E-Ticaret Güvenliği: Online Mağaza İçin Güvenlik Rehberi

Q: E-ticaret güvenliği neden önemlidir?

E-ticaret siteleri, müşteri kişisel verileri ve ödeme bilgilerini işlediği için siber saldırıların birincil hedefi. Verizon 2024 raporuna göre e-ticaret sektöründeki veri ihlallerinin yüzde 71'i finansal motivasyonlu. Güvenlik ihlali hem müşteri güvenini yıkıyor hem de KVKK kapsamında ciddi cezai yaptırımlara yol açıyor. Güvenli site, dönüşüm oranını artıran bir satış aracı.

Q: KVKK e-ticaret siteleri için ne anlam ifade eder?

KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında e-ticaret siteleri müşteri verilerini işlemek için açık rıza almalı, veri işleme politikasını şeffaf biçimde yayımlamalı, veri ihlallerini 72 saat içinde KVKK Kurulu'na bildirmeli ve veri saklama sürelerini sınırlandırmalıdır. Cookie banner, gizlilik politikası ve veri işleme sözleşmesi zorunludur. İhlal durumunda 1 milyon TL'ye kadar idari para cezası uygulanabilir.

Q: Ödeme güvenliği için en iyi uygulamalar nelerdir?

En iyi uygulamalar: Kart verilerini kendi sunucunuzda saklamayın, ödeme sayfasını tokenization destekli sağlayıcıya yönlendirin. 3DS2 ile güçlü müşteri kimlik doğrulaması uygulayın. Sanal pos sağlayıcısı olarak iyzico, PayTR veya Stripe gibi PCI DSS Level 1 sertifikalı platformları tercih edin. HTTPS + HSTS zorunlu kılın. Ödeme formları için iframe yerine redirect yöntemi kullanın.

Q: E-ticaret güvenlik açıkları nasıl tespit edilir?

Düzenli güvenlik açığı taraması için: Sucuri SiteCheck, Qualys SSL Labs (SSL kalitesi), Google Search Console Güvenlik Sorunları raporu, OWASP ZAP (uygulama güvenliği) araçlarını kullanın. Yılda en az bir kez penetrasyon testi yaptırın. Yazılım bağımlılıklarını (plugin, tema, kütüphane) güncel tutun ve CVE veritabanını takip edin. 2FA ile yönetici erişimini güvence altına alın.

İçindekiler

Şöyle düşünün: tek bir e-ticaret sitesinin veritabanında müşterinin kart bilgisi, ev adresi, hatta hangi ürüne kaç saniye baktığı bile aynı anda duruyor. Saldırganın gözüyle bu, fena hâlde çekici bir hedef. Bir ihlal yaşandığında da fatura öyle hemen kapanmıyor; aylar sonra hâlâ müşteri kaybetmeye, KVKK'nın cezasını çekmeye ve kolay kolay düzelmeyen bir itibar yarasıyla uğraşmaya devam edebiliyorsunuz. Üstelik bu işin sadece savunma tarafı. Güvenliğin diğer yüzünü atlamamak lazım: doğru kurgulandığında dönüşümü doğrudan besleyen bir satış aracına da dönüşüyor.

Bu rehberde SSL sertifikası seçiminden PCI DSS uyumluluğuna, ödeme güvenliğinden KVKK yükümlülüklerine kadar e-ticaret sitenizi korumanın adım adım yollarını ele alıyoruz. E-ticaret yönetimi rehberimizi ve dönüşüm oranı artırma rehberimizi okuduysanız bu yazı operasyonel güvenlik boyutunu tamamlıyor.

E-Ticaret Güvenliği: Temel Veriler

Yüzde 71 finansal motivasyon: E-ticaret sektöründeki veri ihlallerinin yüzde 71'i finansal kazanç amacıyla gerçekleştiriliyor (Verizon DBIR, 2024).

4,9 milyon dolar: Perakende sektöründe bir veri ihlalinin ortalama maliyeti (IBM Cost of a Data Breach, 2024).

Yüzde 17 dönüşüm artışı: Güven rozetleri ve SSL sertifikası görünür şekilde gösterilen e-ticaret sitelerinde ortalama dönüşüm oranı yüzde 17 artıyor (Baymard Institute, 2024).

1 milyon TL: KVKK kapsamında veri ihlali bildirim yükümlülüğünün ihlali durumunda uygulanabilecek maksimum idari para cezası.

Neden Önemli? Güvenlik, Güven ve Dönüşüm İlişkisi

E-ticaret güvenliği iki farklı boyutta ele alınmalıdır: defansif güvenlik (saldırıları önlemek) ve güven sinyalleri (müşteriyi ikna etmek). Her ikisi de doğrudan satış rakamlarını etkiler.

Baymard Institute araştırmasına göre çevrimiçi alışveriş yapanların yüzde 19'u güvenlik kaygıları nedeniyle siparişi tamamlamadan ayrılıyor. Güven rozetleri, SSL göstergesi ve şeffaf ödeme süreci bu oranı ciddi ölçüde düşürüyor. Güvenlik yalnızca teknik bir zorunluluk değil; doğrudan sepet tamamlama oranını artıran bir dönüşüm aracı.

⚠️

Teknik Riskler

✓SQL injection ile veritabanı sızıntısı
✓XSS (Cross-Site Scripting) saldırıları
✓Brute force ile yönetici paneli ele geçirme
✓Skimming: ödeme formuna kötü amaçlı JS enjeksiyonu
✓DDoS: site çökertme saldırıları

💼

İş Riskleri

✓KVKK ihlali: idari para cezası
✓Chargeback: iade ve ceza maliyetleri
✓Kart ödeme işleme hakkının iptali
✓Google Safe Browsing kara listesi: trafik kaybı
✓Müşteri güveni kaybı ve itibar hasarı

✅

Güven Sinyalleri (Dönüşüm)

✓HTTPS yeşil kilit: temel güven göstergesi
✓Güvenlik rozeti (Norton, SSL seal)
✓3D Secure ekranı: banka doğrulaması
✓Gizlilik politikası ve KVKK bilgilendirmesi
✓Para iade garantisi ve güvenli ödeme etiketi

⚖️

Yasal Yükümlülükler

✓KVKK: kişisel veri işleme uyumu
✓PCI DSS: kart verisi güvenlik standardı
✓6563 sayılı Kanun: mesafeli satış sözleşmesi
✓GDPR: AB'li müşteriye satış yapıyorsanız
✓Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

SSL/TLS Sertifikası: E-Ticaret İçin Temel Gereksinim

SSL'i bir kapı kilidi gibi düşünebilirsiniz. Kullanıcı ile site arasında gidip gelen ne varsa kart numarası, şifre, adres, hepsini başkasının okuyamayacağı bir hâle çeviriyor. Teknik dilde SSL bir süre önce yerini TLS'e (Transport Layer Security) bıraktı; ama günlük konuşmada herkes hâlâ SSL diyor, sektör de öyle yazıyor. E-ticaret tarafında HTTPS'siz site açmak artık çağ dışı bir tercih: tarayıcı kullanıcıya "Güvenli Değil" yazısıyla doğrudan uyarı veriyor, Google da bunu kibarca sıralamadan aşağı çekerek hatırlatıyor.

SSL Sertifikası Türleri ve E-Ticaret İçin Uygunluk

Tür	Doğrulama	Güven Seviyesi	E-Ticaret Uygunluğu
DV (Domain Validation)	Domain sahipliği	Temel	Önerilmez
OV (Organization Validation)	Şirket kimliği	Orta-Yüksek	Önerilir (KOBİ)
EV (Extended Validation)	Kapsamlı şirket doğrulama	En yüksek	Önerilir (Kurumsal)
Wildcard SSL	Tüm alt domainler	OV veya EV seviyesi	Çok subdomain varsa
Multi-Domain (SAN)	Birden fazla domain	OV veya EV seviyesi	Çok domain varsa

SSL Kurulumu Sonrası Kontrol Listesi

✓

HTTP'den HTTPS'ye 301 yönlendirmesi aktif

Tüm HTTP URL'leri otomatik HTTPS'ye yönlendirilmeli; ziyaretçi ve arama motoru için tutarlı URL.

✓

HSTS (Strict-Transport-Security) header

Tarayıcıya her zaman HTTPS kullanmasını söyler. max-age=31536000 ile 1 yıllık koruma.

✓

Mixed content kontrolü

Sayfa HTTPS olsa da HTTP'den yüklenen görsel/script güvenli sayılmaz. Chrome DevTools ile kontrol edin.

✓

Qualys SSL Labs A+ skoru

ssllabs.com/ssltest ile ücretsiz test. TLS 1.2+ zorunlu, TLS 1.0/1.1 devre dışı.

✓

Sertifika yenileme hatırlatıcısı

SSL sona erme tarihi 30 gün öncesinde hatırlatma kur. Süresi dolan SSL anında site uyarısı gösterir.

PCI DSS Uyumluluğu: Kart Verisi Güvenliği

PCI DSS (Payment Card Industry Data Security Standard), Visa, Mastercard, American Express ve Discover'ın bir araya gelip oluşturduğu bir güvenlik standartları bütünü. Kart verisi işleyen her işletme için geçerli. Türkiye'de yasal anlamda zorunlu olmasa bile çalıştığınız banka ya da ödeme kuruluşu, PCI uyumluluğunu zaten masaya koyacaktır; teoride opsiyonel, pratikte mecburi.

PCI DSS Uyumluluk Seviyeleri (Merchant Level)

Seviye	Yıllık İşlem Hacmi	Gereksinim
Level 1	6 milyon+ işlem	Yıllık QSA denetimi + ASV taraması
Level 2	1-6 milyon işlem	Yıllık SAQ + ASV taraması
Level 3	20.000-1 milyon e-ticaret işlemi	Yıllık SAQ + ASV taraması
Level 4	20.000'in altı e-ticaret işlemi	Yıllık SAQ (önerilen)

PCI Kapsamını Daraltmanın En Etkili Yolu

Redirect yöntemi: Ödeme sayfasını PCI Level 1 sertifikalı sağlayıcıya (iyzico, PayTR, Stripe, Shopify Payments) yönlendirin. Kart verisi hiçbir zaman kendi sunucunuza gelmez; PCI kapsamınız SAQ A seviyesine düşer.

Tokenization: Tekrar eden ödemelerde kart numarası yerine ödeme sağlayıcısından alınan token saklanır. Güvenlik ihlalinde token işe yaramaz; kart verisi korunmuş olur.

Kart verisi saklamayın: CVV kodu hiçbir koşulda log dosyalarında veya veritabanında tutulmamalı. Sıfır kart verisi politikası, PCI yükünü ulaşabileceğiniz en düşük seviyeye çekiyor.

Ödeme Güvenliği: 3D Secure ve Güvenli Ödeme Altyapısı

Ödeme güvenliği, e-ticaret güvenliğinin en sınava giren katmanı. Çünkü burada iki cephe aynı anda açılıyor: bir yanda müşteri verisinin korunması, öbür yanda chargeback (itiraz) riskinin yönetilmesi. 3D Secure, tokenization ve doğru sanal pos sağlayıcısı seçimi bu cephenin omurgasını oluşturuyor.

3D Secure (3DS2): Güçlü Müşteri Kimlik Doğrulaması

Zorunlu

3DS2, kart sahibinin gerçekten o kişi olduğunu bizzat bankasına doğrulatan ek bir güvenlik adımı. Müşteri ödeme sırasında bankadan SMS ya da mobil uygulama bildirimiyle bir onay alıyor. Türkiye'deki sanal pos sağlayıcılarının neredeyse tamamı 3D Secure'u varsayılan olarak zorunlu tutuyor zaten. Satıcı tarafında en kıymetli kazanç şu: 3DS2 ile tamamlanan bir işlemde chargeback sorumluluğu bankaya geçtiği için satıcı kendini doğrudan koruma altına almış oluyor.

Tokenization: Tekrar Eden Ödemelerde Güvenlik

Önerilir

Tokenization, kart numarasının ödeme sağlayıcısı tarafından rastgele üretilmiş bir token ile değiştirildiği mekanizmanın adı. Aboneliğiniz veya kayıtlı kart özelliğiniz varsa veritabanında saklanan şey gerçek kart bilgisi değil, bu token oluyor. Olası bir güvenlik ihlalinde elde edilen token tek başına işe yaramıyor; gerçek kart numarası zaten hiçbir aşamada sizin sunucunuza uğramamış oluyor.

CVV ve AVS Doğrulaması

Önerilir

CVV (Card Verification Value) doğrulaması, kartın fiziksel olarak işlemi yapan kişide olup olmadığını anlamanın pratik bir yolu. AVS (Address Verification System) ise fatura adresini bankada kayıtlı adresle eşleştiriyor. İkisi birlikte çalıştığında fraud riski gözle görülür biçimde aşağı iniyor. Önemli not: CVV asla veritabanına yazılmaz; yalnızca o işlem anında doğrulamak için kullanılıp atılır.

Ödeme Sağlayıcısı Seçimi

Kritik Seçim

Türkiye pazarında öne çıkan isimleri kısaca özetlemek gerekirse: iyzico entegrasyon kolaylığı ve PCI Level 1 sertifikasıyla geniş kabul görüyor (Iyzipay widget'ı da yaygın bir tercih), PayTR Türk bankalarıyla derin entegrasyonu sayesinde öne çıkıyor, Shopify mağazaları için Shopify Payments doğal bir seçim, uluslararası satışta Stripe popüler olsa da Türkiye tarafında hâlâ kısıtları var. Seçim yaparken bakmanız gereken kriterler: PCI sertifika seviyesi, komisyon oranı, başarılı işlem oranı, teknik destek hızı ve SDK kalitesi.

E-ticaret güvenlik danışmanlığı alın

SSL kurulumundan PCI uyumluluğuna, KVKK danışmanlığından kapsamlı güvenlik denetimine kadar tüm süreçleri tek bir ekiple yürütün: Foxs Digital sizin yanınızda.

E-Ticaret Danışmanlığı

Dolandırıcılık Önleme: Fraud Detection ve Chargeback Yönetimi

Fraud dediğimiz şey aslında bir saldırı türü değil, bir aile. İçinde çalıntı bir kartla atılan siparişi de görürsünüz, ürün teslim alındıktan sonra teslim alınmadı diye açılan sahte iade talebini de, müşterinin hesabına sızılıp onun adına yapılan alışverişi de. Asıl ciddiye alınması gereken nokta ise şu: chargeback oranınız yüzde 1'i geçtiği anda ödeme sağlayıcı kapıyı kapatma yetkisini kullanabiliyor; yüzde 2 sınırı aşıldığında işin içine kart şirketlerinin ek yaptırımları da giriyor.

✓

Google reCAPTCHA v3 ile bot koruması

Sipariş formu, kayıt ve giriş sayfalarına reCAPTCHA v3 ekleyin. Görünmez çalışır; gerçek kullanıcıyı rahatsız etmeden otomatik saldırıları yüzde 99+ oranında engeller.

✓

IP bazlı sipariş limiti

Aynı IP adresinden belirli süre içinde verilen sipariş sayısını sınırlayın. Kart deneme saldırıları (card testing) genellikle çok sayıda küçük tutarlı işlem dener; bu kural onları erkenden engeller.

✓

Yüksek riskli sipariş kuralları

Risk skorlaması yapın: yeni hesap + ilk sipariş + yüksek tutar + farklı teslimat ve fatura adresi kombinasyonu yüksek riskli. Bu siparişleri otomatik onaylamak yerine manuel incelemeye yönlendirin.

✓

Velocity check (hız kontrolü)

Aynı kart numarası, e-posta veya cihaz parmak izi ile kısa sürede çok sayıda işlem denenmesi fraud göstergesi. Ödeme sağlayıcınız veya Stripe Radar gibi araçlar bunu otomatik olarak izler.

✓

Chargeback izleme ve itiraz süreci

Ödeme sağlayıcısı panelinizde chargeback oranını haftalık izleyin. Her chargeback talebine delil sunarak itiraz edin: sipariş onayı, teslimat belgesi, IP kaydı. Yüksek chargeback riski taşıyan ürün kategorilerinde 3DS2 zorunlu kılın.

✓

Hesap ele geçirme (ATO) koruması

Müşteri hesapları tarafında 2FA (iki faktörlü doğrulama) seçeneğini mutlaka açın. Yeni bir cihazdan ya da farklı bir konumdan giriş gibi şüpheli sinyaller geldiğinde e-posta üzerinden ekstra bir doğrulama isteyin. Şifre güç politikası ve giriş denemesi sınırı da bu paketin parçası olmalı.

KVKK Uyumu: E-Ticaret İçin Kişisel Veri Yükümlülükleri

Türkiye'de e-ticaret yapıyorsanız 6698 sayılı KVKK sizi de doğrudan ilgilendiriyor; küçük büyük fark etmiyor. Müşteriden topladığınız her şey, ad, adres, telefon, e-posta, ödeme bilgisi, tek tek yasanın gözetimine giriyor: hangi bilgiyi neden topluyorsunuz, nerede saklıyorsunuz, kiminle paylaşıyorsunuz; her birinin yazılı bir karşılığı olmak zorunda.

Veri Sorumlusu Kaydı (VERBİS)

Yasal zorunluluk

Yıllık çalışan sayınız 50 veya üzerindeyse, ya da yıllık mali bilançonuz 25 milyon TL ve üzerine çıkıyorsa VERBİS kaydı sizin için artık opsiyonel değil, yasal bir yükümlülük. Kaydı kvkk.gov.tr üzerinden tamamlayabilirsiniz; süreç beraberinde veri işleme faaliyetlerinin de tek tek bildirilmesini gerektiriyor.

Açık Rıza ve Aydınlatma Metni

Zorunlu

Müşteri verileri işlenmeden önce açık rıza alınmalı ve aydınlatma metni sunulmalıdır. Üyelik formu, ödeme sayfası ve bülten aboneliğinde KVKK metni görünür olmalı. Önceden işaretli onay kutusu geçersiz; kullanıcı aktif olarak onay vermelidir.

Cookie (Çerez) Politikası

Zorunlu

Analitik, pazarlama ve tercih çerezleri için kullanıcıdan rıza alınması gerekiyor. Yalnızca teknik zorunluluk taşıyan çerezler rıza olmadan kullanılabilir. Cookie banner ile rıza kategorileri açıkça sunulmalı; kullanıcı reddetme hakkına sahip olmalı.

Veri İhlali Bildirimi

Zorunlu

Kişisel veri ihlali tespit edildiğinde KVKK Kurulu'na 72 saat içinde bildirim yapılması zorunlu. İhlalin ilgili kişileri etkileme ihtimali varsa kişilerin de bilgilendirilmesi gerekiyor. İhlal müdahale planı ve log kayıtları önceden hazırlanmalı.

Veri Saklama ve Silme Politikası

Zorunlu

Veriler işlendikleri amaç ortadan kalktığında silinmeli veya anonim hale getirilmeli. Müşteri hesabı kapatıldığında verilerin ne kadar süre saklanacağı belgelenmeli. Kullanıcıların 'verilerimi sil' talebini kolayca iletebileceği kanal sağlanmalı.

AB'li Müşterilere Satış Yapıyorsanız: GDPR

Avrupa Birliği vatandaşlarına ürün veya hizmet satıyorsanız GDPR (General Data Protection Regulation) de geçerli. GDPR, KVKK'ya göre daha sıkı gereksinimler içeriyor: açık rıza formatı, veri taşınabilirliği, DPO (Veri Koruma Görevlisi) atama. GDPR ihlallerinde ceza yıllık küresel cirosun yüzde 4'üne kadar çıkabiliyor.

E-Ticaret Güvenlik Kontrol Listesi

Üç kategoride güvenlik kontrol listesi: teknik altyapı, ödeme ve fraud, yasal uyumluluk. Her maddeyi periyodik olarak gözden geçirin; değişiklikler sonrası tekrar kontrol edin.

Teknik Altyapı Güvenliği

☐HTTPS tüm sayfalar için zorunlu, HTTP → HTTPS 301 yönlendirme aktif
☐HSTS header yapılandırılmış
☐SSL sertifikası geçerli, A+ skoru hedefleniyor
☐Yönetici paneli 2FA ile korunuyor
☐Yazılım, plugin ve tema güncel tutulmuş
☐Web Application Firewall (WAF) aktif
☐DDoS koruma sağlayıcısı entegre
☐Düzenli yedekleme ve yedek geri yükleme testi
☐Google Search Console güvenlik uyarıları düzenli izleniyor
☐Bot koruması (reCAPTCHA) giriş ve form sayfalarında aktif

Ödeme ve Fraud Güvenliği

☐Ödeme sayfası PCI Level 1 sertifikalı sağlayıcıya yönlendiriliyor
☐Kart verisi kendi sunucuda saklanmıyor
☐3D Secure zorunlu
☐CVV doğrulaması aktif
☐Tokenization ile tekrar eden ödemeler yönetiliyor
☐IP bazlı sipariş limiti uygulanmış
☐Chargeback oranı haftalık izleniyor
☐Yüksek riskli siparişler manuel inceleme akışına alınıyor
☐Velocity check (hız kontrolü) aktif
☐Hesap ele geçirme koruması: giriş denemesi sınırı ve şüpheli giriş bildirimi

Yasal ve KVKK Uyumluluk

☐Gizlilik politikası ve KVKK aydınlatma metni yayımlanmış
☐Cookie banner ve rıza yönetimi aktif
☐Üyelik ve ödeme formlarında açık rıza mekanizması mevcut
☐VERBİS kaydı yapılmış (kapsam dahilindeyse)
☐Veri ihlali müdahale planı hazır
☐Veri saklama süresi politikası belgelenmiş
☐Kullanıcı 'verilerimi sil' kanalı aktif
☐Veri paylaştığınız üçüncü taraf araçlarla işleyici sözleşmesi imzalanmış

E-Ticaret Platformlarında Güvenlik Karşılaştırması

Burada açıkça konuşmak gerekiyor: e-ticaret altyapısı tercihi aynı zamanda güvenlik sorumluluğunun nasıl paylaşılacağını da peşi sıra getiriyor. Bulut tabanlı SaaS bir çözümde yükün büyük kısmı sizin omuzunuzdan iniyor; ama açık kaynak bir tarafa geçtiğinizde aynı sorumluluğun çoğu masanın sizin tarafınıza dönüyor.

Platform	SSL	PCI	WAF	Güvenlik Sorumluluğu
Shopify	Dahil (otomatik)	PCI Level 1 (dahil)	Dahil	Düşük (platform yönetir)
T-Soft	Hosting dahil	Sanal pos entegrasyonuyla	Opsiyonel	Orta
İdeaSoft	Hosting dahil	Sanal pos entegrasyonuyla	Opsiyonel	Orta
WooCommerce	Hosting bağımlı	Eklenti + hosting ile	Eklenti gerekli	Yüksek (kendiniz yönetirsiniz)
Headless/Custom	Kendiniz kurarsınız	Tam sorumluluk size ait	CDN/WAF gerekli	Maksimum (tam kontrol)

E-ticaret altyapısı tercihiniz, güvenlik sorumluluğunun büyük kısmını da peşi sıra getiriyor diyebiliriz. Konuyu daha geniş bir çerçeveden okumak isterseniz e-ticaret yönetimi rehberimiz ve sepet terk oranı düşürme rehberimiz tam isabet kaynaklar. Güven unsurlarının ve güvenlik sinyallerinin dönüşüm oranını nasıl şekillendirdiğini ise ürün sayfası optimizasyonu yazımızda ayrıntılı işliyoruz.

Sıkça Sorulan Sorular

E-ticaret güvenliği neden önemlidir?+

E-ticaret siteleri müşteri kişisel verileri ve ödeme bilgilerini işlediği için siber saldırıların birincil hedefi. Verizon 2024 raporuna göre e-ticaret sektöründeki veri ihlallerinin yüzde 71'i finansal motivasyonlu. Güvenlik ihlali hem müşteri güvenini yıkıyor hem de KVKK kapsamında ciddi cezai yaptırımlara yol açıyor. Güvenli site, dönüşüm oranını artıran bir satış aracı.

E-ticaret sitesi için hangi SSL sertifikası gerekir?+

Küçük ve orta ölçekli e-ticaret siteleri için OV (Organization Validation) SSL yeterlidir. Büyük kurumsal siteler için güven sinyali güçlü olan EV (Extended Validation) SSL tercih edilir. DV (Domain Validation) SSL temel HTTPS sağlar ancak e-ticaret için önerilmez. Tüm alt domainler kapsanıyorsa Wildcard SSL, birden fazla domain varsa Multi-Domain SSL kullanılmalıdır.

PCI DSS nedir ve e-ticaret sitesi için zorunlu mu?+

PCI DSS (Payment Card Industry Data Security Standard), kredi ve banka kartı verilerini işleyen tüm işletmelerin uyması gereken güvenlik standartlarıdır. Yasal zorunluluk olmasa da Visa ve Mastercard PCI uyumluluğunu şart koşar. Uyumsuzluk durumunda kart ödeme işleme hakkı kesilebilir ve yüksek cezalar uygulanabilir. Ödeme sayfasını sanal pos sağlayıcısına yönlendiren siteler PCI kapsamını önemli ölçüde daraltır.

E-ticaret dolandırıcılığı nasıl önlenir?+

Temel önlemler: 3D Secure (3DS2) zorunlu kılın, CVV doğrulaması yapın, adres doğrulama sistemi (AVS) uygulayın, aynı IP'den anormal sipariş sayısını izleyin, yüksek tutarlı ilk alışverişleri manuel incelemeye alın. Google reCAPTCHA ile bot saldırılarını engelleyin. Stripe Radar, Signifyd gibi özel fraud detection araçları kullanın. Chargeback oranı yüzde 1'i geçmeden önlem alın.

KVKK e-ticaret siteleri için ne anlam ifade eder?+

KVKK kapsamında e-ticaret siteleri müşteri verilerini işlemek için açık rıza almalı, veri işleme politikasını şeffaf biçimde yayımlamalı, veri ihlallerini 72 saat içinde KVKK Kurulu'na bildirmeli ve veri saklama sürelerini sınırlandırmalıdır. Cookie banner, gizlilik politikası ve veri işleme sözleşmesi zorunludur. İhlal durumunda 1 milyon TL'ye kadar idari para cezası uygulanabilir.

Ödeme güvenliği için en iyi uygulamalar nelerdir?+

Kart verilerini kendi sunucunuzda saklamayın, ödeme sayfasını tokenization destekli sağlayıcıya yönlendirin. 3DS2 ile güçlü müşteri kimlik doğrulaması uygulayın. Sanal pos sağlayıcısı olarak iyzico, PayTR veya Stripe gibi PCI DSS Level 1 sertifikalı platformları tercih edin. HTTPS + HSTS zorunlu kılın. Ödeme formları için iframe yerine redirect yöntemi kullanın.

E-ticaret güvenlik açıkları nasıl tespit edilir?+

Düzenli güvenlik taraması için: Sucuri SiteCheck, Qualys SSL Labs (SSL kalitesi), Google Search Console Güvenlik Sorunları raporu, OWASP ZAP araçlarını kullanın. Yılda en az bir kez penetrasyon testi yaptırın. Yazılım bağımlılıklarını (plugin, tema, kütüphane) güncel tutun. 2FA ile yönetici erişimini güvence altına alın.

Güvenli e-ticaret altyapısı kurmanın maliyeti nedir?+

Temel güvenlik maliyetleri: OV SSL sertifikası yılda 500-2.000 TL, CDN + WAF aylık 500-3.000 TL, PCI uyumlu sanal pos işlem başı yüzde 1,5-3,5, yıllık güvenlik denetimi 5.000-25.000 TL. Shopify ve iyzico gibi entegre platformlar SSL ve PCI uyumluluğunu otomatik sağlar. En yüksek maliyet veri ihlali sonrası oluşan yasal ceza ve itibar kaybıdır.

İlgili Yazılar

E-ticaret güvenliğinizi birlikte güçlendirelim

Güvenlik denetimi, KVKK danışmanlığı, PCI uyumluluk değerlendirmesi ve teknik SEO. Foxs Digital ekibi.

E-Ticaret Danışmanlığı SEO Hizmetleri