Son dövrlər, ödəniş kartları sferasında dələduzluq hallarının adi ekvayringdən ( card present) daha çox e-commerce ( Card Not Present) sahəsinə keçdiyini müşahidə etmək olar. Sahənin kifayət qədər yeni olduğunu nəzərə alaraq, bu postda internet üzərindən alış əməliyyatları zamanı banklar üçün ortaya çıxan risklərin səthi analizi və bu risklərin müəyyən dərəcədə aradan qaldırmağa kömək edən 3DSecure texnologiyası ilə tanış olacağıq.

İlk öncə, risklər barəsində.

Ödəniş kartları vasitəsilə əməliyyatlar, kartın fiziki olaraq tranzaksiyada iştırakından və istifadə olunan terminalın tipindən asılı olaraq, ümumilikdə 2 kategoriyaya ayrılır -Card Present (CP) və Card Not Present (CNP). İstifadə olunan tranzaksiya tipindən asılı olaraq, dələduzluq hallarının baş verdiyi şəraitdə müxtəlif məsuliyyət transferləri siyasəti tətbiq edilir. Məsələn, beynəlxalq ödəniş sistemlərinin ( VİSA, Mastercard və s.) tələblərinə görə, 3DSecure texnologiyasının həm emitent bank, həm də ekvayer tərəfindən dəstəklənmədiyi şəraitdə, internet üzərindən kart sahibinin xəbəri olmadan keçirilən tranzaksiyalara görə məsuliyyət ekvayer bankın üzərinə ötürülür və müvafiq chargeback məsələsi qaldırıldıqda, dəymiş ziyan fırıldaq tranzaksiyanın keçirildiyi ticarət təşkilatının xidmət olunduğu ekvayer bank tərəfindən ödənilir. Ekvaryer bank 3DSecure mexanizmində iştirak edirsə, bu məsuliyyət emitent bankın üzərinə ötürülür.

3DSecure mexanizmindən istifadə etməyən internet-ekvayer bankların risklərini ümumilikdə aşağıdakı kimi səciyyələndirmək olar:

• Oğurlanmış kartlar üzrə dələduzluq tranzaksiyaları ;
• Dələduzluq tranzaksiyaların həcminə əsasən beynəlxalq ödəniş sistemləri və yerli qanunvericiliyin tələblərinə müvafiq cərimə və sanksiyaların tətbiqi. Ekvayer bank tərəfindən müvafiq tədbirlər görülmədikdə, ekvayring lisenziyası ümumiyyətlə ləğv oluna bilər;
• Böyük həcmdə fırıldaq tranzaksiyaların keçirilməsi nəticəsində ekvayer bankın imicinin bazarda sarsılması;

Emitent banklar üçün riskləri aşağıdakı kimi səciyyələndirmək olar:

• Fırıldaq əməliyyatlar nəticəsində müştərilərə dəyən ziyan;
• Bankın mənfi formlaşan imici;
• Lokal qanunvericiliyin tələblərinə uyumsuzluq nəticəsində sanksiyalarla qarşılaşmaq təhlükəsi. Məsələn, AR -nin Mərkəzi Bankı 2015-ci ildən başlayaraq emitent banklar üçün xaricdə edilən onlayn tranzaksiyalar zamanı 3DSecure texnologiyasından və ya kart sahibinin hər hansı digər mexanizmlərlə autentifikasiyasını zəruri elan edib;

Hal-hazırda, sadalanan risklərin qarşısını almaq üşün ən effektiv metodlardan 1-i 3DSecure texnologiyasıdır.

3DSecure nədir? XML əsaslı protokol, VİSA və Mastercard tərəfindən təsbit edilmiş işçi qrupu tərəfindən yaradılmışdır və internet üzərindən alış-veriş əməliyyatlarının təhlükəsizliyi və dələduzluq hallarının qarşısının alınması məqsədini daşıyır – hər hansı tranzaksiyanın həyata keçirildiyi zaman, kart sahibinin bu məqsədlər üçün ayrılmış xüsusi serverlərdə ( ACS – Access Control Server) autentifikasiyası tələb edilir ki, bu da, öz növbəsində, kartın həqiqi sahibinin mütləq şəkildə tranzaksiyanın keçirilməsində iştirakı deməkdir . 3 Domain Secure – aşağıdakı sxemdə göstərildiyi kimi, hər hansı onlayn tranzaksiya zamanı 3 tərəfin – “Ekvayer – VİSA or MC – Emitent” iştirakını özündə ehtiva edən sxem nəzərdə tutulur. Sxemdə müvafiq addımların izahı 1 az aşağıda verilib:

Beləliklə, istifadəçi hər hansı alış-veriş saytında seçdiyi məhsulu səbətinə əlavə edir və ödəmə istəyini bildirir:

     1. İstifadəçi, ekvayer bank və ya 3-cü şirkət tərəfindən dəstəklənən MPİ (Merchant Plug-İn – internet üzərindən e-commerce ekvayringini həyata keçirməyə imkan verən xüsusi program təminatı) tərəfindən host olunan ödəniş səhifəsinə göndərilir və ona məxsus kart informasiyasını müvafiq xanalara daxil edir.

2. MPİ, ödəniş sistemlərinə məxsus xüsusi serverlərdən – Directory Server, müştəri tərəfindən 2-ci addımda daxil edilən kartın 3DSecure texnologiyasında iştirakını sorğulayır;

3. DS, öz növbəsində, emitentin ACS (Access Control Server ) serverindən, kartın 3DSecure texnologiyasında iştirakını sorğulayır;

4, 5. Emitentin cavabı MPİ-a qaytarılır. Emitentin 3DSecure xidmətində iştirakı halında, cavabda kart sahibinin autentifikasiya məqsədilə yönləndiriləcək ACS-in ( Accesss Control Server) URL-i göndərilir.
6. Kart sahibi, emitent bank tərəfindən təqdim edilən metodlardan ( OTP – birdəfəlik şifrə, statik şifrə və s) istifadə edərək autentifikasiya prosesini keçir. Autentifikasiya prosesi uğurlu keçərsə, CAVV/UCAV və müvafiq ECI indikatorlar 7-ci addımda MPİ-a qaytarılır. Uğursuz autentifikasiya prosesi üçün CAVV/UCAF generasiya olunmur.

7. Autentifikasiya prosessi bitdikdən sonra kart sahibi nəticələrlə birgə yenidən MPİ serverə yönəldilir.

8. MPİ server ACS serverin cavabında autentifikasiya nəticələrini yoxladıqdan sonra, uğurlu autentifikasiya nəticəsində tranzaksiyanın avtorizasiyası üçün emitent bankın processing mərkəzinə yönəldir. Avtorizasiyanın müvafiq sahələrində 6-cı addımda ACS serverdən alınan CAVV/UCAF və ECİ indikatorlar göstərilməlidir.
Ekvayer bankın 3DSecure protokolunda iştirak etmədiyi təqdirdə, tranzaksiya aparılan zaman yuxarıda göstərilən sxemdən yalnız 1 və 8-ci addımlar çıxış edir. Bu zaman, məsuliyyət ekvayer bankın üzərində olur. Emitent bankın 3DSecure protokolunda iştirak etmədiyi təqdirdə, tranzaksiyada 1,2,5,8-ci addımlar çıxış edir, məsuliyyət emitent bankın üzərinə ötürülür.

Bu qədər,

Fərid Səmədov | CISM, CISSP, RHCE, MCITP