Ödeme Passkey Ortamı: 4 Temel Entegrasyon Modeli

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

Küresel ödemeler ortamı kritik bir dönüm noktasında. Sektör, on yıllardır güvenlik ve kullanıcı kolaylığı arasındaki doğal gerilimle boğuşuyor. Bu zorluk, en çok dijital, Kartın Fiziksel Olarak Bulunmadığı (CNP) ortamlarda hissediliyor. Gelişmiş dolandırıcılık türlerinin artması daha güçlü kimlik doğrulama önlemlerini zorunlu kılarken, tüketici beklentileri de giderek daha sorunsuz ödeme deneyimleri talep ediyor. Bu rapor, passkey teknolojisi için stratejik entegrasyon noktalarını belirlemeye odaklanarak, gelişen bu ekosistemin kapsamlı bir analizini sunmaktadır. Şifresiz bir geleceğe geçiş sürecinde yol almak isteyen teknoloji sağlayıcıları, ödeme hizmeti sağlayıcıları, finansal kurumlar ve merchant'lar için eksiksiz bir rehber olarak tasarlanmıştır.

Ödemeler ortamı, Güçlü Müşteri Kimlik Doğrulaması (SCA) gibi daha güçlü güvenlik ihtiyacı ve sorunsuz kullanıcı deneyimlerine yönelik ticari talep nedeniyle temel bir değişim geçiriyor. Phishing saldırılarına dayanıklı passkey'ler, bu gerilimi çözmek için kilit teknoloji olarak ortaya çıktı. Analizimiz, sektörün passkey entegrasyonu için dört farklı mimari model etrafında birleştiğini gösteriyor ve her biri ödeme kimlik doğrulamasının geleceği için rakip bir vizyonu temsil ediyor:

1. İhraççı Merkezli Model (ör. SPC aracılığıyla): Teknik olarak zarif olsa da, bu model başta Apple olmak üzere kritik bir tarayıcı desteği eksikliği nedeniyle engelleniyor ve bu da onu yakın gelecek için pratik olmayan bir çözüm haline getiriyor.
2. Merchant Merkezli Model (Delegated Authentication): Bu güçlü model, büyük merchant'ların doğrudan müşteri ilişkilerinden yararlanarak kimlik doğrulamayı daha erken bir aşamaya taşımasına ve sorunsuz bir ödeme deneyimi yaratmasına olanak tanır, ancak önemli bir sorumluluk getirir ve doğrudan ihraççı güveni gerektirir.
3. Ağ Merkezli Model (Click to Pay): Visa ve Mastercard gibi kart ağlarının, tüketiciler için taşınabilir, ağ düzeyinde bir passkey sunarak misafir ödeme deneyimini sahiplenmeye yönelik önemli bir stratejik hamlesidir.
4. PSP Merkezli Model (Cüzdanlar): PayPal gibi büyük Ödeme Hizmeti Sağlayıcılarının, geniş ve yerleşik cüzdan ekosistemleri içindeki deneyimi güvence altına almak ve kolaylaştırmak için passkey'leri kullandığı baskın bir modeldir.

Her model, temel stratejik soruya farklı bir yanıt sunar: "Ödemeler için birincil Relying Party kim olacak?". Bu rapor, bu rakip mimarileri inceleyerek, ödeme kimlik doğrulamasının geleceğinde yol almak için net bir yol haritası sağlamak amacıyla ekosistemdeki oyuncularla eşleştiriyor.

Passkey'lerin nereye ve nasıl entegre edilebileceğini anlamak için öncelikle ödeme ekosistemindeki oyuncuların ve rollerinin net ve ayrıntılı bir haritasını çıkarmak gerekir. Tek bir çevrimiçi işlemin akışı, her biri veri ve fon hareketinde belirli bir işlevi yerine getiren birden fazla kuruluş arasında karmaşık bir etkileşimi içerir.

Her işlemin merkezinde, ödeme değer zincirinin temelini oluşturan beş temel katılımcı bulunur.

1. Müşteri / Kart Sahibi:

   • Açıklama: Bir satın alma işlemini başlatan kişi veya kuruluş. Kart sahibi, bir ihraççı bankadan bir ödeme kartı (kredi veya banka kartı) alır ve yapılan harcamaları geri ödemekten sorumludur.
   • Hedef: Hızlı, basit ve güvenli bir ödeme deneyimi.
   • Örnekler: Banka hesabı ve/veya ödeme kartı olan herhangi bir birey.

2. Merchant:

   • Açıklama: Mal veya hizmet satan ve elektronik ödemeleri kabul eden işletme. Bunu yapabilmek için merchant, kart ödemelerini kabul etmek ve işlemek üzere genellikle bir edinen banka veya ödeme hizmeti sağlayıcısı (PSP) tarafından sağlanan gerekli altyapıya sahip olmalıdır.
   • Hedef: Ödeme sırasındaki pürüzleri en aza indirerek ve dolandırıcılığı azaltarak satış dönüşümünü en üst düzeye çıkarmak.
   • Örnekler: Bir e-ticaret web sitesi, bir perakende mağazası, bir abonelik hizmeti.

3. İhraççı Banka (Issuer):

   • Açıklama: Kart sahibinin bankası veya finansal kurumu. İhraççı, müşteriye ödeme kartını sağlar, ilgili kredi riskini üstlenir ve nihayetinde kart sahibinin hesap durumuna ve bir risk değerlendirmesine dayanarak bir işlemi onaylamaktan veya reddetmekten sorumludur.
   • Hedef: Yetkilendirme talebini almak ve kart ağları aracılığıyla bir yanıt kodu geri göndermek.
   • Örnekler: Bank of America, Chase, Barclays.

4. Edinen Banka (Acquirer):

   • Açıklama: Merchant'ın bankası, aynı zamanda merchant bankası olarak da bilinir. Acquirer, merchant'ın hesabını tutar ve merchant adına kart işlemlerinin işlenmesini kolaylaştırır.
   • Hedef: Ödeme ayrıntılarını merchant'tan almak, bunları kart ağı üzerinden ihraççıya yönlendirmek ve onay üzerine fonları merchant'ın hesabına yatırmak.
   • Örnekler: Wells Fargo Merchant Services, Worldpay (from FIS).

5. Kart Ağları (Schemes):

   • Açıklama: Diğer tüm katılımcıları birbirine bağlayan teknolojik omurga. Visa, Mastercard, American Express ve Discover gibi şirketler bu geniş ağları işletir. Kart ihraç etmezler veya merchant hesabı açmazlar, ancak işlemleri yöneten kritik altyapıyı, kuralları ve standartları sağlarlar.
   • Hedef: Yetkilendirme taleplerinin yönlendirilmesini ve ihraççılar ile acquirer'lar arasında fonların takasını ve mutabakatını kolaylaştırmak.
   • Örnekler: Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Temel katılımcılar arasında, genellikle birbiriyle örtüşen karmaşık bir teknoloji ve hizmet sağlayıcıları ekosistemi bulunur. Bu aracılar arasındaki ayrımları anlamak çok önemlidir, çünkü bunlar genellikle passkey'ler gibi yeni teknolojiler için birincil entegrasyon noktalarıdır. Modern sağlayıcılar daha kapsamlı, "hepsi bir arada" çözümler sunmaya çalıştıkça, bu roller arasındaki çizgiler son yıllarda önemli ölçüde bulanıklaşmıştır.

1. Payment Gateway:

   • Açıklama: Bir payment gateway, bir işlem için güvenli dijital portal görevi gören teknolojidir. Birincil rolü, müşterinin hassas ödeme ayrıntılarını merchant'ın web sitesinden veya satış noktası (POS) sisteminden yakalamak, şifrelemek ve bunları güvenli bir şekilde ödeme işlemcisine veya edinen bankaya iletmektir. İşlemin "ön kapısıdır", verilerin güvenli bir şekilde iletilmesinden sorumludur ancak fonların hareketinden sorumlu değildir.
   • Hedef: Merchant'lara çevrimiçi ödemeleri kabul etmek için güvenli ve güvenilir bir yol sağlamak.
   • Örnekler: Authorize.net (bir Visa çözümü), Braintree, Stripe Payment Gateway.

2. Payment Processor:

   • Açıklama: Bir payment processor, çeşitli taraflar arasındaki işlem mesajlarını yürüten kuruluştur. Güvenli verileri payment gateway'den aldıktan sonra, işlemci, işlemin yetkilendirilmesini ve mutabakatını kolaylaştırmak için kart ağı ve dolayısıyla ihraççı ve edinen bankalarla iletişim kurar. İşlemciyi, ödemenin gerçekleşmesi için gereken teknik iletişimi yürüten operasyonel motor olarak, gateway'i ise bu iletişim için güvenli kanal olarak düşünebiliriz.
   • Hedef: Ödeme mesajlarını güvenilir ve verimli bir şekilde yürütmek, işlem mutabakatını yönetmek ve ihraççı ile edinen bankalar arasındaki anlaşmazlık çözümünü ele almak.
   • Örnekler: First Data (şimdi Fiserv), TSYS, Worldpay.

3. Payment Service Provider (PSP):

   • Açıklama: Bir Payment Service Provider, merchant'lara elektronik ödemeleri kabul etmek için kapsamlı, paketlenmiş bir çözüm sunan bir şirkettir. Modern bir PSP, genellikle bir payment gateway ve bir payment processor işlevlerini birleştirir ve genellikle merchant hesabını da tek bir sözleşme altında sağlar. Bu "hepsi bir arada" model, artık bir gateway sağlayıcısı ve bir edinen banka ile ayrı ilişkiler kurmak zorunda kalmayan merchant'lar için süreci büyük ölçüde basitleştirir. Bazı bağlamlarda, merchant'lar için çeşitli ödeme yöntemlerini bir araya getiren PSP'ler Payment Aggregator olarak da adlandırılır.
   • Hedef: Merchant'lara tüm ödeme ihtiyaçları için tek durak bir çözüm sunmak, karmaşıklığı ortadan kaldırmak ve ödeme kabulünü basitleştirmek.
   • Örnekler: Stripe, Adyen, PayPal, Mollie.

4. Hesaptan Hesaba (A2A) / Açık Bankacılık Sağlayıcıları:

   • Açıklama: Bu, geleneksel kart ağlarını tamamen atlayan, hızla büyüyen bir ödeme sağlayıcıları kategorisidir. A2A ödemeleri, fonları doğrudan bir tüketicinin banka hesabından bir merchant'ın banka hesabına taşır. Bu genellikle, bankaların lisanslı üçüncü taraf sağlayıcılar için müşteri hesap verilerine ve ödeme başlatma hizmetlerine güvenli API erişimi sağlamasını zorunlu kılan "Açık Bankacılık" düzenlemeleri (Avrupa'daki PSD2 gibi) ile mümkün olmaktadır. Bu sağlayıcılar, bu API'lerin üzerine kullanıcı dostu arayüzler oluşturarak tüketicilerin bankalarıyla kimlik doğrulaması yapmasına ve sorunsuz bir akışta bir ödemeyi onaylamasına olanak tanır.
   • Hedef: Bankalar arası işlem ücretlerini ortadan kaldırarak ve banka düzeyinde kimlik doğrulama yoluyla dolandırıcılığı azaltarak kartlı ödemelere daha düşük maliyetli, son derece güvenli bir alternatif sunmak.
   • Örnekler: Trustly, Plaid, Tink, GoCardless, Fintecture.

Bu rollerin birleşmesinin derin etkileri vardır. Akademik olarak farklı olsalar da, pratikte bir merchant'ın tek temas noktası genellikle temel gateway, işlemci ve acquirer ilişkilerinin karmaşıklığını ortadan kaldıran bir PSP'dir. Ancak, bu PSP'lerin yetenekleri önemli ölçüde değişebilir. Başka bir şirketin gateway hizmetlerinin yalnızca bir satıcısı olan bir PSP, kendi işleme altyapısına ve edinen lisanslarına sahip tam donanımlı bir PSP'den çok farklı teknik yeteneklere ve stratejik çıkarlara sahiptir. Bu ayrım, gelişmiş kimlik doğrulama yöntemleri için entegrasyon fırsatlarını değerlendirirken önemlidir.

Ek olarak, ödeme akışının daha derin bir analizi, yeni kimlik doğrulama teknolojilerinin arkasındaki stratejik motivasyonları açıklığa kavuşturan temel bir kavramı ortaya koymaktadır: Relying Party (RP) rolü. FIDO kimlik doğrulaması ve passkey'ler bağlamında, Relying Party, en nihayetinde bir kullanıcının kimliğini doğrulamaktan sorumlu olan varlıktır. Standart bir ödeme işleminde, dolandırıcılığın finansal riskini ihraççı üstlenir ve bu nedenle varsayılan Relying Party'dir; ödemeyi onaylama veya reddetme kararı onlara aittir.

Passkey entegrasyonu için ortaya çıkan mimari modeller, en iyi şekilde Relying Party olarak kimin hareket edeceği üzerine stratejik bir müzakere olarak anlaşılabilir. Secure Payment Confirmation (SPC) modelinde, ihraççı RP olarak kalır ancak merchant'ın kimlik doğrulama seremonisini başlatmasına izin verir. Delegated Authentication (DA) modelinde, ihraççı RP işlevini açıkça merchant'a veya PSP'sine devreder. Ağ merkezli modelde ise Visa ve Mastercard, misafir ödeme işlemleri için kendilerini bir federasyon tabanlı Relying Party olarak konumlandırır. Bu nedenle, passkey entegrasyonunu düşünen herhangi bir ödeme sağlayıcısı için merkezi soru şu hale gelir:

Cevap, doğrudan entegrasyon fırsatını, kilit karar vericiyi ve temel stratejik hedefi işaret eder.

Bu ilişkilerin net bir görsel temsilini sağlamak için, ödeme yaşam döngüsünü gösteren bir akış şeması esastır. Böyle bir diyagram, iki farklı ancak birbiriyle bağlantılı yolu tasvir edecektir:

1. Veri Akışı (Yetkilendirme): Bu yol, yetkilendirme talebinin yolculuğunu izler. Müşterinin merchant'ın sitesinde ödeme ayrıntılarını göndermesiyle başlar, payment gateway üzerinden işlemciye/acquirer'a akar, ardından kart ağı üzerinden risk kararı için ihraççıya gider ve son olarak onay veya ret yanıtı merchant'a ve müşteriye geri döner. Bu sürecin tamamı saniyeler içinde gerçekleşir.

2. Değer Akışı (Mutabakat): Bu yol, yetkilendirmeden sonra gerçekleşen para hareketini gösterir. Toplu işlemlerin takas edildiğini, fonların ihraççıdan ağ üzerinden acquirer'a (bankalararası komisyon ücretleri düşüldükten sonra) aktığını ve son olarak genellikle birkaç iş günü süren bir süreçle merchant'ın hesabına yatırıldığını gösterir. (Payment processing: How payment processing works | Stripe)

Bu görselleştirme, ekosistemdeki herhangi bir katılımcının konumunu anında belirlemesine ve diğer tüm taraflarla doğrudan ve dolaylı ilişkilerini anlamasına olanak tanır, bu da kimlik doğrulama müdahalelerinin nerede gerçekleşebileceğine dair ayrıntılı bir analiz için zemin hazırlar.

sequenceDiagram
    participant C as Customer
    participant M as Merchant
    participant P as Gateway/Acquirer
    participant N as Card Network
    participant I as Issuer

    C->>M: 1. Submit Payment Details
    M->>P: 2. Securely Transmit Details
    P->>N: 3. Authorization Request
    N->>I: 4. Route to Issuer for Verification
    I-->>N: 5. Approve/Decline Response
    N-->>P: 6. Relay Response
    P-->>M: 7. Relay Response
    M-->>C: 8. Confirm Order or Request New Payment

    M->>P: 9. Submit Batch of Approved Transactions
    P->>N: 10. Clearing Request
    N->>I: 11. Request Funds from Issuer
    I-->>N: 12. Transfer Funds (minus interchange fees)
    N-->>P: 13. Credit Acquirer with Funds
    P-->>M: 14. Deposit Funds to Merchant (minus processing fees)

Ödeme ekosistemi her büyüklükte oyuncu içerse de, işleme ve edinim pazarı bölgeye göre değişen birkaç büyük oyuncu etrafında yoğunlaşmıştır. Küresel devler genellikle güçlü ulusal ve bölgesel şampiyonlarla rekabet eder. Aşağıdaki tablo, farklı coğrafyalardaki kilit oyuncuların bir anlık görüntüsünü sunmaktadır.

Her çevrimiçi satın alma, iki ana aşamaya ayrılabilecek karmaşık, yüksek hızlı bir olaylar dizisini tetikler: yetkilendirme ve mutabakat. Bu sürecin üzerine katmanlanmış olan, modern çevrimiçi ödeme kimlik doğrulamasının zorluklarını anlamak için merkezi olan 3-D Secure olarak bilinen kritik bir güvenlik protokolüdür.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

Tek bir CNP işleminin yaşam döngüsü, neredeyse anlık bir veri alışverişini ve ardından daha yavaş bir fon transferini içerir.

Yetkilendirme, kart sahibinin satın almayı tamamlamak için yeterli fona veya krediye sahip olduğunun ve işlemin meşru olduğunun doğrulanması sürecidir. Bu aşama saniyeler içinde gerçekleşir ve kesin, çok adımlı bir yol izler (Payment processing: How payment processing works | Stripe):

1. İşlem Başlatma: Müşteri ürünlerini seçer, ödeme adımına geçer ve ödeme kartı bilgilerini (kart numarası, son kullanma tarihi, CVV) merchant'ın çevrimiçi ödeme formuna girer.

2. Güvenli İletim: Merchant'ın web sitesi bu bilgiyi güvenli bir şekilde ödeme ağ geçidine (payment gateway) iletir. Ağ geçidi, verileri aktarım sırasında korumak için şifreler.

3. İşlemciye/Acquirer'a Yönlendirme: Ağ geçidi, şifrelenmiş işlem ayrıntılarını ödeme işlemcisine ve/veya merchant'ın edinen bankasına (acquirer) iletir.

4. Ağ İletişimi: Acquirer, yetkilendirme talebini uygun kart ağına (ör. Visa, Mastercard) gönderir.

5. İhraççı Doğrulaması: Kart ağı, talebi kart sahibinin ihraççı bankasına yönlendirir. İhraççının sistemleri bir dizi kontrol gerçekleştirir: kartın geçerliliğini doğrulamak, mevcut bakiyeyi veya kredi limitini kontrol etmek ve işlemi dolandırıcılık tespit motorlarından geçirmek.

6. Yetkilendirme Yanıtı: Bu kontrollere dayanarak, ihraççı işlemi onaylar veya reddeder. Bu karar, bir yanıt kodu şeklinde aynı yol üzerinden geri gönderilir: ihraççıdan kart ağına, acquirer'a, işlemciye/ağ geçidine ve son olarak merchant'ın web sitesine.

7. Tamamlama: Onaylanırsa, merchant satışı tamamlar ve müşteriyi bilgilendirir. Reddedilirse, merchant müşteriden alternatif bir ödeme yöntemi ister.

Mutabakat, paranın fiilen ihraççıdan merchant'a taşınması sürecidir. Yetkilendirmenin aksine, bu anlık değildir ve genellikle toplu olarak gerçekleşir. (Payment processing: How payment processing works | Stripe)

1. Toplu İşlem: İş gününün sonunda, merchant tüm onaylanmış yetkilendirmelerinin bir toplu dosyasını acquirer'ına gönderir.
2. Takas: Acquirer, toplu dosyayı takas için kart ağına gönderir. Ağ, işlemleri sıralar ve ilgili ihraççı bankalara iletir.
3. Fon Transferi: İhraççı bankalar, onaylanmış işlemler için fonları, acquirer'ın her işlem için ihraççıya ödediği bankalararası komisyon ücretleri düşüldükten sonra, edinen bankaya transfer eder.
4. Merchant'a Para Yatırma: Acquirer daha sonra fonları, kendi işlem ücretleri düşüldükten sonra, merchant'ın hesabına yatırır. Bu tüm mutabakat süreci genellikle 1-3 iş günü sürer.

Her CNP işleminin üzerine katmanlanmış olan, 3-D Secure (3DS) olarak bilinen kritik bir güvenlik protokolü bulunur. EMVCo tarafından yönetilen bu protokolün amacı, ihraççının kart sahibini doğrulamasına izin vermek, dolandırıcılığı azaltmak ve ters ibraz (chargeback) sorumluluğunu merchant'tan ihraççıya kaydırmaktır.

Modern 3DS (3DS2 olarak da adlandırılır), merchant ile ihraççının Access Control Server (ACS) arasında zengin bir veri seti alışverişi yaparak çalışır. Bu veriler, ACS'nin bir risk değerlendirmesi yapmasına olanak tanır ve bu da iki sonuca yol açar:

• Sorunsuz Akış: İşlem düşük riskli kabul edilirse, arka planda kullanıcı etkileşimi olmadan sessizce onaylanır. Bu, çoğu işlem için hedeftir.
• Doğrulama Akışı: İşlem yüksek riskliyse veya PSD2 gibi düzenlemeler tarafından zorunlu kılınıyorsa, kullanıcıdan kimliğini kanıtlaması aktif olarak istenir; bu genellikle bir OTP veya bir bankacılık uygulaması bildirimi ile yapılır.

Bu "doğrulama", önemli bir sürtünme noktası ve dönüşüm oranları için kilit bir savaş alanıdır. Sektörün hedefi, sorunsuz akışları en üst düzeye çıkarırken doğrulamaları olabildiğince pürüzsüz hale getirmektir. Passkey'ler, tam da bu yüksek sürtünmeli doğrulamayı çözmek için mükemmel bir konumdadır ve potansiyel bir başarısızlık noktasını güvenli ve sorunsuz bir adıma dönüştürür.

graph TD
    A[Başlangıç: Müşteri Ödemeye Devam Ediyor] --> B{Merchant 3DS Kontrolünü Başlatır};
    B --> C[Merchant'ın SDK'sı zengin işlem ve cihaz verilerini İhraççının ACS'sine gönderir];
    C --> D{ACS Risk Motoru Verileri Analiz Eder};
    D --> E{İşlem yüksek riskli mi veya SCA zorunlu mu?};
    subgraph Sorunsuz Akış
    E -- Hayır --> F[Kimlik Doğrulama Pasif Olarak Onaylandı - Kullanıcı etkileşimi yok];
    end
    subgraph Doğrulama Akışı
    E -- Evet --> G[Kullanıcıdan bir kimlik doğrulama meydan okuması istenir];
    G --> H{Kullanıcı Doğrulamayı Tamamladı mı? - ör. OTP, Uygulama Bildirimi, SPC/Passkey};
    H -- Evet --> I[Kimlik Doğrulama Onaylandı];
    H -- Hayır --> J[Kimlik Doğrulama Başarısız];
    end
    F --> K[İşlem, Sorumluluğun İhraççıya Kaydırılmasıyla Devam Eder];
    I --> K;
    J --> L[İşlem Engellendi];

FIDO Alliance'ın phishing saldırılarına dayanıklı WebAuthn standardına dayanan passkey'lerin ortaya çıkışı, ödeme kimlik doğrulamasının temelden yeniden tasarlanmasını tetikliyor. Bu, güçlü bir endüstri trendiyle birlikte gerçekleşiyor: merchant'lar, hesap ele geçirme dolandırıcılığıyla mücadele etmek ve kullanıcı deneyimini iyileştirmek için standart kullanıcı kimlik doğrulaması (kayıt ve giriş) için zaten passkey'leri benimsiyor. Bu mevcut yatırım, ödemeye özgü passkey modellerinin üzerine inşa edilebileceği doğal bir temel oluşturuyor.

Bu modelde, kullanıcının bankası (ihraççı), kimlik doğrulama için nihai Relying Party'dir (RP). Passkey, bankanın alan adına (ör. bank.com) bağlıdır ve kullanıcı bir işlemi onaylamak için doğrudan bankasıyla kimlik doğrulaması yapar. Bu modelin, ödemenin kart rayları üzerinden mi yoksa doğrudan hesaptan hesaba transferler yoluyla mı yapıldığına bağlı olarak iki ana türü vardır.

Bu modelde, ihraççı banka kimlik doğrulamasının kontrolünü elinde tutar ve passkey, kriptografik olarak ihraççının alan adına (ör. bank.com) bağlanır. Bankanın web sitesine basit bir yönlendirme mümkün olsa da, bu kötü bir kullanıcı deneyimi yaratır.

Passkey'in sahibi kim? İhraççı Merkezli modelde, İhraççı Relying Party'dir (RP).

Benimseme Çarkı ve Ağ Etkileri: Bir ihraççının passkey'inin yeniden kullanılabilirliği güçlü bir çark etkisi yaratır. Bir kullanıcı bankası için bir passkey oluşturduğunda, bu tek passkey, 3DS protokolünü kullanan herhangi bir merchant'ta zorlu işlemleri sorunsuz bir şekilde onaylamak için kullanılabilir. Bu, hem tüketiciler (daha iyi UX) hem de merchant'lar (daha yüksek dönüşüm) için ihraççının kartının değerini artırır.

Bunun için endüstri tarafından tasarlanan çözüm, bir merchant'ın bankanın passkey'ini doğrudan ödeme sayfasında çağırarak yönlendirmeyi önlemesine olanak tanıyan bir web standardı olan Secure Payment Confirmation (SPC)'dir. Bu süreç ayrıca, kimlik doğrulamasını işlem ayrıntılarına bağlamak için dinamik bağlama kullanır ki bu da SCA için çok önemlidir.

Stratejik Kusur: Teknik zarafetine rağmen, SPC bugün için geçerli bir strateji değildir. Apple'ın Safari'sinde bulunmayan tarayıcı desteği gerektirir. Safari olmadan, SPC evrensel bir çözüm olamaz, bu da onu herhangi bir büyük ölçekli uygulama için pratik olmayan hale getirir.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant I as Issuer ACS

    Note over M,I: A 3DS check determines a challenge is needed.
    M->>I: Authorization Request (High Risk)
    I-->>M: Initiate SPC Challenge
    Note over U,M: Browser shows a native prompt to the user.
    M->>U: Trigger SPC API for issuer's domain (e.g., bank.com)
    U->>U: User authenticates with device biometrics (Face ID, etc.)
    U-->>M: Browser receives signed assertion for bank.com
    M->>I: Forward the signed assertion for validation
    I-->>M: Authentication Successful

Önceki modeller kart ekosistemine odaklanırken, Açık Bankacılık ile güçlendirilmiş Hesaptan Hesaba (A2A) ödemeler, güçlü ve farklı bir paradigma sunar. Bu model, kart raylarını tamamen atlar ve passkey'lerle entegrasyonu benzersiz bir şekilde basit ve etkilidir.

Bu modelde, kullanıcı bir ödemeyi onaylamak için doğrudan kendi bankasıyla kimlik doğrulaması yapar. Bu sürecin sürtünmesi - genellikle hantal bir yönlendirme ve bir şifre girişi içerir - A2A'nın benimsenmesinin önündeki en büyük engel olmuştur. Passkey'ler bu temel sorunu doğrudan çözer.

Passkey'in sahibi kim? Banka Relying Party'dir (RP). Passkey, kullanıcının mybank.com ile günlük çevrimiçi bankacılık işlemleri için zaten oluşturduğu passkey'dir.

Benimseme Çarkı ve Ağ Etkileri: Çark etkisi çok büyüktür ve bankaların kendileri tarafından yönlendirilir. Bankalar, kullanıcılarını birincil bankacılık uygulamalarına veya web sitelerine giriş yapmak için şifrelerden passkey'lere geçmeye teşvik ettikçe, bu passkey'ler otomatik olarak herhangi bir Açık Bankacılık ödemesi için kullanılmaya hazır hale gelir. Kullanıcının fazladan bir şey yapmasına gerek yoktur. Bu, A2A ödeme akışını bir biyometrik tarama kadar basit hale getirir, çekiciliğini ve kartlara karşı rekabet gücünü önemli ölçüde artırır.

Nasıl çalışır:

1. Ödeme sırasında, kullanıcı bir A2A sağlayıcısı (ör. Trustly, Plaid) veya kendi bankasını seçer.
2. Kullanıcıdan ödemeyi bankasıyla yetkilendirmesi istenir.
3. Banka, RP olarak bir passkey kimlik doğrulama sorgusu tetikler.
4. Kullanıcı Face ID, parmak izi veya PIN ile kimlik doğrulaması yapar.
5. Banka ödemeyi güvenli bir şekilde onaylar ve fonlar doğrudan merchant'ın hesabına aktarılır.

Bu model diğer dördüne uymaz çünkü bir kart ağı, 3DS, SPC veya Delegated Authentication içermez. Bu, A2A sağlayıcısının merchant ile bankanın kendi, artık passkey özellikli kimlik doğrulama sistemi arasında orkestrasyon katmanı olarak hareket ettiği banka merkezli bir akıştır.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant A2A as A2A Provider (e.g. Trustly)
    participant B as User's Bank

    U->>M: Selects "Pay from Bank"
    M->>A2A: Initiate A2A Payment
    A2A->>U: Prompt user to select their bank
    U->>A2A: Selects Bank
    A2A->>B: Request Payment Authorization
    Note over B,U: Bank prompts user for passkey authentication
    U->>B: Authenticate with Passkey for mybank.com
    B-->>A2A: Authentication Successful, Payment Authorized
    A2A-->>M: Confirm Payment
    M-->>U: Confirm Order

Delegated Authentication, geleneksel modelden daha radikal bir ayrılışı temsil eder. 3DS sürüm 2.2 ile etkinleştirilen ve belirli kart şeması programları tarafından desteklenen DA, bir ihraççının SCA gerçekleştirme sorumluluğunu resmi olarak güvenilir bir üçüncü tarafa, en yaygın olarak büyük bir merchant'a, PSP'ye veya dijital cüzdan sağlayıcısına devredebildiği bir çerçevedir.

Passkey'in sahibi kim? Bu modelde, Merchant veya PSP'si Relying Party'dir (RP). Passkey, merchant'ın alan adı (ör. amazon.com) için oluşturulur ve hesap girişi için kullanılır.

DA'ya hak kazanmak için, merchant tarafından gerçekleştirilen ilk kimlik doğrulamasının SCA gerekliliklerine tam olarak uyması gerekir. Avrupa Bankacılık Otoritesi'nin Güçlü Müşteri Kimlik Doğrulaması hakkındaki yönergelerine göre, bu sadece basit bir giriş değildir; ihraççının kendisinin gerçekleştireceği bir kimlik doğrulamasıyla aynı güce sahip olmalıdır. Passkey'ler, güçlü kriptografik özellikleriyle, bu yüksek çıtayı karşılamak için ideal bir teknolojidir. Ancak, senkronize passkey'ler konusunda önemli bir düzenleyici belirsizlik devam etmektedir. Cihaza bağlı passkey'ler SCA'nın "sahiplik" unsurunu açıkça karşılarken, EBA gibi düzenleyiciler, bir kullanıcının bulut hesabı üzerinden taşınabilen senkronize passkey'lerin tek bir cihaza benzersiz bir şekilde bağlı olma konusundaki katı gerekliliği karşılayıp karşılamadığına dair kesin bir görüş bildirmemiştir. Bu, Avrupa'daki herhangi bir DA stratejisi için önemli bir husustur.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Bu modelde, kimlik doğrulama olayı müşteri yolculuğunda daha erken bir aşamaya taşınır. Ödeme sürecinin sonunda bir 3DS doğrulaması olarak gerçekleşmek yerine, müşterinin merchant'ın web sitesine veya uygulamasına hesabıyla giriş yaptığı başlangıçta gerçekleşir. Merchant giriş için bir passkey kullanıyorsa, bu başarılı, SCA uyumlu kimlik doğrulamasının kanıtını 3DS veri alışverişi içinde ihraççıya iletebilir. Önceden o merchant ile güvenilir bir ilişki kurmuş olan ihraççı, daha sonra bu bilgiyi bir muafiyet tanımak ve kendi doğrulama akışını tamamen atlamak için kullanabilir. Bu, giriş yapmış kullanıcılar için gerçekten sorunsuz, tek tıkla biyometrik bir ödeme ile sonuçlanabilir.

Benimseme Çarkı ve Ağ Etkileri: Buradaki çark, merchant'ın doğrudan müşteri ilişkisi tarafından yönlendirilir. Merchant'lar, hesap ele geçirme dolandırıcılığını azaltmak ve UX'i iyileştirmek için giriş için passkey'leri benimsedikçe, passkey özellikli bir kullanıcı tabanı oluştururlar. Bu, bu passkey'leri ödemelerde DA için kullanmak ve üstün bir ödeme deneyiminin kilidini açmak için doğal bir yol yaratır. Ağ etkisi, birden fazla merchant için RP olarak hareket edebilen PSP'ler için en güçlüdür; potansiyel olarak tek bir passkey'in bir mağaza ağı boyunca kullanılmasına izin verir, bu da diğer merchant'ların o PSP'nin ekosistemine katılması için güçlü bir teşvik yaratır.

Kart ağları, özel programlar aracılığıyla bu modeli aktif olarak teşvik etmektedir. Örneğin, Visa'nın Guide Authentication çerçevesi, merchant'ları ihraççı adına SCA gerçekleştirmeleri için güçlendirmek amacıyla DA ile kullanılmak üzere tasarlanmıştır. Benzer şekilde, Mastercard'ın Identity Check Express programı, merchant'ların tüketiciyi merchant'ın kendi akışı içinde doğrulamasına olanak tanır. Bu model, büyük merchant'ların ve PSP'lerin stratejik vizyonunu yansıtır:

Ancak, bu güç sorumlulukla birlikte gelir. Avrupa düzenlemeleri uyarınca, DA "dış kaynak kullanımı" olarak kabul edilir, yani merchant veya PSP, hileli işlemlerin sorumluluğunu üstlenir ve sıkı uyumluluk ve risk yönetimi gerekliliklerine uymak zorundadır.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant I as Issuer ACS

    Note over U,M: Step 1: User logs into the merchant's site.
    U->>M: Authenticate with passkey for merchant.com
    M-->>U: Login Successful (SCA has been performed)

    Note over U,I: Step 2: Later, at checkout...
    U->>M: Clicks "Pay"
    M->>I: Authorization Request (including proof of prior SCA)
    I->>I: Verifies the delegated authentication proof
    I-->>M: Approve Transaction (No 3DS challenge needed)

Bu model, kart ağları (Visa, Mastercard) tarafından misafir ödeme deneyimini sahiplenmek ve standartlaştırmak için yönlendirilen büyük bir stratejik girişimdir. Visa Payment Passkey Service gibi kendi FIDO tabanlı passkey hizmetlerini Click to Pay çerçevesinin üzerine inşa etmişlerdir.

Passkey'in sahibi kim? Ağ Merkezli modelde, Kart Ağı Relying Party'dir. Passkey, ağın alan adı (ör. visa.com) için oluşturulur.

Benimseme Çarkı ve Ağ Etkileri: Bu model en güçlü ağ etkisine sahiptir. Bir kart ağı için oluşturulan tek bir passkey, Click to Pay'i destekleyen her merchant'ta anında yeniden kullanılabilir, bu da tüketici için muazzam bir değer yaratır ve klasik bir iki taraflı pazar çarkını yönlendirir.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant N as Card Network (Click to Pay)
    participant I as Issuer

    Note over M,U: Guest Checkout Flow
    U->>M: Clicks "Click to Pay" button
    M->>N: Initiate Click to Pay flow
    Note over N,U: User is prompted to authenticate to the Network.
    N->>U: Browser triggers passkey prompt for network.com
    U->>U: User authenticates with device biometrics
    U-->>N: Signed assertion returned to Network
    N->>N: Validates user, retrieves stored card token
    N->>I: Authorization Request with network token
    I-->>N: Approve/Decline
    N-->>M: Send auth response to merchant

Bu model, PayPal veya Stripe (Link ile) gibi kendi tüketiciye yönelik cüzdanlarını işleten büyük Ödeme Hizmeti Sağlayıcıları (PSP'ler) etrafında şekillenir. Bu yaklaşımda, PSP Relying Party'dir ve tüm kimlik doğrulama ve ödeme akışına sahiptirler.

Passkey'in sahibi kim? PSP Merkezli modelde, PSP Relying Party'dir (RP). Passkey, PSP'nin alan adı (ör. paypal.com) için oluşturulur ve kullanıcının hesabını o PSP'nin ekosistemi içinde güvence altına alır.

Benimseme Çarkı ve Ağ Etkileri: Bu modelin de son derece güçlü bir ağ etkisi vardır. Büyük bir PSP'nin cüzdanı için oluşturulan bir passkey, o PSP'yi kabul eden her merchant'ta yeniden kullanılabilir, bu da kullanıcılar ve merchant'lar için PSP'nin ekosistemine katılmak için güçlü bir teşvik yaratır.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant P as PSP / Wallet (e.g. PayPal)

    U->>M: Selects "Pay with PSP" at Checkout
    M->>U: Redirects or shows popup for PSP login
    Note over P,U: User authenticates directly to the PSP
    U->>P: Authenticate with Passkey for psp.com
    P-->>U: Authentication Successful
    P-->>M: Send Payment Guarantee / OK to Merchant
    M-->>U: Confirm Order

Sıkça sorulan ve kritik bir soru, bir model için oluşturulan bir passkey'in başka bir modelde yeniden kullanılıp kullanılamayacağıdır. Örneğin, bir kullanıcının bankası için SPC ile kullanmak üzere oluşturduğu bir passkey, bir DA akışında bir merchant'ın web sitesine giriş yapmak için kullanılabilir mi? Cevap hayır ve bu, Relying Party'nin (RP) merkezi rolünü vurgular.

Bir passkey, temelde bir kullanıcıyı belirli bir RP'ye bağlayan kriptografik bir kimlik bilgisidir. Genel anahtar RP'nin sunucularına kaydedilir ve özel anahtar kullanıcının cihazında kalır. Kimlik doğrulama, o özel anahtarın sahipliğini o belirli RP'ye kanıtlama eylemidir.

• İhraççı Merkezli (SPC) modelinde, RP İhraççı'dır (ör. chase.com). Passkey bankaya kaydedilir.
• Merchant Merkezli (DA) modelinde, RP Merchant veya PSP'sidir (ör. amazon.com veya stripe.com). Passkey, giriş için merchant'a kaydedilir.
• Ağ Merkezli modelde, RP Kart Ağı'dır (ör. visa.com). Passkey, Click to Pay için ağa kaydedilir.
• PSP Merkezli modelde, RP Ödeme Hizmeti Sağlayıcısı'dır (ör. paypal.com). Passkey, PSP'nin cüzdanına veya hizmetine kaydedilir.

Passkey, kriptografik olarak RP'nin alan adına bağlı olduğu için, chase.com ile kaydedilmiş bir passkey amazon.com tarafından doğrulanamaz. Bunlar teknik açıdan farklı dijital kimliklerdir. Bir kullanıcının etkileşimde bulunduğu her Relying Party için ayrı bir passkey oluşturması gerekecektir.

Passkey'leri güçlü kılan "yeniden kullanılabilirlik" ve "taşınabilirlik" iki alandan gelir:

1. Passkey Senkronizasyonu: iCloud Keychain ve Google Password Manager gibi hizmetler, passkey'leri bir kullanıcının cihazları arasında senkronize eder. Yani, bir telefonda chase.com için oluşturulan bir passkey, kullanıcının dizüstü bilgisayarında otomatik olarak kullanılabilir, ancak hala sadece chase.com içindir.
2. Federasyon: Bu, Click to Pay tarafından kullanılan modeldir. Bir merchant, kullanıcıyı doğrulamak için Ağa (ör. Visa) güvenebilir. Kullanıcı Visa'ya (RP) kimlik doğrulaması yapar ve Visa daha sonra merchant'a kullanıcının meşru olduğunu bildirir. Bu, bir web sitesinin girişi yönetmek için Google'a güvendiği "Google ile Giriş Yap"a benzer. Passkey, merchant tarafından yeniden kullanılmıyor; kimlik doğrulama olayı yeniden kullanılıyor.

Bu nedenle, dört model sadece farklı teknik yollar değil, aynı zamanda rakip kimlik stratejileridir. Her biri, ödeme kimlik doğrulaması için birincil Relying Party olmak üzere farklı bir varlık önerir ve kullanıcılar muhtemelen ihraççıları, favori merchant'ları, PSP cüzdanları ve kart ağları için passkey'lere sahip olacaklardır.

Bu modeller kimlik doğrulamak için güçlü yeni yollar sunarken, aynı zamanda genellikle göz ardı edilen kritik bir operasyonel zorluk da getiriyor: passkey geri yükleme ve hesap kurtarma. iCloud Keychain ve Google Password Manager gibi platformlar tarafından yönetilen senkronize passkey'ler, tek bir kayıp cihaz sorununu azaltır. Ancak, bir kullanıcının tüm cihazlarını kaybetmesi veya ekosistemler arasında geçiş yapması (ör. iOS'tan Android'e) sorununu çözmezler. Bu senaryolarda, kullanıcının kimliğini başka yollarla kanıtlaması ve yeni bir cihaza bir passkey kaydetmesi için güvenli ve kullanıcı dostu bir süreç, herhangi bir büyük ölçekli dağıtım için pazarlık edilemez bir ön koşuldur. Mastercard'ın kendi belgelerinde belirttiği gibi, cihaz değiştiren bir kullanıcının yeni bir passkey oluşturması gerekecektir; bu süreç bankası tarafından kimlik doğrulaması gerektirebilir. (Mastercard® payment passkeys – Frequently asked questions) Bu, eksiksiz bir passkey çözümünün yalnızca kimlik doğrulama seremonisini değil, aynı zamanda sağlam kurtarma akışları da dahil olmak üzere passkey yönetiminin tüm yaşam döngüsünü kapsaması gerektiğini vurgular.

İhraççı Merkezli (SPC), Merchant Merkezli (DA), Ağ Merkezli (Click to Pay) ve PSP Merkezli olmak üzere dört mimari model, ödeme ekosistemindeki farklı oyuncular için belirgin entegrasyon fırsatlarına dönüşmektedir. Her yaklaşım, kullanıcı deneyimi, uygulama karmaşıklığı, sorumluluk ve kontrol arasında benzersiz bir dizi ödünleşim sunar. Bu bölüm, stratejik karar vermeye rehberlik etmek için bu entegrasyon noktalarının pragmatik bir analizini sunmaktadır.

• Fırsat: İhraççılar ve onlara hizmet veren Access Control Server (ACS) sağlayıcıları için birincil fırsat, OTP'ler ve şifreler gibi eski yöntemleri Secure Payment Confirmation (SPC) ile değiştirerek 3DS "doğrulama akışını" geliştirmektir.
• Hedef Kitle: Bu entegrasyon, ACS sağlayıcılarını (ör. Netcetera, CA Technologies/Arcot), ihraççı alanına hizmet veren teknoloji satıcılarını ve kendi kurum içi ACS platformlarını işleten büyük ihraççı bankaları hedeflemektedir.
• Sağlayıcının Rolü: Corbado gibi bir hizmet olarak passkey sağlayıcısı, SPC spesifikasyonuyla tam uyumlu, gömülebilir bir FIDO sunucusu veya yazılım modülü sunar. Bu modül, temel ACS platformuna entegre edilerek, ACS'nin risk motoru bir doğrulama gerektiğini belirlediğinde bir SPC akışını tetiklemesine olanak tanır.
• Artıları:
  • Yüksek Güvenlik ve Mevzuata Uygunluk: SPC'nin kriptografik dinamik bağlama kullanımı, belirli işlem ayrıntıları için kullanıcı rızasının güçlü, denetlenebilir kanıtını sağlar ve PSD2 SCA gibi düzenlemelerin temel gereksinimlerini doğrudan karşılar.
  • OTP'lere Göre Geliştirilmiş Kullanıcı Deneyimi: Hızlı bir biyometrik tarama ile kimlik doğrulamak, SMS yoluyla alınan bir kodu manuel olarak girmekten önemli ölçüde daha hızlı ve hataya daha az açıktır, bu da doğrulama dönüşüm oranlarında ölçülebilir bir artışa yol açabilir.
  • Net Sorumluluk Modeli: Bu model, mevcut 3DS çerçevesine sorunsuz bir şekilde uyar. Bir işlem SPC aracılığıyla başarıyla doğrulandığında, hileli ters ibrazların sorumluluğu, diğer 3DS doğrulama yöntemlerinde olduğu gibi, merchant'tan ihraççıya geçer.
• Eksileri:
  • Hala bir "Doğrulama" Akışı: SPC doğrulama deneyimini iyileştirse de, onu ortadan kaldırmaz. Kullanıcı hala ödeme sırasında bir kimlik doğrulama adımıyla kesintiye uğrar. Bu deneyim, daha iyi olsa da, tamamen pasif bir "sorunsuz" akışa veya başarılı bir Delegated Authentication akışına göre doğası gereği daha fazla sürtünmelidir.
  • İhraççı Risk Mantığına Bağımlı: SPC kullanımının benimsenmesi ve sıklığı tamamen ihraççının ACS'sine ve RBA motoruna bağlıdır. ACS hala bir doğrulama tetikleyip tetiklemeyeceğine ve ne zaman tetikleyeceğine karar verir.
  • Ekosistem Hazırlık Gecikmesi: Yaygın kullanım, ekosistemin EMV 3DS sürüm 2.3 veya üstünü benimsemesini ve kullanıcı tarayıcılarının SPC Web API'sini desteklemesini gerektirir. Tartışıldığı gibi, özellikle iOS gibi mobil platformlarda evrensel destek eksikliği önemli bir engeldir.

• Fırsat: Merchant'ın veya PSP'sinin müşteri giriş noktasında SCA gerçekleştirmesine olanak tanıyan Delegated Authentication (DA) uygulamak, böylece geri dönen, kimliği doğrulanmış kullanıcılar için tamamen sorunsuz bir ödeme deneyimi yaratmak.
• Hedef Kitle: Bu, en çok büyük e-ticaret merchant'ları, tam donanımlı PSP'ler (Stripe veya Adyen gibi) ve tüketiciyle doğrudan ilişkisi olan ve güvenli bir hesap ve giriş sistemine zaten yatırım yapmış dijital cüzdan sağlayıcıları için geçerlidir.
• Sağlayıcının Rolü: Bir passkey sağlayıcısı, merchant'ın giriş akışı için temel passkey kimlik doğrulama çözümünü sağlar. Kritik olarak, çözüm aynı zamanda, uyumlu bir SCA'nın zaten gerçekleştiğini ihraççıya bildirmek için 3DS kimlik doğrulama talebine paketlenebilecek gerekli veri çıktılarını ve kriptografik kanıtları da sağlamalıdır.
• Artıları:
  • Optimal Kullanıcı Deneyimi: Bu model, kimliği doğrulanmış kullanıcılar için mümkün olan en sorunsuz ödeme akışını sunar. Kimlik doğrulama adımını kullanıcı yolculuğunun doğal ve tanıdık bir parçasına (hesap girişi) taşır ve 3DS doğrulamasını tamamen ortadan kaldırarak gerçek bir tek tıkla ödeme sağlayabilir.
  • En Yüksek Dönüşüm Potansiyeli: Ödeme sırasındaki son sürtünme noktasını kaldırarak, DA, ödeme dönüşüm oranlarında en önemli artışı sağlama potansiyeline sahiptir. Wise kart sahipleriyle yapılan bir Stripe pilot çalışması, DA çözümünü kullanan işlemler için %7'lik bir dönüşüm artışı bildirdi.
  • Merchant-Müşteri İlişkisini Güçlendirir: Tüm kimlik doğrulama ve ödeme deneyimi, merchant'ın markalı ortamında kalır ve müşteriyle doğrudan ilişkilerini pekiştirir.
• Eksileri:
  • Karmaşık Ticari Koşullar ve Sorumluluk: DA basit bir teknik değişiklik değildir. İhraççılar ile güvenmeyi seçtikleri merchant'lar/PSP'ler arasında açık, genellikle ikili anlaşmalar gerektirir. Ayrıca, devredilen kimlik doğrulamasını gerçekleştiren taraf dolandırıcılık sorumluluğunu üstlenir ve düzenleme, önemli bir uyum yükü taşıyan bir "dış kaynak kullanımı" biçimi olarak sıkı düzenleyici gözetime tabidir.
  • İhraççı Güvenine Bağımlı: Tüm model, bir ihraççının merchant'ın kimlik doğrulama sürecine güvenme istekliliğine bağlıdır. Bu güven muhtemelen başlangıçta yalnızca en büyük, en güvenli ve en stratejik ortaklara verilecektir.
  • Parçalı Benimseme: Evrensel bir standardın aksine, DA, ihraççı başına, merchant başına benimsenecek ve bu da deneyimin tüm kart sahipleri için tüm merchant'larda tutarlı olmadığı parçalı bir manzaraya yol açacaktır.

• Fırsat: Büyük hacimli misafir ödeme işlemleri için ağ markalı passkey deneyimini etkinleştirmek.
• Hedef Kitle: Merchant müşteri tabanlarına modern, standartlaştırılmış bir misafir ödeme çözümü sunmak isteyen Payment Gateway'ler ve PSP'ler.
• Sağlayıcının Rolü: Sağlayıcı, önemli bir entegrasyon ortağı olarak hareket edebilir. Visa ve Mastercard'ın ayrı, tescilli passkey hizmetleri geliştirdiği göz önüne alındığında, bir passkey sağlayıcısı, her ağın farklı API'leriyle entegrasyonun karmaşıklığını ortadan kaldıran birleşik bir SDK veya bir "orkestrasyon katmanı" sunabilir ve PSP için tek, basitleştirilmiş bir entegrasyon noktası sağlayabilir.
• Artıları:
  • Standartlaştırılmış Misafir Ödeme Çözümü: Passkey'li Click to Pay, önemli bir endüstri sorununu çözer: yüksek sürtünmeli, yüksek terk oranlı misafir ödemesi. Tutarlı, tanınabilir ve güvenilir bir deneyim sunar.
• Ağ Odaklı Benimseme: Visa ve Mastercard, bu girişimin arkasına tüm ağırlıklarını koyuyor, bu da ihraççılar, merchant'lar ve tüketiciler tarafından hızlı bir şekilde benimsenmesini sağlayacaktır. PSP'ler bunu desteklemek için rekabetçi bir baskıyla karşı karşıya kalacaklardır.
• Basitleştirilmiş Sorumluluk ve Güvenlik Yükü: Federasyon tabanlı Relying Party olarak hareket eden kart ağı, FIDO kimlik doğrulama altyapısını oluşturma ve güvence altına alma konusundaki birincil yükü üstlenir, bu da merchant için güvenlik ve sorumluluk duruşunu basitleştirir.
• Eksileri:
  • Kontrol ve Markalaşma Kaybı: Birincil dezavantaj, merchant'ın ve PSP'sinin ödeme kullanıcı deneyimi üzerindeki kontrolü kart ağına devretmesidir. Ödeme, markalarını ve kullanıcı arayüzlerini içeren bir "Visa ödemesi" veya "Mastercard ödemesi" haline gelir.
  • Aracısızlaşma Potansiyeli: E-ticaret için merkezi kimlik sağlayıcısı haline gelerek, ağlar zamanla merchant ile müşteri arasındaki doğrudan veri ve marka ilişkisini zayıflatabilir.
  • "Kara Kutu" Uygulaması: Ağın FIDO sunucusunun, risk motorlarının ve kimlik doğrulama mantığının iç işleyişi merchant ve PSP için opaktır. Kurallarını ve kullanıcı deneyimini kontrol etmedikleri bir hizmetle entegre oluyorlar.

Passkey tabanlı ödeme kimlik doğrulamasına geçiş teorik bir egzersiz değildir; sektörün en büyük oyuncuları tarafından aktif olarak yönlendirilmektedir. Stratejileri, pilot programları ve kamuoyu açıklamaları, rekabet dinamikleri ve benimsemenin olası gidişatı hakkında net bir görüş sunmaktadır.

Become part of our Passkeys Community for updates & support.

Join

• PayPal: FIDO Alliance'ın kurucu üyesi ve dijital doğumlu bir ödeme sağlayıcısı olarak PayPal, passkey'leri en agresif şekilde erken benimseyenlerden biri olmuştur. 2022'nin sonlarında ABD'de başlayıp Avrupa ve diğer bölgelere yayılan aşamalı bir küresel lansman başlattılar. Uygulamaları, kullanıcının giriş alanıyla etkileşime girdiğinde otomatik olarak bir passkey isteyen tek dokunuşla giriş deneyimi yaratmak için Conditional UI gibi özelliklerden yararlanan en iyi uygulamalar üzerine bir vaka çalışmasıdır. PayPal, artan giriş başarı oranları ve hesap ele geçirme (ATO) dolandırıcılığında önemli bir azalma da dahil olmak üzere önemli erken başarılar bildirdi. Stratejileri ayrıca, senkronize passkey'lerin doğal güvenliğini tanıyan sonuca dayalı bir SCA yaklaşımını zorlayarak Avrupa'da düzenleyici evrimi aktif olarak savunmayı da içeriyor.

• Visa: Visa'nın stratejisi, kendi FIDO sunucu altyapısı üzerine inşa edilmiş kapsamlı bir platform olan Visa Payment Passkey Service üzerine odaklanmıştır. Bu hizmet, Visa'nın ihraççı ortakları adına kimlik doğrulama karmaşıklığını yönettiği bir federasyon modeli olarak tasarlanmıştır. Bu hizmetin birincil aracı Click to Pay olup, Visa'yı misafir ödeme deneyimini sahiplenmek üzere konumlandırmaktadır. Visa'nın mesajlaşması basit ödemelerin ötesine geçerek, passkey hizmetlerini ticaret ekosistemi genelinde kullanılabilecek daha geniş bir dijital kimlik çözümünün temel bir unsuru olarak çerçevelemektedir. Teknolojiyi, SPC de dahil olmak üzere aktif olarak pilot olarak deniyorlar ve biyometrik kimlik doğrulamasının SMS OTP'lerine kıyasla dolandırıcılık oranlarını %50 oranında azaltabildiğini bildiriyorlar.

• Mastercard: Mastercard, Visa'nın ağ düzeyinde bir hizmete yönelik stratejik odağını yansıtarak, mevcut Token Authentication Service (TAS) üzerine inşa edilmiş kendi Payment Passkey Service'ini başlattı. Pazara giriş stratejileri, bir dizi yüksek profilli küresel pilot çalışma ile karakterize edilmiştir. Ağustos 2024'te, ülkenin en büyük ödeme toplayıcıları (Juspay, Razorpay, PayU), büyük bir çevrimiçi merchant (bigbasket) ve önde gelen bir banka (Axis Bank) ile ortaklık kurarak Hindistan'da büyük bir pilot çalışma duyurdular. Bunu, Latin Amerika'da Sympla ve Yuno ortaklarıyla ve BAE'de Tap Payments ile yapılan lansmanlar gibi diğer kilit pazarlardaki lansmanlar izledi. Bu yaklaşım net bir stratejiyi ortaya koyuyor: hızla ölçek kazanmak için ekosistem toplayıcılarıyla (PSP'ler, ağ geçitleri) ortaklık kurmak. Mastercard, 2030 yılına kadar Avrupa'da manuel kart girişini aşamalı olarak kaldırarak tamamen token'laştırılmış, passkey ile doğrulanmış işlemlere geçme konusunda cesur bir kamu taahhüdünde bulundu.

Bu öncülerin stratejileri kritik bir dinamiği ortaya koyuyor. Tarihsel olarak parçalı ve yüksek sürtünmeli bir alan olan misafir ödeme deneyimi, kart ağları için stratejik bir köprübaşı haline geldi. Click to Pay aracılığıyla misafir kullanıcılar için üstün, passkey özellikli bir çözüm yaratarak, ağlar tüketicilerle doğrudan bir kimlik ilişkisi kurabilir. Bir tüketici bir misafir ödemesi sırasında ağ düzeyinde bir passkey oluşturduğunda, bu kimlik Click to Pay'i destekleyen diğer her merchant'a taşınabilir hale gelir. Bu, ağların kullanıcı kimliklerini etkili bir şekilde "edinmesine" ve web genelinde sorunsuz bir deneyim sunmasına olanak tanır; bu, dijital ticaret için merkezi kimlik sağlayıcısı rolünü ele geçirmek için güçlü bir hamledir.

Bu büyük oyuncuların ortak çabaları, daha geniş teknolojik ve düzenleyici eğilimlerle birleştiğinde, ödeme kimlik doğrulamasında hızlandırılmış ve kaçınılmaz bir değişime işaret ediyor.

• OTP'lerin Kaçınılmaz Sonu: Sektör çapındaki passkey hamlesi, birincil kimlik doğrulama yöntemi olarak SMS tabanlı tek kullanımlık şifrelerin sonunun başlangıcını işaret ediyor. OTP'ler, hem yüksek sürtünmeli kullanıcı deneyimleri hem de SIM takası ve gelişmiş phishing kampanyaları gibi saldırılara karşı artan savunmasızlıkları nedeniyle giderek bir yük olarak görülüyor. Passkey'ler daha yaygın hale geldikçe, OTP'lere olan güven, birincil bir doğrulama yöntemi yerine bir geri dönüş veya kurtarma mekanizmasına indirgenecektir.

• Mevzuat Rüzgarları: PSD2 gibi mevcut düzenlemeler SCA için ilk zorunluluğu yaratmış olsa da, katı, kategori tabanlı tanımları senkronize passkey'ler gibi yeni teknolojiler etrafında bazı belirsizlikler yaratmıştır. Avrupa'daki PSD3 gibi yaklaşan düzenleyici güncellemelerin, daha teknoloji-nötr, sonuç odaklı bir yaklaşım benimsemesi bekleniyor. Bu, muhtemelen phishing'e karşı kanıtlanabilir şekilde dirençli olan kimlik doğrulama yöntemlerini destekleyecek ve passkey'lerin uyumlu bir SCA yöntemi olarak geniş çapta benimsenmesi için daha net bir düzenleyici yol sağlayacaktır.

• Federasyon Tabanlı Ödeme Kimliğinin Yükselişi: Visa ve Mastercard'ın stratejik hamleleri sadece ödemeleri güvence altına almaktan daha fazlasıyla ilgilidir; dijital kimlik için yeni bir paradigma oluşturmakla ilgilidir. Federasyon tabanlı passkey hizmetleri oluşturarak, kendilerini tüm dijital ticaret ekosistemi için merkezi, güvenilir kimlik sağlayıcıları olarak konumlandırıyorlar. Bu, Büyük Teknoloji şirketleri tarafından kontrol edilen güçlü kimlik platformlarına (ör. Apple ID, Google Hesabı) doğrudan stratejik bir yanıt olarak görülebilir. Çevrimiçi ödemelerin geleceği, web'de tüketici kimliğini kimin sahipleneceği ve yöneteceği konusundaki bu daha büyük savaşla ayrılmaz bir şekilde bağlantılıdır.

Temel ödeme işlemi birincil odak noktası olsa da, passkey teknolojisi, komşu finansal hizmetler yelpazesinde sürtünmeyi ortadan kaldırmaya ve güvenliği artırmaya hazırlanıyor. Hala şifrelere veya hantal OTP'lere dayanan birçok süreç, bir passkey yükseltmesi için ideal adaylardır.

• Dijital Cüzdan Hazırlığı: Apple Pay veya Google Pay gibi bir dijital cüzdana kredi veya banka kartı ekleme süreci genellikle ihraççı tarafından gönderilen bir SMS OTP gibi bir doğrulama adımı gerektirir. Bu, bir passkey akışıyla değiştirilebilecek bir sürtünme noktasıdır.
• Açık Bankacılık ve Hesap Bağlama: Açık bankacılığın temeli, üçüncü taraf uygulamaların (bütçeleme uygulamaları veya diğer fintech hizmetleri gibi) bir kullanıcının banka hesap verilerine erişmesine izin vermektir. Bu, kullanıcının bankasıyla kimlik doğrulaması yapmasını gerektirir ki bu süreç genellikle zahmetlidir. Passkey'ler, bu onayı vermek için çok daha sorunsuz ve daha güvenli bir yol sunar, garip yönlendirmeleri ve manuel şifre girişini basit bir biyometrik kimlik doğrulaması ile değiştirir.
• Dosyadaki Kart (CoF) Token'larını Güvence Altına Alma: Kayıtlı bir kartı olan bir hesabın girişini güvence altına almanın ötesinde, passkey'ler kartı kaydetme eylemini güvence altına almak için kullanılabilir. Bir kullanıcının kartını eklediği anda bir doğrulama, meşru kart sahibinin mevcut olduğuna dair güçlü bir kanıt sağlar ve çalınan kredi kartı numaralarının daha sonra kötüye kullanılmak üzere CoF profilleri oluşturmak için kullanılmasından kaynaklanan dolandırıcılığı azaltır.
• BNPL ve Anında Kredi: Şimdi Al, Sonra Öde hizmetleri ve diğer anında kredi türleri hem ilk katılımı hem de işlem başına risk değerlendirmelerini içerir. Passkey'ler, Klarna gibi öncüler tarafından giriş için şifrelerin yerini almak üzere zaten kullanılıyor. Ayrıca, yüksek değerli satın alımlar için veya bir kullanıcı yeni bir kredi limiti için başvurduğunda, geleneksel yöntemlerden daha güçlü, daha düşük sürtünmeli bir kullanıcı niyeti sinyali sağlayan bir adım-adım kimlik doğrulama yöntemi olarak da kullanılabilirler.

Stablecoin'lerin (USDC veya EURC gibi) yükselişi, yeni, blok zinciri tabanlı bir ödeme rayı sunuyor. Ancak, ana akım benimsemenin önündeki en büyük engel, kripto cüzdanlarının kötü kullanıcı deneyimi ve güvenliği olmuştur. Geleneksel olarak, bu cüzdanlar, kullanıcının yazıp koruması gereken bir "seed ifadesi" (12-24 kelimelik bir liste) ile güvence altına alınır. Bu inanılmaz derecede kullanıcı dostu değildir ve hesap kurtarmayı bir kabusa çevirir.

Passkey'ler bu deneyimi tamamen dönüştürmeye hazırlanıyor. Sektör, zincir üzerindeki varlıkları kontrol eden özel anahtarın cihazın passkey'i ile güvence altına alındığı bir modele doğru ilerliyor.

• Seed İfadelerini Ortadan Kaldırma: Bir seed ifadesi yazmak yerine, bir kullanıcının cüzdanı cihazının yerleşik güvenliği ile oluşturulur ve güvence altına alınır. Bir merchant'a stablecoin göndermek gibi bir işlemi yetkilendirmek için, kullanıcı sadece Face ID veya parmak izi taraması ile kimlik doğrulaması yapar. Bu, bir kripto ödemesini Apple Pay kullanmak kadar sorunsuz ve güvenli hissettirir.
• Hesap Kurtarmayı Etkinleştirme: "Akıllı hesaplar" (veya "hesap soyutlama") gibi cüzdan mimarileri kullanılarak kurtarma mekanizmaları oluşturulabilir. Bir kullanıcı, tüm cihazlarını kaybetmesi durumunda hesabını kurtarmasına yardımcı olabilecek güvenilir arkadaşlarını, ailesini veya kurumları "koruyucu" olarak atayabilir; bu, seed ifadelerinin ya hep ya hiç doğasına göre büyük bir gelişmedir.

Bu evrim, ödemeler için stablecoin kullanmayla ilişkili sürtünmeyi ve riski önemli ölçüde azaltabilir ve potansiyel olarak onları geleneksel ödeme raylarına daha uygun ve ana akım bir alternatif haline getirebilir.

Ödeme ortamının analizi ve ortaya çıkan passkey entegrasyon modelleri, birkaç belirgin ve eyleme geçirilebilir fırsatı ortaya koymaktadır. Corbado gibi passkey öncelikli bir kimlik doğrulama şirketi için amaç, bu geçişte yol almak için gereken temel teknolojiyi sağlayarak ekosistemdeki her oyuncunun stratejik hedeflerine ulaşmasını sağlamaktır.

• Hedef: 3DS doğrulama akışını modernize etmek, yüksek sürtünmeli OTP'leri değiştirerek dönüşüm oranlarını artırmak, güvenliği geliştirmek ve PSD2/PSD3 uyumluluğunu doğrudan karşılamak.
• Corbado Nasıl Yardımcı Olur: Mevcut Access Control Server (ACS) platformlarına kolay entegrasyon için tasarlanmış gömülebilir bir passkey kimlik doğrulama modülü sağlıyoruz. ACS satıcılarının, tüm banka ve merchant ağlarına fayda sağlayan, sınıfının en iyisi, düşük sürtünmeli bir doğrulama deneyimi sunmalarına yardımcı oluyoruz.

• Hedef: Uçtan uca müşteri yolculuğuna sahip olmak ve Delegated Authentication (DA) aracılığıyla üstün bir ödeme deneyimi sunmak, giriş yapmış kullanıcılar için 3DS doğrulamasını ortadan kaldırmak.
• Corbado Nasıl Yardımcı Olur: Corbado, kapsamlı bir DA etkinleştirme çözümü sunar. Bu, yalnızca sınıfının en iyisi bir passkey girişi sistemi değil, aynı zamanda ihraççıların DA muafiyetleri vermesi için gereken kriptografik kanıtları oluşturmak için araçlar ve API'ler de içerir. Bir teknoloji ortağı olarak hareket ederek, merchant'ların ve PSP'lerin dönüşümü en üst düzeye çıkarmasını ve markalarını güçlendirmesini sağlıyoruz.

• Hedef: Click to Pay gibi en son ağ zorunlu özellikleri zahmetsizce sunmak ve platformları maliyetli, tekrarlayan geliştirme çabaları olmadan rekabetçi tutmak.
• Corbado Nasıl Yardımcı Olur: Corbado bir "Passkey Orkestrasyon" katmanı sunar. Hem Visa hem de Mastercard hizmetlerinin entegrasyonuna yardımcı oluyor ve aynı zamanda merchant'ların modern bir misafir ödeme deneyimi sunmak için kendi passkey çözümlerini aynı anda nasıl sunabileceklerine dair yollar sağlıyoruz.

• Hedef: Tüm cüzdan ekosistemini güvence altına almak, PSP'nin tüm merchant ağı boyunca taşınabilir, sorunsuz ve güvenli bir giriş ve ödeme deneyimi yaratmak.
• Corbado Nasıl Yardımcı Olur: Büyük PSP'lerin ve cüzdan sağlayıcılarının kullanıcıları için merkezi Relying Party olmalarını sağlayan temel passkey altyapısını sağlıyoruz. Çözümümüzü entegre ederek, cüzdan girişleri için şifreleri değiştirebilirler (ör. PayPal, Stripe Link veya Klarna için). Bu, yalnızca hesabı ele geçirmeye karşı güvence altına almakla kalmaz, aynı zamanda ödeme yetkilendirmesini tek tıkla biyometrik bir adıma indirgeyerek, kullanıcıları bağlayan ve merchant'ları çeken güçlü, markalı bir kimlik doğrulama deneyimi yaratır.

Bu analiz, herhangi bir passkey tabanlı strateji için kritik bir başarı faktörünü vurgulamaktadır: kullanıcı benimsemesi. Passkey oluşturma ve kullanımını temel seviye olan ~%10'dan %50'nin üzerine çıkarabildiğini kanıtlayan bir çözüm, bu yeni kimlik doğrulama modellerinin yaygınlaştırılmasında karşılaşılan birincil zorluğu ele almaktadır. Ekosisteme ve oyuncularının stratejik hedeflerine dayanarak, aşağıdaki kuruluşlar ve sektörler böyle bir çözüm için başlıca adaylardır.

• Temel Sorun: 3DS doğrulama akışındaki yüksek sürtünme, terk edilmiş sepetlere ve merchant'lar için gelir kaybına yol açarak bir ihraççının kartını daha az rekabetçi hale getirir.
• Benimseme Nasıl Yardımcı Olur: Passkey'lerin daha yüksek oranda benimsenmesi, doğrudan daha başarılı, düşük sürtünmeli doğrulamalara dönüşür. Bu, dönüşüm oranlarını iyileştirir, güvenliği artırır ve ihraççının ödeme kimlik bilgilerini hem merchant'lar hem de tüketiciler için daha değerli hale getirir.
• Başlıca Adaylar: Büyük ihraççı bankalar (Bank of America, Chase, Barclays) ve onların 3DS teknolojisini sağlayan ACS sağlayıcıları (Netcetera, CA Technologies).

• Temel Sorun: Müşteri yolculuğuna sahip olma ve ödeme sürtünmesini ortadan kaldırma arzusu, genellikle bir 3DS doğrulaması gerekliliği tarafından engellenir.
• Benimseme Nasıl Yardımcı Olur: Tüm Delegated Authentication (DA) modeli, merchant'ın kullanıcıyı girişte güçlü bir şekilde doğrulayabilmesine dayanır. Yüksek passkey benimsemesi sadece bir geliştirme değil, başarılı bir DA stratejisi için bir ön koşuldur. Kullanıcıların çoğunluğu için DA'yı etkinleştirmek, güçlü bir rekabet avantajıdır.
• Başlıca Adaylar: Küresel e-ticaret liderleri (Amazon, Walmart), dijital abonelik hizmetleri (Netflix, Spotify) ve onlara hizmet veren tam donanımlı PSP'ler (Stripe, Adyen, Checkout.com).

• Temel Sorun: Click to Pay gibi stratejik, ağ düzeyinde kimlik hizmetlerinin başarısı, doğrudan yaygın tüketici kaydına bağlıdır.
• Benimseme Nasıl Yardımcı Olur: Kolay ve çekici bir passkey oluşturma deneyimi, bu federasyon tabanlı kimlik ağlarının büyümesi için esastır. Ağlar, merchant'lara ve PSP'lere sağladıkları SDK'lara benimseme odaklı bir çözüm yerleştirerek, tescilli passkey hizmetlerinin yaygınlaştırılmasını ve benimsenmesini hızlandırabilir.
• Başlıca Adaylar: Visa (Visa Payment Passkey Service için) ve Mastercard (Token Authentication Service için).

• Temel Sorun: Cüzdanın değeri (ör. PayPal, Stripe Link, Klarna), doğrudan aktif, etkileşimli kullanıcı sayısına bağlıdır. Girişteki veya ödemedeki sürtünme ekosistemi zayıflatır.
• Benimseme Nasıl Yardımcı Olur: Cüzdanın kendi alan adı (paypal.com, vb.) için passkey'lerin kitlesel olarak benimsenmesini sağlamak temel bir stratejik hedeftir. Dolandırıcılığı azaltır, kullanıcı deneyimini iyileştirir ve ağ etkisini güçlendirerek cüzdanı hem tüketiciler hem de merchant'lar için daha çekici hale getirir.
• Başlıca Adaylar: Cüzdan teklifleri olan küresel PSP'ler (PayPal, Stripe Link, Klarna) ve büyük bölgesel oyuncular (Mercado Pago, Block).

• Temel Sorun: Ulusal ödeme şemaları, altyapılarını modernize etme ve küresel teknoloji şirketlerine karşı rekabetçi kalabilmek için dijital kimlik çözümleri sunma baskısıyla karşı karşıyadır.
• Benimseme Nasıl Yardımcı Olur: Bu ağlar, yeni dijital ödeme ve kimlik hizmetlerinin yaygın olarak kullanılmasını sağlamalıdır. Australian Payments Plus (AP+) gibi bir oyuncu için, PayTo (gerçek zamanlı ödemeler için) ve ConnectID (dijital kimlik için) gibi hizmetler için benimsemeyi teşvik etmek temel bir stratejik hedeftir. Passkey kaydını artıran bir çözüm, bu stratejinin doğrudan bir kolaylaştırıcısıdır.
• Başlıca Adaylar: Australian Payments Plus (AP+) ve diğer ulusal ödeme altyapı kuruluşları.

Büyük teknoloji şirketleri, ödemeler ekosisteminde benzersiz ve güçlü bir rol oynayan gelişmiş dijital cüzdanlar işletmektedir. Kullanıcının cihazı, platform kimliği ve geleneksel ödeme raylarının kesişim noktasında yer alarak, onlara passkey benimsemesi konusunda belirgin bir konum ve strateji kazandırırlar.

Apple Pay ve Google Pay, mevcut ödeme kartı altyapısının üzerinde yer alan bir teknoloji ve kimlik doğrulama katmanı olarak anlaşılmalıdır. Kendileri kart ihraç etmez veya işlem yapmazlar, bunun yerine bir kullanıcının mevcut ödeme kartlarının token'laştırılmış versiyonlarını güvenli bir şekilde saklar ve iletirler.

• Ekosistemdeki Konumları: Bir kullanıcının kartları için güvenli bir "konteyner" görevi görürler. Bir kullanıcı çevrimiçi ödeme yaptığında, kart bilgilerini girmek yerine Apple Pay veya Google Pay'i seçer. Cüzdan daha sonra merchant'ın ödeme ağ geçidine güvenli, tek kullanımlık bir token iletir. İşlem hala acquirer, ağ ve ihraççı üzerinden normal şekilde akar.
• Passkey'leri Nasıl Kullanırlar: Kullanıcıyı yüz veya parmak izi taraması ile cüzdana doğrularlar ve ödeme token'ını serbest bırakması için yetkilendirirler. Bu güçlü, düşük sürtünmeli bir kimlik doğrulama olayıdır, ancak kart ihraççısının sorumlu olduğu 3DS/SCA kimlik doğrulamasından farklıdır. Bir ihraççı, Apple Pay aracılığıyla başlatılan bir işlemde teknik olarak hala bir 3DS doğrulaması tetikleyebilir, ancak güçlü cihaz düzeyinde kimlik doğrulama bunu daha az olası kılar.
• Fırsatlar ve Benimsemeden Nasıl Faydalanırlar:
  • Cüzdan Hazırlığını Kolaylaştırma: Bir cüzdana kart ekleme süreci genellikle ihraççıdan bir OTP gerektirir. Bu önemli bir sürtünme noktasıdır. Apple ve Google, bunu uygulama içi bir passkey akışıyla değiştirmek için ihraççılarla çalışabilir ve kullanıcıyı anında doğrulamak için bir passkey kullanabilir. İhraççı ortakları için bir benimseme çözümü, cüzdanlarını yüklemeyi ve kullanmayı kolaylaştıracaktır.
  • Devredilmiş Bir Otorite Haline Gelme: Nihai stratejik hedefleri, güçlü platform kimlik doğrulamalarını kullanarak ödemeler için kesin, güvenilir bir doğrulayıcı haline gelmektir. İhraççılar, Apple Pay veya Google Pay kimlik doğrulamasını SCA gerekliliklerini karşıladığını resmi olarak tanırsa, Devredilmiş Otoriteler haline gelebilir ve 3DS doğrulamasını tamamen ortadan kaldırabilirler. Kendi platform passkey'lerinin yüksek oranda benimsenmesi, bunu ihraççılar için cazip bir teklif haline getirmek için kritik öneme sahiptir.

Amazon Pay ve Meta Pay, üçüncü taraf sitelerde ve kendi ekosistemleri içinde (ör. Instagram'da sosyal ticaret için) kullanılabilen çok büyük bir Dosyadaki Kart (CoF) cüzdanına sahip geleneksel bir merchant gibi çalışır.

• Ekosistemdeki Konumları: Merchant Merkezli modelin klasik bir örneğidirler. Kullanıcılar ödeme kartlarını doğrudan Amazon veya Meta hesaplarında saklarlar. Amazon Pay veya Meta Pay ile ödeme yaptıklarında, ana hesaplarına kimlik doğrulaması yaparlar ve o platform ödemeyi onlar adına işler.
• Passkey'leri Nasıl Kullanırlar: Passkey'leri birincil olarak kullanıcının ana hesap girişini (ör. Amazon.com için passkey) güvence altına almak için kullanırlar. Geniş kullanıcı tabanlarını hesap girişi için şifrelerden passkey'lere taşıyarak, hesap ele geçirme dolandırıcılığı riskini önemli ölçüde azaltır ve değerli saklanan ödeme kimlik bilgilerini korurlar.
• Fırsatlar ve Benimsemeden Nasıl Faydalanırlar: Faydaları doğrudan ve anındadır. Temel kullanıcı hesapları için passkey benimsemesini artıran bir çözüm:
  1. Dolandırıcılığı Azaltır: Büyük bir finansal kayıp ve müşteri memnuniyetsizliği kaynağı olan hesap ele geçirme için saldırı yüzeyini büyük ölçüde azaltır.
  2. Sürtünmeyi Azaltır: Dönüşüm oranlarını artırdığı kanıtlanmış, sorunsuz ve güvenli bir giriş ve ödeme deneyimi yaratır. Bu oyuncular için, passkey benimsemesini artıran bir çözüm, temel ticaret işlerinin güvenliğine ve performansına doğrudan bir yatırımdır. Bu nedenle böyle bir çözüm için başlıca adaylardır.

Ödeme endüstrisi, yeni bir kimlik doğrulama çağının şafağındadır. Güvenlik ve kolaylık arasındaki uzun süredir devam eden uzlaşma, nihayet passkey teknolojisinin olgunlaşması ve benimsenmesiyle çözülüyor. Bu raporda sunulan analiz, bunun monolitik bir değişim olmadığını, geleceğe yönelik birden fazla rakip vizyonla karmaşık bir geçiş olduğunu göstermektedir. İhraççılar mevcut 3DS çerçevesini SPC ile geliştirmeyi amaçlıyor; büyük merchant'lar ve PSP'ler Delegated Authentication aracılığıyla veya kendi cüzdan ekosistemlerini oluşturarak deneyimin kontrolünü ele geçirmeyi hedefliyor; ve kart ağları Click to Pay ile yeni, federasyon tabanlı bir kimlik katmanı yaratıyor. Her model, kullanıcı güveni ve kolaylığı için yeni standart haline gelmek için yarışıyor.