PCI DSS: Uyumluluğa Giden Yol Haritası

Ödeme Kartı Endüstrisi Veri Güvenliği Standardının kısaltması olan PCI DSS, Visa, MasterCard ve American Express gibi büyük kart sağlayıcıları tarafından 2004 yılında geliştirilen bir dizi güvenlik standardıdır. Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC), banka ve kredi kartı işlemlerini veri hırsızlığı ve dolandırıcılığından korumak için uygunluk düzenini yönetir.

PCI SSC, uygunluğu zorunlu kılacak yasal yetkiye sahip olmasa da, kredi veya banka kartı ödemelerini kabul eden herhangi bir şirket için bir gerekliliktir. PCI sertifikası aynı zamanda hassas verileri ve bilgileri korumanın en iyi yollarından biridir ve işletmelerin müşterileriyle uzun vadeli ve güvenilir ilişkiler kurmasına olanak tanır.

PCI DSS Sertifikası Nedir?

PCI sertifikası, PCI SSC tarafından belirlenen bir dizi gereksinim aracılığıyla işletmenizde kart verilerinin güvenliğini sağlar. Bunlar, güvenlik duvarlarının kurulumu, veri şifreleme ve anti-virüs yazılımının kullanımı gibi iyi bilinen birkaç en iyi uygulamayı içerir. Ek olarak, şirketler kart sahibi verilerine erişimi kısıtlamalı ve ağ kaynaklarına erişimi izlemelidir.

PCI uyumlu güvenlik, müşterilere şirketinizle yaptıkları işlemlerin güvenli olduğunu bildiren bir varlıktır. Buna karşılık, güvenlik açığının hem parasal maliyeti hem de itibara vereceği zarar herhangi bir işletme sahibini veri güvenliğine öncelik vermeye ikna etmek için yeterli olmalıdır. 

Bir veri ihlali, hassas müşteri bilgilerini ifşa ettiğinden, bir işletme için ciddi sonuçlar doğurabilir. Bir ihlal, ödeme kartı veren kuruluşun para cezalarına, davalara, satışların azalmasına ve itibarın ciddi şekilde zarar görmesine neden olabilir.

Bir ihlalin ardından, bir işletme, kredi kartı işlemlerini kabul etmeyi bırakmaya veya uygunluğun ilk maliyetinden daha fazla müteakip masraf ödemeye zorlanabilir. PCI güvenlik prosedürlerine yatırım yapmak, işletmenizi kötü niyetli çevrimiçi aktörlerden korumaya yardımcı olur.

PCI uyumluluğu için 12 gereksinim vardır;

  1. Kart sahibi verilerini korumak için bir güvenlik duvarı kurun.
  2. Satıcı tarafından sağlanan sistem parolalarını ve diğer güvenlik parametrelerini kullanmayın.
  3. Depolanan kart sahibi verilerini koruyun.
  4. Açık, genel ağlarda kart sahibi veri iletimini şifreleyin.
  5. Virüsten koruma yazılımlarını veya programlarını kullanın ve güncel tutun.
  6. Güvenli sistemler ve uygulamalar oluşturun.
  7. Kart sahibi verilerine erişimi, işle ilgili bilmesi gerekenlerle sınırlayın.
  8. Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın.
  9. Kart sahibi verilerine herhangi bir fiziksel erişimi kısıtlayın.
  10. Tüm ağ kaynağını ve kart sahibi verilerine erişimini izleyin.
  11. Güvenlik sistemleri ve prosedürlerini düzenli olarak test edin.
  12. Tüm çalışanlar için bir bilgi güvenliği politikası sürdürün.

 

PCI DSS’in 4 Seviyesi

Daha önce bahsettiğimiz gibi, PCI DSS, kuruluşların ödeme verileri ihlallerini ve kart sahtekarlığını önlemelerine yardımcı olan bir dizi gereksinimdir. Büyük kart markaları arasındaki bu işbirliği, kart ödemelerinin buna göre korunmasını sağlar. Ve bunun için ilk adım, seviyenize bağlı olarak bir değerlendirme, üç ayda bir yapılan bir ağ taraması ve Uygunluk Beyanı Formudur.

Öyleyse, PCI düzeylerine bir göz atalım. Bir kuruluşun yıllık işlemlerinin sayısına bağlı olan dört uyum düzeyi vardır. Birinci seviye 6 milyondan fazla kart işlemi gerçekleştiren satıcıları, ikinci seviye ise yılda 1 ila 6 milyon işlem yapan satıcıları içerir. Diğer iki seviye, nispeten daha küçük işletmeleri kapsar: 20.000 ila 1 milyon işlem içeren 3. seviye ve yıllık 20.000’den az işlem içeren 4. seviye.

 

PCI DSS Seviyenize Nasıl Karar Vermelisiniz?

Satıcılar, satıcı hizmetleri sağlayıcılarıyla çalışarak veya sağlayıcılarının raporlama yazılımlarını kullanarak PCI uyumluluk düzeylerini değerlendirebilirler. Boyut ve kapsam nedeniyle, Seviye 1-3 satıcılarının daha spesifik uygunluk kriterleri vardır. Uyum sürecini takip etmek için dahili BT ve uygulama departmanlarına sahip olma olasılıkları çok daha yüksektir.

Küçük veya orta ölçekli işletme olarak sınıflandıran çoğu üye işyeri 4. seviye olarak sınıflandırılır. Yaptırım kriterleri daha basit olabilse de, dahili bir BT altyapısı yoksa bu işletmelerin gereksinimleri karşılaması zorlaşabilir.

Öz Değerlendirme Anketi

Bir işletmenin tamamlaması gereken Öz Değerlendirme Anketi(Self-Assessment Questionnaire), kısaca SAQ, kart ödemelerini nasıl kabul ettiklerine göre belirlenir. Örneğin SAQ-A, kartsız (eComm veya MOTO) ödemeleri kabul eden, ancak kart sahibi verilerini kendi tesislerinde saklamayan, işlemeyen veya iletmeyen satıcıları ifade eder. SAQ-B, bağımsız bir çevirme terminali kullanan ve elektronik veri depolaması olmayan işletmeler tarafından doldurulmalıdır. Hangi türü kullanacağınızdan emin değilseniz, ödeme sağlayıcınız veya PCI SSC ile iletişime geçin.

PCI DSS Uyumu İçin Neler Yapılmalı?

Seviye 1:

  • Bir Nitelikli Güvenlik Değerlendiricisinin (QSA) yardımıyla yıllık Uyumluluk Raporunu (ROC) doldurun.
  • Onaylı Tarama Tedarikçisi (ASV) ile üç ayda bir ağ taramaları gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 2:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 3:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 4:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

PCI DSS Uyumu ile İlgili Sorunlar

Her şeyden önce, satıcıların uygunluğu sağlamak için tüm gereksinimleri karşılaması gerekir. PCI-DSS standardı, uyumluluğun sağlanması için tümü istisnasız tamamlanması gereken 246 spesifikasyondan oluşur. Her gereksinimde belirtilenlere uymanın yanı sıra, sertifikasyonun 12 aylık süresi boyunca uygunluğun sürdürülmesi zorunludur. Aksi takdirde, satıcılar bir denetim durumunda cezalarla, ve hatta diskalifiye ile karşılaşabilirler.

PCI DSS’in 4 Seviyesi

Daha önce bahsettiğimiz gibi, PCI DSS, kuruluşların ödeme verileri ihlallerini ve kart sahtekarlığını önlemelerine yardımcı olan bir dizi gereksinimdir. Büyük kart markaları arasındaki bu işbirliği, kart ödemelerinin buna göre korunmasını sağlar. Ve bunun için ilk adım, seviyenize bağlı olarak bir değerlendirme, üç ayda bir yapılan bir ağ taraması ve Uygunluk Beyanı Formudur.

Öyleyse, PCI düzeylerine bir göz atalım. Bir kuruluşun yıllık işlemlerinin sayısına bağlı olan dört uyum düzeyi vardır. Birinci seviye 6 milyondan fazla kart işlemi gerçekleştiren satıcıları, ikinci seviye ise yılda 1 ila 6 milyon işlem yapan satıcıları içerir. Diğer iki seviye, nispeten daha küçük işletmeleri kapsar: 20.000 ila 1 milyon işlem içeren 3. seviye ve yıllık 20.000’den az işlem içeren 4. seviye.

PCI DSS Seviyenize Nasıl Karar Vermelisiniz?

Satıcılar, satıcı hizmetleri sağlayıcılarıyla çalışarak veya sağlayıcılarının raporlama yazılımlarını kullanarak PCI uyumluluk düzeylerini değerlendirebilirler. Boyut ve kapsam nedeniyle, Seviye 1-3 satıcılarının daha spesifik uygunluk kriterleri vardır. Uyum sürecini takip etmek için dahili BT ve uygulama departmanlarına sahip olma olasılıkları çok daha yüksektir.

Küçük veya orta ölçekli işletme olarak sınıflandıran çoğu üye işyeri 4. seviye olarak sınıflandırılır. Yaptırım kriterleri daha basit olabilse de, dahili bir BT altyapısı yoksa bu işletmelerin gereksinimleri karşılaması zorlaşabilir.

Öz Değerlendirme Anketi

Bir işletmenin tamamlaması gereken Öz Değerlendirme Anketi(Self-Assessment Questionnaire), kısaca SAQ, kart ödemelerini nasıl kabul ettiklerine göre belirlenir. Örneğin SAQ-A, kartsız (eComm veya MOTO) ödemeleri kabul eden, ancak kart sahibi verilerini kendi tesislerinde saklamayan, işlemeyen veya iletmeyen satıcıları ifade eder. SAQ-B, bağımsız bir çevirme terminali kullanan ve elektronik veri depolaması olmayan işletmeler tarafından doldurulmalıdır. Hangi türü kullanacağınızdan emin değilseniz, ödeme sağlayıcınız veya PCI SSC ile iletişime geçin.

PCI DSS Uyumu İçin Neler Yapılmalı?

Seviye 1:

  • Bir Nitelikli Güvenlik Değerlendiricisinin (QSA) yardımıyla yıllık Uyumluluk Raporunu (ROC) doldurun.
  • Onaylı Tarama Tedarikçisi (ASV) ile üç ayda bir ağ taramaları gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 2:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 3:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 4:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

PCI DSS Uyumu ile İlgili Sorunlar

Her şeyden önce, satıcıların uygunluğu sağlamak için tüm gereksinimleri karşılaması gerekir. PCI-DSS standardı, uyumluluğun sağlanması için tümü istisnasız tamamlanması gereken 246 spesifikasyondan oluşur. Her gereksinimde belirtilenlere uymanın yanı sıra, sertifikasyonun 12 aylık süresi boyunca uygunluğun sürdürülmesi zorunludur. Aksi takdirde, satıcılar bir denetim durumunda cezalarla, ve hatta diskalifiye ile karşılaşabilirler.

İkinci olarak, sertifikasyon sürecinde organizasyonel baskı vardır. Sözleşmeye bağlı bir gereklilik veya ödeme kartlarını çalıştıran şirketlerin baskısı nedeniyle PCI DSS uyumluluğunu doğrulamaya çalışan işletmeler görmek alışılmadık bir durum değildir. PCI DSS uyum ihtiyacı genellikle şirketin üst yönetiminden gelir ve mümkün olan en kısa sürede sertifikasyonu gerektirir. Bu kısır döngü, yetersiz girişimlere ve gereksinimlere uymada başarısızlığa neden olacaktır.

Son olarak, kapsamın belirlenmesi PCI DSS uyumluluk sürecinin en kritik adımıdır. Bu süreçte şirket, gereklilikleri yerine getirmek için hangi adımların atılması gerektiğini belirler. Uyumluluk elde etmek isteyen işletmeler için PCI DSS, gerçekleştirdikleri veri işlemlerinin miktarına ve türüne bağlı olarak çeşitli derecelendirme seviyelerine sahiptir. Şirketinizin ilk uygunluk değerlendirmesi, etkili bir doğrulama sürecine giden ilk adımdır. Çok dar bir kapsam belirlemek, ödeme kartı verilerini riske atabilirken, çok geniş bir kapsam belirlemek projenin genel maliyetini arttırır.

Kaynakça

https://www.imperva.com/learn/data-security/pci-dss-certification/

https://www.fisglobal.com/en/insights/merchant-solutions-worldpay/article/what-you-need-to-know-about-pci-compliance-levels

https://www.cimcor.com/blog/a-beginners-guide-to-the-pci-compliance-levels

kirkpatrickprice.com/blog/levels-of-pci-compliance/

www.itgovernance.eu/blog/en/a-guide-to-the-4-pci-dss-compliance-levels

cipher.com/blog/top-5-challenges-of-pci-dss-compliance/

Açık Bankacılık Nedir?

Açık Bankacılık, müşteri izni ile müşterinin banka ve finansal hesaplarının üçüncü parti hizmet sağlayıcılarına erişim izninin ve kontrolünün verilmesidir. Birden çok hesabı tek bir ekranda görüntüleme ve yönetme olanağıyla  kullanıcılarına kolaylık sunan bir hizmettir.

Açık bankacılık, bugüne kadar alışılagelmiş internet bankacılığı ve mobil bankacılıktan  daha gelişmiş, kapsamlı ve detaylı bir hizmet sunar. Tabiatıyla, hizmet derinliği ve yoğunluğuna bağlı olarak, prosedürler artmaktadır.

Bu yazıda, dünyanın ve Türkiye’nin kullanmakta olduğu bu bankacılık sisteminin, hem diğer coğrafyalarda hem de Türkiye’de nasıl işlediğini, detaylarını ve en önemlisi güvenlik boyutunu ele alacağız.

Açık Bankacılık Nedir?

Açık Bankacılık özetle, üçüncü parti hizmet sağlayıcılara kullanıcıların verdiği izin dahilinde finansal bilgilerinin aktarılmasıdır. İstenmeyen hiçbir veri paylaşılmaz, kullanıcının gizlilik hakkı tamamen korunur. Üçüncü parti hizmet sağlayıcıları, kullanıcı rızası ile paylaşılmış kişisel bilgileri, API – Uygulama Programlama Arayüzü(Application Programming Interface) güvenilirliği ile işler. API-Uygulama Programlama Arayüzü, iki uygulama arasında köprü görevi gören aracı bir yazılımdır. İşleyişi tamamen güvenlik ilkelerine dayanır. Kodlar ve kullanıcı bilgilerini gizli tutarak, üçüncü parti hizmet sağlayıcılarının bir diğer uygulamasında gerekli verilerin kullanılmasını sağlar.

Açık Bankacılık sistemi Birleşik Krallık’ta Rekabet ve Piyasalar Kurumu (CMA) tarafından Ocak 2018’de işleyişe girmiştir. 2019 Açık Bankacılık raporuna bakıldığında ülkelerin % 87’sinden fazlasının bir tür açık API’a sahip olduğu görüntüleniyor ve bu sistemin Birleşik Krallık sınırlarını aştığını anlıyoruz.

Açık Bankacılığın başlangıç aşamasından çıktığı OBEI(Açık Bankacılık Uygulama Kuruluşu), Ekim 2019’da 180 milyon başarılı API çağrısı görüldüğünü ve bu rakamın her ay 20-30 milyon artmakta olduğunu açıklamıştır. Açık Bankacılık ile ilgili yayınlanan istatistiklere göre bir diğer veri ise ortalama API kullanılırlığının Haziran 2018’de %96 iken Ekim 2019’da %98,48’e yükselmesidir.

Açık Bankacılığın çıkış yılı ve müteakip yıllarının istatistiklerini Birleşik Krallık özelinde incelemiş olsak da, istatistikler bizlere bu sistemin gelişmekte ve yayılmakta olduğunu gösteriyor.

Dünyada Açık Bankacılık

Açık Bankacılığın çıkış noktası Birleşik Krallık’dır ve bankacılık sektöründe yenileşimci bir hareket olmuştur. Finans sektöründe rekabeti ve fırsatları arttırmayı amaçlamıştır. Çıkışının ilk yıllarında küçük ölçekli firmalar tarafından güvenilirliği tartışılmıştır. Küçük İşletmeler Federasyonu (FSB), 1000’den fazla üyesiyle bir anket gerçekleştirmiştir ve küçük firmaların %65’inin elektronik bankacılık verilerini üçüncü hizmet sağlayıcıları ile paylaşmak istemediği sonucunu elde etmiştir. Ek olarak bu firmaların %43’ü bu veri paylaşım modelinin güvenli olmadığına inanırken, %37’si bu sistemin gerekli olup olmadığı konusunda düşünceli. 

Görüldüğü üzere Açık Bankacılık konusunda çekinceler varsa da bu sistem yayılmaya devam ediyor ve Açık Bankacılığın başarısı sektörde her geçen gün daha çok kabul görüyor.

2015 yılında Avrupa Birliği’nin ilgili kurumlarına Açık Bankacılık sistemi sunulup konu ile ilgili bazı düzenlemeler yapılmıştır. Ödeme Hizmetleri Direktifi 2 (PSD2- Payment Services Directive 2) olarak sunulan bu yeni yönerge, yenişimci bankacılık sisteminin ilk adımlarını oluşturmuştur.

2016 Yılında Birleşik Krallık Açık Bankacılık modeline geçen ilk ülke oldu. Dokuz büyük banka, Açık Bankacılık Uygulama Kurumu (OBIE-Open Banking Implementation Entity) adı altında bir araya geldi.

Hindistan, Japonya, Singapur ve Güney Kore dahil olmak üzere birçok ülkede şu anda resmi veya zorunlu bir Açık Bankacılık sistemi bulunmamaktadır ancak Açık Bankacılık sisteminin gelişmesi için devlet projeleri ve çalışmalar sürmektedir. Örneklerden birkaçını açacak olursak;

  • Singapur Bankalar Birliği ve MAS (The Monetary Authority of Singapore), bankaların ve üçüncü parti hizmet sağlayıcılarının veri alışverişini ve iletişimini arttırmak adına API ile ilgili bir çalışma yayınlamıştır.
  • Japonya, her bir bankanın en az bir üçüncü hizmet sağlayıcısının olması yönünde teşviklerde bulunmuştur ve Açık Bankacılığın, bankacılık sistemlerine entegrasyonunun arttırılmasını hedef koymuştur.
  • ABD güncel olarak bu sisteme herhangi bir devlet desteği vermiyor ancak bu yeni sistemin gidişatını takip ederek taktiksel bir yaklaşımda bulunuyor.
  • Birleşik Krallık ve Avrupa için ilk hedef finans sektöründe rekabeti ve fırsatı arttırmak olmuşsa da, şu an bu sistem diğer ülkeler tarafından da ilgiyle karşılanmış, devlet desteği gören, gelişime açık bir sistem olarak görülmüştür.

Açık Bankacılık, yalnızca bankacılık ve finans sektörüyle sınırlı kalmayıp diğer sektörlerde de etkili bir kullanım alanı oluşturup, çok daha zengin bir hizmet ve ürün yelpazesinin temelini oluşturacak yeni bir veri paylaşım altyapısı oluşturmayı vaat ediyor.

Türkiye’de Açık Bankacılığın Güncel Durumu

On Birinci Kalkınma Planı (2019–2023), Temmuz 2019’da yayınlanmış olup Açık Bankacılığın  hukuki temellerinin güçlü olması adına AB Ödeme Hizmetleri Direktifi 2’nin örnek alınacağı ve Direktif 2’ye uyum sağlanacağı belirtilmiştir. Ardından 2019 yılı sonunda, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun’da yapılan belirli değişiklerden sonra birer Açık Bankacılık hizmeti olan konsolide edilmiş bilgilerin sunulması hizmeti (“AISP”) yasal düzenlemeyle yürürlüğe girmiştir. Açık bankacılığın temelleri Türkiye’de 2018’de atılmış, 2019 yılında geliştirilmiş ve 2020 yılında da resmi gelişmeler sonuçlandırılarak ülkemizde kullanıma geçmiştir.

Açık Bankacılık kanuna aykırı olamayacağı gibi tüzüğe aykırı hükümleri de taşımaz. Yönetmeliğe göre Açık Bankacılık; 

“Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebilecekleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak tanımlanmıştır.

Kimlik doğrulama hususunda alınan kararlardan bahsetmek gerekirse, bu noktada AB ödeme Hizmetleri Direktifi 2’den (PSD 2) ayrılıyoruz. PSD 2’de iki bileşenli kimlik doğrulama kullanılırken, bizim yönetmeliğimizde ilave tedbirler ve alınacak belirli güvenlik önlemleriyle tek bileşenli kimlik doğrulaması yapılabileceği ibaresi geçmiştir. Kısaca açıklamak gerekirse çalıştığınız bankada bulunan bilgileriniz bir diğer banka tarafından Açık Bankacılık hizmeti aracılığıyla kabul edilecektir veya belirli yöntemlerle uzaktan kimlik tespiti yapılabilecektir.

Açık Bankacılığa ilişkin daha detaylı bir düzenleme bulunmamakla birlikte bunu detaylandırma yetkisi Bankacılık Düzenleme ve Denetleme Kurulu’na aittir. 

Yukarıda yer alan açıklamalar, Açık Bankacılığın resmi olarak kabul gördüğü, kayıtlara alındığı ve devlet denetiminde olduğunu bizlere gösteriyor.

Açık Bankacılığın Riskleri

Son dönemlerde internet korsanları, bilgisayarlarımıza sızan hackerlar ve kişisel bilgilerin web ortamında hacklenerek çalındığı yönünde birçok haberle karşılaşıyoruz. Bu tarz saldırılar yalnızca bireysel olarak kalmanın ötesinde büyük firmaların, hastanelerin hatta üniversitelerin bile başına geliyor. İnternet ortamının sunduğu kolaylıklar uçsuz bucaksızken, bünyesindeki riskler birçoğumuzu korkutuyor. Özellikle konumuz olan Açık Bankacılığı araştırırken, güvenilirlik ve risk yönlerini sorgulamak kaçınılmaz hale geliyor.

Yazımızın başlangıcında API-Uygulama Programlama Arayüzü(Application Programming Interface) olarak adlandırılan yardımcı yazılımdan bahsetmiştik kısaca. Bu yardımcı yazılım türü Açık Bankacılıkta da kullanılmaktadır. Şimdi sizler için bunu biraz daha açıp, Açık Bankacılığın sizlere nasıl bir güvenlik sunduğunun altını çizelim.

API (Application Programming Interface), bir uygulamanın, servisin ve/veya platformun (örn. Chrome, Firefox, HTML, macOS, Youtube, MailChimp…) sahip olduğu yeteneklere izin verilen sınırlandırmalar dahilinde dışarıdan erişilebilmesini sağlayan bir arayüzdür.

API olarak adlandırılan yazılım Açık Bankacılık sisteminde, banka ve üçüncü hizmet kişisi arasında veri alışverişini sağlar ve kişinin aleyhine kullanılabilecek verileri özellikle saklar ve karşı tarafa aktarmaz.

Açık Bankacılık müşterinin verdiği erişim izni dahilinde ilerler ve onayladığınız kadar veriniz paylaşılır. Paylaşılan veriler de API yazılımının koruması dahilinde işlenir. En büyük risk, kötü niyetli bir üçüncü parti hizmet sağlayıcısının bilgileri müşteri aleyhine kullanması olur fakat bu olayın yaşanma ihtimali oldukça düşüktür.

Açık Bankacılık sistemi hayata geçtiği birçok ülkede devlet destekli ilerlemekte ve yönetmeliklere dayanmaktadır. Günlük yaşamımızı giderek artan bir şekilde teknoloji etrafında kurduğumuz düşünülürse Açık Bankacılık sektörünün önünün bir hayli açık olduğunu söylemek mümkün. Bu sistem, kullanıcısına göz ardı edilemez bir pratiklik sunarken aynı zamanda belirli arayüz işlemcileri yardımıyla, kişisel verileri koruyarak, olası gizlilik ihlallerine sebebiyet vermeyen bir çalışma prensibi benimsemiştir. Yazımızda altını çizdiğimiz üzere güvenilirliği hala tartışılsa da finans sektörü tarafından  beğeniyle kabul görmüş bir sistemdir. Açık Bankacılık sistemi müşterilere kazanç sağlarken, sistemin kullanıcısı olan banka ve Fintechler arasında bir rekabet ortamı oluşturmaktadır. Tarafların avantajlı çıkmasında da rekabet tutumu ve tarafların işbirliği önemli rol oynayacaktır.

KAYNAKÇA

www.openbanking.org.uk/customers/what-is-open-banking/

www.financierworldwide.com/open-banking-implications-and-risks#.YFxL_F0zZQI

bkm.com.tr/wp-content/uploads/2015/06/Dunyadaveturkiyedeacikbankacilik.pdf

www.pwc.com.tr/tr/sektorler/bankacilik/pdf/acik-bankacilik-dunya-ve-turkiye-v2.pdf

www.isbank.com.tr/blog/acik-bankacilik-open-banking

www2.deloitte.com/global/en/pages/financial-services/articles/open-banking-around-the-world.html

ceaksan.com/tr/api-nedir

www.theglobaltreasurer.com/2020/01/14/two-years-on-has-open-banking-reached-its-potential/

fintechistanbul.org/2020/03/24/acik-bankacilik-turk-mevzuatinda-tanimlandi/

fintechistanbul.org/wp-content/uploads/2021/03/Turkish_Open_Banking_Ecosystem_Map_v1.5.pdf

Uzaktan Müşteri ve Üye İşyeri Edinimi

Uzaktan edinim son zamanlarda sıklıkla duyduğumuz ama içeriği tam bilinmeyen bir kavram. Kurumların yeni müşteri ve kullanıcıları, olabildiğince hızlı, güvenli ve modern bir şekilde, tamamen online ve uzaktan yürütülen bir süreç ile bünyelerine katması anlamına geliyor. Müşterilerin artan kolay erişim talebi nedeniyle, edinim sürecini olabildiğince hızlandırmak her sektör için hayati önem taşıyor. Eğer bir şirketin edinim süreci çağın gereklerini karşılamıyor ve yavaş işliyorsa, potansiyel müşterilerin bu süreci daha iyi yöneten rakip bir firmayla çalışmayı tercih etmesi kaçınılmaz hale geliyor. 

Edinim sürecini optimize etmek, yeni müşteri bulma şansını arttırırken bir yandan da edinim sürecinin maliyetini azaltıyor. Fakat edinim sürecini dijitalize etmenin faydalarını daha detaylı incelemeden önce, edinim çeşitlerinin ve müşteri edinimi ile üye işyeri edinimi arasındaki farkların neler olduğu üzerinde biraz duralım.

Edinim Çeşitleri

Yerinde Edinim: Müşterilerin şirketin fiziksel lokasyonuna gidip başvuru yaptığı, dökümanları doldurduğu ve kimliğini kanıtladığı geleneksel edinim metodudur. 

Hibrit Edinim: Bu edinim türünde, şirketler doldurulması gereken dökümanları online olarak sunar, fakat müşterinin bunları doldurup fiziksel lokasyona gelip teslim etmesi ve kimliğini kanıtlaması gerekir.

Uzaktan Edinim (Dijital Edinim): Şirketin müşterisi olma süreci tamamen uzaktan sürdürülür ve bütün dökümanlar ve kontroller dijital bir cihaz üzerinden tamamlanır. Uzaktan edinim başvuru sürecinin tamamlanabileceği en hızlı metoddur.

Müşteri Edinimi & Üye İşyeri Edinimi

Müşteri Edinimi

Müşterinizi Tanıyın (Know Your Customer) olarak da bilinen Uzaktan Müşteri Edinimi, özellikle bankacılık ve sigortacılıkta olmak üzere finansal sektörde geniş çaplı kullanımı olan bir uygulama. Bu süreç müşterinin kimliğini saptamayı ve doğrulamayı da kapsıyor. Doğrulama kısmında mail ya da sms göndermek veya video ile müşterini kimliğini saptamak gibi metotlar kullanılıyor, fakat burada esas olan bütün yöntemlerin otomatize bir şekilde ve tamamiyle dijital cihazlar üzerinden gerçekleştiriliyor olması. Uzaktan edinim sayesinde bir kişi dakikalar içerisinde bir bankanın ya da sigorta şirketinin müşterisi olabilir, hesap açabilir, kredi kartı alabilir hatta kredi başvurusunda bulunup, onaylanabilir. 

Forrester’ın bir araştırmasına göre müşterilerin %66’sı, iyi bir müşteri deneyiminin en önemli unsurunun harcadıkları vakte dikkat edilmesi ve değer verilmesi olduğunu düşünüyor. Oracle tarafından gerçekleştirilen bir başka çalışma ise müşterilerin %89’unun kötü bir müşteri deneyimi sonrasında, rakip bir firma ile çalışmaya başladığını gösteriyor. Bu istatistikler edinim sürecini kısaltmanın ve optimize etmenin ne kadar önemli olduğunu göstermekle birlikte, bunu başaramayan bir şirketi bekleyen muhtemel sonuçları da göz önüne seriyor.

Üye İşyeri Edinimi

İşlem hacmini arttırabilmek için bankalar ve ödeme sistemi sağlayıcıları sürekli olarak yeni üye işyerleri edinmek durumundalar. E-ticaret sektörü son 15 yıldır sürekli olarak büyüse de, şirketlerin yeni üye işyeri edinerek yüksek kar elde etmelerinin önünde hala engeller var.

İlk engel, üye işyeri tarafındaki bilgi azlığı. Çoğu üye işyeri edinim sürecinin nasıl işlediğine dair bilgi sahibi değil ve başvuru yapıp onaylanmanın uzun zaman alacağı kanısında. Bu yüzden, kendilerine sunulacak asıl servisin kalitesine çok önem vermeden, hızlı ve kolay bir edinim süreci vaad eden ilk üçüncü parti servis sağlayıcısı ile çalışmak durumunda kalıyorlar.

Yüksek kar elde etmenin önündeki ikinci engel ise yeni yöntemlerin ve teknolojilerin kullanılmaması durumunda edinim sürecinin oldukça maliyetli olması. Geleneksel üye işyeri edinimi, dokümanların basılı kopyalarının incelenmesi, manuel kontroller, veri girişi ve özet tabloların takibinin yapılması gibi oldukça zaman ve işgücü gerektiren adımlar içeriyor. Bu adımlar bir seferlik düşünüldüğünde önemsiz gibi gözükse de, her başvuru için tekrarlandığında maliyetin kayda değer bir şekilde artmasına ve üye işyeri ediniminin karlılığının azalmasına sebep oluyor. Ek olarak, bu manuel süreç çoğu zaman öznel kararların alınmasına yol açıyor ve uzun vadede riskli bir portföy oluşmasına sebep oluyor. 

Bu bilgiler eşliğinde şu sorunun akıllarımıza gelmesi kaçınılmaz oluyor: Bankalar ve ödeme sistemi sağlayıcıları üye işyeri edinim süreçlerini başvuru süresini kısaltacak ve karlılığı arttıracak şekilde nasıl dönüştürebilir?

Uzaktan Üye İşyeri Edinimi: Hızlı, Güvenli ve Uygun Maliyetli

Uzaktan üye işyeri edinimi şirketlerin başvuru süreci için harcadıkları zamanı azaltıyor ve üye işyerlerine mümkün olan en kısa sürede cevap vermelerini sağlıyor. Bu, olası müşterilerin başvuru sürecinde rakip firmalara gitmesi ihtimalini azaltmasına ek olarak, dış kaynak kullanımı ve otomasyon sayesinde maliyeti de azaltıyor. 

PCI Checklist’in “Edinim Güvenlik Taraması”, üye işyeri edinim süresini yalnızca 5 dakikaya düşürüyor. Banka veya ödeme sistemi sağlayıcısının yapması gereken tek şey, ilgili iş yerinin web sitesinin adresini PCI Checklist’in kullanımı kolay paneline yazıp “tara” seçeneğine tıklaması oluyor. Bu basit eylem bile bir API entegrasyonu ile elimine edilebilir. Tarama başladıktan sonra, PCI Checklist’in son teknoloji kullanılarak tasarlanmış sistemi, gerekli kontrolleri sağlıyor ve 70’ten fazla kontrol noktası ve bir ürünün sepete atılması adımından ödeme adımına kadar bütün sayfaların ekran görüntülerini içeren bir rapor oluşturuyor. 

5 ila 10 dakika arasında otomatik olarak oluşturulan bu rapor, banka ve ödeme sistemcilerine yalnızca teknik bilgi değil, aynı zamanda başvuru yapan üye işyerinin müşterilerine sağladığı alışveriş deneyimine dair bilgi sunuyor. PCI Checklist’in hizmetinden yararlanarak, şirketler edinim raporuna kendi görsel ve dökümanlarını da ekleyerek bir edinim arşivi yaratma imkanı buluyorlar. 

Bütün edinim adaylarının Firmadan Müşteriye (Business-to-Consumer) iş yapmadığını göz önünde bulunduran PCI Checklist, Firmadan Firmaya (Business-to-Business) iş yapan adayların da başvuru sürecini otomatize etmeyi mümkün kılıyor. Banka ve ödeme sistemcileri deneme amaçlı bir kullanıcı adı ve şifre bilgisini, web sitesinin adresi ile birlikte PCI Checklist’in paneline girdiği takdirde, Edinim Güvenlik Taramasını bütün portföyü için kullanabilir hale geliyor.

Bankalar ve ödeme sistemcileri, edinim kararını vermek için aynı zamanda tarama sonucunda oluşturulan güvenlik puanını da kullanabilirler. Kontrol noktaları ve ekran görüntülerine ek olarak edinim raporu, 0 ila 100 arasında değişen bir güvenlik puanını da içeriyor. Sistemi kullanan şirketler belli bir güvenlik puanını kendileri için eşik olarak belirleyebilir ve bu puanın altında kalan üye işyerlerinin başvurularıyla ilgili hızlıca karar alabilir. Karar verme sürecinin bu şekilde değişmesi, öznel kararların alınmasını minimuma indiriyor ve güvenli bir portföy oluşturmanın önünü açıyor. PCI Checklist’in Edinim Güvenlik Taraması, sürekli büyüyen bir kullanıcı kitlesine sahip ve şimdiye kadar 4300’den fazla üye işyerinin taranıp, edinim kararı verilmesi ve uygun üye işyeri indirim oranının belirlenmesi için kullanıldı. 

Verisk Financial’a göre, geleneksel edinim süreci şirketlere 35 ile 100$ arasında bir fiyata mal oluyor ve 6 güne kadar uzayabiliyor. Uzaktan edinim ile maliyeti %90’a kadar düşürmek ve süreyi 5 dakikaya kadar indirmek mümkün. Güvenlik ve objektif karar alma açıları da göz önüne alındığında, edinim sürecini dijital dünyaya taşımak şirketler açısından verilecek en mantıklı karar gibi gözüküyor.

SaaS Şirketleri için Dijital Pazarlama

SaaS Şirketleri Ne İş Yapar?

SaaS sektörü 2019’dan beri pazardaki en hızlı büyüyen sektör oldu. Pazarın bu parçası her geçen gün ile daha da büyüyor ve ürettiği yıllık ciro yüz milyar doları geçiyor. Şirketler bu teknolojileri son yıllarda kapsamlı olarak kullanıyor. Bu teknolojilere sadece 2 yıl önce harcadıklarından %50 daha fazla harcıyor olmaları bunun bir kanıtı olarak gösterilebilir.

Ama önce, bir SaaS şirketi nedir, buna bakalım. SaaS kelimesinin açılımı “software as a service”, ki bu Türkçe ’ye “bir hizmet olarak yazılım” şeklinde çevrilebilir. Bu şirketler sunucuları üzerinde bir yazılıma ev sahipliği yapıyor ve kullanıcıları da bu hizmete internet aracılığıyla ulaşabiliyor. Daha yeni oldukları dönemde bu hizmetler sadece internet tarayıcıları üzerinden erişilebiliyordu, fakat artık çok sayıda platform üzerinden ulaşılabilir hale geldiler. Pek çok SaaS uygulamasına telefonlar ve hatta televizyonlardan erişilebiliyor artık. En çok kullanılan SaaS uygulamalarından bazılarını inceleyerek başlayalım:

  • Müşteri Kaynak İdaresi, şirketlerin müşteri bilgisini kaydetmesini ve satışlarını takip etmelerini sağlar.
  • Girişim Kaynağı Planlaması, büyük şirketler için uygun, çok sayıda farklı SaaS uygulamasının bir araya getirildiği bir SaaS ağıdır.
  • Muhasebe ve faturalandırma hizmetleri ile şirketin finansal işleri idare edilebilir.
  • Proje idare hizmetleri partnerler arası işbirliği ve iletişimin verimliliğini arttırmayı sağlar.
  • Ağ ev sahipliği ve elektronik ticaret hizmetleri ile şirketler çevrimiçi imajlarını sürdürebilir.
  • İnsan Kaynakları hizmetleri ile kuruluşlar işe alım sürecini kolaylaştırabilir ya da çalışanlarının zaman çizelgesine erişimini sağlayabilir.
  • Veri idare hizmetleri büyük şirketlerin veri tabanlarını düzenlemelerinde ve saklamalarında, ayrıca bu verilere kolayca ulaşmalarında yardımcı olabilir.
www.blissfully.com/saas-trends

Hizmetleri ne kadar hayat kolaylaştırıcı olsa da, tabii ki SaaS şirketleri de her şirket gibi kitlelerini bulup bu kitlelere ulaşmak zorunda. Bunun için kullandıkları kimi pazarlama stratejilerinden bahsedeceğiz.

Freemium Modeli

Ticari bir bakış açısıyla ilk bakışta mantıksız görünse de SaaS şirketlerinin hizmetlerinin en az bir kısmını ücretsiz olarak sunması iş için faydalı bir durum. Kullanıcıların bu hizmetleri kısıtlı olarak da olsa ulaşmasını sağlamak, SaaS uygulamalarının kullanıcı tabanını genişletmesine yardımcı oluyor.

Büyük bir kullanıcı kitlesi ile SaaS uygulamaları reklam aracılığıyla da ciro üretebilir ve görünürlüğünü artırabilir. Dahası, bu ücretsiz kullanıcılardan ücretli tarifelere abone olanlar olabilir. Bunu düşünerek, çok sayıda uygulama farklı ücretlendirmede farklı abonelik planları sunar. Daha yüksek ücretli tarifeler tabii ki daha iyi hizmet sunma vaadi verir. Bu modele ücretsiz anlamına gelen “free” ve Premium kelimelerinin birleşimi olan “freemium” adı verilmiştir.

Bu modelin bir norm haline gelmesiyle, artık müşteriler de kendilerine sunulan hizmetin en azından “deneme versiyonuna” ücretsiz olarak ulaşabiliyor olma beklentisinde.

 

bmtoolbox.net/patterns/freemium

Referans Pazarlaması

Ciro üretmenin en önemli noktalarından birisi, bu ciroyu sağlayacak büyük bir tabana sahip olmak. Ve tabii ki, tabanını genişletmenin en önemli noktalarından birisi de görünürlüğünü artırarak daha fazla müşteriye ulaşmak.

Her ne kadar insanlara ulaşmanın çok yolu olsa da ulaştığınız her insanın sunduğunuz hizmete ihtiyacı yok, ve insanları bu şekilde filtrelemek de pek kolay değil.

Müşterilerinizi çevrelerine sizin hizmetinizin reklamını yapmaya teşvik etmeye referans pazarlaması deniyor ve geniş kitlelere ulaşabilmek için önemli bir araç. Bu teşvik bir ödül sistemi aracılığıyla yapılıyor. Örnek vermek gerekirse, bir veri depolama hizmeti olan Dropbox, bir başka kullanıcıya referans olan kullanıcılara 500 megabyte fazladan depo alanı vererek kullanıcı kitlelerini %3900’dan büyük bir oranla artırdı, hem de 15 aydan kısa bir sürede!

Çoğu uygulama bu ödüllerin de reklamını yapabilmek için e-posta ya da uygulama içi bildirimlerden faydalanıyor.

Kullanım Kolaylığı

Çevrimiçi ortamda çoğu kullanıcının beklentisi aradıkları hizmete hızlı ve kolay bir şekilde erişebilmek. Eğer süreç kullanıcıların sinirini bozarsa, kullanıcılar kolayca fikirlerini değiştirip dikkatlerini bir başka tarafa çevirebilirler. Bu açıdan, hizmetin mümkün olduğu kadar hızlı ve kolay olması kritik önem taşıyor.

Bu sebepten ötürü, çoğu şirket böyle durumlarda müşteri kaybetme ihtimalinin en yüksek olduğu noktaları saptayarak bu duruma müdahale etmiş. Bu noktalardan bir tanesi oturum açmak mesela. Bir hesap açmak için bütün o bilgileri girmek kullanıcılara uzun ve zor gelebiliyor. Ama Google veya Facebook gibi üçüncü parti uygulama hesapları ile erişim sağlayabilmek kullanıcılara bu konuda büyük bir kolaylık sağlıyor ve bu süreci sadece bir butona tıklamak kadar kısa bir hale getiriyor.

Müşterilerin üşenip geri döndüğü noktalardan bir tanesi de bir sürü bilginin girilmesini gerektiren ödeme ekranı. Ödeme ekranının ağzına kadar boşluklarla dolu tek bir sayfadansa birden fazla sayfadan oluşması daha az korkutucu gelebiliyor. Ayrıca, ödemeyi misafir kullanıcı olarak yapabilmek de bir artı. Çünkü insanlar ödeme sayfasına gelebilmek için bir hesap oluşturmak zorunda olmaktan hoşlanmıyor, fakat zaten girilmiş olan bilgilerle kolayca bir hesap oluşturabiliyor. Bu oluşturulan hesap daha sonraki işlemlerde kullanıcıya kolaylık sağlıyor ve daha sonraki işlemlerde yine aynı uygulamayı tercih etme eğilimini artırıyor.

Çok fazla verinin girilmesinin zorunlu olması da negatif bir durum, çünkü müşteri hizmetin kendisine bir an önce iletilmesini istiyor.

Görünürlük ve Arama Motoru Optimizasyonu (SEO)

Kitlelerine erişmek isteyen şirketler için, Google’da arandıklarında en üstte çıkmaları çok önemli. Ödemesiz olarak ve sadece algoritmaya dayalı olarak hesaplanan trafiğe organik arama deniyor ve büyümek isteyen şirketlerin bu algoritmayı kendi lehlerine kullanması gerekli. Bu konuda içerik anahtar kelimelerinin özenle seçilmesi önem taşıyor.

Kimi şirketler ise arama motorlarına ödeme yaparak aramaların en üstünde çıkmayı tercih ediyor. Bu yönteme ödemeli arama deniyor.

Ayrıca, şirketler potansiyel müşterilerinin onları arayabileceği başka platformları da, örneğin Facebook gibi, hesaba katmalı. Farklı arama algoritmalarına sahip bu platformlar için stratejilerin güncellenmesi gerekebilir.

Kimi SaaS uygulamaları ise LinkedIn gibi platformlar ile partnerlik yaparak kendi uygulamalarında yetkinliğin iş nitelikliliği olarak listelenmesini talep ediyor.

Modern çağda, Twitter ve Instagram hashtagleri, ayrıca sektörde nüfuz sahibi sayılan “influencer” kişiler tarafından paylaşılmak da bilinirliği artırabiliyor. Farklı platformlarda farklı kitleler olduğu göz önünde bulundurularak reklam içerikleri de değiştirilebilir.

Sonuç

Tüm hizmetlerin dijitalleştiği bir çağda, SaaS şirketlerinin yaygınlaşması pek de şaşırtıcı değil. Sadece büyük ticari şirketler değil, serbest çalışanlar da bu hizmetlere bağımlı hale gelmiş durumda.

İnternette istediği hizmete istediği gibi ulaşabilme kolaylığı online şirketlere pazarda bir yer açarak fayda sağladı. Fakat kullanıcıların kolayca kullanacakları uygulamayı değiştirebiliyor olması çetin bir rekabet ortamı yarattı. Yukarıda bahsettiğimiz pazarlama stratejilerinin iyi kullanılması, bu ortamda hayatta kalabilmek için bir zorunluluk artık.

Büyük SaaS şirketleri, başarılarını kolay kullanım, büyük bir kullanıcı kitlesi ve iyi bir bilinirliğe erişmiş olmak ile kazandılar. Endüstri böylesine bir ivme ile her geçen gün daha da büyürken, daha birçok yeni SaaS uygulamasının hayatımıza gireceğini ve gerek işyerinde gerek günlük hayatımızda vazgeçilmez hale geleceğini öngörmek pek de zor değil.

Referanslar

  1. https://digitalguardian.com/blog/what-saas-company
  2. https://blog.hubspot.com/service/top-saas-companies
  3. https://blog.hubspot.com/marketing/strategies-saas-businesses-grow
  4. https://www.kalungi.com/blog/digital-marketing-strategy-for-saas-companies-in-competitive-markets
  5. https://neilpatel.com/blog/how-saas-marketing-is-different/
  6. https://www.singlegrain.com/saas/saas-marketing-strategies/

Finansal Teknoloji Nedir?

Finansal teknoloji ya da daha sık duyduğumuz haliyle ‘Fintech’, finansal servislerin kullanılmasının ve kullanıcılara ulaştırılmasının otomatize edilebilmesi amacıyla yeni araçların geliştirilmesidir. Hayatın her alanında gerçekleştirilen işlemlerin daha hızlı ve kolay olmasının istenmesi nedeniyle, finansal teknoloji sektörüne olan ilgi gün geçtikçe artmaktadır. Bu alan 21.yüzyılda ortaya çıkmıştır ve bankaların ve diğer finansal kuruluşların öneminin artması ile yükselişe geçmiştir. Günümüze geldiğimizde ise, sektördeki yatırımların ve buluşların odağının müşteriye kaydığını gözlemliyoruz, geliştirilen yeni araçların çoğu finansal süreçleri müşteri açısından basitleştirmek amacını taşıyor.

Sayılarla Finansal Teknoloj

Finansal Teknoloji şirketleri son 20 yıldır küresel olarak sürekli artan bir ilgiyle karşılaştı. Her geçen yıl, artan miktarlarda yatırım aldılar ve ekonomiler için katma değer yaratmaya devam ettiler. Şimdi bu ilginin istatistiklere nasıl yansıdığına bir göz atalım.

KPMG’nin yayınladığı bir rapora göre, finansal teknoloji şirketleri 2019 yılında küresel ölçekte 135.7 milyar dolar yatırım aldılar. 

2015 yılında Goldman Sachs, finansal teknoloji şirketlerinin, finansal kuruluşların bugün kazandığı 4.7 trilyon doları ele geçirmesini beklediğini açıkladı.

Cornerstone Advisors’ın bir araştırmasına göre, Birleşik Devletlerdeki kredi birliklerinin %60’ı ve bankaların %49’u finansal teknoloji şirketleri ile yapılacak işbirliklerinin kurumlarına katkı sağlayacağı kanısında.

Danışmanlık şirketi McKinsey’nin, finansal teknoloji marketinin %25’inin online ödeme çözümlerinden oluştuğunu belirtti.

KPMG’nin 2018 tarihli bir çalışmasına göre, Asyadaki finansal teknoloji marketi 516 anlaşma ile bir yıl içinde 22.65 milyar dolar kazandı ve küresel olarak ikinci sıraya yükseldi.

Marketin Kilit Oyuncuları

Finansal teknoloji ekosistemi, teknolojiyi üreten firmalardan, bu teknolojiyi kullanan finansal kuruluşlardan ve tüketicilerden oluşuyor. Finansal teknoloji sektörünün temel müşterileri bankalar, bankların iş partnerleri ve e-ticaret firmaları. Bu alanda teknolojiyi büyük oranda üreten şirketleri aşağıdaki şekilde kategorize edebiliriz:

Elektronik para ve kripto para üreticileri,

Açık bankacılık şirketleri,

Insurtech (Sigorta Teknolojileri) şirketleri,

Blok zinciri teknolojisi,

Siber suçlarla ve veri depolanması alanında çalışan siber güvenlik firmaları,

Bilişim sistemlerinin yöntemlerini mevzuat oluşturma süreçlerine uygulayan Regtech (Regulatory Technology) firmaları,

Algoritmaları kullanarak finansal araçlar oluşturan ve danışmanlık hizmeti veren Robo-Danışmanlık şirketleri.

Fintech’i Gelecekte Neler Bekliyor?

Finansal teknoloji sektöründe yenilikler ve yatırımlar artarak devam edecek mi yoksa Covid 19’un etkileri bu sektörde de hissedilecek mi? 2020 yılının ilk çeyreğinde yatırımlar düşüşe geçse de, çoğu finansal kuruluş hala finansal teknoloji şirketleri ile iş ortaklığı yapmayı planlıyor.

PwC’nin bir raporuna göre geleneksel finans şirketlerinin %82’si, gelecek üç ile beş yıl içinde fintech firmaları ile ortaklık yapmayı planlıyor.

Market Data Forecast ise fintech marketinin 2025 yılına kadar %22 büyüyerek değerinin 305 milyar dolara ulaşmasına öngörüyor. Covid 19 finansal teknoloji sektörünü bir nebze yavaşlatmış olsa da fintech şirketleri için önümüzdeki seneler oldukça umut verici gözüküyor.

Ödeme Sistemi Sağlayıcıları: Sorunlar ve Çözümler

E-ticaret uzun bir süredir hayatlarımızın önemli bir parçası ve Covid 19 döneminde online alışveriş alışkanlığımız daha fazla güçlendi. Bu normal zamanlardan çok daha fazla online ödeme yaptığımız anlamına geliyor, fakat yaptığımız bu ödemelerin ne kadar güvenli olduğu sorunu tam olarak yanıtlanmış değil.

Stata’nın sunduğu bir rapora göre, Türkiye’de 2021 yılında yapılacak online ödemelerin toplamının 52 milyon doları aşması bekleniyor.

Marketsandmarkets’ın bir başka araştırmasına göre ise küresel online ödeme marketinin 2025 yılında 154.1 milyar dolara ulaşacağı öngörülüyor. Bankaların çoğu üye işyerlerini düzenli olarak tarayarak ve edinim süreçlerini geliştirerek ödeme güvenliğini arttırmaya çalışsa da, ödeme sistemi sağlayıcıları bu konuda geliştirmeler yapmak için daha isteksiz gözüküyor. Şimdi ödeme sistemi sağlayıcılarının karşılaştığı sorunlara ve çözüm olarak neler yapabileceklerine birlikte bakalım.

Bilgi Gizliliği

Birçoğumuz e-ticaret’i haftada en az bir kere kullanıyoruz fakat bu sık kullanıma rağmen gerçekleştirdiğimiz her işlemde ne kadar veri üretildiğini bilmiyoruz. Şirketler ne aldığımız, nereden ve ne zaman aldığımız verilerine ek olarak, gizlilik politikalarına bağlı olarak kişisel veri de toplayabiliyorlar. Aslında, çoğu internet kullanıcısı için anonim olabilmek ya da en azından kişisel verilerinin ne kadarını paylaşmak durumunda kalacağı bilmek, hangi ödeme yöntemini kullanacağını belirlemede kilit unsur oluyor. Bu yüzden, ödeme sistemi sağlayıcıları veri toplama ve depolama yöntemlerini, müşterileri ve üye iş yerlerini online ödeme ekosisteminden uzaklaştırmayacak şekilde geliştirmeli.

Veri İhlali Riski

Son dönemlerde ödeme ekosisteminde gerçekleşen inovasyonlar, insanların istediklerini temin etme sürecini kolaylaştırdı ve hızlandırdı. Ancak, bununla birlikte siber suçlular daha sofistike yöntemler geliştirdiler ve kişisel verilerin çalışması ihtimali de yükseldi. Online ödemelerde veri ihlali, hackerların müşterilerin kişisel bilgilerini ve kart veya banka hesabı bilgilerini çalması ile gerçekleşebilir. Hackerlar bu bilgileri dark web’de satarak ya da o kişinin bilgileri ile alışveriş yaparak kullanabilir. Siber suçlular bu bilgilere, e-ticaret sitelerinde bulunan zafiyetleri kullanarak ulaşabilir ya da spam mesaj ve oltalama yöntemlerini kullanabilir.

Interpol tarafından hazırlanan bir rapora göre, 2020’nin ilk dört ayında 700 kötü amaçlı yazılım saldırısı, 900,000 spam mesajı ve 48,000 kötü amaçlı alan adı tespit edildi. Bu veri online ödemelerde tehdit alanının ne kadar büyüdüğünü açıkça gösteriyor.

Çözüm Üretmek

Ödeme sistemi sağlayıcıları çok sayıda üye işyeri ile çalışıyor, bu yüzden ödeme güvenliği sorununu çözmek zorlayıcı gözükebilir. Çalışmaya başlayacakları üye işyerleri için risk yönetimi alanında yeni çözümler üretseler bile, portfolyolarının tamamının standartlara uygun olup olmadığı belirlemek içinden çıkılamaz bir hale gelebilir. Bu nedenle, ödeme sistemi sağlayıcılarının hem portfolyolarındaki zafiyetleri belirleyebilecek hem de edinim sürecini geliştirerek uzun dönemde güvenlik sorunlarını azaltacak bir çözüme ihtiyacı var.

İyi Bir Örnek: SiPay ve PCI Checklist İşbirliği

Dinamik ve yaratıcı çözümleriyle tanınan ödeme sistemi sağlayıcısı SiPay, ödeme güvenliğini geliştirmek adına PCI Checklist ile iş birliği yaptı. PCI Checklist, bankalar ve ödeme sistemi sağlayıcıları için tasarladığı Fintech Security Accelerator (FSA) ürünü ile SiPay’in edinim sürecini hızlandıracak ve geliştirecek. Buna ek olarak, üye işyerlerinin periyodik taranması sayesinde SiPay, her bir üye işyerinin güvenlik puanını ve sahip olduğu zafiyetleri görebilecek, güvenlik duruşlarının geriye dönük takibini yapabilecek. PCI DSS uyumluluğu bulunan SiPay, güvenlik sorunlarını çözerek hem müşteriler hem de üye işyerleri için nasıl birinci tercih olunacağına dair mükemmel bir örnek oluşturuyor.

Online ödemelere olan talebin yakın zamanda düşmeyeceğine kesin gözüyle bakabiliriz, bu nedenle ödeme sistemi sağlayıcılarının, tıpkı SiPay’in yaptığı gibi, güvenlik alanında sorunlarını belirlemesi ve gereken çözümleri uygulaması, ödeme ekosisteminde varlıklarını koruyabilmeleri için hayati önem taşıyor.

PCI Checklist’in CEO’su Kıvanç Harputlu, Finansal Teknoloji Programında

11 Kasım 2020’de, PCI Checklist’in CEO’su Kıvanç Harputlu online alışverişte ve ödemelerde görülen artış trendini ve siber güvenlik risklerinde meydana gelen değişimleri konuşmak için Sefer Yüksel tarafından sunulan, Bloomberg HT’de yayınlanan Finansal Teknoloji programına katıldı. E-ticaret sitelerinin uğradığı siber saldırı türleri ve bu saldırıları bölgelere göre değişimi de konuşulan konular arasındaydı.

Kıvanç Harputlu’nun paylaştığı dikkat çekici istatistiklerden biri de Ocak 2020’den bu yana perakende sektöründeki online ödemelerde gerçekleşen %26 oranındaki artıştı. Yaz boyunca Covid 19 önlemlerinin gevşetilmesi sebebiyle, insanların fiziki mağazalardan alışveriş yapma şansı olmasına rağmen, Ekim ayından itibaren online ödemelere olan talep tekrar artmaya başladı. Supermarket kategorisi %89’luk artışla online ödemelerde en büyük sıçrayışı gördü. Turizm ise online ödemelerin düştüğü nadir kategorilerden biri oldu fakat seyahat yasaklarını hesaba kattığımızda bu sonuç çok şaşırtıcı olmuyor.

Statista’nın araştırmasına göre e-ticaret satışları için beklenen küresel yıllık bileşik büyüme oranı %8.1, aynı oran Türkiye içinse %20.2 olarak hesaplanmış. Bu büyüme oranı ile Türkiye, dünyada e-ticaret satışlarının en çok büyüyeceği ülke konumuna geliyor, ikinci ülke olan Arjantin’in büyüme oranı ise %16. Kıvanç Harputlu, Türkiye için hesaplanan bu oranı yalnızca Covid 19’un etkisi ile açıklamanın yanlış olacağı kanısında ve bankaların, ödeme sistem sağlayıcıların ve finansal teknoloji sektöründeki diğer önemli oyuncuların sürekli bir şekilde altyapı oluşturma çabalarına dikkat çekiyor. Olumlu gelişmelerin yanında, artan online ödeme hacminin sorunlara yol açması da kaçınılmaz. Siber suçlular da yükselen online işlem hacimleri ile birlikte kredi kartı ve kişisel bilgileri çalabilmek için daha fazla fırsatları olduğunun farkında.

Program esnasında paylaşılan bir diğer önemli araştırma ise Verizon tarafından yayınlanan Veri İhlalleri Araştırması Raporu. Bu rapora göre, saldırıların %91’i finansal veri elde etme amacıyla finans ve sigorta sektörlerini hedef alıyor. Perakende sektörüne odaklandığımızdaysa bu oran %99’a ulaşıyor ve bu değişim bize siber suçlular açısından finansal veri elde etmenin perakende sektörünü hedef aldıklarında daha kolay olduğunu gösteriyor. Bu durum finansal kuruluşlar ile küçük ve orta ölçekli e-ticaret siteleri arasındaki bütçe farklılıkları ile açıklanabilir. E-ticaret siteleri genellikle daha küçük ölçekli bütçelere sahip oluyorlar ve siber güvenlik alanında çalışan eleman sayısı daha az oluyor. Bu faktörler, e-ticaret sitelerini siber güvenlik saldırılarına etraflıca hazırlanmış olan finansal kuruluşlara kıyasla daha çekici hedefler haline getiriyor.

Kasım ayı sunulan kampanyalar ve indirimler nedeniyle, online ödemeler açısından özellikle önemli. Şükran Günü, Kara Cuma ve Siber Pazartesi Kasım ayında yer alıyor ve çoğu e-ticaret sitesi siber saldırılar ve güvenlik açıklarıyla birlikte senelik gelirinin çoğunu bu ayda kazanıyor. Kıvanç Harputlu, güvenlik açıklarını önlemek adına, bankaların, ödeme sistemi sağlayıcılarının ve e-ticaret sitelerinin siber güvenlik konusunda birlikte çalışması gerektiğinin altını çiziyor ve konu hakkında farkındalık yüksek olsa bile, siber saldırıları tamamen bitirmek adına halen katedilecek çok yol olduğunu belirtiyor.

Bayram Sezonu E-Ticaret ve Siber Güvenliği Nasıl Etkiliyor?

E-Ticaret (elektronik ticaret veya internet ticareti) çevrimiçi para ve veri işlemlerini kullanarak ürün veya hizmetleri evinizin rahatlığında satın almanızı ve satmanızı sağlar.

Yeni ürünleri bulma ve alışveriş kolaylığının yanı sıra Covid-19 vakalarının artışı nedeniyle e-ticaret gittikçe daha fazla ivme kazanıyor ve e-ticaret için en yoğun zaman da kuşkusuz bayram dönemleri.

Ancak şimdi, her zamankinden daha fazla sormamız gereken bir soru bilgilerimizin bu web sitelerinde gerçekten güvende olup olmadığı.

Dolayısıyla bu yazıda, bayram sezonunun hem e-ticareti hem de siber güvenliği nasıl etkilediğine bakacağız.

Bayram Sezonunda Ne Oluyor?

Çevrimiçi mağazaları ziyaret eden kişi sayısı artar. Statista’dan alınan aşağıdaki grafikten görülebileceği üzere, 2008’den bu yana bayram dönemlerindeki satışlar her yıl artan bir eğilim göstermiştir. Hatta, e-ticaret kullanan insan sayısı 2020 Şükran Günü’nde tüm zamanların en yüksek seviyesindeydi.

Forbes, Adobe Analytics’e göre Siber Pazartesi harcamalarının bu yıl geçen yıla göre 15.1% artarak 10.8 milyar dolarlık çevrimiçi satışla sonuçlandığını bildirdi. Ayrıca CNBC, Kara Cuma’da e-ticaret kullanımının 52% arttığını bildirdi.

Amazon ve Walmart gibi büyük şirketler Kara Cuma hafta sonunda e-ticarette artış yaşadı: Bütün çevrimiçi satışların payı geçen yıla göre 14.4 puan artarak 38.4% oldu.

Online alışveriş hakkında konuşurken genelde büyük firmaları düşünme eğilimindeyiz, ama bayram dönemlerinde e-ticaretten sadece onlar mı kazanç sağlıyor?

Her İşletme E-Ticareti Kullanabilir Mi?

Evet kullanabilirler ve kullanmalılar. Günümüzde BigCommerce ve Shopify gibi platform sağlayıcıları sayesinde çevrimiçi bir perakende satış taktiği benimsemek oldukça kolay. Ayrıca, özellikle bayram sezonunda satışlar için harikalar yaratabilir.

BigCommerce, bu yıl Şükran Günü’nden Siber Pazartesi gününe kadar toplam satış miktarının 74% arttığını bildirdi. En çok alım Kara Cuma günü yapılmasına rağmen, bayramın Pazar günü brüt gelirde 86% oranında rekor bir artış görüldü.

Ayrıca tatil döneminde verilen sipariş sayısında da geçen yıla göre 48% artış görüldü.

Benzer bir şirket olan Shopify da Kara Cuma’dan Siber Pazartesi gününe kadar internet sitesi üzerinden alışveriş yapan kişi sayısının geçen yıla göre 50% arttığını ve 44 milyon civarında olduğunu bildirdi. Ayrıca toplam satışlar da 76% arttı.

Bu istatistikler, çevrimiçi perakende platformlarının hem büyük hem de küçük işletmelerin karlarını çokça arttırabileceğini gösteriyor. Veriler ayrıca insanların gitgide çevrimiçi alışverişi tercih ettiğini de gösteriyor.

Dolayısıyla, özellikle tatil dönemlerinde e-ticaret kültürünün bir parçası olmamak, işletmenizin dezavantajlı bir duruma düşmesine neden olabilir.

E-ticaret hakkında bu kadar konuştuktan sonra üzerinde durulması gereken bir diğer nokta da firmalara güvenerek paylaştığınız bilgilerinizin güvende olup olmadığı.

E-Ticaret Sitelerine Güvenebilir Misiniz?

Herhangi bir alışverişin temeli güvendir ve ticaret veya e-ticaret buna istisna değildir. Günün sonunda, alışveriş yapmak için genellikle kişisel ve kredi kartı bilgilerinizle web sitelerine güvenmeniz gerekir. O halde, bu sitelerin güvenlik sistemlerine güvenip güvenemeyeceğiniz hakkında biraz konuşalım

Siber Güvenlik Nedir?

Temel olarak şebekelerinizi dijital saldırılardan korumaktır. Bu dijital saldırılar, karmaşık hack’ler veya sosyal mühendislik gibi farklı biçimlerde olabilir. Şirketlerin bilgisayarlara ve internete olan bağımlılığı artarken, bu siber ortamda doğal olarak güvenliğe ihtiyaç duyulmaktadır.

Şirketlerin Neden Siber Güvenliğe İhtiyacı Var?

Hack’lenmek şirketlerin gizli bilgilerinin çalınmasına, sızdırılmasına neden olabilir ve ayrıca şirketleri yasal olarak tehlikede bırakabilir. Ayrıca, güven eksikliği nedeniyle müşterilerle olan ilişkilerini bozabilir. Günün sonunda güvenilirliği kaybetmek, kazanmaktan çok daha kolaydır.

Siber saldırıların sayısı tüm zamanların en yüksek seviyesinde: Accenturate’in Dokuzuncu Yıllık Siber Suç Maliyet Çalışması’na göre, işletmeler 2019’da ortalama olarak 145 güvenlik ihlali yaşadı ve siber saldırıların maliyetleri ve sonuçları için 13 milyon dolar harcadı.

E-ticaret platformları için bu saldırılar bayramlar gibi trafiğin yoğun olduğu tarihlerde artmakta. Bu tarihler daha fazla kullanıcı sayısı, daha fazla ödeme alınması ve daha fazla kişisel bilginin kaydedilmesi ile sonuçlandığından, bu da hedef alınabilecek daha fazla kişi anlamına geldiğinden bunun yaşanması da mantıklı. Geçtiğimiz yıllarda bayram sezonunda siber saldırılarda 57.5% artış kaydedildi. Bu saldırılar şirketlere bu kadar kayıp yaşatırken, işletmelerin kendilerini nasıl koruyabileceklerini merak edebilirsiniz.

İşletmenizi Nasıl Koruyabilirsiniz?

Olay şu ki, siber saldırıların yaşanması için çok karmaşık olmaları gerekmiyor. Sadece bir e-postanın ekini açmak, bu e-posta bir bilgisayar korsanından geliyorsa ve bu ek bir virüsse, büyük kayıplara neden olabilir. Bu nedenle ilk adım, karşılaşabilecekleri tehditlere karşı tetikte olmaları için çalışanları eğitmektir.

İkinci adım, çevrimiçi hizmetlerinizin hack girişimlerine karşı cidden de korunduğundan emin olmak ve üçüncü taraf yüklenicilerin güvenliğinizi değerlendirmesini sağlamaktır. Siber güvenlik şirketleri ve bir saldırgan açısından güvenlik açıklarını bulma konusunda uzmanlaşmış etik hacker’lar bu amaç için kullanılabilir.

Sonuncu olarak, tüm önlemler başarısız olursa ve bir siber saldırının gerçekleştiğini fark ederseniz hemen ne yapmanız gerektiğini bilmeniz için bir planınız olması önemlidir. Acil durumlarda her an önemlidir ve sağlam bir plana sahip olmak önemli bir fark yaratabilir.

Ne Yaşanabilir?

Siber güvenliğin önemi hakkında konuştuktan sonra, gerçek hayattan bazı örneklere bakalım.

BussinessInsider‘a göre 2018’de MyFitnessPal saldırıya uğradı ve 150 milyon kullanıcı adı, e-posta ve şifre çalındı.

CSO, 2014 yılında e-ticaret platformu eBay’in 145 milyon kullanıcısının adları, adresleri ve doğum tarihleri gibi hesap bilgilerine mal olan bir saldırıya uğradığını bildirdi.

HuffPost’a göre 2013 yılında Target, 110 milyondan fazla kullanıcısının kredi kartı bilgilerini tehlikeye atan ve CEO’sunun istifasına yol açan bir güvenlik ihlali yaşadı.

Sonuç

Verilecek çok çok daha fazla örnek olsa da ana fikir aynı. İnternetin alışverişte kullanımının artmasıyla siber güvenlik giderek daha önemli hale geliyor. İşletmenizi korumak ve bir siber saldırı yaşanmadan önce korunduğundan emin olmak bir zorunluluk.

2020 Yılında Siber Güvenlikte Neler Oldu?

2020 senesi siber saldırılar ve akabinde siber güvenlik açısından inanılmaz bir yıl oldu. Pandemi süreci siber saldırganlara pek çok olanak verirken, bu gücü kendi yararlarına kullanacakları çok açıktı. Pandemi sürecindeki temel açıklardan bazıları ofisteki sunuculara müdahale zorluğu ve çalışanların evden devam etmesinden kaynaklandı. Belki de çalışanlar evde olduğu için ofisteki müdahale hızını yakalayamadıklarından, ofisteki kapalı ağların ve sunucuların avantajlarından yararlanamadılar ve siber saldırganlara büyük bir fırsat sunulmuş oldu.

Bu yılki saldırılar yeni, yaratıcı ve inovatif şekiller alarak kullanıcıları hedef aldı, saldırganlar pandemi, koronavirüs ve aşıyı bahane eden yalanlar kullanarak crypto-jacking, ransomware, phishing, IoT yöntemleri üzerinden saldırılarını gerçekleştirdi. Bu saldırılar sonucu şirketler ve bireyler milyonlarca dolar zarara uğradı.

2020’nin sadece ilk 6 ayında, 80 firma veri güvenliği yönünden saldırıya uğradığını açıkladı. Phishing (oltalama) saldırıları önceki yıla göre 6 kat artış gösterdi. Koronavirüs bu süreçte büyük rol oynadı ve raporlara göre bankalara gerçekleşen saldırılarda %238 artış bildirildi. Ransomware olarak bilinen fidye saldırıları ise geçen seneye göre 1.5 kat artış gösterdi ve bu saldırılardan elde edilen gelir dünya çapında ayda 110 bin doları aştı. (Kaynak: Fintech News)

Bu gibi siber saldırılar gün aşırı artış gösterirken, siber güvenlik şirketleri ve siber güvenlik pazarı da gitgide büyüdü. Gartner’ın bir raporuna göre, bilgi güvenliği sektörünün pazar hacminin artışına bakılarak 2022 yılında 170 milyar dolarlık bir hacme ulaşacağı uzmanlar tarafından öngörüldü.

Şirketler ve bireyler için daha fazla saldırı daha fazla siber güvenlik önlemlerini resmen zorunlu kıldı. 2020 yılı için ödeme güvenliği ve üçüncü parti yazılımlar için neler değişti ve neleri beraberinde getirdi ve getirmeye devam edecek bir bakalım:

1.Giyilebilir Teknoloji ile Temassız Ödemeler

Dinamik PINler telefonlarımızda anlık olarak üretilen genellikle bankaların mobil uygulamalarında veya ATM’de bir işlem yapmaya çalıştığınızda üretilen kodlardır ve sizin olan ekstra bir cihaz kullanmayı zorunlu kıldığı için ekstra güvenlik sağlar. Dinamik PINler ve çok adımlı kimlik doğrulama gibi güvenlik önlemlerine ek olarak, giyilebilir teknoloji 2020 yılında git gide önem kazandı ve birçok ülkede bu teknoloji benimsendi ve dikkat çekmeyi başardı. 

NFC ve QR teknolojilerinin yardımıyla bu akıllı cihazlar, kimlik doğrulama ve para aktarma işleminiz için ek güvenlik sağlar. Üstelik, güvenliğe ek olarak, giyilebilir teknoloji daha hızlı kontrol sağlar ve kimlik avı, keylogger gibi yazılımlar ile tuş kaydı veya diğer dolandırıcılık yöntemleriyle yapılmaya çalışılan saldırıları veya ihlalleri önler. Giderek daha fazla satıcı bu değişime uyum sağlamaya çalışıyor ve her gün bu giyilebilir cihazlar aracılığıyla ödemeleri kabul etmeye başlıyor.

2.Token Yoluyla Tüketicinin Verilerinin Korunması

 

Tokenleştirmeden önce (token jeton anlamına gelir fakat tam anlamıyla bir Türkçe karşılığı yoktur bu yüzden olduğu gibi kullanalım), kredi kartının manyetik şeritlerle kopyalanması saldırgan açısından çok kolaydı. Sadece bir kopyalama cihazı gerekli olan tüm işi yapıyordu. Token teknolojisi ile birlikte, kredi veya banka kartları her ödemede bir token oluşturur ve her işlem için yeni şifreleme oluşturur. Hırsız, bilgiyi almayı başarsa bile, gerçek ödeme bilgileri işlem sahibinin diğer ucu tarafından başarıyla güvence altına alındığı için onu kullanamaz. Fakat şirketler ve bireyler token gibi konularda daha fazla bilinçlenmelidir.

Varonis raporuna göre, şirketlerin yalnızca yaklaşık %5’i siber saldırılara karşı düzgün bir şekilde korunuyor ve bu, hala çok sayıda saldırı açığının bulunduğunu ve şirketlerin korunmaya ihtiyaç duyduğu anlamına geliyor. Verizon’a göre ise, siber saldırıların %71’i finansal amaçlarla gerçekleştiriliyor. Bu veriler bize tokenleştirme gibi bir güvenlik önlemine her zamankinden daha fazla ihtiyaç duyulduğunu gösteriyor.

3.E-Ticaretin Güvenliğini Artırmak İçin 3D Secure Payments Teknolojisinde İyileştirmeler

 

2020 senesinde 3DS 2.0 teknolojisinin geliştirilmesi popülerlik kazandı. 3D Secure sistemi ilk olarak 1999’da masaüstü cihazlar için tasarlanmıştı. Bu sistemin eski olması nedeniyle, sistemde çok sayıda açık ve hata vardı.

Günümüzde e-ticaret sitelerinde yapılan işlemlerin yaklaşık %70’inin mobil cihazlar tarafından yapıldığı biliniyor. Bu, kişisel bilgisayarlarda hizmet vermek üzere tasarlanmış bir sistemin günümüz teknolojisinin gereksinimlerini karşılamak için yükseltmelere ve güncellemelere ihtiyaç duyduğu anlamına geliyor. Bu nedenle, 3DS 2.0 teknolojisi güvenlik uzmanları arasında popülerlik kazandı ve daha hızlı ödeme yöntemleri elde etmek için sürekli geliştiriliyor, eskisinden daha hızlı bilgi işliyor ve 3DS 2.0 teknolojisi sayesinde sistemin kimlik doğrulama hızının geçmişe göre bir hayli arttığını görüyoruz.

4.Ödeme Güvenliği, Müşteri Tercihinin Temel Nedeni Haline Geliyor

Forbes’a göre siber güvenlik, özellikle ödeme güvenliği alanında yapılan harcamalar 123 milyar dolar gibi oldukça yüksek bir rakama ulaştı ve bu harcamaların büyük bir kısmı bulut güvenliği, veri güvenliği ve diğer çeşitli güvenlik hizmetlerini içeriyor. Örneğin, bulut güvenliği harcamaları geçen yıl 439 milyon dolar civarındayken, 2020’de bu rakam 585 milyon dolardı ve bu talebi karşılayabilmek için doğal olarak güvenlik şirketlerinin sayısının arttığını görüyoruz.

Pazar sürekli büyüme eğiliminde olduğundan şirketlerin payına düşen gelir de artıyor. Ancak, bu şirketlerin tümünün ödemelerinizi güvence altına alması çok olası değil, pek çoğu saldırıya uğrayacak ve yalnızca alanında en iyiler gelecekte pazar lideri olacak. Örneğin, bu yıl Capital One saldırıya uğradı, 140.000 sosyal güvenlik numarası dahil 100 milyon kullanıcının kişisel bilgileri sızdırıldı ve 80.000 banka hesap numarası çalındı. Holding, güvenlik açığı olduğu ve bu açık için suçlu olduğundan dolayı 80 milyon dolar tazminat ödemeye mahkum edildi. Hiç kimse kişisel bilgilerini bu şekilde güvensiz bankalara vermek istemez ve bu nedenle güvenlik, kullanıcılar açısından hangi firmalarla çalışacağına karar verme aşamasında temel belirleyicilerden biri haline geliyor.

5.Gelişmiş Müşteri Kimlik Doğrulaması (SCA) Hızla İvme Kazanıyor

Siber saldırıların sayısının artmasıyla Gelişmiş Müşteri Kimlik Doğrulaması her geçen gün daha fazla dikkat çekiyor. Neredeyse her gün anında PIN’leri, iki aşamalı kimlik doğrulamayı, yanımızdaki fiziksel eşyaları (kimlik, kredi veya banka kartları) kullanıyor ve güvenlik sorularını cevaplıyoruz. Ancak bunlar bile bilgisayar korsanlarını önlemek için yeterli değil ve tüketiciler saldırılara maruz kalmaya devam ediyor. Sonuç olarak, gelişmiş müşteri kimlik doğrulaması, CNP’yi güvenli kılmak (Card Not Present’ın kısaltması = Müşteri Mevcut Değil olarak çevirebiliriz) ve çevrimiçi işlem saldırılarını önlemek için her zamankinden daha fazla önem taşıyor.

Şirketler, her bir müşteriye özel ve her işlem için benzersiz olan daha fazla kimlik doğrulama yöntemi uygulamak için sistemlerini geliştiriyor. Pek çok şirket, parmak izi, yüz tanıma veya retina taraması gibi biyometri yoluyla ödeme kabul etmeye de başladı

6.Online Mağazalar, Güvenlik Duvarlarına ve Antivirüslere Daha Fazla Önem Veriyor

Software AG Ransomware, Telegram Hijack ve Carnival Corporation Data Breach gibi 2020 yılında yaşanan en büyük saldırıları ve ihlalleri göz önünde bulundurarak, çevrimiçi mağazaların güvenlik duvarları ve antivirüsler gibi üçüncü taraf güvenlik araçlarını kullanması gerekli hale geldi. E-Ticaret sitelerine ek olarak, Zoom gibi evde kaldığımız bu günlerde en sık kullandığımız uygulamalar bile bu sene saldırıya uğradı. Bu nedenle, şirketler hem web sitelerini hem de veritabanı bilgilerini ve daha da önemlisi müşterinin verilerini korumaları gerektiğinin farkında. Bahsedilen saldırılar sonucunda, antivirüslerin, güvenlik duvarlarının önemi artmış, güvenlik duvarı ve bulut güvenliği pazarı popülerlik kazanmıştır. Konu ile ilgili hem şirket sayısı hem de uzman sayısı günden güne artmaktadır.

Bu makalede, 2020 yılında gerçekleşen çok sayıda güvenlik ihlalleri ve bu yılda popülerleşen teknoloji çözümlerini gördük. Siber güvenlik uzmanları, şirketlerin sistemlerini iyileştirmeye devam edecek ve büyük ihtimalle 2021’de bu trendler devam edecek, muhtemelen daha da güçlü bir hale gelerek giyilebilir cihazlar, SCA’lar, 3DS ve tokenların daha gelişmiş versiyonlarını hep beraber göreceğiz. Umarım makaleyi okumaktan keyif almışsınızdır, ekstra okuma ve referanslar aşağıdadır.

Kaynakça

  1. https://www.forbes.com/sites/louiscolumbus/2020/08/09/cybersecurity-spending-to-reach-123b-in-2020/?sh=1dbcc6b8705f
  2. https://www.varonis.com/blog/cybersecurity-statistics/
  3. https://corporate.freedompay.com/blog/top-5-payment-security-trends-in-2020/
  4. https://enterprise.verizon.com/resources/reports/dbir/
  5. https://pages.checkpoint.com/cyber-security-report-2020.html
  6. https://www.cira.ca/cybersecurity-report-2020
  7. https://www.isaca.org/go/state-of-cybersecurity-2020
  8. https://www.nytimes.com/2020/08/06/business/capital-one-hack-settlement.html

Covid-19 Sürecinde E-Ticaret

Modern zamanların en büyük krizi…Geçtiğimiz yüzyıl boyunca eşi benzeri görülmeyen bu pandemi tüm insanlığın hayatını kökünden değiştirdi. Birçok hükümet virüsün yayılmasını ve sağlık sisteminin çökmesini engellemek için sert önlemler almak zorunda kaldı. Potansiyel müşterileri evlerinde sosyal mesafe kurallarına uymaya çalışırken, kapatılma kararıyla karşı karşıya olan işletme sahipleri arasında ciddi problemler baş gösterdi. Sosyal mesafe ve sokağa çıkma yasakları işletmelerin büyük kısmını belirsiz bir süre için kepenk indirmeye itti. Buna rağmen özellikle tek kullanımlık temizlik ve hijyen ürünlerine ciddi bir talep artışı yaşandı. Geleneksel perakendecilik yüz yüze alışveriş, gereğinden fazla fiziksel temas ve kısıtlı hareket alanı gibi eksileriyle zorlanırken, internetin yaygınlığı ve gelişmiş kullanımı işletme sahiplerine müşterilerine ulaşma şansı sundu. Böylece e-ticarette tarihinin en büyük sıçraması yaşandı.

Covid-19 E-Ticareti Nasıl Etkiledi?

Covid-19 öncesinde internet kullanıcı sayısındaki büyük artış, online alışverişe karşı artan bilinç, internette satılan ürünlerin çeşitliliği ve toplu alımlar karşısında düşük birim fiyatlar gibi faktörler online alışverişin artmasını sağlayan faktörler oldu. Pandemi sonrası ise sosyal mesafe sebebiyle evde geçen sürenin artmasının müşterileri online alışverişe yönlendirmesi bekleniyor.

İşletme sahipleri Covid-19 sebebiyle satışlarını dijitale taşımak zorunda kalsa da dijital dönüşümün işlerine yaradığını söylemek yanlış olmaz. Pandemi sayesinde yeni bir iş kurmak kolaylaşırken müşteri profili genişledi ve online markete yeni ürün seçenekleri eklendi. Ekim 2020’de yayınlanan Birleşmiş Milletler Ticaret ve Kalkınma Konferansı raporuna göre gelişmekte olan Türkiye, Çin ve Güney Kore gibi ülkelerde pandemi öncesine göre çok daha fazla online alışveriş yapıldığı gözlendi. Buna karşın gelişmiş ülkelerde pandemi öncesi ve sonrası arasında büyük bir fark bulunmuyor. Önümüzdeki yıllar içerisinde ise gelişmekte olan ülkelerde e-ticaret müşteri sayısında artış bekleniyor.

Pandemi sürecinde e-ticaret sektörleri arasında en büyük artış sırasıyla bahçe-kendin yap, ilaçlar-sağlık ve elektronik ürünlerinde gözlemlendi. En aktif müşteri grubu ise kozmetik-kişisel bakım, dijital eğlence ve yiyecek-içecek kategorilerine ait. Ek olarak, gelişmekte olan ülkelerde Covid-19 sonrasında online alışverişte ve internetin sağlık araştırmaları için kullanımında artış bekleniyor. 

Gelecekte Çin ve Türkiye’den müşterilerin yüz yüze alışverişin yerine online alışverişe yönelmesi ön görülürken Almanya, İtalya, İsviçre ve Rusya’nın online ve geleneksel ticaret arasında daha dengeli bir eğilim sergilemesi bekleniyor.

E-ticarette,  Pandemi Sürecinde Hangi Sorunlar Gözlemlendi?

Pandemide yeni bir dalga ihtimali ve online alışverişin rahatlığı ve erişilebilirliği göz önünde bulundurulduğunda e-ticaretteki birçok değişimin uzun vadeli olduğunu söyleyebiliriz. Yine de tüm sorunlar çözülmüş sayılmaz. Hükümetlerin e-ticarete teşviki artırma çabalarına rağmen, e-ticarete adapte edilemeyen yönetmelikler yeni kurulan işletmeler için sorun teşkil ediyor. Aynı zamanda Birleşmiş Milletler Ticaret ve Kalkınma Konferansı raporuna göre 2017 yılında küçük ve orta ölçekli girişimlerin e-ticarete katılım oranı büyük ölçekli girişimlerin yarısından daha az. Özellikle düşük oranlarda dijitalleşme, yeni teknoloji hizmetlerine ulaşmada ve bunları uygulamada yaşanan güçlükler küçük ve orta ölçekli işletmelerin evden çalışmasını ya da online satış platformlarına yönelmelerini zorlaştırıyor. Bütün bu sorunlar pandemi öncesinde de yaşanıyordu fakat mevcut durum ve online ticarete olan rağbet göz önünde bulundurulduğunda bu problemlerin çözümü için yeni tedbirlerin alınması artık kaçınılmaz.

Müşterilere gelecek olursak, ana problemleri internete erişim, finansal katılım ve internet alışverişine olan güven. Güncel istatistiklere göre, yaklaşık 3,2 milyar kişinin internete erişimi yok – neredeyse insanlığın üçte biri. Bu sorunu çözmek için, hükümetler kırsal ve az hizmet alan bölgelere erişilebilir ve yüksek hızlı internet servisi taşımalı. Müşteriler için diğer bir problem ise güven. E-ticaret siteleri müşterilerin rahatlıkla alışveriş yapabilmeleri için mutlaka güvenlik sertifikalarını ve mühürlerini almalı, gizlilik politikalarıyla müşterilerinin bilgilerini güvende tuttuğunu garantilemeli. 

Hükümetler ve devlet politikasına yön verenler hem online hem de geleneksel satışa uygun yönetmelikleri uygulamaya sokarak yaratıcı girişimlere destek olmalı. Aynı zamanda gelişmiş iletişim, lojistik ve ticaret servisleriyle küçük ve orta ölçekli işletmeler için daha adil bir rekabet ortamı yaratılmalı.

E-Ticaretin Yayılması Siber Güvenliği Nasıl Etkiledi?

E-ticaretin büyümesiyle birlikte dolandırıcılık ve skimming(online alışverişle kart bilgilerinin çalınması) gibi siber güvenlik sorunları katlanarak arttı. Imperva’nın raporuna göre, online satıcılar diğer tüm endüstrilere göre iki kat daha fazla hesap çalınma tehlikesi geçirdi. Satıcıların yaklaşık %79’u credential stuffing adı verilen kimlik ve şifre kombinasyonlarının çalınıp başka siteler üzerinde denenmesi yöntemiyle saldırıya uğradı. Aynı zamanda Mart 2020’de güvenliği ihlal edilmiş sitelere giriş oranı her zamankinden daha yüksek – skimming oranlarında %26 artış yaşandı. Skimming sırasında saldırganlar müşterilerin telefon numaraları ya da e-posta adresleri üzerinden oturum açma ve banka bilgilerine erişebiliyor. Buna karşın siber güvenlik uzmanları artan tehditlere hızla karşılık veriyor ve bu karşılık çoğunlukla müşterilerin bilgilerini korumayı ve gizlilik yönetimini kapsıyor. 

Siber saldırı oranlarını düşürmek için, müşterilerin kredi kartı bilgileri saklanmamalı ve internet siteleri mutlaka PCI DSS sertifikalarını almalı. Ayrıca, sitedeki alım satım işlemlerini güvenceye almak için SSL sertifikaları büyük önem taşıyor. Bu sertifikalar aynı zamanda sitenin mülkiyetini kanıtlar nitelikte, böylece sahte ara yüzlerle sitenin taklit edilmesinin de önüne geçiliyor. Antivirüs ve anti malware yazılımlar ise değerlendirilmesi gereken başka bir opsiyon. Bu yazılımlar sayesinde sitedeki alım satım işlemlerinin yasal olup olmadığını kontrol ederek sitenin sahtecilik riskini öğrenmek mümkün. 

Covid-19 salgını sonrasında, evde kalmanın bir zorunluluk haline gelmesiyle e-ticaret çok büyük önem kazandı. Yükselişe geçen online alışveriş sayılarıyla kaçınılmaz olarak skimming gibi siber saldırılarda artış gözlendi. Artık siber güvenlik hiç olmadığı kadar önemli. Müşterilerine iyi bir deneyim sunmak isteyen işletmeler, siber güvenlik uzmanlarıyla çalışmak ve müşteri bilgilerini güvende tutmak için bütçe ayırmaya başlamalı.

Kaynakça

S. Mandal and D. A. Khan, “A Study of Security Threats in Cloud: Passive Impact of COVID-19 Pandemic,” 2020 International Conference on Smart Electronics and Communication (ICOSEC), Trichy, India, 2020, pp. 837-842, doi: 10.1109/ICOSEC49089.2020.9215374.

https://unctad.org/system/files/official-document/dtlstictinf2020d1_en.pdf

http://www.oecd.org/coronavirus/policy-responses/e-commerce-in-the-time-of-covid-19-3a2b78e8/#section-d1e102

https://datareportal.com/reports/digital-2020-global-digital-overview 

https://www.stackline.com/news/top-100-gaining-top-100-declining-e-commerce-categories-march-2020 

https://www.researchgate.net/profile/Tim_Weil/publication/341583723_IT_Risk_and_Resilience-Cybersecurity_Response_to_COVID-19/links/5fb12fd3299bf10c3680920e/IT-Risk-and-Resilience-Cybersecurity-Response-to-COVID-19.pdf 

https://www.imperva.com/resources/resource-library/white-papers/the-state-of-security-within-e-commerce/