Payten Ödeme Sistemleri Ürün Müdürü
Mehmet Evirgen
Payten Ödeme Sistemleri Ürün Müdürü Mehmet Evirgen, Fintechtime okurları için kaleme aldı ” Card Tokenization”.
Online alışveriş popülaretesinin son yıllarda hızla büyümesi ve tahminlerin ötesinde bir hedefe koşmasıyla, online platformlardaki güvenlik sorunu ve sorusu bilinçli olarak sorgulanır hale geliyor. Ne yazik ki, çoğu sanal mağaza ve e-ticaret platformu, kötü niyetli siber saldırganların dolandırıcılık manipülasyonları için bir üreme ve oyun alanı haline geliyor.
Online bir alışveriş platformunda en can alıcı noktanın, “tamamen duygusallığı” temsil eden Ödeme Adımı’nın olduğu ve gelişen herhangi bir işletmenin bel kemiği olduğunu hepimiz biliyoruz.
Peki, bu can alıcı noktanın güvenliği nasıl sağlanabilir? Mutlu ve güvende hisseden bir müşteri kitlesi, kolay kolay alışkanlıklarından vazgeçmez.
Tokenization teknolojisi ile kart sahiplerinin kart ve hesap bilgilerini siber saldırılardan korumak ve bunu garanti altına almak önemli ve çekici bir özelliktir.
Kart sahiplerinin hassas verilerini güvenli olarak nasıl saklanabildiğini merak ediyorsanız, doğru yerdesiniz.
Tokenization kelimesi ilk başta kulağa, ödeme sistemleri dünyasına uzak olanlar için, uzaya gönderilecek olan roket teknolojisi gibi karmaşık gelse de kavramı hayal edildiği kadar zor değildir. Online bir alışveriş platformunda kart numarası, son kullanma tarihi, CVC kodu, adres ve diğer kişisel bilgilerini giren bir müşteri, potansiyel olarak siber saldırganların ve siyah şapkalı ajanların ağına düşebilir. Amacının sadece alışverişi tamamlamak olduğu bu son adımın, girilen hassas verilerin çalınması ile sonuçları yıkıcı olabilir.
Dolandırıcılık saldırılarının miktarı yakın gelecekte azalacak gibi görünmüyor. Teknolojinin ilerlemesi, online platformların sayılarının gün geçtikçe artması ve hedeflerin “ilk önce bir online platform oluşturmak” olması nedeniyle güvenliğin ikinci plana atılması, felaket sonuçlar ortaya koyabiliyor.
Online platformalar sunmuş oldukları ödeme yöntemleri arasında tekrarlayan ödemeler (subscribe), tek tıkla ödeme gibi seçeneklerde, kart sahiplerinin hassas ve kişisel verilerini korumak ve güvenliğini sürdürebilmekle sorumludurlar. Bu platformlar sahip oldukları çözümlere göre, işlerini hakkıyla yapmak, dolandırıcılığı ve atakları minimum seviyeye indirmek için birçok fiziki ve yazılımsal katmanların yanı sıra, işi ve uzmanlığı “sadece güvenlik” olan third party kurum ve otorite ile iş birliği içinde olabilirler.
Olası bir siber saldırı anında müşteri verilerini ve özellikle finansal işleme giden ödeme bilgilerini kaptırmamak ya da bu verilerin sızması halinde, anlamsız ve işe yaramaz hale gelmesini sağlayacak yapıya “Tokenization” diyebiliriz.
Kredi/hesap kartı Tokenization’I ile kart sahiplerinin hassas verileri “Token” olarak adlandırılan bazı karakterler (Harfler, semboller ve sayılar)ile tamamen anlamsız bir hale getirilebilir. Tabi ki de bu yapının arkasında belirlenmiş ve onay almış bazı algoritma ve standartları belirleyen PCI-DSS gibi kural koyucuların standart ve yöntemleri izlenmelidir. Payment Card Industry Security Standarts aralarında Visa, American Express, Master Card, Discover Financial Services gibi üyeleri bulunan bir konsey (PCI Security Standarts Council) tarafından kartı ödeme sistemlerinde veri güvenliğini sağlamak için belirlenmiş olan güvenlik standardına verilen addır.
Rastgele oluşturulmuş bir dizi Token, birincil hesap bilgilerine bağlandıktan sonra, mevcut işlem ve sonraki işlemler için güvenli bir şekilde işlenebilir. Bu işlemin amacı, gizli verileri bilgisayar korsanları tarafından deşifre edilmekten korumaktır.
Token haline getirilmiş verilerin siber saldırganlar tarafından çalınmasında, online platformun veri tabanında saklanmasında, hatta kart sahibinin elinde olmasında herhangi bir sakınca görülmemektedir.
Token bilgisinin kart sahibine ait bir kaç farklı veri ile ilişkilendirilmesi ve ödeme adımında double-check olarak ilişkisinin sağlanmasının da beklenmesi ekstra güvenlik katmaktadır.
Online platformun ödeme süreçlerindeki veya kayıt altına alması gerektiği her adımında gerek, finansal işlemlerdeki güvenliğin sağlanması için belirlenmiş metotları kullanmak, gerekse ekstra random ve internal tokenlar üreterak sistemine değer katması önemlidir.
Tokenization teknolojisi 100% güvenlidir demek mümkün olmayabilir. Tokenization yapısı ile verileri şifreleyen uygulama ya da yazılım, kullanılan algoritmanın bilinmesi durumunda, şifrelenmiş verilerin şifresi her zaman çözülebilir. Açıkça söylemek gerekirse, bilgisayar korsanlarını uzak tutmak o kadar kolay değil. İçerden yapılacak bir güvenlik ihlali ve organize bir iç saldırı verilerin güvenliğini garanti etmeyebilir. Bu durumda da sorumluluk “verileri güvenli olarak sakladığını” taahhüt eden kurum veya yapıdadır.
