1. Anasayfa
  2. E-Ticaret

PCI DSS Uyumluluğu – E-Ticaret için Güvenli Ödeme Altyapısı

Bilhost tarafından
Ocak 22, 2026 15 kez okundu Okuma süresi: 10dk, 55sn
PCI DSS Uyumluluğu – E-Ticaret için Güvenli Ödeme Altyapısı
0

Öne Çıkanlar

  • Kart verisini işleyen, ileten veya saklayan her site PCI DSS kapsamında; form/site üzerinden geçen veri sahibi sorumluluğundadır.
  • Güvenlik sadece SSL değil: erişim kontrolü, log yönetimi, açık portların kapatılması ve altyapı optimizasyonu kritiktir.
  • Doğru yapılandırılmış bir PCI uyumlu altyapı hızdan vazgeçmeden güvenlik sağlar; optimizasyon ve doğru kaynak yönetimi şarttır.
  • Firewall kuralları, port yönetimi ve yazılım sürümleri PCI uyumluluğunun merkezindedir; düzenli güncelleme ve izleme gereklidir.
  • Taşıma ve yayına alma süreçleri planlı yapılmalı; paylaşımlı hosting ile yönetilenler ve VDS/cloud kullananlar sorumlulukları farklıdır.

PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı lafını çok duyup tam olarak neye bulaştığınızı bilmiyorsanız, tam yerindesiniz. Online ödeme alıyorsanız – ister küçük bir WooCommerce dükkanı, ister yüksek trafikli bir marketplace yönetin – kart bilgilerinin geçtiği her nokta sizin sorumluluğunuzda. Burada mesele sadece “SSL olsun, gerisi gelir” değil. Kart verisinin nerede tutulduğu, kimlerin erişebildiği, log’ların nasıl saklandığı, hatta sunucuda açık kalan gereksiz bir port bile direk güvenlik ve uyumluluk konusu.

İşin güzel yanı, root erişimiyle yaşayan biri olsanız da, sadece panelden site yöneten biri olsanız da mantık aynı: Kart verisi asla ortalıkta dolaşmaz, iletişim kanalları şifreli olur, sunucuya kim girecekse kaydı tutulur ve gereksiz her şey kapatılır. Dürüst olmak gerekirse, PCI DSS uyumu ilk bakışta “kurumsal denetim kabusu” gibi duruyor ama parça parça böldüğünüzde aslında gayet yönetilebilir. Şöyle düşünün: Trafiği yüksek bir e-ticaret sitesini ayakta tutmak için yaptığınız optimizasyonların çok benzeri, burada güvenlik tarafında karşınıza çıkıyor.

Hizmet Türü Detay
Hizmet Türü E-Ticaret Hosting / VDS / Cloud Sunucu
Hedef Kitle Online mağaza sahipleri, ajanslar, geliştiriciler
Zorluk Seviyesi Orta – İleri (Altyapı seviyesine göre değişir)
Öne Çıkan Özellik Güvenlik ve yasal uyumluluk

PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı Hakkında Bilmeniz Gerekenler

Aslında durum tam olarak şöyle: PCI DSS, kart bilgisi işleyen, ileten ya da saklayan herkes için oluşturulmuş bir güvenlik standardı. Yani sanal POS sizdeyse, kart formu sitenizdeyse ya da gateway üzerinden bile olsa ödeme akışı sitenizden geçiyorsa, bu oyunun içindesiniz. Bu yüzden PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı dediğimizde sadece bankaların değil, sıradan görünen bir WooCommerce veya OpenCart kurulumunun da mevzuya dahil olduğunu unutmamak gerekiyor.

Genelde en büyük yanılgı şu oluyor: “Ben kartları zaten sunucumda saklamıyorum, o zaman PCI beni ilgilendirmez.” Maalesef öyle değil. Kart bilgisi bana gelmiyor sanıyorsunuz ama form sizin sitenizde render oluyorsa, tarayıcı ile ödeme sağlayıcısı arasındaki yolun güvenliğinden de siz sorumlusunuz. Şöyle düşünün: Aracının fren balatalarını takan siz değilsiniz belki ama arabanın lastiği patlarsa müşteriniz yine sizi suçlayacak.

Başka bir efsane de şu: “Yüksek güvenlik = yavaş site.” Doğru yapılandırılmış bir PCI DSS uyumlu altyapıda bu geçerli değil. Tıpkı daha çok CPU çekirdeğinin her zaman daha hızlı site anlamına gelmemesi gibi; güvenlik ayarlarını da akıllıca yaparsanız, hızdan feragat etmek zorunda kalmazsınız. Güçlü SSL, sıkı firewall ve doğru cache kombinasyonu ile hem hızlı hem uyumlu bir yapı kurmak mümkün.

Yapılandırma ve Yönetim: Adım Adım

Kaynak Yönetimi – Limitleri Zorlamayın

PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı kurarken herkes önce güvenlik kurallarına kitleniyor ama altyapı zayıfsa güvenlik de kağıt üzerinde kalıyor. Yoğun kampanya dönemlerinde CPU %100, RAM tavan yapıyorsa, uygulama hata vermeye başlar, log’lar şişer ve bu karmaşada gerçek bir saldırıyı görmeniz iyice zorlaşır.

İşin püf noktası şurada: Uygulamanızı ve veritabanınızı, kart ödeme adımına geldiğinizde minimum ek yük üretecek şekilde optimize etmelisiniz. PHP-FPM pool limitleri, MySQL bağlantı sınırları, disk I/O kullanımı… Hepsi, özellikle checkout sırasında kritik hale geliyor. Genelde kullanıcılarımızdan duyduğumuz en büyük şikayet şu oluyor: “Sadece ödeme aşaması yavaş.” Bu durumda ilk bakmanız gereken yer, tam da o anda patlayan sorgu sayısı ve I/O kullanımı.

“Aşırı kaynak kullanımı” uyarısı aldığınızda panik yapmadan önce kontrol edeceğiniz ilk dosya, sunucu log’ları olmalı. Apache/Nginx error log ve PHP error log çıktıları size saniyeler içinde fikir verir. Çoğu zaman sorun, kaba bir SQL sorgusu ya da gereksiz eklentiler yüzünden şişen bir PHP sürecidir, doğrudan “sunucu yetersiz” demeden önce bu log’lara göz atın.

Güvenlik Duvarı ve Port Ayarları

Dış dünyaya açık her port, potansiyel bir açık penceredir. PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı açısından firewall yapılandırması, “sonra bakarız” denilecek bir detay değil, tam merkezde duruyor. Kart verisinin geçtiği network segmenti mümkün olduğunca izole olmalı; en azından gereksiz tüm servisler kapatılmış olmalı.

Şöyle düşünün: SSH, FTP, SMTP, hatta bazen eski kalmış bir test uygulaması bile saldırgan için giriş noktası olabilir. Pratik bazı adımlar:

  • SSH portunu varsayılan 22’den farklı bir porta alın, şifre ile giriş yerine mutlaka anahtar (key) tabanlı giriş kullanın.
  • FTP yerine mümkünse SFTP veya FTPS kullanın, kullanmıyorsanız FTP servislerini tamamen kapatın.
  • cPanel, phpMyAdmin gibi panellere IP bazlı kısıtlama getirin veya en azından güçlü rate limit uygulan.
  • Yalnızca zorunlu portları açık bırakın: 80/443 (ve yönetim için gerekiyorsa belirli IP’lere açık özel portlar).

Burada ufak bir not: Güvenlik duvarı kuralları karmaşıklaştıkça debug zorlaşır. O yüzden kural eklerken mümkün olduğunca etiketleyin, temiz tutun. Bağlantı sorunlarında firewall log’ları çoğu zaman DNS’ten daha önce gerçeği söyler.

Yazılım Uyumluluğu ve PHP/Veritabanı Seçimi

“En güncel sürüm en güvenli olandır” cümlesi genel olarak doğru ama e-ticaret tarafında her zaman yeterli değil. Çünkü PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı için hem güvenli hem de stabil bir stack’e ihtiyacınız var. Yani PHP’nin en yeni sürümünü kurup, eklentilerinizin yarısının patlaması da çözüm değil.

İdeal senaryo şu: LTS (Long Term Support) seviyesinde, güvenlik güncellemeleri hâlâ gelen bir PHP ve veritabanı sürümü kullanmak. Örneğin, WooCommerce için önerilen PHP sürümlerine paralel gitmek mantıklı. Aynı şekilde MySQL/MariaDB versiyonunu da hem güvenlik patch’i alan, hem de eklentilerinizle sorunsuz çalışan bir sürümde tutmalısınız.

Veritabanı optimizasyonu için altın kural: “Checkout tablolarını ayrı ve hafif tutun.” Sipariş, sepet ve ödeme log’larını tek bir devasa tabloda toplamak yerine, mantıklı şekilde parçalara bölüp indeksleri düzgün tasarlarsanız, hem performans hem de izlenebilirlik artar. Ağır raporlama sorgularını canlı ödeme trafiğiyle aynı tabloda çalıştırmak, özellikle kampanya dönemlerinde tam bir kabus yaratır.

Uygulama: Kurulum ve Yayına Alma

Terminali açın, şu komutu girin demiyorum ama mantık şu: Önce mevcut altyapınızı ve bağımlılıkları kontrol edin. Hangi PHP sürümü, hangi veritabanı, hangi web sunucusu (Apache/Nginx/LiteSpeed) kullanılıyor; SSL sertifikanız güncel mi; firewall yapınız nasıl? PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı kurmadan önce bu envanteri çıkarmak, ileride baş ağrısını ciddi oranda azaltıyor.

Sonra config dosyalarına dönün: Web sunucu konfigürasyonunda HTTPS yönlendirmeleri, HSTS gibi ayarların doğru olduğundan emin olun. Uygulama tarafında ise “kart bilgisi log’lanmasın, debug mod canlıda açık olmasın, hata mesajları kullanıcıya ham SQL hatası olarak dönmesin” gibi basit ama kritik ayarları kontrol edin. Genelde 5–10 dakikalık bir gözden geçirme bile ciddi riskleri ortadan kaldırabiliyor.

Bu süreçte altyapı tarafını olabildiğince sade tutmak büyük avantaj. Paylaşımlı hosting’deyseniz, PCI DSS’ın tam kapsamını sizin adınıza sağlayıcı karşılar; siz daha çok uygulama katmanına odaklanırsınız. VDS veya cloud sunucu kullanıyorsanız, network, firewall, güncelleme gibi katmanlardan da siz sorumlusunuz. İhtiyaca göre web hosting ya da VDS seçimi de bu yüzden önemli.

Bu arada, performansınızı artırmak için E-Ticaret sayfamızdaki diğer çözümlere de bakabilirsiniz. Özellikle kampanya dönemlerinde checkout performansı ile güvenlik ayarlarının birbirini boğmaması için oradaki öneriler işe yarıyor.

Sıkça Sorulan Sorular

PCI DSS uyumlu bir yapı gerçekten güvenli mi?

Evet, doğru uygulandığında kart verisini koruma konusunda oldukça güçlü bir çerçeve sunuyor. Ama “kurallara uyduk, artık dokunmayalım” değil; düzenli güncelleme, log takibi ve zafiyet taramasıyla desteklenmesi gerekiyor. Güvenliğin hiç bitmeyen bir süreç olduğunu kabul ederseniz, PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı sizin için sağlam bir omurga olur.

Fiyat/Performans dengesini nasıl kurarım?

Her zaman en pahalı sunucu en güvenli demek değil. İşin püf noktası, trafiğinize ve uygulama yapınıza uygun doğru katmanı seçmek. Küçük ve orta ölçekli siteler için iyi yapılandırılmış bir WordPress hosting çözümü gayet yeterli olabilir. Yüksek hacimli, çoklu mağaza yapılarında ise VDS veya cloud sunucu ile network, firewall ve yedekleme kontrolünü elinizde tutmak daha mantıklı. Asıl tasarruf, doğru yapılandırma ile kaynağı boşa harcamamaktan geliyor.

Taşıma (Migration) işlemi zor mu?

Doğru planlanmazsa zorlaşabiliyor, özellikle de canlı ödeme alan sitelerde. Ama yapılandırmayı adım adım dokümante eder, önce test ortamına taşıyıp deneme yaparsanız süreç gayet akıcı işler. Biz Bilhost tarafında, yeni altyapıya geçerken e-ticaret sitelerinin kesinti ve veri kaybı yaşamaması için taşıma sürecini mümkün olduğunca otomatikleştiriyoruz. Sunucu taşıma, DNS güncelleme, SSL yeniden kurulum gibi adımlarda destek olarak checkout sürecinin olabildiğince sorunsuz devam etmesini hedefliyoruz.

Sorun Muhtemel Neden Çözüm
Site Yavaş Açılıyor Zayıf önbellekleme veya yüksek sorgu sayısı Redis/Litespeed Cache kurulumu yapın
Bağlantı Zaman Aşımı Firewall engeli veya hatalı DNS Port izinlerini kontrol edin
Ödeme Adımında Hata Sanal POS entegrasyon hatası veya karışık redirect yapısı Ödeme sağlayıcının dokümantasyonuna göre callback/return URL’lerini ve SSL sertifikanızı kontrol edin
Güvenlik Taramasında Açık Görünmesi Güncel olmayan PHP/uygulama sürümleri veya açık bırakılmış test dizinleri Gereksiz dizinleri kapatın, yazılımları güncelleyin, eksikse mutlaka SSL sertifikası kurun

Sonuç

İşin özü şu: Kartla ödeme alan her e-ticaret sitesinin arka planda PCI DSS Uyumluluğu: Güvenli Ödeme Altyapısı mantığıyla hareket etmesi şart. Teknoloji ne kadar karmaşık görünürse görünsün, doğru yapılandırma hayat kurtarır. Sunucuyu zorlamadan kaynakları yönetmek, gereksiz portları kapatmak, yazılımları güncel tutmak ve kart verisini asla ortalıkta dolaştırmamak; hepsi birer küçük adım ama toplamda büyük güvenlik farkı yaratıyor.

Eğer bir yerde takılırsanız biz buradayız, yorumlarda sorularınızı bekliyorum. Özellikle mevcut sitenizi PCI DSS mantığına göre nasıl iyileştirebileceğinizi konuşmak istiyorsanız, altyapı detaylarınızı paylaştığınızda çok daha somut öneriler çıkarabiliriz.

Post Views: 15
Bilhost
Yazarın Profili
İlginizi Çekebilir
woocommerce-sunucu-secimi
Ocak 20, 2026
WooCommerce Sunucu Seçiminde 5 Önemli Nokta

Benzer Yazılar

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir