Ülkemiz FinTech girişimlerinden Finartz’ın Medium’da yayınladığı yeni makalesi PSD2 geçişinin 3D Secure 2.0 ile olan ilgisini ele alıyor.
3DS(Three Domain Secure) Visa’nın 1999 yılında ortaya koyduğu, diğer kart sistemlerinin de bünyesinde ufak tefek değişiklikler yaparak kabul ettikleri bir güvenli ödeme çözümüdür. Örnek vermek gerekirse ; Visa VerifiedByVisa, Master SecureCode, Discover ise “ProtectBuy” adıyla 3D Secure sistemini kullanmaya başlamıştır. 3D Secure 1.0 ortaya çıktığında henüz akıllı telefonlar yoktu. Bu nedenle yalnızca browser üzerinden geçen işlemleri destekleyecek şekilde geliştirilmiştir. Mobil uygulamalar üzerinden yapılan ödemeler için bir çözüm sunmamıştır.
2017 yılının sonuna doğru ise EMVCo(Europay,MasterCard,Visa ortaklığında kurulan şirket) tarafından 3DS 2.0 spesifikasyonu yayınlandı. 3DS 2.0 incelendiğinde en büyük yenilik olarak gözümüze çarpan mobil akışlar için getirdiği çözüm oluyor. Biz her ne kadar bu geçişi akıllı telefonlar üzerinden artık çok sayıda işlem geçmesine bağlasakta olayın iç yüzü aslında öyle değil. PSD ile her şey aydınlanacak 🙂
3DS 2.0 hakkında daha fazla bilgiye sahibi olmak için Hamit Naiboğlu’nun ya da Kaan Öztemir’in medium yazısını okuyabilirsiniz.
Gelelim PSD2’ye. PSD2 adından da anlaşılacağı gibi bunun bir de PSD1’i var. Peki nedir PSD?
PSD(Payment System Directive), Avrupa Birliği ülkelerinde 2009 yılında ortaya koyulan ülkeler arası ödeme piyasasının hızlı, verimli, güvenli şekilde çalışmasını hedefleyen ödeme sistemleri yönetmeliğidir. Bu sistemin başlıca bir diğer hedefi de bankalara rekabet olarak ortaya çıkacak diğer ödeme kuruluşlarına yol açmak. Bunun en güzel örneği, ülkemizde PSD’nin kabulünden sonra ortaya çıkan Iyzico, Ininal, ödeAl gibi başarılı start-up’lardır.
PSD2, PSD kanunlarının 5 yıl sonunda gözden geçirilip yenilenmesiyle ortaya çıkmıştır. PSD’ye göre daha kapsamlı, daha gelişmiş özellikleri barındırmaktadır.
2015 yılında geçiş ile ilgili önerge Avrupa Parlementosu’na sunulmuş, kabul edildikten sonra ise 2017 yılında güvenlik önlemlerinin oluşturulması, uygulanması ve denetlenmesi konusunda bir rehber yayımlanmıştır. Bu bildirge ile birlikte kart hizmet sağlayıcıları da harekete geçmiştir. 3DS 2.0’ın ortaya çıkmasına vesile olan neden de burdan doğmuştur.
Peki, PSD2 yenilikleri nelerdir kısaca bir göz atalım:
1.Ödeme hizmetlerine ilişkin çerçevenin Avrupa dışına genişletilmesi yani bir ayağı Avrupa dışında olan ödeme işlemlerinin de kapsama dahil edilmesi,
2. Hesap Bilgileri Hizmet Sağlayıcıları kavramının getirilmesi (Account Information Service Providers), ya da diğer adıyla Financial Data Aggregators,
3. Ödeme Başlatma Hizmet Sağlayıcıları kavramının getirilmesi (Payment Initiation Service Providers)
4. Ödeme işlemleri ve finansal hesaplara erişimde Güçlendirilmiş Güvenlik ve Tanımlama kriterlerinin getirilmesi
Yukarıdaki maddelere baktığımızda hesap bilgileri hizmet sağlayıcılarından ya da ödeme başlatma hizmet sağlayıcılarından yola çıkarak en önemli değişikliğin bankaların ödeme hizmetlerini API’ler yoluyla üçüncü partilere açmak zorunda olduğunu söyleyebiliriz. Üçüncü parti kurumlar kart sahipleri hakkında daha fazla bilgiye erişebileceği için bu da aslında yapılacak birçok finansal uygulama geliştirmenin önünü açıyor.
3DS 2.0’ın ortaya çıkışına vesile olan hareket PSD2 ise, 3DS 2.0 PSD2’yi hangi noktalarda destekliyor?
Konunun en başında da bahsettiğimiz gibi artık telefonlar üzerinden ödeme daha yaygın hale geldi. Bu nedenle 3DS 2.0 mobil uygulamalardan gelen ödeme talebini karşılama noktasında bir SDK geliştirilmesini görevini karşılıyor ve PSD2’ye uygun şekilde bu geliştirmenin nasıl yapılacağı ya da güvenliğin nasıl sağlanacağı konusunda analiz ve teknik analiz dokümanlarını, geliştirmek isteyen kişilerin paylaşımına açıyor.
Yine PSD2 yenilikleriyle ilgili maddeleri inceleyecek olursak burada hesap bilgilerinin üçüncü partilere sağlanması ve ödeme işlemleri ya da finansal hesaplarda daha güçlü doğrulamalar yapılması ile ilgili maddeler bulunmaktadır. 3DS 2.0 herhangi bir abonelik ödemesi almadan önce kullanıcının hesabının aktif olup olmadığını 3RI(3DS Requestor Initiated) işlemle hızlıca sorgulayabiliyor. Ya da gelen işlem için bir doğrulama gerekip gerekmediği konusunda hızlıca karar verip her işlem için kullanıcıyı doğrulamaya tabi tutup işlem süresini uzatmıyor.
SMS üzerinden OTP gönderilmesinin yanı sıra gelişen teknolojiyle parmak izi okuma, yüz tanıma, mobil aplikasyon üzerinden kullanıcıyı doğrulama gibi tam da PSD2’nin istediği gibi doğrulama yöntemlerini çeşitlendiriyor.
Yurt dışında 3DS 2.0 ile ilgili bir çok çalışma mevcut. Şüphesiz bunda PSD2 geçişlerinin 2019 Eylül ayına kadar tamamlanmasının katkısı çok büyük. PSD2 ye uygun 3DS’ler sahada 🙂 PSD2’nin ülkemizde ne zaman kabul edileceği ise merak konusu.
