Teknik

13 Haziran 2026 · 6 dk okuma

Ödeme güvenliği: 3D Secure ve dolandırıcılık önleme

Tek bir sahte işlem, ürün kaybından çok daha fazlasına mal olabilir. 3D Secure, risk skorlama ve dolandırıcılık önleme katmanlarını doğru dengeleyerek hem güvenliği hem dönüşümü nasıl korursunuz?

Ödeme güvenliği: 3D Secure ve dolandırıcılık önleme

Bir çalıntı kart bilginizle yapılan tek başarılı sahte işlem; ürün kaybı, kargo maliyeti, banka itirazı (chargeback) cezası ve sanal pos sağlayıcınızla ilişkinizde risk notu olarak size geri döner. Ödeme güvenliği bu yüzden yalnızca müşteriyi değil, işletmenizi de koruyan bir katmandır. 3D Secure ve dolandırıcılık önleme mekanizmalarını doğru kurgulamak, bu riski gözle görülür biçimde azaltır.

Ödeme güvenliği neden e-ticaretin en kritik katmanıdır

Fiziksel mağazada kartı elinde tutan ve kimliğini gösteren bir müşteri vardır; online alışverişte bu doğrulama katmanı yoktur. Kart bilgisini ele geçiren biri, kartın gerçek sahibi gibi davranarak sipariş verebilir. Bu asimetri, e-ticareti dolandırıcılık için fiziksel mağazadan çok daha kolay bir hedef yapar.

Sahte işlemin maliyeti göründüğünden fazladır: ürün bedeli kaybedilir, kargo masrafı boşa gider, banka itirazı sürecinde ek işlem ücreti ödenir ve chargeback oranı belirli eşiği aşan işletmeler sanal pos sağlayıcıları tarafından riskli kategoriye alınıp yüksek komisyona veya hesap kapatmaya kadar giden yaptırımlarla karşılaşabilir. Güvenlik katmanları, bu zincirin en başında durup sahte işlemi daha gerçekleşmeden durdurmayı hedefler.

3D Secure nasıl çalışır ve neden vazgeçilmezdir

3D Secure (3DS), ödeme anında kart sahibinin kimliğini bankası üzerinden doğrulayan bir katmandır. Müşteri kart bilgilerini girdikten sonra bankasına yönlendirilir; SMS ile gelen tek kullanımlık şifre, bankacılık uygulaması üzerinden onay veya biyometrik doğrulama gibi bir adımla işlemi teyit eder. Bu doğrulama başarılı olmadan işlem tamamlanmaz.

3DS'in en somut faydası, sorumluluğun yer değiştirmesidir: doğru uygulanan 3DS işleminde, kartın çalıntı olduğu ortaya çıksa bile itiraz sürecinin sorumluluğu büyük ölçüde bankaya kayar, satıcı korunur. 3DS'siz işlemlerde ise bu risk tamamen satıcı üzerinde kalır. Bu nedenle, özellikle yüksek tutarlı veya ilk kez sipariş veren müşterilerde 3DS'i devre dışı bırakmak kısa vadede küçük bir dönüşüm artışı sağlasa bile uzun vadede çok daha büyük bir risk maliyeti taşır. Bu koruma büyük ölçüde kullandığınız sanal pos sağlayıcısının 3DS altyapısına bağlıdır; doğru sağlayıcıyı seçerken nelere dikkat edeceğinizi sanal POS seçim kriterleri yazımızda topladık.

Risk skorlama: her işlemi aynı şüpheyle değerlendirmemek

Her siparişe aynı sıkı doğrulamayı uygulamak, güvenliği artırsa da meşru müşterilerde gereksiz sürtünme yaratır. Risk skorlama, her işlemi bir dizi sinyale göre puanlayıp yalnızca gerçekten şüpheli olanları ek doğrulamaya yönlendirir.

  • Sipariş tutarı ve geçmiş: Müşterinin daha önceki ortalama sepet tutarından belirgin şekilde yüksek bir sipariş, dikkat gerektirir.
  • Teslimat ve fatura adresi uyumsuzluğu: Farklı şehirlerde, özellikle farklı ülkelerde adresler, tek başına yasak değildir ama risk puanını yükseltir.
  • Hız anomalisi: Kısa sürede aynı karttan veya aynı cihazdan birden fazla deneme, otomatik bir saldırının işareti olabilir.
  • Cihaz ve IP geçmişi: Daha önce sahte işlemle ilişkilendirilmiş bir cihaz parmak izi veya IP aralığı, önemli bir uyarı sinyalidir.

İyi kurgulanmış bir risk skorlama sistemi, düşük riskli işlemleri sorunsuz geçirirken yalnızca yüksek riskli olanları ek doğrulamaya (3DS, telefon teyidi, manuel inceleme) yönlendirir; böylece güvenlik ile kullanıcı deneyimi arasında bir denge kurulur.

Ek doğrulama katmanları: AVS, CVV ve cihaz parmak izi

3DS ve risk skorlamanın yanında, daha az bilinen ama etkili birkaç doğrulama katmanı daha vardır. AVS (Address Verification Service), kart sahibinin bankaya kayıtlı fatura adresiyle siparişte girilen adresi karşılaştırır; uyuşmazlık tek başına işlemi reddetmese de risk puanını etkiler. CVV kontrolü, kartın fiziksel olarak elde bulunma ihtimalini artıran basit ama etkili bir katmandır.

Cihaz parmak izi (device fingerprinting), aynı cihazın farklı kartlarla art arda denemeler yapıp yapmadığını tespit eder; bir cihazdan kısa sürede birçok farklı kartla ödeme denemesi, kart bilgilerinin toplu olarak test edildiğinin (kart testleme saldırısı) klasik bir işaretidir. Bu paternleri otomatik yakalayıp geçici olarak engellemek, büyük ölçekli saldırıların erken aşamada durdurulmasını sağlar.

"Ödeme güvenliğinde amaç her işlemi şüpheli görmek değil, şüpheli olanı gerçekten yakalayıp geri kalanın önünü hızlı açmaktır."

İade ve chargeback yönetimi: sahtecilikten sonraki süreç

En sıkı önlemlere rağmen bazı sahte işlemler geçer; bu noktada önemli olan chargeback sürecini nasıl yönettiğinizdir. Her chargeback talebine hızlı ve belgeli yanıt vermek — teslimat kanıtı, IP/cihaz kaydı, 3DS onay bilgisi gibi kanıtları düzenli tutmak — itirazı kazanma ihtimalinizi belirgin şekilde artırır.

Chargeback oranınızı düzenli izlemek de en az önlemek kadar önemlidir; belirli bir eşiği aşan oran, sanal pos sağlayıcınız tarafından işletmenizin risk kategorisini değiştirebilir. Sahte işlem paternlerini (aynı ürün, aynı bölge, aynı zaman aralığı) periyodik olarak analiz etmek, önleyici kuralları güncel tutmanın en pratik yoludur.

Güvenlik ile kullanıcı deneyimi arasındaki denge

Aşırı sıkı doğrulama, meşru müşterileri de yorup ödeme adımında vazgeçmeye iter; bu da güvenlik adına dönüşüm oranından feragat etmek demektir. Doğru yaklaşım, düşük riskli işlemlerde sürtünmeyi minimumda tutup yalnızca gerçekten şüpheli olanlarda ek adım istemektir — yani risk skorlamanın 3DS ve diğer katmanlarla birlikte akıllıca çalışması.

Bu dengeyi kurmanın pratik yolu, güvenlik kurallarını bir kere kurup unutmak değil, sahte işlem ve terk edilen ödeme verilerini düzenli izleyip eşikleri buna göre ayarlamaktır. Kampanya dönemlerinde sipariş hacmi arttığında risk kuralları da geçici olarak gözden geçirilmelidir; yoğun günlerde hem sahtecilik denemeleri hem de meşru sipariş sayısı birlikte artar. Güvenlik ile dönüşüm arasındaki bu dengeyi genel CRO pratikleriyle birlikte ele almak isterseniz dönüşüm oranını artıran 7 yöntem yazımıza bakabilirsiniz.

Ödeme güvenliğinde sık yapılan hatalar

  • 3DS'i dönüşüm kaybı endişesiyle kapatmak: Kısa vadeli dönüşüm artışı, uzun vadeli chargeback riskiyle takas edilmiş olur.
  • Tek bir sabit kural setiyle çalışmak: Risk kuralları güncellenmezse, dolandırıcılar zamanla kalıpları öğrenip aşar.
  • Chargeback kanıtlarını düzenli tutmamak: İtiraz anında teslimat ve doğrulama kanıtı bulunamazsa, meşru işlemler bile kaybedilir.
  • Kart bilgisini sitede saklamak: Kart verisinin işletme sunucusunda tutulması, hem yasal hem güvenlik riskini büyük ölçüde artırır; bu iş her zaman lisanslı ödeme sağlayıcısına bırakılmalıdır.

Kart verisi dışında topladığınız diğer kişisel verilerin korunması da ayrı bir yükümlülüktür; bunu KVKK ve veri güvenliği rehberimizde ele aldık.

Risk seviyesine göre önlem haritası

Ödeme güvenliğini sıfırdan kurarken önerilen uygulama sırası şudur:

  1. Kart bilgisini asla kendi sunucunuzda tutmayın, bu işi lisanslı ödeme sağlayıcısına bırakın,
  2. 3D Secure'u varsayılan olarak açık tutun,
  3. Tutar, adres uyumu ve cihaz geçmişine dayalı temel risk skorlama kurallarını tanımlayın,
  4. AVS, CVV ve cihaz parmak izi gibi ek doğrulama katmanlarını devreye alın,
  5. Chargeback itirazları için kanıt toplama sürecini önceden kurun.

Aşağıdaki tablo, işlemleri risk seviyesine göre nasıl farklı ele alacağınızı özetler; amaç düşük riskli müşteriye sürtünme yaşatmadan yüksek riskli işlemi yakalamaktır.

Risk SeviyesiTipik SinyallerÖnlem
DüşükDüzenli müşteri, geçmişle uyumlu tutar, tek adresSürtünmesiz ödeme, arka planda risk skoru
OrtaYeni müşteri veya ortalamanın üzerinde tutar3D Secure zorunlu kılınır
YüksekAdres uyumsuzluğu, hız anomalisi, şüpheli cihaz3DS + manuel inceleme
KritikKısa sürede aynı cihazdan çoklu kart denemesiİşlemi geçici engelle, güvenlik ekibine bildir

Hızlı kontrol listesi

  • 3D Secure tüm işlemlerde, en azından yüksek riskli olanlarda aktif mi?
  • İşlemler tutar, adres uyumu ve cihaz geçmişine göre risk puanlanıyor mu?
  • Kısa sürede aynı cihazdan çoklu kart denemesi otomatik yakalanıyor mu?
  • Kart bilgisi sitenizde değil, ödeme sağlayıcıda mı saklanıyor?
  • Chargeback itirazları için teslimat ve doğrulama kanıtları düzenli tutuluyor mu?
  • Risk kuralları kampanya dönemlerinde gözden geçiriliyor mu?

Sonuç

Ödeme güvenliği, tek bir önlemle değil; 3D Secure, risk skorlama, adres/CVV kontrolü ve düzenli izlemenin birlikte çalıştığı katmanlı bir yaklaşımla sağlanır. Bu katmanları doğru dengeleyen işletmeler, hem sahte işlem kaybını azaltır hem de meşru müşteriye gereksiz sürtünme yaşatmaz. Şimşek Software'in e-ticaret altyapısı, 3D Secure entegrasyonu ve risk tabanlı doğrulama kurallarını hazır sunar; mevcut ödeme akışınızdaki risk noktalarını birlikte gözden geçirebiliriz.

Bir sonraki adımı birlikte atalım

Markanıza özel bir demo hesabıyla tüm kurumsal özellikleri keşfedin.