x

Ne Olacak Bu 3D Secure?

Açıklama: Ersan Özer itiraf.com, istanbul.net, uzmantv.com sitelerinin kurucusudur. Konuk yazar olarak bu yazısı Webrazzi’de yayınlanmıştır.

Çarşamba günü Endeavor ile Bankalararası Kart Merkezi‘nin (BKM) ortaklaşa düzenlediği “E-ticareti Güçlendirmek” konulu foruma katıldım. Hem sektörün sorunlarının konuşulması hem de networking açısından faydalı bir faaliyet oldu. Sanatçıların birbirini cenazelerde görmesi gibi biz de internetçiler olarak ancak böyle vesilelerle görüşebiliyoruz.

Forumdaki konuşmaların önemli bir bölümünü 3D Secure oluşturdu. Görünen o ki, BKM, 3D Secure’a güveniyor. Yaygın hale gelmesi için gayret etmekte kararlı. Hali hazırda 1400’e yakın üye işyerinde kullanıldığını söylüyorlar ki bu da sanal posların %15’ini oluşturuyor. (Gerçi bu rakamı kaydadeğer bulmuyorum. Anlamlı olabilmesi için, sanal pos ile tahsil edilen toplam paranın yüzde kaçının 3D Secure’u kullanan sanal poslardan geçtiği verilmeli.)

Orada da dile getirdim: 3D Secure, BKM’nin şu anki yaklaşımıyla sektöre balta vuran bir uygulama. Bunun iki önemli nedeni var:

  1. Ekranlar hiç kullanıcı dostu değil. İnternet kurtları dahi ancak çaba harcayarak sisteme üye olabiliyor. Türkiye’nin en ünlü 2 sitesinin kurucusunun üye olmayı başaramadığını, telefonla destek almak zorunda kaldığını bizzat biliyorum. (Kart bilgilerinin girildiği ilk ekran dışındakiler bankadan geldiği için sitesahipleri bu duruma müdahale edemiyor.)
  2. Tanıtımı için kuruş para harcanmıyor. Chip&Pin’deki penetrasyon ancak on milyonlarca dolarlık bütçelerle yakalanmışken, 3D Secure için ise basın bülteni göndermek dışında iletişim çabasına girilmiyor. Uygulama bizim paramızla, bizim ciromuzda oluşturulan kayıplarla oturtulmaya çalışılıyor.

Kullanım zorluğuna dair bir örnek vereyim. İnternet bankacılığında en iyi olduğunu düşündüğüm bankanın 3D secure ekranında, kullanıcı eğer incik mincik yazıları okumadan “Devam” butonuna tıklarsa hata mesajı dönmüyor! Sadece sayfanın içindeki bankadan gelen frame yenileniyor. Teknik birinin elinden çıktığı belli olan küçük yazıları okursanız bir yerlere tıklamanız gerektiğini anlıyorsunuz. Da, benim gibi yıllardır site yapanlar, o yazıları kimsenin okuma eğiliminde olmadığını, kullanıcının işlemi gerçekleştirmek için en kestirme yolu istediğini gayet iyi biliyor.

Sonuç: Olan sizin paranıza oluyor. Onlarca kişinin emeğiyle yaptığınız siteyi ayakta tutmak için gereken parayı 3D Secure afiyetle yiyor!

Yorumlar (14)

  1. ali haydar unsal |

    Merhaba,
    Aynı forumda bende vardım. Herkes gibi 3D secure uygulamasının bugünün koşullarında zaten ağır aksak ilerleyen Türk e-ricaret sistemine çok ciddi hasar vereceğini düşünüyorum.
    Chip & PIN, 3D secure için örnek gösterilmemeli. Her iki uygulama birbirinden çok farklı. Unutulmamalı ki Türkiye gibi Kredi kartı kullanımının çok yoğun olduğu bir ülkede bile Chip & PIN geçişi çok sancılı olmuşken. İnsanların internette kredi kartını kullanma alışkanlığını tama olarak kazanmadığı ülkemiz pazarında 3D secure gibi bir uygulamanın çalışmasını ve oturmasını hemen bekleyemezsiniz.

    Bence asıl kafa patlatmamız gereken konu. Türk e-ticaret sistemini nasıl on milyar dolarlar seviyesine çıkarmak olmalı.

    Cevapla
  2. 2007 Temmuz ayı ile birlikte tüm sanal pos kullanan üye işyerlerinin 3D Secure’e geçmesi ile ilgili BKM’nin katı bir tutumu vardı.

    Türk internet kullanıcısı internet üzerinden kredi kartı kullanımını yeni yeni benimser, B2C’ler ödeme adımlarını optimize edip, nasıl daha az tıkla sipariş verdiririmi incelerken, zaten oturmamış alışkanlıkları değiştirip sipariş adımını karmaşıklaştıran bu tutumun doğruluğu tartışılır.

    Nitekim Elektronik Ticaret İşletmecilerininde karşı tutumuyla Temmuz ayında bu geçiş gerçekleşmedi.

    2005 yılında Garanti E-ticaret dept’da çalışırken gelen 3D Secure başvurularını yurt dışına gönderiyorduk ve onaylanması için yaklaşık 3-4 haftalık bir süre geçmesini bekliyorduk, akış hala böyle mi devam ediyor bilmiyorum ama 100 dolarda başvuru parası aldığımızı hatırlıyorum.

    Sonuç olarak B2C’ler sıkı fraud kontrollerini 3D Secure ‘e tercih ediyorlar. Bankalarda chargeback riskini en aza indirgemek için; Üye İşyerleri ile birlikte haraket ederek belirli tutarların üzerindeki siparişlerde kart teyidi yapıyorlar. Yani gerçek kart sahibini arayarak, böyle siparişiniz var mı diye soruyorlar. Bu yöntem uzun bir süre daha böyle gideceğe benzer.

    Kredi kartımın arkasındaki güvenlik numarası “tesadüfen” silindi. Kaybolması durumunda herhangi bir risk taşımuyor 🙂

    Cevapla
  3. Natali Yeşilbahar |

    Merhaba,

    Ersan Bey’in toplantıda da belirttiği gibi bu sistem kullanılacaksa, tanıtımına ihtiyacı olduğu düşüncesine katılıyorum.

    Cevapla
  4. Türk bankaları, Türk E-Ticaret sektörü önündeki en büyük engeldir ve 3d-secure uygulaması da bunun kanıtlarından sadece bir tanesidir.

    10 dakikada paypal ile ödeme alınabilen bir çağda, pazardaki peynirciyi internet girişimcisinden daha güvenilir bulup pos veren türk bankaları, sanalpos verirken de, verdiğini destekleyemezken de hep bunu kanıtlamaktadır.

    Bankacılık risk demektir ama bu riski analiz edebilmekten, önlem alabilmekten uzak, kredi kartlarına yüklenmiş bir bankacılıkla da ancak bu kadar olabilirdi diyerek noktalıyorum.

    Cevapla
  5. 3D secure’un dışında da ne yazık ki kredi kartı sistemi çok ağır aksak işleyen bir yapı. Ayrıca o kredi kartı bilgilerini verirken girdiğimiz ad-soyad bilgisinin kontrol edilemiyor olması da çok anlamsız bence.

    3D-secure’un güvenliği tartışılmaz ama uygulaması hakkaten çok başarısız. O hata mesajı ile ilgili sorun 3D secure’un alternatifi sistemlerde de geçerli gerçi. Gelen hata mesajlarından birşey anlamanız imkansız sürekli bankayla irtibata geçmeniz gerekiyor.

    İlk setup için bekleme hala var ama 3-4 haftadan az sürmüştü biz geçen uyguladığımızda.

    Gelen sayfa da hiç güven vermiyor hata mesajlarının okunamıyor olmasının yanında. Para çekilen sayfanın asıl siteden ayrı bir sayfa olması ve gelen sayfanın da tasarımının olmaması insanları huzursuz ediyor.

    Sonuçta sektördeki herkes e-ticaretin gelişmesinin gerekliliğinin farkında olmakla beraber brçok faktör türkiye’de eitcaretin gelişmesine engel oluyor. Bu faktörlerden biri de kredi kartı sistemlerinin geliştiricinin kontrolünde olmayan uygulama detayları.

    Cevapla
  6. @M.Ozan, Kart bilgilerinin girildiği ödeme ekranında elle yazılmış isminde eşleştirme yardımıyla kontrol edilmesi; yanlış yazım, büyük küçük harf, ilk adın yazılmaması vb nedenlerden dolayı gereksiz hata (red cevabı) dönmesine neden olacaktır. Buda ciro kaybına neden olacak bir uygulama olurdu.

    Burada kart numaraları ile birlikte kartın üzerinde yazan isminde ele geçmiş olacağı düşünülüyor.

    Cevapla
  7. Birkaç ay önce kartlarımdan bir tanesini bu sisteme kaydedeyim istemiştim. Başta güzel bir uygulama gibi görünse de her gün 3-5 farklı siteye kaydolan ben bile kaydolmayı becerememiştim bu sisteme. Kaldı ki bazı bankaların kendi sitelerinden bile bu konuda bilgi almak neredeyse imkansız. Örneğin YKB için bu sisteme nasıl kayıt olacağımı bulana kadar yarım saat Internet sitelerini karıştırdım.

    Sizin de söylediğiniz üzere, bu arabirimlerle içli dışlı olan bizler bile bu derece zorlanıyorsak, normal kullanıcılar ne yapacak.

    Bu sisteme geçmiş bir siteden Akbank kredi kartı ile alışveriş yapmak isteyen arkadaşım, sonunda beceremeyim satın almaktan vazgeçmişti.

    Bu sistem ne kadar süredir Türkiye’de mevcut bilmiyorum (en az 4-5 ay diyelim). Fakat sizin de bahsettiğiniz üzere Chip&Pin uygulaması eyleme geçmeden en az bir sene kadar önce adını, ne işe yaradığını duymuştuk. Bu sistemden ise ancak rastlayıp, merak edip, sağı solu karıştıranlar haberdar oldular belki de.

    Friendfeed, twitter gibi oluşumlarda olduğu üzere, bu devirde insanlar bilgiyi aramaya bile gerek duymuyorlar, zira bilgi gözlerine gözlerine sokuluyor. Haliyle şu anki iletişim yöntemlerindeki eksikliklerin de gözlerine gözlerine batması gerekir diye düşünüyorum 🙂

    Şahsen şu sıralar bana 3D Secure ile ilgili bir soru geldiğinde ilk tepkim “Aman bulaşma!” oluyor.

    Cevapla
  8. Bu arada konu banka ve internet iken konuyla ilgili arkadaşlardan bir yazı rica ediyorum.

    MS Money, Quicken, Mint.com gibi yazılım ve sitelerin Türkiye’deki bankalarla da uyumla kullanılabilmesi için Türk bankalarında bir çalışma mevcut mu?

    Şu devirde MS Money kullanırken tüm havale vs. işlemlerimi manuel olarak elden girmek, taş devrindeymişim gibi hissetmeme sebep oluyor.

    Cevapla
  9. @Koray AL, en az 3-4 yıl olarak düşünebilirsin.

    Cevapla
  10. Biz de müşterilerimizin sitelerinde 3D uygulamalarını arttırmaya çalışıyoruz. Sadece arabirim değil dökümantasyon ve bilhassa hata mesajları biz yazilimcilar için de yetersiz.

    Cevapla
  11. @Korkud, emreguz@garanti.com.tr‘den benimle irtibata geçersen dökümantasyon hakkında yardımcı olmaya çalışayım.

    Cevapla
  12. 3D secure uygulamasının dökümantasyonunun yeterli olmadığını düşünüyorum. ASP.NET kullanıcıları içinde .NET’in ruhuna aykırı bir şekilde yönetimi var. Daha doğrusu yönetilememesi.

    Cevapla
  13. Emre KIYAK’a katılıyorum Garanti 3D secure asp.net dökümantasyonu tam bir facia. Webrazzi olarak bu konuya da duyarlı olup bankalarla iletişime geçerseniz harika olur. Butona postback veriyoruz serverside validation bile yaptırmıyor. Ayrıca her bir textbox’a idler atamış direkt garanti sayfasına post ediyor. birden çok banka için tek bir kredi kartı bilgi formu kullanamayacak mıyız.

    Bu kadar hassas bir konuda bu kadar dökümantasyon ve örnek olması akıl alı gibi değil. Üstelik pahalı ürün saatığımız için kullanmak zorundaymışız böyle bir mantık var mı?

    Cevapla
  14. Bankalarla ilgili burda yazılan yorumlara katılarak, halen daha çok eski sistemlerle sadece garanti değil YAPIKREDI vb diğer bankalarda öyle. Herşeyi çok kolaylaştırabilirler. Teknolojileri çok eski, bu kadar kazanç sağlıyorlar. Sistemi geliştirmekten korkuyorlar bir aksilik olur diye. Verdikleri kodlarda bulunan hataları biz düzeltiyoruz, tonla vakit kaybı. Örnek : Garanti GVP.zip dosyası Gate3DEngineCallBack.asp dosyası if(responseHash = hashCalculated)) then
    yazılmış. YAPIKREDI’de dökümanları hazırlayan KAAN bey kendi adreslerini unutmuş , hem kodlarda hem dökümanlarda.

    KISACA ARTIK GELİŞTİRİN, BİZİDE GEREKSİZ ALGORİTMALARLA UĞRAŞTIRMAYIN. Bİ STANDART OLSUN

    Teşekkürler Webrazzi

    Cevapla

Bir Cevap Yazın