Sanal POS Nedir? Sanal POS Güvenliği Nasıl Sağlanır?
Sanal POS Nedir?
Kart ile üye işyerlerinden işlem yaparken kullanılan, Fiziksel POS cihazları gibi internet üzerinden alışveriş için kullanılan, güvenlik düzeyi gelişmiş yazılımsal haline Sanal POS (VPOS-Virtual POS) denir.
Sanal POS Kimlere Verilebilir?
Bireysel müşterilere Sanal POS (VPOS-Virtual POS) verilmez. Şahıs firması, Ticari Firma ya da Vakıf & Derneklere Sanal POS (VPOS-Virtual POS) verilebilir.
Sanal POS Kimlerden Alınabilir?
Sanal POS sahibi, bankalardan veya Ödeme Hizmeti veren Elektronik veya Ödeme Kuruluşlarından Sanal POS hizmeti alınabilir.
Sanal POS’da Yasal Yükümlülükler Nelerdir?
Türkiye’de 6493 sayılı Kanun kapsamında faaliyet gösteren Ödeme ve Elektronik Para Kuruluşları, TCMB tarafından belirlenen kurallara uymakla yükümlüdür. TCMB, bu kuruluşların sunulan hizmetlerin yasa dışı faaliyetlerde kullanılmasını önlemek amacıyla “Ödeme ve Elektronik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi” baz alır.
Sanal POS API Nedir? Yasa Dışı Faaliyetlerin Önlenmesinde API Güvenliğinin Önemi Nedir?
Sanal POS API, E-ticaret sitelerinin bankalar veya ödeme kuruluşları üzerinden güvenli kredi kartı ödemeleri almasını sağlayan teknik entegrasyon altyapısına API denir.
Yasa dışı bahis ve kumar siteleri gibi platformlar, ödemeleri gizlemek ve yasal takipten kaçmak için genellikle zayıf güvenlikli Sanal POS API’lerini hedefler. API’lerin kim tarafından, hangi IP adresinden ve hangi amaçla kullanıldığının denetlenmemesi, bu tür faaliyetler için bir kapı aralar. TCMB Rehberi, API bağlantılarının sıkı bir şekilde kontrol edilmesini, özellikle IP kısıtlamaları ve beyaz liste (whitelist) gibi yöntemlerle sadece yetkili kaynaklardan gelen isteklere izin verilmesini zorunlu kılarak bu kapıyı kapatmayı hedefler.
TCMB’nin Belirttiği Riskler Nelerdir?
-Ödeme Aracının Kabulüne İlişkin Hizmetlerde Belirlenen Asgari Riskler: Bir işlemin veya üye işyerinin normalin dışında bir davranış sergileyip, sergilemediğini anlamak için kullanılan temel göstergelerdir.
-Anormal Ciro Desenlerinin Tespiti: Sektör Ortalamasının Üzerinde veya Ticari Geçmişle Uyumsuz Ani Ciro Yükselişleri
-Şüpheli İşlem Modellerinin Belirlenmesi ve İzlenmesi: İşlem Saatleri ve Zaman Aralıkları, Tekrar Eden Düz Tutarlı İşlemler, Aynı Ödeme Aracından Kısa Sürede Çok Sayıda İşlem Yapılması, Yüksek İtiraz (Chargeback) Oranları
-Üye İşyeri Kaynaklı Risklerin Takibi: Yeni Başlayan veya Ticari Geçmişi Zayıf İşyerleri, Başarısız Girişimler ve Hatalı OTP Denemeleri, Domain Yaşı, IBAN Değişiklikleri ve URL Kontrolleri, İş Yerinin Durmadan IBAN Değiştirmesi
-API Bağlantılarında Güvenlik ve Beyaz Liste (Whitelist) Uygulaması ve Rehber 3.2 G: Güçlü Kimlik Doğrulama ve Yetkilendirme, Güvenli İletişim Protokolleri, API Anahtarlarının Güvenliği, Veri Şifreleme ve API Token ve Back URL Uyumu vb. kurallar bütününü açıklar.