Her yol güvenliğe çıkıyor ama…

Çevrimiçi alışverişte hangi cihazı kullanırsanız kullanın, aslında uçtan uca bir güvenlik yapısına dahilsiniz. Ama bu güvenlik yapısının varlığını ve etkin olup olmadığını kontrol etmek de size düşüyor. Detaylar Kliksa Web Yazılım Grup Müdürü Erdem İlhan’dan geliyor…

Online alışverişte güvenlik neleri içeriyor?

Geçtiğimiz günlerde Tüketici Yasası’nda yeni düzenlemeler hayata geçti. E-ticaret şirketleri de bu kapsamda kullanıcıyı hakları ile ilgili ön bilgilendirme ve mesafeli satış sözleşmesi ile bilgilendiriliyor. 6493 sayılı ödeme hizmetleri ve elektronik para kuruluşları hakkında kanun, ödeme hizmetleri konusunda denetimler getirirken, burada BDDK'yı yetkilendiriyor. Hem bu hizmetlerin güvenliğinin sağlanması hem de bu tip hizmetleri kendi bünyesinde oluşturan e-ticaret şirketlerinin uyumluluk sağlaması önem kazanacak.

Telekomünikasyon Daire Başkanlığı’nın kontrol ettiği 5651 sayılı ‘internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele odaklı’ kanun ile geriye dönük bazı arşiv kayıtları saklanmakta. Böylece sahtecilik, siber atak gibi konularda tespit alanında fayda sağlanmakta.

Kredi kartı verisinin güvenliğini sağlamada ise PCI-DSS (Payment Card Industry Data Security Standard) kritik. Çeşitli seviyelerde PCI-DSS uyumluluğu konusunda bankaların ticari kuruluşlara yönlendirmeleri mevcut. Her çeyrek yapılan tarama testlerinden, yerinde denetimlere kadar uzanan güvenlik uygulamaları var. ISO 27001 de bilgi güvenliği yönetimi ile ilgili. Bu da sürekli iç denetimleri ve güvenlik testlerini gerektiriyor.

PCI-DSS kuralları neler?

Örneğin kredi kartının arkasındaki CVV verisini hiçbir şekilde saklayamazsınız. Bu kurallar ile hem kendinizi koruyor hem de müşterinin bilgi güvenliğini sağlamış oluyorsunuz. İşlem hacmi kadar üç ayda bir düzenli olarak uzaktan güvenlik kontrolleri olabilir. Hatta yerinde yapılan yıllık denetimlere kadar gidebiliyor.

Denetimi kim yapıyor?

Bu konuda bankaları harekete geçiriyorlar. Sanal POS yapısını kullandığımız bankalar üç ayda bir bizden bu sonuçları isterler. Bizim kendi iç denetimlerimiz de var. Sızma ve penetrasyon testleri gibi çalışmaları yapıyor, bankalara 3 ayda bir bunun bilgisini veriyoruz. Sektörün uyumunu da bir sertifikasyon sürecine tabi tutmak gerekiyor aslında. Bununla ilgili çalışmalar yapılıyor. Çünkü bu hızlı büyüyen bir sektör.

BKM Express’in bu yapıya etkisi nasıl oldu?

Lansman döneminde BKM (Bankalararası Kart Merkezi ) ile yakın çalışmıştık. Sektörde önemli bir boşluğu doldurdular. Türkiye’de önemli bir sıkıntı kullanıcıların kredi kartlarını kullanımda yaşadıkları endişe. 5-6 bin e-ticaret sitesi var Türkiye’de. Bunların her birine ayrı ayrı güvenemezsiniz, ama BKM ile konuşan bir sistem önemli bir avantaj.

Kullanıcıların güvenlik ekseninde karşılaştıkları temel sorunlar neler?

Türkiye e-ticaret pazarı yaklaşık 30 milyar TL hacme sahip ve her yıl yaklaşık yüzde 40 büyüyor. Pazarda 25 milyon kredi kartı kullanıcısı ve yaklaşık 8-10 milyon e-ticaret müşterisi var. Hem alıcı hem de satıcılar tarafında güvenlik pratiklerinin benimsenmesi önemli. Son yıllarda artan fraud (sahtecilik) olayları büyük risk. Kredi kartları, promosyon kodları ve hediye çekleri art niyetli kullanıcıların hedefi haline geliyor. Son dönemde ödeme hizmetleri alanında da sahtecilik yönetim servisleri sunulmaya başlandı. Tüketiciler burada tüketici kanunu ile korunuyor. Yanı sıra ters ibraz ile sahtecilik durumlarda banka üzerinden para iadeleri gerçekleştirilebiliyor. E-ticaret şirketleri için PCI-DSS, ISO 27001 gibi standartlara uyumlu olmak, bu tip güvenlik açıklarına karşı tedbir alabilmek için önemli. Şirketler için güvenlik sadece uygulama düzeyinde değil uçtan uca tüm BT sistemleri ve insan kaynakları düzeyinde bütünsel ele alınmalı.

Yasal çerçeve yeterliliği nasıl?

Tüketici Kanunu temel. 14 güne kadar cari hakkı var kullanıcının. Ters ibraz, yani ‘charge back’ yöntemi ise kritik. Kullanıcı bankaya itirazda bulunabiliyor. Bu durumda satıcı, bankaya bir geri ödeme yapmak durumunda kalıyor. Kullanıcının hakkını arayabileceği ve ödediği parayı geri alabileceği bu tür yöntemler var. Bundan sonra banka ve kurum arasındaki verilere bakılıyor, teslimat bilgileri, kullanıcıya ait bilgiler kontrol ediliyor. Burada önemli olan konu 3D ödeme yöntemleri. Bu ikincil bir doğrulama sağlıyor. Kredi kartı bilgilerinizi girdiniz, ‘satın al’ butonuna bastınız, bankanın sayfasına yönleniyorsunuz ve size bir SMS şifresi geliyor. O şifreyi doğru girmeniz lazım ki sizi doğrulayabilsin. Online perakendeciler kullanıcılarını 3D’ye yönlendiriyorlar. İşlemler belli oranların üzerindeyse 3D kesinlikle tercih edilmeli.

Kullanıcıların nelere dikkat etmesi lazım?

Kullanıcılar için alışveriş yaptıkları sitenin kimliğini belirlemek birinci adım olmalı. İlgili web sitesinin SSL güvenlik sertifikasını internet tarayıcılarından kontrol edebilirler. Özellikle check-out (çıkış) aşamasında bu kontrolü yapmak gerek. Kullanıcı adı ve şifrenin güvenli saklanması, güçlü bir şifre oluşturulması kritik. Oltalama ataklarında öne çıkan, e-posta ve SMS ile ulaştırılan linklerin kullanımında dikkatli davranılmalı ve ilgili link ziyaret edildiğinde, yine web sitesinin SSL sertifikası kontrol edilmeli. Kişisel cihaz güvenliği sağlanmalı. Bu konuda anti-virüs yazılımlarının kullanılması önerilebilir.

Ödeme aşaması için 3D ödeme sisteminin kullanımı en önemli tedbir. Hem satıcı hem de alıcı için koruyucu bir güvenlik aşaması olan 3D, aynı zamanda ters ibraz ihtimalini azaltmakta. Son dönemde sektörde tek tuşla ödeme ve bu yaklaşımın altyapısı olan kredi kartı saklama hizmetlerinin sayısı artıyor. Bu nedenle kullanıcıların ve satıcıların temel güvenlik pratiklerini uygulaması önem kazanıyor. Kullanıcılar için sanal kart kullanımı önemli bir garanti. Türk tüketicilerin bunu çok tercih ettiğini sanmıyorum. Oysa bu limitli kartlar sanal alışverişte önemli bir güvenlik.

Türkiye ve dünya güvenlik kıyası yapabilir miyiz?

Ödeme sistemleri konusunda Türkiye gelişmiş bir pazar. Ama kullanıcı alışkanlıkları bazında eksikler var. Güvenlik pratikleri konusunda aynı şekilde bilinçli değiliz. Biraz da olumsuz örneklerle gelişen bir sistem var maalesef.  Kullanıcıların mobil cihaz alışkanlığı yüzünden güvenliğe ek hassasiyet göstermeleri gerek. Örneğin bilgisayarda açılış şifremiz var ama mobil cihaz için bunu söyleyemeyiz. Bu nedenle bir açılış şifresi kullanmak önemli. Tek tuşla ödeme yapıları yaygınlık kazanıyor. Ama bunlar güvenlik riski de oluşturuyor. Bilgilerin çalınmasına çok daha açık bir yapı. Sadece ödeme bilgilerinin çalınması olarak düşünmemek lazım. Daha da önemlisi kimlik bilgileri. Zaten bu nedenle kimlik hırsızlıkları hiç olmadığı kadar yoğun. Mobil; tehditlere karşı daha açık. Kullanıcı kadar satıcıya da görev düşüyor. Mobil hayatı yönetebilmek için yeni teknikler oluşturuluyor. Kullanıcı alışkanlıkları zamanla gelişecek. Uygulamaları işletim sisteminin resmi mağazalarından indirmek de önemli. Bir uygulama mağazada yerini almadan önce türlü güvenlik testlerine tabi tutuluyor.

2014 yılında siz neler yapacaksınız?

Bu yıl 360 milyon TL ciro hedefimiz var ve tüm bu altyapı yatırımları, bunun bir parçası. Kliksa 2012’de kuruldu, ama reklamlarımız yılbaşı ile başladı. Tedarikçi ağı güçlendi. Her başlıkta ürün var. Teknosa.com ve kliksa.com’un online platformlarının yönetimi bizde. Teknosa’nın altyapısını da biz yönetiyoruz. Sitede 20 ana kategori var. İlerleyen dönemlerde mevcut kategorileri daha da güçlendirmek ve 5 yıl içinde de pazar lideri olmak hedefimiz. Toplam online perakende dünyasında mobilin payı artıyor. Bizim geçişimiz ise Temmuz ayından itibaren aşamalı. Önce telefonlarda, sonra tabletlerde kullanıcıların karşısına çıkacağız. Kullanıcılar mağazalardan indirebilecek. 2015 yılında da hayata geçireceğimiz bir projemiz olacak. 15 milyon dolar civarında yatırım yapacağız. Önemli bir projenin başındayız bu anlamda. Geleceğin Kliksasını kuruyoruz diyelim.