Jump to

SCA (Güçlü Müşteri Kimlik Doğrulaması)

SCA (Güçlü Müşteri Kimlik Doğrulaması) nedir?

Güçlü Müşteri Kimlik Doğrulaması (SCA), elektronik ödemelerin üç bağımsız öğeden en az ikisi kullanılarak doğrulanmasını gerektiren PSD2 şartıdır (Madde 97): bilgi (yalnızca kullanıcının bildiği — şifre, PIN), sahiplik (yalnızca kullanıcının sahip olduğu — telefon, donanım tokeni) ve içsellik (kullanıcının kendisi olduğu — parmak izi, yüz). SCA, ödeme dolandırıcılığını, özellikle kart-mevcut-değil dolandırıcılığını azaltmayı amaçlar ve SCA RTS’i (Komisyon Yetki Devri Tüzüğü 2018/389) aracılığıyla operasyonelleştirilir.

SCA ne zaman gereklidir?

  • 30 Euro üzerinde çevrimiçi ödemeler (veya bazı yapılandırmalarda 50 Euro).
  • Hesap erişimi çevrimiçi bankacılık veya TPP aracılığıyla.
  • Hassas eylemler: yeni alıcı ekleme, transfer limitlerini artırma.

SCA istisnaları

  • Düşük değer (LV): kümülatif tavanlarla 30 Euro altı.
  • Güvenilen lehtarlar (TB): tüketici beyaz listeli alıcılar.
  • Tekrarlayan işlemler: ilk SCA sonrası aynı tutar/aynı alıcı işlemler.
  • İşlem Risk Analizi (TRA): düşük dolandırıcılık oranlı ihraççı tarafı risk skorlama değer eşiklerine kadar istisna sağlar.
  • Kurumsal ödemeler: tüketici olmayan ödemeler için özel süreçler.

Dinamik bağlama

Uzaktan elektronik işlemler için SCA öğeleri kimlik doğrulamasını belirli miktar ve alıcıya dinamik olarak bağlamalıdır; böylece yakalanan bir kimlik doğrulama farklı bir işlem için yeniden oynatılamaz. Pratik etki: OTP mesajı veya push bildirimi miktarı ve satıcıyı gösterir ve cihaz onayı kriptografik olarak bağlar.

Türkiye uygulaması

BDDK ve BKM kart işlem standartları SCA-eşdeğer iki-faktörlü doğrulama kurallarını uygular; özellikle 3D Secure 2.x adopsiyonu Türk kart işlemleri için yerleşmiştir. BDDK Ödeme Hizmetleri Tebliği ve sektör pratiği müşteri risk-bazlı istisna mantığını AB modeline benzer şekilde işletir. Türk e-ticarette PSP’ler (Iyzico, Craftgate, Param) 3DS2 ve risk skorlamayı paketler.

Yapın: kart ödemeleri için 3DS 2.x uygulayın; UX ve dolandırıcılığı dengelemek için desteklenen yerlerde risk-bazlı istisna kullanın; istisna pencerelerini izleyin.
Yapmayın: sıkı kapsam ve PSP iş birliği olmadan merchant-of-record offshoring ile SCA’yı atlamaya çalışmayın — ihraççılar SCA olmayan işlemleri yine reddeder.