Güvenli Ödeme Onayı

Eiji Kitamura

Güvenli Ödeme Onayı (SPC), müşterilerin platform kimlik doğrulayıcısı kullanarak kredi kartı veren kuruluş, banka veya diğer ödeme hizmeti sağlayıcılarla kimlik doğrulamasına olanak tanıyan önerilen bir web standardıdır:

  • macOS cihazlarda Touch ID dahil kilidi açma özelliği
  • Windows cihazda Windows Hello

SPC sayesinde satıcılar, müşterilerin satın alma işlemlerinin kimliğini hızlı ve sorunsuz bir şekilde doğrulamasına izin verebilir. Ödeme kartını veren bankalar ise müşterilerini sahtekarlıktan korur.

SPC'nin iki aşaması vardır: kayıt ve kimlik doğrulama.

  • Kayıt: Ödeyen, cihazını güvenen tarafa (RP) bağlar. Güvenen taraf, kredi kartı veren banka, banka veya başka bir ödeme hizmeti sağlayıcı olabilir.
  • Kimlik doğrulama: Ödeyen, ödemeleri onaylamadan önce kayıtlı cihazı kullanarak doğrudan satıcının platformundan RP ile kimliğini doğrular.

Sahtekarlığı önlemek için kimlik doğrulama

Kimlik doğrulama, ödeme sahtekarlığını önlemede önemli bir rol oynar. Ancak bu doğrulama süreci genellikle kredi kartı numarası ile kart sahibinin adının kombinasyonu veya kartın arkasına yazılan ek bir CVC kodu gibi zayıf mekanizmalara dayanır. Hesabın ele geçirilmesi veya kimlik avı saldırıları gibi veri güvenliği ihlallerinden dolayı kart bilgileri sızdırılırsa bu mekanizmaların güvenliği kolayca ihlal edilir ve bunların kimliğine bürünülür.

Ödeyen kullanıcıdan kart veren kuruluş veya bankayla kimlik doğrulaması yapması istenebilecek EMV® 3-D Secure gibi ek sahtekarlık önleme mekanizmaları kullanıma sunulmuştur. Kullanıcı, kimliğini doğrulamak için kullanıcı adı ve şifreyle veya ödeme yapan kullanıcının telefonuna SMS ile gönderilen tek seferlik şifreyle (OTP) oturum açar. Bu, müşterileri sahtekarlıktan korumak için kullanılır ancak bazı geçerli müşterilerin ödemeyi tamamlamasını engelleyebilir. SPC, kimlik doğrulama sorunlarını azaltarak alışveriş sepetini terk etme oranını azaltmayı amaçlar.

Bu arada, WebAuthn adlı yeni bir kimlik doğrulama standardı kullanıma sunuldu.

WebAuthn nedir?

Web Kimlik Doğrulaması (kısaca WebAuthn), güvenen taraf (RP) sunucularının tarayıcıda kullanıcıları şifre yerine ortak anahtar kriptografisi kullanarak kaydettirmesine ve kimliklerini doğrulamasına olanak tanıyan bir web standardıdır.

RP'ler, güvenlik anahtarı gibi fiziksel kimlik doğrulayıcılara dayanır. RP'ler, özel-ortak anahtar çifti oluşturmak için güvenlik anahtarını ister ve ardından ortak anahtarı sunucuda depolar (kayıt). Oluşturulan bu anahtarlar cihaza özgü olduğundan saldırganların kullanıcının kimliğine bürünmesini engeller. Anahtar çifti kaynağa bağlı olduğu için bu standart kimlik avına karşı dayanıklıdır.

FIDO Alliance, kimlik doğrulayıcı davranışını standartlaştırır. Bazı kimlik doğrulayıcılar, yerel kullanıcı doğrulamasını biyometrik faktör (parmak izi veya yüz tanıma gibi) ya da bilgi faktörü (PIN kodu gibi) kullanarak destekler. Birçok kimlik doğrulayıcı, dizüstü bilgisayar veya akıllı telefon gibi bilgi işlem cihazlarına entegre edilmiştir ve platform kimlik doğrulayıcıları olarak bilinir. WebAuthn, tüm büyük tarayıcılarda (masaüstü ve mobil) desteklenir ve kimlik doğrulayıcılar milyarlarca cihazda kullanılabilir. Kullanıcılar, platformda yerel olarak kimliklerini doğrulayarak kaydolup kimlik doğrulaması yapabilir.

SPC, kullanıcı doğrulama platformu kimlik doğrulayıcılarıyla (UVPA) çalışacak şekilde tasarlanmıştır.

UVPA'lara örnek olarak Apple Touch ID ve cep telefonu kamerası verilebilir.
Birçok cihazda biyometrik sensör bulunur. Bu kimlik doğrulayıcılara kullanıcı doğrulama platformu kimlik doğrulayıcısı (UVPA) adı verilir.

Güvenli Ödeme Onayı nasıl çalışır?

Güvenli Ödeme Onayı (SPC), WebAuthn'u temel alır ve ödeme amacıyla özel olarak tasarlanmıştır. WebAuthn kimlik bilgileri belirli alanlar için kaydedildiği için bu kimlik bilgileri, satıcının kimliğine bürünen ve kayıtlı olmayan sitelerde kimlik doğrulaması için kullanılamaz. Bu özellik, WebAuthn'ı kimlik avı saldırılarına karşı etkili kılar.

SPC, kart veren kuruluşun veya bankanın tutarlı bir ödeme deneyimi sunabilmesi için WebAuthn'ın üzerine bir ödeme bilgileri katmanı ekler. Bir ödeme yapan kullanıcı, güvenen tarafa kimlik doğrulayıcı kaydettikten sonra bu kimlik doğrulayıcı farklı satıcı sitelerinde kimlik doğrulama için kullanılabilir. Güvenen taraf, ödeme kimliğini normal bir WebAuthn kimliği olarak da kullanabilir.

Stripe, Chrome'un kaynak denemeleri kapsamında üretim ortamında SPC ile bir deneme yaptı. Bu denemede Stripe, %8 daha iyi bir dönüşüm oranı elde etti ve ödeme oranı üç kat daha hızlıydı. Sonuçları hakkında bilgi edinmek için W3C Web Ödemeleri Çalışma Grubu'ndaki SPC raporunu inceleyin.

Kullanıcılar SPC deneyimini nasıl yaşıyor?

SPC kullanıcı arabirimi iki aşamadan oluşur: kayıt ve kimlik doğrulama.

Müşterinin önce kullanıcı doğrulama platformu kimlik doğrulayıcısını (UVPA) kullanarak cihazını kaydettirmesi gerekir. Cihaz kaydedildikten sonra, satıcının sitesinde SPC yapıldığında kullanıcının kimliğini doğrulamak ve ödemeleri onaylamak için kullanılabilir.

Kayıt

Kullanıcılar SPC'ye iki şekilde kaydolabilir:

  • Doğrudan RP web sitesinde kayıt yaptırmak.
  • Bir satıcının web sitesinde dolaylı olarak kaydolma

RP web sitesine kayıt

RP'nin web sitesinde SPC kaydı, WebAuthn kaydından farklı değildir. RP'nin, oturum açma akışı kapsamında müşteriden UVPA'sını kaydetmesini istemesini öneririz.

Tipik bir senaryo şu şekilde olabilir:

  1. Müşteri, kullanıcı adı, şifre ve ek bir doğrulama adımı (genellikle tek kullanımlık şifre veya OTP) kullanarak banka web sitenizde oturum açar.
  2. Başarılı bir kimlik doğrulama işleminden sonra, müşteriden cihazını (UVPA) kaydettirmesini isteyen bir izin isteği görüntüleyin.
  3. İzin verildikten sonra tarayıcıda bir WebAuthn kayıt iletişim kutusu gösterilir.
  4. Müşteri, biyometrik kimlik doğrulama yaparak cihazı kaydettirmeye izin verir.
  5. Müşteri artık cihazını kullanarak güvenli bir şekilde giriş yapabilir ve ödeme yapabilir.

Yeniden kimlik doğrulama işleminde, kullanıcı zaten giriş yapmış olsa da aynı kullanıcının hâlâ mevcut olduğundan emin olmak için yeniden kimlik doğrulaması yapması istenir. Bu tasarım genellikle bir şifre değiştirme isteği veya ödeme yapma gibi güvenlik açısından kritik bir işlemde görülür. WebAuthn UVPA ile yeniden kimlik doğrulama, şifre kullanmaya kıyasla çok daha hızlı ve güçlüdür.

Yeniden kimlik doğrulama için WebAuthn kayıt ve kimlik doğrulama akışı oluşturmayı İlk WebAuthn uygulamanızı oluşturma başlıklı makalede öğrenebilirsiniz.

Ödeme sırasında satıcının web sitesinde kayıt

Müşteriniz cihazını ödeme kartını veren kuruluşun web sitesine kaydettirmezse bunu doğrudan bir satıcı web sitesinden yapabilir. Arayüz aynı görünür ancak kullanıcının kaydı RP'nin kodu tarafından başlatılır.

Bu seçenek, müşterilerin RP web sitesini sık sık ziyaret etmediği ancak RP'nin kimlik doğrulama seçeneğini sunmak istediği durumlarda idealdir.

Kimlik Doğrulaması (Ödeme Onayı)

Ödeme yapan kullanıcı, bir ödeme işlemi sırasında ödeme kimlik bilgisi sağladığında kimlik doğrulama gerekir.

  1. Ödemeyi yapan taraf, bir ödeme kimlik bilgisi (ör. kredi kartı bilgileri) sağlar.
  2. Satıcı, tarayıcının Güvenli Ödeme Onayı'nı destekleyip desteklemediğini kontrol eder.
  3. Tarayıcı SPC'yi destekliyorsa ödeme yöntemi olarak SPC ile Ödeme İsteği API'sini çağırın. Aksi takdirde mevcut kimlik doğrulama yöntemine geri dönün.
  4. Ödeyen, işlem ayrıntılarını onaylar ve kimlik doğrulamayı tamamlar (ör. biyometrik platform kimlik doğrulayıcısına dokunarak).

Desteklenen platformlar

Güvenli Ödeme Onayı şu anda macOS ve Windows'ta Google Chrome tarafından desteklenmektedir. Android, iOS ve ChromeOS gibi diğer platformlar Mayıs 2022'den itibaren desteklenmemektedir.

Sonraki adımlar