Güvenli E-Ticaret – Burak Kutlu – Asseco SEE

Asseco SEE tarafından düzenlenen ‘New Banking Vision’ konferansında Asseco SEE Türkiye Ödeme Sistemleri Bölüm Yöneticisi Burak Kutlu ile günümüz ve gelecek üzerine keyifli bir sohbet gerçekleştirdik.

Merhaba. Biraz kendinizden söz eder misiniz lütfen?

Asseco’da ödeme sistemleri bölüm yöneticisi olarak uzun süredir çalışıyorum. Ödeme sistemi tarafında ilk çekirdek kadrodaydım diyebilirim. Yazılım, proje, satış, operasyon gibi çeşitli departmanlarda görev aldım. Şu anda satış hariç tüm departmanlarda ödeme sistemleri bölümünden sorumluyum.

Türkiye’deki elektronik ticaretin konumlanması ve ödeme geçitlerinin durumu ile ilgili bilgi verebilir misiniz?

Türkiye’de e-ticaret 2000 yılından bu yana çok hızlı bir şekilde ivmelendi. Geçen sene %30 büyüdü. Bu sene yine %30 büyüyeceğini varsayıyoruz. Biz burada daha çok alt yapı hizmeti veriyoruz. Şu anda Türkiye’de on üç banka Asseco’dan sanal pos ve e-ticaret alt yapı çözümleri almakta. Bu çözüm ise 25.000 adet üye işyerine hizmet veriyor. Bu 25.000 üye işyeri derken biraz örnek vereyim: e-ticaret web siteleri, havayolu şirketleri, emlak kiralama siteleri, abonelik veya sigortacılık hizmetlerinde kredi kartını kullanarak internet üzerinden yaptığınız tüm işlemlerin arka planda güvenliğini ve provizyon almasını bizim sistemlerimiz sağlıyor.

Güvenliği derken işin içine Fraud’da giriyor tabii. Değil mi?

Evet güvenliği derken; o işlemlerin gerçek kişiler tarafından yapıldığının doğrulanmasının tespiti. 3DSecure denilen bir çözüm var. O çözüm Asseco’nun çözümümüzdür.

Bankalar siz kredi kartı ile internetten alışveriş yaparken sizin gerçekten doğru kişi olduğunuzu anlayabilmek için cep telefonunuza tek kullanımlık bir şifreyi sms ile gönderiyor. Siz bunu ekranda girerek kendinizi doğruluyorsunuz. Bu sistem şu anda internette kullanılan en yaygın doğrulama metodu.

Ancak güvenlik derken sadece bunu demiyoruz.

Bunun dışında bu sistem üzerinden geçen ayda 20 Milyondan fazla kredi kartı ve ödeme kart işlemi sistemde tutuluyor. Bunların güvenli bir şekilde saklanması, devamlı ayakta olması gerekiyor. Çünkü e-ticaret 7/24 yapılıyor. Kapanan bir şubesi, kapanan bir mağazası yok.

Aynı zamanda bu kart bilgilerinin çok güvenli şekilde girilip, başkaları tarafından ele geçirilmemesi gerekiyor.

Bu anlamda hem bankaların bize koyduğu standartlar, hem dünya standartlarında olan PCI DSS sertifikasyonuna sahibiz ve bunu sürekli yenilemekteyiz.

Elektronik ticaret sitelerini ziyaret ettiğimizde, büyük bir kısmı bize kredi kartı bilgilerinizi biz tutmuyoruz, sadece aracıyız diyorlar, değil mi?

Evet, öyle olması gerekiyor zaten, doğrusu da bu. Kredi kartı bilgisi tutulabilir. Ancak bu kredi kartı bilgisi bankalarda ve şu anda yeni kredi kartı kullanma hakkında bir tebliğe göre orada tanımlanmış belli güvenlik standartlarını sağlayan firmalar tarafından tutulabilir.

Asseco’nun böyle bir hizmeti de var. Asseco kredi kartı bilgisini saklayıp daha sonra kolay alışveriş yapmasına olanak sağlayacak bir çözüme sahip. Buna biz ‘Merchant Safe Unipay’ adını veriyoruz. Tek tıkla alışveriş sloganıyla web sitelerinin girilen kart numaralarını bizim ortamımızda kaydedilip daha sonra ihtiyaçları olduğunda tekrar kullanabilmesine olanak sağlıyoruz. Kart bilgileri web sitelerinde değil arka planda bankalarında güvenmiş olduğu bu alt yapıda tutulmakta.

3DSecure‘dan söz ettiniz. Bunun ötesinde ileriye yönelik başka ne gibi güvenlik önlemleri olabilir. Örneğin telefonlara mesela parmak izi geldi. Geçen gün bir toplantı da göz bebeğinden tanıma sistemi gösterildi. Bazı büyük kuruluşlar bir takım doğrulama cihazları veriyorlar. Doğrulama bu cihazlar aracılığıyla yapılıyor. Bir banka örneğin bunu veriyordu. Cihaza kendi şifrenizi giriyordunuz, üretilen şifreyi de sisteme veriyordunuz. Şimdi onu kaldırdılar, telefondan girilen veya telefona gelen bir bilgi var. Nereye doğru gidiyoruz?

Biometrik doğrulama metotları çok yaygın kullanılabiliyor. Fakat parmak iziyle ilgili BDKK bir karar sonucu bu girişleri şu anda engelledi. İlerde tekrar açılacağını bekliyoruz. Apple bunu kullanıyor.

Ancak bu doğrulama metotlarının dışında hem davranışsal hem de sayısal kimlik oluşturularak, yapılan işlemlerin sahte işlemler mi yoksa normal bir davranış mı olduğunu tespit edebiliyorsunuz.

Asseco’da bunun iki çözümü var.

Bir tanesi davranışsal model. Sizin geçmiş işlemlerinize bakıyor. ‘Bir anormallik var mı? Her zaman harcadığınız tutarın dışına mı çıkmışsınız? Her zaman yaptığınız alışveriş saatlerinin dışına mı çıkmışsınız?’ bilgilerine bakılıyor. Bu dolandırıcılık tarafında davranışsal klasik bir metot.

Bir de yeni nesil dediğimiz, sayısal kimliğinizin oluşturulup, o kimliğin haricinde yapılan işlemlerin tespit edilmesi var ki, bu çok daha sıcak bir konu.

Şöyle örnek vereyim. Diyelim ki siz sabah evden çıktınız. Servisteyken cep telefonunuzdan bir siteye bağlandınız. epostalarınızı kontrol ettiniz. Daha sonra şirkete geldiniz, o bilgisayardan bir alışveriş yaptınız. Sonra döndünüz evde bir alışveriş daha yaptınız.

Bunların tümü ya epostadan ya kullandığınız IP adresinden ya kullandığınız cihazdan – cep telefonu veya bilgisayar – olabilir. Bunların tamamını ağ olarak birbiri ile örtüştürüp, sizin kullandığınızı anlayan ve buna bir akıllı ID veren bir sistem. Daha sonra bu bilgisayarlar başkaları tarafından kullanılsa bile sizin kullanmadığınızı anlayıp, tespit edip uyarı verebiliyorlar.

Bu mekanizmalar şu anda yeni nesil antifraud çözümleri çevrimiçi dünyada. Bunu hem mobilde hem web tarafında destekliyoruz.

Buna bir nevi yapay zeka diyebilir miyiz?

Yapay zeka sizin bir sayısal kimliğinizi oluşturuyor. Çeşitli algoritmalar var arkada çalışan. Çeşitli algoritmalarla onun %99 oranla doğru kişi olduğunu tespit ediyor.

Burada tabii bir şey daha var. Onu da geçtiğimiz günlerde söylediler. Sahtekarlık olmasa da gerçek olduğunu anlayabiliyor musunuz bazı durumlarda? Örneğin benim bazen başıma geliyor. Amerika’da bir yerden alışveriş yapacağım. Telefon açmadığım sürece benim ben olduğuma inanmıyorlar.

Önemli olan zaten bir de bu. Çünkü gerçekten çok özel müşteriler var. Büyük miktarla da bankada yatırımları olan kişiler. Bu kişileri rahatsız etmemeniz lazım eğer doğru bir şey yapmıyorsanız. Bu sebeple sayısal kimlik buna yarıyor. Hatta bu sayısal kimliğe göre siz kişinin doğru olduğunu tespit ediyorsanız belki de ona o tek kullanımlık şifreyi de sormayacaksınız . Veya ona o doğrulama cihazını kullandırmayacaksınız. Çünkü bileceksiniz ki o kişi doğru kişi.

Bu şekilde o kişinin alışveriş deneyimini mükemmelleştirmeniz gerekiyor. Onu zorluklardan, doğrulamayla ilgili prosedürlerden kurtarmanız gerekiyor. Bu tabii çok riskli bir konu fakat yapılması gerekende bu. Yoksa ben kendi kullanımımda devamlı aynı kartı kullanarak aynı benzer yerden alışveriş yapıyorsam, bana sms göndermeye devam ediyorlar. Benim ben olduğumu artık o sistemin tanıması lazım diye düşünüyorum. Boş yere bana şifre sormamalı.

Son bir şey. Kullanıcılara internette alışveriş yaparken ne önerirsiniz. Ne yapsınlar?

internette alışveriş yapmaktan çekinmelerine gerek yok. Ancak internette alışveriş yaparken dikkat edilmesi gereken belli başlı kurallar var:

1. Alışveriş yaptıkları siteyi kontrol etmeleri gerekiyor. Bu çok net bir hissiyatla olabilir. ‘Bilinen bir marka mı, daha önce alışveriş yapılmış bir yer mi, ürünleri teslim eden bir yer mi?’ onlara bakmak gerekiyor.

2. Şikayet veya tüketici bilgilendirme forum veya web sitelerine bakıp o firma hakkında şikayet var mı, olumsuz yorum var mı ona bakmak gerekiyor.

3. Bunun dışında kart bilgilerini girdikleri yerde SSL denen bir güvenlik ikonu var kilit şeklinde. Onun internet gezgininde göründüğünden emin olmaları lazım.

Bu üç şeye dikkat etmeleri ve işlem yaparken 3DSecure şifrelerini kendilerinin girmesi, kimseye söylememeleri gerekiyor.

Bunlara dikkat ederlerse güvenli alışveriş yapabilirler.

Teşekkürler.

Ben teşekkür ederim.

Asseco SEE Türkiye Ödeme Sistemleri Bölüm Yöneticisi Burak Kutlu ile yaptığımız video röportajı aşağıda izleyebilirsiniz.