Fiyat Teklifi Al İhtiyacın Ne? En iyi çözümü bulalım
Giriş Yap Hemen Başvur

Kart Tokenizasyonu Nedir? Network Tokenization Nasıl Çalışır?

Apple Pay ve Google Pay'in arka planında çalışan kart tokenizasyonu, gerçek kart numarası yerine tek kullanımlık dijital token kullanarak ödeme güvenliğini köklü biçimde değiştiriyor. Peki bu teknoloji tam olarak nasıl çalışıyor?

Yazar: Treps · 13 Nisan 2026 · 6 dk okuma
Kart Tokenizasyonu Nedir? Network Tokenization Nasıl Çalışır?

Dijital ödeme dünyasında güvenlik, her zaman birincil öncelik olmuştur. Bugün Apple Pay ile bir kahve alırken ya da Google Pay ile online alışveriş yaparken, arka planda çalışan ve gerçek kart numaranızı gizleyen bir teknoloji devreye giriyor: Kart Tokenizasyonu.

Tokenizasyon Nedir?

Tokenizasyon, hassas bir veriyi (kart numarası gibi) anlamsız, rastgele oluşturulmuş bir karakter dizisiyle —yani token ile— değiştirme işlemidir. Bu token, gerçek kart numarasıyla hiçbir matematiksel ilişki taşımaz; yalnızca güvenli bir kasada (token vault) saklanan eşleştirme tablosuyla gerçek veriye ulaşılabilir.

Ödeme dünyasında iki temel tokenizasyon türü bulunur:

  • Payment Gateway / PSP Tokenizasyonu: Ödeme servis sağlayıcılarının kendi sistemleri içinde ürettiği tokenlar. Yalnızca ilgili sağlayıcı ekosistemi içinde geçerlidir.
  • Network Tokenizasyonu: Visa, Mastercard gibi kart ağlarının ürettiği tokenlar. Tüm ekosistemde (issuer, acquirer, merchant) tanınır ve kullanılabilir.

Network Token Nasıl Çalışır?

Network tokenizasyonunun temelinde iki kavram yatar: Token ve DPAN (Device Primary Account Number).

Süreç şöyle işler:

  1. Kart sahibi, kartını bir cüzdan uygulamasına (Apple Pay, Google Pay vb.) veya bir merchant'a kaydeder.
  2. Merchant ya da cüzdan, Visa Token Service (VTS) veya Mastercard Digital Enablement Service (MDES) gibi Token Servis Sağlayıcısı'na (TSP) token talebi iletir.
  3. TSP, gerçek kart numarası (PAN) yerine geçecek 16 haneli bir token (DPAN) üretir ve bunu issuer bankaya onaylatır.
  4. Üretilen token, karta değil; belirli bir cihaza, kanala ve merchant'a özgü kısıtlamalarla bağlıdır.
  5. Ödeme anında gerçek PAN yerine bu token kullanılır. Acquirer token'ı alır, TSP üzerinden gerçek PAN'a çözümler ve işlem tamamlanır.

Token'ın Güvenlik Avantajı: Kısıtlama Katmanları

Network token'ı güçlü kılan şey, içine gömülü kısıtlamalardır:

  • Domain Restriction: Token yalnızca belirli bir merchant, uygulama veya cihazda geçerlidir. Başka bir yerde kullanılmaya çalışılırsa işlem reddedilir.
  • Cryptogram: Her işlemde tek kullanımlık bir kriptogram (TAVV/CAVV) üretilir. Aynı token tekrar kullanılsa bile kriptogram farklıdır; tekrar saldırılarına (replay attacks) karşı koruma sağlar.
  • Token Yaşam Döngüsü Yönetimi: Kart kaybolsa, süresi dolsa veya yenilense bile token geçerliliğini sürdürür. Issuer banka, PAN-token eşleştirmesini günceller; merchant veya cüzdanın herhangi bir şey yapmasına gerek kalmaz.

PCI DSS Kapsamına Etkisi

Ödeme sistemlerinde en büyük maliyetlerden biri PCI DSS uyumluluğudur. Merchant'ların kart verisi saklamaması gerektiği için tokenizasyon bu yükü önemli ölçüde azaltır. Network token kullanan bir merchant, gerçek PAN'ı hiçbir zaman görmediği için PCI DSS kapsam alanı (scope) daraltılır; bu da denetim maliyetlerini ve güvenlik riskini düşürür.

Visa Token Service (VTS) ve Mastercard MDES

İki büyük kart markası, network tokenizasyon altyapısını farklı isimlerle sunmaktadır:

  • Visa Token Service (VTS): Visa'nın TSP çözümü. Apple Pay, Google Pay, Click to Pay gibi servislerin temelini oluşturur.
  • Mastercard Digital Enablement Service (MDES): Mastercard'ın eşdeğer altyapısı. Aynı ekosistemi destekler.

Her iki servis de EMVCo'nun belirlediği standartlara uygun çalışır ve global ölçekte birlikte var olabilir.

Network Tokenizasyonun Ödeme Ekosistemi Üzerindeki Etkileri

Bu teknoloji yalnızca güvenlik sağlamakla kalmaz, ticari açıdan da değer üretir:

  • Yüksek Onay Oranları: Issuer bankalar, token ile gelen işlemlere daha yüksek güven puanı verir; bu da işlem onay oranlarını artırır.
  • Kart Yenileme Sorununu Ortadan Kaldırır: Kart yenilendiğinde merchant'taki abonelik veya kayıtlı kart bilgileri otomatik güncellenir. Kullanıcı müdahalesi gerekmez.
  • Fraud Azalması: Token'ın domain kısıtlaması nedeniyle çalınan token başka bir ortamda kullanılamaz; kart sahtekarlığı kayıpları belirgin biçimde düşer.

Sonuç

Kart tokenizasyonu, ödeme güvenliğindeki en köklü paradigma değişimlerinden biridir. Gerçek kart numarasını ödeme sürecinin dışına çekerek hem son kullanıcıyı hem de merchant'ı korur. Network token altyapısını benimseyen işletmeler; daha yüksek onay oranları, düşük fraud riski ve sadeleştirilmiş PCI uyumu gibi somut faydalar elde eder. Dijital ödemelerin bu yönde evrileceği artık bir öngörü değil, fiilen yaşanan bir gerçeklik.

Etiketler