Mehmet Evirgen
Payten Ödeme Sistemleri Ürün Müdürü
Payten Ödeme Sistemleri Ürün Müdürü Mehmet Evirgen, Fintechtime okurları için kaleme aldı “Dijital Cüzdan Güvenliği”.
Dijital cüzdanlar; kart bilgilerini bulutta kendi sistemlerinde saklayan ve genelde internet üzerinden alışverişlerde kart bilgisi girmeden ödeme yapılmasını sağlayan çözümlerdir ve sunucu tarafında güçlü algoritma ve şifreleme metotlarıyla saklanırlar. Dijital cüzdanlar için kullanıcı beklentileri ne kadar hızla artıyorsa, güvenlik açıklarını arayanların sayısıda o derece artmaktadır.
Dijital cüzdanlar size, özellikle dışarıdayken ve fiziksel cüzdanınızı evde bıraktığınızı fark ettiğinizde, kullanışlı olabilecek hızlı işlem özgürlüğü sağlar. Temassız kartlardaki artış sayesinde, pek çok kurum ve şirket artık mobil cüzdanla uyumlu olan ödeme terminallerini güncelledi. Her ödeme yaptığınızda kart bilgilerinizi girmek biraz yorucu olabilir. Ancak dijital cüzdanlar, bilgilerinizi sizin için otomatik olarak doldurarak bu süreci ortadan kaldırabilir, bu nedenle alışveriş işlemi yalnızca birkaç tıklama uzağınızda kalır.
Teknolojinin gelişmesi ve yeni çözümlerin bulunması ile beraber dijital cüzdanlar sadece temel finans işlemleri için değil, kimlik bilgilerinin doğrulanması için de kullanılabiliniyor. Örnek olarak; alkol satın alma işlemi sırasında dijital cüzdan sayesinde mağaza müşterisinin yaşını doğrulayabiliyor. Giderek heyecan veren bu sistem, farklı çözümler ve farklı kullanım alanlarını da beraberinde getiriyor.
Dijital cüzdanlar; banka kartlarını, kredi kartlarını, ön ödemeli kartlarını, yemek kartlarını, ulaşım kartlarını, dijital kimlikleri, hassas verileri içerisinde barındırıyor ve bu da herhangi bir güvenlik açığının sonuçlarının çok can acıtıcı olabileceğinin kanıtıdır. Bu durumda Dijital Cüzdan güvenliği öne çıkarıyor.
Peki Dijital Cüzdan güvenliği nasıl sağlıyor ?
Trend Micro nun açıkladığı 2020 Siber Risk Endeksi’ne (CRI) göre kuruluşların yüzde 23’ü, 2020 yılı içinde ağlarına ve sistemlerine sızan en az 7 saldırıya maruz kaldı.
Yapılan ankete katılan BT karar vericilerin yüzde 83’ü, siber saldırıların, 2021 yılında “biraz” ile “çok” arasında kuruluşlara zarar vereceğini düşünüyor.
Ankete katılan kuruluşların endişeleri ise şu şekilde sıralanıyor:
- Müşteri verilerinin kaybı
- IP ve finansal bilgilerine izinsiz erişim
- Müşteri kaybı
- Çalınan veya hasar gören ekipmanlar
Yukarıdaki verilerde gösteriyor ki 2021 dijitalleşmeyi daha da hızlandırdığı gibi, kötü niyetli kişi veya yazılımların da bir o kadar hızlanma ihtimalinin olduğu yönündedir.
Yirminci yüzyılda ABD’li suçlu Willie Sutton’ın bankaları soydu çünkü “para oradaydı”. Dijital çağımızdaki aynı motivasyon dijital cüzdanlar için geçerli ve bu da dijital cüzdanları yeni hedef haline getiriyor.
Dijital cüzdanlar başlı başına bir uygulama olup, kullanıcının hassas finansal verilerini saklama işi bir standarta bağlıdır. Kredi kartlarını veya finansal işlem yapmaya olanak sağlayan herhangi bir veriyi saklayan uygulamalar ödeme işlemlerinde kilit bir rol oynadıkları için, kart sahibinin verilerini çalınmasını önlemek amacıyla standart prosedürleri ve teknolojileri kullanmak zorundadır.
Kart saklayıcı tabanlı güvenlik açıkları, kart işleme ekosisteminin hemen hemen her yerinde görünebilir:
- satış noktası cihazları;
- mobil cihazlar,
- kişisel bilgisayarlar veya sunucular;
- kablosuz bağlantı noktaları;
- web alışveriş uygulamaları;
- kağıt tabanlı depolama sistemleri;
- kart sahibi verilerinin hizmet sağlayıcılara iletimi;
- uzaktan erişim bağlantılarında
PCI Data Security Standard (PCI DSS) ile uyumluluk, bu güvenlik açıklarını azaltmaya ve korumaya yardımcı olur. PCI Güvenlik Standartları, kart sahibi verilerini korumak için PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından belirlenen teknik ve operasyonel gereksinimlerdir. Standartlar, kart sahibi verilerini depolayan, işleyen veya ileten tüm kuruluşlar için geçerlidir. Bu nedenle, bilgisayar korsanları müşterinin işlemine müdahale etmeyi başarsa bile, edindikleri verileri kullanamazlar. Çünkü veriler şifrelenmiştir ve asla çözülmesi mümkün değildir.
Yukarıda deteylandırılan PCI DSS uyumluluk nedeniyle dijital cüzdanlarda saklanan kredi kartları aslında geleneksel kartlardan daha güvenlidir. Dijital cüzdan ile ödeme yaptığınızda, kartınıza 16 haneli benzersiz bir numara veya token atanır. Ancak kredi kartı numaranızın aksine, kart numaranız satıcı tarafından görülmediği için token daha güvenlidir. Ve bu token yalnızca, her bir işleme uygulanan benzersiz bir şifreleme ile kullanılabilir. Modern şifreleme algoritmalarını kırmak için gereken süre, hesaplama maliyeti ve sabır, anahtarsız bir şifrelemeyi kırmayı neredeyse imkansız bir iş haline getirir. Bu, şifrelemenin genellikle arka kapılar olarak adlandırılan güvenlik açıklarına sahip olmadığı anlamına gelmez. Bununla birlikte, bu tür dijital arka kapıların çalışma olasılığı en iyi ihtimalle minimumdur. Dolayısıyla, dijital bir cüzdan ile alışveriş yaptığınızda, tüm finansal bilgilerinizin satıcıdan gizlendiğini bilerek hareket edebilirsiniz.
Tam da bu noktada Payten şirketinin Merchant Safe Unipay isimli ürününden bahsetmek isterim. 2009 yılından bu yana PCI –DSS Level 1 sertifikasına sahip Payten, 2013 yılında hayata geçirdiği Merchant Safe Unipay (MSU) ürünü ile bir çok sektör ve firmaya çeşitli entegrasyon imkanı ve kolaylığı sağlıyor. Bu özelliklerin en önemlilerinden birisi olan PCI DSS ortamında 3D secure ve kart saklama teknolojisi ile güvenlik üst seviyededir. Üstelik firmaların sakladıkları kartlar kendilerine ait özel havuzlarda saklanmaktadır. E-ticaret sitelerinin ve kredi kartlarını sistemlerinde saklatarak son kullanıcıların rahatla ve güvenle alışveriş yapmasını isteyen bir çok firma PCI DSS’in güvencesiyle MSU ürününü tercih etmektedir.
PCI DSS sertifikasına kabul görmek ne kadar önemliyse teknik/teknolojik donanımsal ve yazılımsal ihtiyaçlarla Sürdürülebilirliğini korumak daha da önemlidir. 2009 yılından bu yana yeninde denetim ve kontrol ile PCI Güvenlik Standartları Konseyi (PCI SSC) denetlenen Payten şirketi ve Merchant Safe Unipay ürünü; gücünü ve sorumluklarını etkin bir şekilde ortaya koymaktadır.
Ayrıca tüketiciler, dijital cüzdan hesaplarına ek bir şifre koruması ekleyebilir. Bunu gelişmiş şifreleme yöntemleriyle birleştirmek, bir tüketicinin bilgilerini bilgisayar korsanlarından ve diğer üçüncü taraflardan daha fazla korur. Dijital cüzdanlar yalnızca sahtekarlığa karşı iyi korunmakla kalmaz, güvenlik teknolojileri de günün her saati ekstra koruma sağlamak için sürekli olarak güncellenir. Bu, iyileştirilmiş kullanıcı deneyimini ve hassas verilerin daha iyi korunmasını içerir.
Pandemi öncesi bir dünyada, dolandırıcılık girişimlerine karşı dijital kimlik doğrulaması zaten önemli bir konuydu. Artık bankalar ve Fintech’ler neredeyse tamamen online tüketicilerle çalıştıklarından, kullanıcıların kimliklerini uzaktan doğrulayan hizmetlere ve dijital cüzdanlara artan bir ihtiyaç var. Digital cüzdanlar güvenlik açıkları minumuma indirilmiş, en güvenli teknolojilerin kullanıldığı bir çözüm olarak diğer ödeme çözümleri arasında öne çıkıyor.