--- url: 'https://www.corbado.com/tr/blog/odeme-passkey-ortamina-genel-bakis' title: 'Ödeme Passkey Ortamı: 4 Temel Entegrasyon Modeli' description: 'Ödeme passkey''leri için 4 temel modeli keşfedin. En iyi entegrasyon stratejisini bulmak için kart ihraççısı, merchant, kart ağı ve PSP merkezli mimarileri karşılaştırın.' lang: 'tr' author: 'Vincent Delitz' date: '2025-07-15T13:24:29.249Z' lastModified: '2026-03-27T07:08:38.821Z' keywords: 'ödeme passkey genel bakış, ödeme passkey ortamı, ödeme passkey entegrasyon modeli, ödeme kimlik doğrulama modelleri' category: 'Passkeys Strategy' --- # Ödeme Passkey Ortamı: 4 Temel Entegrasyon Modeli ## 1. Giriş Küresel [ödemeler](https://www.corbado.com/passkeys-for-payment) ortamı kritik bir dönüm noktasında. Sektör, on yıllardır güvenlik ve kullanıcı kolaylığı arasındaki doğal gerilimle boğuşuyor. Bu zorluk, en çok dijital, Kartın Fiziksel Olarak Bulunmadığı (CNP) ortamlarda hissediliyor. Gelişmiş dolandırıcılık türlerinin artması daha güçlü [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) önlemlerini zorunlu kılarken, tüketici beklentileri de giderek daha sorunsuz ödeme deneyimleri talep ediyor. Bu rapor, passkey teknolojisi için stratejik entegrasyon noktalarını belirlemeye odaklanarak, gelişen bu ekosistemin kapsamlı bir analizini sunmaktadır. Şifresiz bir geleceğe geçiş sürecinde yol almak isteyen teknoloji sağlayıcıları, ödeme hizmeti sağlayıcıları, finansal kurumlar ve [merchant](https://www.corbado.com/glossary/merchant)'lar için eksiksiz bir rehber olarak tasarlanmıştır. ## 2. Yönetici Özeti [Ödemeler](https://www.corbado.com/passkeys-for-payment) ortamı, [Güçlü Müşteri Kimlik Doğrulaması](https://www.corbado.com/blog/psd2-sca-requirements) (SCA) gibi daha güçlü güvenlik ihtiyacı ve sorunsuz kullanıcı deneyimlerine yönelik ticari talep nedeniyle temel bir değişim geçiriyor. [Phishing](https://www.corbado.com/glossary/phishing) saldırılarına dayanıklı [passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir), bu gerilimi çözmek için kilit teknoloji olarak ortaya çıktı. Analizimiz, sektörün passkey entegrasyonu için dört farklı mimari model etrafında birleştiğini gösteriyor ve her biri ödeme kimlik doğrulamasının geleceği için rakip bir vizyonu temsil ediyor: 1. **İhraççı Merkezli Model (ör. SPC aracılığıyla):** Teknik olarak zarif olsa da, bu model başta Apple olmak üzere kritik bir tarayıcı desteği eksikliği nedeniyle engelleniyor ve bu da onu yakın gelecek için pratik olmayan bir çözüm haline getiriyor. 2. **Merchant Merkezli Model (Delegated Authentication):** Bu güçlü model, büyük [merchant](https://www.corbado.com/glossary/merchant)'ların doğrudan müşteri ilişkilerinden yararlanarak kimlik doğrulamayı daha erken bir aşamaya taşımasına ve sorunsuz bir ödeme deneyimi yaratmasına olanak tanır, ancak önemli bir sorumluluk getirir ve doğrudan ihraççı güveni gerektirir. 3. **Ağ Merkezli Model (Click to Pay):** [Visa](https://www.corbado.com/blog/visa-passkeys) ve [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) gibi kart ağlarının, tüketiciler için taşınabilir, ağ düzeyinde bir passkey sunarak misafir ödeme deneyimini sahiplenmeye yönelik önemli bir stratejik hamlesidir. 4. **PSP Merkezli Model (Cüzdanlar):** [PayPal](https://www.corbado.com/blog/paypal-passkeys) gibi büyük Ödeme Hizmeti Sağlayıcılarının, geniş ve yerleşik [cüzdan](https://www.corbado.com/tr/blog/dijital-cuzdan-guvencesi) ekosistemleri içindeki deneyimi güvence altına almak ve kolaylaştırmak için passkey'leri kullandığı baskın bir modeldir. Her model, temel stratejik soruya farklı bir yanıt sunar: "[Ödemeler](https://www.corbado.com/passkeys-for-payment) için birincil [Relying Party](https://www.corbado.com/glossary/relying-party) kim olacak?". Bu rapor, bu rakip mimarileri inceleyerek, ödeme kimlik doğrulamasının geleceğinde yol almak için net bir yol haritası sağlamak amacıyla ekosistemdeki oyuncularla eşleştiriyor. ## 3. Modern Ödemeler Ekosistemi Passkey'lerin nereye ve nasıl entegre edilebileceğini anlamak için öncelikle ödeme ekosistemindeki oyuncuların ve rollerinin net ve ayrıntılı bir haritasını çıkarmak gerekir. Tek bir çevrimiçi işlemin akışı, her biri veri ve fon hareketinde belirli bir işlevi yerine getiren birden fazla kuruluş arasında karmaşık bir etkileşimi içerir. ### 3.1 Temel Katılımcılar Her işlemin merkezinde, ödeme değer zincirinin temelini oluşturan beş temel katılımcı bulunur. 1. **Müşteri / Kart Sahibi:** - **Açıklama**: Bir satın alma işlemini başlatan kişi veya kuruluş. Kart sahibi, bir ihraççı bankadan bir ödeme kartı (kredi veya banka kartı) alır ve yapılan harcamaları geri ödemekten sorumludur. - **Hedef**: Hızlı, basit ve güvenli bir ödeme deneyimi. - **Örnekler**: Banka hesabı ve/veya ödeme kartı olan herhangi bir birey. 2. **Merchant:** - **Açıklama**: Mal veya hizmet satan ve elektronik ödemeleri kabul eden işletme. Bunu yapabilmek için [merchant](https://www.corbado.com/glossary/merchant), kart ödemelerini kabul etmek ve işlemek üzere genellikle bir edinen banka veya ödeme hizmeti sağlayıcısı (PSP) tarafından sağlanan gerekli [altyapıya](https://www.corbado.com/passkeys-for-critical-infrastructure) sahip olmalıdır. - **Hedef**: Ödeme sırasındaki pürüzleri en aza indirerek ve dolandırıcılığı azaltarak satış dönüşümünü en üst düzeye çıkarmak. - **Örnekler**: Bir [e-ticaret](https://www.corbado.com/passkeys-for-e-commerce) web sitesi, bir [perakende](https://www.corbado.com/passkeys-for-e-commerce) mağazası, bir abonelik hizmeti. 3. **İhraççı Banka (Issuer):** - **Açıklama**: Kart sahibinin bankası veya finansal kurumu. İhraççı, müşteriye ödeme kartını sağlar, ilgili kredi riskini üstlenir ve nihayetinde kart sahibinin hesap durumuna ve bir risk değerlendirmesine dayanarak bir işlemi onaylamaktan veya reddetmekten sorumludur. - **Hedef**: Yetkilendirme talebini almak ve kart ağları aracılığıyla bir yanıt kodu geri göndermek. - **Örnekler**: Bank of America, Chase, Barclays. 4. **Edinen Banka (Acquirer):** - **Açıklama**: Merchant'ın bankası, aynı zamanda merchant bankası olarak da bilinir. [Acquirer](https://www.corbado.com/glossary/acquirer), merchant'ın hesabını tutar ve merchant adına kart işlemlerinin işlenmesini kolaylaştırır. - **Hedef**: Ödeme ayrıntılarını merchant'tan almak, bunları kart ağı üzerinden ihraççıya yönlendirmek ve onay üzerine fonları merchant'ın hesabına yatırmak. - **Örnekler**: Wells Fargo Merchant Services, Worldpay (from FIS). 5. **Kart Ağları (Schemes):** - **Açıklama**: Diğer tüm katılımcıları birbirine bağlayan teknolojik omurga. [Visa](https://www.corbado.com/blog/visa-passkeys), [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), American Express ve Discover gibi şirketler bu geniş ağları işletir. Kart ihraç etmezler veya merchant hesabı açmazlar, ancak işlemleri yöneten kritik altyapıyı, kuralları ve standartları sağlarlar. - **Hedef**: Yetkilendirme taleplerinin yönlendirilmesini ve ihraççılar ile [acquirer](https://www.corbado.com/glossary/acquirer)'lar arasında fonların takasını ve mutabakatını kolaylaştırmak. - **Örnekler**: [Visa](https://www.corbado.com/blog/visa-passkeys), [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), American Express. ### 3.2 Aracılar: "Sağlayıcı" Ortamını Anlamak Temel katılımcılar arasında, genellikle birbiriyle örtüşen karmaşık bir teknoloji ve hizmet sağlayıcıları ekosistemi bulunur. Bu aracılar arasındaki ayrımları anlamak çok önemlidir, çünkü bunlar genellikle [passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) gibi yeni teknolojiler için birincil entegrasyon noktalarıdır. Modern sağlayıcılar daha kapsamlı, "hepsi bir arada" çözümler sunmaya çalıştıkça, [bu roller arasındaki çizgiler son yıllarda önemli ölçüde bulanıklaşmıştır](https://blog.finexer.com/payment-gateway-vs-psp-vs-payment-processor/). 1. **Payment Gateway:** - **Açıklama**: Bir [payment](https://www.corbado.com/passkeys-for-payment) gateway, bir işlem için güvenli dijital portal görevi gören teknolojidir. Birincil rolü, müşterinin hassas ödeme ayrıntılarını merchant'ın web sitesinden veya satış noktası (POS) sisteminden yakalamak, şifrelemek ve bunları güvenli bir şekilde ödeme işlemcisine veya edinen bankaya iletmektir. İşlemin "ön kapısıdır", verilerin güvenli bir şekilde iletilmesinden sorumludur ancak fonların hareketinden sorumlu değildir. - **Hedef**: Merchant'lara çevrimiçi ödemeleri kabul etmek için güvenli ve güvenilir bir yol sağlamak. - **Örnekler**: Authorize[.net](https://www.corbado.com/blog/passkeys-asp-net-core) (bir Visa çözümü), Braintree, Stripe [Payment](https://www.corbado.com/passkeys-for-payment) Gateway. 2. **Payment Processor:** - **Açıklama**: Bir [payment](https://www.corbado.com/passkeys-for-payment) processor, çeşitli taraflar arasındaki işlem mesajlarını yürüten kuruluştur. Güvenli verileri payment gateway'den aldıktan sonra, işlemci, işlemin yetkilendirilmesini ve mutabakatını kolaylaştırmak için kart ağı ve dolayısıyla ihraççı ve edinen bankalarla iletişim kurar. İşlemciyi, ödemenin gerçekleşmesi için gereken teknik iletişimi yürüten operasyonel motor olarak, gateway'i ise bu iletişim için güvenli kanal olarak düşünebiliriz. - **Hedef**: Ödeme mesajlarını güvenilir ve verimli bir şekilde yürütmek, işlem mutabakatını yönetmek ve ihraççı ile edinen bankalar arasındaki anlaşmazlık çözümünü ele almak. - **Örnekler**: First Data (şimdi Fiserv), TSYS, Worldpay. 3. **Payment Service Provider (PSP):** - **Açıklama**: Bir [Payment Service Provider](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk), merchant'lara elektronik ödemeleri kabul etmek için kapsamlı, paketlenmiş bir çözüm sunan bir şirkettir. Modern bir [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk), genellikle bir payment gateway ve bir payment processor işlevlerini birleştirir ve genellikle merchant hesabını da tek bir sözleşme altında sağlar. Bu "hepsi bir arada" model, artık bir gateway sağlayıcısı ve bir edinen banka ile ayrı ilişkiler kurmak zorunda kalmayan merchant'lar için süreci büyük ölçüde basitleştirir. Bazı bağlamlarda, merchant'lar için çeşitli ödeme yöntemlerini bir araya getiren [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk)'ler **Payment Aggregator** olarak da adlandırılır. - **Hedef**: Merchant'lara tüm ödeme ihtiyaçları için tek durak bir çözüm sunmak, karmaşıklığı ortadan kaldırmak ve ödeme kabulünü basitleştirmek. - **Örnekler**: Stripe, Adyen, [PayPal](https://www.corbado.com/blog/paypal-passkeys), Mollie. 4. **Hesaptan Hesaba (A2A) / Açık Bankacılık Sağlayıcıları:** - **Açıklama**: Bu, geleneksel kart ağlarını tamamen atlayan, hızla büyüyen bir ödeme sağlayıcıları kategorisidir. A2A ödemeleri, fonları doğrudan bir tüketicinin banka hesabından bir merchant'ın banka hesabına taşır. Bu genellikle, bankaların lisanslı üçüncü taraf sağlayıcılar için müşteri hesap verilerine ve ödeme başlatma hizmetlerine güvenli API erişimi sağlamasını zorunlu kılan "Açık Bankacılık" düzenlemeleri (Avrupa'daki [PSD2](https://www.corbado.com/blog/psd2-passkeys) gibi) ile mümkün olmaktadır. Bu sağlayıcılar, bu API'lerin üzerine kullanıcı dostu arayüzler oluşturarak tüketicilerin bankalarıyla kimlik doğrulaması yapmasına ve sorunsuz bir akışta bir ödemeyi onaylamasına olanak tanır. - **Hedef**: Bankalar arası işlem ücretlerini ortadan kaldırarak ve banka düzeyinde [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) yoluyla dolandırıcılığı azaltarak kartlı ödemelere daha düşük maliyetli, son derece güvenli bir alternatif sunmak. - **Örnekler**: Trustly, Plaid, Tink, GoCardless, Fintecture. Bu rollerin birleşmesinin derin etkileri vardır. Akademik olarak farklı olsalar da, pratikte bir merchant'ın tek temas noktası genellikle temel gateway, işlemci ve [acquirer](https://www.corbado.com/glossary/acquirer) ilişkilerinin karmaşıklığını ortadan kaldıran bir [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk)'dir. Ancak, bu PSP'lerin yetenekleri önemli ölçüde değişebilir. Başka bir şirketin gateway hizmetlerinin yalnızca bir satıcısı olan bir PSP, kendi işleme [altyapısına](https://www.corbado.com/passkeys-for-critical-infrastructure) ve edinen lisanslarına sahip tam donanımlı bir PSP'den çok farklı teknik yeteneklere ve stratejik çıkarlara sahiptir. Bu ayrım, gelişmiş [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) yöntemleri için entegrasyon fırsatlarını değerlendirirken önemlidir. ### 3.3 Relying Party'nin (RP) Rolü Ek olarak, ödeme akışının daha derin bir analizi, yeni kimlik doğrulama teknolojilerinin arkasındaki stratejik motivasyonları açıklığa kavuşturan temel bir kavramı ortaya koymaktadır: **Relying Party (RP)** rolü. FIDO kimlik doğrulaması ve [passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) bağlamında, [Relying Party](https://www.corbado.com/glossary/relying-party), en nihayetinde bir kullanıcının kimliğini doğrulamaktan sorumlu olan varlıktır. Standart bir ödeme işleminde, dolandırıcılığın finansal riskini ihraççı üstlenir ve bu nedenle varsayılan [Relying Party](https://www.corbado.com/glossary/relying-party)'dir; ödemeyi onaylama veya reddetme kararı onlara aittir. Passkey entegrasyonu için ortaya çıkan mimari modeller, en iyi şekilde Relying Party olarak kimin hareket edeceği üzerine stratejik bir müzakere olarak anlaşılabilir. [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) modelinde, ihraççı RP olarak kalır ancak merchant'ın kimlik doğrulama seremonisini _başlatmasına_ izin verir. [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys) (DA) modelinde, ihraççı RP işlevini açıkça merchant'a veya PSP'sine _devreder_. Ağ merkezli modelde ise Visa ve Mastercard, misafir ödeme işlemleri için kendilerini bir federasyon tabanlı Relying Party olarak konumlandırır. Bu nedenle, passkey entegrasyonunu düşünen herhangi bir ödeme sağlayıcısı için merkezi soru şu hale gelir: > "Bu akışta Relying Party kim veya kim olmak istiyor?" Cevap, doğrudan entegrasyon fırsatını, kilit karar vericiyi ve temel stratejik hedefi işaret eder. > **Derinlemesine Bakış:** WebAuthn ve passkey'ler bağlamında Relying Party'lere ayrıntılı > bir giriş için tam rehberimizi okuyun: WebAuthn Relying Party ID (rpID) & Passkeys: Alan > Adları ve Yerel Uygulamalar. ### 3.4 Ekosistemi Görselleştirme: Veri ve Değer Akışı Bu ilişkilerin net bir görsel temsilini sağlamak için, ödeme yaşam döngüsünü gösteren bir akış şeması esastır. Böyle bir diyagram, iki farklı ancak birbiriyle bağlantılı yolu tasvir edecektir: 1. **Veri Akışı (Yetkilendirme):** Bu yol, yetkilendirme talebinin yolculuğunu izler. Müşterinin merchant'ın sitesinde ödeme ayrıntılarını göndermesiyle başlar, payment gateway üzerinden işlemciye/acquirer'a akar, ardından kart ağı üzerinden risk kararı için ihraççıya gider ve son olarak onay veya ret yanıtı merchant'a ve müşteriye geri [döner](https://www.corbado.com/passkeys-for-travel). Bu sürecin tamamı saniyeler içinde gerçekleşir. 2. **Değer Akışı (Mutabakat):** Bu yol, yetkilendirmeden sonra gerçekleşen para hareketini gösterir. Toplu işlemlerin takas edildiğini, fonların ihraççıdan ağ üzerinden acquirer'a (bankalararası komisyon ücretleri düşüldükten sonra) aktığını ve son olarak genellikle birkaç iş günü süren bir süreçle merchant'ın hesabına yatırıldığını gösterir. ([Payment processing: How payment processing works | Stripe](https://stripe.com/resources/more/payment-processing-explained)) Bu görselleştirme, ekosistemdeki herhangi bir katılımcının konumunu anında belirlemesine ve diğer tüm taraflarla doğrudan ve dolaylı ilişkilerini anlamasına olanak tanır, bu da kimlik doğrulama müdahalelerinin nerede gerçekleşebileceğine dair ayrıntılı bir analiz için zemin hazırlar. ```mermaid sequenceDiagram participant C as Customer participant M as Merchant participant P as Gateway/Acquirer participant N as Card Network participant I as Issuer C->>M: 1. Submit Payment Details M->>P: 2. Securely Transmit Details P->>N: 3. Authorization Request N->>I: 4. Route to Issuer for Verification I-->>N: 5. Approve/Decline Response N-->>P: 6. Relay Response P-->>M: 7. Relay Response M-->>C: 8. Confirm Order or Request New Payment M->>P: 9. Submit Batch of Approved Transactions P->>N: 10. Clearing Request N->>I: 11. Request Funds from Issuer I-->>N: 12. Transfer Funds (minus interchange fees) N-->>P: 13. Credit Acquirer with Funds P-->>M: 14. Deposit Funds to Merchant (minus processing fees) ``` | Oyuncu | Temel İşlev | Ana Sorumluluklar | Tipik Örnekler | | ---------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------- | | **Müşteri / Kart Sahibi** | Mal veya hizmetler için ödeme başlatır. | Ödeme kimlik bilgilerini sağlar; harcamaları ihraççıya geri öder. | Çevrimiçi alışveriş yapan bir birey. | | **Merchant** | Mal veya hizmet satar ve elektronik ödemeleri kabul eder. | Ödeme kabul teknolojisini entegre eder; ödeme deneyimini yönetir. | Bir e-ticaret web sitesi veya perakende mağazası. | | **İhraççı Banka (Issuer)** | Müşterilere ödeme kartları düzenler ve riski üstlenir. | İşlemleri yetkilendirir veya reddeder; kart sahibi hesaplarını yönetir; kart sahibini faturalandırır. | Bank of America, Chase, Barclays. | | **Edinen Banka (Acquirer)** | Merchant'lara kartlı ödemeleri kabul etme olanağı sağlar. | Merchant hesapları oluşturur ve sürdürür; fonları merchant'a yatırır. | Wells Fargo Merchant Services, Worldpay (from FIS). | | **Kart Ağları (Schemes):** | Tüm tarafları birbirine bağlayan ağları işletir. | Bankalararası komisyon oranlarını ve kurallarını belirler; yetkilendirme ve mutabakat mesajlarını yönlendirir. | Visa, Mastercard, American Express. | | **Payment Gateway** | Ödeme verilerini merchant'tan işlemciye güvenli bir şekilde iletir. | Hassas kart verilerini şifreler; işlem için güvenli "ön kapı" görevi görür. | Authorize.net (bir Visa çözümü), Stripe Payment Gateway. | | **Payment Processor** | İşlem için teknik iletişimi yönetir. | Acquirer, ihraççı ve kart ağı arasındaki bilgi alışverişini kolaylaştırır. | First Data (şimdi Fiserv), TSYS. | | **Payment Service Provider (PSP)** | Merchant'lara kapsamlı, hepsi bir arada bir ödeme çözümü sunar. | Gateway, işleme ve merchant hesabı hizmetlerini bir araya getirir; ödeme kabulünü basitleştirir. | Stripe, Adyen, PayPal, Mollie. | | **Hesaptan Hesaba (A2A) / Açık Bankacılık Sağlayıcıları:** | Fonları doğrudan bir tüketicinin banka hesabından bir merchant'ın banka hesabına taşımak için geleneksel kart ağlarını atlar. | Lisanslı üçüncü taraf sağlayıcılar için müşteri hesap verilerine ve ödeme başlatma hizmetlerine güvenli API erişimi sağlar. | Trustly, Plaid, Tink, GoCardless, Fintecture. | ### 3.5 Bölgesel Pazar Liderleri Ödeme ekosistemi her büyüklükte oyuncu içerse de, işleme ve edinim pazarı bölgeye göre değişen birkaç büyük oyuncu etrafında yoğunlaşmıştır. Küresel devler genellikle güçlü ulusal ve bölgesel şampiyonlarla rekabet eder. Aşağıdaki tablo, farklı coğrafyalardaki kilit oyuncuların bir anlık görüntüsünü sunmaktadır. | Bölge | Kuruluş | Tür | | ----------------- | ------------------------------------------------------------------------------------------------------- | ------------------- | | **Kuzey Amerika** | PayPal, Stripe, Block (Square), Adyen, Bill, Brex, Ria Money Transfer | PSP | | **Kuzey Amerika** | Fiserv (Clover), Global Payments, JPMorgan Chase Merchant Services | Acquirer/Processor | | **Kuzey Amerika** | Plaid | A2A/Açık Bankacılık | | **Avrupa** | Adyen, Stripe, PayPal, Checkout.com, Worldline, Nexi, Klarna, Mollie, Wise | PSP | | **Avrupa** | Worldpay (from FIS), Barclaycard | Acquirer/Processor | | **Avrupa** | Trustly, Brite Payments, Tink, GoCardless, Fintecture, Ivy | A2A/Açık Bankacılık | | **Avrupa** | iDEAL (Hollanda), Bancontact (Belçika), Swish (İsveç) | Yerel Scheme | | **Asya-Pasifik** | Alipay & WeChat Pay (Çin), PhonePe & Paytm (Hindistan), GrabPay & GoTo (GDA), Razorpay, PayU, Airwallex | PSP | | **Asya-Pasifik** | Tyro Payments | Acquirer/Processor | | **Asya-Pasifik** | UPI (Hindistan), Australian Payments Plus (AP+) | Yerel Scheme | | **Latin Amerika** | Mercado Pago, PagSeguro, StoneCo, EBANX | PSP | | **Latin Amerika** | Cielo, Rede, Getnet (Brezilya), Transbank (Şili), Prisma (Arjantin) | Acquirer/Processor | | **Latin Amerika** | Pix (Brezilya) | Yerel Scheme | ## 4. Kartın Fiziksel Olarak Bulunmadığı (CNP) Bir İşlemin Anatomisi ve 3-D Secure Katmanı Her çevrimiçi satın alma, iki ana aşamaya ayrılabilecek karmaşık, yüksek hızlı bir olaylar dizisini tetikler: yetkilendirme ve mutabakat. Bu sürecin üzerine katmanlanmış olan, modern çevrimiçi ödeme kimlik doğrulamasının zorluklarını anlamak için merkezi olan [3-D Secure](https://www.corbado.com/glossary/3d-secure) olarak bilinen kritik bir güvenlik protokolüdür. ### 4.1 İşlem Yaşam Döngüsü: "Öde"den "Ödendi"ye Tek bir [CNP](https://www.corbado.com/glossary/cnp) işleminin yaşam döngüsü, neredeyse anlık bir veri alışverişini ve ardından daha yavaş bir fon transferini içerir. #### 4.1.1 Yetkilendirme Yetkilendirme, kart sahibinin satın almayı tamamlamak için yeterli fona veya krediye sahip olduğunun ve işlemin meşru olduğunun doğrulanması sürecidir. Bu aşama saniyeler içinde gerçekleşir ve kesin, çok adımlı bir yol izler ([Payment processing: How payment processing works | Stripe](https://stripe.com/resources/more/payment-processing-explained)): 1. **İşlem Başlatma:** Müşteri ürünlerini seçer, ödeme adımına geçer ve ödeme kartı bilgilerini (kart numarası, son kullanma tarihi, CVV) merchant'ın çevrimiçi ödeme formuna girer. 2. **Güvenli İletim:** Merchant'ın web sitesi bu bilgiyi güvenli bir şekilde ödeme ağ geçidine (payment gateway) iletir. Ağ geçidi, verileri aktarım sırasında korumak için şifreler. 3. **İşlemciye/Acquirer'a Yönlendirme:** Ağ geçidi, şifrelenmiş işlem ayrıntılarını ödeme işlemcisine ve/veya merchant'ın edinen bankasına (acquirer) iletir. 4. **Ağ İletişimi:** Acquirer, yetkilendirme talebini uygun kart ağına (ör. Visa, Mastercard) gönderir. 5. **İhraççı Doğrulaması:** Kart ağı, talebi kart sahibinin ihraççı bankasına yönlendirir. İhraççının sistemleri bir dizi kontrol gerçekleştirir: kartın geçerliliğini doğrulamak, mevcut bakiyeyi veya kredi limitini kontrol etmek ve işlemi dolandırıcılık tespit motorlarından geçirmek. 6. **Yetkilendirme Yanıtı:** Bu kontrollere dayanarak, ihraççı işlemi onaylar veya reddeder. Bu karar, bir yanıt kodu şeklinde aynı yol üzerinden geri gönderilir: ihraççıdan kart ağına, acquirer'a, işlemciye/ağ geçidine ve son olarak merchant'ın web sitesine. 7. **Tamamlama:** Onaylanırsa, merchant satışı tamamlar ve müşteriyi bilgilendirir. Reddedilirse, merchant müşteriden alternatif bir ödeme yöntemi ister. #### 4.1.2 Mutabakat Mutabakat, paranın fiilen ihraççıdan merchant'a taşınması sürecidir. Yetkilendirmenin aksine, bu anlık değildir ve genellikle toplu olarak gerçekleşir. ([Payment processing: How payment processing works | Stripe](https://stripe.com/resources/more/payment-processing-explained)) 1. **Toplu İşlem:** İş gününün sonunda, merchant tüm onaylanmış yetkilendirmelerinin bir toplu dosyasını acquirer'ına gönderir. 2. **Takas:** Acquirer, toplu dosyayı takas için kart ağına gönderir. Ağ, işlemleri sıralar ve ilgili ihraççı bankalara iletir. 3. **Fon Transferi:** İhraççı bankalar, onaylanmış işlemler için fonları, acquirer'ın her işlem için ihraççıya ödediği bankalararası komisyon ücretleri düşüldükten sonra, edinen bankaya transfer eder. 4. **Merchant'a Para Yatırma:** Acquirer daha sonra fonları, kendi işlem ücretleri düşüldükten sonra, merchant'ın hesabına yatırır. Bu tüm mutabakat süreci genellikle 1-3 iş günü sürer. ### 4.2 Güvenlik Katmanı: EMV 3-D Secure (3DS) Her [CNP](https://www.corbado.com/glossary/cnp) işleminin üzerine katmanlanmış olan, **3-D Secure (3DS)** olarak bilinen kritik bir güvenlik protokolü bulunur. EMVCo tarafından yönetilen bu protokolün amacı, ihraççının kart sahibini doğrulamasına izin vermek, dolandırıcılığı azaltmak ve ters ibraz (chargeback) sorumluluğunu merchant'tan ihraççıya kaydırmaktır. Modern 3DS (3DS2 olarak da adlandırılır), merchant ile ihraççının **Access Control Server (ACS)** arasında zengin bir veri seti alışverişi yaparak çalışır. Bu veriler, [ACS](https://www.corbado.com/glossary/acs)'nin bir risk değerlendirmesi yapmasına olanak tanır ve bu da iki sonuca yol açar: - **Sorunsuz Akış:** İşlem düşük riskli kabul edilirse, arka planda kullanıcı etkileşimi olmadan sessizce onaylanır. Bu, çoğu işlem için hedeftir. - **Doğrulama Akışı:** İşlem yüksek riskliyse veya [PSD2](https://www.corbado.com/blog/psd2-passkeys) gibi düzenlemeler tarafından zorunlu kılınıyorsa, kullanıcıdan kimliğini kanıtlaması aktif olarak istenir; bu genellikle bir OTP veya bir [bankacılık](https://www.corbado.com/passkeys-for-banking) uygulaması bildirimi ile yapılır. Bu "doğrulama", önemli bir sürtünme noktası ve dönüşüm oranları için kilit bir savaş alanıdır. Sektörün hedefi, sorunsuz akışları en üst düzeye çıkarırken doğrulamaları olabildiğince pürüzsüz hale getirmektir. Passkey'ler, tam da bu yüksek sürtünmeli doğrulamayı çözmek için mükemmel bir konumdadır ve potansiyel bir başarısızlık noktasını güvenli ve sorunsuz bir adıma dönüştürür. > **Derinlemesine Bakış:** 3DS protokolü, [ACS](https://www.corbado.com/glossary/acs)'nin rolü ve satıcıların > FIDO verilerini nasıl entegre ettiği hakkında ayrıntılı bir analiz için tam rehberimizi > okuyun: [EMV 3DS Access Control Server](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc): > Passkeys, FIDO ve [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc). ```mermaid graph TD A[Başlangıç: Müşteri Ödemeye Devam Ediyor] --> B{Merchant 3DS Kontrolünü Başlatır}; B --> C[Merchant'ın SDK'sı zengin işlem ve cihaz verilerini İhraççının ACS'sine gönderir]; C --> D{ACS Risk Motoru Verileri Analiz Eder}; D --> E{İşlem yüksek riskli mi veya SCA zorunlu mu?}; subgraph Sorunsuz Akış E -- Hayır --> F[Kimlik Doğrulama Pasif Olarak Onaylandı - Kullanıcı etkileşimi yok]; end subgraph Doğrulama Akışı E -- Evet --> G[Kullanıcıdan bir kimlik doğrulama meydan okuması istenir]; G --> H{Kullanıcı Doğrulamayı Tamamladı mı? - ör. OTP, Uygulama Bildirimi, SPC/Passkey}; H -- Evet --> I[Kimlik Doğrulama Onaylandı]; H -- Hayır --> J[Kimlik Doğrulama Başarısız]; end F --> K[İşlem, Sorumluluğun İhraççıya Kaydırılmasıyla Devam Eder]; I --> K; J --> L[İşlem Engellendi]; ``` ## 5. Ödemelerde Passkey Devrimi: Temel Entegrasyon Mimarileri [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)'ın [phishing](https://www.corbado.com/glossary/phishing) saldırılarına dayanıklı WebAuthn standardına dayanan passkey'lerin ortaya çıkışı, ödeme kimlik doğrulamasının temelden yeniden tasarlanmasını tetikliyor. Bu, güçlü bir endüstri trendiyle birlikte gerçekleşiyor: merchant'lar, hesap ele geçirme dolandırıcılığıyla mücadele etmek ve kullanıcı deneyimini iyileştirmek için standart kullanıcı kimlik doğrulaması (kayıt ve giriş) için zaten passkey'leri benimsiyor. Bu mevcut yatırım, ödemeye özgü passkey modellerinin üzerine inşa edilebileceği doğal bir temel oluşturuyor. ### 5.1 İhraççı Merkezli Model Bu modelde, kullanıcının bankası (ihraççı), kimlik doğrulama için nihai Relying Party'dir (RP). Passkey, bankanın alan adına (ör. `bank.com`) bağlıdır ve kullanıcı bir işlemi onaylamak için doğrudan bankasıyla kimlik doğrulaması yapar. Bu modelin, ödemenin kart rayları üzerinden mi yoksa doğrudan hesaptan hesaba transferler yoluyla mı yapıldığına bağlı olarak iki ana türü vardır. #### 5.1.1 Kart Tabanlı Yaklaşım: Secure Payment Confirmation (SPC) Bu modelde, ihraççı banka kimlik doğrulamasının kontrolünü elinde tutar ve passkey, kriptografik olarak ihraççının alan adına (ör. `bank.com`) bağlanır. Bankanın web sitesine basit bir yönlendirme mümkün olsa da, bu kötü bir kullanıcı deneyimi yaratır. **Passkey'in sahibi kim?** İhraççı Merkezli modelde, **İhraççı Relying Party'dir (RP)**. **Benimseme Çarkı ve Ağ Etkileri:** Bir ihraççının passkey'inin yeniden kullanılabilirliği güçlü bir çark etkisi yaratır. Bir kullanıcı bankası için bir passkey oluşturduğunda, bu tek passkey, 3DS protokolünü kullanan _herhangi bir_ merchant'ta zorlu işlemleri sorunsuz bir şekilde onaylamak için kullanılabilir. Bu, hem tüketiciler (daha iyi UX) hem de merchant'lar (daha yüksek dönüşüm) için ihraççının kartının değerini artırır. Bunun için endüstri tarafından tasarlanan çözüm, bir merchant'ın bankanın passkey'ini doğrudan ödeme sayfasında çağırarak yönlendirmeyi önlemesine olanak tanıyan bir web standardı olan **Secure Payment Confirmation (SPC)**'dir. Bu süreç ayrıca, kimlik doğrulamasını işlem ayrıntılarına bağlamak için **dinamik bağlama** kullanır ki bu da [SCA](https://www.corbado.com/tr/blog/psd2-ve-passkeys) için çok önemlidir. **Stratejik Kusur:** Teknik zarafetine rağmen, [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) bugün için geçerli bir strateji değildir. Apple'ın Safari'sinde bulunmayan tarayıcı desteği gerektirir. Safari olmadan, [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) evrensel bir çözüm olamaz, bu da onu herhangi bir büyük ölçekli uygulama için pratik olmayan hale getirir. > **Derinlemesine Bakış:** SPC'nin tam teknik dökümü, dinamik bağlamayı nasıl sağladığı ve > tarayıcı desteğinin neden kritik bir kusur olduğu hakkında derinlemesine analizimizi > okuyun: Passkey'ler ile [Dinamik Bağlama](https://www.corbado.com/tr/blog/dinamik-baglama-passkeys-spc): Secure > Payment Confirmation (SPC). ```mermaid sequenceDiagram participant U as User participant M as Merchant Website participant I as Issuer ACS Note over M,I: A 3DS check determines a challenge is needed. M->>I: Authorization Request (High Risk) I-->>M: Initiate SPC Challenge Note over U,M: Browser shows a native prompt to the user. M->>U: Trigger SPC API for issuer's domain (e.g., bank.com) U->>U: User authenticates with device biometrics (Face ID, etc.) U-->>M: Browser receives signed assertion for bank.com M->>I: Forward the signed assertion for validation I-->>M: Authentication Successful ``` #### 5.1.2 A2A / Açık Bankacılık Yaklaşımı Önceki modeller kart ekosistemine odaklanırken, Açık Bankacılık ile güçlendirilmiş Hesaptan Hesaba (A2A) ödemeler, güçlü ve farklı bir paradigma sunar. Bu model, kart raylarını tamamen atlar ve passkey'lerle entegrasyonu benzersiz bir şekilde basit ve etkilidir. Bu modelde, kullanıcı bir ödemeyi onaylamak için doğrudan kendi bankasıyla kimlik doğrulaması yapar. Bu sürecin sürtünmesi - genellikle hantal bir yönlendirme ve bir şifre girişi içerir - A2A'nın benimsenmesinin önündeki en büyük engel olmuştur. Passkey'ler bu temel sorunu doğrudan çözer. **Passkey'in sahibi kim?** **Banka Relying Party'dir (RP)**. Passkey, kullanıcının `mybank.com` ile günlük çevrimiçi bankacılık işlemleri için zaten oluşturduğu passkey'dir. **Benimseme Çarkı ve Ağ Etkileri:** Çark etkisi çok büyüktür ve bankaların kendileri tarafından yönlendirilir. Bankalar, kullanıcılarını birincil bankacılık uygulamalarına veya web sitelerine giriş yapmak için şifrelerden passkey'lere geçmeye teşvik ettikçe, bu passkey'ler otomatik olarak herhangi bir Açık Bankacılık ödemesi için kullanılmaya hazır hale gelir. Kullanıcının fazladan bir şey yapmasına gerek yoktur. Bu, A2A ödeme akışını bir biyometrik tarama kadar basit hale getirir, çekiciliğini ve kartlara karşı rekabet gücünü önemli ölçüde artırır. **Nasıl çalışır:** 1. Ödeme sırasında, kullanıcı bir A2A sağlayıcısı (ör. Trustly, Plaid) veya kendi bankasını seçer. 2. Kullanıcıdan ödemeyi bankasıyla yetkilendirmesi istenir. 3. Banka, RP olarak bir passkey kimlik doğrulama sorgusu tetikler. 4. Kullanıcı [Face ID](https://www.corbado.com/faq/is-face-id-passkey), parmak izi veya PIN ile kimlik doğrulaması yapar. 5. Banka ödemeyi güvenli bir şekilde onaylar ve fonlar doğrudan merchant'ın hesabına aktarılır. Bu model diğer dördüne uymaz çünkü bir kart ağı, 3DS, SPC veya [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys) içermez. Bu, A2A sağlayıcısının merchant ile bankanın kendi, artık passkey özellikli kimlik doğrulama sistemi arasında orkestrasyon katmanı olarak hareket ettiği banka merkezli bir akıştır. ```mermaid sequenceDiagram participant U as User participant M as Merchant Website participant A2A as A2A Provider (e.g. Trustly) participant B as User's Bank U->>M: Selects "Pay from Bank" M->>A2A: Initiate A2A Payment A2A->>U: Prompt user to select their bank U->>A2A: Selects Bank A2A->>B: Request Payment Authorization Note over B,U: Bank prompts user for passkey authentication U->>B: Authenticate with Passkey for mybank.com B-->>A2A: Authentication Successful, Payment Authorized A2A-->>M: Confirm Payment M-->>U: Confirm Order ``` ### 5.2 Merchant Merkezli Model: Delegated Authentication (DA) [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys), geleneksel modelden daha radikal bir ayrılışı temsil eder. 3DS sürüm 2.2 ile etkinleştirilen ve belirli kart şeması programları tarafından desteklenen DA, bir ihraççının [SCA](https://www.corbado.com/tr/blog/psd2-ve-passkeys) gerçekleştirme sorumluluğunu resmi olarak güvenilir bir üçüncü tarafa, en yaygın olarak büyük bir merchant'a, PSP'ye veya [dijital cüzdan](https://www.corbado.com/tr/blog/dijital-cuzdan-guvencesi) sağlayıcısına devredebildiği bir çerçevedir. > Delegated Authentication ve passkey'ler hakkında daha fazla bilgi için blog yazımızı > okuyun: [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) / [PSR](https://www.corbado.com/blog/psd3-psr-passkeys) Kapsamında > Delegated Authentication ve Passkey'ler - Corbado **Passkey'in sahibi kim?** Bu modelde, **Merchant veya PSP'si Relying Party'dir (RP)**. Passkey, merchant'ın alan adı (ör. `amazon.com`) için oluşturulur ve hesap girişi için kullanılır. DA'ya hak kazanmak için, merchant tarafından gerçekleştirilen ilk kimlik doğrulamasının [SCA](https://www.corbado.com/tr/blog/psd2-ve-passkeys) gerekliliklerine tam olarak uyması _gerekir_. Avrupa [Bankacılık](https://www.corbado.com/passkeys-for-banking) Otoritesi'nin [Güçlü Müşteri Kimlik Doğrulaması](https://www.corbado.com/blog/psd2-sca-requirements) hakkındaki yönergelerine göre, bu sadece basit bir giriş değildir; ihraççının kendisinin gerçekleştireceği bir kimlik doğrulamasıyla aynı güce sahip olmalıdır. Passkey'ler, güçlü kriptografik özellikleriyle, bu yüksek çıtayı karşılamak için ideal bir teknolojidir. Ancak, **senkronize passkey'ler** konusunda önemli bir düzenleyici belirsizlik devam etmektedir. Cihaza bağlı passkey'ler SCA'nın "sahiplik" unsurunu açıkça karşılarken, EBA gibi düzenleyiciler, bir kullanıcının bulut hesabı üzerinden taşınabilen senkronize passkey'lerin tek bir cihaza benzersiz bir şekilde bağlı olma konusundaki katı gerekliliği karşılayıp karşılamadığına dair kesin bir görüş bildirmemiştir. Bu, Avrupa'daki herhangi bir DA stratejisi için önemli bir husustur. Bu modelde, kimlik doğrulama olayı müşteri yolculuğunda daha erken bir aşamaya taşınır. Ödeme sürecinin sonunda bir 3DS doğrulaması olarak gerçekleşmek yerine, müşterinin merchant'ın web sitesine veya uygulamasına hesabıyla giriş yaptığı başlangıçta gerçekleşir. Merchant giriş için bir passkey kullanıyorsa, bu başarılı, SCA uyumlu kimlik doğrulamasının kanıtını 3DS veri alışverişi içinde ihraççıya iletebilir. Önceden o merchant ile güvenilir bir ilişki kurmuş olan ihraççı, daha sonra bu bilgiyi bir muafiyet tanımak ve kendi doğrulama akışını tamamen atlamak için kullanabilir. Bu, giriş yapmış kullanıcılar için gerçekten sorunsuz, tek tıkla biyometrik bir ödeme ile sonuçlanabilir. **Benimseme Çarkı ve Ağ Etkileri:** Buradaki çark, merchant'ın doğrudan müşteri ilişkisi tarafından yönlendirilir. Merchant'lar, hesap ele geçirme dolandırıcılığını azaltmak ve UX'i iyileştirmek için giriş için passkey'leri benimsedikçe, passkey özellikli bir kullanıcı tabanı oluştururlar. Bu, bu passkey'leri ödemelerde DA için kullanmak ve üstün bir ödeme deneyiminin kilidini açmak için doğal bir yol yaratır. Ağ etkisi, birden fazla merchant için RP olarak hareket edebilen PSP'ler için en güçlüdür; potansiyel olarak tek bir passkey'in bir mağaza ağı boyunca kullanılmasına izin verir, bu da diğer merchant'ların o PSP'nin ekosistemine katılması için güçlü bir teşvik yaratır. Kart ağları, özel programlar aracılığıyla bu modeli aktif olarak teşvik etmektedir. Örneğin, [Visa'nın Guide Authentication çerçevesi](https://usa.visa.com/products/guide-authentication.html), merchant'ları ihraççı adına SCA gerçekleştirmeleri için güçlendirmek amacıyla DA ile kullanılmak üzere tasarlanmıştır. Benzer şekilde, Mastercard'ın Identity Check Express programı, merchant'ların [tüketiciyi merchant'ın kendi akışı içinde doğrulamasına](https://developer.mastercard.com/product/delegated-authentication-for-merchants/) olanak tanır. Bu model, büyük merchant'ların ve PSP'lerin stratejik vizyonunu yansıtır: > "Birincil müşteri ilişkisine biz sahibiz ve güvenli, sorunsuz bir giriş deneyimine zaten > yatırım yaptık. Mümkün olan en iyi kullanıcı yolculuğunu yaratmak için kimlik doğrulama > işini bize bırakın." Ancak, bu güç sorumlulukla birlikte gelir. Avrupa düzenlemeleri uyarınca, DA "dış kaynak kullanımı" olarak kabul edilir, yani merchant veya PSP, hileli işlemlerin sorumluluğunu üstlenir ve sıkı uyumluluk ve risk yönetimi gerekliliklerine uymak zorundadır. ```mermaid sequenceDiagram participant U as User participant M as Merchant Website participant I as Issuer ACS Note over U,M: Step 1: User logs into the merchant's site. U->>M: Authenticate with passkey for merchant.com M-->>U: Login Successful (SCA has been performed) Note over U,I: Step 2: Later, at checkout... U->>M: Clicks "Pay" M->>I: Authorization Request (including proof of prior SCA) I->>I: Verifies the delegated authentication proof I-->>M: Approve Transaction (No 3DS challenge needed) ``` ### 5.3 Ağ Merkezli Model: Click to Pay ve Federasyon Tabanlı Passkey Hizmetleri Bu model, kart ağları (Visa, Mastercard) tarafından misafir ödeme deneyimini sahiplenmek ve standartlaştırmak için yönlendirilen büyük bir stratejik girişimdir. **Visa Payment Passkey Service** gibi kendi FIDO tabanlı passkey hizmetlerini **Click to Pay** çerçevesinin üzerine inşa etmişlerdir. **Passkey'in sahibi kim?** Ağ Merkezli modelde, **Kart Ağı Relying Party'dir**. Passkey, ağın alan adı (ör. `visa.com`) için oluşturulur. **Benimseme Çarkı ve Ağ Etkileri:** Bu model en güçlü ağ etkisine sahiptir. Bir kart ağı için oluşturulan tek bir passkey, Click to Pay'i destekleyen her merchant'ta anında yeniden kullanılabilir, bu da tüketici için muazzam bir değer yaratır ve klasik bir iki taraflı pazar çarkını yönlendirir. > **Derinlemesine Bakış:** Hem Visa hem de Mastercard bu stratejiyi agresif bir şekilde > takip ediyor. Uygulamalarının özelliklerini [Visa Passkeys](https://www.corbado.com/blog/visa-passkeys) ve > [Mastercard Passkeys](https://www.corbado.com/blog/mastercard-passkeys) hakkındaki özel makalelerimizde > keşfedin. ```mermaid sequenceDiagram participant U as User participant M as Merchant Website participant N as Card Network (Click to Pay) participant I as Issuer Note over M,U: Guest Checkout Flow U->>M: Clicks "Click to Pay" button M->>N: Initiate Click to Pay flow Note over N,U: User is prompted to authenticate to the Network. N->>U: Browser triggers passkey prompt for network.com U->>U: User authenticates with device biometrics U-->>N: Signed assertion returned to Network N->>N: Validates user, retrieves stored card token N->>I: Authorization Request with network token I-->>N: Approve/Decline N-->>M: Send auth response to merchant ``` ### 5.4 PSP Merkezli Model: Cüzdan Tabanlı Kimlik Doğrulama Bu model, **PayPal** veya **Stripe (Link ile)** gibi kendi tüketiciye yönelik cüzdanlarını işleten büyük Ödeme Hizmeti Sağlayıcıları (PSP'ler) etrafında şekillenir. Bu yaklaşımda, **PSP Relying Party'dir** ve tüm kimlik doğrulama ve ödeme akışına sahiptirler. **Passkey'in sahibi kim?** PSP Merkezli modelde, **PSP Relying Party'dir (RP)**. Passkey, PSP'nin alan adı (ör. `paypal.com`) için oluşturulur ve kullanıcının hesabını o PSP'nin ekosistemi içinde güvence altına alır. **Benimseme Çarkı ve Ağ Etkileri:** Bu modelin de son derece güçlü bir ağ etkisi vardır. Büyük bir PSP'nin [cüzdan](https://www.corbado.com/tr/blog/dijital-cuzdan-guvencesi)ı için oluşturulan bir passkey, o PSP'yi kabul eden her merchant'ta yeniden kullanılabilir, bu da kullanıcılar ve merchant'lar için PSP'nin ekosistemine katılmak için güçlü bir teşvik yaratır. > **Derinlemesine Bakış:** [PayPal](https://www.corbado.com/blog/paypal-passkeys) bu alanda bir öncüdür. > Ekosistemlerini güvence altına almak için passkey'leri nasıl kullandıklarına dair > ayrıntılı bir vaka çalışması için analizimizi okuyun: > [PayPal Passkeys](https://www.corbado.com/blog/paypal-passkeys): PayPal gibi Passkey'leri Uygulayın. ```mermaid sequenceDiagram participant U as User participant M as Merchant Website participant P as PSP / Wallet (e.g. PayPal) U->>M: Selects "Pay with PSP" at Checkout M->>U: Redirects or shows popup for PSP login Note over P,U: User authenticates directly to the PSP U->>P: Authenticate with Passkey for psp.com P-->>U: Authentication Successful P-->>M: Send Payment Guarantee / OK to Merchant M-->>U: Confirm Order ``` ## 6. Ödemelerde Passkey'lerle İlgili Genel Zorluklar ### 6.1 Passkey Taşınabilirliğini Anlamak: Relying Party'nin Rolü Sıkça sorulan ve kritik bir soru, bir model için oluşturulan bir passkey'in başka bir modelde yeniden kullanılıp kullanılamayacağıdır. Örneğin, bir kullanıcının bankası için SPC ile kullanmak üzere oluşturduğu bir passkey, bir DA akışında bir merchant'ın web sitesine giriş yapmak için kullanılabilir mi? Cevap hayır ve bu, **Relying Party'nin (RP)** merkezi rolünü vurgular. Bir passkey, temelde bir kullanıcıyı belirli bir RP'ye bağlayan kriptografik bir kimlik bilgisidir. Genel anahtar RP'nin sunucularına kaydedilir ve özel anahtar kullanıcının cihazında kalır. Kimlik doğrulama, o özel anahtarın sahipliğini _o belirli RP'ye_ kanıtlama eylemidir. - **İhraççı Merkezli (SPC)** modelinde, RP **İhraççı'dır** (ör. `chase.com`). Passkey bankaya kaydedilir. - **Merchant Merkezli (DA)** modelinde, RP **Merchant** veya PSP'sidir (ör. `amazon.com` veya `stripe.com`). Passkey, giriş için merchant'a kaydedilir. - **Ağ Merkezli** modelde, RP **Kart Ağı'dır** (ör. `visa.com`). Passkey, Click to Pay için ağa kaydedilir. - **PSP Merkezli** modelde, RP **Ödeme Hizmeti Sağlayıcısı'dır** (ör. `paypal.com`). Passkey, PSP'nin [cüzdan](https://www.corbado.com/tr/blog/dijital-cuzdan-guvencesi)ına veya hizmetine kaydedilir. Passkey, kriptografik olarak RP'nin alan adına bağlı olduğu için, `chase.com` ile kaydedilmiş bir passkey `amazon.com` tarafından doğrulanamaz. Bunlar teknik açıdan farklı dijital kimliklerdir. Bir kullanıcının etkileşimde bulunduğu her Relying Party için ayrı bir passkey oluşturması gerekecektir. Passkey'leri güçlü kılan "yeniden kullanılabilirlik" ve "taşınabilirlik" iki alandan gelir: 1. **Passkey Senkronizasyonu:** [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) ve [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) gibi hizmetler, passkey'leri bir kullanıcının cihazları arasında senkronize eder. Yani, bir telefonda `chase.com` için oluşturulan bir passkey, kullanıcının dizüstü bilgisayarında otomatik olarak kullanılabilir, ancak hala sadece `chase.com` içindir. 2. **Federasyon:** Bu, Click to Pay tarafından kullanılan modeldir. Bir merchant, kullanıcıyı doğrulamak için Ağa (ör. Visa) güvenebilir. Kullanıcı Visa'ya (RP) kimlik doğrulaması yapar ve Visa daha sonra merchant'a kullanıcının meşru olduğunu bildirir. Bu, bir web sitesinin girişi yönetmek için Google'a güvendiği "Google ile Giriş Yap"a benzer. Passkey, merchant tarafından yeniden kullanılmıyor; _kimlik doğrulama olayı_ yeniden kullanılıyor. Bu nedenle, dört model sadece farklı teknik yollar değil, aynı zamanda rakip kimlik stratejileridir. Her biri, ödeme kimlik doğrulaması için birincil Relying Party olmak üzere farklı bir varlık önerir ve kullanıcılar muhtemelen ihraççıları, favori merchant'ları, PSP cüzdanları _ve_ kart ağları için passkey'lere sahip olacaklardır. ### 6.2 Operasyonel Zorluklar: Kurtarma Sorunu Bu modeller kimlik doğrulamak için güçlü yeni yollar sunarken, aynı zamanda genellikle göz ardı edilen kritik bir operasyonel zorluk da getiriyor: **passkey geri yükleme ve hesap kurtarma**. [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) ve [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) gibi platformlar tarafından yönetilen senkronize passkey'ler, tek bir kayıp cihaz sorununu azaltır. Ancak, bir kullanıcının _tüm_ cihazlarını kaybetmesi veya ekosistemler arasında geçiş yapması (ör. [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)'tan [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)'e) sorununu çözmezler. Bu senaryolarda, kullanıcının kimliğini başka yollarla kanıtlaması ve yeni bir cihaza bir passkey kaydetmesi için güvenli ve kullanıcı dostu bir süreç, herhangi bir büyük ölçekli dağıtım için pazarlık edilemez bir ön koşuldur. Mastercard'ın kendi belgelerinde belirttiği gibi, cihaz değiştiren bir kullanıcının yeni bir passkey oluşturması gerekecektir; bu süreç bankası tarafından kimlik doğrulaması gerektirebilir. ([Mastercard® payment passkeys – Frequently asked questions](https://www.mastercard.com/content/dam/public/mastercardcom/na/global-site/documents/mastercard-payment-passkeys-faqs.pdf)) Bu, eksiksiz bir passkey çözümünün yalnızca kimlik doğrulama seremonisini değil, aynı zamanda sağlam kurtarma akışları da dahil olmak üzere passkey yönetiminin tüm yaşam döngüsünü kapsaması gerektiğini vurgular. ## 7. Stratejik Entegrasyon Noktaları ve Karşılaştırmalı Analiz İhraççı Merkezli (SPC), Merchant Merkezli (DA), Ağ Merkezli (Click to Pay) ve PSP Merkezli olmak üzere dört mimari model, ödeme ekosistemindeki farklı oyuncular için belirgin entegrasyon fırsatlarına dönüşmektedir. Her yaklaşım, kullanıcı deneyimi, uygulama karmaşıklığı, sorumluluk ve kontrol arasında benzersiz bir dizi ödünleşim sunar. Bu bölüm, stratejik karar vermeye rehberlik etmek için bu entegrasyon noktalarının pragmatik bir analizini sunmaktadır. ### 7.1 İhraççı / ACS Sağlayıcısında Entegrasyon - **Fırsat:** İhraççılar ve onlara hizmet veren Access Control Server (ACS) sağlayıcıları için birincil fırsat, OTP'ler ve şifreler gibi eski yöntemleri Secure Payment Confirmation (SPC) ile değiştirerek 3DS "doğrulama akışını" geliştirmektir. - **Hedef Kitle:** Bu entegrasyon, [ACS](https://www.corbado.com/glossary/acs) sağlayıcılarını (ör. Netcetera, CA Technologies/Arcot), ihraççı alanına hizmet veren teknoloji satıcılarını ve kendi kurum içi ACS platformlarını işleten büyük ihraççı bankaları hedeflemektedir. - **Sağlayıcının Rolü:** Corbado gibi bir hizmet olarak passkey sağlayıcısı, SPC spesifikasyonuyla tam uyumlu, gömülebilir bir FIDO sunucusu veya yazılım modülü sunar. Bu modül, temel ACS platformuna entegre edilerek, ACS'nin risk motoru bir doğrulama gerektiğini belirlediğinde bir SPC akışını tetiklemesine olanak tanır. - **Artıları:** - **Yüksek Güvenlik ve Mevzuata Uygunluk:** SPC'nin kriptografik [dinamik bağlama](https://www.corbado.com/tr/blog/dinamik-baglama-passkeys-spc) kullanımı, belirli işlem ayrıntıları için kullanıcı rızasının güçlü, denetlenebilir kanıtını sağlar ve [PSD2](https://www.corbado.com/blog/psd2-passkeys) SCA gibi düzenlemelerin temel gereksinimlerini doğrudan karşılar. - **OTP'lere Göre Geliştirilmiş Kullanıcı Deneyimi:** Hızlı bir biyometrik tarama ile kimlik doğrulamak, SMS yoluyla alınan bir kodu manuel olarak girmekten önemli ölçüde daha hızlı ve hataya daha az açıktır, bu da doğrulama dönüşüm oranlarında ölçülebilir bir artışa yol açabilir. - **Net Sorumluluk Modeli:** Bu model, mevcut 3DS çerçevesine sorunsuz bir şekilde uyar. Bir işlem SPC aracılığıyla başarıyla doğrulandığında, hileli ters ibrazların sorumluluğu, diğer 3DS doğrulama yöntemlerinde olduğu gibi, merchant'tan ihraççıya geçer. - **Eksileri:** - **Hala bir "Doğrulama" Akışı:** SPC doğrulama deneyimini iyileştirse de, onu ortadan kaldırmaz. Kullanıcı hala ödeme sırasında bir kimlik doğrulama adımıyla kesintiye uğrar. Bu deneyim, daha iyi olsa da, tamamen pasif bir "sorunsuz" akışa veya başarılı bir Delegated Authentication akışına göre doğası gereği daha fazla sürtünmelidir. - **İhraççı Risk Mantığına Bağımlı:** SPC kullanımının benimsenmesi ve sıklığı tamamen ihraççının ACS'sine ve RBA motoruna bağlıdır. ACS hala bir doğrulama tetikleyip tetiklemeyeceğine ve _ne zaman_ tetikleyeceğine karar verir. - **Ekosistem Hazırlık Gecikmesi:** Yaygın kullanım, ekosistemin EMV 3DS sürüm 2.3 veya üstünü benimsemesini ve kullanıcı tarayıcılarının SPC Web API'sini desteklemesini gerektirir. Tartışıldığı gibi, özellikle [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) gibi mobil platformlarda evrensel destek eksikliği önemli bir engeldir. ### 7.2 Merchant / Ödeme Hizmeti Sağlayıcısında (PSP) Entegrasyon - **Fırsat:** Merchant'ın veya PSP'sinin müşteri giriş noktasında SCA gerçekleştirmesine olanak tanıyan Delegated Authentication (DA) uygulamak, böylece geri dönen, kimliği doğrulanmış kullanıcılar için tamamen sorunsuz bir ödeme deneyimi yaratmak. - **Hedef Kitle:** Bu, en çok büyük [e-ticaret](https://www.corbado.com/passkeys-for-e-commerce) merchant'ları, tam donanımlı PSP'ler (Stripe veya Adyen gibi) ve tüketiciyle doğrudan ilişkisi olan ve güvenli bir hesap ve giriş sistemine zaten yatırım yapmış [dijital cüzdan](https://www.corbado.com/tr/blog/dijital-cuzdan-guvencesi) sağlayıcıları için geçerlidir. - **Sağlayıcının Rolü:** Bir passkey sağlayıcısı, merchant'ın giriş akışı için temel passkey kimlik doğrulama çözümünü sağlar. Kritik olarak, çözüm aynı zamanda, uyumlu bir SCA'nın zaten gerçekleştiğini ihraççıya bildirmek için 3DS kimlik doğrulama talebine paketlenebilecek gerekli veri çıktılarını ve kriptografik kanıtları da sağlamalıdır. - **Artıları:** - **Optimal Kullanıcı Deneyimi:** Bu model, kimliği doğrulanmış kullanıcılar için mümkün olan en sorunsuz ödeme akışını sunar. Kimlik doğrulama adımını kullanıcı yolculuğunun doğal ve tanıdık bir parçasına (hesap girişi) taşır ve 3DS doğrulamasını tamamen ortadan kaldırarak gerçek bir tek tıkla ödeme sağlayabilir. - **En Yüksek Dönüşüm Potansiyeli:** Ödeme sırasındaki son sürtünme noktasını kaldırarak, DA, ödeme dönüşüm oranlarında en önemli artışı sağlama potansiyeline sahiptir. Wise kart sahipleriyle yapılan bir Stripe pilot çalışması, DA çözümünü kullanan işlemler için %7'lik bir dönüşüm artışı bildirdi. - **Merchant-Müşteri İlişkisini Güçlendirir:** Tüm kimlik doğrulama ve ödeme deneyimi, merchant'ın markalı ortamında kalır ve müşteriyle doğrudan ilişkilerini pekiştirir. - **Eksileri:** - **Karmaşık Ticari Koşullar ve Sorumluluk:** DA basit bir teknik değişiklik değildir. İhraççılar ile güvenmeyi seçtikleri merchant'lar/PSP'ler arasında açık, genellikle ikili anlaşmalar gerektirir. Ayrıca, devredilen kimlik doğrulamasını gerçekleştiren taraf dolandırıcılık sorumluluğunu üstlenir ve düzenleme, önemli bir uyum yükü taşıyan bir "dış kaynak kullanımı" biçimi olarak sıkı düzenleyici gözetime tabidir. - **İhraççı Güvenine Bağımlı:** Tüm model, bir ihraççının merchant'ın kimlik doğrulama sürecine güvenme istekliliğine bağlıdır. Bu güven muhtemelen başlangıçta yalnızca en büyük, en güvenli ve en stratejik ortaklara verilecektir. - **Parçalı Benimseme:** Evrensel bir standardın aksine, DA, ihraççı başına, merchant başına benimsenecek ve bu da deneyimin tüm kart sahipleri için tüm merchant'larda tutarlı olmadığı parçalı bir manzaraya yol açacaktır. ### 7.3 Kart Ağında Entegrasyon (Click to Pay aracılığıyla) - **Fırsat:** Büyük hacimli misafir ödeme işlemleri için ağ markalı passkey deneyimini etkinleştirmek. - **Hedef Kitle:** Merchant müşteri tabanlarına modern, standartlaştırılmış bir misafir ödeme çözümü sunmak isteyen Payment Gateway'ler ve PSP'ler. - **Sağlayıcının Rolü:** Sağlayıcı, önemli bir entegrasyon ortağı olarak hareket edebilir. Visa ve Mastercard'ın ayrı, tescilli passkey hizmetleri geliştirdiği göz önüne alındığında, bir passkey sağlayıcısı, her ağın farklı API'leriyle entegrasyonun karmaşıklığını ortadan kaldıran birleşik bir SDK veya bir "orkestrasyon katmanı" sunabilir ve PSP için tek, basitleştirilmiş bir entegrasyon noktası sağlayabilir. - **Artıları:** - **Standartlaştırılmış Misafir Ödeme Çözümü:** Passkey'li Click to Pay, önemli bir endüstri sorununu çözer: yüksek sürtünmeli, yüksek terk oranlı misafir ödemesi. Tutarlı, tanınabilir ve güvenilir bir deneyim sunar. - **Ağ Odaklı Benimseme:** Visa ve Mastercard, bu girişimin arkasına tüm ağırlıklarını koyuyor, bu da ihraççılar, merchant'lar ve tüketiciler tarafından hızlı bir şekilde benimsenmesini sağlayacaktır. PSP'ler bunu desteklemek için rekabetçi bir baskıyla karşı karşıya kalacaklardır. - **Basitleştirilmiş Sorumluluk ve Güvenlik Yükü:** Federasyon tabanlı Relying Party olarak hareket eden kart ağı, FIDO kimlik doğrulama [altyapısını](https://www.corbado.com/passkeys-for-critical-infrastructure) oluşturma ve güvence altına alma konusundaki birincil yükü üstlenir, bu da merchant için güvenlik ve sorumluluk duruşunu basitleştirir. - **Eksileri:** - **Kontrol ve Markalaşma Kaybı:** Birincil dezavantaj, merchant'ın ve PSP'sinin ödeme kullanıcı deneyimi üzerindeki kontrolü kart ağına devretmesidir. Ödeme, markalarını ve kullanıcı arayüzlerini içeren bir "Visa ödemesi" veya "Mastercard ödemesi" haline gelir. - **Aracısızlaşma Potansiyeli:** [E-ticaret](https://www.corbado.com/passkeys-for-e-commerce) için merkezi kimlik sağlayıcısı haline gelerek, ağlar zamanla merchant ile müşteri arasındaki doğrudan veri ve marka ilişkisini zayıflatabilir. - **"Kara Kutu" Uygulaması:** Ağın FIDO sunucusunun, risk motorlarının ve kimlik doğrulama mantığının iç işleyişi merchant ve PSP için opaktır. Kurallarını ve kullanıcı deneyimini kontrol etmedikleri bir hizmetle entegre oluyorlar. | Kategori | İhraççı / ACS | Merchant / PSP (DA) | Ağ / Click to Pay | PSP / Cüzdan | | --------------------------------- | ------------------------------------------------------------ | ----------------------------------------------------------------------- | -------------------------------------------------- | ------------------------------------------------- | | **Anahtar Teknoloji** | Secure Payment Confirmation (SPC) | Delegated Authentication (DA) | Federasyon Tabanlı Passkey Hizmetleri | Cüzdan Tabanlı Kimlik Doğrulama | | **Hedef Oyuncu** | ACS Sağlayıcıları, İhraççı Bankalar | Büyük Merchant'lar, PSP'ler, Cüzdanlar | PSP'ler, Payment Gateway'ler | PayPal, Stripe Link, vb. | | **Kullanıcı Deneyimi (Sürtünme)** | Düşük (Doğrulamayı iyileştirir, ancak hala bir doğrulamadır) | Çok Düşük (Giriş yapmış kullanıcılar için doğrulamayı ortadan kaldırır) | Düşük (Standart, düşük sürtünmeli misafir ödemesi) | Çok Düşük (PSP ekosistemi içinde sorunsuz akış) | | **Uygulama Karmaşıklığı** | Orta (ACS entegrasyonu, 3DS 2.3+ gerektirir) | Yüksek (İkili anlaşmalar gerektirir, sorumluluk üstlenir) | Orta (Ağ API'leriyle entegrasyon gerektirir) | Orta (Cüzdan ve passkey altyapısı gerektirir) | | **Sorumluluk Kayması** | Evet (Standart 3DS sorumluluk kayması) | Evet (Sorumluluk devreden tarafa geçer) | Evet (Ağ/İhraççı sorumluluğu üstlenir) | Evet (PSP sorumluluğu üstlenir) | | **Ekosistem Hazırlığı** | Çok Düşük (Apple desteği eksikliği nedeniyle engellendi) | Sınırlı (Belirli ihraççı-merchant güveni gerektirir) | Yüksek (Benimseme için güçlü ağ baskısı) | Yüksek (Yerleşik cüzdan sağlayıcıları için olgun) | ## 8. Rekabet Ortamı ve Geleceğe Bakış Passkey tabanlı ödeme kimlik doğrulamasına geçiş teorik bir egzersiz değildir; sektörün en büyük oyuncuları tarafından aktif olarak yönlendirilmektedir. Stratejileri, pilot programları ve kamuoyu açıklamaları, rekabet dinamikleri ve benimsemenin olası gidişatı hakkında net bir görüş sunmaktadır. ### 8.1 Vaka Çalışmaları: Ödeme Passkey'lerinin Öncüleri - **PayPal:** [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)'ın kurucu üyesi ve dijital doğumlu bir ödeme sağlayıcısı olarak PayPal, passkey'leri en agresif şekilde erken benimseyenlerden biri olmuştur. 2022'nin sonlarında ABD'de başlayıp Avrupa ve diğer bölgelere yayılan aşamalı bir küresel lansman başlattılar. Uygulamaları, kullanıcının giriş alanıyla etkileşime girdiğinde otomatik olarak bir passkey isteyen [tek dokunuşla giriş](https://docs.corbado.com/corbado-connect/features/one-tap-login) deneyimi yaratmak için [Conditional UI](https://www.corbado.com/glossary/conditional-ui) gibi özelliklerden yararlanan en iyi uygulamalar üzerine bir vaka çalışmasıdır. PayPal, artan giriş başarı oranları ve hesap ele geçirme (ATO) dolandırıcılığında önemli bir azalma da dahil olmak üzere önemli erken başarılar bildirdi. Stratejileri ayrıca, senkronize passkey'lerin doğal güvenliğini tanıyan sonuca dayalı bir SCA yaklaşımını zorlayarak Avrupa'da düzenleyici evrimi aktif olarak savunmayı da içeriyor. - **Visa:** Visa'nın stratejisi, kendi FIDO sunucu altyapısı üzerine inşa edilmiş kapsamlı bir platform olan **Visa Payment Passkey Service** üzerine odaklanmıştır. Bu hizmet, Visa'nın ihraççı ortakları adına kimlik doğrulama karmaşıklığını yönettiği bir federasyon modeli olarak tasarlanmıştır. Bu hizmetin birincil aracı **Click to Pay** olup, Visa'yı misafir ödeme deneyimini sahiplenmek üzere konumlandırmaktadır. Visa'nın mesajlaşması basit ödemelerin ötesine geçerek, passkey hizmetlerini ticaret ekosistemi genelinde kullanılabilecek daha geniş bir [dijital kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) çözümünün temel bir unsuru olarak çerçevelemektedir. Teknolojiyi, SPC de dahil olmak üzere aktif olarak pilot olarak deniyorlar ve biyometrik kimlik doğrulamasının SMS OTP'lerine kıyasla dolandırıcılık oranlarını %50 oranında azaltabildiğini bildiriyorlar. - **Mastercard:** Mastercard, Visa'nın ağ düzeyinde bir hizmete yönelik stratejik odağını yansıtarak, mevcut **Token Authentication Service (TAS)** üzerine inşa edilmiş kendi **Payment Passkey Service**'ini başlattı. Pazara giriş stratejileri, bir dizi yüksek profilli küresel pilot çalışma ile karakterize edilmiştir. Ağustos 2024'te, ülkenin en büyük ödeme toplayıcıları (Juspay, Razorpay, PayU), büyük bir çevrimiçi merchant (bigbasket) ve önde gelen bir banka (Axis Bank) ile ortaklık kurarak [Hindistan'da büyük bir pilot çalışma](https://www.mastercard.com/news/press/2024/august/mastercard-selects-india-for-the-global-launch-of-its-payment-passkey-service-accelerating-secure-online-checkout-for-millions-of-shoppers/) duyurdular. Bunu, [Latin Amerika'da Sympla ve Yuno ortaklarıyla](https://www.biometricupdate.com/202412/mastercard-brings-payment-passkey-service-to-latin-america) ve [BAE'de Tap Payments ile](https://www.entrepreneur.com/en-ae/technology/mastercard-and-tap-payments-launch-click-to-pay-with/482810) yapılan lansmanlar gibi diğer kilit pazarlardaki lansmanlar izledi. Bu yaklaşım net bir stratejiyi ortaya koyuyor: hızla ölçek kazanmak için ekosistem toplayıcılarıyla (PSP'ler, ağ geçitleri) ortaklık kurmak. Mastercard, 2030 yılına kadar Avrupa'da manuel kart girişini aşamalı olarak kaldırarak tamamen token'laştırılmış, passkey ile doğrulanmış işlemlere geçme konusunda cesur bir kamu taahhüdünde bulundu. Bu öncülerin stratejileri kritik bir dinamiği ortaya koyuyor. Tarihsel olarak parçalı ve yüksek sürtünmeli bir alan olan misafir ödeme deneyimi, kart ağları için stratejik bir köprübaşı haline geldi. Click to Pay aracılığıyla misafir kullanıcılar için üstün, passkey özellikli bir çözüm yaratarak, ağlar tüketicilerle doğrudan bir kimlik ilişkisi kurabilir. Bir tüketici bir misafir ödemesi sırasında ağ düzeyinde bir passkey oluşturduğunda, bu kimlik Click to Pay'i destekleyen diğer her merchant'a taşınabilir hale gelir. Bu, ağların kullanıcı kimliklerini etkili bir şekilde "edinmesine" ve web genelinde sorunsuz bir deneyim sunmasına olanak tanır; bu, dijital ticaret için merkezi kimlik sağlayıcısı rolünü ele geçirmek için güçlü bir hamledir. ### 8.2 Gelecekteki Gidişat ve Daha Geniş Etkiler Bu büyük oyuncuların ortak çabaları, daha geniş teknolojik ve düzenleyici eğilimlerle birleştiğinde, ödeme kimlik doğrulamasında hızlandırılmış ve kaçınılmaz bir değişime işaret ediyor. - **OTP'lerin Kaçınılmaz Sonu:** Sektör çapındaki passkey hamlesi, birincil kimlik doğrulama yöntemi olarak SMS tabanlı tek kullanımlık şifrelerin sonunun başlangıcını işaret ediyor. OTP'ler, hem yüksek sürtünmeli kullanıcı deneyimleri hem de SIM takası ve gelişmiş [phishing](https://www.corbado.com/glossary/phishing) kampanyaları gibi saldırılara karşı artan savunmasızlıkları nedeniyle giderek bir yük olarak görülüyor. Passkey'ler daha yaygın hale geldikçe, OTP'lere olan güven, birincil bir doğrulama yöntemi yerine bir geri dönüş veya kurtarma mekanizmasına indirgenecektir. - **Mevzuat Rüzgarları:** PSD2 gibi mevcut düzenlemeler SCA için ilk zorunluluğu yaratmış olsa da, katı, kategori tabanlı tanımları senkronize passkey'ler gibi yeni teknolojiler etrafında bazı belirsizlikler yaratmıştır. Avrupa'daki [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) gibi yaklaşan düzenleyici güncellemelerin, daha teknoloji-nötr, sonuç odaklı bir yaklaşım benimsemesi bekleniyor. Bu, muhtemelen phishing'e karşı kanıtlanabilir şekilde dirençli olan kimlik doğrulama yöntemlerini destekleyecek ve passkey'lerin uyumlu bir SCA yöntemi olarak geniş çapta benimsenmesi için daha net bir düzenleyici yol sağlayacaktır. - **Federasyon Tabanlı Ödeme Kimliğinin Yükselişi:** Visa ve Mastercard'ın stratejik hamleleri sadece ödemeleri güvence altına almaktan daha fazlasıyla ilgilidir; dijital kimlik için yeni bir paradigma oluşturmakla ilgilidir. Federasyon tabanlı passkey hizmetleri oluşturarak, kendilerini tüm dijital ticaret ekosistemi için merkezi, güvenilir kimlik sağlayıcıları olarak konumlandırıyorlar. Bu, Büyük Teknoloji şirketleri tarafından kontrol edilen güçlü kimlik platformlarına (ör. Apple ID, Google Hesabı) doğrudan stratejik bir yanıt olarak görülebilir. Çevrimiçi ödemelerin geleceği, web'de tüketici kimliğini kimin sahipleneceği ve yöneteceği konusundaki bu daha büyük savaşla ayrılmaz bir şekilde bağlantılıdır. ### 8.3 Passkey'ler için Gelişen Uygulamalar Temel ödeme işlemi birincil odak noktası olsa da, passkey teknolojisi, komşu [finansal hizmetler](https://www.corbado.com/passkeys-for-banking) yelpazesinde sürtünmeyi ortadan kaldırmaya ve güvenliği artırmaya hazırlanıyor. Hala şifrelere veya hantal OTP'lere dayanan birçok süreç, bir passkey yükseltmesi için ideal adaylardır. #### 8.3.1 Ödemenin Ötesinde: Passkey'ler için Yeni Ufuklar - **Dijital Cüzdan Hazırlığı:** [Apple Pay](https://www.corbado.com/blog/how-to-use-apple-pay) veya [Google Pay](https://www.corbado.com/blog/how-to-use-google-pay) gibi bir dijital cüzdana kredi veya banka kartı ekleme süreci genellikle ihraççı tarafından gönderilen bir SMS OTP gibi bir doğrulama adımı gerektirir. Bu, bir passkey akışıyla değiştirilebilecek bir sürtünme noktasıdır. - **Açık Bankacılık ve Hesap Bağlama:** Açık [bankacılığın](https://www.corbado.com/passkeys-for-banking) temeli, üçüncü taraf uygulamaların (bütçeleme uygulamaları veya diğer fintech hizmetleri gibi) bir kullanıcının banka hesap verilerine erişmesine izin vermektir. Bu, kullanıcının bankasıyla kimlik doğrulaması yapmasını gerektirir ki bu süreç genellikle zahmetlidir. Passkey'ler, bu onayı vermek için çok daha sorunsuz ve daha güvenli bir yol sunar, garip yönlendirmeleri ve manuel şifre girişini basit bir biyometrik kimlik doğrulaması ile değiştirir. - **Dosyadaki Kart (CoF) Token'larını Güvence Altına Alma:** Kayıtlı bir kartı olan bir hesabın girişini güvence altına almanın ötesinde, passkey'ler kartı _kaydetme_ eylemini güvence altına almak için kullanılabilir. Bir kullanıcının kartını eklediği anda bir doğrulama, meşru kart sahibinin mevcut olduğuna dair güçlü bir kanıt sağlar ve çalınan kredi kartı numaralarının daha sonra kötüye kullanılmak üzere CoF profilleri oluşturmak için kullanılmasından kaynaklanan dolandırıcılığı azaltır. - **BNPL ve Anında Kredi:** Şimdi Al, Sonra Öde hizmetleri ve diğer anında kredi türleri hem ilk katılımı hem de işlem başına risk değerlendirmelerini içerir. Passkey'ler, Klarna gibi öncüler tarafından giriş için şifrelerin yerini almak üzere zaten kullanılıyor. Ayrıca, yüksek değerli satın alımlar için veya bir kullanıcı yeni bir kredi limiti için başvurduğunda, geleneksel yöntemlerden daha güçlü, daha düşük sürtünmeli bir kullanıcı niyeti sinyali sağlayan bir adım-adım kimlik doğrulama yöntemi olarak da kullanılabilirler. #### 8.3.2 Kriptoyu Devrimleştirmek: Stablecoin Cüzdanları için Passkey'ler Stablecoin'lerin (USDC veya EURC gibi) yükselişi, yeni, blok zinciri tabanlı bir ödeme rayı sunuyor. Ancak, ana akım benimsemenin önündeki en büyük engel, kripto cüzdanlarının kötü kullanıcı deneyimi ve güvenliği olmuştur. Geleneksel olarak, bu cüzdanlar, kullanıcının yazıp koruması gereken bir "seed ifadesi" (12-24 kelimelik bir liste) ile güvence altına alınır. Bu inanılmaz derecede kullanıcı dostu değildir ve hesap kurtarmayı bir kabusa çevirir. Passkey'ler bu deneyimi tamamen dönüştürmeye hazırlanıyor. Sektör, zincir üzerindeki varlıkları kontrol eden özel anahtarın cihazın passkey'i ile güvence altına alındığı bir modele doğru ilerliyor. - **Seed İfadelerini Ortadan Kaldırma:** Bir seed ifadesi yazmak yerine, bir kullanıcının cüzdanı cihazının yerleşik güvenliği ile oluşturulur ve güvence altına alınır. Bir merchant'a stablecoin göndermek gibi bir işlemi yetkilendirmek için, kullanıcı sadece [Face ID](https://www.corbado.com/faq/is-face-id-passkey) veya parmak izi taraması ile kimlik doğrulaması yapar. Bu, bir kripto ödemesini [Apple Pay](https://www.corbado.com/blog/how-to-use-apple-pay) kullanmak kadar sorunsuz ve güvenli hissettirir. - **Hesap Kurtarmayı Etkinleştirme:** "Akıllı hesaplar" (veya "hesap soyutlama") gibi cüzdan mimarileri kullanılarak kurtarma mekanizmaları oluşturulabilir. Bir kullanıcı, tüm cihazlarını kaybetmesi durumunda hesabını kurtarmasına yardımcı olabilecek güvenilir arkadaşlarını, ailesini veya kurumları "koruyucu" olarak atayabilir; bu, seed ifadelerinin ya hep ya hiç doğasına göre büyük bir gelişmedir. Bu evrim, ödemeler için stablecoin kullanmayla ilişkili sürtünmeyi ve riski önemli ölçüde azaltabilir ve potansiyel olarak onları geleneksel ödeme raylarına daha uygun ve ana akım bir alternatif haline getirebilir. ## 9. Corbado nasıl yardımcı olabilir? Ödeme ortamının analizi ve ortaya çıkan passkey entegrasyon modelleri, birkaç belirgin ve eyleme geçirilebilir fırsatı ortaya koymaktadır. Corbado gibi passkey öncelikli bir kimlik doğrulama şirketi için amaç, bu geçişte yol almak için gereken temel teknolojiyi sağlayarak ekosistemdeki her oyuncunun stratejik hedeflerine ulaşmasını sağlamaktır. ### 9.1 İhraççı Ekosistemini Güçlendirme (ACS Sağlayıcıları ve Bankalar) - **Hedef:** 3DS doğrulama akışını modernize etmek, yüksek sürtünmeli OTP'leri değiştirerek dönüşüm oranlarını artırmak, güvenliği geliştirmek ve PSD2/[PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) uyumluluğunu doğrudan karşılamak. - **Corbado Nasıl Yardımcı Olur:** Mevcut Access Control Server (ACS) platformlarına kolay entegrasyon için tasarlanmış gömülebilir bir passkey kimlik doğrulama modülü sağlıyoruz. ACS satıcılarının, tüm banka ve merchant ağlarına fayda sağlayan, sınıfının en iyisi, düşük sürtünmeli bir doğrulama deneyimi sunmalarına yardımcı oluyoruz. ### 9.2 Üstün Bir Ödeme Deneyimi için Merchant'ları ve PSP'leri Güçlendirme - **Hedef:** Uçtan uca müşteri yolculuğuna sahip olmak ve Delegated Authentication (DA) aracılığıyla üstün bir ödeme deneyimi sunmak, giriş yapmış kullanıcılar için 3DS doğrulamasını ortadan kaldırmak. - **Corbado Nasıl Yardımcı Olur:** Corbado, kapsamlı bir DA etkinleştirme çözümü sunar. Bu, yalnızca sınıfının en iyisi bir [passkey girişi](https://www.corbado.com/tr/blog/passkey-giris-en-iyi-uygulamalar) sistemi değil, aynı zamanda ihraççıların DA muafiyetleri vermesi için gereken kriptografik kanıtları oluşturmak için araçlar ve API'ler de içerir. Bir teknoloji ortağı olarak hareket ederek, merchant'ların ve PSP'lerin dönüşümü en üst düzeye çıkarmasını ve markalarını güçlendirmesini sağlıyoruz. ### 9.3 Ağ Entegrasyon Ekosistemini Güçlendirme - **Hedef:** Click to Pay gibi en son ağ zorunlu özellikleri zahmetsizce sunmak ve platformları maliyetli, tekrarlayan geliştirme çabaları olmadan rekabetçi tutmak. - **Corbado Nasıl Yardımcı Olur:** Corbado bir "Passkey Orkestrasyon" katmanı sunar. Hem Visa hem de Mastercard hizmetlerinin entegrasyonuna yardımcı oluyor ve aynı zamanda merchant'ların modern bir misafir ödeme deneyimi sunmak için kendi passkey çözümlerini aynı anda nasıl sunabileceklerine dair yollar sağlıyoruz. ### 9.4 PSP Merkezli Cüzdan Modelini Güçlendirme - **Hedef:** Tüm cüzdan ekosistemini güvence altına almak, PSP'nin tüm merchant ağı boyunca taşınabilir, sorunsuz ve güvenli bir giriş ve ödeme deneyimi yaratmak. - **Corbado Nasıl Yardımcı Olur:** Büyük PSP'lerin ve cüzdan sağlayıcılarının kullanıcıları için merkezi Relying Party olmalarını sağlayan temel passkey altyapısını sağlıyoruz. Çözümümüzü entegre ederek, cüzdan girişleri için şifreleri değiştirebilirler (ör. PayPal, Stripe Link veya Klarna için). Bu, yalnızca hesabı ele geçirmeye karşı güvence altına almakla kalmaz, aynı zamanda ödeme yetkilendirmesini tek tıkla biyometrik bir adıma indirgeyerek, kullanıcıları bağlayan ve merchant'ları çeken güçlü, markalı bir kimlik doğrulama deneyimi yaratır. ## 10. Passkey Benimseme Çözümü için Başlıca Adaylar Bu analiz, herhangi bir passkey tabanlı strateji için kritik bir başarı faktörünü vurgulamaktadır: kullanıcı benimsemesi. Passkey oluşturma ve kullanımını temel seviye olan \~%10'dan %50'nin üzerine çıkarabildiğini kanıtlayan bir çözüm, bu yeni kimlik doğrulama modellerinin yaygınlaştırılmasında karşılaşılan birincil zorluğu ele almaktadır. Ekosisteme ve oyuncularının stratejik hedeflerine dayanarak, aşağıdaki kuruluşlar ve sektörler böyle bir çözüm için başlıca adaylardır. ### 10.1 İhraççı Bankalar ve ACS Sağlayıcıları (SPC Geliştirmesi için) - **Temel Sorun:** 3DS doğrulama akışındaki yüksek sürtünme, terk edilmiş sepetlere ve merchant'lar için gelir kaybına yol açarak bir ihraççının kartını daha az rekabetçi hale getirir. - **Benimseme Nasıl Yardımcı Olur:** Passkey'lerin daha yüksek oranda benimsenmesi, doğrudan daha başarılı, düşük sürtünmeli doğrulamalara dönüşür. Bu, dönüşüm oranlarını iyileştirir, güvenliği artırır ve ihraççının ödeme kimlik bilgilerini hem merchant'lar hem de tüketiciler için daha değerli hale getirir. - **Başlıca Adaylar:** Büyük ihraççı bankalar (**Bank of America, Chase, Barclays**) ve onların 3DS teknolojisini sağlayan ACS sağlayıcıları (**Netcetera, CA Technologies**). ### 10.2 Büyük Merchant'lar ve PSP'ler (Delegated Authentication için) - **Temel Sorun:** Müşteri yolculuğuna sahip olma ve ödeme sürtünmesini ortadan kaldırma arzusu, genellikle bir 3DS doğrulaması gerekliliği tarafından engellenir. - **Benimseme Nasıl Yardımcı Olur:** Tüm Delegated Authentication (DA) modeli, merchant'ın kullanıcıyı girişte güçlü bir şekilde doğrulayabilmesine dayanır. Yüksek passkey benimsemesi sadece bir geliştirme değil, başarılı bir DA stratejisi için bir ön koşuldur. Kullanıcıların çoğunluğu için DA'yı etkinleştirmek, güçlü bir rekabet avantajıdır. - **Başlıca Adaylar:** Küresel e-ticaret liderleri (**Amazon, Walmart**), dijital abonelik hizmetleri (**Netflix, Spotify**) ve onlara hizmet veren tam donanımlı PSP'ler (**Stripe, Adyen, Checkout.com**). ### 10.3 Kart Ağları (Visa, Mastercard, American Express) - **Temel Sorun:** Click to Pay gibi stratejik, ağ düzeyinde kimlik hizmetlerinin başarısı, doğrudan yaygın tüketici kaydına bağlıdır. - **Benimseme Nasıl Yardımcı Olur:** Kolay ve çekici bir passkey oluşturma deneyimi, bu federasyon tabanlı kimlik ağlarının büyümesi için esastır. Ağlar, merchant'lara ve PSP'lere sağladıkları SDK'lara benimseme odaklı bir çözüm yerleştirerek, tescilli passkey hizmetlerinin yaygınlaştırılmasını ve benimsenmesini hızlandırabilir. - **Başlıca Adaylar:** **Visa** (Visa Payment Passkey Service için) ve **Mastercard** (Token Authentication Service için). ### 10.4 Tüketici Cüzdanlı PSP'ler (PayPal, Stripe Link, Klarna) - **Temel Sorun:** Cüzdanın değeri (ör. PayPal, Stripe Link, Klarna), doğrudan aktif, etkileşimli kullanıcı sayısına bağlıdır. Girişteki veya ödemedeki sürtünme ekosistemi zayıflatır. - **Benimseme Nasıl Yardımcı Olur:** Cüzdanın kendi alan adı (`paypal.com`, vb.) için passkey'lerin kitlesel olarak benimsenmesini sağlamak temel bir stratejik hedeftir. Dolandırıcılığı azaltır, kullanıcı deneyimini iyileştirir ve ağ etkisini güçlendirerek cüzdanı hem tüketiciler hem de merchant'lar için daha çekici hale getirir. - **Başlıca Adaylar:** Cüzdan teklifleri olan küresel PSP'ler (**PayPal, Stripe Link, Klarna**) ve büyük bölgesel oyuncular (**Mercado Pago, Block**). ### 10.5 Yerel Ödeme ve Kimlik Ağları - **Temel Sorun:** Ulusal ödeme şemaları, altyapılarını modernize etme ve küresel teknoloji şirketlerine karşı rekabetçi kalabilmek için [dijital kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) çözümleri sunma baskısıyla karşı karşıyadır. - **Benimseme Nasıl Yardımcı Olur:** Bu ağlar, yeni dijital ödeme ve kimlik hizmetlerinin yaygın olarak kullanılmasını sağlamalıdır. **Australian Payments Plus (AP+)** gibi bir oyuncu için, **PayTo** (gerçek zamanlı ödemeler için) ve **ConnectID** (dijital kimlik için) gibi hizmetler için benimsemeyi teşvik etmek temel bir stratejik hedeftir. Passkey kaydını artıran bir çözüm, bu stratejinin doğrudan bir kolaylaştırıcısıdır. - **Başlıca Adaylar:** **Australian Payments Plus (AP+)** ve diğer ulusal ödeme altyapı kuruluşları. ## 11. Büyük Teknoloji Cüzdanlarının Rolü (Apple, Google, Amazon, Meta) Büyük teknoloji şirketleri, ödemeler ekosisteminde benzersiz ve güçlü bir rol oynayan gelişmiş dijital cüzdanlar işletmektedir. Kullanıcının cihazı, platform kimliği ve geleneksel ödeme raylarının kesişim noktasında yer alarak, onlara passkey benimsemesi konusunda belirgin bir konum ve strateji kazandırırlar. ### 11.1 Apple Pay ve Google Pay: Platform Kimlik Doğrulama Katmanı [Apple Pay](https://www.corbado.com/blog/how-to-use-apple-pay) ve [Google Pay](https://www.corbado.com/blog/how-to-use-google-pay), mevcut ödeme kartı altyapısının üzerinde yer alan bir teknoloji ve kimlik doğrulama katmanı olarak anlaşılmalıdır. Kendileri kart ihraç etmez veya işlem yapmazlar, bunun yerine bir kullanıcının mevcut ödeme kartlarının token'laştırılmış versiyonlarını güvenli bir şekilde saklar ve iletirler. - **Ekosistemdeki Konumları:** Bir kullanıcının kartları için güvenli bir "konteyner" görevi görürler. Bir kullanıcı çevrimiçi ödeme yaptığında, kart bilgilerini girmek yerine Apple Pay veya [Google Pay](https://www.corbado.com/blog/how-to-use-google-pay)'i seçer. Cüzdan daha sonra merchant'ın ödeme ağ geçidine güvenli, tek kullanımlık bir token iletir. İşlem hala acquirer, ağ ve ihraççı üzerinden normal şekilde akar. - **Passkey'leri Nasıl Kullanırlar:** Kullanıcıyı yüz veya parmak izi taraması ile _cüzdana_ doğrularlar ve ödeme token'ını serbest bırakması için yetkilendirirler. Bu güçlü, düşük sürtünmeli bir kimlik doğrulama olayıdır, ancak kart ihraççısının sorumlu olduğu 3DS/SCA kimlik doğrulamasından farklıdır. Bir ihraççı, Apple Pay aracılığıyla başlatılan bir işlemde teknik olarak hala bir 3DS doğrulaması tetikleyebilir, ancak güçlü cihaz düzeyinde kimlik doğrulama bunu daha az olası kılar. - **Fırsatlar ve Benimsemeden Nasıl Faydalanırlar:** - **Cüzdan Hazırlığını Kolaylaştırma:** Bir cüzdana kart ekleme süreci genellikle ihraççıdan bir OTP gerektirir. Bu önemli bir sürtünme noktasıdır. Apple ve Google, bunu uygulama içi bir passkey akışıyla değiştirmek için ihraççılarla çalışabilir ve kullanıcıyı anında doğrulamak için bir passkey kullanabilir. İhraççı ortakları için bir benimseme çözümü, cüzdanlarını yüklemeyi ve kullanmayı kolaylaştıracaktır. - **Devredilmiş Bir Otorite Haline Gelme:** Nihai stratejik hedefleri, güçlü platform kimlik doğrulamalarını kullanarak ödemeler için kesin, güvenilir bir doğrulayıcı haline gelmektir. İhraççılar, Apple Pay veya Google Pay kimlik doğrulamasını SCA gerekliliklerini karşıladığını resmi olarak tanırsa, Devredilmiş Otoriteler haline gelebilir ve 3DS doğrulamasını tamamen ortadan kaldırabilirler. Kendi platform passkey'lerinin yüksek oranda benimsenmesi, bunu ihraççılar için cazip bir teklif haline getirmek için kritik öneme sahiptir. ### 11.2 Amazon Pay ve Meta Pay: Dosyadaki Kart Cüzdan Modeli Amazon Pay ve Meta Pay, üçüncü taraf sitelerde ve kendi ekosistemleri içinde (ör. Instagram'da sosyal ticaret için) kullanılabilen çok büyük bir Dosyadaki Kart (CoF) cüzdanına sahip geleneksel bir merchant gibi çalışır. - **Ekosistemdeki Konumları:** **Merchant Merkezli modelin** klasik bir örneğidirler. Kullanıcılar ödeme kartlarını doğrudan Amazon veya Meta hesaplarında saklarlar. Amazon Pay veya Meta Pay ile ödeme yaptıklarında, ana hesaplarına kimlik doğrulaması yaparlar ve o platform ödemeyi onlar adına işler. - **Passkey'leri Nasıl Kullanırlar:** Passkey'leri birincil olarak kullanıcının ana hesap girişini (ör. `Amazon.com` için passkey) güvence altına almak için kullanırlar. Geniş kullanıcı tabanlarını hesap girişi için şifrelerden passkey'lere taşıyarak, hesap ele geçirme dolandırıcılığı riskini önemli ölçüde azaltır ve değerli saklanan ödeme kimlik bilgilerini korurlar. - **Fırsatlar ve Benimsemeden Nasıl Faydalanırlar:** Faydaları doğrudan ve anındadır. Temel kullanıcı hesapları için passkey benimsemesini artıran bir çözüm: 1. **Dolandırıcılığı Azaltır:** Büyük bir finansal kayıp ve müşteri memnuniyetsizliği kaynağı olan hesap ele geçirme için saldırı yüzeyini büyük ölçüde azaltır. 2. **Sürtünmeyi Azaltır:** Dönüşüm oranlarını artırdığı kanıtlanmış, sorunsuz ve güvenli bir giriş ve ödeme deneyimi yaratır. Bu oyuncular için, passkey benimsemesini artıran bir çözüm, temel ticaret işlerinin güvenliğine ve performansına doğrudan bir yatırımdır. Bu nedenle böyle bir çözüm için başlıca adaylardır. ## 12. Sonuç Ödeme endüstrisi, yeni bir kimlik doğrulama çağının şafağındadır. Güvenlik ve kolaylık arasındaki uzun süredir devam eden uzlaşma, nihayet passkey teknolojisinin olgunlaşması ve benimsenmesiyle çözülüyor. Bu raporda sunulan analiz, bunun monolitik bir değişim olmadığını, geleceğe yönelik birden fazla rakip vizyonla karmaşık bir geçiş olduğunu göstermektedir. İhraççılar mevcut 3DS çerçevesini SPC ile geliştirmeyi amaçlıyor; büyük merchant'lar ve PSP'ler Delegated Authentication aracılığıyla veya kendi cüzdan ekosistemlerini oluşturarak deneyimin kontrolünü ele geçirmeyi hedefliyor; ve kart ağları Click to Pay ile yeni, federasyon tabanlı bir kimlik katmanı yaratıyor. Her model, kullanıcı güveni ve kolaylığı için yeni standart haline gelmek için yarışıyor.