Mastercard Passkeys: Mastercard Ödeme Passkey Hizmeti

Son yıllarda finans sektörü, yenilikçi kimlik doğrulama yöntemleriyle güvenliği ve kullanıcı deneyimini artırmaya yönelik büyük bir ilgi artışı gördü. Passkeys, bankalar (ör. Revolut), fintech'ler (ör. Finom) ve ödeme sağlayıcıları (ör. PayPal) arasında oldukça ilgi çekici ve giderek daha fazla tercih edilen bir çözüm olarak ortaya çıkıyor.

Önceki blog yazılarımızda, özellikle PSD2 / Güçlü Müşteri Kimlik Doğrulaması (SCA) bağlamında bu teknoloji değişiminin etkilerini kapsamlı bir şekilde ele almıştık:

• Cihaza Bağlı ve Senkronize Edilmiş Passkeys
• PSD2 ve SDA Gereksinimlerinin Analizi
• SCA Gereksinimlerinin Passkeys için Anlamı
• PSD3 / PSR'nin Passkeys Üzerindeki Etkileri
• Dinamik Bağlama.

Güvenli kimlik doğrulama dünyasını analiz etmeye devam ederken, Mastercard passkeys için yeni bir hizmet sundu: Mastercard Ödeme Passkey'leri. Teknik çerçeve adıyla Mastercard Token Kimlik Doğrulama Hizmeti (TAS) olarak da anılan bu hizmet, eski kimlik doğrulama yöntemlerini biyometrik verilerden (ör. Face ID, Touch ID) yararlanan güvenli, sorunsuz ve kullanıcı dostu bir yaklaşımla değiştirmek için stratejik bir hamleyi temsil ediyor. Hizmet, dünya çapında milyonlarca alışveriş yapan kişi için güvenlik ve rahatlığı bir araya getirerek online ödeme sürecini kolaylaştırmayı amaçlıyor. İkili isimlendirmenin kendisi de stratejik görünüyor. Ödeme Passkey'leri, tüketicilere ve satıcılara basitleştirilmiş, biyometrik girişin kullanıcı faydasını açıkça iletirken, Token Kimlik Doğrulama Hizmeti ise sistemi entegre eden geliştiriciler ve iş ortakları için ilgili teknik uygulama ayrıntılarıyla rezonans kuruyor.

Bu blog yazısı, Mastercard'ın yaklaşımını analiz ediyor ve Ödeme Passkey'lerinin teknolojisini, kullanıcı deneyimini, faydalarını ve sektör üzerindeki etkilerini inceliyor.

Passkeys'in finansal hizmetler sektörüne entegrasyonu, daha güvenli ve kullanıcı dostu kimlik doğrulamaya yönelik bir değişimi ifade ediyor.

Bunun arkasındaki itici güç, tüketici beklentileridir. Mastercard'ın önceki açıklamalarında belirttiği gibi, tüketiciler şifrelerden nefret ediyor:

• 10 tüketiciden 7'si, yönetmeleri gereken şifre sayısından bunalmış hissediyor
• Onaylanmış veri ihlallerinin %80'inden fazlası şifreler yüzünden gerçekleşti.

Mastercard, OTP'ler de dahil olmak üzere paylaşılan her sırrın siber suçlular için bir hedef haline geldiğini kabul etti. Bu yüzden Mastercard, şifreyi kişiye dayalı faktörlerle değiştirmek istiyor. Passkeys, cihaz biyometrisinden (ör. Face ID, Touch ID) yararlanarak bu ihtiyacı etkili bir şekilde karşılıyor.

Ek olarak, passkeys oltalama (phishing) riskleri gibi şifrelerle ilişkili geleneksel güvenlik sorunlarını ortadan kaldırır. Şifreleri, kullanımı basit ancak kötüye kullanılması zor olan kriptografik anahtarlarla değiştirerek, passkeys hem güvenliği artırmayı hem de kullanıcı etkileşimlerini kolaylaştırmayı amaçlayan finansal kurumlar için ilgi çekici bir çözüm sunar.

Passkeys'in güvenlik modeli, PSD2 kapsamındaki Güçlü Müşteri Kimlik Doğrulaması (SCA) gibi finansal düzenlemelerin katı gereklilikleriyle uyumludur. SCA, çoğu elektronik ödeme ve hesap erişimi için çok faktörlü kimlik doğrulaması gerektirir ve üç kategoriden en az iki bağımsız unsur kullanılarak doğrulama yapılmasını zorunlu kılar:

• Bilgi (kullanıcının bildiği bir şey)
• Sahiplik (kullanıcının sahip olduğu bir şey)
• Biyometrik (kullanıcının olduğu bir şey)

Passkeys bu gereksinimleri doğal olarak karşılar: cihazda saklanan güvenli özel anahtar 'Sahiplik' faktörünü temsil ederken, kilidi açmak için kullanılan biyometrik veri 'Biyometrik' faktörünü temsil eder. Cihaz PIN'i kullanılırsa, 'Bilgi' faktörünü karşılayabilir. Ancak, sektörde senkronize edilmiş passkeys'in cihaz bağlamayla ilgili ek bir güvence sağlaması gerekip gerekmediği konusunda devam eden bir tartışma var.

Ayrıca, ödeme düzenlemeleri genellikle dinamik bağlama gerektirir; bu, kimlik doğrulama sürecinin belirli işlem tutarını ve alıcıyı kullanıcının onayına kriptografik olarak bağlamasını sağlar. Passkey uygulamaları, özellikle EMV 3DS gibi protokollerle entegre edildiğinde veya Güvenli Ödeme Onayı (SPC) gibi uzantılar kullanıldığında, bu işlem ayrıntılarını kriptografik imzaya dahil ederek bu kritik gereksinimi karşılayacak şekilde tasarlanmıştır.

Mastercard'ın Ödeme Passkey'lerini sunması münferit bir olay değil, ödeme güvenliğini ilerletme ve şifresiz kimlik doğrulama standartlarını benimseme konusundaki uzun vadeli stratejik taahhüdünün bir sonucudur.

Mastercard, passkeys ve WebAuthn'in arkasındaki itici güç olan FIDO Alliance'ın ilk üyelerinden biridir ve 2012 yılında bu birliğe katılmıştır.

Geçmişte Mastercard, passkey yönündeki ilk adım olan Mastercard Biyometrik Kimlik Doğrulama Hizmeti'ni zaten başlatmıştı. Bu hizmet, FIDO standartlarına uygun olarak tasarlanmıştı.

Eylül 2023'te Mastercard, passkeys ve Güvenli Ödeme Onayı (SPC) hakkında bir güncelleme sağladı. Bu güncellemede Mastercard, standart passkey ve SPC passkey potansiyel süreçleri hakkındaki görüşlerini paylaştı. Mockup'lar (aşağıda göreceğiniz gibi) oldukça detaylı bir seviyedeydi.

Mastercard, Ağustos 2024'te Ödeme Passkey Hizmeti'ni Hindistan'da başlattı. Bu pazar, yüksek dijital ödeme hacmi ve önemli mobil benimseme ile karakterize ediliyor. Bu ilk lansman, özellikle OTP tabanlı dolandırıcılığın bilinen bir endişe olduğu bir ortamda, ölçeklenebilirlik ve etkinlik için büyük ölçekli bir test alanı olarak hizmet etmiş olabilir.

Hindistan lansmanının ardından Mastercard, hizmeti Asya Pasifik (başlangıçta Singapur), Latin Amerika (Brezilya ile başlayarak) ve Orta Doğu ve Afrika (MEA) (Birleşik Arap Emirlikleri ile başlayarak) gibi diğer kilit bölgelere genişletti. Bu bölge bazlı yaklaşım, Mastercard'ın uygulamasını ve ortaklıklarını yerel pazar dinamiklerine ve yasal düzenlemelere göre uyarlamasına olanak tanıyor.

Bu stratejinin kritik bir unsuru, ortaklıklara verilen önemdir. Her lansman bölgesinde Mastercard, ödeme toplayıcıları da dahil olmak üzere kilit yerel oyuncularla yakın işbirliği yaptı:

• Ödeme Toplayıcıları:
  • Hindistan: Juspay, Razorpay veya PayU
  • Latin Amerika: Yuno
  • MEA: noon Payments, Tap Payments
• Online satıcılar:
  • Hindistan: bigbasket
  • Latin Amerika: Sympla
• Lider bankalar: (örneğin
  • Hindistan: Axis Bank
  • Singapur: DBS veya UOB

Bu ortaklıklar, Ödeme Passkey hizmetini mevcut ödeme ekosistemlerine entegre etmek, yerel düzenlemelerle başa çıkmak ve geniş bir tüketici tabanına ulaşmak için gereklidir. Bu, yukarıdan aşağıya, tek tip bir yaklaşım yerine esnek, işbirlikçi bir modeli göstermektedir.

Haziran 2025 itibarıyla Mastercard, Avrupa genelinde güvenli ödeme stratejisini önemli ölçüde ilerletti. Şirket, tokenizasyonun yaygın olarak benimsenmesiyle büyük bir ilerleme kaydetti ve Avrupa'daki e-ticaret işlemlerinin neredeyse %50'si artık bu teknolojiyi kullanıyor. Tokenizasyon, hassas ödeme kartı numaralarını güvenli dijital token'larla değiştirerek müşteri ödeme bilgilerinin açığa çıkmasını azaltır ve güvenliği önemli ölçüde artırır.

Aynı zamanda Mastercard, Dintero, Netopia ve Solidgate gibi önemli erken ortaklıklarla ödeme passkey'lerini kullanıma sunmaya başladı. Ödeme passkey'leri tokenizasyona kıyasla henüz erken aşamalarda olsa da, kullanıma sunulmaları Mastercard'ın şifresiz, sorunsuz e-ticaret vizyonuyla uyumludur.

Avrupa'daki Önemli Başarılar:

• Tokenizasyonun benimsenmesi: Avrupa'daki e-ticaretin neredeyse yarısı artık tokenizasyon ile güvence altına alınıyor.
• Geniş kapsama alanı:
  • Tokenizasyon 45 Avrupa ülkesinde kullanıma sunuldu.
  • Click to Pay (şifresiz ödeme) 26 pazarda aktif ve kayıtlar bir yıl içinde ikiye katlandı.
• Erken passkey uygulaması: Ödeme passkey'leri seçkin Avrupalı ödeme sağlayıcılarıyla başlatıldı.

Bu gelişmeler, Mastercard'ın ikili stratejisini vurguluyor: bugün tokenizasyonun güçlü bir şekilde genişletilmesi, ödeme passkey'lerinin stratejik, ileriye dönük benimsenmesiyle tamamlanıyor.

Mastercard Ödeme Passkey'leri, Mastercard Token Kimlik Doğrulama Hizmeti (TAS) tarafından sağlanır. TAS, satıcıların ve dijital cüzdanların tüketicilere, geleneksel şifreler veya OTP'ler yerine Mastercard passkey'lerine bağlı biyometrik verileri kullanarak online işlemlerini doğrulama olanağı sunmasını sağlayan temel altyapıdır. Bu hizmet tek başına çalışmaz. Diğer temel Mastercard teknolojileriyle, özellikle tokenizasyon ve potansiyel olarak EMV 3DS çerçevesiyle derinlemesine entegre olup, tüm bunları yaparken küresel standartlara uyar.

Hizmetin önemli bir yönü, genellikle MDES (Mastercard Digital Enablement Service) olarak adlandırılan Mastercard'ın Tokenizasyon Hizmeti ile entegrasyonudur. Tokenizasyon, tüketicinin gerçek 16 haneli Birincil Hesap Numarası'nı (PAN) benzersiz bir dijital tanımlayıcı veya "token" ile değiştiren kritik bir güvenlik önlemidir. Bu token, belirli bir cihaza, satıcıya veya işlem bağlamına özgüdür. Bir işlem gerçekleştiğinde, yalnızca token iletilir, bu da satıcının gerçek PAN'ı asla saklaması veya işlemesi gerekmediği anlamına gelir ve veri ihlalleriyle ilişkili riski önemli ölçüde azaltır. Mastercard Ödeme Passkey'leri daha sonra, meşru kullanıcının bu token'laştırılmış kimlik bilgisini belirli bir işlem için kullanma niyetini doğrulamak için bir mekanizma olarak hizmet eder.

Kimlik doğrulamanın kendisi, kullanıcının cihazında saklanan ve cihaz biyometrisi (parmak izi, yüz taraması) veya cihaz PIN'i/şifresi ile kilidi açılan passkey'den yararlanır. Passkey'in kilidini açmak için kullanılan biyometrik verilerin kullanıcının cihazında güvenli bir şekilde kaldığını ve Mastercard, satıcı veya başka herhangi bir üçüncü tarafla asla paylaşılmadığını anlamak önemlidir. Passkey mekanizması, kriptografik imza sürecinin devam etmesine izin vermeden önce başarılı yerel kimlik doğrulamasını (ör. Face ID, Touch ID) basitçe onaylar.

Spesifik uygulama detayları değişmekle birlikte, Ödeme Passkey'leri muhtemelen kartın fiziki olarak bulunmadığı (CNP) işlemleri güvence altına almak için endüstri standardı olan EMV 3-D Secure (3DS) çerçevesi içinde veya yanında çalışır. EMV 3DS, satıcı ile kart ihraççısı arasında zengin işlem verilerinin alışverişini kolaylaştırarak, ihraççının risk değerlendirmesi yapmasına olanak tanır. İşlem yüksek riskli kabul edilirse, ihraççı kullanıcıya ek kimlik doğrulama (SCA) yapması için "meydan okuyabilir". Mastercard Ödeme Passkey'leri, bu SCA meydan okumasını yerine getirmek için OTP'ler gibi geleneksel yöntemlere kıyasla güvenli ve potansiyel olarak çok daha sorunsuz bir yöntem sunar. Mastercard'ın Identity Check Express ve Satıcılar için Yetkilendirilmiş Kimlik Doğrulama gibi ilgili hizmetleri, EMV 3DS akışı içinde FIDO / WebAuthn yeteneklerinden açıkça yararlanır ve satıcıların (ihraççı izniyle) bu modern yöntemleri kullanarak ihraççının adına kimlik doğrulama yapmasına olanak tanır.

Passkeys ve tokenizasyon arasındaki sinerji, çok katmanlı bir güvenlik mimarisi oluşturur. Passkeys, kullanıcı kimlik doğrulama adımını güvence altına alarak yetkisiz kişilerin işlem başlatmasını önler. Tokenizasyon, temel ödeme kimlik bilgilerini koruyarak, veri ihlallerinde potansiyel olarak açığa çıkabilecek verilerin değerini en aza indirir. Bu birleşik yaklaşım, dolandırıcılığı birden çok açıdan ele alarak tüm işlem sürecini önemli ölçüde daha dayanıklı hale getirir. Ayrıca, passkey kimlik doğrulamasını yerleşik EMV 3DS altyapısına entegre etmek, benimsemeyi kolaylaştıran pragmatik bir yaklaşımdır. İhraççıların ve acquirer'ların, tamamen ayrı kimlik doğrulama sistemleri dağıtmak yerine, 3DS teknolojisine yaptıkları mevcut yatırımlardan yararlanarak güvenliği ve kullanıcı deneyimini artırmalarına olanak tanır.

Mastercard Ödeme Passkey'lerinin temel hedeflerinden biri, şifreler ve OTP'lerle ilişkili sürtünmeyi ortadan kaldırarak online ödeme deneyiminde devrim yaratmak, onu daha hızlı, daha basit ve daha güvenli hale getirmektir. Kullanıcı yolculuğu, hem passkey'in ilk oluşturulmasını hem de ödemeleri doğrulamak için sonraki kullanımını kapsar.

Kullanıcılardan, Mastercard hizmetleriyle etkileşimlerinin çeşitli noktalarında bir Mastercard Ödeme Passkey'i oluşturmaları istenebilir. Yaygın senaryolar şunları içerir:

• Ödeme Sırasında: Genellikle, bir kullanıcının bir işlem için OTP veya başka bir yöntem içeren bir EMV 3DS sınaması gibi geleneksel bir kimlik doğrulama adımını başarıyla tamamladıktan sonra bir passkey oluşturma seçeneği sunulur. Bu bağlamsal katılım, gelecekte daha sorunsuz bir ödeme deneyiminin faydasını vurgulamak için kullanıcının potansiyel olarak daha yüksek sürtünmeli yöntemlerle olan anlık deneyiminden yararlanır.
• İhraççı Uygulamaları İçinde: Mastercard çıkaran bankalar, passkey oluşturma akışını doğrudan mobil bankacılık uygulamalarına entegre ederek kullanıcıların proaktif olarak bir passkey'i kartlarına bağlamalarına olanak tanıyabilir.
• Kart Ekleme Sırasında: Seçenek, bir kullanıcı Mastercard'ını bir dijital cüzdana eklediğinde veya bir satıcıda veya Click to Pay gibi bir hizmette Dosyadaki Kart (CoF) olarak kaydettiğinde de sunulabilir.

Ödeme sırasında passkey oluşturma örneğini kısaca analiz edelim.

"Öde" düğmesine tıkladıktan sonra, kullanıcı örnek mağazadan (https://decorshop.com) Mastercard tarafından barındırılan bir web sayfasına (https://verify.mastercard.com) yönlendirilir. Bu site, EMV 3DS kimlik doğrulama sürecinin bir parçasıdır.

Bu süreç başarıyla tamamlandıktan sonra, kullanıcının bir passkey oluşturma seçeneği vardır. Bu passkey'in Mastercard'ın Güvenen Taraf Kimliği (Relying Party ID) için (ör. verify.mastercard.com veya mastercard.com) oluşturulacağını unutmayın. Yani, passkey kullanıcının para transfer etmek istediği satıcıya kaydedilmez. Bu, aynı passkey'in sadece bu belirli satıcıda değil, Mastercard'ın Ödeme Passkey hizmetini kullanan herhangi bir satıcıda kullanılmasını sağlar.

https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf adresinden alınmıştır

Bir passkey oluşturmaya karar verdikten sonra, yerel kimlik doğrulama (burada passkey'i Google Şifre Yöneticisi'nde saklayan bir Android akıllı telefon) gerçekleştirilir. Passkey oluşturma işlemi bittikten sonra, kullanıcı Mastercard'ın web sitesinden mağazaya geri yönlendirilir.

https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf adresinden alınmıştır

Bir kullanıcının kart kimlik bilgisiyle ilişkili bir Mastercard Ödeme Passkey'i olduğunda, katılımcı satıcılardaki ödeme süreci önemli ölçüde kolaylaşır:

1. Kart Seçimi: Kullanıcı ödemeyi başlatır ve Mastercard'ını seçer. Bu, Mastercard'ın Click to Pay hizmeti aracılığıyla güvenli bir şekilde saklanan bir kart, doğrudan satıcıda kaydedilmiş (Güvenli Dosyadaki Kart - SCOF) veya hatta misafir ödeme akışı sırasında girilen bir kart olabilir.
2. Kimlik Doğrulama İsteği: Kullanıcıdan bir şifre, CVV veya OTP istenmek yerine, Mastercard Ödeme Passkey'ini kullanarak kimlik doğrulaması yapması istenir. Tam akış değişebilir:
   • Standart Passkey Akışı: Kullanıcı, Mastercard kontrolündeki bir alana (ör. verify.mastercard.com) kısa ve sorunsuz bir yönlendirme yaşayabilir. Burada, standart WebAuthn istemi görünür ve kullanıcıdan cihazının biyometrik sensörünü veya PIN'ini kullanarak işlemi onaylamasını ister. Başarılı yerel kimlik doğrulamasının ardından, satın alma işlemini tamamlamak için satıcı sitesine geri yönlendirilirler. Bu akış, kullanıcının doğrudan Mastercard ile kimlik doğruladığı birinci taraf bağlamında gerçekleşir.
   • Güvenli Ödeme Onayı (SPC) Akışı (Potansiyel): Alternatif, potansiyel olarak daha sorunsuz bir akış SPC içerir. Bu senaryoda, kullanıcı satıcının web sitesinde kalır. Tarayıcıya özgü bir açılır pencere belirir, önemli işlem ayrıntılarını (satıcı adı, tutar, kısmi kart bilgisi) gösterir ve doğrudan passkey kimlik doğrulaması ister. Bu, yönlendirmeyi tamamen ortadan kaldırır ve işlem ayrıntılarını kimlik doğrulama isteğine gömerek güçlü dinamik bağlama sağlar. SPC passkey'lerinin hala bir konsept aşamasında olduğunu ve genel kullanıma ulaşıp ulaşmayacağının (esas olarak Apple'ın onay vermemesi nedeniyle) kesin olmadığını lütfen unutmayın. Bu akış, satıcının muhtemelen EMV 3DS aracılığıyla paylaşılan kimlik bilgilerini kullanarak Mastercard passkey için kimlik doğrulamasını başlattığı üçüncü taraf bir bağlamda çalışır.

https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf adresinden alınmıştır

Mastercard Ödeme Passkey'leri ve Click to Pay arasındaki sinerji özellikle dikkat çekicidir. Click to Pay, tüketicilerin token'laştırılmış kart bilgilerini katılımcı satıcılarda daha kolay online ödeme için saklamaları için standartlaştırılmış, güvenli bir yol sağlar. Ödeme Passkey'leri, bu saklanan Click to Pay kimlik bilgilerine erişmek ve bunları kullanmak için modern, biyometrik kimlik doğrulama katmanı olarak hizmet eder. Bu kombinasyon, hem manuel kart girişini hem de şifre/OTP zorluklarını ortadan kaldırarak gerçek bir "tek tıkla" ödeme deneyimi elde etmenin anahtarıdır. Mastercard ve Tap Payments tarafından entegre bir Click to Pay ile Ödeme Passkey hizmetinin küresel ilk lansmanı bu stratejik yönü vurgulamaktadır. Bu, mevcut Click to Pay altyapısından ve satıcı ağından yararlanarak, Ödeme Passkey'lerinin benimsenmesi için güçlü bir ölçeklendirme mekanizması sağlar.

aşağıdaki tablo, potansiyel kimlik doğrulama akışlarının temel özelliklerini özetlemektedir:

Satıcılar için, Mastercard'ın Ödeme Passkey Hizmeti / Token Kimlik Doğrulama Hizmeti'ni benimsemek şu anlama gelir:

• Azaltılmış Dolandırıcılık ve Ters İbrazlar: Bu, tartışmasız en önemli faydadır. Kimlik doğrulamayı, oltalama (phishing) saldırılarına dayanıklı passkeys aracılığıyla doğrudan kullanıcının benzersiz biyometrisine veya cihaz PIN'ine bağlayarak, yetkisiz işlem riski hızla düşer. Altta yatan tokenizasyon kullanımı, kart verilerini daha da korur. Bu daha güçlü kimlik doğrulama, EMV 3DS'in benimsenmesiyle görülen faydalara benzer şekilde, belirli dolandırıcılık türleri için sorumluluk kaymalarına da yol açabilir. noon Payments'ı içeren vaka çalışmaları gibi örnekler, Ödeme Passkey'leri ve Click to Pay'i uyguladıktan sonra dolandırıcılık olaylarında açıkça bir azalma olduğunu bildirmektedir.
• Artan Onay ve Dönüşüm Oranları: Ödeme sürecindeki sürtünme, sepet terk etmenin önemli bir nedenidir. Şifre hatırlama veya OTP girme ihtiyacını ortadan kaldırmak, ödeme akışını pürüzsüzleştirir ve daha yüksek tamamlama oranlarına yol açar. Ayrıca, passkeys tarafından sağlanan güçlü kimlik doğrulama sinyali, kartı veren bankalara işlemleri onaylama konusunda daha fazla güven verir ve maliyetli yanlış ret olasılığını azaltır. Daha yüksek onay oranları, doğrudan artan satış ve gelire dönüşür. Yuno gibi ortaklar, passkeys'in daha yüksek dönüşüm oranları sağladığını belirtmiştir.
• İyileştirilmiş Müşteri Deneyimi ve Marka İmajı: Son teknoloji, güvenli ve zahmetsiz bir ödeme süreci sunmak, müşteri memnuniyetini artırır ve satıcının markasına olan güveni pekiştirir. Ödeme yapmak için kanıtlanabilir şekilde daha güvenli bir yol sağlamak, rekabetçi bir farklılaştırıcı olabilir.

Tüketiciler için bu hizmet şunları sağlar:

• Sorunsuz ve Daha Hızlı Ödeme: En acil fayda, zahmetin ortadan kalkmasıdır. Kullanıcıların artık karmaşık şifreleri hatırlamasına veya OTP'leri bekleyip manuel olarak girmesine gerek yoktur. Kimlik doğrulama, telefonlarının kilidini açmak için kullandıkları aynı tanıdık biyometrik verilerle (ör. Face ID, Touch ID) hızlı bir şekilde gerçekleşir. Katılımcı satıcılar arasında "bir kez kaydol, her yerde kullan" doğası, önemli bir kolaylık sağlar.
• Gelişmiş Güvenlik ve İç Huzuru: Ödeme Passkey'leri, şifrelerden veya OTP'lerden temel olarak daha güçlü bir güvenlik sunar. Oltalama (phishing) ve birçok online dolandırıcılık türüne karşı dayanıklıdırlar. İşlemlerin biyometrik verilerle korunduğunu bilmek, tüketicilere online alışveriş yaparken daha fazla güven ve iç huzuru sağlar.
• Gizlilik Koruması: Biyometrik veriler cihazda kaldığı ve tokenizasyon gerçek kart numarasını koruduğu için, işlem sırasında daha az hassas bilgi iletilir.

Aşağıdaki tablo, her paydaş grubu için değer önerisini özetlemektedir:

Mastercard Ödeme Passkey'lerinin faydalarından yararlanmak isteyen satıcılar ve geliştiriciler için entegrasyon, Mastercard Token Kimlik Doğrulama Hizmeti (TAS) aracılığıyla gerçekleşir. TAS, Mastercard'ın mevcut tokenizasyon ve ödeme çözümleriyle, özellikle Click to Pay ve Güvenli Dosyadaki Kart (SCOF) ile birlikte çalışacak şekilde tasarlanmıştır. Esasen TAS, bu hizmetler aracılığıyla zaten token'laştırılmış ve saklanmış kimlik bilgilerini kullanan işlemler için gelişmiş biyometrik kimlik doğrulama katmanını sağlar.

Passkey kimlik doğrulamasını Click to Pay ve SCOF gibi yerleşik hizmetlere entegre etme yaklaşımı, satıcılar için kesintiyi en aza indirmeyi amaçlamaktadır. Tamamen yeni bir entegrasyon yolu gerektirmek yerine, bu Mastercard çözümlerini zaten kullanan işletmeler, mevcut altyapılarından yararlanarak passkey desteği eklemenin daha akıcı bir süreç olduğunu görebilirler.

Mastercard, Mastercard Geliştiriciler portalı (developer.mastercard.com) aracılığıyla entegrasyon için kaynaklar sağlar. Bu kaynaklar, TAS işlevlerinin uygulanmasını kolaylaştırmak için tasarlanmış SDK'ları ve API'leri içerir. Ayrıntılı teknik özellikler portala erişim gerektirse de, dokümantasyon parçacıkları, ödeme bağlamında passkey yönetimiyle ilgili belirli kullanım durumlarını ve API çağrılarını ortaya koymaktadır; örneğin "Kimlik ve Doğrulama (ID&V) Sonrası Passkey Oluştur", "İşlem Kimlik Doğrulaması Sonrası Passkey Oluştur" ve "İşlem Kimlik Doğrulaması için Passkey Kullan". Bu tanımlanmış işlevlerin varlığı, geliştiriciler için yapılandırılmış ve olgun bir entegrasyon çerçevesinin mevcut olduğunu göstermektedir.

Konsepti açıklayan resmi bir video da mevcuttur:

Mastercard Ödeme Passkey'lerini uygulamakla ilgilenen satıcılar ve geliştiriciler, seçtikleri platform (ör. Click to Pay, SCOF) ve teknik ortama uygun ayrıntılı dokümantasyon, SDK'lar, API'ler ve özel entegrasyon kılavuzları için Mastercard Geliştiriciler portalına başvurmalıdır.

Mastercard'ın Ödeme Passkey Hizmeti'ni başlatması, büyük bir ödeme ağının şifrelerin ve OTP'lerin ötesine geçerek daha güvenli ve kullanıcı dostu biyometrik kimlik doğrulamasına yönelme konusundaki net taahhüdünü gösteren önemli bir gelişmedir. Bu, Mastercard'ın Avrupa gibi bölgelerde 2030 yılına kadar manuel kart girişini tamamen ortadan kaldırmayı ve bunun yerine tokenizasyon ve passkeys gibi sorunsuz kimlik doğrulama yöntemlerine güvenmeyi içeren daha geniş e-ticaret vizyonuyla uyumludur.

Mastercard bu çabada yalnız değil. Visa, kendi benzer isimli Visa Ödeme Passkey Hizmeti'ni başlattı. Mastercard'ın sunduğu gibi, Visa'nın hizmeti de FIDO standartları üzerine inşa edilmiştir, cihaz biyometrisini kullanır, şifreleri/OTP'leri değiştirmeyi hedefler, tokenizasyon ve Click to Pay ile entegre olur ve gelişmiş güvenlik (dolandırıcılığın azaltılması) ve iyileştirilmiş kullanıcı deneyiminin ikili faydalarını vurgular. Visa, SMS OTP'lere kıyasla dolandırıcılık oranlarında %50'ye varan potansiyel düşüşleri vurgular ve FIDO için geniş işletim sistemi ve tarayıcı desteğini not eder. Visa'nın materyallerinde bahsedilen potansiyel bir ayrım, Visa'nın temel FIDO kimlik doğrulama karmaşıklığını yönettiği "Visa tarafından yönetilen kimlik doğrulama desteği" veya "federal model" kavramıdır; bu, satıcılar ve ihraççılar için entegrasyonu potansiyel olarak basitleştirir. İki en büyük kart ağı tarafından benimsenen paralel stratejiler ve hatta benzer isimlendirme kuralları, online ödemelerin doğrulanması için gelecekteki standart olarak FIDO passkeys etrafında sektör çapında bir yakınlaşmayı güçlü bir şekilde göstermektedir. Bu koordineli hamle, birlikte çalışabilirliği teşvik ederek ve parçalanmayı azaltarak tüm ekosisteme fayda sağlar.

American Express de modern kimlik doğrulama teknolojilerini aktif olarak bünyesine katmaktadır. Visa ve Mastercard gibi ayrı bir "Ödeme Passkey Hizmeti" markası başlatmamış olsalar da (Mayıs 2025 itibarıyla), FIDO/WebAuthn tabanlı biyometrik yetenekleri (yüz ve parmak izi tanıma) doğrudan mevcut SafeKey platformlarına entegre etmişlerdir. SafeKey'in kendisi EMV 3-D Secure standardı üzerine kurulmuştur. Aynı zamanda bir FIDO Alliance yönetim kurulu üyesi olan American Express, böylece aynı temel şifresiz teknolojiden yararlanıyor ancak bunu yerleşik güvenlik çerçevesine gömüyor. Bu, SafeKey'in tanınırlığından yararlanan farklı bir markalaşma stratejisini veya potansiyel olarak ağ modellerinden kaynaklanan mimari farklılıkları yansıtabilir. Bununla birlikte, yön tutarlıdır: daha güçlü, daha sorunsuz online kimlik doğrulama için cihaz içi biyometrik verilerden ve FIDO standartlarından yararlanmak.

Mastercard Ödeme Passkey Hizmeti'nin sunulması, online ödeme güvenliği ve kullanıcı deneyiminin evriminde bir dönüm noktasını temsil ediyor. FIDO passkey standartlarını benimseyerek ve bunları tokenizasyon ve Click to Pay gibi mevcut ödeme çözümleriyle sıkı bir şekilde entegre ederek Mastercard, geleneksel şifre ve OTP tabanlı kimlik doğrulamanın kritik eksikliklerini gideriyor.

Bu girişim, ödemeler ekosistemi genelinde önemli faydalar sunuyor. Satıcılar için, dolandırıcılık kayıplarında ve ters ibrazlarda önemli bir azalma, daha yüksek işlem onay oranları ve sürtünmesiz bir ödeme süreci sayesinde iyileştirilmiş dönüşüm vaat ediyor. Tüketiciler için ise, şifre yönetme veya OTP'lerle uğraşma ihtiyacını ortadan kaldırırken, tanıdık cihaz biyometrisinden yararlanarak online ödeme yapmanın daha hızlı, daha kolay ve kanıtlanabilir şekilde daha güvenli bir yolunu sunuyor.

Teknolojik temeller - oltalama saldırılarına dayanıklı kimlik doğrulamayı tokenizasyonun veri minimizasyonu ile birleştirmek ve tüm bunları yerleşik EMVCo standartları çerçevesinde yapmak - dolandırıcılığa karşı güçlü, katmanlı bir savunma oluşturur. Mastercard'ın stratejik, ortaklık odaklı küresel lansmanı, bu teknolojinin arkasındaki önemi ve uzun vadeli taahhüdü daha da pekiştiriyor.

Visa kendi Ödeme Passkey Hizmeti ile paralel bir yol izlerken ve American Express benzer biyometrik yetenekleri SafeKey'e entegre ederken, yön açıktır: passkeys hızla dijital ödemeleri güvence altına almak için yeni standart haline geliyor.