他說：現在他有三個目標： 一是23：在全台二十三個縣市都能各設立一間植物人安養院，目前已有十五所。 二是20：在全台20個人口超過十五萬的城市都能設置街友平安站，讓無家可歸的遊民有地方可以吃飯、洗澡，甚至練習簡單的工作以學習回歸社會。 三是369：希望將來在全台二十三個縣市都能各設立三間老人養護中心，讓失智的老人得到照顧，讓無生活目標的老人有地方從事社交活動，甚至讓無依的老人組成小家庭單位彼此照顧，也兼做老人送餐跟緊急送醫的服務。

1. 3-D Secure E-Commerce Çözümleri
VISA, MC ve JCB Model
Değerlendirmeleri
6 Mart 2007

2. Tarihçe
Kart sahipleri genelde internette alışveriş yaparken, araya
birisinin girip kart bilgileri çalmasından korkarlar.
Ancak; çoğu e-ticaret sitesinde kullanılan SSL teknolojisi
bunu imkansız kılar.
Asıl risk alışveriş esnasında girilen kart bilgisinin kart sahibi
tarafından girilip girilmediğinin doğrulanamamasından
kaynaklanır.
Kredi kartları fiziksel dünyada işlem gerçekleştirmek için
tasarlanmışlardır.
Fiziksel dünyada kart sahibi doğrulaması imza yada geçerli
bir kimlik kontrolü ile sağlanabilmektedir.

3. Tarihçe
Efektif bir kart sahibi doğrulama metodu kullanılmadan
gerçekleştirilen e-commerce işlemleri:
Müşteri güveninin azalmasına,
Daha yüksek işlem maliyetine,
İşyerlerinde gelir kaybına,
Bankalar için daha yüksek servis giderlerine ve ters ibraz (charge-
back) kayıplarına,
Kredi kartı firmaları için çok ciddi imaj zedelenmelerine yol açar.
Ayrıca; kart sahibi doğrulama metodunun kullanılmaması
süreç içerisinde kartlı ödeme sistemleri dışında kalan online
ödeme metodu alternatiflerinin pazardan pay kapmalarını
sağlar.

4. Tarihçe
90’ların başında, VISA, MasterCard ve AMEX Internet
alışveriş işlemlerinde kredi kartlarının pazarda dominant bir
araç olacağı öngörüsü ile, bu işlemlerde, kart sahibini
doğrulama metodları geliştirmenin gerekli olduğunu tespit
ettiler.
Bu amaçla, Secure Electronic Transaction (SET) adında
ortak standartlar kümesini geliştirdiler.
SET teknolojik açıdan bir başyapıt olsa da yüksek maliyeti
ve karışık implementasyon yapısı genel pazar kabulü
görmesine engel oldu.

5. Tarihçe
Bu arada, kredi kartları kullanılarak gerçekleştirilen e-
commerce işlem hacmi yükselmeye devam etti.
Buna paralel olarak fraud işlem ve terz ibraz adetleri de
artmaya devam etti.
2002 yılında, internetten yapılan kredi kartı işlemleri toplam
işlemlerin % 2-4 ü oranına erişmesine rağmen fraud işlem
cirosu normal işlemlerin 12 katı seviyelerine ulaşmıştı.
E-commerce 2002 yılındaki büyüme hızı ile devam ettiğinde
bu bütün kartlı ödeme sistemleri ve sektör için oldukça ciddi
bir problem olmaya başlayacağı açıktı.
VISA ve MasterCard bu duruma engel olabilmek için 2001
yılında( SET’in açıklanmasından 5 yıl sonra) yeni kart
sahibi doğrulama standartları oluşturma çabasına giriştiler.

6. Tarihçe
Bu sefer MC ve VISA birlikte çalışmak yerine, rekabet
edebilecek iki ayrı standart üzerinde çalıştılar.
JCB de bu sürece 1-2 yıl sonra katıldı.
VISA 3-D Secure, MC Secure Payment Application(SPA)
ve JCB J-Secure
Bu standartlar teknik olarak farklı olsalar da, müşterinin
işlem esnasında, kullanıcı adı ve şifre girmesi mekaniği ile
çalışırlar.
Ayrıca; bir şekilde kart numarasını elde eden kötü niyetli
bir kişi bu standartlara uyan E-Commerce sitelerinde işlem
gerçekleştiremez.

7. Sistem Açıklamaları
MPI(Merchant Plug In):
E-Ticaret sitelerinde kullanılacak yazılım parçası.
İşlemin WEB üstünden yönlendirileceği sistem seçimi ve iletişim kanalları
yönetimi.
ACS(Access Control Server):
Aktivasyon sonrasında kart ve kart doğrulama bilgilerinin tutulacağı sunucu
sistem.
Aktivasyon ve doğrulama süreci WEB üzerinden yapılacağı için kesintisiz
Internet çıkışı ihtiyacı var.
DS(Directory Server):
Kart sahibi doğrulama süreci için ilgili Issuer ACS sistemine yönlendirme
yapan sunucu.

8. VISA 3-D Secure
VISA 3-D (Three Domain) işlem iş akışında sorumlulukları
ilgili partiler için ayrıştırıp tanımlayan bir sistemdir
Issuer Domain: Kart sahipleri ve bankaları
Acquirer Domain: İş yerleri ve bankaları
Interoperability Domain: Issuer ve Acquirer
organizasyonları arasında VISA sistemleri ile sağlanan
iletişim
İşyeri ve kart sahibi açısından katılım esasına göre
tasarımlanmıştır

9. Verified By VISA

10. VISA Kart Sahibi Doğrulama Ekranı

11. MasterCard SecureCode
İşyeri ve kart sahibi açısından katılım esasına göre
tasarımlanmıştır
SecureCode Uygulaması

12. MC SecureCode Uygulaması
1
6 UCAF
9 Hidden
Fields
2
5 10/13 Plug-in
7
MasterCard Directory
8
3 4
Issuer Hosted or Issuer Access Acquirer
Control Server w/ SPA
Algorithm
11/12

13. MasterCard Kart Sahibi Doğrulama
Ekranı

14. JCB J-Secure
JCB J-Secure adında VISA 3-D Secure sistemine neredeyse
özdeş bir sistem çalıştırmaktadır.
Aradaki tek fark; JCB Directory Servisi hizmetinde katılım
sağlayan kart numaralarının MPI aracılığı ile işyeri tarafında
“cache” lenmesine izin vermektedir.
JCB, J-Secure projesi için, Japonya, Hong Kong ve
güneydoğu asya ülkelerini hedeflemektedir.
İlerideki tüm mukayese dokümanlarında J-Secure özellikleri
VISA 3-D secure adı altında mukayese edilecektir.

15. JCB J-Secure

16. Kıyaslamalar – İşlem Süreci
Internette alış-veriş işlemlerinin majör problemlerinden biri
müşterinin kartla işlem gerçekleştirme adımında işlemden
vazgeçmesidir.
Çeşitli tahminlere göre vazgeçilen işlemlerin toplam
işlemlere oranı % 30 – 60’ı arasında değişmektedir.
Kart sahiplerinin % 40’ı kartla alışveriş gerçekleştirme
adımında
Doldurulması gereken alanların sayısı,
Bu alanların doldurulması için gereken zaman gibi gerekçelerle
işlemi tamamlamamaktadırlar.

17. Kıyaslamalar – İşlem Süreci
3-D Secure sisteminde, kartla alışveriş esnasında
doldurulacak alanlar ve gereken zaman konusunda bir
aksiyon alınmamıştır.
3-D Secure sistemi mevcut ödeme iş akışına göre Internet
üzerinden 10 yeni mesaj akışı eklemektedir.
Bu işlemlerin eklenmesinin normal sürece ortalama 10-15
sn. eklediğini belirtmektedir.
Gerçek hayatta, bağlantı yavaşlığı, network yükü gibi
gerekçelerle bu süreç uzayabilir.

18. Kıyaslamalar – İşlem Süreci
3-D Secure sistemi, kart sahibi doğrulama adımında başka
bir URL’den pop-up kullanıcı adı, şifre girişi ekranı
açmaktadır.
Bu durum, sistemi “man in the middle” saldırısına açık hale
getirmektedir.
Bunu engellemek için “personal assurance message”
konseptini geliştirilmiştir.
Ancak sahtekar işyerleri için kart sahibinin “personal
assurance message” içeriğini yakalayacak yazılım çözümleri
mevcuttur.
Hatta bu tür yazılımlar Internette bedava bulunmaktadır

19. Kıyaslamalar – İşlem Süreci
3-D Secure sisteminin kullanımına, e-commerce işyerleri
alışveriş sürecini kısaltmak için kart bilgilerini kaydettikleri
yapılarla karşılık verdiler.
Dünyanın en büyük e-commerce sitesi Amazon Visa 3-D
Secure sistemine katılmamaya karar verdi.
"From our standpoint, the amount of friction that Verified
by Visa introduces for the customer outweighs the benefit
from reducing fraud. It would turn one-click ordering into
four-point, three-click ordering“(*)
* Mark Britto Amazon's director of corporate development

20. Yurtiçi E-Ticaret Fraud Durumu

21. Teşekkür Ederim
Hazırlayan: M. Korhan Güçoğlu
Yazılım Geliştirme Yöneticisi