Yeni nesil Mobil POS çözümleri (Soft POS, MPOS, SPOC, Tap on Phone)
Özellikle KOBİ’lerin finansal sürdürülebilirlikleri açısından tasarruf alanları yaratmaları bu anlamda teknolojiden faydalanarak yeni çözümler denemeleri beklenen bir durumdur. Kartlı ödeme kabulünde kullanılan klasik terminaller yerine mobil telefon ve tabletlerin ödeme terminali olarak kullanıldığı örnekler giderek yaygınlaşma eğilimi gösteriyor.
Akıllı devrim
Mobil cihazlar tam olarak bir isviçre çakısı olma sıfatının hakkını fazlasıyla vererek yeri geldiğinde mobil bankacılık uygulamalarına erişime imkan tanıyarak bir banka şubesi işlevi görmekte, HCE ve QR teknolojileri ve diğer çok sayıda alternatif ödeme sistemleri ile bir ödeme yapma aracı olarak kullanılabilmekte ve nihayet yazının konusu olan teknoloji sayesinde de ek bir aparata gerek duymadan ödeme alma aracı olarak kullanılabilmektedir. Bütün bu özellikler mobil cihazların klasik bilgisayarlardan çok daha gelişmiş özelliklerle ve sayısız sensörlerle donatılmış olmaları ve internet, BLE veya NFC arayüzleri ile dış dünya ile iletişim kurabilmeleri ve hatta kamera vasıtasıyla alınan görüntünün işlenmesi ile dış dünyadan gelen veriyi kullanabilmeleri özelliğine dayanıyor.
Mobil Terminaller
Bu açıdan bakıldığında mobil ödeme terminalleri aslında yeni bir kavram değil. ilk örnekler GSM operatörlerinin sağladıkları altyapılar sayesinde GPRS mobil poslar ile görüldü. Hatta bu cihazların içindeki sim kartları bazı kuryelerin çıkarıp cep telefonuna takarak eşiyle dostuyla görüştüğüne dair hikayeleri dinledik :) Bu cihazlar halen kullanımda olmakla birlikte teknolojinin sunduğu nimetler yeni alternatifleri ortaya çıkardı.
MPOS — İlk Örnekler
MPOS olarak isimlendirilen bu cihazlar akıllı telefona tutturulan bir aparat vasıtası ile kartlı işlem yapılması esasına dayanıyordu. Klasik ödeme terminallerine kıyasla daha ucuz olmaları tercih edilmeleri yönünde önemli bir kriter olarak göze çarpıyor. Genel olarak 2 model uygulandı :
Payment Facilitator Modeli: Bu modelde facilitator sadece cihazı temin etmekle kalmıyor aynı zamanda müşteriyi de yönetiyor ve bankalara kıyasla daha çevik yapısı sayesinde yaygın kullanım sağlayabiliyor.
Payment Platform Modeli: Bu modelde ise cihaz ve sistemsel altyapıyı sağlayan teknoloji firmaları bunları bankalar gibi finansak kurumların kullanımına sunuyor.
Cihaz yardımıyla kartın manyetik şerit veya çipi okunuyor. İşlem şifreli de gerçekleşebiliyor. Kart okuyucu belirlenen iletişim protokolü üzerinden ödeme verisini tablet/telefon üzerindeki ödeme uygulamasına şifreli şekilde iletiyor. Ödeme uygulaması veriyi Payment Gateway/PF’e iletiyor ve acquirer üzerinden işlem otorizasyona gönderiliyor.
CDCVM (Cardholder Device CVM)
İşlemin şifreli yapılmak istenmesi durumunda CDCVM opsiyonu da mevcut. Kart hamilinin ödemeyi bir mobil cihaz ile yapıyor olması durumunda ödeme terminali olarak kullanılan COTS cihaza şifre girişini açık bir şekilde girmektense kart sahibinin mobil cihazı üzerinde yapılan doğrulama (Face id, finger print, PIN vb)sonucunun terminale gönderilerek işlemin sonlandırılması da mümkün.
İlk örnekler ABD’de Square, Intuit, Paypal gibi firmalardan geldi ve bu örnekler ilk dönemlerinde magstripe+imza şeklinde çalışıyordu. Avrupa’daki en dikkat çekici örnek ise sonrada Paypal tarafından 2.2 milyar dolara satın alınan İsveç’li İzettle.
Türkiye’deki Durum
Teknolojiye olan hızlı adaptasyonu ile her zaman gurur duyduğumuz Türk bankacılık sistemi dünya üzerinde kullanılan hemen her tür MPOS çözümünü denemiş ve denemeye devam ediyor diyebiliriz.
Tabi bu örneklerin tamamı aparatlı EMV ve manyetik işlem yapan ürünler değil. Zaten bu konuda oldukça fazla terim ve bir karmaşa söz konusu. Mobil olarak kullanılabilen herşey “MPOS” olarak tariflenebiliyor. Aşağıda bu konudaki çözümleri gruplayarak tanımlamaya çalıştım.
Terim enflasyonu
Sektörde faaliyet gösteren kartlı ödeme kuruluşları, PCI ve EMVco gibi kurumlar ve piyasanın kendi dinamikleri neticesinde kendiliğinden ortaya çıkan kullanımlarla birlikte mobil posları tanımlayan oldukça fazla terim olduğunu farkettim. En azından kendi zihnimi berraklaştırmak adına bulabiliklerimi doğru olduğunu umarak aşağıda tanımlamaya çalıştım.
- Soft POS : Software only POS, yani cep telefonu tablet gibi cihazların ek bir donanım ihtiyacı duymadan yazılımsal güncellemeler ile temassız işlem yapabilir hale gelmesidir. Bu yapı android işletim sistemine sahip cihazlar üzerinde kurgulanabiliyor ve cihazın temassız işlemi algılayabilmesi için NFC özelliğinin bulunması gerekiyor. Daha geniş bir kavram olarak SPOC‘u karşılayacak şekilde de kullanılabiliyor.
“SoftPos” ayrıca Türkiye’de Paycore tarafından patentlenmiş durumda. Patent sorgusu bu adresten halka açık şekilde yapılabiliyor.
2.Tap on Phone : Genellikle Mastercard tarafından kullanılan bir terminoloji. Trademark olarak kayıtlı değil. Soft POS ile aynı anlamda kullanılıyor.
3.Tap To Phone : Tap On Phone ile aynı anlamda kullanılıyor, genelllikle Visa’nın tercih bir terim.
4.Tap To Pay : Tap to Phone ile aynı anlamda kullanılıyor (Visa tarafından)
5. CPOC (PCI terminolojisi): Contactless Payments on COTS
6. COTS : Commercial of the shelf. Bir kişiye veya kuruma özel geliştirilmemiş, genel ihtiyaçlara binaen tasarlanmış ve standart halde satışa sununlan ürünler COTS olarak isimlendirilir. Soft POS bir COTS cihaz üzerine gerekli yazılımın uygulanması suretiyle cihazın temassız işlem kabul eder hale gelmesidir.
7.SPOC : Software based PIN on COTS. Yani COTS cihazlar üzerinden ekran aracılığı ile şifre girişine imkan tanınması. PCI standardında bir SPoC çözümü SCRP (Secure Card Reader — PIN) bir PIN CVM uygulaması işyerinin COTS cihazı ve Back-end Monitoring/Attestation sistemlerinden oluşur.
8. PIN On Glass: Her ne kadar SPOC ile aynı anlamda kullanılsa da farklı şeyleri ifade ediyorlar. SPOC için asgari komponentler yukarıda belirtilmekle birlikte PIN on glass PCI PIN Transaction Security (PTS) onayı bulunan gerçekten ödeme amaçlı üretilmiş ve şifreyi ekran üzerinden (Cam ekran — glass) alan terminaller için kullanılmaktadır.
9. Pin On Mobile : SPOC ile aynı anlamda kullanılıyor
10. PIN on COTS : SPOC ile aynı anlamda kullanılıyor
Beş Farklı Grup
MPOS her ne kadar piyasada ilk gördüğümüz aparatlı versiyonlar için kullanılan bir terminoloji olsa da “Mobil POS” ifadesi mobil olarak kullanılabilen bütün terminaller için kullanılabilir. Bu açından 5 çeşit mobil POS grubu olduğu söylenebilir :
1. Klasik POS üreticileri tarafından üretilen ve mobil olarak kullanılabilen terminaller
2. İlk kullanılan dongle/ek cihaz yardımıyla kartı okuyan versiyonlar
3. Mobil cihazlar ile kart görselini tanıyarak, manuel giriş ile ödeme bilgilerini alarak veya oluşturulan linki müşterinin cep telefonuna göndererek E-comm işlem gerçekleştiren çözümler
4. Tap to Phone çözümü
5. PIN on COTS (PIN On Glass) çözümü
Tap to phone terminaller sadece temassız işlem yapmaları ve PIN kabul etmemeleri bakımında diğer terminal tiplerinden ayrılıyor. PIN’in network üzerinde şifreli de olsa taşınmıyor olması güvenlik açısından bir avantaj olarak değerlendirilebilir.
Yeri gelmişken ödeme verisi mi yoksa PIN’mi daha kritik sorusunu kendime sorduğumda cevabım ödeme verisi oluyor. Nedeni ise çok basit, PIN bilgisi olmadan sadece ödeme verisi ile (Kart no, SKT ) çeşitli kartlı işlemler yapmak mümkün iken ödeme verisi olmadan sadece PIN ile herhangi bir olumsuz durumun yaşanması mümkün değil. Tabi PIN’li yapılan işlemlerin finansal yükümlülüğünün istisnasız kart hamilinde olması ve kart verisi ile birlikte açığa çıkması durumunda limit/bakiye kadar risk yaratması hassasiyet seviyesini haklı olarak artırıyor.
Son Gözde — SOFT POS
İşyerleri android işletimli cep telefonlarına veya tabletlere başka hiçbir aracı cihaz kullanımına gerek kalmadan bir uygulama indirmek suretiyle temassız kart, bileklik, saat,telefon vb temassız ödeme kabiliyeti olan bütün ödeme araçlarından ödeme kabul eder duruma gelmektedir. Öncelikli kullanım alanları :
1) Küçük işletmelerin kolayca kart kabul eder hale gelmesi
2) Büyük işletmelerde ödeme kuyruklarını yok etmek üzere kullanılabilecek alternatif bir çözüm
3) Mobil veya yol kenarı işletmeler için uygun çözüm
4) Festivaller, spor organizasyonları, konserler vb yoğun kalabalığın olduğu düzensiz organizasyonlar
5) Mobil satış elemanları
Hatta bir adım ileri giderek telefon üzerinden şifre girişi yapılarak sadece CVM limiti altındaki işlemler ile sınırlı kalmadan tutar sınırı olmadan işlem yapılabilmesi mümkün hale geldi.
Tap to Phone için temassız spesifikasyonlarının yanında tap to phone spesifikasyonları da kullanılıyor. Ayrıca payment app için kartlı ödeme kuruluşları tarafından SDK verilmesi de söz konusu.
Veri Güvenliği Yöntemleri
Sokaktaki insanın kullanımına sunulan ürünler açısından genellikle güvenlik ve kullanım kolaylığı arasında uygun denge gözetilmeye çalışılır. Gerekmediği taktirde güvenlik seviyesini artırarak ürünün kullanımının zorlaştırılması tercih edilmez. Ödeme terminali olarak kullanılmak üzere üretilmemiş olan COTS cihazlar da bu mantıkla güvensiz olarak kabul edilmekte dolayısıyla piyasada kullanımları arttıkça da regüle edilmek üzere güvenlik standartları PCI gibi ilgili standardizasyon organizasyonları tarafından oluşturulmaktadır.
Cihaz üzerinde ödeme verisi güvenliği aşağıdaki üç yöntemden biri ile sağlanıyor.
- Secure Element
- TEE (Trusted Execution environment)
- White Box Cryptography
Cihaz üzerinde güvenli kabul edilen fiziksel bir alan içerisinde ödeme verisinin saklanması esasına dayalı Secure Element çözümü geçmiş dönemlerde en popüler yöntem iken HCE ve tokenization teknolojilerinin gelişmesi ile bu ihtiyacın ortadan kalktığı kanıtlanmış oldu.
Standartlar
1.PCI’ın CPOC yani tap on phone ürünü ile ilgili Aralık 2019 tarihinde yayınlammış olduğu bir “Security and Test Requirements” dokümanı mevcut. Web sitesi üzerinde henüz PCI sertifikası alarak listelenmiş bir ürün mevcut değil. Söz konusu standartların değerlendirileceği yetkilendirilmiş laboratuvarlar mevcut. Firmalar geliştirdikleri ürünleri yetkili laboratuvarlar ile test ettirip sertifikalandırabiliyorlar.
2. PCI tarafından hazırlanan bir diğer standart “Software-based PIN Entry on COTS”. PCI’ın PIN güvenliği ile ilgili standardı “PCI PIN Transaction Security Point of Interaction” PIN’in terminalin fiziksel sınırları içerisinde güvenli şekilde işlenmesine yönelik kuralları belirlerken yazılım odaklı SPOC uygulamalarında cihaz dışındaki sistemler de kapsama alınarak aşağıdaki standartlar oluşturulmuştur :
- “attestation” sistemlerin güvenliğine yönelik beyan alınması
- “detection” sistemlerde anomalilerin tespitine yönelik izleme mekanizmalarının kurulması
- “response” tespit edilen olumsuzlukları gidermeye yönelik aksiyon planlarının hazırlanması
3. PCI tarafından yayınlanan dongle çözümünde PIN’in korunması için uygulanacak standartlar “Secure Card Reader for PIN (SCRP)” ve “PCI PIN Transaction Security Point of Interaction (PTS POI)”
4.Yine EMVco tarafından Nisan 2020'de yayınlanan “Software-based Mobile Payment Security Requirements” dokümanı ödeme uygulama geliştiricilerine güvenli bir ödeme uygulaması geliştirmeleri yönünde klavuzluk edecek nitelikte. Tap to Phone uygulamasına özel bir standart henüz belirlenmiş değil.
VUK 507 Güvenli Mobil Ödemeler ve Elektronik Doküman Yönetimi Tebliği
GİB tarafından yayınlanan tebliğ ve eki sayılabilecek “Güvenli Mobil Ödeme ve Elektronik Belge Yönetim Sistem Başvuru, İzin, Onay ve Denetim Süreçleri Kılavuzu” ile yapılan satışlara ilişkin mali belgelerin elektronik ortamda oluşturulmasına imkan tanınmıştır. Söz konusu tebliğ Mpos uygulamalarının Türkiye’de yaygınlaşmasına katkı sağlayacaktır.
Sonuç
Bütün bu gelişmeler klasik ödeme terminallerinin kullanımdan kalkacağı anlamına mı geliyor ? Kişisel görüşüm kısa vadede bunun gerçekleşme ihtimalinin çok düşük olduğu yönünde. Gelişmeler mevcut ürünlerin de dönüşmesini sağlayacak ve asıl etkisi daha fazla tüccarın daha farklı ticari işlemlerde kartlı ödeme alır hale gelmesi olarak tezahür edeceği yönündedir.
Konuyla ilgili farklı okumalar yapmak isterseniz çalışma arkadaşlarımın hazırlamış olduğu detaylı yazılar için linkleri buraya bırakıyorum :
Kaynaklar:
https://www.emvco.com/emv-technologies/mobile/
https://www.gib.gov.tr/vergi-usul-kanunu-genel-tebligi-sira-no-507
https://visaready.visa.com/mpos.html
https://mpos.mastercard.com/corporate/_assets/img/features/MA_MPOS_Acquirer_Go_To_Market_Guide.pdf
