3D Secure ödeme entegrasyonu, e-ticaret sitelerinde kart sahtekarlığını önlemek için kullanılan, kart hamilini üçüncü bir taraf aracılığıyla doğrulayan güvenlik protokolüdür. Visa, Mastercard ve American Express tarafından desteklenen bu sistem; alışveriş sırasında müşterinin kimliğini banka üzerinden teyit ederek yetkisiz işlemleri engeller. Doğru entegrasyon hem güvenliği artırır hem de dönüşüm oranlarını olumlu etkiler.
3D Secure Nedir ve Nasıl Çalışır?
3D Secure (3DS), üç taraf arasında gerçekleşen bir kimlik doğrulama sürecidir: kart sahibinin bankası (ihraçcı banka), işyerinin bankası (acquirer) ve kart ağı (Visa, Mastercard). Ödeme sırasında müşteri, bankasının gönderdiği OTP (tek kullanımlık şifre) veya biyometrik doğrulama ile kimliğini kanıtlar. Bu süreç başarıyla tamamlanırsa ödeme onaylanır; aksi hâlde işlem reddedilir.
- İhraçcı Banka (Issuer): Kart sahibinin hesabını yöneten, kimlik doğrulamasını gerçekleştiren kuruluştur.
- Acquirer Banka: İşyerinin ödeme altyapısını sağlayan bankadır.
- Kart Ağı (Card Network): Visa'nın Verified by Visa veya Mastercard'ın SecureCode protokollerini yöneten kuruluştur.
- Access Control Server (ACS): İhraçcı bankanın doğrulama sunucusudur; OTP veya biyometrik kontrolü buradan yapılır.
- MPI (Merchant Plug-In): İşyeri tarafında entegre edilen ve 3DS akışını başlatan bileşendir.
3DS1 ile 3DS2 Arasındaki Temel Farklar
İlk nesil 3DS protokolü (3DS1), müşteriyi her işlemde ayrı bir pop-up pencereye yönlendiriyor ve bu durum hem kullanıcı deneyimini olumsuz etkiliyor hem de mobil uyumsuzluk sorunlarına yol açıyordu. 3DS2 (EMV 3DS), EMVCo tarafından 2019'da standartlaştırılan ve bu sorunları büyük ölçüde gideren gelişmiş bir protokoldür.
3DS2'nin Sunduğu Avantajlar
3DS2 protokolü, 3DS1'e kıyasla 100'den fazla ek veri noktası (cihaz parmak izi, konum, işlem geçmişi) göndererek bankaların riski daha akıllıca değerlendirmesini sağlar. Düşük riskli işlemlerde müşteriden ek doğrulama istenmez; bu özellik "frictionless flow" (akıcı akış) olarak bilinir. Böylece ortalama ödeme tamamlama oranı %10-15 oranında artabilmektedir. Yüksek riskli veya belirsiz işlemlerde ise "challenge flow" devreye girerek OTP ya da biyometrik doğrulama istenir.
PSD2 Direktifi ve Zorunlu 3DS Uyumu
Avrupa Birliği'nin PSD2 (Payment Services Directive 2) direktifi, Avrupa'da faaliyet gösteren tüm işyerlerine Strong Customer Authentication (SCA) zorunluluğu getirmiştir. Türkiye'de ise BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) kapsamlı yönlendirmelerle bankaların 3DS entegrasyonunu zorunlu kıldığı düzenlemeler hayata geçirilmiştir. Bu nedenle e-ticaret sitenizin 3DS uyumlu olması hem yasal bir gereklilik hem de müşteri güveni açısından kritiktir.
3D Secure Entegrasyonu Nasıl Kurulur?
3DS entegrasyonunun başarılı biçimde kurulabilmesi için öncelikle ödeme altyapınızı ve banka anlaşmalarınızı netleştirmeniz gerekir. Entegrasyon genel olarak iki yöntemle gerçekleştirilir: ödeme servis sağlayıcısı (PSP) aracılığıyla hazır entegrasyon veya doğrudan API entegrasyonu.
Adım Adım Kurulum Süreci
İlk adımda acquirer bankanızdan veya PSP'nizden 3DS MPI erişim bilgilerini (MerchantID, ACS URL, işlem anahtarları) temin edin. İkinci adımda test ortamını (sandbox) kurarak örnek işlem akışlarını simüle edin. Üçüncü adımda sunucu taraflı API entegrasyonunu tamamlayın: ödeme başlatma isteğini gönderin, ACS URL'ine yönlendirme yapın ve callback URL'niz aracılığıyla doğrulama sonucunu alın. Dördüncü adımda hata senaryolarını (zaman aşımı, yanlış OTP, kart limiti) test edin. Son olarak canlı ortama geçmeden önce güvenlik denetimi yapın ve SSL sertifikanızın güncel olduğundan emin olun.
Türkiye Bankalarıyla 3DS Uyumu
Türkiye'deki büyük bankalar (İş Bankası, Garanti BBVA, Yapı Kredi, Akbank, Ziraat Bankası) kendi 3DS altyapılarını sunmaktadır. Bu bankalarla doğrudan çalışıyorsanız her birinin MPI endpoint'i ve parametreleri farklı olabileceğinden, banka teknik dokümantasyonunu dikkatlice incelemeniz gerekir. İyzico, PayTR veya Payu gibi Türk PSP'leri bu süreci soyutlaştırarak tek bir API üzerinden birden fazla banka ile uyumlu çalışmanızı sağlar.
3DS'nin Dönüşüm Oranına ve Müşteri Deneyimine Etkisi
Doğru yapılandırılmamış bir 3DS entegrasyonu sepet terk oranını artırabilir. Özellikle 3DS1'in zorunlu yönlendirme ekranı, mobil kullanıcılarda %20'ye varan dönüşüm kaybına neden olmaktadır. 3DS2 ile birlikte frictionless flow devreye girerek bu oran önemli ölçüde azaltılabilir. Bunun yanı sıra 3DS entegrasyonu, chargeback (itiraz) oranlarını düşürür; başarılı bir doğrulama sonrasında sorumluluk işyerinden bankaya kayar (liability shift), bu da işyerini finansal risklerden korur.
- Frictionless Flow: Düşük riskli işlemlerde müşteri ekstra adım atmadan ödemeyi tamamlar, dönüşüm artar.
- Challenge Flow: Yüksek riskli işlemlerde OTP veya biyometrik doğrulama istenir, güvenlik sağlanır.
- Liability Shift: Başarılı 3DS doğrulamasında chargeback sorumluluğu bankaya geçer, işyeri korunur.
- Fraud Azaltma: Doğrulama katmanı sayesinde kart sahtekarlığı girişimleri büyük ölçüde engellenir.
Teknik Entegrasyon: API ile 3DS Akışı
API tabanlı 3DS entegrasyonunda tipik bir akış şu şekilde işler: müşteri ödeme bilgilerini girer, sunucunuz PSP veya doğrudan banka API'sine bir "authentication request" gönderir, ACS sunucusu bir "authentication response" ile kart sahibini doğrulamak için gerekli yönlendirme bilgisini döner. Müşteri doğrulamayı tamamladıktan sonra işyerinin callback URL'ine bir PARes (Payer Authentication Response) token'ı gönderilir. Bu token'ı sunucu tarafında doğrulayarak ödemeyi "authorization" adımıyla sonuçlandırırsınız. Tüm bu akış HTTPS üzerinde gerçekleşmeli ve hassas kart verileri hiçbir zaman kendi sunucularınızda saklanmamalıdır (PCI-DSS uyumu).
Sık Sorulan Sorular
3D Secure zorunlu mu?
Türkiye'de BDDK düzenlemeleri çerçevesinde bankalar 3DS uygulamasını zorunlu kılmaktadır. Avrupa'da ise PSD2 kapsamındaki SCA kuralları gereğince 3DS veya eşdeğer bir güçlü kimlik doğrulama yöntemi kullanılması zorunludur. Uluslararası işlemlerde kart ağlarının politikaları belirleyicidir.
3DS2 ile 3DS1 arasında geçiş nasıl yapılır?
Çoğu modern PSP, 3DS2'ye otomatik geçişi desteklemektedir. Doğrudan banka entegrasyonu kullanıyorsanız bankanızın 3DS2 ACS endpoint'ini etkinleştirmeniz ve SDK'nızı güncel EMVCo standartlarına göre güncellemeniz gerekir. Geçiş süreci genellikle 1-3 hafta sürer.
3D Secure entegrasyonu dönüşüm oranını düşürür mü?
3DS1 ek adımlar nedeniyle dönüşümü olumsuz etkileyebilir; ancak 3DS2'nin frictionless flow özelliği düşük riskli işlemleri müşteriye ek sürtünme yaşatmadan tamamlar. Doğru yapılandırıldığında dönüşüm kaybı minimize edilir, hatta chargeback azaldığından net kârlılık artar.
Türkiye'de 3DS entegrasyonu için hangi PSP önerilir?
Türkiye pazarı için İyzico ve PayTR, yerli banka entegrasyonlarını hazır biçimde sunan güçlü PSP'lerdir. Uluslararası işlemler de yapıyorsanız Stripe veya Adyen, 3DS2 uyumlu altyapılarıyla iyi bir seçenek olabilir. Seçiminizde komisyon oranları, teknik destek kalitesi ve entegrasyon dokümantasyonu belirleyici olmalıdır.
Sonuç
3D Secure ödeme entegrasyonu, e-ticaret sitenizin güvenliğini artıran, chargeback riskini azaltan ve müşteri güvenini pekiştiren kritik bir bileşendir. 3DS2 protokolüne geçiş yaparak hem frictionless ödeme deneyimi sunabilir hem de fraud oranlarınızı önemli ölçüde düşürebilirsiniz. Toserof Tech. olarak e-ticaret entegrasyon projeleriniz için iletişime geçin.