Kredi Kartlarının Yolculuğu: Metal Plakalardan Temassız İşlemlere

Günlük hayatımızın vazgeçilmez parçası olan kredi kartları, aslında oldukça uzun ve ilginç bir geçmişe sahiptir. Market alışverişinden çevrimiçi aboneliklere kadar hemen her yerde kullandığımız bu küçük plastik kartlar, finansal teknolojilerin gelişim sürecinin en görünür sembollerinden biridir. Kredi kartlarının ve ödeme sistemlerinin bugünkü haline gelmesi, ihtiyaçların ihtiyaçları doğurmasıyla onlarca yıllık bir evrimin sonucudur.

İlk Adımlar: Diners Club ve Charge Kartlar

İlk adımlar 20. yüzyılın ortalarında atıldı. 1950’de Diners Club kartı, modern anlamda kredi kartlarının öncüsü oldu ve tüketicilere nakit taşımadan ödeme yapma imkânı sundu. Bu kartların çalışma mekanizması oldukça basitti: Kart sahiplerine Diners Club tarafından sıra numarası şeklinde verilen bir “üye numarası” bulunuyordu. Kart, anlaşmalı restoranlarda ve otellerde kullanıldığında işletme, kart numarasını ve kart sahibinin adını manuel slip üzerine geçiriyor, ay sonunda ise Diners Club bu kayıtları toplayarak kullanıcıya tek bir fatura gönderiyordu. Kullanıcı bu borcu topluca ödüyordu. Yani bugünkü “limitli, taksitli” kredi kartlarından farklı olarak, Diners Club kartı aslında bir üyelik temelli ödeme kolaylığı sistemiydi.

Imprinter Cihazları: Kartın İzini Kâğıda Basmak

Kart üzerindeki bilgilerin satış fişine manuel olarak geçirilmesi hem meşakkatli hem de operasyonel olarak hataya açık bir süreçti. Kart numarasının yanlış yazılması ya da el yazısının kötü olması mutabakat esnasında ciddi sorunlara ve zaman kayıplarına yol açıyordu. İşte burada devreye hem zamandan kazanmak ve hem de süreçleri daha standart hale getirmek için imprinter cihazları (knuckle buster) girdi.

İmprinter, metal gövdeli, üstünde kaydırmalı bir kol bulunan basit bir makineydi. Kart üzerindeki kabartmalı (emboss) bilgiler (kart numarası, kart sahibinin adı ve kartın son kullanma tarihi) cihazın üzerine yerleştirilen çok kopyalı karbon fişe fiziksel olarak basılıyordu. İşletme daha sonra müşteriyle birlikte bu slipi imzalıyor ve işlem böylece kayıtlara geçiyordu. Bu yöntem sayesinde kart numarası ve müşteri bilgileri elle yazılmadan, hızlıca kopyalanabiliyordu. Günümüzde de hala çoğu ödeme kartında kullanılan kabartma (emboss) geleneği de buradan gelmektedir.

Imprinter cihazları, kart numarasını slipe işleme işini kolaylaştırmıştı ancak bu sefer de plastik kartların farklı boy ve kalınlıklarda üretilmesi sorunlara sebep olmuştu. Kartların çok büyük ya da gereğinden ince olması, imprinterlarda kartların doğru kopyalanamamasına sebep oluyordu. Bu nedenle 1969 yılında ISO tarafından 85,60 × 53,98 mm boyutlarındaki ve 0,76 mm kalınlığındaki ölçüler belirlendi. Böylece kartlar hem cüzdana sığacak kadar pratik, hem de cihazlarla uyumlu olacak kadar dayanıklı hale geldi.

Buraya kadar anlattığımız öncü yapıda henüz “Issuer”, “Acquirer” ve “Network” kavramlarının tam olarak oluşmadığını görüyoruz. Çok temel anlamda Diners Club, kart numarası yerine kullanılan “üye numarası”nı oluşturup müşterisine verdiğinden bu senaryo için “Issuer” olarak nitelendirilebilir. Bu noktada küçük bir parantez açıp “Issuer”ın ne anlama geldiğinden bahsedelim.

Issuer Nedir?

Ödeme sistemlerinde Issuer (kartı çıkaran kuruluş), kartı müşteriye veren ve kartın arkasındaki hesap veya kredi limitinden sorumlu olan finansal kurumdur. Bunun finansal kurum günümüzde bir banka ya da ödeme hizmet sağlayıcısı (payment facilitator) olabilir.

Issuer’ın Görevleri

• Kart Sağlama: Müşteriye kredi kartı, banka kartı veya ön ödemeli kartı basar ve verir.

• Hesap Yönetimi: Kart sahibinin hesabını (mevduat, kredi limiti, ödeme takibi vb.) yönetir.

• Yetkilendirme (Authorization): Kartla yapılan işlemde yeterli bakiye veya kredi limiti olup olmadığını kontrol eder.

• Risk ve Güvenlik: Dolandırıcılık önleme, kart blokesi, ek güvenlik doğrulamaları (3D Secure vb.) gibi güvenlik önlemlerini uygular.

• Tahsilat ve Faturalama: Kredi kartlarında dönem sonu ekstresini çıkarır, ödemeleri alır.

Manyetik Şeritten POS Cihazlarına: Modern Kredi Kartlarının Temeli

İmprinter cihazlarının yardımıyla 1960’ların sonlarına gelindiğinde, kredi kartlarının kullanımı hızla artmaya başlamıştı. Ancak doğrulama (günümüz jargonunda “otorizasyon”) hâlâ manuel yapıldığından, işletmenin kartın geçerli olup olmadığını anlaması için ya “kara liste” (bankaların düzenli olarak gönderdiği geçersiz kart listesi) üzerinden kontrol yapması ya da işlemi risk alarak kayda geçirmesi gerekiyordu. Bu da müşterilerin beklemesine ve işletmelerin finansal risk alması anlamına geliyordu. Bu ihtiyacı karşılamak için IBM mühendisi Forrest Parry manyetik şerit teknolojisini geliştirdi.

Parry, manyetik bandı kartlara düzgün bir şekilde yerleştiremeyince, eşi ütü kullanarak bandı plastiğe kaynaştırmayı önerdi ve bu yöntem manyetik kart teknolojisinin doğuşunu sağladı. Kartın arkasına yerleştirilen bu ince bant, kullanıcı bilgilerini dijital şeritlerde (ileride buna “track” denilecek) saklıyor ve bir manyetik şerit okuyucu cihazdan geçirilerek otomatik okunabiliyordu. Böylece kart üzerindeki bilgilerin manuel yazılması veya kopyalanması zorunluluğu ortadan kalktı. IBM, 1969’da bu yaklaşımı resmileştirdi ve 1970’lerden itibaren bankalar ile kimlik sistemlerinde kullanılmaya başlandı.

Manyetik şerit icat edilmişti ancak içerisine ne yazılacaktı? İlk manyetik şeritli ödeme kartlarında şeride yazılan veri bugünkü kadar detaylı değildi. O dönemde ihtiyaç, imprinter üzerinden alınan bilgilerin yani kart sahibine ait kart numarasının, son kullanma tarihinin ve kart sahibi adının, POS (Point of Service) veya ATM (Automatic Teller Machine) gibi cihazlarda otomatik olarak okunmasını sağlamaktı. İlk versiyonlarda manyetik şeritte şunlar vardı:

·       Kart numarası (PAN-Primary Account Number)

·       Kart sahibinin adı

·       Bazı pilot uygulamalarda hesap referans numarası veya şube kodu gibi ek bilgiler.

Devam eden yıllarda, birçok bilgi şerit datasına (yani track datasına) yazılmaya başlandı. Track 1, alfanümerik karakter desteği sayesinde kart sahibinin adı ve kart numarasını içerirken; Track 2, yalnızca sayısal bilgileri (kart numarası, son kullanma tarihi ve servis kodu gibi) barındırıyordu. Track 3 ise daha çok ATM ve lojistik amaçlı düşünülse de yaygınlaşmadı. Bu alanlar, güvenlik ve işlem kurallarının daha karmaşık hale gelmesiyle birlikte 1980’de yayımlanan ISO/IEC 7811 ve 7813 standartları ile kartlara eklendi.

Manyetik şeridin icat edilmesi, manyetik şeridi okuyacak ve elde ettiği bilgileri Issuer’a aktaracak cihazların da icat edilmesine ön ayak oldu ve POS (Point of Sale) cihazları hayatımıza girdi. Bu cihazlar, kartı okuduktan sonra telefon hattı üzerinden bankaya bağlanıp ve anlık otorizasyon alıyordu. Böylece hem işletme hem de kart sahibi güvence altına alınarak işlemlerin hızlanması sağlandı. Bu yeni cihazın işyerlerine ulaştırılması için işyerleri ile anlaşma yapacak, POS’lara teknolojik ve operasyonel altyapı sağlayacak, oluşacak sorunları çözecek bir ara yüklenici gerekiyordu; işte bu noktada Acquiring doğdu. Buraya kadar gelmişken Acquiring’in tam olarak ne olduğunu anlatmadan geçemeyiz:

Acquirer Nedir?

Ödeme sistemlerinde acquiring, kısaca işyerlerinin kartlı ödeme kabul etmesini sağlayan iş modelidir. “Acquire” kelime kökü olarak elde etmek, edinmek anlamı taşır. Acquirer’lar, kartın okunması ile elde edilen bilgilerin Issuer’a ya da diğer aracı kurumlara (Network) gönderilmesini sağlarlar. Ülkemizde Acquirer’lar genellikle bankalardan oluşurlar. Ancak özellikle diğer ülkelerde, banka olmayıp acquiring hizmeti veren kurumlar da bulunmaktadır.

Acquiring’in Görevleri

• İşyeri ile anlaşma yapar ve ona POS cihazı ya da sanal POS sağlar.

• İşlem bilgilerini toplar, kartı veren banka (issuer) ile network (Visa, Mastercard vb.) üzerinden haberleşir.

• İşlemin onaylanması halinde işyerine ödemeyi iletir (genelde ertesi gün veya belirli vadede).

• Bu hizmet karşılığında işlem ücreti/komisyon (merchant service charge) alır.

1970’ler ve 1980’lerde Visa, MasterCard ve American Express gibi markaların uluslararası ağlar(Network) kurması ve acquiring’i teşvik etmesi ile sistem büyümüştür. Kısaca “Network”lerden de bahsetmezsek olmaz.

Network nedir

Ödeme sistemlerinde Network, İssuer ve Acquirer’ları birbirine bağlayan ve aradaki iletişimde kuralları koyan kurumdur.

Network’ün Görevleri

·      Acquier’lardan gelen işlem taleplerini ilgili İssuer’lara aktarıp, İssuer’lardan gelen işlem cevabını acquier’lara aktarır.

·      Kartların formatı (ör. manyetik şerit, çip, temassız), güvenlik standartları (CVV, EMV, 3D Secure) ve işlem kuralları ile ilgili kararları verir.

·      İşlem tamamlandıktan sonra kurumlar arasındaki para mutabakatını organize eder

·      Kendi markası altındaki kartların etki alanı içerisindeki ülkelerde işlem yapabilmesini sağlar. BKM’ye ait olan Troy, ülkemizde işlemlerin gerçekleşmesini sağlarken, Visa-MasterCard gibi şemalar tüm dünyada operasyonlarını gerçekleştirmektedir.

Çoğu ülkenin nakit parası, başka ülkelerde geçerli olmazken, üzerinde Network’lere logolar bulunan plastik kartlar, yine aynı logoların bulunduğu işyerlerinde ve POS’larda çalışmaya başlamıştır. Bu şekilde cüzdanlarımızda yüksek miktarlarda para bulundurmadan rahatça seyahat edebilmekteyiz.

Çipli Kartlar ve Temassız Ödemelerin Yükselişi

1990’larda manyetik şeritli kartlar güvenlik sorunları nedeniyle eleştirilmeye başlanmıştı. Visa’nın CVV’si (Card Verification Value) ile MasterCard’ın CVC’si (Card Validation Code) güvenliğin arttırılması için standart hale gelse de, bu bilgilerin kartın yaşamı boyunca değişmemesi ve manyetik şerit içerisine yazılan diğer bilgilerle birlikte kopyalanabilir olması (skimming) dolandırıcılık vakalarını arttırıyordu. Bu noktada yine ihtiyaçlar ihtiyaçları doğurdu ve devreye yeni standart girdi: EMV (Europay, MasterCard, Visa).

EMV kartlar, üzerindeki mikroçip sayesinde her işlem için benzersiz bir doğrulama kodu (Authorization Request Cryptogram - ARQC) üretilebiliyordu. Üzerlerindeki güvenli öğe (secure element) sayesinde kriptografik anahtarları güvenli bir şekilde saklayabiliyorlardı. Ayrıca müşteriye at PIN (Personal Identification Number) bilgisini saklayıp, kart hamili doğrulaması yapılmasını mümkün hale getiriyorlardı (Chip&PIN). Bu özellikler, kartların kopyalanmasını imkânsız hale getirip, işlemlerde imza kullanılması bağımlılığını kaldırdı ve küresel ölçekte yeni güvenlik standardı olarak benimsendi.

Sonraki adım ise temassız ödeme teknolojileri oldu. RFID ve NFC tabanlı bu sistemlerde kart, POS cihazına sadece yaklaştırılarak okutulabiliyor, küçük tutarlı işlemler için PIN girmeye gerek kalmıyordu. Bu yöntem özellikle hızlı tüketim alanlarında kullanıcı deneyimini devrimsel biçimde değiştirdi.

Özellikle 2010 yılından sonra temassız ödemeler hız kazandı. Telefon içerisindeki SIM’e, uzaktan kart kişiselleştirme komutları gönderilmesi ve harici anten eklenmesi ile telefonların ödeme aracı olarak kullanılması sağlandı. Bu inovasyonu Türkiye’de ilk kez Garanti Bankası ve o dönemki telefon operatörü AVEA yaptı. Devamında, bu çözüm operatör bağımlılığı gerektirdiği için, içerisinde hazır güvenli öğe (secure element) bulunduran akıllı telefonlar denendi. Ancak bu sefer de telefon bağımlılığı oluştu. Her telefon için ayrı altyapı kurulması gerekiyordu ve her ay yeni bir telefon piyasaya çıkıyordu. Bu sürate yaklaşmak mümkün değildir. Ödeme şemaları buradaki ihtiyacı görerek HCE (Host Card Emulation) sistemini oluşturdular. Bu sistemle birlikte artık kart numarası yerine kullanılacak “Token”lar hayatımıza girdi. Token altyapılarının hazırlanması ile de bugün e-ticaret işlemlerimizde kolaylık sağlayan “Masterpass” ya da “Visa Click To Pay” gibi sistemler oluştu. Pandemi dönemindeki hijyen ihtiyaçları sebebiyle temassız ödemeler patladı ve insanlar kartlarını temassız olarak kullanmaya alıştılar. Ayrıca aynı dönemde meydana gelen global çip krizi sebebiyle karekod (QR) ile ödeme süreçleri hızlandı ve günümüzde aktif olarak kullanılmaya başlandı.

Geleceğe Bakış: Kredi Kartlarının Yarınında Neler Var?

Bugün kredi kartları plastik formun ötesine geçti; mobil cüzdanlar, akıllı saatler ve dijital kimliklerle bütünleşmiş durumda. Ancak bu yalnızca bir başlangıç:

• Biyometrik doğrulama: Parmak izi okuyucular doğrudan karta entegre edilerek şifresiz güvenlik sağlıyor. Garanti BBVA’nın biyometrik doğrulama ile ödeme yapılmasını sağlayan kartları mevcut.

• Sanal, tek kullanımlık ya da güvenlik kodu sürekli değişen kartlar: E-ticaret işlemlerinde güvenliği arttırabilmek için limitleri anlık olarak değiştirilebilen, bankaların uygulamalarından açılıp kapatılabilen dijital kartlar mevcut. Ayrıca yine Garanti BBVA’nın çıkarttığı, üzerinde Kindle’larda kullanılan e-ink teknolojili ekranların bulunduğu, güvenlik kodunun saat başı değiştiği dinamik CVV’li kartlar bulunuyor.

• Dijital cüzdan entegrasyonu: Kartların tamamen dijital kimlik haline dönüşmesi devam ediyor.

• Yapay zekâ tabanlı güvenlik: Alışveriş alışkanlıklarını analiz ederek, olağandışı işlemleri anında tespit eden algoritmalar oluşturuluyor.

Kısacası, kredi kartları sadece ödeme aracı değil; kimlik doğrulama, güvenlik ve kişisel finans yönetimi için vazgeçilmez bir araç haline gelmektedir. Belki de gelecekte fiziksel paranın ve fiziksel kartların tamamen ortadan kalktığı, biyometrik ve dijital çözümlerin öne çıktığı bir dünyaya doğru gidiyoruz ve ihtiyaçların ihtiyaçları doğurması ile önümüzdeki döneme yelken açıyoruz.