Online Ödeme Sistemleri, Tek Tık Ödeme, Database vb. Konular

[bingildak]

başlığa hepsini birden sıkıştıramadım idare edin.

dün bir servis sağlayıcı ile görüştüm, bize sistemlerini satmak istiyorlar. kısaca sattıkları şey amazon'un yıllardır yaptığı one-click olayının multi platform versiyonu. yani adam yaptığı servisi bir sürü eticaret markasına satıyor, orada müşterilere "bu kredi kartını daha sonra ödemelerde tek tık kullanmak ister misin" diye sorarak, kredi kartı bilgilerini database'e alıyor (sözleşme kabul ettirerek). bütün vendorlardan topladığı database'i bir pool'a atıyor ve oradan mail eşleşmesi ve sms confirmation yaparak X sitesinde girdiğin sana ait kredi kartı bilgilerini tekrar sormadan Y sitesinde tek tık ödeme yaptırıyor.

şimdi bu olay beni baya rahatsız etti, nedeni de şu, cvv/cvc bilgisi kullanılmadan işlem yapılıyor. ben böyle bir şeyin mümkün olduğunu bile bilmiyordum.

cvv/cvc alınmadan işlem yapılması gayet olabilitesi olan bir olaymış. duyduğuma göre bankadan bu tarz bir pos için talepte bulunduğun zaman komisyon oranları (ki tr'de komisyon oranı yok, sanırım aylık feeler artıyordur) artıyormuş. downside olarak freud ve chargeback sorunları ortaya çıkıyormuş.

ee o zaman ben şu soruyla baş başa kalıyorum, eğer kk bilgilerini tutmak (cvc ve cvv dışında) sorun değilse, bunu neden 3rd party olarak hizmet alayım ki? kendi db'imde bu bilgileri tutarım, müşteriye account bazlı olarak "bu kredi kartını kullanalım mı" veya "bu kredi kartını ilerideki alışverişlerinde kullanmak ister misin" diye hizmeti kendim sunarım.

amma ve lakin bana pek güvenli gelmedi. böyle bir data tutmak için DB'e özel güvenlik protokolleri alınması gerekmez mi? Ayrıca SSL kullandığın https sayfalarında bu bilgilerin alınması yasak değil mi? o durumda https'i mi kaldırıyoruz? ve böyle bilgileri muhafaza etmeye çalışsan db ne kadar güvenli ve bilgiler ne kadar encrypted muhafaza edilebiliyor?

aramızda çok eticaretci yok ama baya bir sistemci var. bu sorunlarla ilgili herhangi bir fikriniz varsa her türlü paylaşım makbule geçer.

bir de bu online ödeme sistemleri, one clickler, database ve database güvenliği, güvenlik protokolleriyle ilgili kaynak arıyorum, eğer elinizde işin koduna girmeden anlatan varsa lütfen paylaşın açıp okuyayım.

[GERGE]

Amazo e-book alırken One-Click'i zorunlu tutuyor ve siteye girişte telefon ile onay sunmuyor. Gıcık oluyorum çok.

Güvenli değil bunlar hiç. Şifreyi iyi korumak lazım. Sadece Amazon ve Kobo ile kullanıyorum, onlar da zorunlu.

[Sequo]

Amerikan posu vardır lavukta topladığı cc bilgilerini patlatacak belli yada satacak.

Sende tutabilirsin tutmak yasak değil. Ama çaldırırsan sıkıntılı

[bingildak]

abi öyle ufak bir şirket değil. Türkiye'deki en büyük 50 markadan 10 tane falan müşterisi var. öyle bir şeyler patlatmak peşinde değil. monthly fee + işlem başı komisyon şeklinde çalışıyorlarmış ama kimse tabii aylık ücret vermiyor. sadece başarılı çekim için 40-65 kuruş gibi bir komisyon alıyor.

işte db'de tutmak ve patlatmamak için ne yapılabilir diye merak ediyorum. bir de kendin tutman için ssl'i kaldırman gerekmiyor mu?

[bingildak]

bu arada hepsiburada'da cvv, cvc olmadan işlem yapıyor tr'de

[Dragonfire]

Telefona onay kodu gelemiyormu onda emin olamadım.

[bingildak]

siparişi verdikten sonra sipariş verdin diye sms geliyor. satış öncesi verification yok. dün test ettim. kk girmişim önceden, bunu kullanmışsın diye 123456****1234 olarak getirdi, onayla dedim. çat diye işlemi yaptı.

[Seele]

fikir bana sakat geldi valla. adamlar mastercardi hackliyor.
hacker adam sunu duysa agzi sulanir o database icin.

[roket adam]

anladığım kadarıyla multi platform olmasının şöyle bir mantığı var. mesela senin paticik kom diye e ticaret siten var. bi de hepsiburada var. müşteri hepsiburada'dan alışveriş yapmış, sonra senin sitene geliyor. alakasız 3. parti bi sitesin sen. hepsiburada ile alakan yok. ama senin sitenden alışveriş yaparken kredi kartı bilgilerini hop otomatik dolduruyor. di mi?

[bingildak]

evet, servis sağlayıcı ile vendorun anlaşması varsa ödeme tarafında X ile öde seçiyorsun, orada senin kk bilgilerin görünüyor, tek tık tamamla diyorsun işlemi bilgi sormadan yapıyor.

paypal'ın site içerisinde olanı gibi, başka bir siteye girmeden tanımlanmış kartınla işlem yapıyorsun.

[forgiver]

hepsiburada kaydedior
sms le tekrar onayşatmıuorsa alışverişi sakat

[axedice]

İşte bu yüzden internet alışverişleri için yalnızca sanalkart kullanıp limitini de daima sıfırda tutmak lazım. Bu ne lan

Gerçi kaç zamandır steam de yiyor aynı boku, bi defa kartı girince sonrasında ccv onay monay gerekmiyor. Tabi insan steam olunca biraz daha güvenir ama mevzubahis internettenucuzal.com olunca ürkmek normal.

[bingildak]

ya bilinçli kullanıcı noktasında bir sorun yok aslında. kartından senin iznin olmadan çekim yapılsa her türlü hakkını arar sonuç elde edersin.

şuursuz kullanıcı için kötü.

yani insanların "internete kredi kartı verilmez" korkusu olduğu bir ülkede eticareti geliştirmeye çalışıyorken freud ve kk hırsızlığına bu kadar çanak tutan bir sistemin neden yaygınlaştığını anlamadım. durum sadece tr'de böyle değil amerikada hemen her sistem buna geçmiş durumda. cvv, cvc istemeden işlem yapılıyor.

bu dataların tutulduğu db nasıl patlatılmıyor? güvenlik nasıl sağlanıyor, encryption ne seviyede onu merak ediyorum.

[bingildak]

ha ayrıca eticaret şirketi olarak benim işime gelir. ödeme alındığı noktaya ne kadar hızlı giderse conversion o kadar artar.

[arcane]

kredi kartı meseleleri ilginç. kartın arkasında imza yoksa geçersizdir yazar. imza soranı hatırlamıyorum. çip ile şifre geldi. pos makinelerinde manyetik hala çalışıyor. şifre de hikaye. internetten şifre sormuyor. cvc'yi güvenlik kodu addederler. o da olmadan işlem yapılıyor.

sadece hesapta para varsa işlem yaptırmak dışında bir güvenlik yok sanki. 3d secure var bir de ama o hem her gün yapılan birşeyi çok zorlaştırıyor hem de muhtemelen benim bilmediğim bir nanesi vardır.

bütün sistem "yaa koy götüne işlem yapsınlar sonra bir sorun çıkarsa hallederiz" üzerine kurulu. kart sistemi bu olunca tabii ki büyük şirketler kartını da kaydeder, kartını kaydettirmeden bedava hizmete bile erişim vermez.

[bingildak]

şirketin kartı kaydetmesinden ziyade o kaydedilen kartların ne şekilde muhafaza edildiği önemli. şirket sonuçta senin kartınla rızan olmadan işlem yapmaz. 3. şahıslarına eline geçerse problem.

benimde sorum bu noktadaydı zaten, güvenli hale nasıl getiriyorlar.

[pulkas]

Egzantirik bir finansal model ya.Hos durmuyo acikcasi.Su adamlari buldum az bi arastirince.FAQlarindan alinti yapicam.http://www.molpay.com/v2/faq/faq-for-molpay-secure-1-click#five

TL/DR:Bu mevzu guvenli degil.Biz bunu kendimize gore yonttuk 1-2 guvenlik basamagi ekledik boyle kullaniyoruz demisler.

What's the different between MOLPay Secure 1-click with others 1-click payment?
MOLPay Secure 1-click comes with 3D-secure enabled feature, which the buyer must enter a one-time password (OTP) from the issuer to approve the transaction, instead of click & buy without confirmation. MOLPay Secure 1-click offers better protection to both buyer & merchant.

Is it secure to use Secure 1-click payment?
Yes. The card number is tokenized and stored on a secure vault that is PCI-DSS compliant. Your token will not be shared to any other party without your concern. For every purchase, you will always have the right to approve, change card, remove the token. For cardholders who are using a 3D-secure card (Verified by Visa / MasterCard SecureCode), you will be prompted for an one-time password (OTP), pass phrase, or PIN, to authorize the payment.

I've added my card into MOLPay system but why I can only use it on certain website, and I need to enter my card number again on other website, which is also using MOLPay payment service?
For security purpose, we have restricted buyer to use only the stored card that bound to one website, unless buyer agrees to share his/her stored card among all MOLPay merchants' website in the future. On the other hand, merchant/website needs to enable Secure 1-click feature, only then buyers are allowed to use their stored cards.



How does Secure 1-click help to boost my online & mobile commerce?
Everyone is expecting for a quick purchase flow, especially on a mobile device that is lack of large keyboard or keypad. By using Secure 1-click, you are actually deliver better UX (user experience) to your online & mobile buyer. Entering 16-digit long credit card number could be avoided using PCI-DSS compliant tokenization technology. Enabling Secure 1-click means that your online store & mobile app will be equipped with credit card storing feature, which is similar to those giant internet sellers.

[Suark]

sanal kart kullanıyorum ben eski usül. KK kabul etmıosa da almıorm yani. Şifre sormayanlar çok gıcık.

[GERGE]

Bu 1-click olayı Amazon'un tekelinde bu arada, patentleri var. Kendi sitende yapmak sorunlu, lisans alman gerek. Kendin yapamazsın yani.

[Sequo]

bingildak said:

abi öyle ufak bir şirket değil. Türkiye'deki en büyük 50 markadan 10 tane falan müşterisi var. öyle bir şeyler patlatmak peşinde değil. monthly fee + işlem başı komisyon şeklinde çalışıyorlarmış ama kimse tabii aylık ücret vermiyor. sadece başarılı çekim için 40-65 kuruş gibi bir komisyon alıyor.

işte db'de tutmak ve patlatmamak için ne yapılabilir diye merak ediyorum. bir de kendin tutman için ssl'i kaldırman gerekmiyor mu?

Payu falan mı hacı? SSL ile de gayet cc bilgisi tutarsın.SSL sadece bu kişinin kimliği belli demek o kadar.

Zaten bu tür işler hep büyük firmalarda oluyor. DB ye 1000 kişi erişir bir kişi çalar bilgileri.

Sistemlerini hazırlayan adamlardan birine ver 10.000 tl o gece sana milyon cc getirsin.

Bu dolandırıcı call centerlara nerden gidiyor sanıyorsun bu kadar cc.

[Sequo]

bingildak said:

şirketin kartı kaydetmesinden ziyade o kaydedilen kartların ne şekilde muhafaza edildiği önemli. şirket sonuçta senin kartınla rızan olmadan işlem yapmaz. 3. şahıslarına eline geçerse problem.

benimde sorum bu noktadaydı zaten, güvenli hale nasıl getiriyorlar.

Kanka şimdi büyük şirketler büyük dolandırıcı oluyor. Kimse çok parası var demesin o para böyle geliyor.

Bu tür firmalar sanal poslar patlamaması için bankada 1 yada 2 milyon para bırakıyorlar garanti babında.

Sonra bankayla anlaşıyorlar. Diyorlar ki eğer chargeback gelirse direk bize yönlendirin biz 3 gün içerisinde çözeceğiz.

Sakladıkları cc ler için cc sahiplerinden hizmet adı altında senelik 30 TL para çekseler.

Ve dblerinde 5 milyon kayıtlı kart olsa. Senelik 30 Milyon TL net kar demek bu.

İtiraz edenleride banka direk önce şirkete yönlendirdiği için otomatik iadeleri yapılır.

Hiç itiraz bile etmeden iade ediyorlarki kart sahibi cb yapma hakkını kaybetsin diye.

Böylelikle cb oranları %5 i geçmez. 30TL çekilen 5 milyon insandan da anca 300.000'i falan görür ekstresinde görenlerin çoğuda lan 30TL kesin kullanmışımdır bir yerde der.

Evet türkiyede para kazanmak bu kadar basit.

[Glatheros]

Buu database olayları türkiyede yeteri kadar düzenlenmemiş. O yüzden EUdeki bir şirketin sunduğu hizmetle Türkiyedeki bir şirketin sunduğu hizmet eşit derecede güvenli değil.

Kendi sitende bu bilgileri depolamak çok sakıncalı. hacki önlemek için yapacağın masrafın sadece kendi şirketinin e-ticareti ile karşılanabileceğini düşünmüyorum. Eğer sendeki bilgiler çalınırsa ve bu ortaya çıkarsa altından kalkamayacağın bir dava silsilesine maruz kalırsın.

Tüketici açısından ise tam bir zarar ziyan. Tüketici kendi isteği ile bilgileri paylaşıyor ve onaylıyor. dolayısıyla olası bir database patlaması durumunda, banka bana ne vermeseydin bilgileri diyebilir.

[Sequo]

Glatheros said:

Buu database olayları türkiyede yeteri kadar düzenlenmemiş. O yüzden EUdeki bir şirketin sunduğu hizmetle Türkiyedeki bir şirketin sunduğu hizmet eşit derecede güvenli değil.

Kendi sitende bu bilgileri depolamak çok sakıncalı. hacki önlemek için yapacağın masrafın sadece kendi şirketinin e-ticareti ile karşılanabileceğini düşünmüyorum. Eğer sendeki bilgiler çalınırsa ve bu ortaya çıkarsa altından kalkamayacağın bir dava silsilesine maruz kalırsın.

Tüketici açısından ise tam bir zarar ziyan. Tüketici kendi isteği ile bilgileri paylaşıyor ve onaylıyor. dolayısıyla olası bir database patlaması durumunda, banka bana ne vermeseydin bilgileri diyebilir.

Hiç bir dava silsilesine falan maruz kalmaz. Şöyle sallıyorsunuz araştırmadan gülüyorum.

Kredi kartı şifresini tutmadığı sürece hiç bir problem yok. Çünkü bilgiler çalınsa dahi şifresiz internet üzerinden kullanılabilir.

Böyle durumlar için Visa, Mastercard ve diğer tüm card yasalarına göre 6 ay boyunca kart sahibine chargeback hakkı tanınmış.

6 ay içerisinde şüpheli işlemi görüp itiraz edip parasını çatır çatır geri alabilir.

Görmüyorsa bu kart sahibinin problemidir. kart bilgisini tutup hack ile çaldıran kişi sadece gider hacklenmişim der bir sigara yakar elini kolunu sallayarak çıkar.

Çünkü hackden oluşan bir maduriyet yoktur. Eğer olayda bir maduriyet varsa oda kart hamiilnin 6 ay boyunca itiraz etmemesinden dolayı oluşacaktır.

[Glatheros]

ya bi git.

Nasıl davaya maruz kalmazsın, koruyacağını ve saklıyacağını taahhüt ettiğin üçüncü kişilere ait bilgileri güvenlik açığın sebebi ile çaldırıyorsun.

hayal dünyandan çık.

[bingildak]

GERGE said:

Bu 1-click olayı Amazon'un tekelinde bu arada, patentleri var. Kendi sitende yapmak sorunlu, lisans alman gerek. Kendin yapamazsın yani.

sistem patentli değil yahu. 1000 tane site var kullanan bu sistem adı sadece one click değil, das schön koyarsın adını olur biter. sonuçta inovative bir teknoloji falan yok ortada.