Stripe ve Yeni SCA Uygulaması “Delegated Authentication”
Avrupa Birliği’nin PSD2 düzenlemesi ile hayatımıza giren ve TCMB’nin 01/12/2021 tarihinde yayımladığı Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ’de detaylı şekilde yer alan Güçlü Kimlik Doğrulama (Strong Customer Authentication – SCA) uygulaması online alışverişlerde dolandırıcılık riskinin engellenmesi için geliştirilen ve kimlik doğrulamada bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmayacağı en az 2 faktörün kullanılmasını öngören bir yöntem. Bu yöntemin mevzuatla bir zorunluluk haline getirilmesinin başlıca sebebi belirttiğimiz gibi çevrimiçi dolandıcılık işlemlerinden dolayı globalde finansal kurumların milyarlarca dolar zarara uğramaları.
TCMB’nin yayımladığı Tebliğ’e göre aşağıdaki işlemlerde Türk mevzuatına tabi kuruluşlarca güçlü kimlik doğrulama yöntemi kullanılması gerekiyor.
- Düzenlemelerde aksine açıkça izin verilmediği sürece, müşterinin elektronik kanal üzerinden yaptığı işlemler,
- Uzaktan iletişim aracı ile sözleşme kurulması sonrasında kimlik tespiti gerektiren müteakip ödemelerin elektronik kanaldan başlatıldığı işlemler,
- Telefon, adres, güvenli alıcılar listesi, tek bileşene dayalı kimlik doğrulama ile yapılabilecek işlemler listesi bilgilerinin değiştirilmesi işlemleri,
- Finansal olmayan işlemler dahil olmak üzere telefon ile gerçekleştirilecek işlemler,
- Müşterinin mobil uygulamada ilk defa oturum açması veya güçlü kimlik doğrulama ile açtığı son oturumun üzerinden 90 günden daha fazla bir süre geçmiş olması durumu,
- Hassas müşteri verilerine erişim sağlayan işlemler,
- Düzenli ödeme talimatı verilmesi işlemleri,
- Bir kimlik doğrulama bileşeninin bir müşteri ile ilk defa ilişkilendirilmesinin uzaktan gerçekleştirildiği durumlar.
Her ne kadar bu uygulama dolandırıcılık riskini azaltsa da güçlü kimlik doğrulama gerektiren online alışverişler sırasında ödeme sayfasındaki müşterinin alışveriş yaptığı aplikasyonu ile bankacılık aplikasyonu arasında git-gel yapması nedeniyle dönüşüm oranlarında (conversion rate) azalmaya (Visa’nın tahminlerine göre kayıp yüzdesi %11 düzeyinde) neden olabiliyor. Bir başka ifadeyle güvenlik ile kolaylık ya da müşteri deneyimi arasındaki açmaz burada devreye giriyor. İşte bu soruna çözüm olması ve müşterilere sürtünmesiz bir alışveriş deneyimi sunulabilmesi amacıyla Stripe yeni bir uygulamaya başladığını duyurdu. Delegated Authentication adı verilen uygulama ile müşteriler (genellikle 3D Secure yönteminin kullanıldığı açılan bir bankacılık uygulama arayüzü aracılığıyla) bankacılık uygulamasına yönlendirilmeden kullandıkları mobil cihaz üzerinden biyometrik doğrulama yöntemini kullanarak işlemlerini tamamlayabiliyorlar. Böylece SCA yükümlülüğü yerine getirilirken oluşabilecek herhangi bir aksaklık nedeniyle müşterinin işlemi yarım kalmıyor. Bu durum elbette hem müşteri deneyimine olumlu katkıda bulunuyor hem de dönüşüm oranlarını artırıyor. Stripe bu işlemi yaparken arka planda müşterinin tercihlerini ve kullandığı cihazın özelliklerini dikkate alarak müşteriye uygun doğrulama yöntemini sunuyor. Örneğin, müşteri bir iPhone kullanıcısı ise Face ID (Yüz tanıma) ile doğrulama yaptırıyor. Bu sayede müşteriler ödeme sayfasından ayrılmadan ödemelerini tamamlayabilirlerken SCA koşulları da sağlanarak dolandırıcılık riski engellenmiş oluyor.
https://stripe.com/newsroom/news/stripe-launches-delegated-authentication
by Hamit Boyraz
