Sanal Pos’a işlem gönderirken dikkat edilmesi gerekenler

Çeşitli yöntemlerle, fiziksel yollardan ele geçirilen kredi kartı bilgilerinin Fraud işlemler gönderilerek sınandığı ortam; bankalar tarafından Üye İşyerlerine sağlanan “Sanal Pos” altyapıları olur. Üye İşyerleri gerçekleşen transaction’ları detaylı analiz ederek, çeşitli parametrik değerlerle süzmezlerse charge-back riski ile karşı karşıya kalırlar.

Bu konuyla ilgili bir kaç ipucu vermek istiyorum.

Öncelikle; Gerçekleşen işlemler, müşteri doğrulanarak “güvenli” statüsüne çekilene kadar “PreAuth”olarak Sanal Pos’a gönderilmelidir. PreAuth’u( Ön otorizasyonlu)açıklamak gerekirse; kısaca kredi kartına borç geçmeden, kart limitinebloke konulması olarak değerlendirebiliriz. Bu tip işlemlerdemuhasebeleşen bir tutar olmadığı için; kredi kartı ekstresinde deharaket olmayacak, işlem gerçekten kart sahibine ait değilsecharge-back riski doğmayacaktır. İşlemin kart sahibine ait olmadığınıntespit edilmesi durumunda açık provizyonda bekleyen tutar kolaylıkla“iptal” edilebilir.

Üyelerin gri, beyaz ve kara liste şeklinde 3 farklıgrup altında takip edilmesi, kart doğrulama ile uğraşan operasyonelekibin yükünü hafifletecektir. Kartı bir kere doğrulanan müşteri içinalışveriş tutarı geçmişe dönük siparişlerinin çok üzerinde değilse PreAuth yerine Auth, yani direk satış işlemi gönderilebilir. Örn; ortalama 100 YTL siparişveren sadık bir kullanıcı, bir sepette 3.000 YTL’lik siparişgönderiyorsa bu siparişin fraud kontrolünden geçmesi gerekmektedir.

Üye İşyerleri bankalardan kart sahibi doğrulatabilir mi?

Kart doğrulama ile ilgili bankadan bankaya değişen birimler ileirtibata geçilebilir… Belirli tutarların üzerinde kalan siparişlerdebankaların operasyon merkezleri tarafından kart doğrulama hizmetiverilmektedir. Bu işlemler için transaction’a ait verileri bir mail ileilgililere göndermeniz istenir. (provizyon numarası, tutar, kart sahibiadı vb.) banka kart sahibi ile irtibata geçerek sipariş doğruluğunuonaylar ve Üye İşyerine bilgi verir. Onayı alan Üye İşyeri PreAutholarak gerçekleşen işlemi onaylayarak muhasebeleşmesini sağlar. Artıksiparişe ilişkin tutarlar kart dönem içi işlemlerine yansımıştır.

Fraud Kontrolleri;

Unutulmaması gereken; yeni açılan Sanal Pos kullanıcı Üyeİşyerlerinin hedef olduğudur. Bu sitelerin müşteri veritabanları henüzoluşmamış ve çeşitli açıkları oldukları varsayılır. Yeni açılansiteler, B2C’ler ilk bir kaç günü çok iyi gözlemlemekte fayda var.

1 - Aynı IP’den birden fazla işlem geliyorsa; çeşitli uyarımekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerdeotomatik olarak “red” cevabı döndürülmelidir. Bir kaç kredi kartıbilgisi ele geçiren kullanıcı kartlarının hepsini deneyecektir. Buuyarılar e-mail, cep telefonu mesajı vb şekillerde olabilir.

2 - Aynı üyelik ile birden fazla işlem geliyorsa; çeşitli uyarımekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerdeotomatik olarak “red” cevabı döndürülmelidir.

3 - Aynı kart numarası ile birden fazla işlem gönderilmesi durumu(aynı gün) incelenmeli Müşterinin daha önceki siparişleri ile sonsiparişi arasındaki oransal fark incelenmelidir.

4 - Hata alan işlemlerin hata açıklamaları incelenmelidir. SanalPos’ta onay mesajı “00¨ ile ifade edilir. 01'den 99'a kadar alınanmesajlar hata açıklamalarını ifade etmektedir. “51¨ gayet masum bir limit yetersiz hatasıyken, “82¨ hatalı CVVanlamına gelmekedir. 41 ve 43 no’lu hatalar Çalıntı kartları ifadeetmektedir. Dolayısıyla bu hata mesajlarının alan işlemler, IP, üyelik, Kredi Kartı numarası takip edilmeli, çeşitli uyarılar iledesteklenmelidir.

5 - Anlamsız ve ücretsiz mail adresleri fraud habercisi olabilir.

6 - Aynı kredi kartı ile çok düşük tutarlı bir kaç farklı sipariş, kartın limiti olup olmadığının test edilmesi anlamına gelmektedir.Gerçek bir kullanıcı hepsini aynı sepette alarak tek bir kargo ücretiödemek isteyecektir. Bu tip işlemler yüksek miktarda gelecek fraud provizyonun habercisidir.

Bu örnekleri çoğaltmak mümkün aklıma gelen, en çok karşılaşılanları listelemeye çalıştım.