E-TİCARET · · 9 dk

Güvenli Ödeme Sistemli Web Sitesi Nasıl Kurulur?

SSL sertifikasından PCI DSS uyumluluğuna, 3D Secure entegrasyonundan fraud önleme sistemlerine kadar e-ticaret güvenliğinin tüm katmanlarını inceliyoruz.

← Tüm Yazılar

Güvenli Ödeme Sistemli Web Sitesi Neden Zorunludur?

Güvenli ödeme sistemli web sitesi kurmak, e-ticaret altyapısının hem yasal hem de ticari bir zorunluluğudur. Türkiye'de online alışveriş yapan kullanıcıların %67'si ödeme güvenliğini satın alma kararında en önemli faktör olarak belirtmektedir. Yetersiz güvenlik önlemleri yalnızca müşteri kaybına değil; PCI DSS ihlali cezaları, BDDK yaptırımları ve veri ihlali bildirim yükümlülükleri gibi ağır yasal sonuçlara da yol açabilir. Güvenli ödeme altyapısı dört temel katmandan oluşur: aktarım güvenliği (SSL/TLS), ödeme verisi izolasyonu (tokenizasyon), kimlik doğrulama (3D Secure) ve süregelen izleme (fraud tespit sistemleri). Bu katmanların tamamını doğru uygulamak, hem müşteri güvenini kazanır hem de geri ödeme (chargeback) oranlarını minimize eder. E-ticaret sitenizin güvenli ödeme altyapısı kurulmadan canlıya alınması, maruz kalabileceğiniz riskleri kabul edilemez düzeye çıkarır.

%67 Güvenliği en kritik faktör sayan alıcılar
256-bit Standart SSL/TLS şifreleme uzunluğu
%99.8 3D Secure ile fraud azaltma oranı
PCI DSS Kart ödemelerinde uluslararası zorunlu standart

SSL Sertifikası ve HTTPS Yapılandırması

SSL (Secure Sockets Layer) sertifikası, tarayıcı ile sunucu arasındaki veri aktarımını şifreler. Ödeme sayfası başta olmak üzere tüm site HTTPS protokolüyle sunulmalıdır; yalnızca ödeme sayfasını şifrelemek yeterli değildir, çünkü karma içerik (mixed content) uyarıları kullanıcı güvenini zedeler. Let's Encrypt ile ücretsiz SSL alınabilse de ticari siteler için Extended Validation (EV) sertifikası daha güçlü güven sinyali verir. HTTP'den HTTPS'e geçişte tüm URL'lerin 301 yönlendirmesiyle güncellenmesi gerekir; bu konuda SEO uyumlu web sitesi rehberimizde detaylı bilgi bulabilirsiniz.

PCI DSS Uyumluluğu

Payment Card Industry Data Security Standard (PCI DSS), kart sahibi verilerini işleyen tüm sistemler için zorunlu uluslararası güvenlik standardıdır. Türkiye'de sanal POS hizmeti veren tüm bankalar PCI DSS uyumluluğunu şart koşmaktadır. En pratik yol, kart verilerini doğrudan sitenizde işlemek yerine ödeme sağlayıcısının (İyzico, PayTR, vb.) altyapısına devretmektir; bu yaklaşım "SAQ A" düzeyinde uyumluluğu sağlar ve sizin adınıza kritik yükümlülükleri taşıyan taraf ödeme sağlayıcısı olur.

3D Secure ve Fraud Önleme Sistemleri

3D Secure (3DS), kartlı ödemelerde ek kimlik doğrulama katmanı sağlayan ve geri ödeme sorumluluğunu kartı çıkaran bankaya devreden bir protokoldür. Günümüzde 3DS 2.0 sürümü, risk tabanlı kimlik doğrulamayla düşük riskli işlemlerde ek adım gerektirmeden akışı tamamlar; yalnızca yüksek riskli işlemlerde SMS veya biyometrik doğrulama ister. Bu yaklaşım hem güvenliği artırır hem de dönüşüm oranını korumanıza yardımcı olur.

Doğrudan Kart Toplama (Riskli)

  • Kart verisi sunucunuza düşer
  • PCI DSS SAQ D uyumluluğu gerekir
  • Yüksek teknik ve yasal yük
  • Veri ihlalinde tam sorumluluk
  • Düzenli güvenlik denetimi zorunlu

Ödeme Sağlayıcısı Üzerinden (Önerilen)

  • Kart verisi sağlayıcıda işlenir
  • PCI DSS SAQ A yeterli olur
  • Sorumluluk büyük ölçüde devredilir
  • Hızlı entegrasyon imkanı
  • 3DS, tokenizasyon dahil

Türkiye'deki e-ticaret sitelerinde en yaygın fraud yöntemi "kart testi" saldırısıdır: çalıntı kartlar küçük miktarlarla test edilir. Rate limiting, CAPTCHA ve sipariş hız sınırlaması bu saldırıyı önleyen temel savunmalar arasındadır.

Tokenizasyon ve Güvenli Kart Saklama

Tekrar satın alma deneyimini iyileştirmek için müşteri kartlarını saklamak isteyebilirsiniz. Kart numarasını doğrudan saklamak yerine tokenizasyon kullanılır: gerçek kart verisi ödeme sağlayıcısında, sizde yalnızca o karta karşılık gelen benzersiz bir token tutulur. Böylece veri ihlali durumunda bile gerçek kart bilgisi ele geçirilmez. Web uygulama güvenliği rehberimizde tokenizasyon ve veri güvenliği konularını daha ayrıntılı ele aldık.

Güvenli Ödeme Altyapısı Kurulum Adımları

1
Ödeme Sağlayıcısı Seçimi

Türkiye'de İyzico, PayTR, Sipay ve banka sanal POSleri en yaygın seçeneklerdir. Komisyon oranlarının yanı sıra entegrasyon kalitesi, 3DS desteği, fraud filtresi ve müşteri hizmetleri kalitesini değerlendirin.

2
SSL Sertifikası Kurulumu ve HTTPS Zorunluluğu

Tüm sayfalarda HTTPS aktif edin. HSTS (HTTP Strict Transport Security) başlığını sunucuya ekleyin. Sertifika yenileme hatalarını önlemek için otomatik yenileme kurulumu yapın.

3
3D Secure Entegrasyonu

Seçtiğiniz ödeme sağlayıcısının 3DS 2.0 akışını entegre edin. Risk tabanlı kimlik doğrulamanın açık olduğunu ve düşük riskli işlemlerde friction-free akışın çalıştığını test edin.

4
Fraud Önleme Kuralları Tanımlama

Sipariş tutarı eşiği, günlük limit, konum anomalisi ve hız kuralları gibi fraud filtrelerini aktif edin. Şüpheli işlemleri otomatik askıya alan bir akış tanımlayın.

5
KVKK Uyumlu Politikaların Yayınlanması

Gizlilik politikası, çerez politikası ve ödeme güvenliği sayfalarını KVKK gerekliliklerine uygun olarak hazırlayın. Kullanıcıların açık rızasını kayıt altına alın.

Güvenli ödeme altyapısı, sağlıklı bir e-ticaret ekosisteminin yalnızca bir parçasıdır. E-ticaret sitesi kurma rehberimizde ödeme sistemlerinin tüm altyapıyla nasıl entegre edileceğini kapsamlı şekilde ele aldık.