Bilişim Dünyası 22 EYLÜL 2014 / 10:34

Alışverişte yeni bir dönem başladı

CordisNetwork; Cardtek Group bünyesinde ve 2009 yılında bankalara hizmet etmek üzere kuruldu. Müşteri talepleri ve 6493 sayılı yeni yasa ile çalışmalar ivmelendi ve banka dışı kurumlar da kapsama alanına girdi. CordisNetwork Genel Müdürü İbrahim Durak, yasayı, e-ticaret sektörüne yüklediği sorumlulukları ve çözümlerini anlattı:

6493 sayılı ‘Ödeme ve menkul kıymet mutabakat sistemleri, ödeme sistemleri hizmetleri, elektronik para kuruluşları hakkındaki yasa’ ve kapsamı hakkında bilgi verir misiniz?

Bu Türkiye’de yeni bir dönemin başlangıcı. Türkiye’de verilen bazı hizmetlerin önemli bir kısmı yine bankalar üzerinden yapılıyordu. Ama şimdi banka dışı kurumlar öne çıktı. Bankaların verdikleri hizmetlerin de kapsamı genişleyebilecek. Uluslararası kural koyucuların belirlediği, ağırlıklı olarak güvenlik ve bilginin korunmasına dayalı kurallar artık kanunla doğrudan mevzuatın parçası haline geldi. Bizi bu yasanın tamamı ilgilendirmiyor. Örneğin menkul kıymet mutabakatı ödeme hizmetleri sağlayıcısı olsak da, menkul kıymet konumuz değil. Bizi daha çok ilgilendiren elektronik para ve ödeme hizmetleri ve ödeme kuruluşları ile ilgili kısımları. Çünkü para transferi, ödemeye aracılık etme hizmetleri, elektronik paranın yönetimi bizim zaten bankacılık dünyasında yaptığımız bir iş idi. Ama artık bu yasa ile birlikte, buna ek bazı hizmetler sunuyoruz.

Ne gibi?

Kanunda karşılığı ‘hassas ödeme verisi’ ve ‘kişisel bilgi’ olan, verinin korunması ile ilgili hizmetler sunuyoruz. Yine kanunda çok direkt geçmeyen ama atfı olan e-ticaret firmalarının kendi e-ticaret kısmında geliştirecekleri ‘payment gateway’ dediği, bizim bankacılık dünyasında MPI (Merchant Plug-In) adını verdiğimiz araçları sunuyoruz. Bu yasa ile birlikte, bu parçaların onaylı ve sertifikalı olması gerekiyor ve işler biraz zorlaşacak.

Bu zorluk kimler için geçerli olacak?

Klasik e-POS kullanan kesimin hayatında büyük değişiklik olacak. ‘Mail to order’ işlemlerinde de değişiklik olacak. 3D Secure kullananlarda bir değişiklik olması gerekmiyor. Ama diğer taraftakiler için her şey değişiyor. Yasanın istediği şekle gelmesi zaman alacak. Kurumların bu hizmetleri hızlı biçimde düzenlemesi gerekiyor. Çünkü kanunun ilgili maddesi ‘…ödeme hizmet sağlayıcıları yani bankalar ve PSP'ler (ödeme servisi sağlayıcıları) üye işyerleri yani bir e-ticaret firması ile yapacakları sözleşmelerde kanunun gereği olan güvenlikle ilgili ve diğer formları gözeteceklerini ve bunu sözleşmeye yazacaklarını, buna uyulmaması halinde sözleşmeyi fesh etmeleri gerektiğini…’ söylüyor. Yasa, ödeme hizmet sağlayıcıyı karşı tarafın bu yasaya uygun çalışması konusunda kontrole zorunlu tutuyor. Bu çok önemli.

Hangi açılardan sorunlar var?

Toplam ticaret içindeki hacme baktığınızda, Türkiye’nin toplam elektronik ticaret hacminin payı düşük. Çünkü kullanıcıların e-ticarete güveni yok. Her e-ticaret firması hassas ödeme verisini tutabilecek durumdayken, bu kodu kendisi yazarken, kullanıcı buna güvenebilir mi? Hayır. Yasa ise risklerin bunların nasıl yönetileceğini net biçimde ortaya koyuyor. PCI mevzuatının, yani dünyadaki en gelişmiş otoritenin bir bakıma Türk kanununa uyarlanmış hali. Herşey Türkçe ve yasa bu anlamda yeterli. Ama uygulanması tabi ki sıkıntı.

Sorunlar nereden çıkacak?

Sektörün hacmi, işlem sayısı, e-ticaret yapan kurum sayısı belli. Bunların hem mevcut sözleşmelerini hem de teknik altyapılarını yenilemeleri gerekiyor. Bu kolay değil. Bunun için uzman bilgi ve altyapılar gerekiyor. ‘Bizim sistemi buna uygun hale getirin’ derseniz bu iş bitmez. Çünkü bu yapıya her müdahalede yapıyı değiştirmiş oluyorsunuz. Yapı sırf bu koddan ibaret değil. PCI sadece kodu kontrol etmiyor. Altyapı, sızma testi, uygulama, iş akışları ve süreçler, yani kartın cepten çıkıp paranın üye işlerine ulaştığı tüm süreç aslında bir güvenlik zinciri ile koruma altında. Yasanın da bizi en çok ilgilendiren tarafı bu. Cordis4net ürün ailemiz var. Gerek bankaların gerek PSP’lerin yani ödeme hizmet sağlayıcıların, gerek firmaların kullanacağı tüm araçları platform olarak, hızlı ve kolay bir entegrasyon arayüzü ile sunuyoruz. Yasa çıkmadan 1 sene önce çalışmalarımızı başlatmıştık. Türkiye’nin bu noktaya geleceği belliydi. Yabancı elektronik para kuruluşlarının Türkiye’de olması ve bu varlıklarının bir yasaya dayanmıyor olması bu anlamda önemli bir gerekçe. Yasanın gerekçelerden biri de bu.

Yasa şu anda fiilen uygulanıyor mu?

27 Haziran 2014 tarihinde Resmi Gazete’de yayımlanan yasa yürürlüğe girdi. Yasanın çıktığı gün faaliyette olan kurumlarda geçiş süresi var ve bu sürede gereklilikleri tamamlamaları gerekiyor. Çünkü lisans başvurusunda bulunacaklar, BDDK onları inceleyecek. Bu inceleme çok kapsamlı ve zaman alacağı için yasa koyucu da bunu öngörmüş ve mevcut yasanın çıktığı gün faaliyette bulunan kurumlar için faaliyetlerindeki bu geçiş evresi için onlara süre tanımış durumda. Ama yapılması gereken de çok şey var.

Yaptırım yetkisi kimde?

Tamamen BDDK’da. Ama BDDK üye işyerleri üzerindeki sorumluluğu kendisi doğrudan üstlenemez. Çünkü onun yetki alanında değil. Bu nedenle işi ödeme hizmet sağlayıcılara bırakmış durumda. Hassas ödemle verisini tutmamak, kaydetmemek gerekiyor ve en önemli konu bu zaten. 3D işlemde sorun yok. Çünkü üye işyerinin gizlilik ya da güvenlik ihlali yapması mümkün değil. Kişi ve işlem doğrulama üçüncü tarafta. Hassas ödeme verisini tutması da işlemesi veya saklaması da kaydetmesi de mümkün değil. MPI dediğimiz, bu güvenliğin sağlandığı kod yapıları var. Bunlarda da aynı şey geçerli. Bunlar da hassas verileri göremiyor. Çünkü kullanıcı bilgiyi o arayüze giriyor. Bunun dışındaki yapıların hiçbiri bu yasaya uymuyor. Artık üye işyerlerinin hem kişisel veriyi hem hassas ödeme verisini koruması konusunda çok daha hassas olmaları gerek. Çünkü bankaya karşı doğrudan sorumlular. Buna uymamaları halinde de banka bu sözleşmeyi fesh etmekle yükümlü. Düşünün, bir e-ticaret sitesisiniz ve banka sizin sözleşmenizi fesh etti. Bunun duyulması halinde, kurum olarak bitersiniz. Ciro ve prestij kaybınız büyük olur. O bankanın fesih kararının ardından diğer bankalar da durumu sorgular.

Siz bu yapıda kendinizi nasıl konumlandırıyorsunuz?

PCI altyapımız var. Tüm bu bilgileri özel bir token, yani anahtarlama metoduyla tutuyoruz. Ortada kesinlikle verinin kendisi yok. Üye işyeri ve banka veya ödeme hizmet sağlayıcı arasında zaten bir arayüz var. O arayüz yerine, onaysız sistemi çıkartıp onaylı ve üst seviyede güvenli kendi katmanımızı koyduğumuzda bu sorunu çözüyoruz. 6493 sayılı yasada kendimize biçtiğimiz rol bu.

Hassas ödeme verisi nedir?

Şifre, güvenlik sorusu, sertifika, şifreleme anahtarı, PIN, kart nosu, son kullanma tarihi, CVC kodu, kuruluşlar tarafından işaret edilen güvenlik bilgilerinin tamamı. Bunları üye işyerlerinin saklamaması gerekiyor. Bilgiler de kapsamlı. Kişisel verinin bir kısmını tutabiliyor ama paylaşamıyor, yani üçüncü taraflara açamıyor.

Verilerin saklanması konusunda siz neler yapıyorsunuz?

PCI yapısı, uluslararası sertifikalar bulutu çok tercih etmiyor. Yasada bunun karşılığı birincil sistem ve ikincil sistem. Bu verilerin tutulacağı altyapıların tanımları yasada açık. İz kayıtları izlenebilir şekilde tüm süreçlerin yapıldığı, özel lokasyonlarda özel kurallarla işletilen ve tutulan bir yapıdan bahsediyoruz. Bildiğiniz veri merkeziyle de bu işler olmaz. Burada kurallar farklı. Bu nedenle Ataşehir’de sürekli yatırımlarla büyüyen bir binamız var. Müstakil bina olması, etrafının çitle çevrili olması gibi gerekler var. Giriş ve çıkışlar kaydediliyor. Bu gibi gerekçeler ışığında, bildiğimiz veri merkezinden de farklı bir yapı bu.

Ürün gamı hakkında bilgi verir misiniz?

Bir token yapımız, dinamik anahtarlama yapıları, burada sunduğumuz modüllerimiz var. Bu platform içinde sunduğumuz kişisel bilgilerin, hassas ödeme verisinin saklanması, kampanya ve sadakat yönetimi, cüzdanlar ve para transferi gibi adımlar için Cordis4net hazır. Hem yasaya hem uluslararası kural koyucuların isteklerine uygun, hem de mevcut bankacılık dünyası ve kamu ile bütünleşik.

Yeni yasa ile nasıl bir yön çizdiniz?

Türkiye’de finans kurumlarının önemli bir kısmının ödeme dünyasında bizden hizmet talep edeceklerini varsayarak biz yasanın geçen yıl Haziran ayında çıkmasıyla birlikte bu konudaki hazırlıklarımızı geliştirdik. Zaten bankalara bu hizmetlerin bir bölümünü sunuyorduk. Yeni yasanın gerekleri ışığında çıkacağını öngördüğümüz mevcutta kullanılan yapıların kullanılmayacağını varsayarak en azından bir kısmının perakendeye, yani e-ticaret firmalarına da seslenebileceğini düşündük. Bunlara da yeni ürün ailemizle sunum yapar hale geldik.