Tahminimce geceleyin Telefon ya fiziksel olarak ya da zararlı yazılımla
ele geçirilmiştir..
ne yazıkki 3D secure tamamen güvenli değil, ve bence hukuki dayanağıda
tartışmalı.
parasal işlemler aşağıdaki 3 yöntemden en az ikisiyle gerçekleştirilebilir
*) Something you know (eg. a password) = Bildiğin (örn: şifre)
*) Something you have (eg. a smart card) = Sahip olduğun (örn: akıllı
kart, anahtar)
*) Something you are (eg. a fingerprint) = Olduğun (örn: parmakizi,
retina taraması, ses)
Kredi kartıyla ön ve arka yüzündeki bilgiler kartla bir bütün
oluşturduğundan sahip olduğunuz birşeydir.
Cep telefonuna gelen tek kullanımlık şifre içeren SMS mesajıda telefonla
bir bütünlük oluşturduğundan sahip olduğunuz birşeydir.
Eskiden 3D secure işlemlerinde 4 haneli PIN kodunun 2 hanesi (something
you know=bildiğin birşey) isteniyordu ve bu durumda Two factor
authentication sağlanmış oluyordu. şimdiyse sahip olduğunuz iki şey;
kredi kartı ve cep telefonuyla işlem gerçekleştirilebiliyor. Artık 3D
secure bildiğiniz veya olduğunuz herhangi birşeye ihtiyaç duymuyor ki bu
yanlış.
Sizin yapabileceğiniz şey, her siparişi mesai saatleri içerisinde
telefonla müşterilerinizi arayıp hem sipariş bilgilerini hemde müşteri
telefon numarasını & adresini teyit etmektir.
çok yüksek tutarlı işlemlerde veya şüpheli durumlarda POS veren
bankanızla irtibat kurarak; kart sahibinin kendi bankası tarafından
aranılıp teyidi alınmasını isteyebilirsiniz veya riski azaltmak adına bu
tür durumlarda müşteriden kredi kartı önlü arkalı fotokopisi, kart
sahibi kimlik fotokopisi, ile beraber kart sahibi tarafından imzalanmış
sipariş formu, mailorder formu vs isteyebilirsiniz..
Bankaların burda riski, suistimali dahada düşürmek ve yasal olarak zor
duruma düşmemek adına yapması gereken şey, tek kullanımlık şifre SMS'ini
kaldırmadan; buna ek olarak 4 haneli PIN kodunun herhangi 2 hanesini
eskisi gibi talep etmeye tekrar başlamaktır. böylece 3D secure gerçekten
güvenli olabilir. Ayrıca bazı bankaların yüksek tutarlı her işlem için
kart sahibine işlem bilgilerini SMS atması güzel, ancak bunuda her banka
uyguluyor mu bilmiyorum ama uygulamalıdır.
Bildiğim kadarıyla; mevcut mevzuata göre internet işlemine harcama
itirazı durumunda, harcama tutarı, işlemin yapıldığı karta iade edilmek
zorundadır. bu nedenle mahkeme ve icra yollarıyla uğraşmamak adına
tedbirli davranmak doğru olacaktır. mal/mülk satışlarında teslimat
belgesi imzalatıp saklamalısınız. mesela fatura veya irsaliyeyi
kargocu/kurye müşteriye imzalayıp bir nüshasını size geri göndermelidir.
aksi durumda kargo teslim tutanağı kargo içeriğini belgelemez ve hukuki
ihtilaf durumunda hakimin insafına kalabilirsiniz.
ayrıca paketlerin kolilerin üzerine "sadece alıcı kişiye teslim
edilebilir" diye etiket yapıştırmalı, kargo/kurye şirketine SADECE ALICI
KİŞİYE kimlik kontrolü ve ıslak imzalı tutanakla teslim etmesi konusunda
anlaşma yapmalısınız.
selam ve saygılarımla
On 15.9.2014 05:56, Ömer F Sa wrote:
Merhaba,
Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi
kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece
telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise
alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum
ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle
alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ?
--
Ömer Faruk Sarıkaya | @omerfsa <https://twitter.com/omerfsa>
Yazılım Geliştirici - otobilge.com <http://www.otobilge.com>
