Mastercard Identity Check: Kartı Veren Kuruluşlar ve İşletmelerin Bilmesi Gereken Her Şey

Dijital ticaret dünyası temel bir çelişkiyi barındırır: İşletmeler bir yandan sorunsuz ve zahmetsiz bir çevrimiçi ödeme deneyimi sunarken, diğer yandan kendilerini ve müşterilerini her an var olan sahtekarlık tehdidinden nasıl koruyabilir? E-ticaretin bel kemiği olan Kartın Fiziksel Olarak Bulunmadığı (CNP) işlemler, kartın fiziksel olarak ibraz edilmesinin getirdiği doğal güvenlikten yoksundur ve bu da önemli ölçüde daha yüksek sahtekarlık oranlarına yol açar. Tarihsel olarak, CNP işlemleri, işlem hacimlerine kıyasla sahtekarlık kayıplarında orantısız bir paya sahip olmuştur. Dahası, aşırı agresif önlemlerle sahtekarlığı önlemenin maliyeti (meşru işlemlerin yanlışlıkla reddedilmesi, yani "hatalı reddetmeler" veya "müşteri memnuniyetsizliği" ile sonuçlanan durumlar), bazen sahtekarlığın kendi maliyetini aşarak satış kayıplarına ve müşteri hüsranına neden olabilir.

İşte bu noktada, bu zorluğun üstesinden gelmek için tasarlanmış kapsamlı bir program olan Mastercard Identity Check devreye giriyor. Küresel EMV 3-D Secure standardı üzerine inşa edilen bu program, çevrimiçi ödemelerin kimlik doğrulamasında önemli bir evrimi temsil ediyor. Temel misyonu; güvenliği artırmak, sahtekarlıkla mücadele etmek, işlem onay oranlarını yükseltmek ve kart sahipleri, kartı veren bankalar (ihraççılar) ve işletmeler (tüccarlar) için ödeme yolculuğunu kolaylaştırmaktır.

Bu blog yazısı, Mastercard Identity Check'i derinlemesine anlamak isteyen kartı veren kuruluşlar, işletmeler, Ödeme Hizmet Sağlayıcıları (PSP'ler), yazılım geliştiriciler, ürün yöneticileri ve güvenlik uzmanları için kritik soruları yanıtlıyor:

1. Mastercard Identity Check tam olarak nedir ve neden geliştirildi?

2. Mastercard Identity Check, sahtekarlığı ve hatalı reddetmeleri azaltmak için EMV 3-D Secure teknolojisinden nasıl yararlanır?

3. NuData davranışsal biyometri gibi ileri teknolojiler, sorunsuz kullanıcı kimlik doğrulamasını sağlamada nasıl bir rol oynar?

4. İşletmeler ve PSP'ler, Mastercard Identity Check'i mevcut ödeme süreçlerine nasıl etkili bir şekilde entegre edebilir?

5. İşletmeler, Mastercard Identity Check'i benimseyerek işlem onay oranları, kullanıcı deneyimi ve sahtekarlığın azaltılması açısından ne gibi somut faydalar bekleyebilir?

Mastercard Identity Check'e giden yolculuk, ilk e-ticaret döneminin doğasında var olan güvenlik açıklarıyla başladı. Çevrimiçi alışverişin artmasıyla birlikte, sahtekarlar kartın fiziksel olarak bulunmamasından yararlandı ve bu da CNP sahtekarlık oranlarının artmasına neden oldu. Sektörün ilk tepkisi 1999 yılında 3-D Secure (3DS) protokolünün tanıtılmasıyla geldi. Mastercard'ın bu ilk versiyonunun markalı adı Mastercard SecureCode idi. SecureCode (3DS 1.0), bir kart sahibi kimlik doğrulama katmanı ekleyerek fiziksel bir ödemenin güvenliğini taklit etmeyi amaçlasa ve belirli sahtekarlık amaçlı ters ibrazların sorumluluğunu işletmelerden alma gibi önemli bir fayda sunsa da, etkinliğini ve benimsenmesini engelleyen önemli dezavantajları vardı:

• Yüksek Sürtünme: En yaygın uygulama, statik şifreler veya zahmetli güvenlik soruları içeriyordu. Bu durum, kullanıcıların genellikle önceden kaydolmasını ve ayrı kimlik bilgilerini hatırlamasını gerektiriyordu. Bu da ödeme sürecine gözle görülür bir sürtünme ekliyordu.

• Kötü Kullanıcı Deneyimi: Kimlik doğrulama için kartı veren kuruluşun markalı sayfalarına yönlendirmeler, tutarsız ve genellikle rahatsız edici bir kullanıcı deneyimi yaratarak alışveriş yapanlar arasında kafa karışıklığına ve şüpheye yol açıyordu. Bu sürtünme, doğrudan yüksek alışveriş sepeti terk etme oranlarına katkıda bulundu.

• Sınırlı Veri Alışverişi: 3DS 1.0, işletme ile kartı veren kuruluş arasında yalnızca yaklaşık 15 veri öğesinin alışverişine izin vererek doğru risk değerlendirmesi için yetersiz bağlam sağlıyordu.

• Tarayıcı Odaklı Tasarım: Öncelikle tarayıcı tabanlı işlemler için tasarlanmıştı, bu da onu hızla büyüyen mobil uygulama ödemeleri ve gelişmekte olan IoT ticareti dünyası için uygunsuz kılıyordu.

• Yetersiz Hatalı Reddetme Azaltımı: Sınırlı veri ve açık sorgulamalara odaklanma, meşru işlemlerin yanlışlıkla sahtekarlık olarak işaretlendiği, müşteri ilişkilerine zarar verdiği ve gelir kaybına neden olduğu önemli hatalı reddetme sorununu etkili bir şekilde ele almıyordu.

Kötü kullanıcı deneyiminin (sepet terk etme ve hatalı reddetmelerle kendini gösteren) olumsuz etkisinin, işletmeler için genellikle doğrudan sahtekarlık maliyetlerinden daha büyük bir finansal kayıp temsil ettiği açıkça ortaya çıktı. Bu ekonomik gerçeklik, giderek dijitalleşen bir dünyada daha güçlü sahtekarlık önleme ihtiyacıyla birleşerek modernize edilmiş bir yaklaşımın geliştirilmesini sağladı.

Yeni nesil EMV 3-D Secure protokolü üzerine inşa edilen Mastercard Identity Check'in lansmanı, bu sınırlamaları net hedeflerle aşmayı amaçladı:

1. CNP Sahtekarlığını Azaltmak: Yetkisiz işlemleri tespit etmek ve önlemek için daha sofistike teknikler kullanmak.

2. Sürtünmeyi En Aza İndirmek: İşlemlerin büyük çoğunluğu için daha pürüzsüz, daha hızlı ve sorunsuz kimlik doğrulama akışları oluşturmak.

3. Onay Oranlarını Artırmak: Kartı veren kuruluşlara daha doğru risk değerlendirmeleri için daha zengin veriler sunarak hatalı reddetmeleri azaltmak.

4. Modern Kanalları Desteklemek: Mobil uygulamalar, dijital cüzdanlar ve diğer bağlı cihazlar içinde yerel olarak kimlik doğrulamayı desteklemek.

5. Zengin Veri Alışverişini Sağlamak: Önemli ölçüde daha fazla işlem ve bağlamsal verinin güvenli bir şekilde paylaşılmasını kolaylaştırmak.

6. Sorumluluk Devrini Sürdürmek: Kimliği doğrulanmış sahte işlemler için sorumluluğun katılımcı işletmelerden alınması avantajını korumak.

Mastercard Identity Check - Erken Benimseyen Programı Öğrenimleri

Altta yatan teknoloji standardı ile Mastercard'ın özel uygulaması arasında ayrım yapmak önemlidir.

EMV 3DS, Mastercard, Visa, American Express, Discover, JCB ve UnionPay dahil olmak üzere büyük küresel ödeme ağlarının ortak sahibi olduğu bir kuruluş olan EMVCo tarafından geliştirilen ve yönetilen küresel protokol spesifikasyonudur. Çevrimiçi bir işlem kimlik doğrulamasında yer alan üç temel alan arasında güvenli iletişim ve veri alışverişi için teknik çerçeveyi tanımlar:

1. Üye İşyeri Alanı (Acquirer Domain): İşletmeyi, ödeme ağ geçidini ve üye işyeri bankasını (işletmenin bankası) içerir. Bu alan, genellikle 3DS Server (veya tarihsel olarak Merchant Plug-In/MPI) olarak adlandırılan bir bileşen aracılığıyla kimlik doğrulama talebini başlatır.

2. İhraççı Alanı (Issuer Domain): Kartı veren bankayı (kart sahibinin bankası) ve kart sahibini içerir. Bu alan, Access Control Server (ACS) adı verilen bir bileşen aracılığıyla kart sahibinin kimliğini doğrulamaktan sorumludur.

3. Birlikte Çalışabilirlik Alanı (Interoperability Domain): Esas olarak kart şeması (Mastercard gibi) tarafından işletilen Directory Server'dan (DS) oluşur. DS, kart numarasına (özellikle Banka Kimlik Numarası veya BIN) dayanarak kimlik doğrulama mesajlarını doğru 3DS Server ve ACS arasında yönlendiren merkezi bir yönlendirici görevi görür.

EMV 3DS protokolü (genellikle 3DS 2.0 veya 2.x olarak anılır), orijinal 3DS 1.0'a göre önemli iyileştirmeler getirdi:

• 10 Kat Daha Fazla Veri: Cihaz bilgileri, işlem geçmişi, tarayıcı detayları ve işletme verileri dahil olmak üzere risk değerlendirmesi için daha zengin bir bağlam sağlayan 150'den fazla veri öğesinin (3DS 1.0'daki ~15'e kıyasla) alışverişini destekler.

• Risk Tabanlı Kimlik Doğrulama (RBA): Düşük riskli işlemlerin, kart sahibi etkileşimi gerektirmeden, veri analizine dayalı olarak arka planda sessizce onaylandığı sorunsuz kimlik doğrulama akışlarını mümkün kılar. %90–95 oranında sorunsuz akış hedeflenir.

• Yerel Mobil/Uygulama Desteği: Mobil uygulama ödeme akışlarına sorunsuz entegrasyon için Yazılım Geliştirme Kitleri (SDK'lar) içerir, bu da rahatsız edici tarayıcı yönlendirmelerini ortadan kaldırır.

• Gelişmiş Kimlik Doğrulama Yöntemleri: SMS veya uygulama aracılığıyla gönderilen Tek Kullanımlık Şifreler (OTP'ler), biyometri (parmak izi, yüz tanıma) ve bant dışı kimlik doğrulama gibi modern kimlik doğrulama yöntemlerini destekleyerek statik şifrelerden uzaklaşır.

• Daha Geniş Kullanım Alanları: Basit ödeme kimlik doğrulamasının ötesine geçerek, bir dijital cüzdana kart ekleme gibi ödeme dışı kimlik doğrulamayı, yinelenen ödemeleri ve tokenizasyonu destekler.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check, Mastercard'ın kendi ağı içinde EMV 3DS protokolünün kullanımını uygulayan ve yöneten özel programının adıdır. Mastercard SecureCode programının halefidir. EMV 3DS standardı üzerine inşa edilmiş olmasına rağmen, Mastercard Identity Check, performansı ve güvenliği artırmak için Mastercard'ın benzersiz varlıklarını ve teknolojilerini içerir. Bunlar arasında şunlar bulunur:

• Tescilli Yapay Zeka ve Makine Öğrenimi: Risk puanlamasını ve karar verme sürecini iyileştirmek için Mastercard'ın geniş ağ verilerinden ve yapay zeka yeteneklerinden yararlanma.

• Davranışsal Analitik (NuData): Kullanıcı etkileşim kalıplarını anlamak ve sofistike sahtekarlık girişimlerini tespit etmek için NuData davranışsal biyometrisinden (bir sonraki bölümde ele alınacaktır) elde edilen içgörüleri entegre etme.

• Ağ Zekası: Risk değerlendirmelerini bilgilendirmek için küresel olarak işlenen milyarlarca işlemden elde edilen içgörüleri kullanma.

• Program Yönetimi: Mastercard, ağı genelinde optimum performans ve kullanıcı deneyimi sağlamak için Identity Check programındaki katılımcılar (kartı veren kuruluşlar, işletmeler, üye işyeri bankaları) için belirli Anahtar Performans Göstergeleri (KPI'lar) ve kurallar belirler.

Bu nedenle, Mastercard Identity Check yalnızca EMV 3DS protokolünün yeniden markalanması değildir. Mastercard'ın tescilli zekasını ve yönetim çerçevesini standartlaştırılmış protokol temeli üzerine stratejik olarak katmanlandırmasını temsil eder. Bu sinerji, Mastercard ekosistemi içinde temel bir EMV 3DS uygulamasına kıyasla potansiyel olarak daha etkili ve farklılaştırılmış bir kimlik doğrulama hizmeti sunmayı, gelişmiş risk tespiti ve performans optimizasyonu sağlamayı amaçlar.

Mastercard Identity Check

Mastercard Identity Check, güvenlik ve sorunsuzluk hedeflerine ulaşmak için birkaç temel teknolojik bileşenin sofistike bir etkileşimine dayanır. Bu bileşenleri anlamak, sistemin riski nasıl değerlendirdiğini ve kullanıcıların kimliğini nasıl doğruladığını kavramak için çok önemlidir.

2017'de Mastercard tarafından satın alınan NuData davranışsal biyometri teknolojisi, Mastercard'ın gelişmiş kimlik doğrulama yeteneklerinin temel taşlarından biridir. Kullanıcının ne bildiğine (şifre) veya neye sahip olduğuna (OTP için telefon) odaklanan geleneksel kimlik doğrulamanın aksine, davranışsal biyometri, bir kullanıcının cihazıyla ve uygulamayla nasıl etkileşime girdiğini analiz eder. Pasif biyometriye, yani doğuştan gelen, genellikle bilinçaltı etkileşim kalıplarına odaklanır.

• Nasıl Çalışır: Çevrimiçi bir oturum sırasında (ödeme veya hatta hesap açma gibi), NuData teknolojisi yüzlerce ince davranışsal sinyali pasif olarak toplar ve analiz eder. Bunlar şunları içerebilir:

  • Yazma dinamikleri (hız, ritim, basınç)

  • Fare hareketleri (desenler, hız, tıklamalar)

  • Cihaz kullanımı (açı, ivmeölçer verileri)

  • Dokunmatik ekran etkileşimi (basınç, kaydırma desenleri)

  • Gezinme desenleri (tıklamak yerine Tab kullanma, form ilerlemesi, 'geri dönme' davranışı)

  • Oturum davranışı (form aşinalığı, harcanan süre, kopyala/yapıştır kullanımı, pencere değiştirme)

• Amaç ve Entegrasyon: Bu davranışsal veriler, her meşru kullanıcı için benzersiz bir profil oluşturan makine öğrenimi modellerine beslenir. Sistem, bu profilleri sürekli olarak öğrenmek ve iyileştirmek için yıllık olarak milyarlarca veri noktasını analiz eder. Mastercard Identity Check içindeki birincil işlevi, çalınmış kimlik bilgilerine sahip olsalar bile gerçek insanları otomatik botlardan ve sofistike sahtekarlardan ayırt etmektir. Anormallikleri ve yüksek riskli sinyalleri gerçek zamanlı olarak tespit ederek Risk Tabanlı Kimlik Doğrulama motoruna kritik bir girdi sağlar.

NuData teknolojisi, Mastercard'ın katmanlı güvenlik stratejisinin ayrılmaz bir parçasıdır, NuDetect gibi çözümlere güç verir ve Mastercard Identity Check'in arkasındaki zekaya önemli ölçüde katkıda bulunur. Özellikle kimlik bilgisi doldurma ve hesap ele geçirme girişimleri gibi otomatik saldırılara karşı etkilidir.

WSJ Mastercard Nudata

EMV 3DS 2.0'ın zengin veri alışverişi yeteneklerinden yararlanan Mastercard Identity Check, kapsamlı cihaz zekasını içerir. Bu, işlemi başlatan cihaza özgü çok çeşitli veri noktalarının toplanmasını ve analiz edilmesini içerir.

• Veri Noktaları: EMV 3DS protokolü, 150'den fazla değişkenin iletilmesine izin verir. Bu, aşağıdaki gibi bilgileri içerir:

  • Cihaz türü, modeli ve işletim sistemi

  • Tarayıcı türü, sürümü, dili ve yüklü eklentiler

  • IP adresi ve coğrafi konum verileri

  • Ağ bağlantı türü ve saat dilimi

  • Cihaz tanımlayıcıları veya parmak izleri

  • Ekran çözünürlüğü ve diğer cihaz özellikleri

  • Mastercard, cihaz ve kimlik doğrulama verilerini daha da zenginleştirmek için Ekata gibi şirketlerle de ortaklık yapabilir

• Amaç: Bu zengin cihaz bilgisi, kapsamlı bir risk profili oluşturmaya yardımcı olur. Sistemin güvenilir cihazları tanımasını, konum uyuşmazlıkları veya cihaz bilgilerini taklit etme girişimleri gibi anormallikleri tespit etmesini, yüksek riskli ağ bağlantılarını belirlemesini ve tanıdık olmayan veya ele geçirilmiş cihazlardan kaynaklanan potansiyel sahtekarlık faaliyetlerini işaretlemesini sağlar. Cihaz zekası, RBA motoru için bir başka kritik girdidir.

RBA motoru, Mastercard Identity Check'in merkezi istihbarat merkezidir ve bir işlemin genel riskini gerçek zamanlı olarak değerlendirmekten ve uygun kimlik doğrulama yolunu belirlemekten sorumludur.

Nasıl Çalışır: Motor, birden çok kaynaktan gelen bilgileri sentezler:

• EMV 3DS veri alanları (işlem detayları, işletme bilgileri, cihaz zekası)

• NuData davranışsal biyometrik sinyalleri

• Geçmiş işlem verileri ve kullanıcı profilleri

• Mastercard'ın küresel ağ verileri üzerinde eğitilmiş tescilli yapay zeka ve makine öğrenimi modelleri

Amaç: Bu bütünsel analize dayanarak, RBA motoru işlem için bir risk puanı hesaplar. Bu puan, sorunsuz bir kimlik doğrulama ile devam etme (düşük riskli işlemler için) veya kart sahibinin kimliğini daha fazla doğrulamak için bir ek kimlik doğrulama adımı (daha yüksek riskli işlemler için) başlatma kararını bilgilendirir. Sonuç (bir puan veya öneri), genellikle kartı veren kuruluşun ACS'sine nihai kimlik doğrulama kararında yardımcı olmak için gönderilir. Mastercard ayrıca, bir kartı veren kuruluşun kendi ACS'si kullanılamıyorsa veya henüz 3DS'e hazır değilse kapsama sağlamak için Stand-In RBA hizmetleri de sunar.

Mastercard Identity Check'in gücü, bu bileşenler arasındaki sinerjide yatmaktadır. EMV 3DS'den gelen zengin cihaz ve işlem verileri temel bağlamı sağlarken, NuData'nın davranışsal biyometrisinin entegrasyonu kritik bir savunma katmanı ekler. NuData, yalnızca geleneksel veri noktalarına dayanan sistemleri atlayabilecek, geçerli kimlik bilgileri kullanılarak yapılan hesap ele geçirmeleri veya insan etkileşimini taklit etmek için tasarlanmış botlar gibi sofistike sahtekarlık girişimlerini genellikle tespit edebilir. Bu çok yönlü yaklaşım, RBA motorunun daha incelikli ve kendinden emin risk değerlendirmeleri yapmasını sağlayarak, sağlam güvenliği korurken daha yüksek oranda sorunsuz onayı mümkün kılar.

Mastercard Identity Check Programı

Mastercard Identity Check'in temel hedeflerinden biri, mümkün olduğunda sorunsuz kimlik doğrulama akışlarını etkinleştirerek çevrimiçi ödeme sırasındaki kesintiyi en aza indirmektir. Kimlik doğrulamanın arka planda sessizce gerçekleştiği bu kusursuz deneyim, büyük ölçüde veriye dayalı onaylara, muafiyetlerin akıllıca kullanılmasına ve sorumluluk sonuçlarının net bir şekilde anlaşılmasına dayanır.

Sorunsuz akışın temeli Risk Tabanlı Kimlik Doğrulamadır (RBA). EMV 3DS protokolü, işletmenin ortamı (3DS Server aracılığıyla) ile kartı veren kuruluşun ortamı (ACS) arasında büyük miktarda verinin (150'den fazla potansiyel öğe) alışverişini kolaylaştırır. Mastercard bu verileri kendi ağ zekası, yapay zeka algoritmaları ve NuData davranışsal biyometri içgörüleriyle zenginleştirir. Kartı veren kuruluşun ACS'si (veya Mastercard'ın RBA hizmeti) bu kapsamlı veri setini gerçek zamanlı olarak analiz eder. Analiz, tanınan bir cihaz, tipik satın alma davranışı, tanıdık konum, tutarlı davranış kalıpları ve diğer bağlamsal ipuçları gibi faktörlere dayanarak düşük bir sahtekarlık olasılığı gösteriyorsa, işlem kart sahibinin herhangi bir eylemde bulunmasını (OTP girmek veya parmak izi kullanmak gibi) gerektirmeden pasif olarak doğrulanabilir. Bu, kimlik doğrulamaların %90-95'ini kapsamayı hedefleyen, sorunsuz akışı sağlayan veriye dayalı bir onayın özüdür.

Avrupa gibi Ödeme Hizmetleri Direktifi (PSD2) tarafından yönetilen bölgelerde, Güçlü Müşteri Kimlik Doğrulaması (SCA) - genellikle iki bağımsız kimlik doğrulama faktörü gerektirir - çevrimiçi ödemeler için genellikle zorunludur. Ancak, düzenleme ve EMV 3DS protokolü, SCA'nın gerekli olmadığı belirli muafiyetlere izin vererek sorunsuz deneyimleri daha da kolaylaştırır. Mastercard Identity Check, bu muafiyetlerin uygulanmasını destekler. Temel muafiyetler şunları içerir:

• İşlem Risk Analizi (TRA): Üye işyeri bankası veya kartı veren kuruluş gerçek zamanlı risk analizi yapar ve işlemi düşük riskli olarak değerlendirirse ve işlem tutarı kuruluşun genel sahtekarlık oranıyla bağlantılı belirli eşiklerin altındaysa, SCA'dan muaf tutulabilir.

• Düşük Değerli Ödemeler: Belirli bir değerin (örneğin, Avrupa'da 30 €) altındaki işlemler muaf tutulabilir, ancak kümülatif limitler uygulanır (örneğin, son SCA'dan bu yana toplam tutar veya işlem sayısı).

• Güvenilir Lehtarlar (İşletme Beyaz Listesi): Kart sahipleri, belirli işletmeleri kartı veren kuruluşları nezdinde "güvenilir" olarak belirleyebilir. Bu beyaz listeye alınmış işletmelerle yapılan sonraki işlemler SCA'dan muaf olabilir.

• Yinelenen Ödemeler ve İşletme Tarafından Başlatılan İşlemler (MIT'ler): Yinelenen bir ödemenin veya kart saklama anlaşmasının ilk kurulumu genellikle SCA gerektirse de, bu kimlik bilgileri kullanılarak yapılan sonraki işletme tarafından başlatılan ödemeler, belirli koşullar altında kapsam dışı veya muaf kabul edilebilir. EMV 3DS 2.2 ve sonraki sürümler, bu 3RI (3DS Talep Eden Tarafından Başlatılan) işlemleri için özel destek sağlar.

• Güvenli Kurumsal Ödemeler: Özel güvenli protokoller kullanılarak yapılan kurumsal ödemelere özel muafiyetler uygulanabilir.

İşletmeler ve PSP'ler, EMV 3DS kimlik doğrulama mesajı içinde bir muafiyet talebinde bulunduklarını belirtebilirler.

Corbado Outcome Based SCA Passkey

3-D Secure kullanmanın önemli bir faydası, her zaman belirli türdeki sahtekarlık amaçlı ters ibrazlar için sorumluluğun potansiyel olarak devredilmesi olmuştur.

• Başarıyla Doğrulanmış İşlemler: Bir işlem Mastercard Identity Check aracılığıyla (ister sorunsuz akışla ister bir sorgulama ile) başarıyla doğrulandığında, "yetkisiz" olarak iddia edilen ters ibrazların sorumluluğu genellikle işletmeden kartı veren kuruluşa geçer. Bu koruma, kimlik doğrulama sorunsuz olsa bile geçerlidir, ancak belirli kart şeması kuralları ve senaryoları geçerli olabilir.

• Muafiyetlerin Etkisi: Bu kritik bir noktadır: bir işletme veya PSP'si bir SCA muafiyeti (TRA veya düşük değerli gibi) talep ederse ve kartı veren kuruluş bunu onaylarsa, sahtekarlık sorumluluğu genellikle işletmede kalır. İşletme daha sorunsuz bir ödeme avantajı elde eder ancak sahtekarlık riskini finansal olarak üstlenmeye devam eder. Ancak, kartı veren kuruluş tek taraflı olarak bir muafiyet uygulamaya karar verirse (örneğin, kendi risk değerlendirmesine dayanarak), sorumluluk kartı veren kuruluşa geçebilir.

• Denenmiş/Başarısız Kimlik Doğrulama: Kimlik doğrulama denendiğinde ancak başarısız olduğunda veya tamamlanamadığında (örneğin, kartı veren kuruluşun ACS'si kullanılamadığında) sorumlulukla ilgili kurallar karmaşık olabilir ve belirli koşullara ve kart şeması kurallarına bağlıdır. Mastercard kuralları, kartı veren kuruluş tam olarak geçiş yapmamış olsa bile belirli senaryolarda işletme koruması sunabilir.

• Yalnızca Veri Akışları: Mastercard'ın "Identity Check Insights" gibi, tam bir kimlik doğrulama girişimi yapmadan risk değerlendirmesi için veri paylaşımını içeren belirli akışlar, açıkça işletmeye sorumluluk devri sağlamaz.

Bu, işletmeler ve PSP'ler için önemli bir stratejik karar noktası oluşturur. Muafiyet talep etmek, sorunsuz bir deneyim sağlayarak dönüşüm oranlarını optimize edebilir, ancak bu, sahtekarlık sorumluluğunu üstlenme maliyetiyle birlikte gelir. Tersine, kimlik doğrulamayı zorlamak (kartı veren kuruluş tarafından onaylanan sorunsuz bir akışla sonuçlansa bile) sorumluluk devrini güvence altına alabilir, ancak bir sorgulama gerekirse potansiyel olarak sürtünme yaratabilir. Bu nedenle, dönüşüm hedeflerini sahtekarlık risk toleransıyla dengeleyerek, işlemsel bazda en uygun yaklaşımı belirlemek için sofistike bir risk yönetimi stratejisi gereklidir.

Ek olarak, sorunsuz akışın başarısı ve RBA kararının doğruluğu, işletme ve PSP'si tarafından EMV 3DS mesajları aracılığıyla sağlanan verilerin kalitesine ve eksiksizliğine büyük ölçüde bağlıdır. Eksik veya yanlış veriler, kartı veren kuruluşun güvenilir risk değerlendirmeleri yapma yeteneğini engeller, potansiyel olarak daha fazla sorgulamaya veya hatta reddetmeye yol açar, böylece sistemin faydalarını baltalar. Optimum sorunsuz performansa ulaşmak, üye işyeri tarafında özenli veri yönetimi gerektiren işbirlikçi bir çabadır.

Mastercard Identity Check Programı

Mastercard Sorunsuz Gelecek

Kart veren kuruluşlar için Mastercard Identity Check programına entegre olmak, güvenlik ve kullanıcı deneyimi avantajlarından yararlanmak için esastır. Bu, kart portföylerini (Banka Kimlik Numaraları veya BIN'ler ile tanımlanır) etkinleştirmeyi ve kimlik doğrulama altyapısına, öncelikle bir Access Control Server (ACS) aracılığıyla bağlanmayı içerir.

ACS, kartı veren kuruluşun alanında yer alır ve kimlik doğrulama sürecinin teknolojik kalbidir. Temel sorumlulukları şunlardır:

• İşletmeden Mastercard Directory Server (DS) aracılığıyla yönlendirilen Kimlik Doğrulama Taleplerini (AReq mesajları) almak

• Belirli kart numarasının kayıtlı olup olmadığını ve Mastercard Identity Check için uygun olup olmadığını doğrulamak

• Risk değerlendirmesi yapmak (genellikle RBA motorlarından ve Mastercard Akıllı Kimlik Doğrulama puanı gibi verilerden yararlanarak)

• Sorunsuz bir şekilde mi kimlik doğrulaması yapılacağına yoksa bir sorgulama mı başlatılacağına karar vermek

• Gerekirse sorgulama sürecini yönetmek (örneğin, SMS ile OTP göndermek, bir bankacılık uygulaması aracılığıyla biyometrik doğrulama istemek)

• Başarıyla doğrulanmış işlemler için kritik olan Hesap Sahibi Kimlik Doğrulama Değerini (AAV) içeren Kimlik Doğrulama Yanıtını (ARes mesajı) oluşturmak ve DS'ye geri göndermek

Kartı veren kuruluşların ACS işlevselliğini uygulamak için birkaç yolu vardır:

1. Kurum İçi ACS: Bir kartı veren kuruluş, kendi ACS yazılım çözümünü kendi BT ortamında oluşturmayı, dağıtmayı, barındırmayı ve yönetmeyi seçebilir.

   • Artıları: Kimlik doğrulama mantığı, risk kuralları, kullanıcı deneyimi özelleştirmesi ve dahili sistemlerle entegrasyon üzerinde maksimum kontrol sunar.

   • Eksileri: Önemli dahili teknik uzmanlık, önemli geliştirme ve bakım kaynakları ve devam eden EMVCo ve PCI 3DS uyumluluk standartlarına sıkı sıkıya bağlılık gerektirir.

2. Barındırılan ACS (Üçüncü Taraf Satıcı): Kartı veren kuruluşlar, ACS'yi yönetilen bir hizmet olarak sunan, Mastercard onaylı uzman ACS satıcılarıyla ortaklık kurabilir. Bu modeldeki kartı veren kuruluş genellikle "Barındırılan Taraf" olarak anılır.

   • Artıları: Kartı veren kuruluşun operasyonel karmaşıklığını, altyapı maliyetlerini ve uyumluluk yükünü azaltır. Satıcının uzmanlığından yararlanır ve potansiyel olarak daha hızlı pazara sunma süresi sunar.

   • Eksileri: Kurum içi bir çözüme kıyasla daha az ayrıntılı kontrol ve özelleştirme sunabilir. Kritik bir işlev için üçüncü bir tarafa bağımlılık.

   • Satıcı Ekosistemi: Mastercard, Entersekt, Netcetera, GPayments ve Logibiztech gibi şirketleri içeren uyumlu ACS satıcılarının bir listesini tutar.

3. Mastercard Ek Hizmetleri: Mastercard, bir kartı veren kuruluşun seçtiği ACS yolunu güçlendirebilecek katma değerli hizmetler sunar:

   • ACS/İhraççılar için Mastercard Akıllı Kimlik Doğrulama: ACS'nin karar verme yeteneklerini geliştirmek için RBA zekası sağlar.

   • Mastercard Stand-In RBA: Kartı veren kuruluşun birincil ACS'si kullanılamıyorsa veya belirli BIN'ler henüz EMV 3DS için tam olarak etkinleştirilmemişse yedek RBA işleme sunar.

   • Mastercard 3-D Secure Kimlik Doğrulama Sorgulama Hizmeti: ACS akışıyla entegre edilebilen biyometrik sorgulama yetenekleri (FIDO standartlarından yararlanarak) sağlar.

Kurum içi ve barındırılan ACS arasındaki seçim, kontrol arzusunu verimlilik, maliyet etkinliği ve uygulama hızı ihtiyacıyla dengeleyen, kartı veren kuruluşlar için önemli bir stratejik kararı temsil eder.

Belirli Banka Kimlik Numarası (BIN) aralıklarını Mastercard Identity Check için etkinleştirmek, bir dizi koordineli adımı içerir:

1. ACS Yolunu Seçin: Kurum içi bir ACS mi yoksa barındırılan bir sağlayıcı mı kullanılacağına karar verin.

2. ACS Uyumluluğunu Sağlayın: Seçilen ACS çözümünün (kurum içi veya satıcı) mevcut Mastercard Identity Check program kurallarına ve ilgili EMV 3DS spesifikasyon sürümüne uygun olduğunu doğrulayın. Bu genellikle ACS operatörünün Mastercard uyumluluk testini tamamlamasını içerir.

3. Mastercard Identity Check'e Kaydolun: Mastercard Connect üzerindeki Mastercard Identity Check Test Platformu aracılığıyla kartı veren kurumu programa kaydedin, şartları kabul edin ve Şirket ID (CID) ve Bankalararası Kart Birliği (ICA) numarası gibi gerekli tanımlayıcıları sağlayın.

4. BIN Aralıklarını Directory Server'a Kaydedin: Identity Check'e katılacak belirli BIN aralıklarını kaydetmek için Mastercard Connect üzerindeki Identity Solutions Services Management (ISSM) aracını kullanın. Kaydedilen her aralık için, ilgili ACS'nin URL'si sağlanmalıdır. Mastercard SecureCode (3DS 1.0) için daha önce kaydedilen BIN aralıklarının Identity Check (EMV 3DS) için ayrı bir kayıt gerektirdiğini unutmayın.

5. Kimlik Doğrulama Kurallarını Yapılandırın: Kaydedilen BIN'ler için kullanılacak birincil kimlik doğrulama yöntemlerini (ör. RBA) ve herhangi bir ek sorgulama yöntemini (ör. SMS OTP, Biyometri) tanımlayın. Hem sorunsuz hem de sorgulama akışları için desteğin yapılandırıldığından emin olun.

6. Sertifikaları Yönetin: Mastercard Directory Server ile güvenli iletişim için gerekli Taşıma Katmanı Güvenliği (TLS) sunucu/istemci sertifikalarını ve varsa dijital imzalama sertifikalarını Mastercard Anahtar Yönetim Portalı'nı kullanarak edinin ve yönetin.

7. AAV Doğrulamasını Uygulayın: Doğrulanmış işlemler için yetkilendirme mesajlarında alınan Hesap Sahibi Kimlik Doğrulama Değerini (AAV) doğrulamak için süreçler oluşturun. Bu, dahili olarak veya Mastercard'ın AAV doğrulama hizmeti kullanılarak yapılabilir.

8. İşlemci ile Koordinasyon Sağlayın: Kartı veren kuruluşun ödeme işlemcisinin, Dijital İşlem İçgörüleri gibi Mastercard Identity Check ile ilişkili yeni veri öğelerini işleyebildiğinden emin olun.

9. Canlıya Geçin ve İzleyin: Yapılandırma ve test tamamlandıktan sonra, kaydedilen BIN aralıklarını üretim ortamında etkinleştirin ve işlem performansını ve KPI'ları sürekli olarak izleyin.

BIN yönetiminin devam eden bir süreç olduğunu kabul etmek önemlidir. 6 haneli BIN'lerden 8 haneli BIN'lere geçiş gibi sektördeki değişiklikler, kartı veren kuruluşların portföylerini proaktif olarak değerlendirmelerini, potansiyel olarak BIN'leri konsolide etmelerini ve Mastercard Identity Check gibi kimlik doğrulama hizmetlerinin kesintisiz çalışmasını sağlamak için sistemlerini ve yapılandırmalarını güncellemelerini gerektirir.

Mastercard Identity Check Programı

Mastercard Identity Check ve temelindeki EMV 3DS Mastercard programının benimsenmesi, işletmeler ve onlara hizmet veren Ödeme Hizmeti Sağlayıcıları (PSP'ler) için önemli avantajlar sunar. Temel etkiler, işlem başarı oranlarını iyileştirmek, müşteri deneyimini geliştirmek ve küresel e-ticaret ortamında operasyonları basitleştirmek etrafında döner.

En cazip faydalardan biri, yetkilendirme onay oranlarını artırma potansiyelidir.

• Nasıl çalışır: EMV 3DS aracılığıyla değiş tokuş edilen daha zengin veriler, yapay zeka ve davranışsal analitik kullanan sofistike RBA motorlarıyla birleştiğinde, kartı veren kuruluşlara bir işlemin meşruiyeti hakkında çok daha fazla bilgi sağlar. Bu, gerçek müşteriler ile sahtekarlar arasında daha doğru bir ayrım yapmalarını sağlayarak, meşru bir işlemin sahtekarlık şüphesiyle yanlışlıkla reddedildiği hatalı reddetmelerin azalmasına yol açar.

• Sayısal Sonuçlar: Çalışmalar ve raporlar önemli iyileştirmeler olduğunu göstermektedir. Mastercard verileri, bir yılda milyarlarca işlemde ortalama %0,10–%0,12'lik onay oranı artışı veya hatta %14'e varan artışlar göstermiştir. Diğer kaynaklar %12'lik potansiyel artışlardan bahsetmektedir. Bir giyim perakendecisini içeren vaka çalışmaları gibi örnekler, Identity Check aracılığıyla iyileştirilmiş onaylar ve sahtekarlığın azaltılmasına atfedilen önemli satış artışları göstermiştir.

• Faydaları: İşletmeler için daha yüksek onay oranları, doğrudan tamamlanmış satışların artması, daha yüksek gelir ve iyileştirilmiş müşteri memnuniyeti anlamına gelir. PSP'ler için, müşterilerinin onay oranlarını kanıtlanabilir şekilde artıran bir çözüm sunmak, değer önerilerini ve rekabet güçlerini artırır.

Etkili RBA'nın doğrudan bir sonucu, kart sahibinin kimliğini daha fazla kanıtlamak için aktif olarak sorgulandığı ek kimlik doğrulama adımlarının ihtiyacında önemli bir azalmadır.

• Nasıl çalışır: Amaç, işlemlerin büyük çoğunluğunun (genellikle >%90 veya %95 olarak belirtilir) risk değerlendirmesine dayanarak sorunsuz bir şekilde doğrulanmasıdır. Bu, ödeme sırasında müşteri için daha az kesinti anlamına gelir.

• Faydaları: Bu, gereksiz engelleri kaldırarak kullanıcı deneyimini önemli ölçüde iyileştirir. Azaltılmış sürtünme, doğrudan daha düşük alışveriş sepeti terk etme oranlarına ve işletmeler için daha yüksek dönüşüm oranlarına yol açar.

Mastercard Identity Check'in küresel EMV 3DS standardına dayanması, sınırlar ötesinde faaliyet gösteren işletmeler için daha kolay uygulama ve yönetim sağlar.

• Nasıl çalışır: EMV 3DS, dünya çapında katılımcı kartı veren kuruluşlar ve üye işyeri bankaları tarafından tanınan kimlik doğrulama için ortak bir teknik dil ve çerçeve sağlar.

• Faydaları: Bu standardizasyon, aksi takdirde birden fazla, farklı bölgesel kimlik doğrulama çözümünü entegre etmesi gerekebilecek uluslararası işletmeler ve PSP'ler için karmaşıklığı azaltır. Entegrasyon, Mastercard ve ortakları tarafından sağlanan standartlaştırılmış protokoller, API'ler ve SDK'lar aracılığıyla kolaylaştırılır. Ayrıca, Mastercard Identity Check gibi EMV 3DS tabanlı bir çözüm kullanmak, işletmelerin Avrupa'daki PSD2 SCA gibi düzenleyici gereklilikleri ve başka yerlerde ortaya çıkan benzer zorunlulukları karşılamasına yardımcı olur.

PSP'ler için bu işletme faydaları daha da artar. Mastercard Identity Check gibi sağlam, küresel olarak tutarlı ve yüksek performanslı bir kimlik doğrulama çözümü sunarak, PSP'ler daha fazla işletme çekebilir, çeşitli kimlik doğrulama yöntemlerini yönetmeyle ilgili kendi operasyonel yüklerini azaltabilir ve potansiyel olarak işletmelerden yansıyan sahtekarlıkla ilgili maliyetlere maruz kalma risklerini düşürebilirler.

Mastercard Identity Check

Mastercard Identity Check'in performansını etkili bir şekilde yönetmek ve optimize etmek için kartı veren kuruluşlar, üye işyeri bankaları ve işletmelerin net bir Anahtar Performans Göstergeleri (KPI) çerçevesine ihtiyacı vardır. Bu metrikleri izlemek, kullanıcı deneyimi, güvenlik etkinliği ve EMV 3DS Mastercard program kurallarına uyum hakkında içgörüler sağlar.

Program kılavuzlarına ve en iyi uygulamalara dayanarak, aşağıdaki KPI'lar Mastercard Identity Check performansını izlemek için çok önemlidir:

1. Sorgulama Oranı (Challenge Rate): Bu, kart sahibinin aktif olarak sorgulandığı (örneğin, bir OTP veya biyometrik doğrulama istendiği) kimlik doğrulama taleplerinin yüzdesini ölçer. Daha düşük bir sorgulama oranı genellikle daha iyi, daha sorunsuz bir kullanıcı deneyimini gösterir. Mastercard kılavuzları, işlemlerin %10'undan daha azında sorgulama hedeflemeyi ve çoğunluk için RBA'ya güvenmeyi önermektedir.

2. Kimlik Doğrulama Başarı Oranı: Bu, kart sahibi tarafından başarıyla tamamlanan ve kartı veren kuruluş tarafından doğrulanan kimlik doğrulama girişimlerinin (hem sorunsuz hem de sorgulamalı) yüzdesini izler. Yüksek başarı oranları, işlem terkini en aza indirmek için hayati önem taşır. Mastercard, genel olarak doğrulanmış işlem onay oranları için minimum eşikler (örneğin, %90) belirleyebilir ve sorgulama başarı oranlarını özel olarak izleyebilir.

3. Sorunsuz Oran (Frictionless Rate): Sorgulama oranının tersi olan bu metrik, kart sahibi etkileşimi gerektirmeden başarıyla tamamlanan kimlik doğrulamalarının yüzdesini ölçer. Yüksek bir sorunsuz oran, EMV 3DS'in birincil hedefidir ve daha yüksek genel başarı oranları ve daha iyi kullanıcı deneyimi ile güçlü bir şekilde ilişkilidir.

4. Sahtekarlık Oranı: Onaylanmış sahte işlemlerin oranını, özellikle de Identity Check aracılığıyla doğrulanmış olanları izlemek, sistemin sahtekarlığı önlemedeki etkinliğini ölçmek için esastır. Mastercard, Aşırı Sahtekarlık Yapan İşletme (EFM) programı gibi programlar aracılığıyla işletme sahtekarlık seviyelerini izler. Temel bir hedef, doğrulanmamış işlemlere kıyasla sahtekarlıkta bir azalma görmektir.

5. Yetkilendirme Onay Oranı: İşlem başarısının nihai ölçüsü, kartı veren kuruluş tarafından verilen son yetkilendirme onay oranıdır. Identity Check, hatalı reddetmeleri azaltarak bu oranı yükseltmeyi amaçlar.

6. Teknik Performans: ACS ve 3DS Server çalışma süresi (Mastercard satıcılar için %99,0 kullanılabilirlik gerektirir), işlem süreleri ve kimlik doğrulama mesajlaşmasındaki hata oranları gibi metrikler de kritiktir.

Bu KPI'ları izlemek çeşitli raporlama kanallarına dayanır:

• Mastercard Program İzleme: Mastercard, katılımcıların performansını belirlenmiş program KPI'larına göre aktif olarak izler. Uyumsuzluk, DIMP veya EFM gibi programlar kapsamında bildirimleri ve potansiyel değerlendirmeleri veya para cezalarını tetikleyebilir.

• Veri Bütünlüğü İzleme Programı (DIMP) Raporları: Bu program, özellikle Mastercard ağından akan işlem verilerinin doğruluğuna ve eksiksizliğine odaklanır. Kartı veren kuruluşlar ve üye işyeri bankaları, veri bütünlüğü sorunları için işaretlenmiş işlemleri belirlemek üzere özel bir portal aracılığıyla DIMP raporlarına erişebilir. Birkaç DIMP "düzeltmesi" doğrudan EMV 3DS verileriyle ilgilidir, örneğin eksik veya geçersiz DS İşlem ID'leri, eksik muafiyet göstergeleri, geçersiz AAV'ler veya uyuşmayan işlem tutarları. Kartı veren kuruluşlar, sorunsuz oran hedeflerine karşı performanslarını izlemek için özel olarak bir Mastercard Veri Bütünlüğü İzleme Raporu'na abone olabilirler.

• Ödeme Hizmeti Sağlayıcısı (PSP) / Satıcı Raporlaması: İşletmeler ve kartı veren kuruluşlar, kimlik doğrulama performans metriklerini izlemek için genellikle PSP'lerinin, 3DS Server sağlayıcılarının veya ACS satıcılarının sağladığı raporlama panolarını ve analitikleri kullanır.

Bu KPI'ları ve raporlama mekanizmalarını etkili bir şekilde kullanmak, paydaşların iyileştirme alanlarını belirlemelerine, yapılandırmaları (RBA kuralları gibi) optimize etmelerine, teknik sorunları gidermelerine ve sonuç olarak Mastercard Identity Check programının faydalarını en üst düzeye çıkarmalarına olanak tanır.

Mastercard Identity Check Programı

Çevrimiçi ödeme kimlik doğrulaması ortamı, artan güvenlik ihtiyacı, düzenleyici değişiklikler ve daha da sorunsuz kullanıcı deneyimleri talebiyle sürekli olarak gelişmektedir. EMV 3DS Mastercard programı üzerine inşa edilen Mastercard Identity Check, doğası gereği EMVCo'nun 3-D Secure protokolü için belirlediği yol haritasına bağlıdır.

EMV 3DS Evrimi (v2.1, v2.2, v2.3)

EMV 3DS protokolü, ilk lansmanından (sürüm 2.0) bu yana birkaç yineleme gördü ve her biri yeni özellikler ve iyileştirmeler getirdi:

• EMV 3DS 2.1: 3DS 1.0'a kıyasla daha zengin veri alışverişi ve geliştirilmiş mobil deneyimler için temel desteği içeren, zorunlu temel standart haline geldi. Mastercard, 2020 ortasına kadar desteklenmesini gerektirdi.

• EMV 3DS 2.2: SCA muafiyetleri için daha iyi destek (Üye İşyeri Bankası TRA ve Mastercard mesaj uzantıları aracılığıyla Güvenilir İşletme Listelemesi gibi) ve iyileştirilmiş veri öğeleri dahil olmak üzere daha fazla geliştirme getirdi. Mastercard, 2.2 için uyumluluk testini desteklemeye başladı ve zorunluluklar daha sonra geldi. Mastercard Gateway, 2.1 desteğini Eylül 2024'te sonlandırmayı planladı ve 2.2'yi etkin minimum standart haline getirdi.

• EMV 3DS 2.3 (özellikle 2.3.1): EMVCo tarafından 2021 sonu/2022'de yayınlanan bu sürüm, güvenliği, kullanıcı deneyimini ve kanal desteğini daha da iyileştirmeye odaklanan en son önemli ilerlemeyi temsil ediyor. Kimlik doğrulamanın geleceğiyle ilgili temel özellikler şunları içerir:

  • Gelişmiş Veri ve Akışlar: Kimlik doğrulamayı daha da kolaylaştırmak ve sahtekarlık tespitini iyileştirmek için ek veri öğeleri ve mesaj akışları. Yinelenen ödemeler ve ödeme tokenları için daha zengin veriler içerir.

  • Güvenli Ödeme Onayı (SPC) Desteği: 3DS akışı içinde FIDO doğrulayıcılarını kullanarak işlem ayrıntılarının kriptografik olarak onaylanmasını sağlayan SPC için entegrasyon noktaları.

  • WebAuthn Desteği: W3C'nin Web Authentication (WebAuthn) standardının kullanımını kolaylaştıran, sorgulamalar için passkey'lerin ve platform doğrulayıcılarının (cihaz biyometrisi gibi) kullanımını sağlayan açık destek.

  • Bant Dışı (OOB) Kimlik Doğrulama İyileştirmeleri: Kimlik doğrulamanın bir bankacılık uygulaması gibi ayrı bir kanal üzerinden yapılması gerektiğinde kullanıcı deneyimini kolaylaştırmak için otomatik geçişler.

  • Cihaz Bağlama: Kullanıcıların güvenilir bir cihazı hesaplarına bağlamasına olanak tanır, bu da o cihazdaki gelecekteki sorgulamaları potansiyel olarak azaltır.

  • Bölünmüş SDK Modeli: Geleneksel web/mobil ve IoT cihazları gibi gelişmekte olan kanallar da dahil olmak üzere çeşitli platformlarda 3DS SDK'larını uygulamak için daha fazla esneklik sunar.

  • Kullanıcı Arayüzü Geliştirmeleri: Kartı veren kuruluşlar ve işletmeler için sorgulamalar sırasında kullanıcı arayüzünü özelleştirmek için daha fazla seçenek.

Mastercard, EMVCo'nun kilit bir üyesi olarak bu standartların geliştirilmesine aktif olarak katılmaktadır. SPC ve passkey'ler gibi modern, şifresiz kimlik doğrulama yöntemlerine yönelik daha geniş hareketi güçlü bir şekilde desteklemektedirler. DECTA gibi şirketler, Mastercard ile EMV 3DS 2.3.1.1 için erken sertifikasyon alarak benimsemenin devam ettiğini göstermiştir. Güvenli Ödeme Onayı (SPC) Entegrasyonu SPC, EMV 3DS gibi kimlik doğrulama protokolleriyle birlikte çalışmak üzere tasarlanmış bir W3C web standardıdır. Kullanıcıların, cihazlarının yerleşik doğrulayıcısını (ör. parmak izi, yüz kimliği, PIN) kullanarak doğrudan tarayıcı içinde kimlik doğrulamasına ve işlem ayrıntılarını (tutar, alıcı) açıkça onaylamasına olanak tanıyan FIDO/WebAuthn kimlik bilgilerini (passkey'ler) kullanır.

• EMV 3DS 2.3 ile nasıl entegre olur: Bir 3DS sorgulama akışı sırasında, kartı veren kuruluş SPC'yi destekliyorsa ve kullanıcının o cihaz için kartı veren kuruluşta kayıtlı bir FIDO kimlik bilgisi (passkey) varsa, kartı veren kuruluşun ACS'si ARes mesajında gerekli bilgileri döndürebilir. İşletmenin web sitesi daha sonra tarayıcının SPC API'sini çağırarak standartlaştırılmış, güvenli bir onay iletişim kutusu sunar. Kullanıcı yerel olarak (örneğin, biyometri aracılığıyla) kimliğini doğrular ve işlem ayrıntılarını kriptografik olarak imzalar. Bu imzalı onay, doğrulama için ACS'ye geri gönderilir.

• Faydaları: SPC, OTP'lere kıyasla son derece güvenli (oltalama saldırılarına dayanıklı) ve potansiyel olarak çok düşük sürtünmeli bir sorgulama deneyimi vaat ederek dönüşüm oranlarını iyileştirir. Belirli işlem ayrıntılarına bağlı kullanıcı onayının güçlü kriptografik kanıtını sağlar. Mastercard, passkey benimsenmesini ve SPC desteğini aktif olarak teşvik etmektedir.

Mastercard'ın Daha Geniş Vizyonu: Şifresiz Bir Geleceğe Doğru Yakın dönem EMV 3DS yol haritasının ötesinde, Mastercard 2030 yılına kadar manuel kart girişini ve şifreleri tamamen ortadan kaldırmayı amaçlayan, çevrimiçi kimlik doğrulamanın geleceği için daha geniş bir vizyon ortaya koymuştur. Bu strateji şunların bir araya gelmesine dayanmaktadır:

• Tokenizasyon: Hassas Birincil Hesap Numaralarını (PAN'lar), temel kart verilerini korumak için güvenli ağ tokenları (MDES - Mastercard Dijital Etkinleştirme Hizmeti aracılığıyla) ile değiştirmek. Mastercard, 2030 yılına kadar Avrupa gibi bölgelerde %100 e-ticaret tokenizasyonunu hedeflemektedir.

• Biyometrik Kimlik Doğrulama: FIDO/WebAuthn gibi standartlar ve SPC ve Mastercard'ın Ödeme Passkey Hizmeti gibi teknolojiler aracılığıyla cihazdaki biyometriden (parmak izleri, yüz tanıma - "gülümsemeler ve parmak izleri") yararlanmak.

• Click to Pay: Mastercard'ın, tokenizasyon ve modern kimlik doğrulama ile sorunsuz çalışacak şekilde tasarlanmış, EMV Güvenli Uzaktan Ticaret (SRC) standartlarına dayalı basitleştirilmiş çevrimiçi ödeme çözümü.

Bu gelecek durumu, kullanıcıların kart numaralarını veya şifrelerini manuel olarak yazmalarına gerek kalmadan, basit bir biyometrik eylemle güvenli bir şekilde kimlik doğruladıkları ve ödemeleri onayladıkları bir ödeme deneyimi öngörmektedir. Sürüm 2.3 ve SPC'nin entegrasyonu da dahil olmak üzere EMV 3DS'in devam eden evrimi, bu iddialı hedefe ulaşmada kritik adımlardır.

Corbado EMV 3DS ACS Passkeys

EMV 3DS Mastercard programı tarafından desteklenen Mastercard Identity Check, dijital ödemeler ekosistemini güvence altına almada kritik bir evrimi temsil etmektedir. Selefi Mastercard SecureCode'un sınırlamalarının ötesine geçerek, modern e-ticarette sağlam sahtekarlık önlemesini sorunsuz kimlik doğrulama akışları zorunluluğuyla dengelemenin temel zorluğunu ele almaktadır.

Kartı veren kuruluşlar ve işletmeler için faydaları somuttur:

• Gelişmiş Güvenlik: Zengin veri alışverişi, sofistike Risk Tabanlı Kimlik Doğrulama (RBA) motorları, NuData davranışsal biyometri ve cihaz zekasından yararlanmak, sahtekarlık tespit doğruluğunu önemli ölçüde artırır.

• İyileştirilmiş Kullanıcı Deneyimi: Sorunsuz akışlara odaklanmak, ödeme kesintilerini en aza indirir, sepet terkini azaltır ve müşteri sadakatini artırır.

• Daha Yüksek Onay Oranları: Daha doğru risk değerlendirmesi, daha az hatalı reddetmeye yol açarak meşru satışları ve geliri artırır.

• Sorumluluk Koruması: Doğrulanmış işlemlerde sorumluluk devri potansiyeli, benimseme için önemli bir teşvik olmaya devam etmektedir.

Mastercard Identity Check'i uygulamak, entegrasyon yollarının, özellikle kartı veren kuruluşlar için ACS seçiminin ve BIN etkinleştirme ile veri kalitesinin özenli bir şekilde yönetilmesini gerektirir. Veri Bütünlüğü İzleme Raporu gibi sağlanan KPI çerçevesi ve raporlama araçları aracılığıyla performansı izlemek, optimizasyon ve uyumluluk için esastır. İleriye bakıldığında, evrim EMV 3DS 2.3 ve ötesiyle devam ediyor; passkey'ler ve cihaz biyometrisi kullanarak daha da güvenli ve kullanıcı dostu kimlik doğrulama sağlamak için Güvenli Ödeme Onayı (SPC) ve WebAuthn gibi standartları içeriyor. Bu, Mastercard'ın 2030 yılına kadar tokenizasyon ve biyometriye dayalı, şifresiz, numarasız bir çevrimiçi ödeme geleceği vizyonuyla uyumludur.

Kimlik doğrulama ortamı bu daha modern, oltalama saldırılarına dayanıklı yöntemlere doğru kayarken, Mastercard Identity Check gibi programların attığı temelleri anlamak çok önemlidir. Sağlam güvenliği benzersiz kullanıcı rahatlığıyla birleştiren yeni nesil kimlik doğrulamayı uygulamak isteyen işletmeler için, Corbado gibi sağlayıcılar tarafından sunulan passkey'ler gibi FIDO standartları üzerine inşa edilmiş çözümleri keşfetmek, çevrimiçi etkileşimleri ve ödemeleri geleceğe hazırlamada mantıklı bir sonraki adımı temsil eder.