Kredi kartı verisi saklamayan mağazalarda PCI yükümlülüğü azalır mı?

Kredi kartı verisi saklamayan mağazalarda PCI kapsamı azalabilir; ancak ödeme modeli, sunucu güvenliği, loglar ve entegrasyon yapısı hâlâ kritik rol oynar.

Reklam Alanı

Kredi kartı verisi saklamayan bir e-ticaret mağazasında PCI yükümlülüğünün tamamen ortadan kalktığını düşünmek yaygın ama riskli bir yanılgıdır. Kart numarası, son kullanma tarihi veya CVV bilgisi mağaza veritabanında tutulmuyorsa kapsam önemli ölçüde daralabilir; ancak ödeme akışına, kullanılan sanal POS modeline, yönlendirme yöntemine, eklentilere ve hosting altyapısına göre mağaza yine PCI DSS kapsamında bazı sorumluluklar taşır.

Buradaki kritik soru yalnızca “kart verisi saklanıyor mu?” değildir. Asıl değerlendirilmesi gereken konu, kart verisinin mağaza sistemlerinden geçip geçmediği, ödeme sayfasının kim tarafından sunulduğu ve sunucunun ödeme sürecine ne ölçüde dahil olduğudur.

Kart verisi saklamamak PCI kapsamını nasıl etkiler?

PCI DSS, kart sahibi verilerinin güvenli şekilde işlenmesini amaçlayan bir standarttır. Bir mağaza kart bilgisini kendi veritabanında saklamıyorsa, özellikle saklama ve şifreleme tarafındaki yükümlülükler azalabilir. Fakat ödeme formu mağazanın kendi alan adında çalışıyor, kart bilgisi önce mağaza sunucusuna geliyor veya JavaScript ile ödeme sağlayıcısına aktarılıyorsa kapsam devam eder.

En düşük kapsam genellikle müşterinin ödeme sağlayıcısının güvenli sayfasına yönlendirildiği modellerde görülür. Bu senaryoda mağaza, kart verisini görmez ve işlemez. Buna rağmen mağaza sitesi ele geçirilirse saldırganlar ödeme yönlendirmesini manipüle edebilir. Bu nedenle temel güvenlik kontrolleri hâlâ gereklidir.

Hangi ödeme modeli daha düşük sorumluluk doğurur?

Harici ödeme sayfasına yönlendirme

Müşteri ödeme adımında bankanın veya ödeme kuruluşunun kendi sayfasına gidiyorsa, mağazanın PCI kapsamı genellikle daha sınırlıdır. Bu modelde mağaza, ödeme sonucunu sipariş durumuna işler; kart verisini toplamaz. Küçük ve orta ölçekli işletmeler için pratik, düşük riskli ve yönetimi daha kolay bir yaklaşımdır.

Gömülü ödeme formu veya iframe

Iframe kullanılan yapılarda kart formu ödeme kuruluşundan geliyor olabilir. Bu, doğrudan kart verisi saklamaya göre daha güvenlidir; ancak mağaza sayfasındaki zararlı kod, müşteriyi sahte forma yönlendirebilir. Tema, eklenti, etiket yöneticisi ve analitik kodları bu yüzden dikkatle kontrol edilmelidir.

API ile ödeme alma

Kart bilgisinin mağaza sunucusuna gelip API üzerinden ödeme kuruluşuna iletildiği modellerde PCI kapsamı belirgin şekilde artar. “Veritabanına kaydetmiyoruz” demek yeterli değildir; veri sunucudan geçtiği için aktarım, loglama, erişim kontrolü ve ağ güvenliği gereklilikleri devreye girer.

Sunucu ve altyapı tarafında dikkat edilmesi gerekenler

PCI yükümlülüğünü azaltmak isteyen mağazalar, yalnızca ödeme eklentisine değil, altyapının tamamına bakmalıdır. Güvenli bir hosting ortamı; güncel PHP sürümü, izole hesap yapısı, WAF, düzenli yedekleme, zararlı yazılım taraması ve güvenli yönetim panelleriyle riski azaltır.

Paylaşımlı sunucuda çalışan mağazalarda aynı fiziksel kaynakları kullanan farklı sitelerin güvenlik seviyesi de önem kazanabilir. Trafiği artan veya ödeme süreçleri karmaşıklaşan işletmeler için yönetilen VPS, bulut sunucu ya da ayrılmış kaynaklı mimariler daha kontrollü bir seçenek olabilir.

PCI kapsamını daraltmak için pratik kontrol listesi

  • Kart verisini saklamayın: Kart numarası, CVV ve manyetik şerit verisi gibi hassas bilgileri veritabanına, log dosyalarına veya e-posta bildirimlerine yazdırmayın.
  • Yönlendirmeli ödeme modelini değerlendirin: Mümkünse ödeme sağlayıcısının barındırdığı güvenli sayfayı kullanın.
  • Logları kontrol edin: Hata kayıtları, ödeme denemeleri ve sipariş notları kart verisi içermemelidir.
  • Eklentileri sınırlayın: Gereksiz ödeme, kampanya, izleme ve form eklentileri saldırı yüzeyini büyütür.
  • Yönetici erişimini kısıtlayın: Güçlü parola, iki faktörlü doğrulama ve rol bazlı yetki kullanın.
  • SSL/TLS yapılandırmasını güncel tutun: Tüm ödeme ve hesap sayfaları güvenli bağlantı üzerinden çalışmalıdır.

Sık yapılan hatalar

En sık hata, ödeme sağlayıcısı kullanıldığı için mağaza tarafında hiçbir güvenlik sorumluluğu kalmadığını varsaymaktır. Oysa siteye eklenen zararlı bir JavaScript, müşteriyi sahte bir ödeme ekranına taşıyabilir. Bir diğer hata, test ortamlarında gerçek kart verisi kullanmak veya başarısız ödeme yanıtlarını ayrıntılı şekilde loglamaktır.

Ayrıca tema ve eklenti güncellemelerinin ertelenmesi, eski PHP sürümleri ve zayıf yönetici parolaları PCI kapsamından bağımsız olarak ödeme güvenliğini zedeler. Mağaza kart verisi saklamasa bile sipariş, müşteri ve oturum bilgileri saldırganlar için değerli olabilir.

Doğru karar için hangi sorular sorulmalı?

Mağaza sahipleri ve teknik ekipler şu sorulara net yanıt verebilmelidir: Kart bilgisi herhangi bir anda mağaza sunucusuna ulaşıyor mu? Ödeme formunu kim barındırıyor? Log dosyalarında hassas veri oluşuyor mu? Hangi üçüncü taraf betikler ödeme sayfasında çalışıyor? Altyapı sağlayıcısı hangi güvenlik önlemlerini sunuyor?

Bu soruların yanıtı, hangi PCI öz değerlendirme formunun uygun olabileceğini ve hangi teknik kontrollerin önceliklendirilmesi gerektiğini belirler. Özellikle büyüyen mağazalarda ödeme mimarisi, eklenti stratejisi ve hosting seçimi birlikte ele alınmalıdır.

Kart verisi saklamayan mağazalar için uygulanabilir yaklaşım

En sağlıklı yöntem, kart verisini mümkün olduğunca mağaza sistemlerinden uzak tutmak, ödeme sağlayıcısının güvenli altyapısından yararlanmak ve site tarafında temel güvenlik hijyenini disiplinli şekilde sürdürmektir. Böylece PCI kapsamı daralabilir, denetim yükü azalabilir ve olası güvenlik ihlallerinin etkisi sınırlandırılabilir.

Teknik ekip bulunmayan işletmelerde ödeme sağlayıcısından kullanılan entegrasyon tipine dair yazılı bilgi almak, sunucu kayıtlarında hassas veri oluşmadığını periyodik kontrol etmek ve yönetim paneli erişimlerini düzenli gözden geçirmek, pratik ve düşük maliyetli bir başlangıç sağlar.

Kategori: Genel
Yazar: Editör
İçerik: 689 kelime
Okuma Süresi: 5 dakika
Zaman: Bugün
Yayım: 14-07-2026
Güncelleme: 14-07-2026