E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun

E-ticaret işletmeleri siber saldırıların en çok hedef aldığı sektördür. Ödeme kartı verilerini işler, müşterinin kişisel bilgilerini saklar, yüksek işlem hacimlerini yönetir ve sürekli olarak otomatik saldırılara maruz kalan, halka açık web uygulamalarını çalıştırırlar. IBM'in Veri İhlalinin Maliyeti Raporu'na göre 2025 yılında e-ticaret, perakende sektöründeki tüm veri ihlallerinin %37'sini oluşturuyordu ve ortalama ihlal maliyeti 3,86 milyon dolardı.

2026'daki tehdit ortamı her zamankinden daha karmaşık. Yapay zeka destekli saldırılar, kimlik bilgisi doldurmayı geniş ölçekte otomatikleştirir, deepfake özellikli sosyal mühendislik, müşteri destek ekiplerini hedef alır ve tedarik zinciri saldırıları, ödeme sayfalarına yüklenen üçüncü taraf komut dosyalarını tehlikeye atar. Ancak e-ticaret güvenliğinin temelleri değişmedi; ağ güvenliği, uygulama güvenliği, ödeme güvenliği ve olaylara müdahaleyi kapsayan kapsamlı güvenlik programları uygulayan işletmeler, saldırıların büyük çoğunluğuna karşı dirençli olmaya devam ediyor.

Önemli Çıkarımlar

• PCI DSS 4.0 artık tamamen uygulanabilir (tüm gereksinimler için son tarih Mart 2025), komut dosyası bütünlüğü izleme, çok faktörlü kimlik doğrulama ve sürekli güvenlik testleri için yeni zorunluluklar getiriyor
• Web Uygulaması Güvenlik Duvarları (WAF) artık isteğe bağlı değil; e-ticaret uygulamalarını hedef alan otomatik saldırıların %60-80'ini engelliyorlar
• Bot trafiği, 2026'da e-ticaret web sitesi trafiğinin %40-50'sini temsil ediyor; CAPTCHA'yı ve temel bot tespitini atlayabilen gelişmiş botlar var
• Kimlik bilgisi doldurma saldırıları, milyarlarca çalınan kullanıcı adı/şifre kombinasyonunu geniş ölçekte test etmek için yapay zekayı kullanır; hız sınırlama ve anormallik tespiti birincil savunmalardır
• Ödeme dolandırıcılığı kayıpları 2025'te dünya çapında 48 milyar doları aştı; Kart Mevcut Değil (CNP) dolandırıcılığı, toplam kart dolandırıcılığının %73'ünü oluşturdu
• Güvenlik başlıklarının (CSP, HSTS, X-Frame-Options) uygulanması ve tüm saldırı kategorilerinin önlenmesi 30 dakika sürer
• Her e-ticaret işletmesinin bir ihlal meydana gelmeden önce bir olay müdahale planına ihtiyacı vardır; bir plan yazmanın zamanı aktif bir olay sırasında değildir

---

Web Uygulaması Saldırıları

SQL enjeksiyonu, siteler arası komut dosyası çalıştırma (XSS), sunucu tarafı istek sahteciliği (SSRF) ve diğer web uygulaması güvenlik açıkları, saldırganların veritabanlarına erişmesine, müşteri verilerini çalmasına, fiyatları değiştirmesine veya ödemeleri yeniden yönlendirmesine olanak tanır.

Tedarik Zinciri Saldırıları (Magecart)

Saldırganlar, ödeme sayfalarına (ödeme işlemcileri, analizler, sohbet widget'ları, A/B test araçları) yüklenen üçüncü taraf JavaScript kitaplıklarını tehlikeye atar. Güvenliği ihlal edilen komut dosyası, müşteriler girerken ödeme kartı verilerini yakalıyor ve saldırganların kontrolündeki sunuculara gönderiyor. Bu saldırılar özellikle sinsidir çünkü tüccarın kendi kodu tehlikeye girmez; saldırı güvenilir bir üçüncü taraf aracılığıyla gelir.

Bot Saldırıları

Otomatik botlar çeşitli saldırılar gerçekleştirir: kimlik bilgileri doldurma (çalınan şifreleri test etme), fiyat kazıma (rakipler fiyatlarınızı izliyor), envanter istifleme (botlar yeniden satış için sınırlı sayıda ürün satın alıyor), envanter reddi (ürünleri satın almadan sepete ekleyerek stokta kalmamış gibi gösterme) ve hediye kartı bakiye kontrolü (hediye kartı numaralarını kaba kuvvetle zorlama).

Fidye yazılımı

E-ticarete özgü hedefleme için daha az yaygın olsa da, iş sistemlerini (ERP, envanter yönetimi, sipariş işleme) şifreleyen fidye yazılımı saldırıları, e-ticaret operasyonlarını günlerce veya haftalarca durdurabilir. 2025 yılında ortalama fidye yazılımı ödemesi 1,54 milyon dolardı; toplam kurtarma maliyeti ise ortalama 4,5 milyon dolardı.

---

PCI DSS 4.0: E-ticaret İşletmelerinin Bilmesi Gerekenler

Ödeme Kartı Sektörü Veri Güvenliği Standardı sürüm 4.0, 31 Mart 2025'te tamamen yürürlüğe girdi. Ödeme kartı kabul eden tüm işletmelerin bu standarda uyması gerekiyor. E-ticareti etkileyen temel yeni gereksinimler:

Gereksinim 6.4.3: Komut Dosyası Bütünlüğünü İzleme

Ödeme sayfalarında yürütülen tüm JavaScript'lerin envanteri yapılmalı, yetkilendirilmeli ve kurcalamaya karşı izlenmelidir. Bu doğrudan Magecart tarzı tedarik zinciri saldırılarına yöneliktir.

Ne uygulanmalı:

• Ödeme ve ödeme sayfalarına yüklenen tüm komut dosyalarının envanterini çıkarın
• Yetkili komut dosyası kaynaklarını beyaz listeye alan İçerik Güvenliği Politikası (CSP) başlıklarını uygulayın
• Tüm harici komut dosyaları için Alt Kaynak Bütünlüğü (SRI) karmalarını dağıtın
• PerimeterX, Jscrambler veya Source Defense gibi araçları kullanarak yetkisiz komut dosyası değişikliklerini izleyin

Gereksinim 8.3.6: Çok Faktörlü Kimlik Doğrulama (MFA)

Aşağıdakiler de dahil olmak üzere Kart Sahibi Veri Ortamına (CDE) tüm erişim için MFA gereklidir:

• E-ticaret platformuna yönetici paneli erişimi
• Ödeme verilerinin saklandığı veritabanı erişimi
• Ödeme işleme yapılandırmalarına erişim
• CDE'deki herhangi bir sisteme uzaktan erişim

Uygulama: Google Authenticator gibi TOTP (Zamana Dayalı Tek Kullanımlık Şifre) uygulamalarını veya donanım güvenlik anahtarlarını (YubiKey) kullanın. SMS tabanlı MFA, SIM değiştirme güvenlik açıkları nedeniyle önerilmez.

Gereksinim 11.3.1: Dahili Güvenlik Açığı Taraması

Üç ayda bir yapılan dahili güvenlik açığı taramaları artık gerekli (daha önce dahili taramalar en iyi uygulamaydı ancak zorunlu değildi). Bu şunları içerir:

• CDE'deki tüm sistemlerin otomatik güvenlik açığı taraması
• Tarama sonuçları incelendi ve güvenlik açıkları önem derecesine göre önceliklendirildi
• Kritik ve yüksek önemdeki güvenlik açıkları belirli zaman çizelgeleri içerisinde düzeltildi
• Düzeltmeyi doğrulamak için yeniden taramalar

Gereksinim 12.3.1: Hedeflenen Risk Analizi

Her PCI DSS gereksinimi, güvenlik kontrollerinin sıklığını ve kapsamını belirleyen belgelenmiş bir risk analiziyle desteklenmelidir. Bu, herkese uyan tek çözüm yaklaşımının yerini riske dayalı güvenlik kararlarıyla değiştirir.

Uyumluluk Düzeyleri

Çoğu e-ticaret işletmesi için: Barındırılan ödeme alanlarına sahip PCI uyumlu bir ödeme işlemcisi (Stripe, Adyen, Braintree) kullanmak, kart verilerinin sunucularınıza asla dokunmaması anlamına gelir ve PCI kapsamınızı SAQ A'ya (en basit düzey) düşürür. Önerilen yaklaşım budur; kart veri güvenliğini ödeme işlemcisinin yönetmesine izin verin.

---

Web Uygulaması Güvenlik Duvarı (WAF) Uygulaması

Bir WAF, web siteniz ile internet arasında yer alır, her HTTP isteğini inceler ve bilinen saldırı modelleriyle eşleşenleri engeller. 2026'da WAF olmadan bir e-ticaret sitesi çalıştırmak, ön kapınızın kilidini açık bırakmakla eşdeğerdir.

WAF Seçenekleri

Cloudflare WAF — Cloudflare'in CDN ve DDoS korumasıyla entegre, en yaygın kullanılan WAF. Pro planı (aylık 20 ABD doları), yönetilen kural kümeleriyle birlikte WAF'yi içerir. Business (200$/ay) özel kurallar ve gelişmiş bot yönetimi ekler.

AWS WAF — AWS hizmetleriyle (CloudFront, ALB, API Gateway) derinlemesine entegre edilmiştir. Kullanım başına ödeme fiyatlandırması (web ACL başına ~5$/ay + milyon istek başına 1$). Cloudflare'den daha fazla yapılandırma gerektirir ancak daha fazla özelleştirme sunar.

Sucuri WAF — WordPress'e ve küçük ve orta ölçekli e-ticarete (WooCommerce, Magento) odaklanmıştır. Fiyatlandırma yıllık 199 dolardan başlıyor. Kötü amaçlı yazılım temizleme ve izlemeyi içerir.

Imperva/Incapsula — Gelişmiş bot azaltma, API koruması ve DDoS savunması ile kurumsal düzeyde WAF. Fiyatlandırma küçük siteler için ~ 50 $ / ay'dan başlıyor.

E-ticaret için Temel WAF Kuralları

1. OWASP Çekirdek Kural Seti (CRS) — SQL enjeksiyonunu, XSS'yi, komut enjeksiyonunu, yol geçişini ve diğer yaygın web saldırılarını engeller. Bunu temel olarak etkinleştirin
2. Hız sınırlama — Kaba kuvvet ve kimlik bilgisi doldurmayı önlemek için dakika başına IP başına istekleri sınırlayın. Önerilen: Genel sayfalar için 100 istek/dakika, oturum açma ve ödeme için 10 istek/dakika
3. Coğrafi engelleme — Yalnızca belirli ülkelere satış yapıyorsanız müşterinizin olmadığı ülkelerden gelen trafiği engelleyin. Bu, otomatik saldırıların büyük bir yüzdesini ortadan kaldırır
4. Bot yönetimi — Şüpheli botlara CAPTCHA'lar (meşru kullanıcıların nefret ettiği) yerine JavaScript sorgulamalarıyla meydan okuyun. Yönetilen bot tespit hizmetleri, botları davranış analizi (fare hareketi, yazma modelleri, gezinme modelleri) ile tanımlar.
5. İş mantığı için özel kurallar — İşletmenize özel anormal kalıpları engelleyin (örneğin, aynı IP üzerinden 10 dakika içinde 5'ten fazla başarısız ödeme girişimi, sepete 50'den fazla ürün ekleme, dakikada 100'den fazla ürün sayfasına erişim)

---

Bot Koruması ve Kimlik Bilgisi Doldurma Savunması

Bot Sorunu

Otomatik bot trafiği, e-ticaret web sitesi trafiğinin %40-50'sini temsil eder. Tüm botlar kötü niyetli değildir; Google'ın tarayıcısı, fiyat karşılaştırma motorları ve izleme hizmetleri meşrudur. Ancak kötü niyetli botlar gerçek mali zarara neden olur:

• Kimlik bilgileri doldurma: Giriş sayfanızda çalınan kullanıcı adı/şifre kombinasyonlarını test etme
• Kart testi: Çalınan kart numaraları listeleriyle küçük işlemler yapmaya çalışmak
• Envanter istifleme: Yeniden satış için sınırlı sayıda ürün satın alma (spor ayakkabı botları, bilet botları)
• Fiyat kazıma: Rakipler fiyatlarınızı düşürmek için gerçek zamanlı olarak izliyor
• Envanter reddi: Gerçek müşteriler için stokta yokmuş gibi görünmelerini sağlamak amacıyla ürünleri sepete ekleme

Savunma Katmanları

Katman 1: Hız sınırlama — En basit ve en etkili ilk savunma. Oturum açma denemelerini IP başına dakikada 5 ile sınırlayın. Ödeme denemelerini IP başına dakikada 3 ile sınırlayın. API çağrılarını API anahtarı başına dakikada 60 ile sınırlandırın.

Katman 2: Cihaz parmak izi alma — Tarayıcı özelliklerine (ekran çözünürlüğü, yüklü yazı tipleri, WebGL oluşturucu, saat dilimi, dil ayarları) göre benzersiz cihazları tanımlayın. Başsız tarayıcılar veya otomatik çerçeveler kullanan botların farklı parmak izleri vardır.

Katman 3: Davranış analizi — Gerçek insanlar karakteristik modeller sergiler: fare hareketi eğrileri, değişken yazma hızları, kaydırma davranışı, sayfalar arasındaki süre. Botlar ya bu sinyallerden yoksundur ya da bunları şüpheli bir benzerlikle üretir.

Katman 4: Sorgulama mekanizmaları — Bir istek şüpheliyse ancak kesinlikle kötü niyetli değilse, bir sorun sunun. Görünmez JavaScript zorlukları (kullanıcı etkileşimi gerekmez) temel botları yakalar. CAPTCHA veya etkileşimli zorluklar daha karmaşık otomasyonu yakalar ancak meşru kullanıcılar için sürtüşme yaratır.

Katman 5: Makine öğrenimi anormallik tespiti — Modelleri normal trafik düzenlerinize göre eğitin ve istatistiksel olarak olağandışı davranışları işaretleyin: olağandışı coğrafi desenler, günün saati anormallikleri, hiçbir insanın takip etmeyeceği istek dizileri.

Kimlik Bilgisi Doldurma Özel Savunmaları

• İhlal edilen şifre tespiti: Oturum açma kimlik bilgilerini bilinen ihlal veritabanlarına göre kontrol edin (Pwned API'si Var mı). Bir müşterinin şifresinin ihlal edildiği ortaya çıkarsa şifre sıfırlamayı zorunlu kılın
• İlerletme ile hesap kilitleme: 5 başarısız denemeden sonra hesabı kilitleyin. Kilidi açmak için e-posta doğrulamasını zorunlu kılın. Başarısız denemeler konusunda hesap sahibini uyarın
• Oturum açma anormalliği tespiti: Yeni cihazlardan, olağandışı konumlardan veya olağandışı zamanlarda yapılan oturum açma işlemlerini işaretleyin. Yüksek riskli oturum açma işlemleri için aşamalı kimlik doğrulamayı (e-posta doğrulaması veya MFA) zorunlu kılın
• Parolasız kimlik doğrulama: Parolaları tamamen ortadan kaldırmak için sihirli bağlantılar, geçiş anahtarları veya sosyal oturum açma olanağı sunun. Şifre yok, kimlik bilgisi doldurma hedefi olmadığı anlamına gelir

---

Ödeme Dolandırıcılığını Önleme

Sunucu Tarafı Dolandırıcılık Sinyalleri

Ödeme işlemcinize bir işlem göndermeden önce, sunucu tarafındaki dolandırıcılık sinyallerini değerlendirin:

Ödeme İşleyici Dolandırıcılık Araçları

Stripe Radar — Stripe'ta yerleşik makine öğrenimi dolandırıcılık tespiti. İşlem başına 500'den fazla sinyali değerlendirir. Stripe işlemeye ücretsiz dahildir. Dolandırıcılık Ekipleri için Radar (0,07$/izlenen işlem), özel kurallar ve manuel inceleme sıraları ekler.

Adyen RevenueProtect — Cihaz parmak izi alma, hız kontrolleri, özel risk kuralları ve makine öğrenimi puanlaması ile çok katmanlı dolandırıcılık önleme. Adyen işlemeye dahildir.

Signified — Garantili bir sahtekarlığa karşı koruma modeli sağlayan bağımsız sahtekarlığa karşı koruma — Bir işlemi onaylarlarsa ve işlemin sahte olduğu ortaya çıkarsa, ters ibrazı karşılarlar. Fiyatlandırma, korunan işlem değerinin %0,5-0,7'sinden başlar.

3D Güvenli 2.0 (3DS2)

3D Secure, çevrimiçi işlemlere kart sahibi kimlik doğrulamasını ekler. 3DS2 (mevcut sürüm), düşük riskli işlemler için sorunsuz bir kimlik doğrulama akışı ve yüksek riskli işlemler için bir sorgulama akışı (OTP veya biyometrik) sağlar.

Avantajları:

• Sorumluluk değişimi: 3DS kullanıyorsanız ve işlem hileli ise zararı siz değil, kartı veren kuruluş üstlenir
• Daha yüksek onay oranları: 3DS2'nin risk tabanlı kimlik doğrulaması yalnızca şüpheli işlemlere meydan okur (herkese meydan okuyan 3DS1'e kıyasla)
• Güçlü Müşteri Kimlik Doğrulaması (SCA) uyumluluğu: Avrupa'daki işlemler için PSD2 tarafından zorunludur

Uygulama: Çoğu ödeme işlemcisi (Stripe, Adyen, Braintree) 3DS2 entegrasyonunu SDK'ları aracılığıyla gerçekleştirir. Yapılandırma, hangi işlemlerin 3DS'yi tetikleyeceğini belirler (önerilir: 50 ABD dolarının üzerindeki tüm işlemler, tüm yeni müşteriler, tüm uluslararası siparişler).

---

Güvenlik Başlıkları: Hızlı Kazanımlar

HTTP güvenlik üstbilgileri, tarayıcılara güvenlik özelliklerini etkinleştirme talimatını veren yanıt üstbilgileridir. Saldırı kategorilerinin tamamını uygulamak ve önlemek dakikalar alır.

Temel Başlıklar

İçerik-Güvenlik-Politikası (CSP) — Sayfalarınıza hangi kaynakların (komut dosyaları, stiller, resimler, yazı tipleri) yüklenebileceğini kontrol eder. Yetkisiz komut dosyası yürütülmesini engelleyerek XSS saldırılarını önler.

Content-Security-Policy: default-src 'self'; script-src 'self' https://js.stripe.com https://www.googletagmanager.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.stripe.com;

Strict-Transport-Security (HSTS) — Tarayıcıları gelecekteki tüm ziyaretlerde HTTPS kullanmaya zorlar. SSL sıyırma saldırılarını önler.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

X-Frame-Options — Sayfalarınızın diğer sitelerdeki iframe'lere yerleştirilmesini engeller. Clickjacking saldırılarını engeller.

X-Frame-Options: DENY

X-Content-Type-Options — Tarayıcıların, diğer içerik türleri gibi görünen komut dosyalarını yürütmek için kullanılabilen MIME türü koklama yapmasını engeller.

X-Content-Type-Options: nosniff

Yönlendiren Politikası — Sitenizden ayrılırken ne kadar yönlendiren bilgisinin ekleneceğini kontrol eder. Hassas URL parametrelerinin sızmasını önler.

Referrer-Policy: strict-origin-when-cross-origin

İzin Politikası — Sitenizin kullanabileceği tarayıcı özelliklerini (kamera, mikrofon, coğrafi konum, ödeme) kısıtlar. Saldırı yüzeyini sınırlar.

Permissions-Policy: camera=(), microphone=(), geolocation=()

Uygulama

Nginx için (üretim e-ticareti için en yaygın olanı):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://js.stripe.com;" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;

Cloudflare için: Kontrol panelinde SSL/TLS > Edge Sertifikaları (HSTS) ve Kurallar > Dönüştürme Kuralları (diğer başlıklar) altında yapılandırın.

Başlıklarınızı securityheaders.com adresinden doğrulayın; A+ derecelendirmesini hedefleyin.

---

SSL/TLS Yapılandırması

SSL/TLS şifrelemesi, e-ticaret için önemli bir araçtır; tarayıcılar HTTPS olmayan siteler için güvenlik uyarıları görüntüler ve Google, sıralama sinyali olarak HTTPS'yi kullanır. Ancak uygun TLS yapılandırması yalnızca bir sertifikaya sahip olmanın ötesine geçer.

Sertifika Yönetimi

• Güvenilir CA'ların sertifikalarını kullanın (Let's Encrypt ücretsizdir ve yaygın olarak desteklenir)
• Otomatik yenilemeyi etkinleştirin (certbot bunu Let's Encrypt için halleder)
• Yönetimi kolaylaştırmak için alt alan adları (*.alaniniz.com) için joker karakter sertifikaları kullanın
• Uyarı ile sertifikanın geçerlilik süresinin sona ermesini izleyin (beklenmeyen süre sonu, site kesintilerine neden olur)

TLS Yapılandırması İçin En İyi Uygulamalar

• Minimum TLS 1.2 — TLS 1.0 ve 1.1'i devre dışı bırakın (kullanımdan kaldırılmış, bilinen güvenlik açıkları)
• TLS 1.3'ü tercih edin — Daha hızlı el sıkışma, daha güçlü şifreleme, varsayılan olarak iletme gizliliği
• Güçlü şifre paketleri — ECDHE anahtar değişimine ve AES-GCM şifrelemesine öncelik verin
• OCSP zımbalama — Sertifika doğrulama gecikmesini azaltır
• Sertifika Şeffaflığı — Alanınız için yetkisiz sertifika verilmesine karşı CT günlüklerini izleyin

TLS yapılandırmanızı SSL Labs adresinde test edin — A+ derecelendirmesini hedefleyin.

---

Olay Müdahale Planı

Her e-ticaret işletmesinin, bir ihlal meydana gelmeden önce belgelenmiş bir olay müdahale planına ihtiyacı vardır. Plan şunları kapsamalıdır:

Algılama

• İzleme: Uygulama performansı izleme (APM), WAF uyarıları, ödeme işlemcisi anormallik uyarıları, müşteri şikayetleri
• Açıklama göstergeleri: Olağandışı trafik modelleri, beklenmeyen yönetici erişimi, değiştirilmiş dosyalar, veri sızdırma girişimleri, yetkisiz satın alma işlemlerine ilişkin müşteri raporları

Sınırlama

1. Etkilenen sistemleri izole edin (onları çevrimdışına alın veya ağ erişimini engelleyin)
2. Değişiklik yapmadan önce kanıtları (disk görüntüleri, günlük aktarımları) koruyun
3. Bilinen saldırgan IP adreslerini ve güvenliği ihlal edilmiş kimlik bilgilerini engelleyin
4. Açığa çıkmış olabilecek tüm şifreleri ve API anahtarlarını değiştirin

İletişim

• Dahili: Güvenlik ekibine, üst düzey yöneticilere ve hukuk müşavirine 1 saat içinde bildirimde bulunun
• Ödeme işlemcisi: Ödeme verilerinin tehlikeye girmesi durumunda 24 saat içinde bilgilendirin
• Kolluk kuvvetleri: FBI IC3'e (ABD), Action Fraud'a (İngiltere) veya yerel siber suç birimine rapor verin
• Düzenleyiciler: GDPR 72 saat içinde bildirim yapılmasını gerektirir; PCI DSS, kart markalarına bildirim yapılmasını gerektirir
• Müşteriler: Etkilenen bireyleri, ne olduğu, hangi verilerin açığa çıktığı ve hangi koruyucu adımları atmaları gerektiği konusunda net bir açıklamayla bilgilendirin

Kurtarma

1. Temel nedendeki güvenlik açığını belirleyin ve düzeltin
2. Güvenliği ihlal edilmiş sistemleri, iyi durumda olduğu bilinen yedeklerden yeniden oluşturun
3. Tekrarını önlemek için ek kontroller uygulayın
4. Gelişmiş izlemeyle operasyonlara devam edin
5. Olay sonrası incelemeyi 2 hafta içinde gerçekleştirin

Test

Müdahale ekibinizle en az yılda bir kez masa üstü bir tatbikat (simüle edilmiş ihlal senaryosu) gerçekleştirin. Müdahale planının tamamını gözden geçirin ve gerçek bir olay onları açığa çıkarmadan önce boşlukları tespit edin.

---

Güvenlik Denetimi Kontrol Listesi

Mevcut e-ticaret güvenliği duruşunuzu değerlendirmek için bu kontrol listesini kullanın:

Altyapı:

• WAF, OWASP CRS ile dağıtıldı ve yapılandırıldı
• DDoS koruması etkin (Cloudflare, AWS Shield veya eşdeğeri)
• TLS 1.2+ zorunlu kılındı, TLS 1.3 tercih edildi
• Güvenlik başlıkları yapılandırıldı (CSP, HSTS, X-Frame-Options)
• Sunucu yazılımı güvenlik yamalarından sonraki 30 gün içinde güncellenir

Uygulama:

• Kullanıcı tarafından gönderilen tüm verilerde giriş doğrulaması
• XSS'yi önlemek için çıktı kodlaması
• Parametreli sorgular (SQL'de dize birleştirme yok)
• Tüm durum değiştirme işlemlerinde CSRF koruması
• Dosya yükleme kısıtlamaları (tür, boyut, içerik doğrulama)

Kimlik doğrulama:

• MFA tüm yönetici hesapları için etkinleştirildi
• Başarısız giriş denemelerinden sonra hesabın kilitlenmesi
• İhlal edilen şifre tespiti
• Oturum yönetimi (güvenli çerezler, uygun süre sonu, şifre değişikliğinde oturumun geçersiz kılınması)

Ödeme:

• PCI DSS 4.0 uyumluluğu doğrulandı
• PCI uyumlu işlemci tarafından işlenen ödeme verileri (asla sunucularınızda saklanmaz)
• Geçerli işlemler için 3D Secure etkinleştirildi
• Tüm işlemlerde dolandırıcılık puanlaması

İzleme:

• Uygulama günlükleri toplandı ve analiz edildi
• Anormal davranışlara karşı yapılandırılmış güvenlik uyarıları
• Üç ayda bir güvenlik açığı taraması (minimum)
• Yıllık penetrasyon testi

---

Sıkça Sorulan Sorular

E-ticaret için en önemli güvenlik önlemi nedir?

Ödeme kartı verilerinin sunucularınıza asla dokunmaması için barındırılan ödeme alanlarına (Stripe Elements, Adyen Drop-in, Braintree Hosted Fields) sahip PCI uyumlu bir ödeme işlemcisi kullanma. Bu, en yüksek etki riskini (kart verilerinin ihlali) ortadan kaldırır ve PCI uyumluluğunu önemli ölçüde basitleştirir.

Bir e-ticaret işletmesi güvenliğe ne kadar harcama yapmalıdır?

Sektör standardı, güvenliğe ayrılan BT bütçesinin %5-10'udur. Orta ölçekli bir e-ticaret işletmesi için bu, genellikle WAF, izleme araçları, güvenlik açığı taraması, sızma testi ve personel eğitimini kapsayan yıllık 20.000-80.000 ABD Doları anlamına gelir. Bir ihlalin maliyeti (ortalama 3,86 milyon dolar), bu yatırımı kıyaslandığında önemsiz kılıyor.

Stripe kullanırsam PCI DSS uyumluluğuna ihtiyacım var mı?

Evet ama en basit düzeyde. Stripe'ın barındırılan ödeme alanlarını kullanmak, en az gereksinimi olan SAQ A'ya (Öz Değerlendirme Anketi A) hak kazandığınız anlamına gelir. Web sitenizin, yönetici erişiminizin ve barındırma ortamınızın güvenliğinden hâlâ siz sorumlusunuz; Stripe, PCI uyumluluğunun yalnızca kart verileri kısmını yönetir.

Magecart saldırılarına karşı nasıl koruma sağlarım?

Yalnızca yetkili komut dosyası kaynaklarını beyaz listeye alan İçerik Güvenliği Politikası başlıklarını uygulayın. Tüm harici komut dosyalarında Alt Kaynak Bütünlüğü (SRI) karmalarını kullanın. Yetkisiz DOM değişikliklerine karşı ödeme sayfanızı izleyin. Ödeme sayfalarında üçüncü taraf komut dosyalarını mutlak minimumda tutun. PerimeterX Code Defender gibi özel bir komut dosyası koruma hizmeti kullanmayı düşünün.

Cloudflare WAF, e-ticaret güvenliği için yeterli mi?

Cloudflare WAF, otomatik saldırıların %60-80'ini kapsayan mükemmel bir temeldir. Kapsamlı güvenlik için bunu uygulama düzeyinde güvenlik (giriş doğrulama, kimlik doğrulama kontrolleri, CSRF koruması), ödeme sahtekarlığı tespiti (Şerit Radar) ve düzenli güvenlik açığı değerlendirmeleriyle destekleyin. WAF, tam bir güvenlik çözümü değil, tek bir savunma katmanıdır.

Sızma testini ne sıklıkla yapmalıyım?

Minimum olarak yıllık olarak ve önemli uygulama değişikliklerinden sonra (yeni ödeme akışı, yeni ödeme entegrasyonu, büyük platform yükseltmesi). PCI DSS yıllık sızma testi gerektirir. Yüksek riskli e-ticaret (yüksek işlem hacmi, depolanan müşteri verileri) için üç ayda bir test yapılması önerilir.

Veri ihlalinden şüphelenirsem hemen ne yapmalıyım?

1. Olay müdahale planınızı etkinleştirin. 2) Etkilenen sistemleri izole edin. 3) Kanıtları koruyun (günlükler, disk görüntüleri). 4) Ödeme işlemcinizi 24 saat içinde bilgilendirin. 5) Bir adli soruşturma ekibi görevlendirin (kart verileri söz konusuysa PCI Adli Araştırmacısı). 6) Kapsamı anlaşılıncaya kadar kamuoyuna açıklama yapmayın. 7) Etkilenen müşterilere ve düzenleyicilere gerekli zaman çizelgeleri içerisinde bildirimde bulunun.

---

E-Ticaret İşinizi Güvence Altına Alma

Siber güvenlik tek seferlik bir proje değil, devam eden bir operasyonel disiplindir. Tehdit ortamı sürekli olarak gelişir ve savunmanız da onunla birlikte gelişmelidir. En yüksek etkili önlemlerle başlayın (ödeme işlemcisi güvenliği, WAF, güvenlik başlıkları, MFA), ardından izleme, test etme ve olaylara müdahale dahil kapsamlı güvenlik programlarına doğru ilerleyin.

ECOSIRE, sonradan akla gelen bir düşünce olarak değil, temelde tasarlanmış güvenlik mimarisiyle güvenli e-ticaret çözümleri oluşturur. Ekibimiz, Shopify güvenliğini güçlendirme'den Odoo ERP güvenlik yapılandırmasına kadar, e-ticaret altyapınızın işletmenizin ve müşterilerinizin hak ettiği güvenlik standartlarını karşılamasını sağlar. E-ticaret güvenlik değerlendirmenizi görüşmek için bize ulaşın.