3D Secure Nedir? Online Ödemelerde Güvenlik
3D Secure nedir, nasıl çalışır? Online kart ödemelerinde SMS doğrulama ile güvenliği sağlayan 3D Secure 1.0 ve 2.0 teknolojisi hakkında bilmeniz gerekenler.
3D Secure Nedir?
3D Secure (3-Domain Secure, kısaca 3DS), online kart ödemelerinde kart sahibinin kimliğini doğrulamak için kullanılan bir güvenlik protokolüdür. Visa tarafından "Verified by Visa", Mastercard tarafından "Mastercard Identity Check" (eski adıyla SecureCode), American Express tarafından "SafeKey", JCB tarafından "J/Secure" olarak markalanmıştır. Aynı temel protokol, sadece farklı kart şemaları altında pazarlanır.
"3D" ifadesi protokolün üç ayrı "alan"da çalıştığını anlatır: kart sahibi alanı (cardholder domain), işyeri alanı (merchant/acquirer domain) ve kartı veren banka alanı (issuer domain). Bu üç taraf arasında bir doğrulama mesajlaşması gerçekleşir ve işlem ancak tüm taraflar onay verdiğinde tamamlanır.
3D Secure, 1990'ların sonunda Visa tarafından geliştirildi, 2001'de standart haline geldi. Bugünkü modern versiyonu olan 3D Secure 2.0, EMVCo tarafından 2016'da yayınlandı ve özellikle mobil cihazlar ile API tabanlı entegrasyonlar için tasarlandı.
3D Secure Nasıl Çalışır?
Bir 3D Secure işleminin tam akışı:
1. Müşteri kart bilgilerini girer — Online ödeme sayfasında kart numarası (PAN), son kullanma tarihi ve CVV girilir. ÖdemePro gibi PCI DSS uyumlu platformlarda bu veriler doğrudan ödeme altyapısının tokenize edilmiş alanına gider, işletmenin sunucusuna asla iletilmez.
2. MPI (Merchant Plug-in) sorgu başlatır — İşyerinin ödeme altyapısı, kart şemasının directory server'ına "bu kart 3DS'ye kayıtlı mı?" sorusunu gönderir.
3. Bankanın ACS'si devreye girer — Kartı veren bankanın Access Control Server'ı (ACS) sorguyu alır. 3DS 1.0'da kart sahibi banka sayfasına yönlendirilir; 3DS 2.0'da risk skoru hesaplanır.
4. Doğrulama yöntemi seçilir — 3DS 2.0'da banka risk analizine göre üç yoldan birini seçer:
- Frictionless: Düşük riskli işlem, ek doğrulama yapılmaz. Müşteri hiçbir adım eklenmeden ödeme yapar.
- Challenge (OTP): Banka, kart sahibinin cep telefonuna SMS ile tek kullanımlık şifre gönderir.
- Biometric / App: Modern bankalarda mobil bankacılık uygulaması üzerinden parmak izi veya yüz tanıma ile doğrulama.
5. Müşteri doğrulama yapar — Challenge durumunda kullanıcı doğrulamayı tamamlar. ACS, ödeme altyapısına başarı sinyali (CAVV — Cardholder Authentication Verification Value) gönderir.
6. Banka onay süreci — Doğrulanmış işlem authorization aşamasına geçer. Kart limiti ve fraud kontrolleri yapılır.
7. İşlem tamamlanır — Başarılı authorization sonrası işlem `Approved` döner, ödeme akışı sona erer.
Tüm bu süreç 5-15 saniye içinde tamamlanır. Modern 3DS 2.0 entegrasyonlarında düşük riskli işlemlerde 5 saniyenin altına iner.
3D Secure 1.0 ve 2.0 Farkları
| Özellik | 3D Secure 1.0 | 3D Secure 2.0 |
|---|---|---|
| Doğrulama yaklaşımı | Her işlemde SMS şifresi | Risk bazlı, akıllı doğrulama |
| Müşteri deneyimi | Her seferinde sayfa yönlendirme | Düşük riskli işlemler frictionless |
| Mobil uyumluluk | Sınırlı (popup'lar bozulur) | Tam mobil uyumlu, native SDK |
| Terk oranı (drop-off) | %15-20 | %5-8 |
| Veri noktası | ~10 | 150+ veri noktası (cihaz, davranış, geçmiş) |
| Yönlendirme | Müşteri banka sayfasına gider | Aynı sayfada doğrulama |
| Out-of-band auth | Yok | Var (mobil bankacılık ile) |
| Bağlantı | HTML-form tabanlı | API/JSON tabanlı |
| Maksimum işlem süresi | 60+ saniye | 5-15 saniye |
3D Secure 2.0, arka planda 150'den fazla veri noktası analiz eder: cihaz parmak izi, IP konumu, tarayıcı dili, ödeme zamanı, kart sahibinin geçmiş davranışları, işyerinin risk profili gibi. Bu verilerle gerçek zamanlı risk skoru hesaplanır.
Frictionless örneği: Müşteri her ay aynı kartla aynı işyerinden ödeme yapıyor, kart hâlâ aynı cihazdan kullanılıyor, tutar olağan aralıkta — risk skoru düşük. ACS frictionless yola gider, müşteri SMS girmeden ödemesi tamamlanır. Challenge örneği: Müşteri yeni bir cihazdan ödeme yapıyor, tutar olağan dışı, IP başka ülkede — risk skoru yüksek. ACS doğrulama ister, müşteriye SMS gider.Türkiye'de büyük bankalar (Garanti BBVA, İş Bankası, Akbank, Yapı Kredi, Ziraat) 2022 itibariyle 3DS 2.0'a tam geçiş yaptı. PSP tarafında ise iyzico, Sipay, PayTR ve Param tümü 3DS 2.0 destekler.
3D Secure Neden Önemli?
İşletmeler İçin
Chargeback koruması (liability shift): 3D Secure ile doğrulanmış işlemlerde, sahte kart kullanımından (fraud) kaynaklanan geri ödeme (chargeback) sorumluluğu satıcıdan kartı veren bankaya geçer. Bu, fraud kaynaklı chargeback maliyetini önemli ölçüde düşürür. Yasal zorunluluk: Türkiye'de BDDK düzenlemeleriyle online kart ödemelerinde 3D Secure zorunludur. 3DS olmadan yapılan işlemler için satıcı kendisi tüm chargeback yükünü taşır, hatta bazı PSP'ler 3DS'siz işlem kabul etmez. Güven artışı: Müşteriler, doğrulama adımı olan işletmelere daha fazla güvenir. Özellikle ilk kez alışveriş yapan müşteriler için 3DS, "bu site güvenli mi?" sorusuna pozitif yanıt verir. Avrupa pazarına açılım: Avrupa Birliği'nde PSD2 (Payment Services Directive 2) ile Strong Customer Authentication (SCA) zorunludur. SCA, 3DS 2.0 kullanımını şart koşar. AB'ye satış yapacaksanız 3DS 2.0 olmazsa olmaz. Authorization rate artışı: İronik şekilde, 3DS 2.0 işlem onay oranını artırır. Bankalar 3DS ile gelen işlemlere daha yüksek güvenle yaklaşır, "ihtiyatlı reddet" eğilimi azalır.Müşteriler İçin
Kart güvenliği: Çalıntı kart bilgileriyle yapılan sahte alışverişleri engeller. 3DS olmadan kart numarası + CVV ile alışveriş yapılabilirken, 3DS ile telefon/uygulama doğrulaması gerekir. Kontrol: Her online işlem için onay verme imkanı sağlar. Müşteri her işlemde ne kadar ödediğini, hangi siteden ödediğini banka SMS'inde görür. Banka koruması: Yetkisiz işlemlerde banka tarafından korunur. 3DS yapılmamış işlemde müşteri fraud iddiasıyla başvurursa banka inceleme yapar; 3DS yapılmış işlemde başvuru genelde reddedilir (çünkü kart sahibi doğrulama yapmış sayılır).3D Secure Türleri ve Versiyonları
3D Secure 1.0 (Klasik / Legacy)
- 2001'den 2021'e kadar yaygın kullanım
- SMS OTP tabanlı, her işlemde popup
- Mobil uyum sorunlu (popup blocker'lar engelliyor)
- Drop-off oranı %15-20
- 2022 sonrası kademeli olarak kullanımdan kalkıyor
3D Secure 2.0 (Modern)
- 2017'de EMVCo tarafından yayınlandı
- Risk bazlı authentication
- Frictionless flow desteği
- Native mobil SDK
- API tabanlı, daha hızlı
3D Secure 2.1 ve 2.2
- 2.1: Out-of-band authentication, daha gelişmiş risk skorlama
- 2.2: 3DS Requestor Initiated (3RI), abonelik ve recurring payment için iyileştirmeler, exemption (muafiyet) flag'leri
Türkiye'de 2026 itibarıyla 3DS 2.1 yaygın, 2.2 yavaş geçişte.
3D Secure Muafiyetleri (Exemptions)
3DS 2.0'da bazı durumlarda doğrulama atlanabilir:
- Low-Value Exemption (LVE): Düşük tutarlı işlemler (genellikle 30 EUR / ~1.000 TL altı), arka arkaya 5 işleme kadar muafiyet.
- TRA (Transaction Risk Analysis): PSP'nin kendi fraud oranı çok düşükse (binde 13 altı), risk skoru çok düşük işlemleri muaf tutabilir.
- Trusted Beneficiary: Müşteri belirli bir işletmeyi "güvenli" listesine ekleyebilir, sonraki işlemlerde doğrulama atlanır.
- MIT (Merchant Initiated Transactions): Aboneliklerin tekrar tahsilatları (kullanıcı dahil değilse) muaftır.
- Whitelisting: Bazı bankalar belirli işletmeleri "düşük riskli" olarak işaretler.
Türkiye'de BDDK genel olarak muafiyetlere mesafelidir; pratikte 3DS hemen her zaman zorunlu uygulanır.
3D Secure Etkisi: Veriler
Sektörel veriler (Avrupa pazarı):
- 3DS 1.0 → 3DS 2.0 geçişinde drop-off %50-60 azaldı
- Frictionless flow ile işlem süresi 8 saniyeden 2.5 saniyeye düştü
- Fraud kayıpları (3DS yapılmış işlemlerde) %80'e kadar azaldı
- Chargeback oranları %60+ düşüş gösterdi
Yaygın 3D Secure Sorunları ve Çözümleri
Sorun: Müşteri SMS almıyor.Çözüm: Müşteri bankadaki cep telefonu kayıtlı mı? Yurtdışından arıyorsa roaming aktif mi? Banka müşteri hizmetlerinden kontrol etmesi gerekir.
Sorun: 3DS sayfası açılmıyor (mobilde).Çözüm: Popup blocker veya iframe sorunu. Modern entegrasyonlarda full-page redirect daha güvenli. PayTR'nin iframe modu bunu çözer.
Sorun: İşlem zaman aşımına uğruyor.Çözüm: Müşteri SMS'i girmek için 3-5 dakikası var. Geç kalırsa işlem `Timeout` döner, baştan denemesi gerekir.
Sorun: Doğrulandı ama işlem reddedildi.Çözüm: 3DS doğrulaması başarılı olsa bile authorization aşamasında banka reddedebilir (limit yetersizliği, fraud şüphesi, kart blokeli). Bu farklı bir sorundur, 3DS'le ilgili değildir.
3DS ve Diğer Güvenlik Katmanları
3D Secure tek başına yeterli değildir. Modern bir ödeme altyapısı şu güvenlik katmanlarını birlikte uygular:
- 3D Secure 2.0 — Kart sahibi kimlik doğrulaması
- PCI DSS — Kart verisi depolama standardı
- Tokenization — Kart numarasının token'la değiştirilmesi
- SSL/TLS — Veri iletimi şifrelemesi
- Fraud scoring — Makine öğrenmesi tabanlı dolandırıcılık skorlama
- Velocity checks — Belirli sürede aynı karttan çoklu deneme tespiti
- Geolocation matching — IP ülke ile kart ülkesinin eşleşmesi
- Device fingerprinting — Cihaz parmak izi takibi
ÖdemePro ve 3D Secure
ÖdemePro üzerinden yapılan tüm ödemelerde 3D Secure doğrulaması zorunludur — sanal POS sağlayıcınız ne olursa olsun. Hangi PSP'yi kullanırsanız kullanın (iyzico, Sipay, PayTR, Param, Akbank), tüm işlemler 3D Secure 2.0 ile korunur.
Kart bilgileri PCI DSS uyumlu altyapılarda işlenir ve ÖdemePro tarafında asla saklanmaz. ÖdemePro yalnızca işlem sonucunu, kart son 4 hanesini ve maskelenmiş kart numarasını referans için tutar. Bu sayede hem operasyonel güvenlik sağlanır hem de KVKK / BDDK uyumluluğunuz garanti edilir.
3DS hatalarını analiz etmek için detaylı hata raporlarını inceleyebilir, sanal POS başına başarı oranlarınızı görebilirsiniz. Otomatik mutabakat modülü, başarısız 3DS sonucu reddedilen işlemleri de takip eder.