Güçlü Müşteri Kimlik Doğrulaması(Strong Customer Authentication – SCA), Avrupa Birliği Ödeme Hizmetleri Direktifi 2 (Payment Services Directive 2 – PSD2) kapsamında online ödeme işlemlerinde güvenliği artırmak ve sahtekarlığı azaltmak için getirilmiş bir güvenlik gereksinimidir.
SCA, bir online ödeme işleminde aşağıdaki üç bağımsız doğrulama kaynağının ikisinden oluşan bir kombinasyonun kullanılmasını zorunlu kılmaktadır. Bu işleme iki faktörlü doğrulama da denmektedir.
- Kullanıcının bildiği bilgi. (BİLGİ öğesi). Örneğin şifre, PİN veya bilgi temelli bir soru.
- Kullanıcının sahip olduğu bir bilgi. (SAHİPLİK öğesi). Örneğin kart, telefon, OTP vb.
- Kullanıcıyı tanımlayan (biyometrik olarak) bir bilgi. (KALITIM öğesi) Örneğin; parmak izi, yüz tanıma, iris tanıma veya ses tanıma.
SCA şu an aktif midir?
Henüz aktif değil. SCA yürürlük tarihi EBA- European Banking Authority tarafından yapılan son duyuruda 31 Aralık 2020 tarihinde başlayacağı bildirildi.
Hangi durumlarda SCA gereklidir?
Güçlü Müşteri Kimlik Doğrulaması, Avrupa Ekonomik Bölgesi’ndeki (European Economic Area -EEA) “müşteri tarafından başlatılan” online ödemelerde SCA doğrulaması geçerli olacaktır.
Hangi durumlarda SCA gerekli değildir?
Düşük Değerli İşlemler
30 Euro’nun altındaki işlemler “düşük değerli” olarak kabul edilir ve SCA’dan muaf tutulabilir. Ancak, muafiyet kart sahibinin son başarılı kimlik doğrulamasından bu yana beş kez kullanılmışsa veya daha önce muaf tutulan ödemelerin toplamının 100 Euro’yu aşmışsa, bankaların kimlik doğrulama talep etmesi gerekecektir. Kart sahibinin bankasının bu muafiyetin kullanılma sayısını izlemesi ve kimlik doğrulamasının gerekli olup olmadığına karar vermesi gerekecektir.
Düşük Riskli İşlemler
Bir ödeme sağlayıcısının, SCA’nın bir işleme uygulanıp uygulanmayacağını belirlemek için gerçek zamanlı bir risk analizi yapmasına izin verilecektir. Bu, yalnızca ödeme sağlayıcısının ve bankanın kart ödemeleri için geçerli dolandırıcılık (fraud) oranlarının aşağıdaki eşikleri aşmaması durumunda mümkün olabilir.
| Fraud Oranı | Muafiyet Tutarı |
| %0.13 | 100 € altındaki işlemler |
| %0.06 | 250 € altındaki işlemler |
| %0.01 | 500 € altındaki işlemler |
Tekrarlayan ve Satıcı Tarafından Başlatılan İşlemler
Müşteri sabit tutarlı bir dizi tekrar eden ödeme için üye işyerine yetki verdiğinde muafiyet uygulanabilir. Müşterinin ilk ödemesi için SCA istenir, daha sonraki işlemler satıcı tarafından başlatılır ve bu işlemler SCA’dan muaf tutulabilir. İşlem tutarının değişmesi durumunda tekrar SCA gerekli olacaktır.
İşlem tutarının zaman içinde “değişken tutarlı” tekrarlayan iş senaryolarında muafiyet kapsamındadır. Örneğin, bazı ürünler/hizmetler kullanıma bağlı olarak dönem başına değişken bir maliyete sahiptir. Bu tür işlemler “satıcı tarafından başlatılan işlemler” olarak kabul edilir ve SCA gerekliliklerinden muaftır.
MOTO İşlemleri
Posta Siparişi ve Telefon Siparişleri (Mail Order and Telephone Order – MOTO) her durumda SCA’dan muaf tutulacaktır. MOTO işlemleri “elektronik” ödemeler olarak düşünülmemektedir, bu nedenle düzenlemenin kapsamı dışındadır.
Güvenilir İşletmeler
Bir ödeme için kimlik doğrulama işlemini tamamlarken, müşteriler gelecekteki satın alma işlemlerini doğrulamaktan kaçınmak için güvendikleri bir işletmeyi beyaz listeye alma seçeneğine sahip olabilir. Bu işletmeler müşterinin bankası veya ödeme hizmeti sağlayıcısı tarafından tutulan “güvenilir faydalanıcılar” listesine dâhil edilecektir.
Bölgeler Arası İşlemler
Bir onine ödeme işleminde kartın sahibi bankanın (Issuer) veya ödemeyi alacak işyerinin (Acquirer) Avrupa’da bulunmaması durumlarda, bu işlem SCA gerekliliklerinden muaf sayılır.
