İngilizce
Almanca
İspanyolca
Fransızca
Türkçe
Kılavuzlara Geri Dön
PCI DSS Uyumu: Türk Tüccarlar için 2026 Ödeme Geçidi Rehberi
PCI DSS v4.0.1, 31 Mart 2025'te tam anlamıyla yürürlüğe girdi. Herhangi bir biçimde kart kabul ediyorsanız kapsam içindesiniz; soru yalnızca ne kadar derin. Kullandığınız geçit türü, işletmenizin büyüklüğünden çok daha fazla, PCI uyumunun size 10 dakikalık bir anket mi yoksa yıllık 100.000 USD'lik bir denetim mi olacağını belirler.
Bu rehber Türk tüccar perspektifinden 12 temel gerekliliği, dört üye işyeri seviyesini, sekiz SAQ türünü ve kapsamınızı küçülten mimari seçimleri açıklar. Ayrıca kripto ödeme geçitlerinin kripto bacağı için PCI kapsamını nasıl tamamen kaldırdığını; Türkiye'de bu bacağın sadece ihracat tahsilatı olduğunu hatırlatır.
Kripto Ödemelerini Kabul Ederek İşinizi Geliştirin
PCI DSS Nedir ve Kim Zorlar?
Ödeme Kartları Endüstrisi Veri Güvenliği Standardı (PCI DSS), PCI Güvenlik Standartları Konseyi tarafından belirlenen sözleşmesel bir standarttır; Visa, Mastercard, American Express, Discover ve JCB tarafından ortak işletilir. Bir yasa değildir ancak kart kabul eden her üye işyeri acquirer (Türkiye'de Garanti BBVA, İş Bankası, Akbank, Yapı Kredi, QNB, iyzico, PayTR, Param) sözleşmesi üzerinden uyma yükümlülüğü altındadır.
Güncel sürüm PCI DSS v4.0.1; 2024'te yayımlandı, 31 Mart 2025'ten itibaren tam uygulamadadır. v3.2.1'in yerini aldı ve önceki sürüme göre yaklaşık 50 yeni gereklilik ekledi.
Yaptırım pratik olup devlet eliyle değildir: uyumsuz üye işyerleri acquirer'dan aylık 5.000-100.000 USD ceza, artan işlem ücretleri ve nihayetinde kart işleme hakkının kaybıyla karşılaşır. İhlal sonrası uyumsuzluk davalar, adli tıp maliyetleri ve itibar kaybıyla hasarı çarpar.
12 Temel PCI DSS Gereklilik
Altı hedef altında organize edilmiştir:
| Hedef | Gereklilik |
|---|---|
| Güvenli ağ kur ve sürdür | 1. Ağ güvenlik kontrollerini (güvenlik duvarları) kur ve sürdür |
| 2. Tüm sistem bileşenlerine güvenli yapılandırmalar uygula | |
| Kart sahibi verisini koru | 3. Saklanan kart sahibi verisini koru (şifreleme, truncation, tokenizasyon) |
| 4. İletim sırasında güçlü kriptografi ile koru | |
| Güvenlik açığı yönetim programı | 5. Tüm sistemleri zararlı yazılımdan koru ve anti-virüsü güncelle |
| 6. Güvenli sistem ve uygulamalar geliştir ve sürdür | |
| Güçlü erişim kontrolü | 7. Kart sahibi verisine erişimi iş gereksinimine göre kısıtla |
| 8. Erişimi kimliklendir ve doğrula (MFA zorunlu) | |
| 9. Kart sahibi verisine fiziksel erişimi kısıtla | |
| Düzenli izleme ve test | 10. Tüm erişimi logla ve izle |
| 11. Sistem ve ağ güvenliğini düzenli test et (ASV taraması, pentest) | |
| Bilgi güvenliği politikası | 12. Bilgi güvenliği politikası sürdür |
v4.0.1 hedefli risk analizi, özelleştirilmiş yaklaşımlar, CDE'ye her erişim için MFA ve Magecart tarzı saldırılara karşı istemci tarafı script bütünlüğü izlemesi ekledi.
Üye İşyeri Seviyeleri: 1'den 4'e
PCI seviyeleri her kart ağı tarafından işlem hacmine göre belirlenir. Visa'nın tanımları (diğerleri benzer):
| Seviye | Hacim | Doğrulama |
|---|---|---|
| 1 | Yıllık >6 milyon kart işlemi veya ihlal yaşamış her tüccar | QSA yerinde yıllık denetim + üç aylık ASV taraması |
| 2 | 1-6 milyon | Yıllık SAQ (veya QSA), üç aylık ASV |
| 3 | 20.000-1.000.000 e-ticaret | Yıllık SAQ, üç aylık ASV |
| 4 | <20.000 e-ticaret veya <1 milyon kart-mevcut | Yıllık SAQ, acquirer politikasına göre tarama |
İhlal, hacme bakılmaksızın her üye işyerini Seviye 1'e atar. Hizmet sağlayıcıların (ödeme geçitlerinin çoğu) yılda 300.000 işlem eşiğine göre ayrı iki seviyeli sınıflandırması vardır.
SAQ Türleri: En Önemli Belge
Seviye 2-4 için uyum Öz Değerlendirme Anketi (SAQ) ile belgelenir. Birkaç varyant var ve uzunluk/maliyet açısından ciddi fark var:
| SAQ | Kapsam | Soru (yaklaşık) |
|---|---|---|
| A | E-ticaret tüccarları; kart sahibi verisini tamamen PCI uyumlu üçüncü tarafa devreden (yönlendirme veya hosted fields iframe) | ~24 |
| A-EP | Siteniz işlem güvenliğini etkiler ama kart verisine değmez | ~191 |
| B | Yalnızca imprint veya standalone dial-up terminal | ~41 |
| B-IP | Standalone IP bağlı PTS terminal | ~86 |
| C-VT | Sanal terminale manuel kart girişi | ~80 |
| C | İnternet bağlantılı ödeme uygulaması, e-ticaret yok | ~152 |
| P2PE | Doğrulanmış P2PE çözümü | ~35 |
| D | Diğer her şey. Saklanan kart verisi burada. | ~329 |
Mimari seçim neredeyse tamamen SAQ-A veya A-EP bölgesine girip orada kalmakla ilgili. SAQ-A (24 soru) ile SAQ-D (329 soru) arası 10 kat uyum maliyeti farkı.
Geçit Türü PCI Kapsamınızı Nasıl Değiştirir
PCI kapsamınız kart sahibi verisinin nereden geçtiğiyle belirlenir:
- Hosted geçit (yönlendirme): Kart verisi sistemlerinize dokunmaz. SAQ-A. En basit durum. Türkiye'de iyzico ve PayTR hosted modu.
- API geçidi + hosted fields / drop-in SDK: Kart verisi alıcının tarayıcısından TLS üzerinden doğrudan geçide; sunucunuzu atlar. SAQ-A.
- API geçidi + sunucu tarafı yakalama: Kart verisi sunucunuzdan akar. Tam SAQ-D. Modern kurulumlarda nadir; neredeyse her zaman hata.
- Self-hosted geçit: Kart verisi sunucunuzdan akar ve saklanabilir. Tam SAQ-D. Bakım pahalı.
- Kripto ödeme geçidi: Kart sahibi verisi asla yoktur. Hiç PCI kapsamı yok.
Modern kurulumların çoğu için doğru mimari seçim: API geçidi + hosted fields; SAQ-A uyumu ve yerel UX. Başka yol daha fazla uyum maliyeti karşılığında yeterince fayda vermez.
Yaygın Kapsam Tuzakları
Üye işyerleri farkında olmadan PCI kapsamını şişirir:
- MOTO (posta/telefon sipariş) siparişleri. Personelin CRM'e kart numarası girmesi CRM'i kapsama sokar.
- E-posta ile kart kabulü. Asla. Güvenli pay-by-link kullanın.
- Hosted fields yanlış yapılandırması. Siteniz PSP iframe'ine JS enjekte edebiliyorsa SAQ-A yerine SAQ A-EP'ye düşebilirsiniz.
- Checkout sayfasında istemci tarafı script'ler. v4.0.1 altında ödeme sayfasındaki her script'in bütünlüğü izlenmeli. Analitik, sohbet widget'ları ve tag manager dahil.
- Son 4 hane + son kullanım saklama. Kurallara göre truncate edilirse kapsam dışı; kuralı yanlış uygularsanız kapsam içi.
- Kart numarası içeren çağrı kayıtları. Saklanan ses kapsama girer. Kart girişi sırasında kaydı durdurun veya descoping çözümü kullanın.
v4.0.1'in 6.4.3 gerekliliği (ödeme sayfalarındaki istemci tarafı script'lerin envanteri, yetkilendirilmesi, izlenmesi) 2026'da Türk tüccarların uyum sağlaması gereken en büyük değişikliktir.
Kripto Ödeme Geçitleri ve PCI Kapsamı
Uyum maliyeti perspektifinden kripto geçitleri tam burada ilginçleşir. Bir kripto ödeme geçidi kart sahibi verisiyle asla ilgilenmez. PAN yok, CVV yok, son kullanım yok, ihraççı yok, kart ağı yok. Dolayısıyla:
- Yalnızca kripto kabul eden bir tüccarın PCI DSS kapsamı sıfırdır. Anket yok, tarama yok, QSA yok.
- Hem kart hem kripto kabul eden bir tüccar hâlâ kart-tarafı PCI kapsamına sahiptir; kripto bacağı buna eklenmez.
- Fiat-kripto on-ramp akışlarında (alıcı kartla fonlar, geçit kripto'ya çevirir) fiat bacağında PCI kapsamı vardır; bunu geçit kendi SAQ A-EP veya tam QSA denetimiyle yutar.
Saf bir kripto iş için uyum tasarrufu gerçektir: 20.000-200.000 USD yıllık PCI overhead'i yok. Karma yığında kripto eklemek PCI maliyetini artırmaz. Bu, dijital mal, iGaming, forex ve yüksek hacimli dikeyler için kripto raylarının sessiz cazibe nedenidir.
2026 için Pratik PCI Uyum Kontrol Listesi
- Üye işyeri seviyenizi bilin. Emin değilseniz acquirer'ınıza sorun.
- SAQ'ınızı bilin. Mümkün olan her yerde SAQ-A veya A-EP'ye doğru mimari tasarlayın.
- Hosted fields'lı API geçidi kullanın. UX kontrolünü kaybetmeden SAQ-A.
- Ödeme sayfalarındaki istemci tarafı script'lerin envanterini çıkarın. Her script'i belgeleyin, değişiklikleri izleyin, gereksizleri kaldırın.
- MFA'yı zorunlu kılın kart verisine dokunan her sisteme erişim için. v4.0.1 altında zorunlu.
- Üç aylık ASV taramaları yapın. Onaylı Tarama Satıcısı tarafından dış ağ taramaları.
- Yıllık penetrasyon testi. Seviye 1 ve 2 için zorunlu, tümü için en iyi uygulama.
- Olay müdahale planı sürdürün. Yıllık test edin.
- Personeli yıllık eğitin. Gereklilik 12 açık.
- Satıcı kapsamını izleyin. Kullandığınız hizmet sağlayıcıları PCI uyumlu olmalı; AOC (Uyum Beyanı) yazılı alın.
Kripto Ödemelerini Kabul Ederek İşinizi Geliştirin
Başlayın
Sıkça Sorulan Sorular
PCI DSS, kart kabul eden tüm üye işyerlerinin kart sahibi verisini korumak için uyması gereken güvenlik standardıdır. Ağ güvenliği, şifreleme, erişim kontrolü, izleme ve politikayı kapsayan 12 gereklilik içerir. Uyumsuzluk ceza ve kart işleme hakkı kaybı riski doğurur.
Evet, her zaman; ama kapsam geçidin nasıl entegre edildiğine bağlı. Hosted geçitler ve hosted fields'lı API geçitleri SAQ-A (asgari kapsam) sağlar. Self-hosted geçitler SAQ-D (azami) yapar.
SAQ-A en kısa Öz Değerlendirme Anketidir (~24 soru). Kart sahibi veri işlemesini tamamen PCI uyumlu üçüncü tarafa (tipik olarak yönlendirme veya hosted fields) dışsallaştıran e-ticaret tüccarlarına uygulanır.
Evet. v4.0.1, 31 Mart 2025'ten itibaren tam uygulamada; v3.2.1'in yerini aldı. 2026'da uyum doğrulayan her Türk tüccar v4.0.1'e göre doğrular.
SAQ-A üye işyerleri için yıllık birkaç yüz ila birkaç bin dolar (SAQ + ASV taraması). SAQ-D için ortam karmaşıklığına bağlı yıllık 20.000-200.000+ USD; Seviye 1 için QSA ücretleri dahil.
Hayır. Kripto ödemeler kart sahibi verisi içermez, bu yüzden PCI DSS işlemin kripto bacağına uygulanmaz. Yalnızca kripto kabul eden tüccarların PCI kapsamı sıfırdır. Türkiye'de bu kurgu yalnızca yurt dışı alıcıdan ihracat tahsilatı olarak yasaldır.
Acquirer'dan aylık 5.000-100.000 USD ceza, daha yüksek işlem ücretleri ve nihayetinde kart işleme hakkının kaybı. İhlal sonrası uyumsuzluk sorumluluk ve adli tıp maliyetlerini çarpar.
İkisi de. Geçit hizmet sağlayıcı olarak kendi uyumundan sorumludur ve size Uyum Beyanı (AOC) sağlamalıdır. Siz kendi ortamınızdan sorumlusunuz. Uyumlu bir geçit kullanmanın sizi otomatik uyumlu yaptığını asla varsaymayın.
SAQ veya yerinde denetim yıllık; ASV taramaları üç aylık. Penetrasyon testleri Seviye 1 ve 2 için yıllık, artı her önemli değişiklik sonrası.
Evet, doğru uygulanırsa ciddi oranda. Tokenizasyon PAN'ı geçit dışında işe yaramayan bir tokenle değiştirir; sistemlerinizi saklanan kart verisi kapsamı dışında tutar. Yakalama için hosted fields ile birleşince SAQ-A'ya en kısa yoldur.
