Ödeme dünyasının henüz “online” olmadığı, kredi kartının “imprinter” denen bir alete (o da kablosuzdu bu arada) yerleştirildiği, üzerine üç nüsha formun konulup, kartın üzerindeki kabarık kart numarası ve son kullanma tarihinin otokopik kağıt üzerine geçmesini sağlamak için mekanizmanın elle bir ileri bir geri hareket ettirildiği zamanlarda, ödeme güvenliği için sadece müşterinin imzasıyla kartın arkasındaki imzanın karşılaştırılması ve kimlik kontrolü aşaması vardı . Bir de işyeri sahibinin canı isterse kimbilir ne zamandan kalma kocaman bir kitapta kart numarasını arayıp kartın kayıp veya çalıntı olarak bildirilen kartlar arasında olmadığından emin olması gerekiyordu. Bütün bunların güvenlik açısından yeterli olmadığı ve alışverişin ciddi zaman aldığı elbette kabul ediliyordu ama başka bir çözüm de mümkün görünmüyordu. O zamanlarda kart sahteciliği de nihayetinde kart ve üye işyeri sayısının az olması sebebiyle çok revaçta değildi.
Sonra kabartma yazı yerine manyetik şeritle işlem yapan POS terminalleri çıktı ve online otorizasyon dönemi başladı. Ardından büyük bir adım geldi ve 2006 yılında EMV sayesinde Chip&Pin uygulamaya alındı (bu arada EMV çok teknolojik bir kısaltma gibi dursa da sadece Europay, Mastercard ve Visa işbirliğini temsil ediyor). Böylece hem manyetik alanın kopyalanmaya karşı korunması, hem de kart sahibinin bir şifreyle doğrulanması mümkün hale geldi. Artık kredi kartı kullanmak şifreyi kartın üstüne yazmadığınız sürece oldukça güvenliydi. Her ne kadar sektördekiler çipli kartların da kopyalanabileceğini söylese de, bu en azından küçük kötü adamlar için manyetik kartlara göre daha maliyetli ve uzak durulması gereken bir alan haline geldi.
Bu gelişmeyle birlikte yüzyüze işlemlerde kart sahteciliği örneğin İngiltere’de sadece 4-5 yıl içinde üçte bire düştü. Haliyle her açılım yeni maliyet ve yaygınlaşma için ciddi zaman gerektiriyordu. Hatta bazı uygulamaların yaygınlaşması gecikince kart şirketlerinin zorlamaları devreye girmeye başladı. Mastercard’ın üye işyeri ve bankalara sahtecilikten kaynaklı sorumluluğun rücu edilmesi tehdidiyle Ekim 2015’ten itibaren kademeli olarak EMV uyumunu dayatması buna örnek gösterilebilir. Buna göre ABD’de Ekim 2015’ten sonra (self servis akaryakıt istasyonları ve ATM’ler hariç) bankaların veya üye işyerlerinin sistemlerini EMV uyumlu hale getirmemeleri dolayısıyla oluşacak sahtecilik zararları, uyumda gecikmeye sebep olan tarafa yüklenecek. ABD’de bir yılda kart sahteciliğinden doğan zararın 8,6 milyar USD olduğu ve bu rakamın EMV uyumu için gerekli yatırım tutarına eşit olduğu gözönünde bulundurulunca kart şirketlerinin bu tür bir zorlamaya girişmesi makul karşılanmalıdır.
EMV uyumu için çabalar devam ederken, bir taraftan özellikle güvenlik ve mahremiyet konusunda geliştirmeler devam ediyor. ApplePay bu konuda çıtayı bir kademe yukarı çekti, arkası da muhtemelen gelecektir. ApplePay’in parmak izi ile doğrulama bir tarafa (çünkü parmak izi şu an için tek başına bir doğrulama değil ilave güvenlik olarak düşünülmeli), özellikle ‘tokenization’ adımı ile (anladığım kadarıyla kart numarasının alakasız başka bir numaraya dönüştürülmesi ve dönüştürülen bu alakasız numara sayesinde gerçek kart bilgisinin bankaya ulaşana kadar başkalarının işine yaramasının önüne geçilmesi) ABD’de Target ve Home Depot gibi büyük mağaza zincirlerinin başına geldiği gibi, şirketlerin tuttuğu kart bilgilerini iyi koruyamaması nedeniyle milyonlarca kart sahibinin güvenliğini tehlikeye atması önlenebilecektir. Bu sistemde satıcıda kart bilgisi tutulmadığı için kart, hesap ve alışveriş bilgileri de sadece ait olduğu yerde yani bankada saklanıyor olacaktır.
ApplePay gibi halen biyometrik doğrulama uygulamalarını geliştirip kitlelere ulaştırmayı hedefleyen Mastercard’ın üzerinde çalıştığı ses ve yüz tanımayı da içeren doğrulama çözümleri kartlı ödemeleri daha da güvenli hale getirecektir. Ancak Mastercard’ın bu alanda mevcutta çok iyi gibi görünen %98 seviyesinde doğruluğa erişmiş olmasının, bu haliyle uygulansa milyonlarca işlem içinde çok fazla hata anlamına geleceği, mükemmele ulaşması beklenirse de kalan %2’nin tamamlanmasının belki projede bugüne kadar geçen süre kadar daha zaman isteyeceği dikkate alınmalıdır. Ancak eninde sonunda bu adım da hayata geçirilecektir.
Ondan sonra da artık bu kadar tedbire rağmen güvenlik kaygısıyla kart kullanmamakta direnen insanlar olursa, onları da dondurup yüz sene sonra uyandırılmak üzere saklayabiliriz.
Hiç yorum yok:
Yorum Gönder