EMV 3D Secure'un Gerçek Gücü

EMV 3D Secure (çoğu zaman 3D Secure 2.0 olarak anılır), 2016'dan bu yana hayatımızda. PSD2'nin Güçlü Müşteri Kimlik Doğrulama (Strong Customer Authentication – SCA) gereksinimlerine yanıt olarak geliştirilen bu protokol, kartlı ödemelerin internet ortamındaki güvenliğini sağlamayı hedefleyen en kapsamlı standartlardan biridir. Ancak bugüne kadar hem sektördeki hem de kullanıcı tarafındaki yanlış anlaşılmalar, bu sistemin potansiyelini gölgede bırakmıştır.

Bugün hâlâ birçok PSP, banka ve işyeri EMV 3D Secure'u sadece bir "yasal zorunluluk" olarak görmekte; sistemin sunduğu stratejik faydalardan habersiz ya da faydalanamamaktadır. Bu yazının amacı, EMV 3D Secure'un ne olduğunu değil, ne olmadığını, ne şekilde yanlış uygulandığını ve neden bugün yeniden konuşulması gerektiğini anlatmaktır.

EMV 3D Secure Nedir? Teknik ve Tarihsel Arka Plan

3-D Secure protokolü ilk olarak 2001 yılında Visa tarafından tanıtıldı. Mastercard, JCB, American Express gibi diğer şemalar da benzer sistemlerle kendi markaları altında aynı modeli benimsedi. Protokolün 1.0 sürümünde temel amaç, kart sahibi ile bankası arasında bir doğrulama köprüsü kurarak CNP (card-not-present) işlemlerini güvenli hâle getirmekti. Ancak ilk versiyon, kullanıcı deneyimi açısından birçok problemi beraberinde getirdi.

EMVCo tarafından 2016'da yayımlanan EMV 3D Secure (ya da 3DS 2.x), bu sorunlara çözüm olarak geliştirilmiştir. 3DS 2.x, eski sistemin aksine mobil cihazlara ve çoklu doğrulama yöntemlerine uyumludur, zengin veri paylaşımı ile çalışır ve kullanıcıyı sadece gerektiğinde doğrulama ekranına yönlendirir.

EMVCo'nun v2.0'dan başlayarak v2.3.1.1 sürümüne kadar uzanan spesifikasyonları, bu protokolün sadece güvenlik değil, aynı zamanda kullanıcı deneyimi ve ticari verimlilik açısından da nasıl dönüşüm geçirdiğini gösterir.

EMV 3DS ile 3DS 1.0 Arasındaki Farklar

Kullanıcı Deneyimi (UX)

3DS 1.0'da kullanıcılar yönlendirildikleri iframe sayfalarında şifre girmek zorundaydı. Sayfa güvenilirliği şüpheli görünüyordu, bu da phishing vakalarına zemin hazırlıyordu. Sepet terk oranları %10-12 seviyelerinde artıyordu.

EMV 3DS ise, bankaların mobil uygulamalarıyla entegre çalışabilen, biometrik doğrulama (parmak izi, yüz tanıma), mobil bildirim (push notification), passkey gibi yöntemleri destekleyen bir yapı sunar. Kullanıcı artık SMS beklemek yerine uygulamasında tek tıkla onay verebilir.

Teknik Altyapı

EMV 3DS, işlemler sırasında kartı veren kuruluşa 100'e yakın veri alanı ile bilgi gönderilmesine imkân tanır. Bu alanlar; cihaz bilgileri, IP adresi, işlem lokasyonu, önceki alışveriş geçmişi gibi detayları içerir. Kartı veren banka, bu bilgilerle işlem riskini analiz eder ve gerek görmezse kullanıcıyı hiçbir doğrulama ekranına yönlendirmeden işlemi tamamlar (frictionless flow).

Risk Bazlı Kimlik Doğrulama (RBA)

Risk skorlaması sistemi (RBA – Risk Based Authentication), EMV 3DS'in en güçlü taraflarından biridir. Kullanıcı alışkanlıklarına dayalı analizlerle, sistem gereksiz challenge ekranlarından kaçınabilir. Örneğin; kullanıcı sürekli alışveriş yaptığı bir siteden aynı cihazla ödeme yapıyorsa, sistem bu işlemi düşük riskli görüp otomatik onaylayabilir.

Sektördeki Yanlış Algılar

"3DS müşteri kaçırıyor" algısı

Sıklıkla duyulan bu yorum, 3DS 1.0 deneyiminden kalma bir önyargıdır. EMV 3DS doğru entegre edilirse, tam tersine işlem onay oranlarını artırır. Kullanıcı doğrulamaya zorlanmadığı sürece sepet terk oranları düşer.

OTP'ye bağımlılık

Bugün hâlâ birçok banka doğrulama için yalnızca SMS OTP kullanmaktadır. Oysa EMV 3DS'in sunduğu push notification ve biometric gibi alternatifler sayesinde doğrulama süreci hızlanır ve daha güvenli hâle gelir.

Sadece yasal zorunluluk olarak görülmesi

PSD2 ve SCA uyumunu sağlamak için minimum düzeyde entegre edilen EMV 3DS sistemleri, asıl değer yaratma potansiyelinden yoksun kalır. Oysa bu sistem doğru kullanıldığında fraud riskini azaltır, ters ibrazları engeller ve müşteri deneyimini optimize eder.

EMV 3DS Mesaj Yapısı ve Veri Paylaşımı

İşlemler AReq (Authentication Request) ve ARes (Authentication Response) gibi mesaj çiftleriyle yönetilir. Ödeme hizmeti sağlayıcısı veya sanal POS, 3DS sunucusu aracılığıyla kartı veren bankaya bu mesajları gönderir. EMV 3DS AReq mesajı 150'den fazla veri elemanı içerebilir. Bu sayede sistem, risk analizini daha isabetli yapar, frictionless akışı artırır ve gereksiz "challenge" adımlarını azaltır.

Bu veri seti sayesinde banka, işlemi arka planda değerlendirerek "frictionless" yani doğrulamasız bir onaya yön verebilir.

1. Demografik ve Cihaz Bilgisi: Tarayıcı/IP dili, cihaz modeli, işletim sistemi, browser versiyonu, device fingerprint, mobile app ID
2. İşlem ve Kart Detayları: MCC (Merchant Category Code), işlem tutarı, döviz türü, işlem zaman bilgisi, kartın kayıt yaşı
3. Kart Sahibinin Geçmişi: Önceki başarılı/başarısız işlem sayıları, kartlı işlemlerdeki tekrar eden patternler
4. Merchant–Kart Sahibi Etkileşimi: Merchant'a login olup olmadığı, federatedID, FIDO kullanımı, hesap yaşı ve adres değişikliği göstergeleri
5. Risk–Analitik Bilgiler: Tarayıcı dili, DS transaction ID, requestor ID, operator ID gibi özel alanlar

Regülasyonlar ve Liability Shift

Avrupa Birliği'nde PSD2 gereği tüm çevrimiçi işlemler SCA'ya (Strong Customer Authentication) tabidir. EMV 3DS bu zorunluluğu karşılayan en etkin çözümdür.

EMV 3DS ile yapılan işlemlerde doğrulama başarılıysa, dolandırıcılık durumunda sorumluluk kartı veren kuruluşa geçer (liability shift). Doğrulama başarısız ya da uygulanmamışsa, sorumluluk işyerinde kalır. Bu durum işyerleri için çok kritik bir fark yaratır. Özellikle yüksek hacimli e-ticaret operasyonları için fraud nedeniyle oluşabilecek chargeback maliyetleri bu şekilde azaltılabilir.

Hatalı Entegrasyonların Yarattığı Riskler

Bugün hâlâ birçok PSP ve banka aşağıdaki nedenlerle EMV 3DS'in sunduğu avantajlardan yeterince yararlanamıyor:

• OTP'ye dayalı, tek tip challenge kullanımı
• Mobil SDK entegrasyonunun eksikliği
• 100 veri alanından yalnızca birkaçının doldurulması
• Muafiyetlerin tanımlanmaması (örn. düşük tutar, güvenilir işyeri)
• Issuer tarafında eski challenge ekranlarının kullanılması

Bu tür eksikler, sepet terk oranlarını artırdığı gibi fraud riskini de azaltamaz.

EMV 3DS v2.3.1.1 ile Gelen Yenilikler

2023 yılında yayımlanan EMV 3DS v2.3.1.1 sürümüyle birlikte önemli yenilikler devreye alınmıştır:

• Secure Payment Confirmation (SPC): Kullanıcı tarayıcısında cihazına özel kayıtlı güvenli bir biyometrik doğrulama ile işlem onayı verir.
• Out-of-Band (OOB) doğrulama: Bankanın mobil uygulaması üzerinden bağımsız bir kanal ile onay alınması.
• Passkey desteği: Şifresiz, cihaz tabanlı kimlik doğrulama desteği.

Bu özellikler sayesinde şifreye dayalı sistemlerin yarattığı zafiyetler azaltılır ve kullanıcı deneyimi optimize edilir.

Doğru Entegrasyon İçin Stratejik Öneriler

1. Frictionless oranı analiz edilmeli: Yüksek riskli olmayan işlemlerin challenge'a yönlendirilmediğinden emin olun.
2. SDK'lar entegre edilmeli: Mobil uygulamalarda native akışlar tasarlanmalı.
3. Veri zenginliği sağlanmalı: Mümkün olduğunca fazla bağlamsal veri 3DS sunucusuna iletilmeli.
4. Doğrulama çeşitlendirilmeli: OTP dışında biometrik, push ve passkey yöntemleri aktif hâle getirilmeli.
5. Risk skorlaması AI ile desteklenmeli: Gerçek zamanlı davranış analitiğiyle daha doğru kararlar alınmalı.
6. PSD2 muafiyetleri devreye alınmalı: Trusted merchant, düşük tutar ve tekrarlayan ödeme istisnaları tanımlanmalı.

Yeniden Tanımlanması Gereken Bir Güvenlik Standardı

EMV 3DS, sadece bir zorunluluk değil, doğru kullanıldığında bir rekabet avantajıdır. Sektör olarak bu protokolü "doğru" anlamak, entegrasyon stratejilerimizi yeniden şekillendirmek ve müşteriye gerçek anlamda güvenli ama sürtünmesiz bir deneyim sunmak zorundayız.

"Bugün EMV 3D Secure'u yanlış uygulayanlar, yarının passkey tabanlı dünyasına da hazır olamayacaklardır."

Bu nedenle; eskiyi yeniden anlamak, bugünü optimize etmek ve geleceğe bugünden yatırım yapmak gerekir. EMV 3D Secure, hâlâ potansiyelinin çok gerisinde. Şimdi bu farkı kapatma zamanı.