Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunE-Ticaret için PCI-DSS Uyumluluğu: Ödeme Güvenliği ve Tokenizasyon
Kart ödeme dolandırıcılığı kayıpları 2025 yılında dünya çapında 33 milyar doları aştı ve e-ticaret, tüm kart dolandırıcılıklarının %73'ünü oluşturuyor. Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI-DSS) bununla mücadele etmek için mevcuttur ve Mart 2025'te zorunlu hale gelen sürüm 4.0, birçok e-Ticaret işletmesinin hâlâ uygulamaya çalıştığı önemli yeni gereksinimleri getirmiştir.
İyi haber: Shopify Payments veya Stripe Checkout gibi barındırılan bir ödeme çözümü kullanıyorsanız PCI kapsamınız önemli ölçüde azalır. Kötü haber: asla sıfır değildir. Kart ödemelerini kabul eden her e-Ticaret işletmesinin, kart numarasını hiç görmeseler bile PCI-DSS yükümlülükleri vardır.
Önemli Çıkarımlar
- PCI-DSS v4.0, kart sahibi verilerine tüm erişim için özelleştirilmiş doğrulama yaklaşımları ve zorunlu MFA sunar
- Tokenizasyon, kart numaralarını geri alınamayan tokenlarla değiştirerek PCI kapsamının %80-90'ını ortadan kaldırır
- SAQ seçimi uyumluluk yükünüzü belirler --- doğru SAQ'yu seçmek aylarca süren çalışmalardan tasarruf etmenizi sağlar
- Üç aylık ASV taramaları ve yıllık sızma testleri tartışılamaz gereksinimlerdir
PCI-DSS v4.0: Neler Değişti
2022'de piyasaya sürülen ve 31 Mart 2025'ten bu yana tamamen zorunlu olan PCI-DSS v4.0, on yılı aşkın süredir standartta yapılan en önemli güncellemeyi temsil ediyor. Önemli değişiklikler her e-ticaret işletmesini etkiliyor.
v4.0'daki Büyük Değişiklikler
| Değiştir | Etki | Son tarih |
|---|---|---|
| Özelleştirilmiş yaklaşıma izin veriliyor | Şirketler hedefleri karşılayan alternatif kontroller tasarlayabilir | Şu anda aktif |
| Hedeflenen risk analizi | Bazı kontroller için risk bazlı sıklık (örn. günlük incelemeleri) | Şu anda aktif |
| Gelişmiş kimlik doğrulama | CDE'ye TÜM erişim için MFA gereklidir (yalnızca uzaktan değil) | Mart 2025 |
| Otomatik günlük incelemesi | Denetim günlüklerindeki anormallikleri tespit etmek için otomatik mekanizmalar | Mart 2025 |
| Komut dosyası yönetimi | Ödeme sayfası komut dosyalarının envanteri ve bütünlüğünün izlenmesi | Mart 2025 |
| E-ticarette kaymayı önleme | Ödeme sayfalarında yetkisiz değişiklikleri tespit etmeye yönelik mekanizmalar | Mart 2025 |
| Hedeflenen şifre gereksinimleri | Minimum 12 karakter (veya sistem 12'yi desteklemiyorsa 8) | Mart 2025 |
| Yetkilendirmeden önce SAD'nin şifrelenmesi | Kimlik doğrulama öncesi saklanıyorsa hassas kimlik doğrulama verileri şifrelenmelidir | Mart 2025 |
Komut Dosyası Yönetimi Gereksinimi
Gereksinim 6.4.3 özellikle e-Ticaret için etkilidir: ödeme sayfalarındaki tüm komut dosyalarının bir envanterini tutmalı ve yetkisiz değişiklikleri tespit edecek bir mekanizma uygulamalısınız. Bu şu anlama gelir:
- Ödeme sayfanıza yüklenen her JavaScript dosyası belgelenmelidir
- İçerik Güvenliği Politikası (CSP) başlıkları komut dosyası kaynaklarını kısıtlamalıdır
- Alt Kaynak Bütünlüğü (SRI) karmaları komut dosyası içeriğini doğrulamalıdır
- Bir izleme mekanizması yetkisiz komut dosyası değişiklikleri konusunda uyarıda bulunmalıdır
Bu gereksinim, saldırganların kart verilerini çalmak için ödeme sayfalarına kötü amaçlı komut dosyaları yerleştirdiği Magecart tarzı gözden geçirme saldırılarını doğrudan hedefler.
Tokenizasyonu Anlamak
Tokenizasyon, PCI kapsamını daraltmak için en etkili teknolojidir. Hassas kart verilerini, ihlal edilmesi halinde hiçbir istismar değeri olmayan, hassas olmayan bir token ile değiştirir.
Tokenizasyon Nasıl Çalışır?
- Müşteri, kart ayrıntılarını ödeme sağlayıcısının barındırılan formuna girer (asla sizin sunucunuza girmez)
- Ödeme sağlayıcısı, kartı temsil eden bir jeton oluşturur
- Sisteminiz yalnızca jetonu saklar (örn.
tok_1MqLkJLkdIwHu7ixUAuBjz5Y) - Sonraki ödemeler için jetonu ödeme sağlayıcısına gönderirsiniz
- Sağlayıcı, jetonu gerçek kart ayrıntılarıyla eşleştirir ve ödemeyi işler
Tokenizasyon ve Şifreleme
| Görünüş | Tokenleştirme | Şifreleme |
|---|---|---|
| Tersine çevrilebilirlik | Geri alınamaz (belirteç rastgeledir) | Anahtarla ters çevrilebilir |
| PCI kapsamı | Sistemleri kapsamdan kaldırır | Sistemler kapsam dahilinde kalıyor |
| Anahtar yönetimi | Yönetilecek anahtar yok | Anahtar yönetimi gerekli |
| Performans | Arama tabanlı, hızlı | Bilgi işlem tabanlı, biraz daha yavaş |
| İhlal etkisi | Tokenlar saldırganlar için işe yaramaz | Anahtarın güvenliği ihlal edilirse şifrelenmiş veriler değerlidir |
Başlıca Platformlarla Uygulama
Shopify: Tokenizasyon tamamen Shopify Payments tarafından gerçekleştirilir. Satıcılar asla kart verilerine dokunmaz. PCI uyumluluğu, Shopify'ın Düzey 1 sertifikası kapsamındadır. SAQ-A'dan siz sorumlusunuz.
Stripe: Kart verilerinin doğrudan Stripe sunucularına gittiğinden emin olmak için Stripe Elements veya Stripe Checkout'u kullanın. Arka ucunuz yalnızca jeton alır. Bu, uygulamaya bağlı olarak SAQ-A veya SAQ-A-EP'ye hak kazanmanızı sağlar.
Odoo ile özel ödeme entegrasyonu: Odoo'da özel bir e-Ticaret çözümü oluşturuyorsanız, barındırılan alanları veya yönlendirme yaklaşımını kullanarak PCI uyumlu bir ödeme ağ geçidi (Stripe, Adyen, Authorize.net) ile entegre edin. Ham kart verilerini asla Odoo sunucunuzda işlemeyin.
SAQ Seçim Kılavuzu
Doldurmanız gereken Öz Değerlendirme Anketi (SAQ), kart verilerini nasıl kullandığınıza bağlıdır. Doğru SAQ'yu seçmek ve ödeme akışınızı daha basit bir SAQ'ya hak kazanacak şekilde tasarlamak, vereceğiniz en önemli PCI kararıdır.
SAQ Tipi Seçim Kılavuzu
| SAQ Türü | Kimin İçin | Soru Sayısı | Gereksinimler |
|---|---|---|---|
| SAQ-A | Tamamen dış kaynak kullanımı (barındırılan ödeme sayfası/iframe) | ~25 | Kart verileriniz asla sistemlerinize dokunmaz |
| SAQ-A-EP | Dış kaynaklı ödeme ancak siteniz sayfayı kontrol ediyor | ~140 | Alanınızdaki ödeme sayfası, veriler doğrudan işleyiciye gönderilir |
| SAQ-B | Yalnızca baskı veya bağımsız terminal | ~40 | Elektronik kart sahibi veri depolaması yok |
| SAQ-B-IP | IP bağlantılı bağımsız PTS terminalleri | ~80 | Terminal, ağ üzerinden işlemciye bağlanır |
| SAQ-C | İnternete bağlı ödeme uygulaması | ~160 | Uygulama kartları işliyor ancak verileri saklamıyor |
| SAQ-C-VT | Sanal terminal (manuel anahtar girişi, web tabanlı) | ~80 | Aynı anda tek işlem, elektronik depolama yok |
| SAQ-D | Diğer herkes (depolar, işler veya iletir) | ~330 | Tam PCI değerlendirmesi gerekli |
Karar Akışı
Müşterileri barındırılan bir ödeme sayfasına (Shopify Checkout, Stripe Checkout, PayPal) yönlendiriyor musunuz? Evetse SAQ-A.
Ödeme sağlayıcısının formunu sayfanıza yerleştiriyor musunuz (Stripe Elements, Braintree Hosted Fields)? Evetse, SAQ-A-EP. Sayfanız formu barındırıyor ancak kart verileri doğrudan sağlayıcıya gidiyor.
Kart verileri sunucunuza geçici de olsa hiç dokunuyor mu? Evetse, SAQ-D. Bu değerlendirmenin tamamıdır ve bunun yerine SAQ-A veya SAQ-A-EP'ye hak kazanmak için yeniden mimari yapmayı kesinlikle düşünmelisiniz.
Maliyet Etkileri
| SAQ Türü | Tipik Yıllık Uyum Maliyeti | Çaba Seviyesi |
|---|---|---|
| SAQ-A | 2.000$ - 5.000$ | Günler |
| SAQ-A-EP | 10.000 $ - 30.000 $ | Haftalar |
| SAQ-C | 20.000 $ - 50.000 $ | Haftalardan aylara |
| SAQ-D | 50.000 $ - 300.000 $+ | Aylar |
Kart verilerini kendiniz işlemek yerine barındırılan ödeme formlarını kullanmaya yönelik mimari kararı, uyumluluk maliyetlerinde yıllık 50.000 ila 250.000 ABD Doları tasarruf sağlayabilir.
3D Secure 2.0: Sorumluluk Değişimi ve Dolandırıcılığın Önlenmesi
3D Secure 2.0 (3DS2), çevrimiçi kart işlemlerine bir kimlik doğrulama katmanı ekler. Düzgün uygulandığında dolandırıcılık sorumluluğu satıcıdan kartı veren kuruluşa geçer.
3DS2 Nasıl Çalışır?
- Müşteri sitenizde ödemeyi başlatır
- Ödeme sağlayıcınız işlem verilerini kartı veren kuruluşa gönderir
- İhraççının risk motoru işlemi değerlendirir (cihaz parmak izi, işlem geçmişi, tutar)
- Sürtünmesiz akış: Düşük riskli işlemlerin kimliği sessizce doğrulanır (müşteri işlemi gerekmez)
- Zorluk akışı: Yüksek riskli işlemler ek kimlik doğrulama gerektirir (biyometrik, OTP, uygulama onayı)
- Kimlik doğrulama sonucu döndürülür ve ödeme işleme alınır
3DS2 Avantajları
- Sorumluluk değişimi: Kimliği doğrulanmış işlemler için dolandırıcılık sorumluluğu amir bankaya aktarılır
- Dolandırıcılığın azalması: 3DS2, kimliği doğrulanmayan işlemlere kıyasla dolandırıcılık oranlarını %40-60 oranında azaltır
- Daha iyi UX: Sorunsuz kimlik doğrulama, işlemlerin %85-95'inin ek müşteri işlemi gerektirmediği anlamına gelir
- Yasal uyumluluk: PSD2 Güçlü Müşteri Kimlik Doğrulaması (SCA), AB işlemleri için 3DS2'yi gerektirir
Uygulamayla İlgili Hususlar
- Ödeme sağlayıcınız aracılığıyla 3DS2'yi etkinleştirin (Stripe, Adyen ve çoğu sağlayıcı bunu yerel olarak destekler)
- Riske dayalı kimlik doğrulama eşiklerini yapılandırın: 3DS2'yi yüksek riskli işlemlere uygulayın, düşük değerli veya düşük riskli işlemleri hariç tutun
- Kimlik doğrulama oranlarını izleyin: çok fazla işleme itiraz edilirse risk sinyallerinizi gözden geçirin
- Canlı yayına geçmeden önce hem sürtünmesiz hem de zorlu akışları iyice test edin
Güvenlik Açığı Taraması ve Sızma Testi
PCI-DSS, kapsamdaki tüm ortamlar için hem otomatik güvenlik açığı taraması (üç ayda bir) hem de manuel sızma testi (yıllık) gerektirir.
Üç Aylık ASV Taramaları
Onaylı Tarama Satıcısının (ASV) her üç ayda bir harici güvenlik açığı taramaları yapması gerekir. Gereksinimler:
- Taramalar, Kart Sahibi Veri Ortamındaki (CDE) dışarıya bakan tüm IP adreslerini ve etki alanlarını kapsamalıdır.
- Tüm yüksek önemdeki güvenlik açıkları (CVSS 4.0+), tarama başarılı olmadan önce düzeltilmeli ve yeniden taranmalıdır.
- Başarılı tarama raporları denetim amacıyla saklanmalıdır
- Yaygın ASV'ler: Qualys, Tenable, SecurityMetrics, Trustwave
Yıllık Sızma Testi
Gereksinim 11.4, aşağıdakilerin yıllık penetrasyon testini zorunlu kılar:
- Ağ bölümleme kontrolleri (kapsamı daraltmak için kullanılıyorsa)
- CDE'nin dış çevresi
- CDE içindeki dahili sistemler
- Ödeme uygulamalarının uygulama katmanı testi
V4.0'daki yenilikler: Sızma testinin artık segmentasyon kontrollerinin çalıştığını ve CDE'nin ağın geri kalanından düzgün şekilde yalıtıldığını açıkça doğrulaması gerekiyor.
Sürekli İzleme
PCI-DSS v4.0, üç aylık ve yıllık testlerin ötesinde sürekli izlemeyi vurgular:
- Kritik sistem dosyalarında ve ödeme sayfası komut dosyalarında dosya bütünlüğü izleme (FIM)
- CDE ağ sınırlarında izinsiz giriş tespit/önleme sistemleri (IDS/IPS)
- Anormallik tespiti için otomatik günlük incelemesi (yeni v4.0 gereksinimi)
- Yetkisiz erişim girişimlerine karşı gerçek zamanlı uyarı
PCI Uyumlu bir e-Ticaret Mimarisi Oluşturma
PCI uyumluluğuna yönelik en etkili yaklaşım, mimari kararları aracılığıyla kapsamı en aza indirmektir.
Önerilen Mimari
Kademe 1: Ödeme sayfası (minimum kapsam). Ödeme sayfanızda bir iframe'e yerleştirilmiş, barındırılan ödeme alanlarını (Stripe Elements, Adyen Drop-in) kullanın. Kart verileri doğrudan müşterinin tarayıcısından ödeme sağlayıcısına aktarılır. Sunucunuz bunu asla görmez.
Kademe 2: Uygulama sunucusu (kapsam dışı). E-Ticaret uygulamanız (Shopify, Odoo, özel) sipariş yönetimini, envanteri ve müşteri verilerini yönetir. Ödeme sağlayıcısıyla yalnızca jetonlar aracılığıyla iletişim kurar.
Kademe 3: Veri depolama (kart verilerinin kapsamı dışında). Veritabanınız sipariş ayrıntılarını, müşteri bilgilerini ve ödeme jetonlarını saklar ancak kart numaralarını, CVV'leri veya son kullanma tarihlerini asla saklamaz.
Ağ Segmentasyonu
Altyapınızın herhangi bir kısmı kart verilerini işliyorsa ağ bölümlendirmesi kritik öneme sahiptir:
- CDE'yi ayrı bir ağ segmentinde (VLAN, alt ağ veya VPC) yalıtın
- CDE'ye giden ve CDE'den gelen trafiği kısıtlayan güvenlik duvarı kurallarını uygulayın
- Segmentasyon sınırını geçen tüm trafiği izleyin
- Sızma testi sırasında segmentasyon kontrollerini test edin
PCI-DSS'nin ötesine geçen kapsamlı uyumluluk mimarisi kılavuzu için kurumsal uyumluluk el kitabımıza bakın.
Sıkça Sorulan Sorular
Yalnızca Shopify'da satış yapıyorsam PCI uyumluluğuna ihtiyacım var mı?
Evet, ancak kapsamınız minimum düzeydedir. Shopify, PCI-DSS Düzey 1 sertifikalı bir hizmet sağlayıcıdır; bu, Shopify'ın ağır yükü üstlendiği anlamına gelir. Ancak yıllık SAQ-A'yı tamamlamak ve temel güvenlik uygulamalarını sürdürmek sizin sorumluluğunuzdadır: güçlü şifreler, Shopify yöneticinizde MFA, kart verilerinin Shopify dışında saklanmaması ve personelin güvenlik konusunda eğitilmesi.
Üç aylık ASV taramam başarısız olursa ne olur?
Tespit edilen güvenlik açıklarını düzeltme ve yeniden tarama talep etme olanağına sahipsiniz. Başarısız bir tarama için herhangi bir ceza yoktur; yalnızca üç aylık dönem içerisinde başarılı bir tarama yapılmaması durumunda. Ancak taramalarda sürekli başarısız olursanız ve uyumluluğu gösteremezseniz, alıcı bankanız işlem ücretlerinizi artırabilir, daha sıkı bir değerlendirme gerektirebilir veya aşırı durumlarda satıcı hesabınızı feshedebilir.
PCI uyumluluğu yasa gereği gerekli mi?
PCI-DSS bir hükümet düzenlemesi değildir; kart markalarının (Visa, Mastercard, American Express, Discover, JCB) sözleşmeye bağlı bir gerekliliğidir. Uyumluluk, alıcı bankanızla yaptığınız ticari sözleşme aracılığıyla zorunlu kılınır. Uyumsuzluk, kart markalarından para cezalarına (5.000 $ - 100.000 $/ay), artan işlem ücretlerine ve sahtekarlık işlemleri sorumluluğuna neden olabilir. Bazı yargı bölgeleri (Nevada, Minnesota, Washington), PCI-DSS gerekliliklerini içeren yasalar çıkarmıştır.
PCI-DSS'nin GDPR ile ilişkisi nedir?
PCI-DSS ve GDPR erişim kontrolü, şifreleme ve olaylara müdahale gibi alanlarda örtüşüyor ancak farklı odak noktalarına sahipler. PCI-DSS özellikle ödeme kartı verilerini korurken, GDPR AB'de ikamet edenlerin tüm kişisel verilerini korur. Ödeme kartı numarası da GDPR kapsamında kişisel veridir, dolayısıyla her ikisine de uymanız gerekir. Farklı düzenlemelerin nasıl etkileşimde bulunduğu hakkında daha fazla bilgi için veri gizliliği karşılaştırma kılavuzumuza bakın.
Sırada Ne Var
Kartla ödeme kabul eden hiçbir işletme için PCI-DSS uyumluluğu isteğe bağlı değildir. İyi haber şu ki, modern ödeme platformları, kart verilerinin işlenmesinin en hassas yönlerini sizin adınıza ele alarak bunu önemli ölçüde kolaylaştırdı. İşiniz doğru mimariyi seçmek, uygun SAQ'yu tamamlamak, sürekli güvenlik uygulamalarını sürdürmek ve standart geliştikçe güncel kalmaktır.
ECOSIRE, e-Ticaret işletmelerinin en başından itibaren PCI uyumlu ödeme mimarileri oluşturmasına yardımcı olur. Shopify uygulamalarımız, minimum PCI kapsamı için Shopify'ın Düzey 1 sertifikasyonundan yararlanır ve Odoo ERP entegrasyonlarımız, sistemlerinizi PCI kapsamı dışında tutan tokenleştirilmiş ödeme akışlarını kullanır. Ödeme güvenliği değerlendirmesi için bize ulaşın.
ECOSIRE tarafından yayınlandı — işletmelerin Odoo ERP, Shopify eCommerce ve OpenClaw AI genelinde yapay zeka destekli çözümlerle ölçeklenmesine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Shopify Mağazanızı Ölçeklendirin
Hızlı büyüyen e-ticaret için özel geliştirme, optimizasyon ve geçiş hizmetleri.
İlgili Makaleler
E-ticaret için Yapay Zeka İçerik Üretimi: Ürün Açıklamaları, SEO ve Daha Fazlası
E-ticaret içeriğini yapay zeka ile ölçeklendirin: ürün açıklamaları, SEO meta etiketleri, e-posta kopyası ve sosyal medya. Kalite kontrol çerçeveleri ve marka sesi tutarlılığı kılavuzu.
Yapay Zeka Destekli Dinamik Fiyatlandırma: Geliri Gerçek Zamanlı Olarak Optimize Edin
Talep esnekliği modellemesi, rakip izleme ve etik fiyatlandırma stratejileriyle geliri optimize etmek için yapay zeka dinamik fiyatlandırmasını uygulayın. Mimari ve yatırım getirisi kılavuzu.
E-ticaret için Yapay Zeka Dolandırıcılık Tespiti: Satışları Engellemeden Geliri Koruyun
Sahte pozitif oranları %2'nin altında tutarken, sahtekarlık işlemlerinin %95'ten fazlasını yakalayan yapay zeka sahtekarlık tespitini uygulayın. Makine öğrenimi puanlaması, davranış analizi ve yatırım getirisi kılavuzu.
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.