3D Secure, online kart islemlerinde kart sahibinin gercekten o kisi oldugunu dogrulayan güvenlik protokoludur. Visa\'nin gelistirdigi standartlar (3 Domain Secure) Mastercard (SecureCode), American Express (SafeKey) tarafından da uyarlanmistir.

Iki versiyon vardir:

• 3DS 1.0 (eski) → SMS ile gelen 6 haneli kod, %15-20 müşteri biraktirma
• 3DS 2.0 / EMV 3DS (yeni, 2022 sonrası zorunlu) → akilli risk analizi, %60+ friction-less, bank uygulaması ile push notification

3D Secure aktif olan islemlerde:

• Chargeback (fraud sebepli) sorumluluk bankaya gecer, satici korunur
• Fraud orani %80+ azalir
• Bazi musterilerde ekstra adım → abondon orani artabilir

EMV 3DS 2.0 ile musteriyi rahatsiz etmeden onaylama yapılır (friction-less). Bunun için sistem 100+ veri parametresi bankaya gonderir:

• Cihaz parmak izi (browser, OS, screen)
• IP adresi ve lokasyon
• Davranissal veriler (kac saniye site\'da kaldi)
• Kart tarihcesi (bu kartla daha önce işlem yapılmış mi)
• E-posta tarihcesi
• Telefon dogrulamasi
• Kargo adresi vs fatura adresi karşılaştırma

Banka risk skoru hesaplar:

1. Düşük risk (skor 0-30) → friction-less, müşteri OTP girmeden onaylanir
2. Orta risk (skor 30-70) → SMS OTP veya banka uygulaması push
3. Yuksek risk (skor 70+) → işlem reddedilir veya manuel onay

Friction-less orani %60+ hedeftir. Yuksek friction-less = daha az terk = daha çok satış.

PCI DSS (Payment Card Industry Data Security Standard), kart verisi tasiyan tüm sistemler için uluslararasi güvenlik standardidir. 12 ana gereklilik vardir:

1. Firewall kur ve güncelle
2. Varsayilan sifreleri değiştir
3. Kart sahibi verisini koru
4. Açık aglarda iletisimi sifrele
5. Anti-virus kullan ve güncelle
6. Güvenli sistem ve uygulama geliştir
7. Erişim kontrolu uygula (need-to-know)
8. Tüm kullanicilara unique ID ver
9. Fiziksel erişim kontrolu
10. Network erişim takibi (log)
11. Duzenli güvenlik testi (penetration test)
12. Bilgi güvenlik politikasi oluştur

Sertifika seviyeleri:

• Level 1 → yıllık 6M+ işlem, on-site audit
• Level 2 → 1M-6M işlem, self-assessment + scan
• Level 3 → 20K-1M işlem, self-assessment
• Level 4 → <20K işlem, self-assessment

Sistem iyzico/PayTR uzerinden tahsilat yapildigi için satici kart verisini hic tutmaz, sadece token tutar. Bu yöntem PCI DSS yukunu çok azaltir (SAQ A formu yeterli olur).

Iyzico/PayTR için built-in fraud detection sistemi vardir. Sistem her islemde risk skoru hesaplar ve yuksek risklileri otomatik reddeder veya manuel onaya gonderir.

Fraud kontrol parametreleri:

Sistem ayarları:

1. E-Tahsilat → Ayarlar → Fraud Kurali
2. Esik değerleri belirleyin (orn. >70 manuel onay, >90 red)
3. Kara liste yönetimi (e-posta, telefon, IP)
4. Beyaz liste yönetimi (VIP müşteriler)
5. Whitelist saatleri (orn. 24/7 açık)

Manuel onay gerektigi durumda yetkili e-posta ve sistem ici bildirim alir, onaylayinca işlem devam eder.

Özet:

• 3D Secure 2.0 (EMV 3DS) zorunlu, friction-less hedef %60+
• PCI DSS uyumu → iyzico/PayTR tokenizasyon ile yuk azalir
• Fraud detection 100+ parametre, risk skoru
• IP/lokasyon analizi, VPN tespit, kara liste yönetimi
• SMS OTP veya banka uygulaması push ile 2FA

Önerilen güvenlik ayarları:

1. 3D Secure her zaman aktif (zorunlu)
2. Yuksek tutar (>5000 TL) için manuel onay
3. Yabanci IP\'den işlemleri farklı kural
4. Birden fazla basarisiz deneme → geçici blok
5. SSL sertifikasi Let\'s Encrypt yerine EV SSL (firma onayli)
6. Yillik penetrasyon testi
7. Personel egitimi (sosyal muhendislik bilinci)