{"id":4914,"date":"2026-02-10T15:26:42","date_gmt":"2026-02-10T12:26:42","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/pci-dss-uyumlu-e-ticaret-hosting-mimarisi-kart-verisini-sunucudan-uzak-tutmak\/"},"modified":"2026-02-10T15:26:42","modified_gmt":"2026-02-10T12:26:42","slug":"pci-dss-uyumlu-e-ticaret-hosting-mimarisi-kart-verisini-sunucudan-uzak-tutmak","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/pci-dss-uyumlu-e-ticaret-hosting-mimarisi-kart-verisini-sunucudan-uzak-tutmak\/","title":{"rendered":"PCI\u2011DSS Uyumlu E\u2011Ticaret Hosting Mimarisi: Kart Verisini Sunucudan Uzak Tutmak"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#PCIDSSte_Asil_Oyun_Kart_Verisini_Sunucudan_Uzak_Tutmak\"><span class=\"toc_number toc_depth_1\">1<\/span> PCI\u2011DSS\u2019te As\u0131l Oyun: Kart Verisini Sunucudan Uzak Tutmak<\/a><\/li><li><a href=\"#Temelleri_Netlestirelim_PCIDSS_ve_Kart_Verisi_Neyi_Kapsar\"><span class=\"toc_number toc_depth_1\">2<\/span> Temelleri Netle\u015ftirelim: PCI\u2011DSS ve Kart Verisi Neyi Kapsar?<\/a><\/li><li><a href=\"#Amac_Uygulama_Sunucusunu_Kapsam_Disina_Cikarmak_Scope_Reduction\"><span class=\"toc_number toc_depth_1\">3<\/span> Ama\u00e7: Uygulama Sunucusunu Kapsam D\u0131\u015f\u0131na \u00c7\u0131karmak (Scope Reduction)<\/a><\/li><li><a href=\"#Kart_Verisini_Sunucudan_Uzak_Tutmak_Icin_3_Yaygin_Odeme_Mimarisi\"><span class=\"toc_number toc_depth_1\">4<\/span> Kart Verisini Sunucudan Uzak Tutmak \u0130\u00e7in 3 Yayg\u0131n \u00d6deme Mimarisi<\/a><ul><li><a href=\"#1_Tam_Yonlendirmeli_Odeme_Sayfasi_Hosted_Payment_Page_HPP\"><span class=\"toc_number toc_depth_2\">4.1<\/span> 1) Tam Y\u00f6nlendirmeli \u00d6deme Sayfas\u0131 (Hosted Payment Page \u2013 HPP)<\/a><\/li><li><a href=\"#2_Guvenli_iFrame_veya_JS_SDK_ile_Kart_Formunu_PSPden_Enjekte_Etmek\"><span class=\"toc_number toc_depth_2\">4.2<\/span> 2) G\u00fcvenli iFrame veya JS SDK ile Kart Formunu PSP\u2019den Enjekte Etmek<\/a><\/li><li><a href=\"#3_Kart_Verisinin_Gecici_Olarak_Sunucudan_Gectigi_Senaryolar_SAQ_AEP\"><span class=\"toc_number toc_depth_2\">4.3<\/span> 3) Kart Verisinin Ge\u00e7ici Olarak Sunucudan Ge\u00e7ti\u011fi Senaryolar (SAQ A\u2011EP)<\/a><\/li><\/ul><\/li><li><a href=\"#SAQ_A_Hedefi_Icin_Gerekli_Hosting_ve_Uygulama_Bilesenleri\"><span class=\"toc_number toc_depth_1\">5<\/span> SAQ A Hedefi \u0130\u00e7in Gerekli Hosting ve Uygulama Bile\u015fenleri<\/a><\/li><li><a href=\"#TLS_HTTP_Guvenlik_Basliklari_ve_Tarayici_Katmani\"><span class=\"toc_number toc_depth_1\">6<\/span> TLS, HTTP G\u00fcvenlik Ba\u015fl\u0131klar\u0131 ve Taray\u0131c\u0131 Katman\u0131<\/a><\/li><li><a href=\"#Tokenizasyon_Sunucuda_Ne_Tutuyorsunuz\"><span class=\"toc_number toc_depth_1\">7<\/span> Tokenizasyon: Sunucuda Ne Tutuyorsunuz?<\/a><\/li><li><a href=\"#Ag_WAF_Loglama_ve_Yedekler_Kart_Verisi_Olmasa_da_Odev_Bitmiyor\"><span class=\"toc_number toc_depth_1\">8<\/span> A\u011f, WAF, Loglama ve Yedekler: Kart Verisi Olmasa da \u00d6dev Bitmiyor<\/a><\/li><li><a href=\"#Ornek_Senaryo_WooCommerce_DCHost_Uzerinde_PCIDSS_Dostu_Mimari\"><span class=\"toc_number toc_depth_1\">9<\/span> \u00d6rnek Senaryo: WooCommerce + DCHost \u00dczerinde PCI\u2011DSS Dostu Mimari<\/a><ul><li><a href=\"#1_Altyapi_Katmani\"><span class=\"toc_number toc_depth_2\">9.1<\/span> 1) Altyap\u0131 Katman\u0131<\/a><\/li><li><a href=\"#2_Domain_DNS_ve_TLS\"><span class=\"toc_number toc_depth_2\">9.2<\/span> 2) Domain, DNS ve TLS<\/a><\/li><li><a href=\"#3_Odeme_Entegrasyonu\"><span class=\"toc_number toc_depth_2\">9.3<\/span> 3) \u00d6deme Entegrasyonu<\/a><\/li><li><a href=\"#4_Guvenlik_ve_Izleme\"><span class=\"toc_number toc_depth_2\">9.4<\/span> 4) G\u00fcvenlik ve \u0130zleme<\/a><\/li><\/ul><\/li><li><a href=\"#API_Webhook_ve_Mikroservislerde_PCIDSSe_Dikkat\"><span class=\"toc_number toc_depth_1\">10<\/span> API, Webhook ve Mikroservislerde PCI\u2011DSS\u2019e Dikkat<\/a><\/li><li><a href=\"#Operasyonel_Boyut_Degisiklik_Yonetimi_Dokumantasyon_ve_Denetim_Hazirligi\"><span class=\"toc_number toc_depth_1\">11<\/span> Operasyonel Boyut: De\u011fi\u015fiklik Y\u00f6netimi, Dok\u00fcmantasyon ve Denetim Haz\u0131rl\u0131\u011f\u0131<\/a><\/li><li><a href=\"#Sonuc_Kart_Verisini_Sunucudan_Uzak_Tutmak_En_Buyuk_Kazaniminiz\"><span class=\"toc_number toc_depth_1\">12<\/span> Sonu\u00e7: Kart Verisini Sunucudan Uzak Tutmak En B\u00fcy\u00fck Kazan\u0131m\u0131n\u0131z<\/a><\/li><\/ul><\/div>\n<h2><span id=\"PCIDSSte_Asil_Oyun_Kart_Verisini_Sunucudan_Uzak_Tutmak\">PCI\u2011DSS\u2019te As\u0131l Oyun: Kart Verisini Sunucudan Uzak Tutmak<\/span><\/h2>\n<p>E\u2011ticaret taraf\u0131nda PCI\u2011DSS konu\u015fulmaya ba\u015fland\u0131\u011f\u0131nda tart\u0131\u015fma \u00e7o\u011fu zaman yanl\u0131\u015f yerden a\u00e7\u0131l\u0131yor: \u201cSunucuyu nas\u0131l sertle\u015ftiririz?\u201d, \u201cHangi antivir\u00fcs?\u201d, \u201cHangi WAF?\u201d gibi ba\u015fl\u0131klar \u00f6ne \u00e7\u0131k\u0131yor. Oysa PCI\u2011DSS\u2019in en g\u00fc\u00e7l\u00fc taraf\u0131, daha ilk ad\u0131mda \u015fu soruyu sordurmas\u0131d\u0131r: <strong>\u201cKart verisi ger\u00e7ekten bu sunucudan ge\u00e7mek zorunda m\u0131?\u201d<\/strong><\/p>\n<p>Biz DCHost\u2019ta yeni bir e\u2011ticaret projesi i\u00e7in mimari tasar\u0131m toplant\u0131s\u0131na girdi\u011fimizde, \u00f6zellikle k\u00fc\u00e7\u00fck ve orta \u00f6l\u00e7ekli i\u015fletmelerde, kapsam\u0131 gereksiz yere b\u00fcy\u00fcten kararlar g\u00f6r\u00fcyoruz. Uygulama sunucusundan kart bilgisi ge\u00e7irildi\u011fi i\u00e7in SAQ A yerine SAQ A\u2011EP kapsam\u0131na giren, buna ba\u011fl\u0131 olarak da hem operasyonel y\u00fck\u00fc hem de denetim maliyetini gereksiz yere art\u0131ran \u00e7ok proje var.<\/p>\n<p>Bu yaz\u0131da odak noktam\u0131z \u015fu olacak: <strong>Uygulama sunucusunu kart verisi kapsam\u0131 d\u0131\u015f\u0131na nas\u0131l \u00e7\u0131kar\u0131rs\u0131n\u0131z?<\/strong> Ba\u015fka bir deyi\u015fle, PCI\u2011DSS uyumlu bir e\u2011ticaret hosting mimarisini; kart numaras\u0131, CVV ve manyetik \u015ferit e\u015fde\u011feri hi\u00e7bir verinin DCHost \u00fczerindeki web, API veya veritaban\u0131 sunucular\u0131n\u0131zdan ge\u00e7meyece\u011fi \u015fekilde nas\u0131l kurars\u0131n\u0131z, bunu ad\u0131m ad\u0131m anlataca\u011f\u0131z. \u00d6deme servis sa\u011flay\u0131c\u0131s\u0131 (PSP) ile entegrasyon modellerini kar\u015f\u0131la\u015ft\u0131racak, SAQ t\u00fcrlerine etkisini konu\u015facak ve pratik bir WooCommerce senaryosu \u00fczerinden somut bir mimari \u00e7izece\u011fiz.<\/p>\n<h2><span id=\"Temelleri_Netlestirelim_PCIDSS_ve_Kart_Verisi_Neyi_Kapsar\">Temelleri Netle\u015ftirelim: PCI\u2011DSS ve Kart Verisi Neyi Kapsar?<\/span><\/h2>\n<p>\u00d6nce kavramlar\u0131 netle\u015ftirmek \u00f6nemli. PCI\u2011DSS\u2019in odakland\u0131\u011f\u0131 veri tipi k\u0131saca <strong>kart sahibi verisi (Cardholder Data \u2013 CHD)<\/strong> ve <strong>hassas yetkilendirme verisi (Sensitive Authentication Data \u2013 SAD)<\/strong>dir.<\/p>\n<ul>\n<li><strong>CHD (Kart Sahibi Verisi)<\/strong>: Tam kart numaras\u0131 (PAN), kart sahibi ad\u0131, son kullanma tarihi, servis kodu.<\/li>\n<li><strong>SAD (Hassas Yetkilendirme Verisi)<\/strong>: CVV\/CVC, PIN\/PIN block, manyetik \u015ferit verisi.<\/li>\n<\/ul>\n<p>PCI\u2011DSS a\u00e7\u0131s\u0131ndan <strong>as\u0131l belirleyici olan PAN<\/strong>\u2019dir. Bir sistemde tam kart numaras\u0131 i\u015fleniyor, iletiliyor veya saklan\u0131yorsa o sistem PCI kapsam\u0131na girer. CVV gibi veriler ise <em>zaten<\/em> saklanmamal\u0131d\u0131r; sadece i\u015flem esnas\u0131nda, \u00e7ok k\u0131sa s\u00fcreli kullan\u0131labilir.<\/p>\n<p>Buradan \u00e7\u0131kar\u0131lacak en kritik ders \u015fudur: <strong>Uygulama veya veritaban\u0131 sunucunuza PAN hi\u00e7 u\u011framazsa, o sunucular PCI kapsam\u0131n\u0131n d\u0131\u015f\u0131na do\u011fru itilmi\u015f olur.<\/strong> Bu da do\u011frudan daha hafif bir SAQ t\u00fcr\u00fcne, daha k\u00fc\u00e7\u00fck denetim kapsam\u0131na ve daha d\u00fc\u015f\u00fck operasyonel maliyete d\u00f6n\u00fc\u015f\u00fcr. Detayl\u0131 kapsam konusunu daha \u00f6nce genel olarak <a href=\"https:\/\/www.dchost.com\/blog\/pci-dss-uyumlu-e-ticaret-hosting-rehberi\/\">PCI\u2011DSS uyumlu e\u2011ticaret hosting rehberimizde<\/a> anlatm\u0131\u015ft\u0131k; burada \u00f6zellikle kart verisini sunucuya hi\u00e7 dokundurmayan mimarilere odaklanaca\u011f\u0131z.<\/p>\n<h2><span id=\"Amac_Uygulama_Sunucusunu_Kapsam_Disina_Cikarmak_Scope_Reduction\">Ama\u00e7: Uygulama Sunucusunu Kapsam D\u0131\u015f\u0131na \u00c7\u0131karmak (Scope Reduction)<\/span><\/h2>\n<p>PCI d\u00fcnyas\u0131nda en sevdi\u011fimiz kavramlardan biri <strong>scope reduction<\/strong>, yani kapsam k\u00fc\u00e7\u00fcltmedir. Temel prensip \u015fudur:<\/p>\n<ul>\n<li>Ne kadar az sistem kart verisiyle temas ederse,<\/li>\n<li>O kadar az bile\u015fen PCI\u2011DSS\u2019in s\u0131k\u0131 gerekliliklerine tabi olur.<\/li>\n<\/ul>\n<p>E\u2011ticaret siteleri i\u00e7in pratik hedef genellikle <strong>SAQ A<\/strong> kapsam\u0131na inebilmektir. SAQ A, kart verisiyle sadece d\u0131\u015ftaki \u00f6deme sa\u011flay\u0131c\u0131s\u0131n\u0131n ilgilendi\u011fi, sizin sistemlerinizde kart bilgisinin i\u015flenmedi\u011fi\/iletilmedi\u011fi senaryolara y\u00f6neliktir. E\u011fer kart formu sizin sitenizde render ediliyor, sadece arka planda PSP\u2019ye post ediliyorsa, \u00e7o\u011fu zaman <strong>SAQ A\u2011EP<\/strong> g\u00fcndeme gelir; bu da \u00e7ok daha fazla teknik kontrol ve denetim demektir.<\/p>\n<p>Dolay\u0131s\u0131yla mimari hedefi \u015f\u00f6yle \u00f6zetleyebiliriz:<\/p>\n<ul>\n<li><strong>Kart formu ve \u00f6deme ak\u0131\u015f\u0131 teknik olarak PSP\u2019nin alan ad\u0131 ve altyap\u0131s\u0131nda \u00e7al\u0131\u015fmal\u0131,<\/strong><\/li>\n<li>Web sunucunuz, kart verisine yaln\u0131zca <strong>token<\/strong> veya <strong>i\u015flem referans\u0131<\/strong> d\u00fczeyinde temas etmeli,<\/li>\n<li>Login, \u00fcr\u00fcn katalo\u011fu, sepet ve sipari\u015f y\u00f6netimi gibi i\u015flevler ise DCHost \u00fczerindeki sunucular\u0131n\u0131zda kalmaya devam etmelidir.<\/li>\n<\/ul>\n<p>Bu hedef do\u011fru belirlendi\u011finde, geri kalan t\u00fcm hosting kararlar\u0131n\u0131 (network segmentasyonu, WAF, loglama, yedekler vb.) bu \u00e7er\u00e7eveye oturtmak \u00e7ok daha kolay hale gelir.<\/p>\n<h2><span id=\"Kart_Verisini_Sunucudan_Uzak_Tutmak_Icin_3_Yaygin_Odeme_Mimarisi\">Kart Verisini Sunucudan Uzak Tutmak \u0130\u00e7in 3 Yayg\u0131n \u00d6deme Mimarisi<\/span><\/h2>\n<p>Pratikte bir e\u2011ticaret sitesinin PSP ile konu\u015furken kullanabilece\u011fi birka\u00e7 temel entegrasyon modeli var. Bunlar\u0131n hepsi ayn\u0131 derecede PCI\u2011dostu de\u011fil. Burada \u00fc\u00e7 yayg\u0131n yakla\u015f\u0131m\u0131, \u00f6zellikle de kart verisinin uygulama sunucusuna u\u011fray\u0131p u\u011framad\u0131\u011f\u0131 a\u00e7\u0131s\u0131ndan de\u011ferlendirelim.<\/p>\n<h3><span id=\"1_Tam_Yonlendirmeli_Odeme_Sayfasi_Hosted_Payment_Page_HPP\">1) Tam Y\u00f6nlendirmeli \u00d6deme Sayfas\u0131 (Hosted Payment Page \u2013 HPP)<\/span><\/h3>\n<p>Bu modelde kullan\u0131c\u0131, \u00f6deme a\u015famas\u0131nda tamamen PSP\u2019nin bar\u0131nd\u0131rd\u0131\u011f\u0131 bir sayfaya y\u00f6nlendirilir. Ad\u0131mlar k\u0131saca \u015f\u00f6yledir:<\/p>\n<ol>\n<li>M\u00fc\u015fteri sepeti onaylar, sizin sitenizde \u201c\u00d6demeye ge\u00e7\u201d butonuna basar.<\/li>\n<li>Sunucunuz PSP\u2019ye bir \u201ci\u015flem ba\u015flat\u201d iste\u011fi g\u00f6nderir; tutar, sipari\u015f numaras\u0131 vb. parametreler payla\u015f\u0131l\u0131r.<\/li>\n<li>PSP, m\u00fc\u015fteriyi kendi alan ad\u0131ndaki (\u00f6rne\u011fin pay.examplepsp.com gibi) <strong>hosted payment page<\/strong>\u2019e y\u00f6nlendirmenizi sa\u011flayacak bir URL \u00fcretir.<\/li>\n<li>M\u00fc\u015fteri kart bilgisini do\u011frudan bu sayfaya yazar; form submit edildi\u011finde veri <strong>do\u011frudan PSP\u2019nin altyap\u0131s\u0131na<\/strong> gider.<\/li>\n<li>\u0130\u015flem sonucu size sunucu\u2011sunucu (server\u2011to\u2011server) callback veya kullan\u0131c\u0131 taray\u0131c\u0131 y\u00f6nlendirmesiyle (success\/fail URL) geri bildirilir.<\/li>\n<\/ol>\n<p>Bu modelde <strong>kart formu, HTML, JavaScript ve POST iste\u011fi tamamen PSP alan ad\u0131nda ger\u00e7ekle\u015fti\u011fi i\u00e7in DCHost \u00fczerindeki web veya API sunucular\u0131n\u0131z kart verisiyle temas etmez.<\/strong> Genellikle SAQ A kapsam\u0131na inmenin en temiz yoludur.<\/p>\n<p>Tek dezavantaj\u0131, tasar\u0131msal olarak kullan\u0131c\u0131y\u0131 sitenizden k\u0131sa s\u00fcreli\u011fine de olsa \u00e7\u0131karmas\u0131d\u0131r. Bu deneyim iyi tasarlanmazsa g\u00fcven duygusunu zedeleyebilir; ancak PSP bir\u00e7ok durumda sayfay\u0131 marka renklerinize g\u00f6re \u00f6zelle\u015ftirme imkan\u0131 sunar.<\/p>\n<h3><span id=\"2_Guvenli_iFrame_veya_JS_SDK_ile_Kart_Formunu_PSPden_Enjekte_Etmek\">2) G\u00fcvenli iFrame veya JS SDK ile Kart Formunu PSP\u2019den Enjekte Etmek<\/span><\/h3>\n<p>Bir di\u011fer s\u0131k kullan\u0131lan modelde kart formu, sizin sayfan\u0131z\u0131n bir par\u00e7as\u0131 gibi g\u00f6r\u00fcn\u00fcr; ama teknik olarak <strong>m\u00fc\u015fterinin taray\u0131c\u0131s\u0131, kart alanlar\u0131n\u0131 PSP\u2019nin domain\u2019inden y\u00fckl\u00fcyordur.<\/strong> \u00d6rnek ak\u0131\u015f:<\/p>\n<ul>\n<li>Checkout sayfan\u0131zdaki &#8220;Kart Bilgileri&#8221; b\u00f6l\u00fcm\u00fcnde asl\u0131nda bir <code>&lt;iframe&gt;<\/code> veya PSP taraf\u0131ndan sa\u011flanan bir JS widget \u00e7al\u0131\u015f\u0131r.<\/li>\n<li>Kullan\u0131c\u0131 kart numaras\u0131, son kullanma tarihi, CVV gibi bilgileri bu bile\u015fene yazar.<\/li>\n<li>Taray\u0131c\u0131 bu alanlar\u0131 <strong>do\u011frudan PSP\u2019nin endpoint\u2019ine POST eder<\/strong>; sizin domain\u2019inizdeki uygulama sunucusu bu alanlar\u0131 hi\u00e7 g\u00f6rmez.<\/li>\n<li>PSP, ba\u015far\u0131l\u0131 do\u011frulama sonras\u0131 size bir <strong>token<\/strong> d\u00f6ner; siz de veritaban\u0131n\u0131zda kart\u0131n kendisini de\u011fil bu token\u2019\u0131 saklars\u0131n\u0131z.<\/li>\n<\/ul>\n<p>Teknik a\u00e7\u0131dan kritik nokta \u015fudur: Kart bilgilerini i\u00e7eren form alanlar\u0131 <strong>sizin backend\u2019inize de\u011fil, PSP\u2019nin backend\u2019ine<\/strong> g\u00f6nderiliyor olmal\u0131d\u0131r. E\u011fer form action\u2019\u0131 sizin sitenize post edip sizden PSP\u2019ye server\u2011side forward ediyorsan\u0131z, kart verisi <em>\u00f6nce sizin sunucunuzdan ge\u00e7mi\u015f<\/em> say\u0131l\u0131r; bu da kapsam\u0131 dramatik \u015fekilde b\u00fcy\u00fct\u00fcr.<\/p>\n<p>G\u00fcvenli iFrame\/JS SDK yakla\u015f\u0131m\u0131 do\u011fru kurguland\u0131\u011f\u0131nda bir\u00e7ok durumda yine <strong>SAQ A<\/strong> ile uyumlu olacak \u015fekilde tasarlanabilir. Ancak HTML\/JS b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fcz, CSP gibi <a href=\"https:\/\/www.dchost.com\/blog\/http-guvenlik-basliklari-rehberi-hsts-csp-ve-digerlerini-ne-zaman-nasil-uygulamalisin\/\">HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131<\/a> ve TLS yap\u0131land\u0131rman\u0131z\u0131n sa\u011flam olmas\u0131 gerekir; bunlara a\u015fa\u011f\u0131da ayr\u0131ca de\u011finece\u011fiz.<\/p>\n<h3><span id=\"3_Kart_Verisinin_Gecici_Olarak_Sunucudan_Gectigi_Senaryolar_SAQ_AEP\">3) Kart Verisinin Ge\u00e7ici Olarak Sunucudan Ge\u00e7ti\u011fi Senaryolar (SAQ A\u2011EP)<\/span><\/h3>\n<p>Baz\u0131 teknik ekipler, &#8220;tam kontrol&#8221; iste\u011fiyle kart formunu tamamen kendi sayfas\u0131nda host etmeyi tercih ediyor; ard\u0131ndan backend bu veriyi PSP\u2019ye server\u2011side API ile iletiyor. Bu modelde:<\/p>\n<ul>\n<li>Form action\u2019\u0131 sizin domain\u2019inizdeki bir endpoint\u2019e post edilir.<\/li>\n<li>Backend, gelen kart bilgisini ge\u00e7ici olarak bellekte i\u015fler ve PSP\u2019nin API\u2019sine g\u00f6nderir.<\/li>\n<li>Kart verisini disk veya loglara yazmamaya \u00e7ok dikkat edilse bile, <strong>sunucunuz kart verisini i\u015flemi\u015f<\/strong> olur.<\/li>\n<\/ul>\n<p>Bu durumda uygulama, veritaban\u0131 ve log sunucular\u0131n\u0131z PCI kapsam\u0131na girer; <strong>SAQ A yerine SAQ A\u2011EP<\/strong> g\u00fcndeme gelir. G\u00fcvenli \u015fekilde yap\u0131labilir, fakat:<\/p>\n<ul>\n<li>Daha fazla teknik kontrol (dosya b\u00fct\u00fcnl\u00fc\u011f\u00fc izleme, antivir\u00fcs, detayl\u0131 loglama, eri\u015fim kontrolleri vb.),<\/li>\n<li>Daha geni\u015f denetim alan\u0131,<\/li>\n<li>Ve daha y\u00fcksek operasyon maliyeti<\/li>\n<\/ul>\n<p>anlam\u0131na gelir. Bu yaz\u0131n\u0131n konusu ise tam tersine, <strong>kart verisini sunucudan tamamen uzak tutan A tipi mimariler<\/strong> oldu\u011fu i\u00e7in, bu yakla\u015f\u0131m\u0131 \u00e7o\u011fu i\u015fletme i\u00e7in <em>gereksiz karma\u015f\u0131k<\/em> buluyoruz.<\/p>\n<h2><span id=\"SAQ_A_Hedefi_Icin_Gerekli_Hosting_ve_Uygulama_Bilesenleri\">SAQ A Hedefi \u0130\u00e7in Gerekli Hosting ve Uygulama Bile\u015fenleri<\/span><\/h2>\n<p>Kart verisini sunucudan uzak tutmak i\u00e7in PSP taraf\u0131nda do\u011fru entegrasyon modelini se\u00e7mek ilk ad\u0131m; ancak hosting katman\u0131nda da bunu destekleyen bir mimari kurman\u0131z gerekiyor. DCHost\u2019ta tipik bir SAQ A hedefli e\u2011ticaret kurulumunu \u015fu bile\u015fenlerle tasarl\u0131yoruz:<\/p>\n<ul>\n<li><strong>Uygulama Sunucusu<\/strong>: WooCommerce\/Magento\/Laravel vb. \u00e7al\u0131\u015fan web sunucusu (Apache, Nginx, LiteSpeed).<\/li>\n<li><strong>Veritaban\u0131 Sunucusu<\/strong>: Sipari\u015f ve m\u00fc\u015fteri verilerini tutan MySQL\/MariaDB\/PostgreSQL.<\/li>\n<li><strong>WAF Katman\u0131<\/strong>: Origin WAF (ModSecurity) veya CDN WAF ile temel OWASP Top 10 korumas\u0131.<\/li>\n<li><strong>\u00d6deme Servis Sa\u011flay\u0131c\u0131s\u0131<\/strong>: Kart verisini do\u011frudan i\u015fleyen harici PSP.<\/li>\n<\/ul>\n<p>Burada kritik ayr\u0131m \u015fu:<\/p>\n<ul>\n<li>Uygulama ve veritaban\u0131 sunucular\u0131, <strong>kart verisini de\u011fil, sipari\u015f ve m\u00fc\u015fteri verisini<\/strong> i\u015fler.<\/li>\n<li>PSP altyap\u0131s\u0131 ise <strong>kart verisini i\u015fler, saklar ve PCI\u2011DSS sertifikasyonunu \u00fcstlenir.<\/strong><\/li>\n<\/ul>\n<p>B\u00f6ylece DCHost \u00fczerindeki altyap\u0131n\u0131z hem PCI kapsam\u0131 d\u0131\u015f\u0131nda tutulur hem de KVKK\/GDPR gibi di\u011fer reg\u00fclasyonlara uyumlu \u015fekilde y\u00f6netilir. Veri yerelle\u015ftirme ve ki\u015fisel veri taraf\u0131ndaki gereklilikleri daha geni\u015f perspektiften ele almak isterseniz, <a href=\"https:\/\/www.dchost.com\/blog\/kvkk-ve-gdpr-uyumlu-hosting-nasil-kurulur-veri-yerellestirme-loglama-ve-silme-uzerine-sicacik-bir-yol-haritasi\/\">KVKK ve GDPR uyumlu hosting mimarisi rehberimize<\/a> de g\u00f6z atabilirsiniz.<\/p>\n<h2><span id=\"TLS_HTTP_Guvenlik_Basliklari_ve_Tarayici_Katmani\">TLS, HTTP G\u00fcvenlik Ba\u015fl\u0131klar\u0131 ve Taray\u0131c\u0131 Katman\u0131<\/span><\/h2>\n<p>\u201cKart verisi sunucuya gelmiyor\u201d demek, taray\u0131c\u0131 ile PSP aras\u0131ndaki trafi\u011fi de <strong>\u00e7ok iyi koruman\u0131z<\/strong> gerekti\u011fi ger\u00e7e\u011fini de\u011fi\u015ftirmiyor. Kullan\u0131c\u0131 deneyimi sizin siteniz \u00fczerinden ba\u015flad\u0131\u011f\u0131 i\u00e7in, m\u00fc\u015fterinin g\u00fcven alg\u0131s\u0131n\u0131 belirleyen de yine sizin alan ad\u0131n\u0131z.<\/p>\n<p>Bu nedenle a\u015fa\u011f\u0131daki alanlara \u00f6zel \u00f6nem veriyoruz:<\/p>\n<ul>\n<li><strong>Modern TLS konfig\u00fcrasyonu<\/strong>: Zay\u0131f protokollerin ve \u015fifre paketlerinin kapat\u0131lmas\u0131, TLS 1.2\/1.3 zorunlulu\u011fu, OCSP stapling, g\u00fc\u00e7l\u00fc sertifikalar. Bunun i\u00e7in <a href=\"https:\/\/www.dchost.com\/blog\/ssl-tls-protokol-guncellemeleri-modern-https-icin-net-yol-haritasi\/\">modern HTTPS i\u00e7in SSL\/TLS protokol g\u00fcncellemeleri rehberi<\/a>ni \u00f6neriyoruz.<\/li>\n<li><strong>HTTP G\u00fcvenlik Ba\u015fl\u0131klar\u0131<\/strong>: HSTS, X\u2011Frame\u2011Options, X\u2011Content\u2011Type\u2011Options, Referrer\u2011Policy ve \u00f6zellikle <strong>Content\u2011Security\u2011Policy (CSP)<\/strong>. CSP ile hangi domain\u2019lerden script ve iframe y\u00fcklenebilece\u011fini net tan\u0131mlayarak kart formu iFrame\u2019ini de kontroll\u00fc \u015fekilde kabul edebilirsiniz.<\/li>\n<li><strong>Mixed content hatalar\u0131ndan ka\u00e7\u0131nma<\/strong>: \u00d6zellikle checkout ad\u0131mlar\u0131nda t\u00fcm kaynaklar\u0131n HTTPS \u00fczerinden \u00e7a\u011fr\u0131ld\u0131\u011f\u0131ndan emin olmal\u0131s\u0131n\u0131z.<\/li>\n<\/ul>\n<p>HTTP ba\u015fl\u0131klar\u0131n\u0131 do\u011fru kurmak sadece g\u00fcvenlik de\u011fil, taray\u0131c\u0131 taraf\u0131ndaki b\u00fct\u00fcnl\u00fc\u011f\u00fc korumak a\u00e7\u0131s\u0131ndan da \u00f6nemli. Bu konuyu hem <a href=\"https:\/\/www.dchost.com\/tr\/web-hosting\">payla\u015f\u0131ml\u0131 hosting<\/a> hem de <a href=\"https:\/\/www.dchost.com\/tr\/vps\">VPS<\/a> taraf\u0131nda detayl\u0131 ele ald\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/http-guvenlik-basliklari-rehberi-hsts-csp-ve-digerlerini-ne-zaman-nasil-uygulamalisin\/\">HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131 rehberinden<\/a> teknik \u00f6rneklerle takip edebilirsiniz.<\/p>\n<h2><span id=\"Tokenizasyon_Sunucuda_Ne_Tutuyorsunuz\">Tokenizasyon: Sunucuda Ne Tutuyorsunuz?<\/span><\/h2>\n<p>Kart verisini sunucudan uzak tutarken bile, tekrarlayan \u00f6demeler (subscription), \u201ckart\u0131 kaydet\u201d fonksiyonlar\u0131 veya tek t\u0131kla \u00f6deme gibi \u00f6zellikler \u00e7o\u011fu ma\u011fazada ihtiya\u00e7 haline geliyor. Burada devreye <strong>tokenizasyon<\/strong> giriyor.<\/p>\n<p>Genel mant\u0131k \u015f\u00f6yle:<\/p>\n<ul>\n<li>Kullan\u0131c\u0131 ilk kart giri\u015fini PSP\u2019nin hosted formunda yapar.<\/li>\n<li>PSP, kart\u0131 kendi kasas\u0131nda saklar ve size o kart\u0131 temsil eden <strong>token<\/strong> d\u00f6ner (\u00f6rne\u011fin <code>tok_abc123...<\/code>).<\/li>\n<li>Siz veritaban\u0131n\u0131zda ger\u00e7ek kart numaras\u0131 yerine sadece bu token\u2019\u0131 ve son 4 hane gibi maskelemi\u015f bilgileri saklars\u0131n\u0131z.<\/li>\n<li>Sonraki \u00f6demelerde sadece bu token\u2019\u0131 PSP\u2019ye g\u00f6nderirsiniz; kart bilgisi tekrar sorulmaz.<\/li>\n<\/ul>\n<p>Bu modelde dikkat edilmesi gerekenler:<\/p>\n<ul>\n<li>Token\u2019\u0131n kendisi kart verisi de\u011fildir; fakat <strong>yetkisiz eri\u015fim<\/strong> durumunda k\u00f6t\u00fcye kullan\u0131labilir. Bu y\u00fczden veritaban\u0131 ve API g\u00fcvenli\u011finiz hayati \u00f6nem ta\u015f\u0131r.<\/li>\n<li>Token\u2019lar\u0131 i\u00e7eren veritaban\u0131 yedekleri de hassas kabul edilmelidir; <a href=\"https:\/\/www.dchost.com\/blog\/yedek-sifreleme-ve-anahtar-yonetimi-rehberi\/\">yedek \u015fifreleme ve anahtar y\u00f6netimi<\/a> rehberimizde anlatt\u0131\u011f\u0131m\u0131z yakla\u015f\u0131mlar burada da ge\u00e7erlidir.<\/li>\n<li>Loglarda asla tam kart numaras\u0131, CVV veya PSP\u2019ye g\u00f6nderdi\u011finiz ham isteklerin i\u00e7eri\u011fi bulunmamal\u0131d\u0131r.<\/li>\n<\/ul>\n<p>Do\u011fru kurguland\u0131\u011f\u0131nda, tokenizasyon hem kullan\u0131c\u0131 deneyimini iyile\u015ftirir hem de kart verisini sunucudan uzak tutma hedefiyle \u00e7eli\u015fmeden tekrarlayan \u00f6demeleri m\u00fcmk\u00fcn k\u0131lar.<\/p>\n<h2><span id=\"Ag_WAF_Loglama_ve_Yedekler_Kart_Verisi_Olmasa_da_Odev_Bitmiyor\">A\u011f, WAF, Loglama ve Yedekler: Kart Verisi Olmasa da \u00d6dev Bitmiyor<\/span><\/h2>\n<p>Kart verisini sunucudan uzak tutmak PCI kapsam\u0131n\u0131 k\u00fc\u00e7\u00fclt\u00fcr; ama &#8220;g\u00fcvenlik bitti&#8221; anlam\u0131na gelmez. Uygulama ve veritaban\u0131 sunucular\u0131n\u0131zda h\u00e2l\u00e2 sipari\u015f, adres, telefon, e\u2011posta gibi ki\u015fisel veriler tutuyorsunuz. Bu veriler hem yasal (KVKK\/GDPR) hem de itibar a\u00e7\u0131s\u0131ndan kritik.<\/p>\n<p>DCHost\u2019ta \u00f6nerdi\u011fimiz temel pratikler:<\/p>\n<ul>\n<li><strong>A\u011f Segmentasyonu<\/strong>: Web, veritaban\u0131 ve y\u00f6netim (SSH\/panel) trafi\u011fini m\u00fcmk\u00fcn oldu\u011funca ayr\u0131 segmentlerde tutmak; veritaban\u0131na do\u011frudan internetten eri\u015fimi kapatmak.<\/li>\n<li><strong>WAF Kullan\u0131m\u0131<\/strong>: Hem uygulama g\u00fcvenli\u011fi hem de PCI\u2011DSS\u2019in \u201csald\u0131r\u0131 tespiti ve \u00f6nleme\u201d gerekliliklerine uyum a\u00e7\u0131s\u0131ndan WAF \u00f6nemli bir bile\u015fen. Origin WAF (ModSecurity) veya CDN WAF \u00e7\u00f6z\u00fcmleri hakk\u0131nda daha fazla fikir edinmek isterseniz <a href=\"https:\/\/www.dchost.com\/blog\/origin-waf-modsecurity-vs-cdn-waf-kucuk-ve-orta-olcekli-siteler-icin-dogru-secmim\/\">WAF kar\u015f\u0131la\u015ft\u0131rma yaz\u0131m\u0131za<\/a> g\u00f6z atabilirsiniz (not: URL\u2019yi \u00f6rneklerken ger\u00e7ekteki yaz\u0131 ad\u0131n\u0131 kullanmal\u0131s\u0131n\u0131z).<\/li>\n<li><strong>Loglama ve \u0130zleme<\/strong>: \u00d6zellikle login, parola reset, y\u00f6netim paneli eri\u015fimleri, ba\u015far\u0131s\u0131z \u00f6deme geri d\u00f6n\u00fc\u015fleri gibi alanlarda merkezi loglama ve alarm kurallar\u0131 kritik. Bunu e\u2011ticaret odakl\u0131 ele ald\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/e-ticaret-siteleri-icin-log-analizi-donusum-kaybi-4xx-5xx-ve-odeme-hatalarini-yakalamak\/\">e\u2011ticaret log analizi rehberinde<\/a> detayland\u0131rd\u0131k.<\/li>\n<li><strong>Yedek ve Felaket Kurtarma<\/strong>: Yedeklerin \u015fifreli, farkl\u0131 lokasyonda, 3\u20112\u20111 prensibine uygun tutulmas\u0131 ve d\u00fczenli kurtarma testleri yap\u0131lmas\u0131 gerekir.<\/li>\n<\/ul>\n<p>K\u0131sacas\u0131 kart verisini sunucudan uzak tutmak, g\u00fcvenlik y\u00fck\u00fcn\u00fcz\u00fc s\u0131f\u0131rlamaz; ama <strong>odak noktan\u0131z\u0131 u\u00e7tan uca siber g\u00fcvenlikten, daha y\u00f6netilebilir bir &#8220;m\u00fc\u015fteri verisi korumas\u0131&#8221; d\u00fczeyine indirir.<\/strong><\/p>\n<h2><span id=\"Ornek_Senaryo_WooCommerce_DCHost_Uzerinde_PCIDSS_Dostu_Mimari\">\u00d6rnek Senaryo: WooCommerce + DCHost \u00dczerinde PCI\u2011DSS Dostu Mimari<\/span><\/h2>\n<p>Bu anlatt\u0131klar\u0131m\u0131z\u0131 somutla\u015ft\u0131rmak i\u00e7in sahada s\u0131k g\u00f6rd\u00fc\u011f\u00fcm\u00fcz bir senaryoyu birlikte tasarlayal\u0131m: WooCommerce ile \u00e7al\u0131\u015fan bir e\u2011ticaret sitesi, DCHost \u00fczerinde bar\u0131nd\u0131r\u0131l\u0131yor ve kart verisini sunucudan tamamen uzak tutmak istiyor.<\/p>\n<h3><span id=\"1_Altyapi_Katmani\">1) Altyap\u0131 Katman\u0131<\/span><\/h3>\n<ul>\n<li>DCHost \u00fczerinde NVMe diskli bir <strong>VPS<\/strong> veya yo\u011fun trafi\u011fe g\u00f6re <strong>dedicated sunucu<\/strong> se\u00e7ilir.<\/li>\n<li>Sunucu \u00fczerinde Nginx + PHP\u2011FPM + MariaDB stack\u2019i kurulur; WordPress + WooCommerce i\u00e7in gerekli PHP ayarlar\u0131, <a href=\"https:\/\/www.dchost.com\/blog\/wordpress-ve-woocommerce-icin-php-fpm-ayarlari-pm-pm-max_children-ve-pm-max_requests-hesaplama-rehberi\/\">PHP\u2011FPM konfig\u00fcrasyonu<\/a> gibi optimizasyonlar yap\u0131l\u0131r.<\/li>\n<li>Sunucuya sadece SSH anahtar\u0131 ile eri\u015fim, firewall (ufw\/firewalld) ve fail2ban gibi temel sertle\u015ftirme ad\u0131mlar\u0131 uygulan\u0131r.<\/li>\n<\/ul>\n<h3><span id=\"2_Domain_DNS_ve_TLS\">2) Domain, DNS ve TLS<\/span><\/h3>\n<ul>\n<li>Alan ad\u0131n\u0131z DCHost veya farkl\u0131 bir registrar\u2019da olabilir; DNS taraf\u0131nda A\/AAAA kay\u0131tlar\u0131 DCHost sunucunuza i\u015faret eder.<\/li>\n<li>Let\u2019s Encrypt veya kurumsal <a href=\"https:\/\/www.dchost.com\/tr\/ssl\">SSL sertifikas\u0131<\/a> ile HTTPS etkinle\u015ftirilir. Sertifika y\u00f6netimini kolayla\u015ft\u0131rmak i\u00e7in ACME otomasyonu tercih edilebilir.<\/li>\n<li>HTTP \u2192 HTTPS kal\u0131c\u0131 301 y\u00f6nlendirmesi, HSTS ve di\u011fer g\u00fcvenlik ba\u015fl\u0131klar\u0131 yap\u0131land\u0131r\u0131l\u0131r.<\/li>\n<\/ul>\n<h3><span id=\"3_Odeme_Entegrasyonu\">3) \u00d6deme Entegrasyonu<\/span><\/h3>\n<ul>\n<li>WooCommerce i\u00e7inde PSP eklentisi kurulur; entegrasyon t\u00fcr\u00fc olarak <strong>hosted payment page<\/strong> veya g\u00fcvenli iFrame\/JS SDK modeli se\u00e7ilir.<\/li>\n<li>Checkout sayfas\u0131nda kart formu, sizin backend\u2019inize post etmeyecek \u015fekilde yap\u0131land\u0131r\u0131l\u0131r; form action ve JavaScript endpoint\u2019lerinin PSP domain\u2019inde oldu\u011fundan emin olunur.<\/li>\n<li>PSP\u2019den d\u00f6nen <strong>i\u015flem sonucu<\/strong> ve <strong>token<\/strong> bilgileri, WooCommerce\u2019in sipari\u015f meta alanlar\u0131na kaydedilir; kart numaras\u0131 veya CVV hi\u00e7bir zaman veritaban\u0131na yaz\u0131lmaz.<\/li>\n<\/ul>\n<h3><span id=\"4_Guvenlik_ve_Izleme\">4) G\u00fcvenlik ve \u0130zleme<\/span><\/h3>\n<ul>\n<li>WordPress y\u00f6netim paneli i\u00e7in 2FA, IP k\u0131s\u0131tlama, g\u00fc\u00e7l\u00fc parola politikalar\u0131 ve WAF kurallar\u0131 devreye al\u0131n\u0131r.<\/li>\n<li>Sunucu taraf\u0131nda CPU, RAM, disk IO, HTTP 4xx\/5xx oranlar\u0131 ve \u00f6deme ad\u0131mlar\u0131ndaki hata oranlar\u0131n\u0131 izleyen bir monitoring seti kurulur.<\/li>\n<li>G\u00fcvenlik g\u00fcncellemeleri i\u00e7in otomatik yama veya kontroll\u00fc manuel g\u00fcncelleme s\u00fcre\u00e7leri tan\u0131mlan\u0131r.<\/li>\n<\/ul>\n<p>Bu mimaride WooCommerce sunucusu hi\u00e7bir zaman PAN veya CVV g\u00f6rmedi\u011fi i\u00e7in, teorik olarak SAQ A kapsam\u0131na yakla\u015fan bir model elde edersiniz. WooCommerce \u00f6zelinde SAQ A \/ A\u2011EP ayr\u0131m\u0131n\u0131 ve kontrol listesini detayl\u0131 anlatt\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/pci-dss-uyumlu-woocommerce-hosting-kontrol-listesi-saq-a-mi-a%E2%80%91ep-mi-tlste-nereden-baslamaliyiz\/\">PCI\u2011DSS uyumlu WooCommerce hosting kontrol listesine<\/a> mutlaka g\u00f6z atman\u0131z\u0131 \u00f6neririm.<\/p>\n<h2><span id=\"API_Webhook_ve_Mikroservislerde_PCIDSSe_Dikkat\">API, Webhook ve Mikroservislerde PCI\u2011DSS\u2019e Dikkat<\/span><\/h2>\n<p>Modern e\u2011ticaret projelerinde sadece klasik web tabanl\u0131 checkout yok; mobil uygulamalar, harici pazaryerleri, B2B entegrasyonlar ve mikroservis tabanl\u0131 mimariler de devrede. Kart verisini sunucudan uzak tutma prensibi burada da ge\u00e7erli.<\/p>\n<p>\u00d6zellikle dikkat edilmesi gereken ba\u015fl\u0131klar:<\/p>\n<ul>\n<li><strong>\u00d6deme API\u2019leri<\/strong>: Mobil uygulaman\u0131z \u00f6deme almak i\u00e7in do\u011frudan PSP\u2019nin mobil SDK\u2019s\u0131n\u0131 kullanmal\u0131; backend API\u2019niz sadece token ve i\u015flem sonu\u00e7lar\u0131yla ilgilenmeli.<\/li>\n<li><strong>Webhook\u2019lar<\/strong>: PSP, \u00f6deme sonucunu size webhook ile bildirebilir. Webhook endpoint\u2019iniz hi\u00e7bir zaman kart verisi i\u00e7eren payload almamal\u0131; gelen JSON\u2019u log\u2019lamadan \u00f6nce maskeleme yap\u0131lmal\u0131.<\/li>\n<li><strong>API G\u00fcvenli\u011fi<\/strong>: JWT, rate limiting, IP k\u0131s\u0131tlama ve WAF kurallar\u0131 \u00f6deme ile ilgili endpoint\u2019lerde \u00e7ok daha s\u0131k\u0131 olmal\u0131. Bu ba\u015fl\u0131klar\u0131 detayl\u0131 \u015fekilde ele ald\u0131\u011f\u0131m\u0131z <a href=\"https:\/\/www.dchost.com\/blog\/api-guvenligi-icin-hosting-mimarisi-jwt-cors-rate-limiting-ve-waf\/\">API g\u00fcvenli\u011fi ve hosting mimarisi rehberine<\/a> mutlaka g\u00f6z at\u0131n.<\/li>\n<\/ul>\n<p>K\u0131sacas\u0131, ister klasik web checkout, ister mobil uygulama, ister mikroservis olsun; <strong>kart verisini her zaman do\u011frudan PSP\u2019ye g\u00f6nderen bir ak\u0131\u015f<\/strong> tasarlamak m\u00fcmk\u00fcn ve tercih edilmelidir.<\/p>\n<h2><span id=\"Operasyonel_Boyut_Degisiklik_Yonetimi_Dokumantasyon_ve_Denetim_Hazirligi\">Operasyonel Boyut: De\u011fi\u015fiklik Y\u00f6netimi, Dok\u00fcmantasyon ve Denetim Haz\u0131rl\u0131\u011f\u0131<\/span><\/h2>\n<p>Teknik mimariyi do\u011fru kurduktan sonra, PCI\u2011DSS uyumlu kalmak i\u00e7in operasyon taraf\u0131n\u0131 da ciddiye almak gerekiyor. Kart verisini sunucudan uzak tutsan\u0131z bile, denetimlerde \u015fu sorular mutlaka sorulur:<\/p>\n<ul>\n<li>Checkout ak\u0131\u015f\u0131nda yap\u0131lan de\u011fi\u015fiklikler nas\u0131l test ediliyor?<\/li>\n<li>Kod de\u011fi\u015fiklikleri i\u00e7in onay ve geri alma (rollback) s\u00fcreci var m\u0131?<\/li>\n<li>G\u00fcvenlik olaylar\u0131 nas\u0131l tespit ve rapor ediliyor?<\/li>\n<li>Loglar ne kadar s\u00fcre saklan\u0131yor, kimler eri\u015febiliyor?<\/li>\n<\/ul>\n<p>Biz DCHost\u2019ta m\u00fc\u015fterilerle \u00e7al\u0131\u015f\u0131rken, bu sorulara cevap verebilen basit ama uygulanabilir s\u00fcre\u00e7ler kurmaya odaklan\u0131yoruz:<\/p>\n<ul>\n<li>Geli\u015ftirme \u2192 staging \u2192 canl\u0131 ortam ayr\u0131m\u0131n\u0131 net yapmak,<\/li>\n<li>Kritik \u00f6deme ak\u0131\u015flar\u0131nda mutlaka staging \u00fczerinde test ko\u015fmak,<\/li>\n<li>Konfig\u00fcrasyon de\u011fi\u015fikliklerini (Nginx, PHP\u2011FPM, WAF kurallar\u0131 vb.) versiyonlamak,<\/li>\n<li>Yedek testlerini ve felaket senaryolar\u0131n\u0131 y\u0131lda en az bir kez prova etmek.<\/li>\n<\/ul>\n<p>Bunlar ka\u011f\u0131t \u00fczerinde &#8220;dok\u00fcmantasyon&#8221; gibi g\u00f6r\u00fcnse de, pratikte hem PCI\u2011DSS hem KVKK\/GDPR hem de genel siber g\u00fcvenlik hijyeni a\u00e7\u0131s\u0131ndan en \u00e7ok de\u011fer \u00fcreten ad\u0131mlar oluyor.<\/p>\n<h2><span id=\"Sonuc_Kart_Verisini_Sunucudan_Uzak_Tutmak_En_Buyuk_Kazaniminiz\">Sonu\u00e7: Kart Verisini Sunucudan Uzak Tutmak En B\u00fcy\u00fck Kazan\u0131m\u0131n\u0131z<\/span><\/h2>\n<p>\u00d6zetle, PCI\u2011DSS ile u\u011fra\u015f\u0131rken kendinize soraca\u011f\u0131n\u0131z en kritik soru \u015fu: <strong>\u201cBu kart verisi ger\u00e7ekten benim sunucuma gelmek zorunda m\u0131?\u201d<\/strong> \u00c7o\u011fu e\u2011ticaret projesinde cevap net bir \u015fekilde \u201cHay\u0131r\u201d. Do\u011fru PSP entegrasyon modeli (hosted payment page veya g\u00fcvenli iFrame\/JS SDK), sa\u011flam TLS ve HTTP g\u00fcvenlik ba\u015fl\u0131klar\u0131, bilin\u00e7li tokenizasyon ve iyi tasarlanm\u0131\u015f bir hosting mimarisi ile, uygulama ve veritaban\u0131 sunucular\u0131n\u0131z\u0131 kart verisi kapsam\u0131n\u0131n d\u0131\u015f\u0131na itebilirsiniz.<\/p>\n<p>Bu yakla\u015f\u0131m size \u00fc\u00e7 b\u00fcy\u00fck kazan\u0131m sa\u011flar:<\/p>\n<ul>\n<li><strong>Daha k\u00fc\u00e7\u00fck PCI kapsam\u0131<\/strong>: SAQ A taraf\u0131na yakla\u015fan bir mimari ile denetim ve uyum maliyetleri d\u00fc\u015fer.<\/li>\n<li><strong>Daha y\u00f6netilebilir g\u00fcvenlik<\/strong>: Odak noktan\u0131z kart numaras\u0131 yerine m\u00fc\u015fteri verisi korumas\u0131na kayar; bu da KVKK\/GDPR ile daha tutarl\u0131 bir \u00e7er\u00e7eve sunar.<\/li>\n<li><strong>Daha az teknik risk<\/strong>: Sunucu taraf\u0131ndaki bir a\u00e7\u0131k, kart s\u0131z\u0131nt\u0131s\u0131 yerine \u201csadece\u201d ki\u015fisel veri ihlaline d\u00f6n\u00fc\u015f\u00fcr; bu bile ba\u015fl\u0131 ba\u015f\u0131na ciddi olsa da, finansal sonu\u00e7lar\u0131 \u00e7ok daha y\u00f6netilebilir kal\u0131r.<\/li>\n<\/ul>\n<p>E\u011fer mevcut e\u2011ticaret sitenizde kart formu h\u00e2l\u00e2 sizin domain\u2019inizde render ediliyor, form action\u2019\u0131 do\u011frudan sunucunuza post ediyorsa veya entegrasyon modelinizin sizi SAQ A m\u0131 A\u2011EP mi taraf\u0131na itti\u011finden emin de\u011filseniz, DCHost ekibi olarak mimarinizi birlikte g\u00f6zden ge\u00e7irebiliriz. Hem mevcut altyap\u0131n\u0131z\u0131 PCI\u2011DSS dostu hale getirmek hem de yeni projelerinizi ba\u015ftan do\u011fru kurgulamak i\u00e7in, sunucu se\u00e7imi, a\u011f tasar\u0131m\u0131, WAF, yedekleme ve denetim haz\u0131rl\u0131\u011f\u0131 dahil u\u00e7tan uca bir yol haritas\u0131 \u00e7\u0131karmak m\u00fcmk\u00fcn. Bir sonraki \u00f6deme entegrasyonu karar\u0131n\u0131z\u0131, kart verisini sunucudan tamamen uzak tutacak \u015fekilde birlikte tasarlayal\u0131m.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 PCI\u2011DSS\u2019te As\u0131l Oyun: Kart Verisini Sunucudan Uzak Tutmak2 Temelleri Netle\u015ftirelim: PCI\u2011DSS ve Kart Verisi Neyi Kapsar?3 Ama\u00e7: Uygulama Sunucusunu Kapsam D\u0131\u015f\u0131na \u00c7\u0131karmak (Scope Reduction)4 Kart Verisini Sunucudan Uzak Tutmak \u0130\u00e7in 3 Yayg\u0131n \u00d6deme Mimarisi4.1 1) Tam Y\u00f6nlendirmeli \u00d6deme Sayfas\u0131 (Hosted Payment Page \u2013 HPP)4.2 2) G\u00fcvenli iFrame veya JS SDK ile Kart Formunu PSP\u2019den [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":4915,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-4914","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-teknoloji"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/4914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=4914"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/4914\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/4915"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=4914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=4914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=4914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}