Visa contactless dünyasına dışarıdan bakınca her şey çok basit görünüyor. Kartı okuttun, işlem geçti ya da geçmedi… Ama işin içine biraz girince özellikle limit aşımı ve PIN devreye girdiği noktada konu bir anda derinleşiyor. Biz de tam böyle bir noktada ilginç bir problemle karşılaştık.
Geçtiğimiz günlerde bankamız kartları ile yurtdışında yapılan temassız işlemlerde, temassız işlem limiti dolan müşterilerde karşılaştığımız bir durumu biraz detaylı anlatmak istiyorum. İşin zor tarafı şu ki problem tüm ülkelerde yaşanmıyordu. Bazı ülkelerde her şey olması gerektiği gibi çalışırken, bazı ülkelerde hata alınması işi daha da karmaşık hale getiriyordu. Örneğin Hollanda’dan yapılan işlemlerde POS cihazı “Temassız işlem limitiniz doldu, temaslı işlem yapınız” şeklinde oldukça net ve yönlendirici bir mesaj verirken, Suudi Arabistan’da yapılan işlemlerde POS cihazı doğrudan hata ekranı gösteriyordu.
Aynı kart, aynı limit, aynı senaryo… ama tamamen farklı kullanıcı deneyimi.
İlk bakınca insanın aklına klasik sorular geliyor: limit mi farklı, ülke mi farklı, risk mi devreye giriyor? Ama biraz derine indikçe meselenin aslında çok daha temel bir yerde olduğunu fark ediyorsun: issuer’ın verdiği cevap ve POS’un bunu nasıl yorumladığı.
Visa, PSD2 ile birlikte contactless tarafında önemli bir yaklaşım değişikliği yaptı. Eskiden mantık basitti: limit aşıldıysa işlem iptal edilirdi. Ama yeni modelde Visa diyor ki “iptal etme, kullanıcıyı doğrula ve devam et.” Yani işlemi kesmek yerine bir adım daha ekliyor.
Bu da bizi 70 response code’a getiriyor.
70 dediğin şey aslında çok insani bir mesaj:
“Bu haliyle olmaz demiyorum, ama önce PIN gir sonra devam edelim.”
Yani sistem sana “hayır” demiyor, “bir dakika” diyor.
Bizim alıştığımız 65 ise tam tersi:
“Bu işlem olmaz.”
İşte bu iki cümle arasındaki fark, sahadaki davranışı tamamen değiştiriyor.
Ama işin asıl ilginç tarafı buradan sonra başlıyor. Çünkü sen issuer tarafında ne kadar doğru şeyi yaparsan yap, karşı taraftaki POS cihazı bunu senin gibi anlamıyorsa hikâye bambaşka bir yere gidiyor.
Avrupa’da işler bu anlamda oldukça “kitaba uygun” ilerliyor. POS cihazları 70’i biliyor, ne demek istediğini anlıyor ve PIN isteyerek işlemi devam ettiriyor. Yani senin kurduğun akış gerçekten çalışıyor.
Ama EMEA dışına çıkınca işler biraz daha gerçek hayata dönüyor. Bazı POS’lar 70’i doğru yorumluyor, bazıları bunu sıradan bir hata gibi görüyor, bazıları da hiç uğraşmadan işlemi kesiyor. Sen aslında “devam edebiliriz” diyorsun, karşı taraf “tamam kapattım” diyor.
Bizim yaşadığımız problem de tam olarak buydu. 65 döndüğümüzde bazı POS’lar tekrar deniyordu ama bazıları direkt işlemi bitiriyordu. Halbuki Visa’nın kafasındaki akış bu değil. Oradaki amaç, kullanıcıyı PIN’e yönlendirip işlemi tamamlamak.
Bunu biraz daha günlük bir örnekle anlatayım.
65 demek, kapıya gelip zil çaldığında kimsenin açmaması gibi.
70 demek daha çok şöyle: kapı açılıyor ama içeri girebilmek için kimlik soruluyor.
Şimdi sen aslında “gel içeri, ama kimliğini göster” demek isterken “kapalıyız” demiş oluyorsun. POS da buna göre davranıyor.
Peki çözüm ne? 70’e geçmek mi?
Kısa cevap: evet, büyük ölçüde. Ama sihirli bir değnek değil.
Çünkü 70 global bir Visa kodu olsa da, dünyanın her yerinde aynı olgunlukta uygulanmış değil. Avrupa’da çok stabil çalışıyor. Diğer bölgelerde ise daha “şansına” diyebileceğin bir davranış var. Çoğu zaman düzelir ama her zaman değil.
Bu noktada Türkiye tarafında da aslında benzer konuların düzenlendiğini söylemek lazım. BKM’nin temassız işlemlerle ilgili yaptığı düzenlemeler ve özellikle CVM altı işlemlerle ilgili akış değişiklikleri, bu davranışı standartlaştırmak adına önemli bir rol oynuyor. Yani bu konu sadece global bir problem değil, lokal tarafta da aktif olarak yönetilen bir alan.
Bu konunun Türkiye ayağıyla ilgili detayları da daha önce yazdığım aşağıdaki yazılarda bulabilirsiniz:
Bu yazılarda özellikle yurtiçi akışın nasıl değiştiğini ve CVM altı işlemlerin nasıl ele alındığını daha detaylı anlatmaya çalışmıştım.
Bu noktada benim en çok hoşuma giden ama bir o kadar da zor olan gerçek şu:
Ödeme sistemlerinde sadece doğruyu yapmak yetmiyor.
Karşı tarafın o doğruyu nasıl anladığını da yönetmek gerekiyor.
Yani iş sadece “spec’e uyumlu” olmak değil.
Aynı zamanda “gerçekte ne oluyor?”u da sürekli gözlemlemek.
Sonuçta geldiğimiz nokta şu oldu:
Contactless işlemlerde PIN’e geçiş için doğru semantik 70.
Ama bunu kullandığın anda her şey otomatik düzelmeyecek.
Oradan sonra iş, gözlemlemek, ölçmek ve gerektiğinde adapte olmak.
Ve açıkçası, bence ödeme sistemlerinin en zor ama en öğretici tarafı da tam olarak burası.
Ve galiba işin en güzel tarafı da bu.
Bu tip konular kitaplarda çok net, çok temiz anlatılıyor. Ama sahaya indiğinde, farklı ülkelerde, farklı POS’larda, farklı acquirer’larda iş bambaşka bir hale geliyor. Ve en çok öğrenme de aslında burada başlıyor.
Benim için bu olayın en keyifli tarafı şuydu: bir yandan teknik olarak doğruyu çözmeye çalışıyorsun, bir yandan da dünyanın geri kalanının bu doğruyu nasıl uyguladığını anlamaya çalışıyorsun. İkisini birden yönetmek de aslında işi gerçekten “ödeme sistemleri mühendisliği” yapan şey.
Eğer sen de benzer şeylerle uğraşıyorsan, muhtemelen aynı duyguyu yaşıyorsundur.
“Ben doğruyu yapıyorum ama neden her yerde aynı sonuç çıkmıyor?” sorusu bu işin değişmez parçası.
Ama işte tam da bu yüzden keyifli.
Çünkü her problem biraz daha derine inmeyi, biraz daha sistemi anlamayı ve bazen de “doğruyu biraz esneterek daha doğru sonuca ulaşmayı” öğretiyor.
