Güvenli Ödeme Onayı

Eiji Kitamura

Güvenli Ödeme Onayı (SPC), müşterilerin platform kimlik doğrulayıcısı kullanarak kredi kartı veren kuruluş, banka veya diğer ödeme hizmeti sağlayıcılarla kimlik doğrulamasına olanak tanıyan önerilen bir web standardıdır:

  • macOS cihazda Touch ID'yi içeren kilit açma özelliği
  • Windows cihazda Windows Hello

SPC sayesinde satıcılar, müşterilerin satın alma işlemlerinin kimliğini hızlı ve sorunsuz bir şekilde doğrulamasına izin verebilir. Ödeme kartını veren bankalar ise müşterilerini sahtekarlıktan korur.

SPC'nin iki aşaması vardır: kayıt ve kimlik doğrulama.

  • Kayıt: Ödeyen, cihazını güvenen tarafa (RP) bağlar. Güvenen taraf, kredi kartı veren banka, banka veya başka bir ödeme hizmeti sağlayıcı olabilir.
  • Kimlik doğrulama: Ödeyen, ödemeleri onaylamadan önce kayıtlı cihazı kullanarak kimliğini doğrudan satıcının platformundan RP ile doğrular.

Sahtekarlığı önleme için kimlik doğrulama

Kimlik doğrulama, ödeme sahtekarlığını önlemede önemli bir rol oynar. Ancak bu doğrulama işlemi genellikle kredi kartı numarasının ve kart sahibinin adının kombinasyonu veya kartın arka tarafına yazılmış ek bir CVV kodu gibi zayıf mekanizmalara dayanır. Hesap ele geçirme veya kimlik avı saldırıları gibi veri güvenliği ihlalleri nedeniyle kart bilgileri sızdırılırsa bu mekanizmaların güvenliği kolayca ihlal edilebilir ve kimliğe bürünülebilir.

Ödeyen kullanıcıdan kart veren kuruluş veya bankayla kimlik doğrulaması yapması istenebilecek EMV® 3-D Secure gibi ek sahtekarlık önleme mekanizmaları kullanıma sunulmuştur. Kullanıcı, kimliğini doğrulamak için kullanıcı adı ve şifreyle veya ödeme yapan kullanıcının telefonuna SMS ile gönderilen tek seferlik şifreyle (OTP) oturum açar. Bu, müşterileri sahtekarlıktan korumak için kullanılır ancak bazı geçerli müşterilerin ödemeyi tamamlamasını engelleyebilir. SPC, kimlik doğrulamayla ilgili anlaşmazlıkları azaltarak alışveriş sepeti terk etme oranını düşürmeyi amaçlar.

Bu arada, WebAuthn adlı yeni bir kimlik doğrulama standardı kullanıma sunuldu.

WebAuthn nedir?

Web Kimlik Doğrulaması (kısaca WebAuthn), güvenen taraf (RP) sunucularının tarayıcıda kullanıcıları şifre yerine ortak anahtar kriptografisi kullanarak kaydettirmesine ve kimliklerini doğrulamasına olanak tanıyan bir web standardıdır.

RP'ler, güvenlik anahtarı gibi fiziksel kimlik doğrulayıcılara dayanır. RP'ler, özel-ortak anahtar çifti oluşturmak için güvenlik anahtarını ister ve ardından ortak anahtarı sunucuda depolar (kayıt). Oluşturulan bu anahtarlar cihaza özgüdür ve saldırganların kullanıcının kimliğine bürünmesini engeller. Anahtar çifti kaynağa bağlı olduğu için bu standart kimlik avına karşı dayanıklıdır.

FIDO Alliance, kimlik doğrulayıcı davranışını standartlaştırır. Bazı kimlik doğrulayıcılar, biyometrik faktör (ör. parmak izi veya yüz tanıma) ya da bilgi faktörü (ör. PIN kodu) ile yerel kullanıcı doğrulamasını destekler. Birçok kimlik doğrulayıcı, dizüstü bilgisayar veya akıllı telefon gibi bilgi işlem cihazlarına entegre edilmiştir ve platform kimlik doğrulayıcıları olarak bilinir. WebAuthn, tüm büyük tarayıcılarda (masaüstü ve mobil) desteklenir ve kimlik doğrulayıcılar milyarlarca cihazda kullanılabilir. Kullanıcılar, platformda yerel olarak kimliklerini doğrulayarak kaydolup kimlik doğrulaması yapabilir.

SPC, kullanıcı doğrulama platformu kimlik doğrulayıcılarıyla (UVPA) çalışacak şekilde tasarlanmıştır.

Apple Touch ID ve cep telefonu kamerası, UVPA örnekleri arasındadır.
Birçok cihazda biyometrik sensör bulunur. Bu doğrulayıcılara kullanıcı doğrulama platformu doğrulayıcısı (UVPA) denir.

Güvenli Ödeme Onayı nasıl çalışır?

Güvenli Ödeme Onayı (SPC), WebAuthn'a dayalı olup ödeme amacıyla özel olarak tasarlanmıştır. WebAuthn kimlik bilgileri belirli alanlar için kaydedildiği için bu kimlik bilgileri, satıcının kimliğine bürünen ve kayıtlı olmayan sitelerde kimlik doğrulaması için kullanılamaz. Bu özellik, WebAuthn'ı kimlik avı saldırılarına karşı etkili kılar.

SPC, kart veren kuruluşun veya bankanın tutarlı bir ödeme deneyimi sunabilmesi için WebAuthn'nin üzerine bir ödeme bilgileri katmanı ekler. Bir ödeme yapan kullanıcı, güvenen tarafa kimlik doğrulayıcı kaydettikten sonra bu kimlik doğrulayıcı farklı satıcı sitelerinde kimlik doğrulama için kullanılabilir. Güvenen taraf, ödeme kimliğini normal bir WebAuthn kimliği olarak da kullanabilir.

Stripe, Chrome'un kaynak denemeleri kapsamında üretim ortamında SPC ile bir deneme yaptı. Bu denemede Stripe, %8 daha iyi bir dönüşüm oranı elde etti ve ödeme oranı üç kat daha hızlıydı. Sonuçları hakkında bilgi edinmek için W3C Web Ödemeleri Çalışma Grubu'ndaki SPC raporunu inceleyin.

Kullanıcılar SPC'yi nasıl deneyimliyor?

SPC ön uç, kayıt ve kimlik doğrulama olmak üzere iki aşamadan oluşur.

Müşterinin önce kullanıcı doğrulama platformu kimlik doğrulayıcısını (UVPA) kullanarak cihazını kaydettirmesi gerekir. Cihaz kaydedildikten sonra, satıcının sitesinde SPC yapıldığında kullanıcının kimliğini doğrulamak ve ödemeleri onaylamak için kullanılabilir.

Kayıt

Kullanıcılar SPC'ye iki şekilde kaydolabilir:

  • Doğrudan RP web sitesinden kaydolun.
  • Bir satıcının web sitesinde dolaylı olarak kaydolma

RP web sitesine kayıt

RP'nin web sitesinde SPC kaydı, WebAuthn kaydından farklı değildir. RP'nin, müşteriden oturum açma akışı kapsamında UVPA'sını kaydetmesini istemesini öneririz.

Tipik bir senaryo şu şekilde olabilir:

  1. Müşteri, kullanıcı adı, şifre ve ek bir doğrulama adımı (genellikle tek kullanımlık şifre veya OTP) kullanarak banka web sitenizde oturum açar.
  2. Kimlik doğrulama işlemi başarıyla tamamlandıktan sonra müşteriden cihazını kaydettirmesini isteyen bir izin isteği gösterin (UVPA).
  3. İzin verildikten sonra tarayıcıda bir WebAuthn kayıt iletişim kutusu gösterilir.
  4. Müşteri, biyometrik kimlik doğrulaması yaparak cihazı kaydettirmeye izin verir.
  5. Müşteri artık cihazını kullanarak giriş yapabilir ve güvenli bir şekilde ödeme yapabilir.

Yeniden kimlik doğrulama işleminde, kullanıcı zaten giriş yapmış olsa da aynı kullanıcının hâlâ mevcut olduğundan emin olmak için yeniden kimlik doğrulaması yapması istenir. Bu tasarım genellikle şifre değiştirme isteği veya ödeme yapma gibi güvenlik açısından kritik bir işlemde görülür. WebAuthn UVPA ile yeniden kimlik doğrulama, şifre kullanmaktan çok daha hızlı ve daha güçlüdür.

Yeniden kimlik doğrulama için WebAuthn kayıt ve kimlik doğrulama akışı oluşturmayı İlk WebAuthn uygulamanızı oluşturma başlıklı makalede öğrenebilirsiniz.

Ödeme sırasında bir satıcının web sitesine kayıt

Müşteriniz cihazını ödeme kartını veren kuruluşun web sitesine kaydettirmezse bunu doğrudan satıcının web sitesinden yapabilir. Arayüz aynı görünür ancak kullanıcının kaydı RP'nin kodu tarafından başlatılır.

Bu seçenek, müşterilerin RP web sitesini sık sık ziyaret etmediği ancak RP'nin kimlik doğrulama seçeneğini sunmak istediği durumlarda idealdir.

Kimlik Doğrulaması (Ödeme Onayı)

Ödeyen, ödeme işlemi sırasında bir ödeme kimlik bilgisi sağladığında kimlik doğrulaması gerekir.

  1. Ödeyen, bir ödeme kimliği (ör. kredi kartı bilgileri) sağlar.
  2. Satıcı, tarayıcının Güvenli Ödeme Onayı'nı destekleyip desteklemediğini kontrol eder.
  3. Tarayıcı SPC'yi destekliyorsa ödeme yöntemi olarak SPC ile Payment Request API'yi çağırın. Aksi takdirde mevcut kimlik doğrulama yöntemine geri dönün.
  4. Ödeyen, işlem ayrıntılarını onaylar ve kimlik doğrulamayı tamamlar (ör. biyometrik platform kimlik doğrulayıcısına dokunarak).

Desteklenen platformlar

Güvenli Ödeme Onayı şu anda macOS ve Windows'ta Google Chrome tarafından desteklenmektedir. Android, iOS ve ChromeOS dahil diğer platformlar Mayıs 2022'den itibaren desteklenmiyor.

Sonraki adımlar