15 Mayıs 2006

Chip ve Pin ve Ben



Bankalararası Kart Merkezi -kendi cümleleriyle- kartlı ödeme sistemi içerisinde ortak sorunlara çözüm bulmak, ülkemizdeki banka ve kredi kartları kural ve standartlarını geliştirmek amacıyla 1990 yılında, 13 kamu ve özel Türk bankasının ortaklığı ile kurulmuş. Senin ne alakan var diyeceksiniz, anlatacağım konu dışında kendileri beni veritabanlarındaki bir "entry" olarak tanırlar, 2001 krizinde çalıştığım şirket zor duruma düşünce doğal olarak kredi kartı ödemelerim aksamış, ben telefonla ulaştığım BKM'nin ortakları olan bankalara "Yahu bu kriz bankalar sisteminin yarattığı bir kriz değil mi, sizin krizinizin faturasını niye bana çıkarıyorsunuz, bu kadar faizi akşamdan sabaha nasıl uyguluyorsunuzi bi durun hele..!" dedikçe robotik tonlarda değişik defalarda "Kusura bakmayın yerseniz, sizin için yapabileceğimiz başka birşey var mı?" yanıtlarını almıştım. Bankalar krizi atlattılar ama benim BKM'nin öcü müşterler veritabanından çıkmam uzun zaman aldı, bankalar nezdindeki kredibilitem yerlerde süründü yıllarca, hayatım altüst oldu...

Çilek Reçeli...
Ve intikam zamanı..! Şimdi bu BKM'deki arkadaşlar kredi kartlarının güvenliğini arttırmak üzere düşünüp taşınmışlar yurtdışında örnekleri de olan "Chip&Pin" adlı bir sistemi güzide memleketimizde uygulamaya karar vermişler. Aylar önce ilk duyduğumda okuma yazmam az olduğu için "Fish&Chips" kampanyası var zannedip soluğu o zaman pek sık gittiğim(iz) birahanede almıştım. Neyse uzatmaya gerek yok bu "Chip&Pin" hadisesi artık kredi kartları ile ödeme yaptıktan sonra kart makbuzlarındaki tutara imza ile değil POS makinesinin uzantısı olan ya da kendi üzerindeki tuşlara sadece kendinizin bildiği bir şifreyi girerek onay vermek manasına geliyor. Bir süredir uygulamada olan bu sistem, tüm kredi kartları zorunlu olarak chipli hale getirildikten sonra mecburi hale dönecekmiş, yani o zaman "Benim parmaklarıma çilek reçeli bulaştıydı, şimdi sizin makineyi yapış yapış yapmayayım, imza atıversem olma mı?" demek işe yaramayacak, tıpış tıpış şifremizi gireceğiz her yerde...

If an Error is Possible...
E peki ben bu kadar lafı niye sarfediyorum derseniz, işte geliyor; Bu uygulama başladığından beri şifre girerek yaptığım her alışverişte -ki bu yazıyı yazmaya karar verdikten sonra son birkaç günümün geçtiği dört ayrı şehirdeki büyük-küçük her türlü mağaza, market, bakkal vs dahildir- dikkat ediyorum şifreyi girerken aslında kaç paralık harcamaya onay verdiğimizi görmüyoruz..!

Konuyu biraz daha açayım; Birinci senaryoda "Chip&Pin" uygulamasından sonra yaygınlaşmaya başlayan müşterinin şifre girmesi için kullanılan numerik keypad cihazlarını gözümüzün önüne getirelim... Bir markete girdik, ya da bir benzinlikte ödeme yapıyoruz, kasiyer POS cihazının ana ünitesine kartımızı sokup alışveriş tutarımızı giriyor ve ardından bize numerik keypadi uzatıyor. Pratik uygulamalarda dikkat ettim, kasa görevlileri POS cihazlarını -doğal olarak- kendi görüş ve kullanımlarına uygun şekilde yerleştiriyorlar, hele bir de alışveriş yaptığınız yer kalabalıksa o ekrandan hangi tutarın harcama tutarınız olarak girildiğini görmek pek de kolay değil. Kaldı ki görsek bile o ekran bir operatör ekranı, son kullanıcı için tasarlanmış değil. Evet kasiyerin şifremizi girmek için keypadi bize uzattığı ana geri dönüyorum, cihazın ekranına bakıyorum ama o da ne..? Ekran sadece kullanılan kredi kartı ve cihaza göre ufak tefek değişiklikler içermekle birlikte sadece "Şifrenizi giriniz" manasında birşeyler yazıyor. E tabi bu teknolojiye yeniyiz, gelişmekte olan ülke vatandaşı ezikliğiyle tıpış tıpış tuşluyoruz rakamları, en sağdaki yakışıklı ve tombik yeşil tuşa da basınca POS makinesi tereyağından kıl çeker gibi iki kopya makbuz yazıyor ve görevli ilgiyi kopyayı bize teslim ediyor. Şimdi bunda ne var diyeceksiniz..? Ben de diyeceğim ki "Yahu ben kaç para için onay verdim..?" Farz-ı mahal 34.75 YTL tutarında bi DLC Öküzgözü kırmızı şarap, yarım kalıp Ezine peyniri, ufak bi parça eski kaşar aldım ama kasiyer dalgınlıkla -ya da kötü niyetle- POS makinesine 34.75 yerine 347.5 yazdı ve bana uzatılan ekranda o rakam görünmediği için tıkır tıkır şifremi girdim ve makbuzu -elime- aldım. (Büyük marketlerde harcama tutarı kocaman monitorlerde görünüyor zaten filan demeyin onların çoğu POS makieneleriyle entegre değil, harcama tutarları kasiyer tarafından ayrıca elle tuşlanıyor.) Tam o anda şeytan dürttü kasiyerin verdiği kredi kartı makbuzuna baktım ve o da ne..? 34.75 yerine 347.5 YTL çekilmiş kredi kartımdan!!! İşte bu nokta BKM'nin bittiği andır sayın seyirciler! Ne yapacağım şimdi, kasiyerle konuşup bu satışı iptal etmesini mi isteyeceğim, bankamı mı arayacağım yoksa BKM'ye mi başvuracağım..? Olay en basit haliyle kasiyerin bir iptal başvurusu ile çözülse bile burada güvenlik arttırıcı bir prosedür olarak önümüze koyulan "Chip&Pin" müessesesinin daha çok problemlere yol açacağını görüyoruz! "Yahu ne olacak eğil de kasiyer yazarken iki saniye bakıver POS cihazının ekranına ya da makbuzu alınca hata görürsen rica ediver düzeltiversinler" demeyin efendiler, hata oluştu bir kere..! Tasarım disiplininin en temel kurallarından birisi çiğnenmiş bu sistem oluşturulurken; "(Üründe/Sistemde)...hata yapmak mümkünse birisi mutlaka yapar!" Ve evet bu sistem çözmek iddiasıyla geldiği en büyük sorunlardan daha büyük bir hata olasılığı ile geliyor kullanıcının önüne! Düşünün "Chip&Pin" öncesinde önümüze en azından imzalamamız için makbuz geliyordu, imzamız yoksa o harcama geçerli değildi. En kötü ihtimalle de imzamız taklit edilir çözümü mahkemelerde arardık... Şimdi ne olacak, iş çıkışı yorgun argın benzinciye girdiniz, zaten trafikten canınız çıkmış, kafanızda hala patronunuza saydırıyorsunuz, ya da yandaki kubikte dün sabah çalışmaya başlayan güzel kız/ yakışıklı oğlan "Pardon hela ne tarafa düşüyo?" derken aslında sizinle oynaşıyor muydu yoksa sadece o anda orada olduğunuz için mi size sordu diye rüyalara dalıp gidiyorsunuz ve kasiyerin uzattığı numerik keypade şifrenizi girip onay veriverdiniz. Hatta makbuzu da bakmadan cebinize attınız ki artık siz bu aşamada "Fish&Chip&Pin" teknolojisine upgrade ettiniz sayın kendinizi... Hadi benzinci örneğini bir yana bırakın, güvenlik açısında daha riskli yerleri ya da alkollü mekanlarda gecenin geç saatlerinde kafanız binbeşyüzken yapacağınız harcamaları düşünün..!

İkinci senrayo da farklı değil, daha dün yemek yediğim bir restoranda dikkat ettim garson numerik keypadi olmayan kablosuz POS cihazını oturduğum masaya getirdi, ekranda yine tutar yoktu "Şifrenizi girin" yazısına boyun eğerek tıpış tıpış girdim şifremi...



Külahıma... Biraz Daha Yüksek Sesle Lütfen...
Şimdi diyeceksiniz ki bunda büyütecek ne var, adamlar bir yazılım güncellemesi yapar ekranda onay vereceğin tutarı yazdırırlar hemen... E öyle de bu sistem hayata geçmeden önce hiç mi simule edilmemiş, beta testleri yapılmamış..? Yazıyı yazmadan önce BKM'nin sitesine baktım bu konuda herhangi bir uyarı var mı diye ama son kullanıcı ile ilgili kısımda "Alışveriş tutarınızı kontrol ettikten sonra, ödemenizi onaylamak için şifrenizi girin ve ardından "Giriş/Enter" tuşuna basın." işyerleri ile ilgili kısımda da "chip&PIN yöntemine geçişle, yapılan alışverişlerde olası bir ihtilaf (kayıp/çalıntı ya da sahte kart kullanımı) durumunda, yapılan harcamadan chip&PIN'e uygun olmayan taraf, yani işlemi hatalı veya eksik yerine getiren taraf sorumlu tutulacaktır. MasterCard ve Visa, bu uygulamaya 'sorumluluk devri' adını vermiştir." şeklinde bilgiler var. Ama BKM'nin krizde bana karşı sergilediği tutuma karşılık olarak ben de bu bilgileri "Gel de külahıma anlat" diyerek "Külahıma..." başlığı altında topladım. Ya yurtdışında nasıl oluyor, madem ithal bir müessese derseniz BKM'nin sitesinden İngiltere ve İrlanda örneklerine baktım bu konuya BKM kadar değinmişler, külahım Ingiliz dilinden anladığı için onları da sabırla dinleyecektir diye tahmin ediyorum...

Dağlar...
BKM'ye bu konuda bir mail yazacağım, cevap gelirse burada yayınlarım belki de... Belki de diyorum çünkü gelen cevapta "Arkadaşım bizim sistemde sorun yok, numerik keypadin ekranına şaşı bakınca harcama tutarı görünüyo senden başka da kimse mızmızlanmadı bu sistem hakkında" manasında bişiler olursa çok bozulurum ve cevabı yayınlamam... Böyle bir insanım... Tavşanım ben... Dağlara küserim ama küser küsmez dağları haberdar ederim... Gerisi onların bileceği iş...

Linkler:
Bankalararası Kart Merkezi
Chip&Pin Resmi Web Sitesi

4 yorum:

Skoer dedi ki...

su ana kadar kimse bana ne chip dedi, ne pin gir dedi. merakla bekliyorum, cok heyecanliyim. kasiyer arkadaslara basarilar diliyorum.

MartinMystere dedi ki...

Şanslısın diyorum, güvenli (!) alışverişin tadını bir süre daha sürebilirsin böylece :) Kasiyer arkadaşlar canavarlar zaten, geçen gün birisi "Beyfendiiiii kartınızın şifresi kaaaç?" diye bağırdı, POS cihazını bana uzatmaya üşenip :) Tabi henüz kimse bana chip ya da pin demedi demen Chip&Pin hadisesinin BKM tarafından sadece bana karşı tezgahlanmış bir oyun olması olasılığını gündeme getirdi :P Ama olsun... Onların ışıltılı kredi kartlarından yapılmış yeldeğirmenleri beni durdurmaya yetmeyecek..!

siddet abla dedi ki...

Valla ben en az 3-5 kere şahit oldum "Şifreniz kaç?" sorusuna..

İlkinde garson kredi kartımı vermemi takiben bana "Şifreniz var mı?.." şeklinde abes bir soru yöneltti, benim "Evet var şifrem, doğrudur, n'oolmuş?" şeklinde cevabımın ardından "E lazım da.." gibi bişeyler geveledi, ancak benden "E tamam kardeşim getir POS'u gireyim, ne demek istiyorsun?" azarımdan sonra (şu şiddet ablalık her daim lazım olmuştur:) suratı beş karış kös kös gitti getirdi..

Ben "Abi manyağa bak şifremi soruyor, nasıl iş.." diye söylenirken bir de baktım ki bir çok müessese aynen soruyor. Hatta birinde arkadaş üşenip, çatır çatır yüksek sesle söyledi şifresini benim dumurlarım arasında! Sonra "N'aaaptın abi??" deyince de "Ayy ne biliim bi an sorunca söyleyiverdim işte" demez mi!

Anlayacağımız gerçekten çok güvenli oldu bu iş.. Tıpkı internet bankacılığında 2 ayda bir son 8 şifrenden farklı şifre tanımlatıp ayrıca türlü güvenlik sorusu, müşteri numarası gibi 8 haneli akılda tutamayacağın sittin tane rakam tanımlatmaları gibi.. Böylece yazıyorsun o şifreleri, numeroları kağıt parçalarına ki ilk bulan hazine bulmuş gibi olsun..

MartinMystere dedi ki...

Hah haa :) Süpersin! Bilirim Siddet Abla moduna sık sık ihtiyaç duyulur şu hayatta ve her zaman işe yarar, bizzat şahidim! Valla bu konu enteresan, izlemeye devam ediyorum yazıyı okuyan tüm arkadaşlarım da artık dikkat ediyorlar şimdiye kadar sadece iki kişi şifre ekranında onay verilen tutarı gösteren pinpad'lerle karşılaştı... Tekrar yazacağım BKM'ye !