar.
   • Tarayıcı, sonuçta ortaya çıkan FIDO onayını (imzalı veri yükü) işletmenin 3DS Talep Eden'ine geri döndürür.
   • 3DS Talep Eden, bu onayı genellikle ikinci bir AReq mesajı içinde kapsüllenmiş olarak Kart Veren Kuruluş ACS'sine geri iletir.
   • Kart Veren Kuruluş/ACS, yetkili Güvenen Taraf olarak, kart sahibinin daha önce saklanan açık anahtarını kullanarak onay üzerindeki imzayı kriptografik olarak doğrular. Başarılı doğrulama, meşru kart sahibinin, kayıtlı doğrulayıcısını kullanarak, sunulan belirli işlem detaylarını onayladığını teyit eder.

4.2 SPC Doğrulaması ile EMV 3DS Protokol Akışı#

SPC'nin EMV 3DS doğrulama akışına entegrasyonu, standart mesaj dizisinde değişiklikler gerektirir ve genellikle iki AReq/ARes alışverişini içerir:

1. İlk Kimlik Doğrulama Talebi (AReq #1): İşletme/3DS Sunucusu, işlem ve cihaz verilerini içeren bir AReq göndererek 3DS sürecini başlatır. SPC yeteneğini belirtmek için, talep threeDSRequestorSpcSupport gibi bir göstergeyi 'Y' olarak ayarlanmış (veya ACS satıcısının uygulamasına bağlı olarak benzer bir şekilde) içerebilir.
2. İlk Kimlik Doğrulama Yanıtı (ARes #1): ACS bir doğrulama gerektiğini belirler ve SPC'yi seçerse, bunu belirten bir ARes ile yanıt verir. transStatus 'S' (SPC gerekli olduğunu belirten) veya başka bir özel değere ayarlanabilir. Bu ARes, SPC API çağrısı için gerekli veri yükünü içerir.
3. SPC API Çağrısı ve FIDO Kimlik Doğrulaması: İşletmenin 3DS Talep Eden bileşeni ARes #1'i alır ve yükü tarayıcının SPC API'sini çağırmak için kullanır. Kullanıcı, tarayıcının güvenli kullanıcı arayüzü aracılığıyla doğrulayıcısıyla etkileşime girer.
4. FIDO Onayının Geri Dönüşü: Başarılı kullanıcı kimlik doğrulamasının ardından, tarayıcı FIDO onay verilerini 3DS Talep Eden'e geri döndürür.
5. İkinci Kimlik Doğrulama Talebi (AReq #2): 3DS Talep Eden, ACS'ye ikinci bir AReq mesajı oluşturur ve gönderir. Bu mesajın birincil amacı FIDO onay verilerini taşımaktır. Genellikle şunları içerir:
   • ReqAuthData: FIDO onayını içerir.
   • ReqAuthMethod: '09' olarak ayarlanır (veya SPC/FIDO onayı için belirlenen değer).
   • Potansiyel olarak talepleri bağlamak için ARes #1'den AuthenticationInformation değeri.
   • İsteğe bağlı olarak, SPC API çağrısı başarısız olursa veya zaman aşımına uğrarsa bir SPCIncompletionIndicator.
6. Son Kimlik Doğrulama Yanıtı (ARes #2): ACS, AReq #2'yi alır, kart sahibinin açık anahtarını kullanarak FIDO onayını doğrular ve son kimlik doğrulama sonucunu belirler. Kesin işlem durumunu içeren ARes #2'yi geri gönderir (örneğin, transStatus = 'Y' Kimlik Doğrulama Başarılı, 'N' Başarısız için).

Bu iki AReq'li akış, genellikle transStatus = 'C' alındıktan sonra ilk AReq/ARes döngüsü içinde tamamlanan geleneksel 3DS doğrulama yöntemlerinden (CReq/CRes veya RReq/RRes mesajları aracılığıyla işlenen OTP veya OOB gibi) bir sapmayı temsil eder. SPC'nin kullanıcı etkileşimi kısmı (biyometrik tarama, PIN girişi) genellikle bir OTP yazmaktan önemli ölçüde daha hızlı olsa da, ikinci bir tam AReq/ARes gidiş-dönüşünün eklenmesi, 3DS Sunucusu, Dizin Sunucusu ve ACS arasında ağ gecikmesi ekler. Uygulayıcılar ve satıcılar, genel uçtan uca işlem süresinin rekabetçi kalmasını ve kullanıcı beklentilerini karşılamasını sağlamak için bu akışı dikkatlice optimize etmeli ve potansiyel zaman aşımlarını yönetmelidir.

5. SPC için Ekosistem Değerlendirmeleri#

5.1 Küresel Bir Standart Olarak SPC (W3C/EMVCo)#

Güvenli Ödeme Onayı, ikili standardizasyonu sayesinde küresel olarak benimsenmek üzere konumlandırılmıştır. World Wide Web Consortium (W3C) tarafından resmi olarak bir web standardı olarak tanımlanmış olup, 2023 ortalarında Aday Tavsiye statüsüne ulaşmış ve tam bir Tavsiye olma yolunda çalışmalar devam etmektedir. Eş zamanlı olarak SPC, ödeme standartları için küresel teknik organ olan EMVCo tarafından yönetilen EMV® 3-D Secure spesifikasyonlarına sürüm 2.3'ten itibaren entegre edilmiştir. Bu entegrasyon, SPC'nin CNP işlem kimlik doğrulaması için yerleşik küresel çerçeve içinde çalışmasını sağlar. W3C, FIDO Alliance ve EMVCo arasındaki işbirliği, güvenli ve kullanıcı dostu çevrimiçi ödemeler için birlikte çalışabilir standartlar oluşturma yönündeki endüstri çapındaki çabayı vurgulamaktadır.

5.2 Düzenleyici Zorunlulukların Ötesinde Uygulanabilirlik (ör. ABD, Kanada)#

SPC'nin tasarımı, özellikle kullanıcı kimlik doğrulamasını belirli işlem detaylarına kriptografik olarak bağlama yeteneği ("dinamik bağlama"), Avrupa'nın Ödeme Hizmetleri Direktifi (PSD2) gibi düzenlemeler kapsamındaki Güçlü Müşteri Kimlik Doğrulaması (SCA) gereksinimlerini karşılamaya yardımcı olsa da, faydası bu zorunlu bölgelerle sınırlı değildir. SPC, gerekli ekosistem bileşenlerinin yerinde olması koşuluyla, Amerika Birleşik Devletleri ve Kanada da dahil olmak üzere herhangi bir pazarda uygulanabilir küresel bir teknik standarttır.

Her işlem için açık SCA zorunlulukları olmayan pazarlarda, SPC'yi benimsemenin birincil itici güçleri şunlardır:

• İyileştirilmiş Kullanıcı Deneyimi: Geleneksel OTP'lere veya bilgi tabanlı sorulara kıyasla potansiyel olarak daha hızlı ve daha uygun bir doğrulama yöntemi (örneğin, cihaz biyometrisini kullanarak) sunarak sepet terkini potansiyel olarak azaltmak. Pilot çalışmalar, geleneksel doğrulamalara kıyasla kimlik doğrulama süresinde önemli azalmalar göstermiştir.
• Gelişmiş Güvenlik: SPC'nin doğasında bulunan FIDO tabanlı kimlik doğrulama, kimlik avı saldırılarına, kimlik bilgisi doldurma saldırılarına ve şifreleri ve OTP'leri hedef alan diğer yaygın tehditlere karşı dayanıklıdır.

Bu nedenle, Kuzey Amerika gibi bölgelerdeki kart veren kuruluşlar ve işletmeler, tüm işlemler için düzenleyici bir gereklilik olmasa bile, güvenliği artırmak ve daha iyi bir müşteri deneyimi sağlamak için stratejik olarak SPC'yi uygulamayı seçebilirler.

5.3 SPC ve FIDO/Passkey'ler için Ekosistem Bağımlılıkları ve Hazırlık Durumu#

Güvenli Ödeme Onayı'nın (SPC) başarılı bir şekilde dağıtılması ve yaygın olarak benimsenmesi, ödeme ekosisteminin birden çok bileşeninde koordineli bir hazırlığa büyük ölçüde bağlıdır. Altta yatan FIDO standartları ve passkey teknolojisi hızla olgunlaşırken, SPC API'si için belirli tarayıcı düzeyinde destek ve ödeme zinciri boyunca tam entegrasyon kritik engeller olmaya devam etmektedir. Diğer ekosistem oyuncuları genellikle iyi ilerlemektedir.

Ekosistem Hazırlık Özeti (Durum Mayıs 2025)

Bu pratikte ne anlama geliyor (Mayıs 2025)

SPC'nin benimsenmesi için birincil engelleyici faktör user-agent (tarayıcı) katmanıdır:

• Safari (macOS ve iOS): ❌ WebKit hala secure-payment-confirmation Ödeme Talebi yönteminden yoksundur. Safari'de ziyaret edilen herhangi bir site diğer kimlik doğrulama yöntemlerine (OTP, OOB, potansiyel olarak SPC dışı WebAuthn deneyimleri) geri dönmek zorundadır. Apple, uzantıyı uygulama konusunda bir ilgi göstermemiştir.
• Chrome / Edge (Chromium): ⚠️ Temel SPC (kimlik bilgisi oluşturma + kimlik doğrulama) kararlıdır, ancak anahtarlar henüz donanım doğrulayıcılarında saklanmamaktadır ve yalnızca pilot uygulamalarda kullanılmıştır. Uygulayıcılar potansiyel kırılgan değişiklikler beklemeli ve işlevselliği API kullanılabilirlik kontrollerine (örneğin, canMakePayment()) veya özellik bayraklarına göre sınırlamaya hazır olmalıdır.
• Firefox: ❌ Ekip ilgi gösterdiğini belirtmiş ancak taahhüt edilmiş bir uygulama takvimi yoktur; işletmeler zarif geri dönüş yolları planlamalıdır.

Kart veren kuruluş altyapısı (ACS, FIDO sunucuları) ve şema dizin sunucuları büyük ölçüde hazır veya hızla ilerlediği ve işletme/PSP araçları kullanıma sunulduğu için, yaygın SPC kullanımının önündeki ana engel tarayıcı desteğidir. Tarayıcı kapsamı iyileştiğinde, geri kalan görevler öncelikle işletme/PSP entegrasyonunu (EMV 3DS v2.3+'a yükseltme, SPC çağırma mantığı ekleme, iki AReq'li akışı yönetme) ve özellikle ödeme bağlamları için kart veren kuruluşların passkey kaydını ölçeklendirmeyi içerir.

Şimdilik, SPC'nin yalnızca sınırlı bir işlem diliminde görünmesini bekleyin. Safari (ve dolayısıyla tüm iOS ekosistemi) destek sunana kadar, SPC pazar desteği elde edemez.

6. Sonuç ve Stratejik Öneriler#

6.1 Özet: Şimdi Sorunsuz Akışa Odaklanın, Sonrası için SPC'ye Hazırlanın#

Analiz, Mayıs 2025 itibarıyla EMV 3DS içindeki iki ana FIDO entegrasyonunun hazırlık durumunda net bir ayrışma olduğunu ortaya koymaktadır. Bir doğrulama yöntemi olarak Güvenli Ödeme Onayı (SPC) için temel unsurlar ilerlerken – özellikle kart veren kuruluş/ACS yetenekleri ve şema hazırlığı – yaygın olarak benimsenmesi, tarayıcı desteğinin kritik darboğazı tarafından önemli ölçüde engellenmektedir. En önemlisi, Apple'ın Safari'sinde (tüm iOS/iPadOS cihazlarını engelleyerek) ve Firefox'ta uygulama eksikliği ve mevcut Chromium uygulamalarındaki sınırlamalardır. SPC umut verici bir gelecek durumu olmaya devam ediyor, ancak bugün pratik, her yerde bulunan bir çözüm değildir.

6.2 Kilit Katılımcılar için Öneriler#

Mevcut ekosistem durumuna dayanarak aşağıdaki önerilerde bulunuyoruz:

• İşletmeler (Merchant'lar):
  • Passkey Benimsemesini Önceliklendirin: Kullanıcı girişi ve kimlik doğrulaması için passkey'leri uygulayın. Kendi güvenliğinizi ve kullanıcı deneyiminizi iyileştirmenin ötesinde (burada ayrıntıları verilmeyen faktörler), bu, 3DS sorunsuz akışları için gereken verileri oluşturur.
  • FIDO Verilerini İletin: 3DS entegrasyonunuzun, ödeme oturumu sırasında başarılı önceki passkey kimlik doğrulamalarının ayrıntılarıyla threeDSRequestorAuthenticationInfo alanını doğru bir şekilde doldurduğundan emin olun. Bunu etkinleştirmek için PSP/3DS Sunucu sağlayıcınızla çalışın.
• Kart Veren Kuruluşlar (Issuer'lar):
  • Kullanıcı Passkey'lerini Kaydedin: Kart sahiplerine doğrudan sizinle passkey kaydetmelerini teklif etmeye ve teşvik etmeye başlayın (bankacılık uygulaması erişimi, gelecekteki SPC vb. için). Gerekli FIDO Güvenen Taraf altyapısını oluşturun.
  • İşletme Passkey Verilerini Şimdi Kullanın: ACS satıcınıza, işletmeler tarafından iletilen FIDO verilerini (threeDSRequestorAuthenticationInfo) RBA motorunuzda güçlü bir pozitif sinyal olarak alması ve kullanması talimatını verin. Mümkün olduğunda kullanıcılarla ilişkili güvenilir işletme passkey'lerinin kayıtlarını tutun. Güçlü bir işletme passkey kimlik doğrulamasının ardından yapılan işlemler için sorunsuz onayları önemli ölçüde artırmayı hedefleyin.
  • SPC'ye Hazırlanın, Aktif Olarak İzleyin: ACS yol haritanızın tam EMV 3DS v2.3.1+ SPC desteğini içerdiğinden emin olun, ancak bunu gelecekteki bir geliştirme olarak ele alın. SPC'nin ne zaman ölçekte uygulanabilir olabileceğini ölçmek için tarayıcı gelişmelerini (özellikle Safari) sürekli olarak izleyin.
• ACS Satıcıları:
  • Passkey Zekası ile RBA'yı Geliştirin: RBA motorunuzun işletme tarafından sağlanan FIDO/passkey verilerini işleme ve güvenme yeteneğine yoğun bir şekilde yatırım yapın. Belirli bir kullanıcı/cihaz için işletme satın alımları arasında passkey kullanımını izlemek için mantık geliştirin. Sağlandığı takdirde işletme kimlik doğrulama verilerinin kriptografik bütünlüğünü doğrulamak için açık anahtarları (doğrudan kart veren kuruluş kaydından) saklayın. Başarılı passkey kullanımını doğrudan daha yüksek sorunsuz onay oranlarına bağlayın.
  • Sağlam SPC Yetenekleri Oluşturun: Gelecekteki pazar benimsemesine hazır olmak için tam SPC doğrulama akışı desteğini (EMV 3DS v2.3.1+) geliştirmeye ve sertifikalandırmaya devam edin.
• Ödeme Şemaları/Ağları:
  • Sorunsuz FIDO Verilerini Savunun: 3DS akışı içinde işletme FIDO kimlik doğrulama verilerinin (threeDSRequestorAuthenticationInfo) iletilmesini ve kullanılmasını aktif olarak teşvik edin ve potansiyel olarak teşvik edin. Kart veren kuruluşlara ve ACS satıcılarına bu verileri RBA için etkili bir şekilde kullanma konusunda net rehberlik ve destek sağlayın.
  • SPC Savunuculuğuna ve Tarayıcı Etkileşimine Devam Edin: SPC API standardının tam, birlikte çalışabilir bir şekilde uygulanmasını teşvik etmek için tarayıcı satıcılarıyla (Apple, Mozilla, Google) kritik bir şekilde etkileşimde bulunarak SPC'yi standartlaştırma ve tanıtma çabalarını sürdürün.

6.3 Genel Stratejik Yön#

Anlık, somut fırsat, işletme düzeyinde passkey'lerin artan benimsenmesinden yararlanarak sorunsuz akışı geliştirmekte yatmaktadır. Tüm ekosistem katılımcıları, mevcut EMV 3DS çerçevesi içinde bu önceki kimlik doğrulama verilerinin oluşturulmasını, iletilmesini ve akıllıca tüketilmesini sağlamayı önceliklendirmelidir. Bu yol, evrensel SPC tarayıcı desteğini beklemeden sürtünmeyi ve potansiyel olarak dolandırıcılığı azaltmada yakın vadeli faydalar sunar. Eş zamanlı olarak, SPC için zemini hazırlamak – özellikle kart veren kuruluş passkey kaydı ve ACS hazırlığı – tarayıcı darboğazı çözüldüğünde ekosistemin bu üstün doğrulama yöntemini benimsemeye hazır olmasını sağlar.