POS Güvenliği Nedir? Kart Okuyucunuzu Hangi Tehditler Bekliyor?
Kasada kart okuttuğunuzda ya da müşterinizin kartını terminalden geçirdiğinizde, o birkaç saniyelik işlemin arkasında çok sayıda sistem devreye giriyor. Kart bilgileri terminalden bankaya, bankadan işlem merkezine gidiyor. Bu yolculuğun her adımı bir saldırı fırsatı olabilir. Dünyaca ünlü perakende zincirleri bu yüzden milyonlarca müşterinin kart bilgisini kaybetti.
Peki sizin kasanız güvende mi? Bu yazıda POS güvenlik testinin ne olduğunu, hangi tehlikelere karşı yapıldığını, yasal zorunlulukları ve kendinizi nasıl koruyabileceğinizi sade bir dille anlatıyoruz.
Temel tehlikeler: Bellek kazıma yazılımları, ağ dinleme, terminale
takılan gizli aparatlar ve temassız ödeme açıkları.
Yasal durum: Kart işleyen her işletme PCI DSS kapsamında.
Türkiye’de GİB YN ÖKC, BDDK ve KVKK ek yükümlülükler getiriyor.
En etkili korunma: P2PE şifreleme ve tokenizasyon ile kart bilgisi
sisteminizde hiç açık metin olarak bulunmuyor.
1. Yasal Zorunluluklar: Hangi Kurallar Sizin İçin Geçerli?
Ödeme sistemleri güvenliği hem küresel hem yerel kurallarla çerçevelenmiş bir alan. Hangi kuralların sizin için geçerli olduğunu bilmek, doğru adımları atmanın ilk şartıdır.
PCI DSS nedir ve neden önemli?
PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), Visa ve Mastercard gibi büyük ödeme şirketlerinin birlikte oluşturduğu bir güvenlik kurallar bütünüdür. Kart bilgisi işleyen, saklayan ya da ileten her işletme — küçük ya da büyük fark etmeksizin — bu kurallara uymak zorunda.
PCI DSS yükümlülükleri işlem hacmine göre dört seviyeye ayrılıyor. Seviyeniz ne olursa olsun temel hedef aynı: kart sahiplerinin verilerini korumak. 2024’te yayımlanan PCI DSS 4.0 sürümüyle birlikte “bir kez uyu, unut” anlayışı bitti. Artık sürekli güvenlik anlayışı gerekiyor. Bu sürümün en önemli yenilikleri şunlar: İki adımlı doğrulama (MFA) zorunlu hale geliyor, eski ve zayıf şifreleme protokolleri yasaklanıyor, sistem kayıtlarının çok daha dikkatli incelenmesi isteniyor.
| Seviye | Yıllık İşlem Sayısı | Ne Yapmanız Gerekiyor? |
|---|---|---|
| Seviye 1 | 6 milyonun üzerinde | Bağımsız uzman denetçi (QSA) tarafından yerinde denetim ve resmi rapor |
| Seviye 2 | 1 – 6 milyon | Yıllık öz değerlendirme anketi + 3 ayda bir dış tarama |
| Seviye 3 | 20 bin – 1 milyon | Yıllık öz değerlendirme anketi + 3 ayda bir dış tarama |
| Seviye 4 | 20 binin altında | Yıllık öz değerlendirme anketi (kart şemasına göre değişir) |
Türkiye’ye özgü kurallar: GİB, BDDK ve KVKK
Türkiye’de faaliyet gösteriyorsanız yalnızca PCI DSS yetmez; üç yerel düzenleme daha devreye giriyor.
GİB Yeni Nesil ÖKC (YN ÖKC): Gelir İdaresi Başkanlığı’nın zorunlu kıldığı bu sistem, mali verileri ve ödeme verilerini tek bir güvenli platformda birleştiriyor. YN ÖKC cihazları için üç zorunluluk var: (1) Cihaza yetkisiz dokunulduğunda bunu anında anlayan elektronik mühür. (2) Verilerin 10 yıl boyunca bozulmadan saklanmasını sağlayan donanım. (3) Cihaz ile merkez arasındaki tüm iletişimin şifreli olması.
BDDK: Bankacılık Düzenleme ve Denetleme Kurumu, bankaların ve ödeme şirketlerinin güvenliğini denetliyor. Düzenli sızma testi yaptırmak ve siber saldırılara karşı hazırlıklı olmak bu kapsamda zorunlu.
KVKK: Kişisel Verilerin Korunması Kanunu, kart bilgilerini kişisel veri sayıyor. Bu verileri ne zaman silmeniz gerektiği, hangi amaçla kullanabileceğiniz ve nasıl saklayacağınız KVKK kapsamında düzenleniyor.
2. POS Terminali Nasıl Çalışır? Kartınız Nereye Gidiyor?
Kasada kart okutmak saniyeler sürüyor. Ama o saniyeler içinde bilgileriniz birden fazla sistem arasında yolculuk yapıyor. Bu yolculuğun haritasını bilmek, neyi neden test etmemiz gerektiğini de açıklıyor.
Çipli kart (EMV) neden manyetik şeritten daha güvenli?
EMV, Europay, Mastercard ve Visa tarafından geliştirilen çipli kart standardıdır. Eski manyetik şeritli kartlarda kart bilgileri değişmez; bir kez çalındı mı defalarca kullanılabilir. EMV çipli kartlarda ise her işlemde farklı bir tek kullanımlık şifreli kod üretiliyor. Kart bilgisi kopyalansa bile o kod bir daha işe yaramıyor.
EMV sertifikasyonu üç aşamada yapılıyor. Birinci aşama terminalin fiziksel ve elektriksel özellikleriyle kart okuma kabiliyetini test ediyor. İkinci aşama terminalin şifreleme işlemlerini doğru yapıp yapmadığını denetliyor. Üçüncü aşama ise terminalin banka ve işlem merkezi ile eksiksiz çalışıp çalışmadığını doğruluyor. Bu üç aşamayı geçemeyen bir terminal sahaya çıkamıyor.
POS terminali aslında ne?
Bir POS terminali küçük bir bilgisayardır. İçinde “Güvenli Kriptografik Cihaz” adı verilen özel bir donanım parçası var. Bu parça şifreleme anahtarlarını fiziksel olarak koruyor. Terminale yetkisiz birileri müdahale ettiğinde bu donanım anahtarları otomatik olarak siliyor — yani çalınan bir terminal bile kullanılamaz hale geliyor.
3. Saldırganlar Ne Yapıyor? POS’a Yönelik Tehditler
POS sistemlerine yönelik saldırılar hem fiziksel (elle dokunarak) hem de dijital (internet üzerinden) yöntemlerle gerçekleşiyor. Bu tehditleri anlamak, doğru önlemleri almanın temelidir.
Bellek kazıma saldırıları (RAM Scraping)
Kart bir terminalden geçtiğinde, kart bilgisi işlenirken çok kısa bir süreliğine terminalin belleğinde (RAM) açık halde bulunur. Saldırganlar önceden sisteme yerleştirdikleri gizli bir yazılımla bu belleği tarayıp kart bilgilerini çalıyor. Bu yöntem, dünyanın en büyük kart ihlallerinde kullanıldı.
Bu yazılımlar aylarca fark edilmeden çalışabiliyor. Sisteme nasıl giriyor? Genellikle çok basit yollardan: sahte bir e-posta, zayıf bir uzak erişim şifresi ya da güncellenmemiş bir yazılımdaki açık.
Ağ üzerinden saldırılar
Kart bilgisi terminalden sunucuya giderken ağdan geçiyor. Bu iletişim yeterince korunmuyorsa saldırganlar araya girebilir. En sık karşılaşılan üç senaryo:
- Ağ dinleme: Şifrelenmemiş ağ trafiğinin izlenerek kart verilerinin ele geçirilmesi.
- Şifrelemeyi kırmak: Bağlantının eski ve zayıf bir şifreleme yöntemine zorla düşürülüp iletişimin okunması.
- Ağın yanlış bölünmesi: POS terminallerinin misafir Wi-Fi veya diğer ağlarla aynı segmentte olması. Bu durumda mağazanın müşteri Wi-Fi’ına bağlanan biri, POS sistemine de geçebilir hale geliyor.
Fiziksel müdahaleler (Skimming)
Saldırganlar kart okuyucuların üzerine gizli aparatlar takıyor. Bu aparatlar kart bilgilerini kopyalıyor ve tespit etmek çok zor. Bunun yanında USB veya seri port üzerinden doğrudan terminale müdahale eden daha gelişmiş saldırılar da gerçekleştiriliyor.
| Tehdit | Nasıl yapılır? | Ne olur? | Fark edilmesi ne kadar zor? |
|---|---|---|---|
| Bellek kazıma | Sahte e-posta veya zayıf şifre ile sisteme girilir | Aylarca kart bilgisi sızar | Çok zor — aylarca fark edilmeyebilir |
| Ağ dinleme | Şifresiz ağ trafiği izlenir | İletim sırasında kart bilgisi çalınır | Orta — ağ izleme araçlarıyla bulunabilir |
| Yanlış ağ bölümlemesi | Açık ağ yapısından POS’a geçilir | POS ağına yetkisiz erişim | Kolay — ağ denetiminde görünür |
| Gizli aparat (skimming) | Terminale fiziksel erişimle aparat takılır | Kart manyetik şerit bilgisi kopyalanır | Kolay — gözle fark edilebilir |
| Donanım yazılımı müdahalesi | USB veya seri port üzerinden yazılım değiştirilir | PIN bilgisi çalınır, sahte mesaj gösterilebilir | Çok zor — donanım analizi gerekir |
4. POS Güvenlik Testi Nasıl Yapılır?
POS güvenlik testi, “bir düğmeye basıp tarat” işlemi değildir. Fiziksel terminalden uygulamalara, ağdan mobil cihazlara kadar çok katmanlı bir inceleme gerektirir.
VAPT nedir? (Zafiyet tespiti + sızma testi)
VAPT iki aşamalı bir süreçtir. Birinci aşamada (zafiyet değerlendirmesi) sistemdeki bilinen açıklar araçlarla tespit edilir. İkinci aşamada (sızma testi) bu açıklar gerçek bir saldırgan bakış açısıyla denenir: “Bu açık gerçekten kullanılabilir mi?” sorusu yanıtlanır. Sadece açık listelemek yetmez; o açığın gerçek tehlike oluşturup oluşturmadığı kanıtlanmalıdır.
| Aşama | Ne yapılır? | Amacı nedir? |
|---|---|---|
| Keşif | Ağ haritalama, aktif sistemlerin ve portların tespiti | Saldırı yüzeyini tam olarak görmek |
| Açık tarama | Bilinen güvenlik açıklarının otomatik araçlarla bulunması | Kritik ve acil açıkları önceliklendirmek |
| Sızma denemesi | Gerçek saldırı teknikleriyle sisteme girme denemesi | Açığın gerçekten kullanılabilir olup olmadığını kanıtlamak |
| Yetki yükseltme | Sınırlı erişimden yönetici yetkisine geçiş denemesi | Tam sistem kontrolü elde edilip edilemeyeceğini test etmek |
| Raporlama | Bulguların risk sıralaması ve düzeltme önerileri | İşletmeye öncelikli ve uygulanabilir yol haritası sunmak |
Uygulama ve API testleri neden gerekli?
Bugün perakendeciler yalnızca fiziksel POS değil, mobil uygulamalar ve web servisleri üzerinden de ödeme alıyor. Bu kanallar da test kapsamına girmek zorunda.
Kaynak kod analizi (SAST), yazılımın içine gömülü sabit şifreler ve zayıf kodlama hatalarını buluyor. Çalışan uygulama üzerinde test (DAST) ise giriş doğrulama, oturum yönetimi ve yetkilendirme açıklarını arıyor. API testleri, POS terminali ile banka sunucusu arasındaki iletişim noktalarını güvenlik açısından denetliyor.
Mobil POS cihazları için özel testler
Mobil POS (mPOS) cihazları Bluetooth veya Wi-Fi üzerinden akıllı telefonlara bağlanıyor. Bu kanallar özel test senaryoları gerektiriyor:
- Bluetooth eşleşme sırasında kullanılan anahtarlar havadan dinlenerek çalınabilir mi?
- Saldırgan, cihaza Bluetooth klavye gibi davranarak POS’a komut gönderebilir mi?
- Cihazın yazılımı tersine mühendislik yoluyla incelendiğinde gizli arka kapı var mı?
5. P2PE ve Tokenizasyon: En İyi Savunma, Verinin Hiç Orada Bulunmaması
Kart bilgisi sisteminizde yoksa çalınamaz. P2PE şifreleme ve tokenizasyon tam olarak bunu sağlıyor.
P2PE nedir? (Noktadan noktaya şifreleme)
P2PE’de kart, terminale değdiği anda şifreleniyor. Bu şifre yalnızca ödeme hizmet sağlayıcınızdaki güvenli bir merkezde çözülebiliyor. Yani sizin yerel ağınız ya da POS yazılımınız kart bilgisini hiçbir zaman açık metin olarak görmüyor.
Pratikte ne anlama gelir? Bir saldırgan şirket ağınıza girmeyi başarsa bile eline sadece anlamsız şifreli karakterler geçer. Ayrıca kart verisini “görmediğiniz” için PCI DSS kapsamınız önemli ölçüde daralıyor — bu da denetim yükünü ve maliyeti ciddi biçimde azaltıyor.
Tokenizasyon nedir?
Tokenizasyonda kart numaranızın yerine rastgele oluşturulmuş, matematiksel olarak hiçbir değeri olmayan bir “token” atanıyor. Şifrelemeden farkı şu: Bir token, bir anahtarla geri döndürülemiyor. Yalnızca merkezi bir “Token Kasası” üzerinden orijinal veriyle eşleştirilebiliyor. Bu kasaya erişim yoksa token tek başına işe yaramıyor.
| Kriter | P2PE (Şifreleme) | Tokenizasyon |
|---|---|---|
| Ne zaman korur? | Veri iletilirken (terminalden bankaya giderken) | Veri saklanırken (veritabanında dururken) |
| Geri alınabilir mi? | Evet, doğru anahtarla | Yalnızca Token Kasası üzerinden |
| PCI DSS’e etkisi | Ağ segmentlerini kapsam dışı bırakır | Veritabanları ve ERP sistemlerini kapsam dışı bırakır |
| En iyi kullanım | Kasada anlık ödeme | İadeler, abonelikler, sadakat programları |
6. Temassız Ödemede Yeni Tehditler
Çipli kartlar ve P2PE ile eski tarz saldırılar büyük ölçüde zorlaştı. Ama saldırganlar da durmuyor. Araştırmacılar, temassız ödemelerde ve dijital cüzdanlarda yeni açıklar keşfetmeye devam ediyor.
Temassız kartlarda PIN atlatma
Araştırmacılar, temassız kartların (NFC) ve mobil cüzdanların protokollerindeki mantık hatalarını istismar eden saldırılar geliştirdi. En kritik olanı şu: Saldırganlar, kart ile terminal arasındaki mesajları manipüle ederek işlemin “PIN gerekmiyor” olarak algılanmasını sağlayabiliyor. Yani temassız ödeme limitinin üzerindeki işlemler bile PIN girilmeden gerçekleşebiliyor.
Benzer bir senaryo çevrimdışı çalışan terminallerde de ortaya çıkıyor: Terminal internete bağlı değilken yüksek tutarlı bir işlem onaylanıyor, sahtecilik kontrolü günler sonra yapılıyor; ama o sırada işlem çoktan tamamlanmış oluyor.
Dijital cüzdanlardaki transit modu açığı
Apple Pay ve Google Pay’in sunduğu “transit modu”, metro ve otobüste telefon kilitliyken ödeme yapmayı sağlıyor. Bu özellik kötüye kullanıldığında, kilitli bir telefondan mobil POS terminali aracılığıyla para çekilmesi mümkün olabiliyor.
Güvenlik testlerinde POS terminallerinin bu ödeme özelliklerini nasıl değerlendirdiği mutlaka kontrol edilmeli. Yüksek tutarlı işlemlerde kimlik doğrulama istemek, zaman aşımı koymak ve terminal tarafında limit uygulamak bu tür saldırılara karşı alınabilecek pratik önlemler arasında.
Güvenliği kalıcı kılmak için ne yapılmalı?
Güvenlik testi anlık bir fotoğraf çeker. Gerçek koruma bu testleri operasyonel süreçlerle desteklemeyi gerektirir.
Yazılım güncellemeleri: POS üreticileri düzenli güvenlik yamaları yayınlıyor. Binlerce terminale yama uygulamak büyük bir iştir. Önce tek bir mağazada test edip ardından tüm sisteme yayma yöntemi, çökme riskini önemli ölçüde düşürüyor.
İki adımlı doğrulama (MFA): Fabrika ayarından çıkan değiştirilmemiş şifreler hâlâ en yaygın saldırı nedenlerinden biri. PCI DSS 4.0, ödeme ortamına erişen herkes için benzersiz kimlik ve çift doğrulama zorunlu kılıyor.
Fiziksel kontrol ve personel eğitimi: Kasiyerlerin terminaldeki mühürleri ve kabloları her gün gözle kontrol etmesi sağlanmalı. Düzenli tatbikatlar — “sahte teknisyen” senaryoları gibi — personelin olaylara karşı direncini artırıyor.
7. Sık Sorulan Sorular
Küçük bir işletme olarak PCI DSS zorunluluğum var mı?
Evet. Kredi kartı işleyen her ölçekteki işletme PCI DSS kapsamındadır. İşlem hacminize göre en düşük seviyede (Seviye 4) genellikle yıllık bir öz değerlendirme anketi doldurmak yeterli oluyor. Ama bu, güvenlik önlemlerini görmezden gelebileceğiniz anlamına gelmiyor. Visa ve Mastercard, kurallara uymayan işletmeleri sistemden çıkarabilir.
POS güvenlik testi ne sıklıkla yapılmalı?
PCI DSS, yılda en az bir kez sızma testi ve üç ayda bir ağ taraması yapılmasını zorunlu kılıyor. Ama yeni bir POS modeli geçişi, ağ yeniden yapılandırması veya yeni bir ödeme uygulaması devreye alınması gibi önemli değişikliklerden sonra da test tekrarlanmalı. Yıllık periyot minimum gerekliliktir, yeterli değil.
P2PE kullanırsam PCI DSS yükümlülüklerim azalır mı?
Evet, önemli ölçüde. PCI onaylı bir P2PE çözümü kullandığınızda yerel ağınız, POS yazılımınız ve diğer sistemleriniz büyük ölçüde denetim kapsamının dışında kalabiliyor. Bu hem denetim yükünü hem de uyum maliyetini ciddi biçimde düşürüyor.
KVKK kapsamında POS verisi için hangi önlemler zorunlu?
KVKK, kart bilgilerini kişisel veri olarak kabul ediyor. Bu veriler için yalnızca gerekli olanı saklama, belirli bir süre sonra silme ve meşru amaçla işleme zorunlu. Pratikte bu, tam kart numarasını saklamak yerine tokenizasyon kullanmak ve saklama süresini sözleşmede açıkça belirtmek anlamına geliyor.
GİB YN ÖKC cihazları için ayrıca güvenlik testi gerekiyor mu?
YN ÖKC cihazları GİB tarafından sertifikalandırılıyor; ancak bu sertifika yalnızca üretim aşamasındaki uyumu belgeliyor. Cihazın kurulu olduğu ağ ortamı, ağ bölümlemesi, uzak erişim yönetimi ve merkez bağlantısının güvenliği ayrıca test edilmeli. Cihaz güvenli olsa bile zayıf bir ağ yapısı tüm sistemi riske atabilir.
Temassız ödemeler çipli kartlardan daha mı az güvenli?
Genel kullanımda hayır. Temassız ödemeler de EMV protokollerini kullanıyor ve her işlemde tek kullanımlık kod üretiyor. Ama araştırmacıların ortaya koyduğu PIN atlatma ve transit modu açıkları, belirli koşullarda risklerin olabileceğini gösteriyor. Terminal yazılımı güncel ve doğru yapılandırılmışsa bu riskler büyük ölçüde azalıyor.
