Günlük ticari hayatta kredi kartı ile tahsilatların gerçekleşmesini sağlayan POS (Point of Sale) cihazlarının görevini, sanal ortamda internet üzerinden gerçekleştirebilen yazılımlara Sanal POS ya da VPOS (Virtual Point of Sale) denilmektedir. E-Ticaret üzerine bir Start-Up’a atılan girişimcileri ve tüketicileri yakından ilgilendiren ve hukuken dikkatli olmalarını gerektiren konulardan biri de Sanal POS işlemleridir. Tüketiciler online ortamda kredi kartı ile alışveriş yaptıkları sırada kart bilgileri ve kişisel bilgilerinin güvende olmasını isterler. E-ticaret platformları da hem tüketicilere arzuladıkları güvenlir ödeme ortamını yaratmak hem de kendi ticari işlem ve sırlarını korumak durumundadırlar.
Tüketiciler internet ortamında ürünü satın almak üzere tıkladıklarında, E-Ticaret sitesi ödeme ekranına yönlendirmektedir. E-Ticaret sitesi tarafından tüketicilerin yönlendirildiği bu ekran, genellikle Sanal Pos şirketinin ekranıdır. Sanal Pos şirketleri Türk Hukuku’nda 6493 sayılı kanun uyarınca “Ödeme Hizmeti Sağlayıcılar” olarak tanımlanmışlardır. Tüketicilerin kart bilgilerini girmelerinin ardından, sanal pos şirketi tarafından bu bilgiler ilgili bankaya iletilmekte ve ödeme gerçekleşmektedir.
Türkiye’de internet üzerinden Sanal Pos ile gerçekleştirilen ödemeler bankaların oluşturduğu altyapı üzerinden veya Sanal POS şirketlerinin altyapıları üzerinden gerçekleşmektedir. E-Ticarette ağırlıklı olarak kullanılan ise “Sanal Pos Şirketleri”dir. Bu kuruluşlar, kendi anlaşmaları sayesinde E-Ticaretin taraflarına birden fazla bankanın Sanal POS’unu sunabilmektedir. Bu kuruluşların faaliyet izinlerini vermeye yetkili olan kurum ise BDDK (Bankacılık Denetleme ve Düzenleme Kurumu)’dır.
Türk Hukuku’nda sanal tahsilat güvenliğini sağlamak üzere gerekli usul ve esaslar 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile düzenlenmiştir. Bu kanun uyarınca ödemeye aracılık eden Ödeme Kuruluşlarının BDDK tarafından verilen “Faliyet İzni” ve tüm dünyada büyük önem taşıyan “PCI DSS” güvenlik sertifikasına sahip olması gerekmektedir. Ayrıca kanunda tanımlanmış tüm ödeme hizmeti sağlayıcılıarının ve ödeme kuruluşlarının “Kişisel Verilerin Korunması Kanunu” kapsamında uyum süreçlerini tamamlamış olmaları gerekmektedir. Ödeme hizmeti sağlayıcı firmalar, tüketicilerin kişisel verilerini kendi altyapılarında saklayabilmek için yine kendi platformları üzerinden kullanıcılarına gerekli aydınlatma metinlerini sunmalı ve açık rızalarını almış olmalıdır.
E-Ticaret firmaların Sanal POS kullanabilmeleri için ayrıca SSL sertifikalarının olması ve bu sertifikanın platformlarında kurulmuş olması gerekmektedir. Dijital piyasada teknik anlamı ile 128 bit ya da 256 bit güvenlik sunan SSL sertifikalarıbulunmaktadır. Dünya genelinde birçok E-ticaret firması 128 bit’lik güvenlik katmanı kullanıyor olsa da son yıllarda güvenlik katmanını 256 bit’e yükseltmiş firmalar da bulunmaktadır. Türkiye Cumhuriyeti’nde bu şartların hukuki denetimi E-Güven Damgası uygulaması ve Güven Damgası Hakkında Tebliğ hükümleri uyarınca TOBB tarafından gerçekleştirilmektedir.
Daha sonra geliştirilen 3D Secure Payment sistemi ile yapılan ödemelerde ise kullanıcı ekranında, Sanal Pos şirketi ve banka tarafından sunulan özel bir 3D işlem ekranı açılmaktadır. Alışveriş gerçekleştirilen kart sahibinin cep telefonuna sms ile onay kodu gönderilmekte veya kart sahibi dışında kimsenin bilmediği özel bilgiler istenmektedir. 3D Secure yöntemi ile gerçekleşen ödeme işlemlerinde gerçekleşmesi muhtemel olumsuz durumlarda hukuki sorumluluk bankanın üzerinde olup bu durum Yargıtay 19. Hukuk Dairesi’nin birden fazla kararı ile de sabit hale gelmiştir. (Örn. E.2014/7414, K.2014/12133)