Sadece karta ait bilgilerin bankanıza aktarılmasıyla hesap veya limitinizden para çekilebiliyor olması, ilk bakışta güvenli olmayan bir yapı görüntüsü verebiliyor olsa da aslında durum bunun tam tersidir. Sadece kart bilgileriyle gerçekleştirilmiş ve ek güvenlik doğrulaması içermeyen türdeki harcamalarda, kart sahibinin işleme itirazı varsa (chargeback sistemi) ve işlemi gerçekten kartın sahibinin yaptığı iş yeri tarafından ispatlanamıyorsa bu harcamalar iptal edilir.

Kartla yapılan işlemlerin bu kadar kolay iptal edilebilir olması, kartla ödeme yapacak bir müşterisine mal veya hizmet sunacak iş yerlerini zor durumda bırakabilecek olduğundan, herhangi bir ek güvenlik doğrulaması içermeyen işlemler iş ek güvenlikyerleri tarafından genellikle tercih edilmez ve işlemin doğasına uygun bir ek güvenlik doğrulaması uygulanır.

İşlemi yapanın gerçekten kart sahibi olduğunu ispatlamak için, başta aşağıdaki olmak üzere çeşitli yöntemler uygulanabilir:

SMS OTP (Tek Kullanımlık Parola): OTP (One Time Password), adından da anlaşılacağı üzere sadece bir kez kullanılmak üzere üretilen bir parola türüdür. SMS OTP, bankanın sistemleri tarafından belirli bir işlem için üretilir ve kart sahibinin banka sistemlerinde kayıtlı cep telefonuna SMS olarak gönderilir.

•    Parola yalnızca tek bir işlem için geçerlidir.
•    Belirli bir süre sınırı vardır (örneğin 2 dakika).
•    Banka OTP’yi kendi sistemlerinde görmez, saklamaz.
•    GSM operatörü OTP’nin içeriğini okuyamaz, iletim şifrelenmiştir.
•    Genellikle e-ticaret işlemleri sırasında kullanılır. SMS ile gelen OTP, web sitesindeki doğrulama ekranına girilir ve işlem tamamlanır.

Mobil OTP: Mobil OTP, SMS OTP’ye benzer şekilde tek kullanımlık bir paroladır. Ancak burada parola, cep telefonuna SMS ile gönderilmek yerine bankanın mobil uygulaması üzerinden iletilir.

•    GSM şebekesi devre dışıdır, SMS gönderimi yoktur.
•    Parola, mobil uygulama üzerinden kriptolu şekilde iletilir.
•    İnternet bağlantısı üzerinden çalışır, uygulama yüklü olmalıdır.
•    SMS OTP ile aynı seviyede güvenlik sunar ancak SMS altyapısına bağlı riskleri (örneğin SMS gecikmesi, SIM değişikliği) ortadan kaldırır.

PIN (Kart Şifresi): Fiziksel kartlı işlemler için kullanılan klasik ama etkili bir güvenlik yöntemidir. Genellikle ATM işlemlerinde ve POS cihazı ile yapılan alışverişlerde kullanılır.
•    Kart sahibi tarafından oluşturulur.
•    Sadece kart sahibinin bildiği bir bilgidir.
•    Banka sistemlerinde şifrelenmiş olarak saklanır, kimse göremez.
•    POS cihazlarının tuş takımı veya ATM'ler üzerinden girilir.
•    Fiziksel POS işlemleri, ATM para çekimi, bazen temassız işlemlerde işlem limiti aşılırsa doğrulama için talep edilir.

Cep İmza (Mobil Onay): Cep İmza, mobil bankacılık uygulamasının sunduğu gelişmiş bir doğrulama yöntemidir. Geleneksel OTP giriş ekranı yerine, müşteriye işlemi doğrudan mobil uygulama üzerinden onaylaması için bildirim gönderilir.
•    Kartlı e-ticaret işlemi başlatıldığında, kullanıcıya mobil uygulamada bir bildirim gelir.
•    Bildirimde işlem tutarı, işyeri bilgisi gibi detaylar yer alır.
•    Kullanıcı, belirli bir süre içinde işlemi onaylar veya reddeder.
•    Kullanıcıya doğrudan işlem bilgisi gösterilir.
•    Tek kullanımlık parola girmeye gerek kalmaz.
•    Mobil bankacılık uygulaması üzerinde işlem gerçekleştiği için yüksek güvenlik sağlar.

Bir kart işleminde ek güvenlik doğrulamasının da gerçekleştirilmiş olması, o işlemi gerçek kart sahibinin yapmış olması gerektiği anlamına gelir. Bir başka deyişle, bu adımlar kart sahibinin “bu işlemi ben yapıyorum” beyanını bankasına ulaştırdığı adımlardır.

İşlemlerini ek güvenlik doğrulaması adımı içerecek şekilde gerçekleştiren işyerlerine karşı işlemi gerçek kart sahibinin yapmadığı iddia edilemez. Bu sebeple, ek güvenlik doğrulaması adımları azami derecede önemlidir ve kart sahiplerinin en çok dikkat etmesi gereken bilgiler, bu aşamalardaki şifre, PIN ve diğer doğrulamaların yanlış ellere geçmesinin önlenmesidir.

VakıfBank güvenlik araçlarına ulaşmak için tıklayınız.