E-ticaret işlemlerinin artması (Card-Not-Present) sonrası kart şemaları (Mastercard, Visa vb.) da buradaki ödemenin hem kolay hem güvenli hem de yüksek başarı oranı ile yapılması için sürekli iyileştirmeler yapmaya devam ediyorlar. 3D Secure 2.0 geçişi ile yapılan altyapı geçişi bunun için çok önemli bir adımdı. Bu altyapı ile çok daha fazla otorizasyon bilgisi temin ederek issuer kararı ile akışların sürtünmesiz yani frictioneless olarak gerçekleşmesi müşterilere daha iyi bir deneyim sunarken, başarı oranını da artıran bir faktör olacağı öngörülüyor.
Bu gelişmeler ışığında 15 Nisan 2023’te Visa DAF (Digital Authentication Program) ‘ı duyurdu. DAF’ın amacı yüksek işlem başarı oranı ve düşük dolandırıcılık oranı ile iyi bir kullanıcı deneyimi sunmak olarak lanse ediliyor.
Visa DAF programına dahil olan bir üye işyeri (Merchant), Visa Directory Server’ına DAF isteği olduğunu iletir ve issuer (kartı veren banka) ‘ya challenge akış (biyometrik, sms, vb)‘a girmemesi bilgisini yollamak suretiyle ilk yetkilendirme isteğini geçekleştirmektedir.
Şekil 1’de de gösterildiği gibi programa dahil olan işyerlerinden yapılacak ilk işlemde kart hamili doğrulaması yapılacaktır. Aynı kart ile yapılacak sonraki işlemlerde ise Visa tarafından bir risk skorlaması yapılarak işlemin herhangi bir kart doğrulaması olmadan tamamlanması (risk tavsiyesinin “must approve” olması) talep edilebilecektir. Bu durumda kart hamiline herhangi bir doğrulama adımı (OTP ekranı açılması vb) kurallar gereği sunulamayacak olup kartın kayıp/çalıntı olması veya sahtekarlık şüphesi haricinde BKM tarafından CAVV oluşturularak işyerine kart hamili doğrulanmış işlem olarak (ECI = 05) iletilecektir. Eğer BKM Account Status servisine kartın doğrulanmasında bir engel olmadığı bilgisi üye tarafından iletilirse CAVV oluşturulurken Position 1 – 3-D Secure Authentication Results Code alanı “6: Authentication Successful using Digital Authentication Framework (DAF)” ile doldurulacaktır. Üyelerin, kart hamili doğrulaması uygulanmadığı için otorizasyonda kart statü kontrolüne ek olarak CAVV içerisinde gelen bu alanı da göz önünde bulundurmaları tavsiye edilmektedir.
DAF kart numarasını üye işyerine bir nevi bağlamış oluyor, bu haliyle tokenizationla ortak pek çok alana sahip olsa da ekstra bir karmaşıklık olmadan her şeyin Visa’nın DS (Directory Server) ‘inde gerçekleşmesi sağlanmış oluyor.
Visa’nın daha önce Merchant Whitelisting/Trusted Merchant Listing özellikleri de yine DAF ile benzer amaca hizmet ediyordu ancak bunlar issuer tarafından destekleniyordu, DAF ise direk Visa’nın kendisi tarafından desteklendiği ve issuer bazında farklılaşmadığı için daha tutarlı olacağı öngörülüyor. Ancak bir kart sahibi DAF’a kayıtlı bir işyerine kartını doğrulatsa bile bu diğer işyerlerinde de bu işlemin pürüzsüz onaylanacağı anlamına gelmez, her işyerine kart tekrar başarılı bir kimlik doğrulama yapılması gerekecektir.
Visa ağı DAF’a uygun işlemleri tanımlar, sonraki işlemlerin DAF kriterlerini karşılaması durumunda Visa, kart düzenleyen kuruluşun Erişim Kontrol Sunucusuna (ACS) bir “onaylanması gerekir” bildirimi gönderir.
Bu işlemlerin harcama itirazı süreçlerine de etkisi bulunmaktadır, kart hamilleri işlem anında SMS ve benzeri bir yöntem ile doğrulama yapmama durumları söz konusu olacağından BKM üyeleri bu tür işlemlerin itirazlarını reddetmeden önce detay incelemesi yerinde olacaktır.
DAF programının Visa 3D Secure ve otorizasyon ücretleri dışında ek bir ücreti yok ancak Ödeme Hizmet sağlayıcıları veya 3D Secure sunucu sağlayıcıları bu özellik için ek ücret isteyebilir.
DAF programı henüz yeni olduğu için gerçek performansını henüz bilemiyoruz. DAF’da yetkilendirilen bir işlemi hala issuer’lar otorizasyonda reddebilirler ancak Visa da buradaki başarı oranlarını takip edip kart bankalarına ceza verme durumları yapacağını bildiriyor.
DAF programı sadece Visa kartlarında geçerli olacaktır, Mastercard’da ise yine doğrulama oranın artırmak için Stand-In benzeri Smart Authentication isminde bir yapı bulunmakta. Üye tarafından dönülen kart statüsü veya yaşanan time out gibi nedenlerle işlemler Mastercard Smart Authentication modülüne yönlendirilmektedir.
Mastercard bir risk analizi yaparak işlemler için AAV (Account Authentication Value) değerini oluşturmaktadır. Mastercard tarafından düşük riskli görülen işlemler Security Level Indicator Alanı 212 ve ECI=02 olacak şekilde dönülmektedir. AAV değeri kC ile başlamaktadır. Mastercard tarafından orta ve yüksek riskli görülen işlemler ise Security Level Indicator Alanı 211 ve ECI=01 olacak şekilde dönülmektedir. AAV değeri kE ile başlamaktadır.
Sonuç itibari ile Mastercard ve Visa ödeme sistemleri sektörünü domine eden iki dev oyuncu, bunlara ülke olarak alternatifler üretip milli servetimizi de içeride tutmamız her türlü faydamıza olacaktır. Sektörü domine ettikleri ve kurallara globalde yön verdikleri için şu anda ne kadar iyimser olsak da belli ölçülerde mecburuz. TROY kartın popülerliğinin artırılması ve BKM’nin kendi Directory Server’ı ile 3D doğrulamalarının yurt içinde tamamlanması ile birlikte Mastercard ve Visa’ya olan bağımlılıklarımız da azalacaktır. Bunlar ülkemiz adına olumlu gelişmelerdir. Ödeme sistemleri alanında oldukça güçlü olan Türkiye’nin de kart şemasının da ilerde global bir şema olmasını temenni ederek yazımı tamamlıyorum.
Kaynakça:
- https://developer.visa.com/pages/visa-3d-secure/DigitalAuthenticationFramework , Erişim Tarihi: 24 Ekim 2023
- https://www.threedsecurempi.com/blog/visa-digital-authentication-framework-daf-program/ , Erişim Tarihi: 20 Kasım 2023
- https://www.linkedin.com/pulse/important-payments-topics-people-arent-talking-volume-uriarte/ , Erişim Tarihi: 18 Kasım 2023
- https://www.paymentscardsandmobile.com/visa-introduce-digital-authentication-framework-daf-program/ , Erişim Tarihi: 20 Kasım 2023
- BKM-DOUY/2023/73 sayılı BKM Bülteni , Erişim Tarihi : 20 Kasım 2023
- Visa Secure Program Guide , Erişim Tarihi: 24 Ekim 2023
- Mastercard Identity Check Program Guide , Erişim Tarihi: 24 Ekim 2023