Güvenli Ödeme Onayı (SPC) müşterilerin bir platform kimlik doğrulayıcısı kullanarak kredi kartı veren kuruluş, banka veya başka bir ödeme hizmeti sağlayıcısıyla kimlik doğrulaması yapmasını sağlayan teklif edilen bir web standardıdır:
- macOS cihazlarda Touch ID de dahil olmak üzere kilit açma özelliği
- Windows cihazda Windows Hello
SPC ile satıcılar müşterilerin satın alma işlemlerinde hızlı ve sorunsuz bir şekilde kimlik doğrulaması yapmasına olanak tanırken kartı veren bankalar da müşterilerini sahtekarlığa karşı korur.
SPC iki aşamadan oluşur: kayıt ve kimlik doğrulama.
- Kayıt: Ödemeyi yapan kullanıcı, cihazını bağlı bir tarafa (RP) bağlar. Bağlı taraf bir kredi kartı veren kuruluş, banka veya başka bir ödeme hizmeti sağlayıcı olabilir.
- Kimlik doğrulama: Ödeyen, ödemeleri onaylamadan önce kimliğini doğrudan satıcının platformundan RP ile doğrulamak için kayıtlı cihazı kullanır.
Sahtekarlığı önleme amaçlı kimlik doğrulama
Kimlik doğrulama, ödeme sahtekarlığının önlenmesinde önemli bir rol oynar. Ancak bu doğrulama işlemi genellikle, kredi kartı numarası ile kart sahibinin adının bir kombinasyonu veya kartın arkasında yazılı ek bir CVC kodu gibi zayıf mekanizmalara dayanır. Kart bilgileri hesap ele geçirme veya kimlik avı saldırıları gibi veri güvenliği ihlalleri nedeniyle sızdırılırsa bu mekanizmalar kolayca ele geçirilebilir ve bunların kimliğine bürünülebilir.
Ödemeyi yapan kişiden kartı veren kuruluş veya bankadan kimlik doğrulamasının istenebileceği EMV® 3-D Secure gibi sahtekârlığı önleme mekanizmaları kullanıma sunulmuştur. Kimlik doğrulaması için kullanıcı, bir kullanıcı adı ve şifreyle veya ödeme yapan kullanıcının telefonuna SMS ile gönderilen tek kullanımlık şifreyle (OTP) oturum açar. Bu yöntem, müşterileri sahtekarlığa karşı korumak için olsa da bazı geçerli müşterilerin ödeme işlemini tamamlamasını engelleyebilir. SPC, kimlik doğrulama zorluklarını azaltarak alışveriş sepetini terk etme oranını azaltmayı amaçlar.
Bu arada, WebAuthn adında yeni bir kimlik doğrulama standardı da yükselişte.
WebAuthn nedir?
Web Kimlik Doğrulaması (kısaca WebAuthn), bağlı taraf (RP) sunucularının şifre yerine ortak anahtar kriptografisi kullanarak tarayıcıda kullanıcıları kaydettirmesine ve kimliklerini doğrulamasına olanak tanıyan bir web standardıdır.
RP'ler, güvenlik anahtarı gibi fiziksel kimlik doğrulayıcılardan yararlanır. RP'ler özel-ortak anahtar çifti oluşturmak için güvenlik anahtarı ister, ardından ortak anahtarı sunucuda depolar (kayıt). Oluşturulan bu anahtarlar cihaza özgüdür, bu da saldırganların kullanıcının kimliğine bürünmesini önler. Anahtar çifti kaynağa bağlı olduğu için bu standart, kimlik avına karşı dayanıklıdır.
FIDO Alliance, kimlik doğrulayıcı davranışını standart hâle getirir. Bazı kimlik doğrulayıcılar, biyometrik faktör (parmak izi veya yüz tanıma gibi) veya bilgi faktörü (PIN kodu gibi) ile yerel kullanıcı doğrulamayı destekler. Bunların çoğu, platform kimlik doğrulayıcıları olarak bilinen ve dizüstü bilgisayarlar veya akıllı telefonlar gibi bilgi işlem cihazlarına entegredir. WebAuthn, önde gelen tüm tarayıcılarda (masaüstü ve mobil) desteklenir. Kimlik doğrulayıcılar ise milyarlarca cihazda kullanılabilir. Kullanıcılar, kimliklerini platformda yerel olarak doğrulayarak kaydolabilir ve kimliklerini doğrulayabilir.
SPC, Kullanıcı Doğrulama Platformu Kimlik Doğrulayıcıları (UVPA) ile çalışacak şekilde tasarlanmıştır.
Güvenli Ödeme Onayı nasıl çalışır?
Güvenli Ödeme Onayı (SPC), WebAuthn temelinde geliştirilmiştir ve ödeme amacıyla özel olarak tasarlanmıştır. WebAuthn kimlik bilgileri belirli alan adları için kaydedildiğinden, bu kimlik bilgileri bir satıcının kimliğine bürünmüş olabilecek kayıtlı olmayan sitelerde kimlik doğrulaması yapmak için kullanılamaz. Bu özellik WebAuthn'un kimlik avı saldırılarına karşı etkili olmasını sağlar.
SPC, kartı veren kuruluşun veya bankanın tutarlı bir ödeme deneyimi sunabilmesi için WebAuthn'un üstüne bir ödeme bilgileri katmanı ekler. Ödeyen taraf, bağlı tarafa bir kimlik doğrulayıcı kaydettikten sonra bu kimlik farklı satıcı sitelerinde kimlik doğrulaması yapmak için kullanılabilir. Bağlı taraf, ödeme kimlik bilgisini normal WebAuthn kimlik bilgisi olarak kullanmayı da seçebilir.
Stripe, Chrome'un kaynak denemelerinin bir parçası olarak üretim ortamında SPC ile bir deneme çalıştırdı. Stripe bu denemede% 8 daha yüksek dönüşüm oranı elde etti ve ödeme oranı üç kat daha hızlı oldu. Sonuçları hakkında daha fazla bilgiyi W3C Web Ödemeleri Çalışma Grubu'ndaki SPC raporunda bulabilirsiniz.
Kullanıcılar SPC'yi nasıl deneyimliyor?
SPC kullanıcı arabirimi iki aşamadan oluşur: kayıt ve kimlik doğrulama.
Müşterinin öncelikle kullanıcı doğrulama platformu kimlik doğrulayıcıyı (UVPA) kullanarak cihazını kaydetmesi gerekir. Cihaz kaydedildikten sonra, satıcının sitesinde her SPC yapıldığında kullanıcının kimliğini doğrulamak ve ödemeleri onaylamak için kullanılabilir.
Kayıt
Kullanıcılar SPC'ye iki şekilde kaydolabilir:
- Doğrudan RP'nin web sitesinden kaydolun.
- Bir satıcı web sitesine dolaylı olarak kaydolmalıdır.
RP web sitesinde kayıt
RP'nin web sitesindeki SPC kaydı, WebAuthn kaydından farklı değildir. Kısıtlanmış tarafın, müşteriden UVPA'larını oturum açma akışının bir parçası olarak kaydetmesini istemesini öneriyoruz.
Tipik bir senaryo aşağıdaki gibi olabilir:
- Müşteri, bir kullanıcı adı, şifre ve ek bir doğrulama adımı (genellikle tek kullanımlık şifre veya OTP) kullanarak bankanızın web sitesinde oturum açar.
- Başarılı bir kimlik doğrulama işleminden sonra, müşterinin cihazını kaydetmesini (UVPA) isteyen bir izin isteği görüntüleyin.
- İzin verildikten sonra tarayıcıda bir WebAuthn kayıt iletişim kutusu gösterilir.
- Müşteri, biyometrik kimlik doğrulama yaparak cihazın kaydedilmesini kabul ederse.
- Müşteri artık cihazını kullanarak giriş yapıp güvenli bir şekilde ödeme yapabilir.
reauthentication ile kullanıcı giriş yapmış olur ancak aynı kullanıcının hâlâ mevcut olduğundan emin olmak için yeniden kimlik doğrulaması yapması istenir. Bu tasarım genellikle şifre değiştirme isteğinde bulunma veya ödeme yapma gibi güvenlik açısından kritik bir işlemde görülür. WebAuthn UVPA ile yeniden kimlik doğrulama, şifre kullanmaktan çok daha hızlı ve güçlüdür.
İlk WebAuthn uygulamanızı oluşturma sayfasından yeniden kimlik doğrulama için WebAuthn kaydı ve kimlik doğrulama akışı oluşturmayı öğrenin.
Ödeme sırasında satıcı web sitesine kayıt
Müşteriniz cihazını ödeme hizmeti sağlayıcısının web sitesine kaydetmiyorsa bu işlemi doğrudan bir satıcı web sitesinde yapabilir. Arayüz aynı görünür, ancak kullanıcının kaydı RP'nin kodu tarafından başlatılır.
Bu, müşterilerin kısıtlanmış taraf web sitesini sık ziyaret etmemesine rağmen RP'nin yine de kimlik doğrulama seçeneğini sunmak istediği durumlarda idealdir.
Kimlik Doğrulaması (Ödeme Onayı)
Ödeyen, ödeme işlemi sırasında ödeme kimlik bilgisi sağladığında kimlik doğrulama istenir.
- Ödeyen, ödeme için bir kimlik bilgisi sağlar (kredi kartı bilgileri gibi).
- Satıcı, tarayıcının Güvenli Ödeme Onayı'nı destekleyip desteklemediğini kontrol eder.
- Tarayıcı SPC'yi destekliyorsa ödeme yöntemi olarak SPC ile Payment Request API'yi çağırın. Aksi takdirde, mevcut kimlik doğrulama yöntemini kullanın.
- Ödeyen, işlem ayrıntılarını onaylar ve kimlik doğrulamasını tamamlar (örneğin, biyometrik platform kimlik doğrulayıcısına dokunarak).
Desteklenen platformlar
Güvenli Ödeme Onayı, şu anda macOS ve Windows'da Google Chrome tarafından desteklenmektedir. Android, iOS ve ChromeOS gibi diğer platformlar Mayıs 2022 itibarıyla desteklenmemektedir.