PCI DSS ve Sunucu Uyumluluğu: E-ticaret İçin Pratik Rehber

Son Güncelleme: Mart 2026

PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) gereksinimlerini karşılamak, modern e-ticaret altyapıları için kritik öneme sahiptir. Bu rehberde sunucu uyumluluğu, ağ güvenliği, şifreleme (TLS/SSL) ve pratik uygulanabilir adımları detaylı şekilde ele alacağız.

PCI DSS Nedir?

PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), kart verilerini korumak için belirlenmiş küresel gereksinimler bütünüdür. Amaç; kart sahibi verilerini (cardholder data) korumak, veri sızıntılarını önlemek ve ödeme işlemlerinin bütünlüğünü sağlamaktır. Standardın temel başlıkları arasında ağ güvenliği, şifreleme, erişim kontrolü ve loglama bulunur.

Sunucu Gereksinimleri

PCI DSS uyumlu bir sunucu ortamı kurarken göz önünde bulundurmanız gereken ana noktalar şunlardır:

Kapsam Belirleme (Scope): Kart verilerini işleyen, ileten veya depolayan sunucular açıkça tanımlanmalı.
Minimal Hizmet: Sunucuda çalıştırılan servisler minimumda tutulmalı; gereksiz paketler kaldırılmalı.
Güncelleme ve Yama Yönetimi: İşletim sistemi (OS) ve uygulama yazılımları düzenli güncellenmeli.
Güçlü Kimlik Doğrulama: Çok faktörlü kimlik doğrulama (MFA) mümkünse kullanılmalı.

Ağ ve Güvenlik Konfigürasyonları

PCI gereksinimleri ağ segmentasyonu (segmentation) ve güvenlik duvarı (firewall) kurallarına büyük önem verir:

Segmentasyon: Kart verilerini işleyen sistemler diğer sistemlerden ayrılmalı; VLAN veya ayrı fiziksel ağ tercih edilebilir.
Güvenlik Duvarı: Gelen ve giden trafiğe yönelik sıkı kurallar uygulanmalı; sadece gerekli portlar açılmalı.
DMZ (Demilitarized Zone): İnternet ile iç ağ arasında aracı katmanlar kullanılmalı ve hassas veriler doğrudan DMZ'de tutulmamalı.

İşletim Sistemi ve Yazılım Yönetimi

Sunucu yazılımları ve işletim sistemi (işletim sistemi) yönetimi için en iyi uygulamalar:

Güncelleme Politikası: Kritik yamalar 72 saat içinde değerlendirilip uygulanmalı.
Konfigürasyon Yönetimi: Ansible, Puppet veya Chef gibi araçlarla tutarlı konfigürasyon sağlanmalı.
Minimum Yetki (Least Privilege): Hizmetler ve kullanıcı hesaplarına en düşük yetkiler verilmelidir.
Güvenlik Sabitlemeleri: SSH konfigürasyonu, root login kapatma ve parola politikaları uygulanmalıdır.

Şifreleme ve SSL/TLS

Şifreleme (encryption) kart verilerini korumanın merkezindedir. Hem aktarım sırasında (in-transit) hem de depolama sırasında (at-rest) güçlü şifreleme kullanılmalıdır.

TLS: Modern TLS (Transport Layer Security) sürümleri (1.2 veya 1.3) kullanılmalı; zayıf protokoller (SSL, TLS 1.0/1.1) devre dışı bırakılmalıdır.
Anahtar Yönetimi: Şifreleme anahtarları güvenli HSM (Hardware Security Module) veya güvenli anahtar yönetimi süreçleri ile korunmalıdır.
SSL Sertifikaları: Güvenilir sertifika otoritelerinden (CA) alınmış sertifikalar kullanılmalı. Corelux SSL Sertifikası hizmetleri bu noktada yardımcı olabilir.

Alan	Öneri	Açıklama
TLS Sürümü	TLS 1.2 / 1.3	Zayıf protokoller engellenmeli
Şifreleme Algoritması	AES-256-GCM	Güncel ve güvenli simetrik şifreleme
Anahtar Uzunluğu	RSA 2048+ / ECC 256+	Güçlü asimetrik anahtarlar

Erişim Kontrolleri ve Logging

Erişim kontrolleri ve kapsamlı loglama (kayıt tutma) PCI uyumluluğunun temel taşlarıdır:

MFA (Çok Faktörlü Kimlik Doğrulama): Yönetici erişimleri için zorunlu olmalıdır.
Loglama: Sunucu ve uygulama logları merkezi bir SIEM'e aktarılmalı; değişiklikler ve kritik olaylar 1 yıl veya daha fazla saklanmalıdır.
Log Bütünlüğü: Logların değiştirilmediği doğrulanabilmeli; hash veya WORM (Write Once Read Many) depolama önerilir.

Yedekleme ve Felaket Kurtarma

Yedekleme stratejileri, veri kaybı ve güvenlik ihlali sonrası hızlı kurtarma için hayati önemdedir:

Şifreli Yedekler: Tüm yedekler şifrelenerek saklanmalı.
Offsite (Uzak) Depolama: Yedekler farklı lokasyonlarda tutulmalıdır. Corelux Yedekleme Hizmeti bu ihtiyacı karşılayabilir.
Periyodik Test: Yedeklerin geri yüklenebilirliği düzenli olarak test edilmelidir.

Uygulama Katmanı Güvenlikleri

Sunucu güvenliği tek başına yeterli değildir; uygulama (application) güvenliği de sağlanmalıdır:

Girdi Doğrulama: SQL enjeksiyonu, XSS ve CSRF gibi saldırılara karşı koruma uygulanmalı.
WAF (Web Uygulama Güvenlik Duvarı): Uygulama katmanını korumak için WAF kullanımı önerilir.
Güvenli API: API'lar için güçlü kimlik doğrulama ve oran sınırlama (rate limiting) uygulanmalıdır.

Denetim ve Süreçler

Düzenli denetimler (audit) ve belgelenmiş süreçler PCI uyumluluğunun sürdürülebilirliğini sağlar:

Düzenli Risk Değerlendirmesi: Yeni tehditler ve değişiklikler için periyodik risk analizleri yapılmalı.
Policy ve SOP: Güvenlik politikaları ve operasyonel prosedürler (SOP) yazılı ve erişilebilir olmalı.
QSA ve ASV: Gerekli durumlarda yetkili güvenlik değerlendirme kuruluşları (QSA) ile çalışma ve ASV (Ağ Tarayıcı) testleri yapılmalı.

İzleme, IDS/IPS ve Olay Müdahalesi

Gerçek zamanlı izleme ve saldırı tespiti için IDS/IPS çözümleri kullanılmalı:

SIEM: Güvenlik olaylarını merkezi olarak toplayıp korele eden SIEM çözümleri kullanılmalı.
IDS/IPS: Anomali tespit eden IDS/IPS kuralları uygulanmalı.
Olay Müdahale Planı: Bir ihlal durumunda izlenecek adımlar önceden tanımlanmış olmalı.

Maliyet ve Hizmet Seçimi

PCI uyumlu altyapı maliyetli olabilir; doğru hizmet seçimi toplam sahip olma maliyetini (TCO) düşürür:

Barındırma Seçimi: Paylaşımlı ortamlardan kaçınıp kiralık sunucu veya VPS/VDS gibi izole ortamlara yönelmek tercih edilir.
Yönetilen Hizmetler: Yönetilen güvenlik ve yedekleme hizmetleri, operasyonel yükü azaltır.
Hizmet Sağlayıcı Kontrolü: Sağlayıcıların PCI uyumluluğu sorgulanmalı ve gerekli belgeler talep edilmelidir.

Pratik Örnek Senaryolar

Aşağıda e-ticaret altyapısında sık karşılaşılan iki pratik senaryo ve uygulanabilir çözümler bulunmaktadır:

Senaryo: Harici ödeme sağlayıcısı kullanmayan küçük e-ticaret sitesi — Çözüm: Kart verilerini depolamaktan kaçının; tokenizasyon veya 3D Secure destekli harici ödeme sağlayıcılarına yönelin. Eğer depolama gerekiyorsa, veriler şifrelenmiş ve erişimler sıkı şekilde sınırlandırılmış olmalı.
Senaryo: Çok katmanlı mimari ve paket servis kullanan orta ölçekli mağaza — Çözüm: Kart verilerini işleyen servisleri ayrı VLAN/VPS'lerde tutun, SSL ve WAF kullanın, yedekleme ve SIEM ile izleme uygulayın.

Sıkça Sorulan Sorular

PCI DSS zorunlu mudur?

Kart işlemi yapan tüm işletmeler için PCI DSS uyumluluğu gereklidir; ölçeğe bağlı olarak gereksinimler ve denetim türleri değişebilir.

Sunucumu paylaşımlı mı yoksa kiralık mı tercih etmeliyim?

PCI kapsamı için genellikle izole ortamlar (kiralık sunucu veya VPS/VDS) tavsiye edilir. Corelux'in Kiralık Sunucu ve VPS çözümlerini değerlendirebilirsiniz.

SSL sertifikası PCI için yeterli mi?

SSL/TLS aktarım güvenliği sağlar ancak PCI uyumluluğu için erişim kontrolleri, loglama, yedekleme ve diğer süreçler de gereklidir. Corelux SSL Sertifikası hizmeti başlangıç için uygundur.

Yedekler nasıl saklanmalı?

Yedekler şifrelenmiş ve tercihen coğrafi olarak ayrılmış lokasyonlarda saklanmalı. Corelux Yedekleme Hizmeti bu ihtiyacı karşılar ve kurtarma senaryolarında fayda sağlar.

Denetim (audit) süreci nasıl işler?

Denetim, kapsam belirleme, risk değerlendirmesi, teknik testler (ASV) ve süreç incelemelerini içerir. Gerektiğinde bir QSA (Qualified Security Assessor) ile çalışılmalıdır.

Sonuç

PCI DSS uyumluluğu, sadece teknik önlemler değil süreçsel disiplin de gerektirir. Sunucu uyumluluğu için ağ segmentasyonu, güçlü şifreleme, erişim kontrolleri, düzenli denetim ve yedekleme stratejileri bir arada uygulanmalıdır. Corelux olarak ihtiyacınıza göre Kiralık Sunucu, VPS/VDS, SSL Sertifikası ve Yedekleme Hizmeti çözümleri sunuyoruz. İhtiyacınıza göre kapsam belirleme ve uyumluluk danışmanlığı için Hizmetler sayfamızı ziyaret edebilirsiniz.

PCI DSS (Ödeme Kartı Güvenliği) ve Sunucu Uyumluluğu: E-ticaret İçin Pratik Rehber