--- url: 'https://www.corbado.com/tr/blog/emv-3ds-acs-passkeys-fido-ve-spc' title: 'EMV 3DS Erişim Kontrol Sunucusu: Passkey''ler, FIDO ve SPC' description: 'EMV 3DS ACS satıcı ortamı: Sorunsuz akışlar için Passkey''ler ve FIDO verileri ile güvenli ödeme doğrulamaları için SPC hazırlığı hakkında bilgi edinin.' lang: 'tr' author: 'Vincent Delitz' date: '2025-07-15T13:24:30.922Z' lastModified: '2026-03-27T07:08:39.286Z' keywords: 'EMV 3DS Erişim Kontrol Sunucusu, 3DS ACS' category: 'Passkeys Strategy' --- # EMV 3DS Erişim Kontrol Sunucusu: Passkey'ler, FIDO ve SPC ## 1. Giriş Çevrimiçi ödeme [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) ortamı, hem gelişmiş dolandırıcılığa karşı güvenliği artırma hem de sürtünmeyi ve sepet terkini azaltmak için kullanıcı deneyimini iyileştirme gibi ikili ihtiyaçlar nedeniyle önemli bir dönüşüm geçiriyor. EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) (3DS) protokolü, özellikle sonraki sürümleri (EMV 3DS 2.x), kartın fiziken bulunmadığı (CNP) işlemlerin dünya çapında doğrulanması için temel teknoloji olarak hizmet vermektedir. EMVCo tarafından yönetilen bu protokol, kart sahibi kimliğini doğrulamak için işletmeler, kart veren kuruluşlar (Erişim Kontrol Sunucuları - [ACS](https://www.corbado.com/glossary/acs) aracılığıyla) ve birlikte çalışabilirlik alanı (ödeme şemaları tarafından işletilen Dizin Sunucuları) arasında veri alışverişini kolaylaştırır. Bu çerçevede, FIDO (Fast Identity Online) Alliance standartlarıyla ilgili iki temel teknolojik gelişme ortaya çıkmaktadır: 1. Önceki kullanıcı etkileşimleri sırasında (örneğin, işletme girişi) oluşturulan FIDO [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) verilerinin, EMV 3DS [sorunsuz akışı](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) için risk değerlendirmesini zenginleştirmek amacıyla kullanılması. 2. FIDO/WebAuthn üzerine inşa edilmiş bir W3C web standardı olan Güvenli Ödeme Onayı (SPC) entegrasyonu, EMV 3DS akışı içinde modern ve kimlik avına dayanıklı bir "doğrulama" yöntemi olarak kullanılması. Bu makale, kart veren bankalara sunulan EMV 3DS Erişim Kontrol Sunucusu (ACS) çözümlerinin küresel pazarına genel bir bakış sunmaktadır. Başlıca satıcıları belirlemekte ve hem [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) dışı FIDO veri yapıları hem de doğrulama akışları için Güvenli Ödeme Onayı (SPC) konusundaki mevcut desteklerini değerlendirmeye çalışmaktadır. Ayrıca, kart veren kuruluşların [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) aracılığıyla 3DS doğrulama akışı içinde kriptografik doğrulama için kendi FIDO passkey'lerini nasıl kullanabilecekleri mekanizmasını açıklamakta ve bu standardın küresel uygulanabilirliğini tartışmaktadır. ## 2. EMV 3DS, FIDO ve SPC'ye Genel Bakış ### 2.1 EMV 3DS'te Sorunsuz ve Doğrulama Akışları EMV 3DS temel olarak iki farklı [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) yoluyla çalışır: - **Sorunsuz Akış:** Bu, kesintisiz bir kullanıcı deneyimi hedefleyen tercih edilen yoldur. Kart veren kuruluşun [ACS](https://www.corbado.com/glossary/acs)'si, işlem başlatma sırasında (Kimlik Doğrulama Talebi veya AReq mesajı aracılığıyla) değiş tokuş edilen zengin bir veri setine dayanarak bir risk değerlendirmesi yapar. Bu veriler arasında işlem detayları, işletme bilgileri, cihaz özellikleri, tarayıcı verileri (potansiyel olarak 3DSMethod JavaScript aracılığıyla toplanan) ve muhtemelen önceki kimlik doğrulama bilgileri bulunur. Risk düşük kabul edilirse, işlem kart sahibinden herhangi bir doğrudan etkileşim veya "doğrulama" gerektirmeden doğrulanır. Bu akış, özellikle risk motorlarının [iyi ayarlandığı](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) durumlarda 3DS işlemlerinin çoğunluğunu oluşturur. - **Doğrulama Akışı:** [ACS](https://www.corbado.com/glossary/acs), işlem riskinin yüksek olduğunu belirlerse, düzenlemeler (Avrupa'daki [PSD2](https://www.corbado.com/blog/psd2-passkeys) [SCA](https://www.corbado.com/tr/blog/psd2-ve-passkeys) gibi) veya kart veren kuruluş politikası gerektiriyorsa, kart sahibinden kimliğini doğrulaması aktif olarak istenir. Geleneksel doğrulama yöntemleri arasında SMS ile gönderilen Tek Kullanımlık Şifreler (OTP), bilgi tabanlı sorular veya bir [bankacılık](https://www.corbado.com/passkeys-for-banking) uygulaması aracılığıyla Bant Dışı (OOB) kimlik doğrulama bulunur. Yeni 3DS sürümlerinin ve [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) gibi ilgili teknolojilerin amacı, bu doğrulama akışını [eski yöntemlere](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf) göre daha güvenli ve daha az zahmetli hale getirmektir. ![three domains 3DS](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/domains_3_DS_1aac4ea7f0.png) ### 2.2 Sorunsuz Akışın İyileştirilmesinde FIDO Verilerinin (SPC Dışı) Rolü EMVCo ve [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), işletmelerin önceki FIDO kimlik doğrulamaları hakkındaki bilgileri (burada _işletme_ Güvenen Taraf olarak hareket eder, örn. kullanıcı girişi sırasında) standart 3DS AReq [mesajı](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) içinde kart veren kuruluşun ACS'sine iletmesi için [standartlaştırılmış bir yol tanımlamak üzere işbirliği yapmıştır](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf). İlk olarak [EMV 3DS v2.1](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf)'de desteklenen bu mekanizma, AReq içindeki belirli alanlardan, özellikle de [`threeDSRequestorAuthenticationData`](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) gibi alt alanları içeren `threeDSRequestorAuthenticationInfo` yapısından yararlanır. [FIDO Alliance Teknik Notu](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) ve ilgili [EMVCo teknik raporu](https://www.emvco.com/wp-content/uploads/news/EMV-3DS-white-paper-PR_FINAL.pdf), önceki FIDO kimlik doğrulama [detaylarını](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) iletirken bu `threeDSRequestorAuthenticationData` alanı için bir JSON yapısı belirtir. Bu JSON nesnesi, kimlik doğrulama zamanı (`authTime`), FIDO Güvenen Taraf ID'si (`rpId` veya `appId`) ve kullanılan doğrulayıcı(lar) hakkında bilgiler içerir; bunlar arasında açık anahtar, [AAGUID](https://www.corbado.com/glossary/aaguid)/AAID ve kullanıcı varlığı (UP) ile kullanıcı doğrulaması ([UV](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf)) göstergeleri bulunur. Bunun arkasındaki mantık şudur: Eğer bir işletme, satın almayı başlatan kullanıcı oturumu için yakın zamanda güçlü bir FIDO kimlik doğrulaması (örneğin, [biyometri](https://www.corbado.com/tr/blog/dinamik-eslestirmede-biyometri-odeme-yapani-farkindaligi) veya bir passkey kullanarak) gerçekleştirdiyse, bu bilgi kart veren kuruluşun ACS'si için değerli bir ek risk sinyali olarak hizmet edebilir. Bu standartlaştırılmış FIDO verilerini alıp işleyerek, ACS potansiyel olarak işlemin meşruiyetine daha fazla güvenebilir, bu da sorunsuz bir onay olasılığını artırır ve ayrı bir [doğrulama](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) ihtiyacını azaltır. Bu senaryoda, işletmenin FIDO RP'si olduğunu ve kart veren kuruluşun bu veriyi risk motoruna bir girdi olarak tükettiğini belirtmek önemlidir; kart veren kuruluş, bu sorunsuz [akış](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) içinde FIDO onayını (assertion) kriptografik olarak doğrulamaz. ACS, [bu veriyi](https://www.youtube.com/watch?v=a8iGYQXmDlM) işlemek üzere yapılandırılmamışsa görmezden gelme seçeneğini saklı tutar. ### 2.3 Doğrulama Akışında Güvenli Ödeme Onayının Rolü Güvenli Ödeme Onayı (SPC), FIDO standartlarının EMV 3DS _doğrulama_ [akışı](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) içinde farklı bir entegrasyonunu temsil eder. SPC, FIDO ve EMVCo ile işbirliği içinde geliştirilen, WebAuthn üzerine inşa edilmiş bir W3C web standardıdır. EMV 3DS'te [2.3](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/) sürümünden itibaren resmi olarak desteklenmektedir. SPC bir doğrulama yöntemi olarak kullanıldığında: 1. **Kart veren kuruluş** (veya kart veren kuruluş tarafından açıkça yetkilendirilmiş bir taraf, örneğin bir ödeme şeması) **FIDO Güvenen Tarafı ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))** olarak işlev görür. Bu, daha önce açıklanan ve işletmenin genellikle kendi giriş/kimlik doğrulama [amaçları](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) için RP olarak hareket ettiği SPC dışı FIDO veri akışından temel olarak farklıdır. 2. 3DS doğrulaması sırasında, ACS, SPC ihtiyacını bildirir ve gerekli FIDO kimlik bilgisi tanımlayıcılarını ve bir kriptografik sorgulamayı işletmeye/3DS Sunucusuna sağlar. 3. İşletmenin sistemi, tarayıcının SPC API'sini çağırarak işlem detaylarını (tutar, para birimi, alacaklı, enstrüman) kullanıcıya güvenli, tarayıcı kontrollü bir diyalogda sunar. 4. Kullanıcı, FIDO doğrulayıcısını (örneğin, [cihaz biyometrisi](https://www.corbado.com/tr/blog/passkeys-yerel-biyometri), PIN, güvenlik anahtarı) kullanarak kimliğini doğrular. Bu işlem, işlem detaylarını ve sorgulamayı, kart veren kuruluş tarafından kaydedilen passkey ile ilişkili özel anahtarı kullanarak imzalar. 5. Sonuçta ortaya çıkan FIDO onayı (assertion) (kimlik doğrulama ve rızanın kriptografik kanıtı), 3DS protokolü aracılığıyla (genellikle ikinci bir AReq mesajı ile) kart veren kuruluşun ACS'sine geri iletilir. 6. ACS, RP olarak, onayı (assertion) ilgili açık anahtarı kullanarak kriptografik olarak doğrular ve kart sahibinin kimliğini ve belirli işlem detaylarına rızasını teyit eder. SPC, hem daha güvenli (kimlik avına dayanıklı, kimlik doğrulamanın işlem verilerine dinamik bağlanması) hem de potansiyel olarak daha az sürtünmeli (genellikle OTP girişinden daha hızlı) bir doğrulama deneyimi sunmayı amaçlar. FIDO entegrasyonu için bu ikili yollar — biri sorunsuz risk değerlendirmesi için önceki işletme kimlik doğrulama verilerinden yararlanırken, diğeri SPC aracılığıyla doğrudan FIDO tabanlı bir doğrulama için kart veren kuruluş tarafından yönetilen kimlik bilgilerini kullanır — EMV 3DS çerçevesi içinde güvenliği ve kullanıcı deneyimini artırmak için farklı yaklaşımlar sunar. Her biri için satıcı desteğini anlamak, kimlik doğrulama stratejilerini planlayan kart veren kuruluşlar ve [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk)'ler için hayati önem taşır. ![overview emv 3ds](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_emv_3ds_97db9721b6.png) ## 3. Başlıca EMV 3DS ACS Satıcılarının Analizi Bu bölüm, EMV [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) çözümlerinin küresel sağlayıcılarının yeteneklerini, pazar varlıklarına ve FIDO verileri (SPC dışı) ile Güvenli Ödeme Onayı (SPC) desteklerine odaklanarak analiz etmektedir. Kesin pazar payı rakamları özeldir ve kamuya açık olarak elde edilmesi zordur; bu nedenle, varlık, satıcı iddiaları, sertifikalar, ortaklıklar, coğrafi erişim ve pazar raporlarına dayanarak değerlendirilmektedir. ### 3.1 Entersekt (Modirum dahil) 3DS ACS - **Pazar Varlığı:** Entersekt, özellikle Aralık 2023'te Modirum'un 3DS yazılım işini satın aldıktan sonra, kendisini EMV 3DS çözümlerinin önde gelen küresel sağlayıcısı olarak konumlandırarak ilk beş pazar [konumunu](https://www.entersekt.com/solutions/3d-secure-acs) hedeflemektedir. Modirum'un [3DS](https://www.entersekt.com/solutions/3d-secure-authentication) alanında 20 yılı aşkın deneyimi vardı. Entersekt, özellikle Kuzey Amerika'daki yeni müşteriler ve [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) ile genişletilmiş bir ilişki de dahil olmak üzere stratejik ortaklıklar sayesinde rekor büyüme kaydettiğini vurgulamaktadır. Yıllık 2,5 milyardan fazla işlemi güvence altına aldıklarını (FY24 itibarıyla) iddia ediyorlar ve [Liminal](https://www.entersekt.com/company/newsroom_old/tpost/gmmthc53z1-entersekt-closes-record-year-of-growth-a) tarafından [bankacılıkta](https://www.corbado.com/passkeys-for-banking) ATO önlemede 1. sırada yer alıyorlar. ACS'leri barındırılan (Entersekt veya müşteri tarafından) veya [şirket içinde](https://www.entersekt.com/solutions/3d-secure-acs) mevcuttur. [Küresel olarak](https://www.entersekt.com/solutions/3d-secure-acs) kart veren kuruluşlara ve işlemcilere hizmet vermektedirler. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** Entersekt, Context Aware™ Kimlik Doğrulama, risk sinyalleri için cihaz ve davranış analitiği ve çeşitli risk puanlama [hizmetleriyle](https://www.entersekt.com/solutions/3d-secure-acs) entegrasyonunu vurgulamaktadır. ACS'leri FIDO EMVCo 2.2 [sertifikalıdır](https://www.entersekt.com/solutions/3d-secure-acs). Sorunsuz akış geliştirmesi için `threeDSRequestorAuthenticationInfo` alanındaki önceki işletme kimlik doğrulamalarından gelen _standartlaştırılmış FIDO onay verilerini işlediklerine_ dair açık bir onay, çevrimiçi [materyallerde](https://www.entersekt.com/solutions/3d-secure-acs) belirtilmemiştir. Ancak, gelişmiş kimlik doğrulama ve risk sinyallerine odaklanmaları bu yeteneğe sahip olduklarını düşündürmektedir. - **SPC Desteği (Doğrulama):** Güçlü göstergeler Entersekt'in SPC'yi desteklediğini göstermektedir. Entersekt'in 3DS işini satın aldığı Modirum, [Visa](https://www.corbado.com/blog/visa-passkeys)'nın [uzantılarla](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) 3DS 2.2 kullanan SPC pilotu için bileşenler sağlamıştır. Entersekt, düzenleyici uyumluluk [yetkinliklerinin](https://www.entersekt.com/use-cases/regulatory-compliance) bir parçası olarak SPC uyumluluğu desteğini açıkça listelemektedir. ACS'leri biyometrik [kimlik doğrulamayı](https://www.entersekt.com/solutions/3d-secure-acs) destekler, [EMV 3DS 2.2](https://www.entersekt.com/use-cases/regulatory-compliance) için sertifikalıdır ve muhtemelen Modirum'un pilot katılımından gelen yetenekleri içermektedir. Modirum satın alması, SPC uyumluluğunun açıkça belirtilmesi ve FIDO sertifikasyonunun birleşimi, mevcut tekliflerinde SPC desteğine güçlü bir şekilde işaret etmektedir. ### 3.2 Broadcom (Arcot) 3DS ACS - **Pazar Varlığı:** Broadcom'un Arcot'u, orijinal protokolü [Visa](https://www.corbado.com/blog/visa-passkeys) ile birlikte icat ederek 3DS pazarında temel bir oyuncudur. Kendilerini dünya çapında 5.000'den fazla finans kurumuna hizmet veren ve 229 [ülkeden](https://arcot.broadcom.com/) gelen işlemleri işleyen tanınmış bir küresel lider olarak konumlandırmaktadırlar. Arcot Ağı, dolandırıcılık puanlaması ve risk [motorlarını](https://www.broadcom.com/info/cybersecurity/3d-secure) güçlendirmek için geniş bir konsorsiyum veri yaklaşımını (600 milyondan fazla cihaz imzası, 150 trilyon veri noktası iddiasıyla) vurgulamaktadır. Avrupa, Avustralya ve Kuzey [Amerika'da](https://arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot-TRA3DS.pdf) güçlü bir varlıkları vardır. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** Broadcom, veri ağlarının zenginliğini ve dolandırıcılık tespiti ile risk tabanlı değerlendirme için yapay zeka/sinir ağlarının kullanımını, standart EMV 3DS veri [öğelerinin](https://www.broadcom.com/info/cybersecurity/3d-secure) ötesine geçerek yoğun bir şekilde vurgulamaktadır. Çözümlerinin birden fazla kart veren kuruluştan akan verilerden yararlandığını ve cihaz ve [coğrafi konum](https://www.software.broadcom.com/hubfs/Broadcom%20PaySec/Resources/ArcotNetwork_Brief.pdf) gibi dijital verileri içerdiğini açıkça belirtmektedirler. `threeDSRequestorAuthenticationData`'dan gelen _belirli_ FIDO JSON yapısını işlediklerini açıkça belirtmeseler de, RBA için çeşitli veri noktalarını alma odakları, sağlandığı takdirde bu tür verileri tüketebileceklerini ve EMVCo/FIDO kılavuzunun amacına uygun hareket ettiklerini güçlü bir şekilde düşündürmektedir. Platformları, üstün risk [değerlendirmesi](https://www.broadcom.com/info/cybersecurity/3d-secure) yoluyla sorunsuz onayları en üst düzeye çıkarmayı amaçlamaktadır. - **SPC Desteği (Doğrulama):** Broadcom'un belgeleri, daha geniş VIP Kimlik Doğrulama Merkezi / Kimlik Güvenliği [paketleri](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/vip-authentication-hub/3-3/Using/Authentication-services/factor-services/Fido-Microservice.html) içinde FIDO doğrulayıcıları (Güvenlik Anahtarı, Biyometrik, Passkey) desteğini doğrulamaktadır. [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc)'leri, OTP'ler ve anlık bildirimler de dahil olmak üzere çeşitli doğrulama yöntemlerini destekler ve [biyometri](https://www.corbado.com/tr/blog/dinamik-eslestirmede-biyometri-odeme-yapani-farkindaligi) desteğinden bahsederler. Ayrıca Yetkilendirilmiş Kimlik Doğrulama [yetkinlikleri](https://www.arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot%20Delegated%20Authentication%20Brief.pdf) sunarlar ve doğrulama sonrası risk değerlendirme [özellikleri](https://techdocs.broadcom.com/us/en/payment-security/arcot-network/arcot-for-issuers/AFI/manage-risk/managing-rules/understanding-the-building-blocks-of-rules/ChallengeRiskEval.html) sunmuşlardır. Ancak, _EMV 3DS ACS ürünlerinin_ şu anda belirli bir doğrulama yöntemi olarak _SPC_'yi (EMV 3DS v2.3+ yetenekleri ve iki AReq akışı gerektiren) desteklediğine dair açık bir onay, sağlanan [belgelerde](https://www.broadcom.com/info/cybersecurity/3d-secure) bulunmamaktadır. Büyük bir oyuncu olarak bunu uygulama yeteneğine sahip olsalar da, mevcut kamuya açık materyaller daha çok RBA motorlarına ve geleneksel/OOB doğrulama [yöntemlerine](https://www.broadcom.com/info/cybersecurity/3d-secure) odaklanmaktadır. ### 3.3 Netcetera 3DS ACS - **Pazar Varlığı:** Netcetera, kendisini özellikle Avrupa ve Orta [Doğu'da](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376) güçlü, önemli bir uluslararası ödeme oyuncusu olarak konumlandırmaktadır. ACS'lerinin 800'den fazla banka/kart veren kuruluş tarafından kullanıldığını ve [dünya çapında](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376) 50 milyondan fazla kartı güvence altına aldığını belirtmektedirler. Tüm büyük kart ağları (Visa, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), Amex, Discover, JCB, UnionPay, vb.) ile sertifikasyonlarını ve [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) [uyumluluğunu](https://thepaymentsassociation.org/article/netcetera-3ds-acs-is-discover-global-network-certified/) vurgulamaktadırlar. Özellikle dünya çapında EMV 3DS 2.3.1 [sertifikasyonunu](https://www.netcetera.com/stories/expertise/emv-3ds-new-opportunities.html) alan ilk ACS satıcısı olmuşlardır. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** Netcetera'nın belgeleri, sorunsuz [kimlik doğrulamayı](https://3dss.netcetera.com/3dsserver/doc/2.10.0.0/frequently-asked-questions) artırmak için ACS risk değerlendirmesi için 3DSMethod aracılığıyla toplanan verilerin önemini vurgulamaktadır. Risk [araçlarıyla](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) entegrasyon sunmaktadırlar. Ancak, risk değerlendirmesi için önceki işletme FIDO kimlik doğrulama verilerinin (`threeDSRequestorAuthenticationInfo`'dan) işlenmesine ilişkin özel bir onay, incelenen [materyallerde](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) açıkça belirtilmemiştir. - **SPC Desteği (Doğrulama):** Netcetera, SPC için güçlü bir destek göstermektedir. SPC'yi içeren sürüm olan EMV 3DS 2.3.1 için küresel olarak sertifikalandırılan ilk satıcıydılar. v2.3.1 [bileşenlerini](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) sağlayarak [Visa](https://www.corbado.com/blog/visa-passkeys) SPC pilotuna katıldılar. Ürün belgeleri SPC'yi açıkça tanımlamaktadır. FIDO ve SPC [entegrasyonunu](https://www.netcetera.com/payments/knowledge-hub.html) tartışan web seminerleri düzenlediler ve SPC'nin [faydalarını](https://www.netcetera.com/stories/expertise/Secure-Payment-Confirmation-meets-customer-demands.html) vurgulayan makaleler yayınladılar. Bu sertifikasyon, pilot katılımı ve açık belgelerin birleşimi, SPC doğrulamaları için desteklerini doğrulamaktadır. ### 3.4 Worldline 3DS ACS - **Pazar Varlığı:** Worldline, kendisini ödeme ve işlem hizmetlerinde Avrupa lideri ve büyük bir küresel oyuncu olarak konumlandırmaktadır (dünya çapında 4. ödeme oyuncusu [statüsü](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) iddiasıyla). Yıllık milyarlarca işlemi işlerler ve garantili uyumluluk, yapay zeka/makine öğrenmesi kullanarak dolandırıcılık kontrolü ve [ölçeklenebilirliği](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) vurgularlar. ACS'lerinin EMV 3DS sertifikalı olduğu ve büyük şemalarla (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check)) ve [PSD2](https://www.corbado.com/blog/psd2-passkeys) ile uyumlu olduğu belirtilmektedir. 100'den fazla kart veren kuruluş için yıllık 2,4 milyardan fazla 3DS işlemi işlediklerini bildirmektedirler. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** Worldline'ın ACS teklifi, kart veren kuruluşların [riske](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) dayalı olarak sorunsuz veya doğrulama akışlarını yapılandırmasına olanak tanıyan bir RBA kural motoru içerir. Daha geniş "Güvenilir Kimlik Doğrulama" çözümleri, cihaz zekası ve davranışsal [analizden](https://business.worldline.com/l/130471/2025-02-04/33tlg4) yararlanır. [Genel olarak](https://www.biometricupdate.com/202308/worldline-gets-fido-certified-vincss-makes-deal-to-boost-passwordless-authentication) FIDO'yu destekleseler de, ACS içinde risk değerlendirmesi için önceki işletme FIDO verilerinin (SPC dışı) işlendiğine dair açık bir onay, sağlanan [kısa bilgilerde](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) ayrıntılı olarak verilmemiştir. - **SPC Desteği (Doğrulama):** Worldline, SPC'yi desteklediğine dair net göstergeler sunmaktadır. Belgeleri, EMV 3DS 2.3'ün [SPC/FIDO](https://worldline.com/content/dam/worldline/global/documents/reports/Fraud%20Prevention%20Report%202022_Worldline.pdf)'yu içerecek şekilde evrimini kabul etmektedir. "WL Güvenilir Kimlik Doğrulama" çözümlerini FIDO [kimlik doğrulamasını](https://worldline.com/content/dam/worldline/global/documents/reports/Fraud%20Prevention%20Report%202022_Worldline.pdf) desteklediğini açıkça pazarlamaktadırlar ve "3DS kullanım durumları, emvCO2.3 ve SPC ile" uyumlu bir "WL FIDO Sunucusu" sunmaktadırlar. ### 3.5 GPayments 3DS ACS - **Pazar Varlığı:** GPayments, ActiveAccess'i 3D Secure [alanında](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) 20 yılı aşkın süredir "sağlam, pazar lideri bir Erişim Kontrol Sunucusu (ACS) platformu" olarak konumlandırmaktadır. Hem 3DS1 hem de EMV [3DS](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) için büyük kart şemalarıyla (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check), JCB J/Secure) sertifikalıdırlar. Çözümleri [şirket içinde veya bulutta barındırılabilir](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Pazar raporları, GPayments'i ACS [çözümleri](https://www.grandviewresearch.com/industry-analysis/3d-secure-payment-authentication-market-report) sunan dikkate değer bir oyuncu olarak tanımlamaktadır. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** ActiveAccess, üçüncü taraf RBA çözümleriyle entegrasyonu destekler ve kendi risk [değerlendirmesi](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) için çeşitli parametreler kullanır. Ancak, sağlanan belgeler, sorunsuz risk [değerlendirmesi](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) için önceki işletme FIDO kimlik doğrulama verilerini (SPC dışı) alma veya kullanma desteğinden açıkça bahsetmemektedir. - **SPC Desteği (Doğrulama):** ActiveAccess için incelenen belgeler, doğrulama akışı [yetkinliklerinin](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) bir parçası olarak Güvenli Ödeme Onayı (SPC), WebAuthn doğrulamaları veya FIDO doğrulamaları desteğinden açıkça bahsetmemektedir. OOB ([biyometriyi](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) kapsayabilen) dahil olmak üzere çeşitli kimlik doğrulama yöntemlerini destekleseler de, belirli SPC desteği mevcut [bilgilerden](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) net değildir. ### 3.6 Visa (Visa Secure) 3DS ACS - **Pazar Varlığı:** Visa, büyük bir küresel ödeme ağı olarak, EMV 3DS [standardına](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) dayanan [Visa Secure](https://www.corbado.com/blog/visa-secure) programını tanımlar. Orijinal 3DS [protokolünün](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) öncülüğünü yapmışlardır. Entersekt veya Broadcom gibi teknoloji şirketleriyle aynı şekilde doğrudan bir ACS _satıcısı_ olarak hareket etmek yerine, Visa programı işletir ve ürünleri EMV 3DS ve [Visa Secure](https://www.corbado.com/blog/visa-secure) [kurallarıyla](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) uyumlu sertifikalı 3DS satıcılarının (ACS sağlayıcıları dahil) bir listesine güvenir. Kart veren kuruluşlar genellikle ACS çözümlerini bu sertifikalı satıcılardan temin eder. Visa'nın kendisi ağa (Dizin Sunucusu), program kurallarını tanımlamaya, benimsemeyi teşvik etmeye ve SPC [pilotları](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) gibi yenilikleri yönlendirmeye odaklanır. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** EMV 3DS'e dayanan [Visa Secure](https://www.corbado.com/blog/visa-secure), sorunsuz [akışı](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) sağlamak için risk değerlendirmesi için zengin veri alışverişini doğal olarak destekler. Önceki FIDO verilerini geçirmek için [EMVCo/FIDO çerçevesi](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf), seçilen ACS satıcısı [bunu](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) işlemeyi destekliyorsa Visa Secure ekosistemi içinde çalışır. - **SPC Desteği (Doğrulama):** Visa, SPC'yi pilot uygulama ve teşvik etme konusunda aktif olarak yer almaktadır. 3DS [protokolü](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) içinde SPC akışını test etmek ve iyileştirmek için ortaklarla (pilotlarda Netcetera ve Modirum/Entersekt gibi) çalışmaktadırlar. Bu güçlü katılım, ekosistem hazırlığına (ACS, işletme, tarayıcı [desteği](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf)) bağlı olarak Visa Secure programı içinde bir doğrulama yöntemi olarak SPC'ye stratejik desteği göstermektedir. ### 3.7 Mastercard (Identity Check) 3DS ACS - **Pazar Varlığı:** Visa'ya benzer şekilde, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) da EMV [3DS](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html)'e dayanan [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) programını işletmektedir. Kart veren kuruluşlar ve işletmeler için, stand-in işleme ve potansiyel olarak [NuData](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf) gibi ortaklardan veya yan kuruluşlardan yararlanma dahil olmak üzere seçenekler sunarlar. Mastercard, 2017 yılında davranışsal [biyometri](https://www.corbado.com/tr/blog/dinamik-eslestirmede-biyometri-odeme-yapani-farkindaligi) şirketi NuData Security'yi satın alarak risk değerlendirme [yetkinliklerini](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) artırmıştır. Ayrıca biyometri, RBA ve [yapay zeka](https://developer.mastercard.com/product/identity-check/) alanındaki sürekli yeniliği vurgularlar. Visa gibi, temel ACS bileşenleri için sertifikalı satıcılara güvenirler ancak paket hizmetler sunabilir veya satın alınan [teknolojiden](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf) yararlanabilirler. - **SPC Dışı FIDO Veri Desteği (Sorunsuz):** Mastercard Identity Check, geliştirilmiş risk kararları ve sorunsuz [akış](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) için EMV 3DS 2.x'in zengin veri alışverişinden yararlanır. NuData'yı satın almaları, bu risk [değerlendirmesinin](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) bir parçası olarak davranışsal analitiğe güçlü bir odaklanma olduğunu göstermektedir. Önceki işletme FIDO verilerini işleme desteği, kart veren kuruluşun Identity Check [programı](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) içinde kullandığı belirli ACS uygulamasına bağlı olacaktır. - **SPC Desteği (Doğrulama):** Mastercard, EMVCo'nun kilit bir üyesidir ve SPC'yi destekleyen v2.3 de dahil olmak üzere EMV 3DS standartlarının geliştirilmesinde yer almaktadır. Ayrıca daha [genel olarak](https://fidoalliance.org/goodbye-to-manual-card-entry-mastercard-reveals-when-the-new-era-of-one-click-online-payments-begins/) passkey benimsenmesini teşvik etmektedirler. Daha fazla ayrıntı [burada](https://developer.mastercard.com/product/identity-check/) bulunabilir. Güçlü bir SPC destekçisidirler ve modern kimlik doğrulama yöntemlerine doğru ilerlemektedirler. ### 3.8 Diğer 3DS ACS Satıcıları EMV [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) pazarı, yukarıda ayrıntıları verilenlerin ötesinde çok sayıda sağlayıcıya sahiptir. /n software, RSA, 2C2P, 3dsecure.[io](https://www.corbado.com/blog/webauthn-errors), Adyen, ACI Worldwide, Computop ve diğerleri gibi satıcılar da sertifikalı çözümler sunar veya belirli bölgelerde veya segmentlerde önemli roller oynar. Bu analiz, önde gelen küresel oyuncuları kapsamayı amaçlamaktadır ancak pazarın dinamik doğası nedeniyle kapsamlı değildir. Satıcı yetenekleri, özellikle SPC gibi gelişmekte olan standartlar konusunda hızla gelişmektedir. FIDO verileri veya Güvenli Ödeme Onayı için satıcı desteği hakkında herhangi bir yanlışlık fark ederseniz veya güncel bilgilere sahipseniz, bu genel bakışın güncel ve doğru kalmasını sağlamak için lütfen bizimle iletişime geçin. ## 4. Güvenli Ödeme Onayı ile Kart Veren Kuruluşun Passkey Kimlik Doğrulaması ### 4.1 Mekanizmanın Açıklaması: Güvenen Taraf Olarak Kart Veren Kuruluş EMV 3DS doğrulama akışı içinde Güvenli Ödeme Onayı (SPC) kullanmanın temel bir ilkesi, **kart veren kuruluşun** (veya kart veren kuruluş tarafından açıkça yetkilendirilmiş bir tarafın, örneğin bir ödeme şemasının) **FIDO Güvenen Tarafı ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))** olarak işlev görmesidir. Bu, daha önce açıklanan ve işletmenin genellikle kendi giriş/kimlik doğrulama [amaçları](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) için RP olarak hareket ettiği SPC dışı FIDO veri akışından temel olarak farklıdır. SPC'nin bir 3DS doğrulamasında işlev görmesi için aşağıdaki adımlar gereklidir: 1. **Kayıt:** Kart sahibi önce bir FIDO doğrulayıcısını (örneğin, parmak izi/yüz tanıma gibi [cihaz biyometrisi](https://www.corbado.com/tr/blog/passkeys-yerel-biyometri), cihaz PIN'i veya gezici bir güvenlik anahtarı) kartını veren bankaya kaydettirmelidir. Bu işlem bir passkey oluşturur; burada açık anahtar ve benzersiz bir kimlik bilgisi tanımlayıcısı kart veren kuruluş tarafından saklanır ve kart sahibinin hesabı veya belirli ödeme [kartı](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) ile ilişkilendirilir. Kayıt, bankanın mobil uygulamasında, çevrimiçi [bankacılık](https://www.corbado.com/passkeys-for-banking) portalında veya potansiyel olarak başarılı bir geleneksel 3DS [doğrulamasından](https://fidoalliance.org/white-paper-secure-payment-confirmation/) sonra sunulabilir. Önemli olan, SPC'nin bir işletme web sitesi gibi üçüncü bir taraf tarafından çağrılabilmesi için, kimlik bilgisinin genellikle bu tür bağlamlarda kullanımına izin veren açık kullanıcı onayı ile oluşturulması gerekir, bu da genellikle [kayıt](https://www.w3.org/TR/secure-payment-confirmation/) sırasında belirli WebAuthn uzantılarını içerir. 2. **Kimlik Doğrulama (3DS Doğrulaması Sırasında):** - Bir 3DS işlemi bir doğrulama tetiklediğinde ve kart veren kuruluş/ACS, SPC'yi destekleyip seçtiğinde, ACS kart sahibine ve [cihaza](https://fidoalliance.org/white-paper-secure-payment-confirmation/) bağlı ilgili FIDO kimlik bilgisi ID'lerini tanımlar. - ACS, bu kimlik bilgisi ID'lerini, benzersiz bir kriptografik sorgulama ve işlem detayları (tutar, para birimi, alacaklı adı/kaynağı, enstrüman simgesi/görünen adı) ile birlikte 3DS Sunucusuna/[Talep Eden'e](https://www.nsoftware.com/kb/entries/04252301) geri gönderilen Kimlik Doğrulama Yanıtı'na (ARes) dahil eder. - İşletmenin 3DS Talep Eden bileşeni, ARes'ten gelen bu bilgiyi tarayıcının SPC API'sini çağırmak için kullanır. - Tarayıcı, ACS tarafından sağlanan işlem detaylarını gösteren standartlaştırılmış, güvenli bir diyalog sunar. - Kullanıcı, kayıtlı FIDO doğrulayıcısını kullanarak işlemi onaylar ve kimliğini doğrular (örneğin, bir parmak izi sensörüne dokunarak, yüz tanıma ile, cihaz PIN'ini girerek, bir güvenlik anahtarına dokunarak). Bu eylem, cihazda/doğrulayıcıda güvenli bir şekilde saklanan özel anahtarın kilidini açar. - Doğrulayıcı, sunulan işlem detaylarını ve ACS'den alınan kriptografik sorgulamayı imzalar. - Tarayıcı, sonuçta ortaya çıkan FIDO onayını (imzalı veri yükü) işletmenin 3DS Talep Eden'ine geri döndürür. - 3DS Talep Eden, bu onayı genellikle ikinci bir AReq mesajı içinde kapsüllenmiş olarak Kart Veren Kuruluş ACS'sine geri iletir. - Kart Veren Kuruluş/ACS, yetkili Güvenen Taraf olarak, kart sahibinin daha önce saklanan açık anahtarını kullanarak onay üzerindeki imzayı kriptografik olarak doğrular. Başarılı doğrulama, meşru kart sahibinin, kayıtlı doğrulayıcısını kullanarak, sunulan belirli işlem detaylarını onayladığını teyit eder. ### 4.2 SPC Doğrulaması ile EMV 3DS Protokol Akışı SPC'nin EMV 3DS doğrulama akışına entegrasyonu, standart mesaj dizisinde değişiklikler gerektirir ve genellikle iki AReq/ARes alışverişini içerir: 1. **İlk Kimlik Doğrulama Talebi (AReq #1):** İşletme/3DS Sunucusu, işlem ve cihaz verilerini içeren bir AReq göndererek 3DS sürecini başlatır. SPC yeteneğini belirtmek için, talep `threeDSRequestorSpcSupport` gibi bir göstergeyi 'Y' olarak ayarlanmış (veya ACS satıcısının uygulamasına bağlı olarak benzer bir şekilde) içerebilir. 2. **İlk Kimlik Doğrulama Yanıtı (ARes #1):** ACS bir doğrulama gerektiğini belirler ve SPC'yi seçerse, bunu belirten bir ARes ile yanıt verir. `transStatus` 'S' (SPC gerekli olduğunu belirten) veya başka bir özel değere ayarlanabilir. Bu ARes, SPC API çağrısı için gerekli veri yükünü içerir. 3. **SPC API Çağrısı ve FIDO Kimlik Doğrulaması:** İşletmenin 3DS Talep Eden bileşeni ARes \#1'i alır ve yükü tarayıcının SPC API'sini çağırmak için kullanır. Kullanıcı, tarayıcının güvenli kullanıcı arayüzü aracılığıyla doğrulayıcısıyla etkileşime girer. 4. **FIDO Onayının Geri Dönüşü:** Başarılı kullanıcı kimlik doğrulamasının ardından, tarayıcı FIDO onay verilerini 3DS Talep Eden'e geri döndürür. 5. **İkinci Kimlik Doğrulama Talebi (AReq #2):** 3DS Talep Eden, ACS'ye _ikinci_ bir AReq mesajı oluşturur ve gönderir. Bu mesajın birincil amacı FIDO onay verilerini taşımaktır. Genellikle şunları içerir: - `ReqAuthData`: FIDO onayını içerir. - `ReqAuthMethod`: '09' olarak ayarlanır (veya SPC/FIDO onayı için belirlenen değer). - Potansiyel olarak talepleri bağlamak için ARes #1'den `AuthenticationInformation` değeri. - İsteğe bağlı olarak, SPC API çağrısı başarısız olursa veya zaman aşımına uğrarsa bir `SPCIncompletionIndicator`. 6. **Son Kimlik Doğrulama Yanıtı (ARes #2):** ACS, AReq #2'yi alır, kart sahibinin açık anahtarını kullanarak FIDO onayını doğrular ve son kimlik doğrulama sonucunu belirler. Kesin işlem durumunu içeren ARes #2'yi geri gönderir (örneğin, `transStatus` = 'Y' Kimlik Doğrulama Başarılı, 'N' Başarısız için). Bu iki AReq'li akış, genellikle `transStatus` = 'C' alındıktan sonra ilk AReq/ARes döngüsü içinde tamamlanan geleneksel 3DS doğrulama yöntemlerinden (CReq/CRes veya RReq/RRes mesajları aracılığıyla işlenen OTP veya OOB gibi) bir sapmayı temsil eder. SPC'nin kullanıcı etkileşimi kısmı (biyometrik tarama, PIN girişi) genellikle bir [OTP](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf) yazmaktan önemli ölçüde daha hızlı olsa da, ikinci bir tam AReq/ARes gidiş-dönüşünün eklenmesi, 3DS Sunucusu, Dizin Sunucusu ve ACS arasında ağ gecikmesi ekler. Uygulayıcılar ve satıcılar, genel uçtan uca işlem süresinin rekabetçi kalmasını ve kullanıcı beklentilerini karşılamasını sağlamak için bu akışı dikkatlice optimize etmeli ve potansiyel zaman aşımlarını yönetmelidir. ## 5. SPC için Ekosistem Değerlendirmeleri ### 5.1 Küresel Bir Standart Olarak SPC (W3C/EMVCo) Güvenli Ödeme Onayı, ikili standardizasyonu sayesinde küresel olarak benimsenmek üzere konumlandırılmıştır. World Wide Web Consortium (W3C) tarafından resmi olarak bir web standardı olarak tanımlanmış olup, 2023 ortalarında Aday Tavsiye statüsüne ulaşmış ve tam bir [Tavsiye](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) olma yolunda çalışmalar devam etmektedir. Eş zamanlı olarak SPC, ödeme [standartları](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf) için küresel teknik organ olan EMVCo tarafından yönetilen EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) spesifikasyonlarına sürüm 2.3'ten itibaren entegre edilmiştir. Bu entegrasyon, SPC'nin [CNP](https://www.corbado.com/glossary/cnp) işlem kimlik doğrulaması için yerleşik küresel çerçeve içinde çalışmasını sağlar. W3C, [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) ve EMVCo arasındaki işbirliği, güvenli ve [kullanıcı dostu çevrimiçi ödemeler](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf) için birlikte çalışabilir standartlar oluşturma yönündeki endüstri çapındaki çabayı vurgulamaktadır. ### 5.2 Düzenleyici Zorunlulukların Ötesinde Uygulanabilirlik (ör. ABD, Kanada) SPC'nin tasarımı, özellikle kullanıcı kimlik doğrulamasını belirli işlem detaylarına kriptografik olarak bağlama yeteneği ("[dinamik bağlama](https://www.corbado.com/tr/blog/dinamik-baglama-passkeys-spc)"), Avrupa'nın Ödeme Hizmetleri Direktifi (PSD2) gibi düzenlemeler kapsamındaki [Güçlü Müşteri Kimlik Doğrulaması](https://www.corbado.com/blog/psd2-sca-requirements) (SCA) gereksinimlerini karşılamaya yardımcı olsa da, faydası bu zorunlu bölgelerle sınırlı değildir. SPC, gerekli ekosistem bileşenlerinin [yerinde](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) olması koşuluyla, Amerika Birleşik Devletleri ve Kanada da dahil olmak üzere herhangi bir pazarda uygulanabilir küresel bir teknik standarttır. Her işlem için açık [SCA](https://www.corbado.com/tr/blog/psd2-ve-passkeys) zorunlulukları olmayan pazarlarda, SPC'yi benimsemenin birincil itici güçleri şunlardır: - **İyileştirilmiş Kullanıcı Deneyimi:** Geleneksel OTP'lere veya bilgi tabanlı sorulara kıyasla potansiyel olarak daha hızlı ve daha uygun bir doğrulama yöntemi (örneğin, cihaz biyometrisini kullanarak) sunarak sepet terkini potansiyel olarak azaltmak. Pilot çalışmalar, geleneksel [doğrulamalara](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/) kıyasla kimlik doğrulama süresinde önemli azalmalar göstermiştir. - **Gelişmiş Güvenlik:** SPC'nin doğasında bulunan FIDO tabanlı kimlik doğrulama, kimlik avı saldırılarına, kimlik bilgisi doldurma saldırılarına ve şifreleri ve OTP'leri hedef alan diğer yaygın tehditlere karşı dayanıklıdır. Bu nedenle, Kuzey Amerika gibi bölgelerdeki kart veren kuruluşlar ve işletmeler, tüm işlemler için düzenleyici bir gereklilik olmasa bile, güvenliği artırmak ve daha iyi bir müşteri deneyimi sağlamak için stratejik olarak SPC'yi uygulamayı seçebilirler. ### 5.3 SPC ve FIDO/Passkey'ler için Ekosistem Bağımlılıkları ve Hazırlık Durumu Güvenli Ödeme Onayı'nın (SPC) başarılı bir şekilde dağıtılması ve yaygın olarak benimsenmesi, ödeme ekosisteminin birden çok bileşeninde koordineli bir hazırlığa büyük ölçüde bağlıdır. Altta yatan FIDO standartları ve passkey teknolojisi hızla olgunlaşırken, SPC API'si için belirli tarayıcı düzeyinde destek ve ödeme zinciri boyunca tam entegrasyon kritik engeller olmaya devam etmektedir. Diğer ekosistem oyuncuları genellikle iyi ilerlemektedir. **Ekosistem Hazırlık Özeti (Durum Mayıs 2025)** | Ekosistem Aktörü | SPC Hazırlığı | FIDO/Passkey Hazırlığı (Genel) | Temel Notlar (Mayıs 2025) | | :------------------------------------------ | :--------------- | :----------------------------- | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Kullanıcı Cihazları ve Doğrulayıcılar** | ❌ Kullanılmıyor | ✅ Hazır | Neredeyse her modern dizüstü bilgisayar, telefon ve güvenlik anahtarı FIDO2/WebAuthn doğrulayıcılarıyla birlikte gelir. Milyarlarcası zaten tüketicilerin kullanımına sunulmuştur. Donanım darboğaz değildir. | | **Web Tarayıcıları (Yazılım)** | ❌ Darboğaz | ✅ Hazır | **SPC:** Chromium (Chrome/Edge ≥ 95) temel SPC v1'i destekler, ancak gelişmiş özellikler deneyseldir. **Safari (macOS ve iOS) ve Firefox HİÇBİR SPC desteği sunmamaktadır.** **Genel FIDO/Passkey:** Giriş vb. için büyük tarayıcılarda tam WebAuthn desteği. | | **Kart Veren Kuruluşlar ve ACS Satıcıları** | ⚠️ İlerliyor | ✅ İlerliyor | **SPC:** EMV 3DS 2.3.1 için sertifikalı pazar liderleri SPC'yi çalıştırabilir; diğerleri pilottan üretime geçiyor. **Genel FIDO:** Birçoğu uygulama kimlik doğrulaması/OOB için FIDO'yu destekler; RBA veri alım yeteneği mevcuttur ancak benimseme değişir. FIDO sunucusu/RP altyapısı gerektirir. | | **İşletmeler (Merchant'lar)** | ❌ Destek yok | ✅ İlerliyor | **SPC:** EMV 3DS v2.3+ yığını ve tarayıcı mantığı gerektirir. Erken benimseyenler faydalarını bildirmektedir. **Genel FIDO:** Passkey'leri benimseyerek giriş için artan kullanım; `threeDSRequestorAuthenticationInfo` aracılığıyla veri geçirebilir. Entegrasyon çabası gereklidir. | | **PSP'ler / 3DS Sunucuları** | ⚠️ Yaygınlaşıyor | ✅ İlerliyor | **SPC:** EMV 3DS v2.3+ yığını ve tarayıcı mantığı gerektirir. Erken benimseyenler faydalarını bildirmektedir. **Genel FIDO:** Giriş için artan kullanım; `threeDSRequestorAuthenticationInfo` aracılığıyla veri geçirebilir. Entegrasyon çabası gereklidir. | | **Şema Dizin Sunucuları** | ✅ Hazır | ✅ Hazır | Altyapı (Visa, Mastercard, vb.) 2021'den beri EMV 3DS 2.3/2.3.1 mesajları (SPC ve FIDO veri alanları dahil) için güncellenmiştir, passkey'ler ana akım haline gelmeden çok önce. | **Bu pratikte ne anlama geliyor (Mayıs 2025)** **SPC'nin benimsenmesi** için birincil engelleyici faktör [user-agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox) (tarayıcı) katmanıdır: - **Safari (macOS ve iOS):** ❌ WebKit hala `secure-payment-confirmation` Ödeme Talebi yönteminden yoksundur. Safari'de ziyaret edilen herhangi bir site diğer kimlik doğrulama yöntemlerine (OTP, OOB, potansiyel olarak SPC dışı WebAuthn deneyimleri) geri dönmek zorundadır. Apple, uzantıyı uygulama konusunda bir ilgi göstermemiştir. - **Chrome / Edge (Chromium):** ⚠️ Temel SPC (kimlik bilgisi oluşturma + kimlik doğrulama) kararlıdır, ancak anahtarlar henüz donanım doğrulayıcılarında saklanmamaktadır ve yalnızca pilot uygulamalarda kullanılmıştır. Uygulayıcılar potansiyel kırılgan değişiklikler beklemeli ve işlevselliği API kullanılabilirlik kontrollerine (örneğin, `canMakePayment()`) veya özellik bayraklarına göre sınırlamaya hazır olmalıdır. - **Firefox:** ❌ Ekip ilgi gösterdiğini belirtmiş ancak taahhüt edilmiş bir uygulama takvimi yoktur; işletmeler zarif geri dönüş yolları planlamalıdır. Kart veren kuruluş [altyapısı](https://www.corbado.com/passkeys-for-critical-infrastructure) (ACS, FIDO sunucuları) ve şema dizin sunucuları büyük ölçüde hazır veya hızla ilerlediği ve işletme/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) araçları kullanıma sunulduğu için, **yaygın SPC kullanımının önündeki ana engel tarayıcı desteğidir.** Tarayıcı kapsamı iyileştiğinde, geri kalan görevler öncelikle işletme/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) entegrasyonunu (EMV 3DS v2.3+'a yükseltme, SPC çağırma mantığı ekleme, iki AReq'li akışı yönetme) ve özellikle ödeme bağlamları için kart veren kuruluşların passkey kaydını ölçeklendirmeyi içerir. **Şimdilik, SPC'nin yalnızca sınırlı bir işlem diliminde görünmesini bekleyin. Safari (ve dolayısıyla tüm iOS ekosistemi) destek sunana kadar, SPC pazar desteği elde edemez.** ![overview secure payment confirmation](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_secure_payment_confirmation_e92645aa7f.png) ## 6. Sonuç ve Stratejik Öneriler ### 6.1 Özet: Şimdi Sorunsuz Akışa Odaklanın, Sonrası için SPC'ye Hazırlanın Analiz, Mayıs 2025 itibarıyla EMV 3DS içindeki iki ana FIDO entegrasyonunun hazırlık durumunda net bir ayrışma olduğunu ortaya koymaktadır. Bir doğrulama yöntemi olarak **Güvenli Ödeme Onayı (SPC)** için temel unsurlar ilerlerken – özellikle kart veren kuruluş/ACS yetenekleri ve şema hazırlığı – yaygın olarak benimsenmesi, **tarayıcı desteğinin kritik darboğazı** tarafından önemli ölçüde engellenmektedir. En önemlisi, Apple'ın Safari'sinde (tüm [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)/iPadOS cihazlarını engelleyerek) ve Firefox'ta uygulama eksikliği ve mevcut Chromium uygulamalarındaki sınırlamalardır. SPC umut verici bir gelecek durumu olmaya devam ediyor, ancak bugün pratik, her yerde bulunan bir çözüm değildir. ### 6.2 Kilit Katılımcılar için Öneriler Mevcut ekosistem durumuna dayanarak aşağıdaki önerilerde bulunuyoruz: - **İşletmeler (Merchant'lar):** - **Passkey Benimsemesini Önceliklendirin:** Kullanıcı girişi ve kimlik doğrulaması için passkey'leri uygulayın. Kendi güvenliğinizi ve kullanıcı deneyiminizi iyileştirmenin ötesinde (burada ayrıntıları verilmeyen faktörler), bu, 3DS sorunsuz akışları için gereken verileri oluşturur. - **FIDO Verilerini İletin:** 3DS entegrasyonunuzun, ödeme oturumu sırasında başarılı önceki passkey kimlik doğrulamalarının ayrıntılarıyla `threeDSRequestorAuthenticationInfo` alanını doğru bir şekilde doldurduğundan emin olun. Bunu etkinleştirmek için PSP/3DS Sunucu sağlayıcınızla çalışın. - **Kart Veren Kuruluşlar (Issuer'lar):** - **Kullanıcı Passkey'lerini Kaydedin:** Kart sahiplerine doğrudan sizinle passkey kaydetmelerini teklif etmeye ve teşvik etmeye başlayın (bankacılık uygulaması erişimi, gelecekteki SPC vb. için). Gerekli FIDO Güvenen Taraf [altyapısını](https://www.corbado.com/passkeys-for-critical-infrastructure) oluşturun. - **İşletme Passkey Verilerini Şimdi Kullanın:** ACS satıcınıza, işletmeler tarafından iletilen FIDO verilerini (`threeDSRequestorAuthenticationInfo`) RBA motorunuzda güçlü bir pozitif sinyal olarak alması ve kullanması talimatını verin. Mümkün olduğunda kullanıcılarla ilişkili güvenilir işletme passkey'lerinin kayıtlarını tutun. Güçlü bir işletme passkey kimlik doğrulamasının ardından yapılan işlemler için sorunsuz onayları önemli ölçüde artırmayı hedefleyin. - **SPC'ye Hazırlanın, Aktif Olarak İzleyin:** ACS yol haritanızın tam EMV 3DS v2.3.1+ SPC desteğini içerdiğinden emin olun, ancak bunu gelecekteki bir geliştirme olarak ele alın. SPC'nin ne zaman ölçekte uygulanabilir olabileceğini ölçmek için tarayıcı gelişmelerini (özellikle Safari) sürekli olarak izleyin. - **ACS Satıcıları:** - **Passkey Zekası ile RBA'yı Geliştirin:** RBA motorunuzun işletme tarafından sağlanan FIDO/passkey verilerini işleme ve güvenme yeteneğine yoğun bir şekilde yatırım yapın. Belirli bir kullanıcı/cihaz için işletme satın alımları arasında passkey kullanımını izlemek için mantık geliştirin. Sağlandığı takdirde işletme kimlik doğrulama verilerinin kriptografik bütünlüğünü doğrulamak için açık anahtarları (doğrudan kart veren kuruluş kaydından) saklayın. Başarılı passkey kullanımını doğrudan daha yüksek sorunsuz onay oranlarına bağlayın. - **Sağlam SPC Yetenekleri Oluşturun:** Gelecekteki pazar benimsemesine hazır olmak için tam SPC doğrulama akışı desteğini (EMV 3DS v2.3.1+) geliştirmeye ve sertifikalandırmaya devam edin. - **Ödeme Şemaları/Ağları:** - **Sorunsuz FIDO Verilerini Savunun:** 3DS akışı içinde işletme FIDO kimlik doğrulama verilerinin (`threeDSRequestorAuthenticationInfo`) iletilmesini ve kullanılmasını aktif olarak teşvik edin ve potansiyel olarak teşvik edin. Kart veren kuruluşlara ve ACS satıcılarına bu verileri RBA için etkili bir şekilde kullanma konusunda net rehberlik ve destek sağlayın. - **SPC Savunuculuğuna ve Tarayıcı Etkileşimine Devam Edin:** SPC API standardının tam, birlikte çalışabilir bir şekilde uygulanmasını teşvik etmek için tarayıcı satıcılarıyla (Apple, Mozilla, Google) kritik bir şekilde etkileşimde bulunarak SPC'yi standartlaştırma ve tanıtma çabalarını sürdürün. ### 6.3 Genel Stratejik Yön Anlık, somut fırsat, işletme düzeyinde passkey'lerin artan benimsenmesinden yararlanarak **sorunsuz akışı** geliştirmekte yatmaktadır. Tüm ekosistem katılımcıları, mevcut EMV 3DS çerçevesi içinde bu önceki kimlik doğrulama verilerinin oluşturulmasını, iletilmesini ve akıllıca tüketilmesini sağlamayı önceliklendirmelidir. Bu yol, evrensel SPC tarayıcı desteğini beklemeden sürtünmeyi ve potansiyel olarak dolandırıcılığı azaltmada yakın vadeli faydalar sunar. Eş zamanlı olarak, SPC için zemini hazırlamak – özellikle kart veren kuruluş passkey kaydı ve ACS hazırlığı – tarayıcı darboğazı çözüldüğünde ekosistemin bu üstün doğrulama yöntemini benimsemeye hazır olmasını sağlar.