Kart hamilinin, kart verisinin (Kart numarası ve Kartın Son Kullanım Tarihi) saklanması için işlem anında veya daha önce işyerine onay verdiği ve işyerinin saklanan bu kart verisini kullanarak gerçekleştirdiği yüzyüze olmayan işlemlere Saklanan Kart Verisi ile Gerçekleştirilen İşlemler(Credentials-On-File) denir.
Müşterinin kart bilgilerini sakladıktan sonraki yaptığı ilk işlem ise ‘Saklanan Kart Verisi ile gerçekleştirilen ilk işlem’ olarak ifade edilir. Daha önce birçok kez işlem yapılmış bir saklı kart verisine göre daha riskli olarak değerlendirilebilir.
Bu nedenle BKM, bu işlemlerin switch mesajında, DE48.PDS86 alanında “C” değeri ile gönderilerek ayrıştırılmasını beklemektedir.
Banka Ve Kredi Kartı İşlemlerinde Kullanılan Bilgi Sistemlerinin
Yönetimi Hakkında Tebliğ Taslağı Madde 18’de detaylar aşağıda yer almaktadır:
MADDE 18 – (1) Üye işyeri adına, kart hamilinin talebi halinde, bu Tebliğ hükümlerine uygun olarak, sadece üye işyeri anlaşması yapan kuruluş veya üye işyeri anlaşması yapan kuruluşun dış hizmet sağlayıcısı nezdinde kart verisi saklanabilir. Üye işyeri, kart hamilinin talebini, kanıtlanabilir bir şekilde, yazılı veya elektronik olarak alır ve inkâr edilemezliği sağlar.
(2) Kart verisini saklayan kuruluş, adına kart verisi saklanan üye işyeri tarafından saklanmak üzere, kart numarasını, kart hamilini ve üye işyerini temsil eden, belirli bir ömrü olan, herhangi bir işlemden geçirilerek hassas kart verisine ulaşılması mümkün olmayan ve ele geçirilmesi halinde kart hamili adına sahte işlem yapılamayacak referans kodu üretir. Referans
kodunun adına kart verisi saklanan üye işyerine özgü olması ve sadece bu üye işyeri tarafından kart verisini saklayan kuruluşa iletilmesi halinde kart verisinin kullanılabilmesi sağlanır. Kart verisini saklayan kuruluş, referans kodu oluşturulması öncesinde ve referans kodu ile kart verisinin kullanımı sırasında üye iş yerinin kimliğini doğrular ve erişim kontrolleri tesis eder.
(3) Üye işyeri adına kart verisi saklandığı durumlarda, saklanan hassas kart verisi hiçbir biçimde üye işyerine iletilmez. Saklanan kart verileri, yasalarla açıkça yetkili kılınan merciler dışındaki taraflarla paylaşılmaz.
(4) Üye işyeri adına saklanan hassas kart verisi iki yıl boyunca ödeme amaçlı kullanılmazsa iki yıllık sürenin dolduğu tarihi takip eden ayın ilk gününde silinir.
İlgili Tebliğe aşağıdaki linkten ulaşılabilir:
https://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_0821.pdf
