Kart Güvenliği

Breadcrumbs

SAHTECİLİK TÜRLERİ

  • Sahte Kartlar; Kart üzerindeki kart no, isim, vade ya da manyetik  alan bilgisinin kopyalanarak farklı bir karta aktarıldığı kartlardır.
  • Kayıp/Çalıntı Kartlar; Kart hamilinin kaybettiği /çaldırdığı kartın 3.şahıslarca kullanılmasıdır. Kart gerçektir, kullanan kişi gerçek kart hamili değildir.
  • Mail Order/Internet Sahteciliği; Kart hamiline ait kart no, vade ve 3 haneli güvenlik kodunun 3.şahıslarca ele geçirilerek internet üzerinden ya da mail order işlem yapılmasıdır.

     

    SAHTECILIK TESPITI DURUMUNDA NELER YAPILMALIDIR?

    Kartın fiziki olarak sahte olması şüphesi varsa;

  • Slip üzerindeki bilgiler ile kart üzerindeki bilgiler karşılaştırılmalı,

    -Görüntüsü yurtiçi kart görseli olan kart ile yapılmış işlemde slibin altında “yurtdışı kart ile yapılmıştır” ibaresi mevcutsa,

    -Kart üzerindeki numaralar ile slipte çıkan numaralar farklı ise kart sahtedir.

  • Kartın fiziksel özellikleri kontrol edilmeli,
  • Gerekli hallerde müşteriden uygun şekilde kimlik kontrolü yapılmalı,
  • Sahtecilik tespiti halinde ürün/hizmet teslimi yapılmamalı, işlem iptal edilmelidir. Gerek duyulduğunda Bankamız ile iletişime geçilmelidir.

    Kart bilgileri kullanılarak gerçekleştirilen mail order veya e-commerce sahtecilik şüphesi varsa;

  • İşlemin sahte olduğu tespit edilmişse işlem pos üzerinden iptal edilmelidir.
  • İşlemi gerçekleştiren kişi ve işleme ait bilgiler firma tarafından oluşturulan kara listeye alınmalıdır.
  • Sahtecilik atakları olduğu durumlarda konu gecikilmeksizin Bankamıza bildirilmelidir.

     

    SAHTECILIK ONLEME PARAMETRELERI

  • 3D Secure: Sanal POS işlemlerini Full 3D Secure yöntemi ile riskleri asgari düzeye indirecek şekilde gerçekleştirebilirsiniz. İşlem tutarı ve riskli kategorideki ürünler belirlenerek işlem özelinde 3D Secure uygulanabilir.
  • Chip&Pin: Chip kartın önyüzünde kart numarasının üzerinde yer alır. Kartın chipi okutularak ve şifre doğrulama yapılarak gerçekleştirilen işlemlerde sahte kart olasılığı düşüktür. Şifrenin girilmemesi durumunda (Pin ByPass, Pin Blocked) kayıp, çalıntı söz konusu olabilecektir.
  • İşlem Adet ve Tutarına Parametrik Sınırlama Getirilmesi: Sanal POS işlemleriniz için profilleme yaparak aynı kart ile belirli süre içerisinde gerçekleşecek işlem adet ve tutarına sınırlama getirilebilirsiniz.
  • Kara Liste Kontrolleri: Şüpheli işlemleri gerçekleştiren Kullanıcı ID, demografik bilgiler ve işleme özel bilgiler oluşturulacak kara listeye eklenerek, daha sonra yapılmaya çalışılan işlemleri engelleyebilirsiniz.

 

 

VERİ GÜVENLİĞİNİN SAĞLANMASI

Üye İşyerleri, kart ve kart hamili verilerinin güvenliğini sağlamakla yükümlüdür.

  • Kart kullanıcılarına ait verilerin güvenliğinin sağlanması, verilerin sızması ve veri çalınması riskinin azaltılması amacıyla uluslararası kartlı ödeme sistemleri kuruluşları tarafından, Kartlı Ödeme Sektörü Veri Güvenlik Standartları (PCI DSS) geliştirilmiştir.

     

  • Düzenlemenin temel amacı kart hamili bilgisi (kart numarası, kart hamili ismi, servis kodu, son kullanım tarihi) ve kritik doğrulama bilgisinin (manyetik şerit bilgileri, çip bilgileri, güvenlik kodu ve şifre) güvenliğini sağlamaktır.

     

  • Üye işyerleri yıllık işlem adedine bağlı olarak PCI DSS kapsamında sınıflandırılmakta olup bulunduğu risk derecesine göre yerine getirmekle yükümlü olduğu veri güvenliği standartları bulunmaktadır.

     

  • Üye işyerleri PCI DSS standartları yanı sıra kendi alabileceği tedbirler ile de veri güvenliğini sağlamalıdır.

     

On iki koşuldan oluşan Veri Güvenlik Standartları, temelde bu bilgilerden hangilerinin saklanabileceği ve saklanırken nasıl korunacağına dair kuralları içermektedir:

1. Kart hamili verilerini korumak için bir güvenlik duvarının(firewall) kurulması

2. Tedarikçilerden alınan ilk şifre ve diğer güvenlik parametrelerinin değiştirilmeden kullanılmaması

3. Kaydedilen kritik kart hamili verilerinin korunması

4. Kamusal ağlar üzerinden iletilen kart hamili verilerinin ve hassas bilgilerin şifrelenmesi

5. Anti-virüs yazılımı kullanılması ve yazılımın düzenli olarak güncellenmesi

6. Güvenlik sistemleri ve uygulamaları geliştirilmesi ve devamlılığının sağlanması

7. İş tanımı gereği ihtiyaç duymayan firma çalışanlarının kart hamili verilerine erişiminin sınırlanması

8. Bilgisayar erişimi olan her bir kişi için ayrı bir kullanıcı kimliği ve şifre tanımlanması

9. Kart hamili verilerine fiziksel erişimin sınırlandırılması

10. Ağ kaynaklarına ve kart hamili verilerine erişimin izlenmesi

11. Güvenlik sistemlerinin ve süreçlerinin düzenli olarak sınanması

12. Bilgi güvenliğine yönelik bir politika belirlenmesi

 

PCI DSS standartlarının güncel versiyonlarına;

 

https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security

https://usa.visa.com/support/small-business/security-compliance.html web sayfalarından erişebilirsiniz.

 

YASAKLI URUN VE HIZMET SATISI YAPILMAMASI

Kartın işlem sırasında fiziken bulunmasına gerek olmayan sanal ticaret, posta/telefon siparişi (MO/TO) gibi işlem türleriyle satış yapan üye işyerlerine ait web sitelerinde satılan ürün ve sunulan içeriklerin, Türkiye Cumhuriyeti kanunlarına ve uluslararası kartlı ödeme sistemleri kuruluşları tarafından belirlenen kurallara uygun olması gerekmektedir.

https://usa.visa.com/dam/VCOM/download/about-visa/15-April-2015-Visa-Rules-Public.pdf

 

CHARGEBACK VE SAHTECILIK BILDIRIMLERININ KONTROL ALTINDA TUTULMASI

Herhangi bir işyerinde gerçekleştirilen işlemlere ait itiraz sayıları, tutarları ve bunların işyeri cirosuna oranı kart kuruluşları tarafından düzenli bir şekilde izlenmektedir.

  • Bu kapsamda, kart kuruluşları chargeback ve sahtecilik bildirimlerinin azaltılmasının sağlanması amacıyla dönemsel olarak değişiklik gösterebilen çeşitli kurallar ve ceza programları geliştirmişlerdir.

     

  • Eşik değerleri aşan işyerleri, anlaşmalı oldukları banka tarafından uyarılır, alabilecekleri tedbirler ve olası yaptırımlar hakkında bilgilendirilir.