E-Ticaret Sitelerinde Sızma Testi ve Ödeme Güvenliği
E-ticaret platformları devasa miktarda finansal ve kişisel verinin işlendiği kritik altyapılardır. Bu platformların güvenliği, kurumsal itibarın korunması, finansal kayıpların önlenmesi ve yasal yükümlülüklerin yerine getirilmesi açısından hayati önem taşır. Sızma testleri, sistemlerin güvenliğini bir saldırgan gözüyle değerlendirerek zafiyetlerin istismar edilmeden önce tespit edilmesini sağlayan proaktif bir savunma mekanizmasıdır. Bu rehberde OWASP, PCI-DSS, KVKK ve 7545 sayılı Siber Güvenlik Kanunu çerçevesinde uyum süreçlerini ele alıyoruz.
PCI-DSS zorunluluğu: Yılda en az bir kez ve her önemli sistem değişikliğinden sonra sızma testi.
KVKK Madde 12: Sızma testi, teknik tedbirler kapsamında zorunlu.
7545 sayılı Kanun: Düzenli test ve risk analizi yaptırmayanlar için 10 milyon TL’ye kadar ceza.
TSE TS 13638: Geçerli rapor için TSE onaylı firma şartı.
1. Sızma Testi Metodolojileri ve Uluslararası Standartlar
E-ticaret sitelerinin karmaşık yapısı, sızma testlerinin belirli standartlar ve disiplinler çerçevesinde yürütülmesini zorunlu kılar. Rastgele yapılan testler, sistemin bütünselliğini bozabileceği gibi kritik zafiyetlerin gözden kaçmasına da neden olabilir. Endüstriyel olarak kabul görmüş metodolojilerin kullanımı, pentest projelerinin başarısı ve kabul edilebilirliği açısından kritik bir parametredir.
OWASP ve Web Uygulaması Güvenliği Çerçevesi
Açık Web Uygulaması Güvenlik Projesi (OWASP), web uygulamalarının güvenliğini artırmak amacıyla oluşturulmuş küresel bir referans noktasıdır. OWASP Vakfı tarafından hazırlanan Web Güvenliği Test Rehberi (WSTG), e-ticaret platformlarının denetimi için en kapsamlı kaynaklardan biridir. Bilgi toplama aşamasından başlayarak 11 ana kategoride test senaryoları sunar: yapılandırma yönetimi, kimlik doğrulama, oturum yönetimi, yetkilendirme, veri doğrulama ve hata yönetimi.
OWASP Top 10 listesi ise web uygulamaları için en kritik 10 güvenlik riskini belirleyerek geliştiriciler ve güvenlik uzmanları için bir farkındalık belgesi işlevi görür. 2025 yılı güncellemeleri, e-ticaret siteleri için yeni nesil tehditleri de kapsayacak şekilde genişletilmiştir. Bu listede yer alan “Kırık Erişim Kontrolü” ve “Güvensiz Tasarım” zafiyetleri, e-ticaret sitelerinde bir kullanıcının diğerinin sepetine veya ödeme bilgilerine erişmesine neden olabilen mantıksal hataları temsil eder.
NIST ve Teknik Güvenlik Değerlendirme Kılavuzu
ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayımlanan NIST SP800-115, teknik bilgi güvenliği test ve değerlendirme yöntemleri üzerine odaklanan pratik bir rehberdir. NIST yaklaşımı, sızma testlerini sadece bir “hack” eylemi olarak değil, kurumların teknik güvenlik risklerini planlama, yürütme ve analiz etme süreçlerinin bir parçası olarak ele alır. E-ticaret altyapılarında kullanılan ağ ekipmanlarının, sunucuların ve veritabanlarının güvenliğini ölçmek için yapılandırılmış bir yol haritası sunar.
2. Ödeme Sistemi Güvenliği ve PCI-DSS Gereklilikleri
E-ticaret sitelerinde ödeme güvenliği, müşteri güveninin ve operasyonel sürekliliğin temelidir. Kredi kartı verilerinin işlenmesi, iletilmesi ve saklanması süreçleri, küresel bir standart olan Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI-DSS) ile düzenlenmektedir.
PCI-DSS Gereksinim 11.3: Sızma Testi Zorunluluğu
PCI-DSS 4.0 sürümü kapsamında, Gereksinim 11 sistem bileşenlerinin ve süreçlerinin düzenli olarak test edilmesini emreder. Özellikle 11.3 maddesi, yılda en az bir kez ve sistemde gerçekleştirilen her önemli değişiklikten sonra sızma testi yapılmasını zorunlu kılar. Önemli değişiklikler; firewall değişimi, yeni bir sunucunun ağa eklenmesi, ödeme akışında kod güncellemesi yapılması veya bulut altyapısına geçiş gibi durumları kapsar.
| Gereksinim | Kapsam ve Detay | Frekans |
|---|---|---|
| 11.3.1 (Dış Ağ) | İnternete açık sistemlerin sızma testi | Yıllık ve Önemli Değişiklikte |
| 11.3.2 (İç Ağ) | CDE içindeki sistemlerin testi | Yıllık ve Önemli Değişiklikte |
| 11.3.4.1 (Segmentasyon) | Ağ izolasyon kontrollerinin doğrulanması | 6 Ayda Bir (Hizmet Sağlayıcılar) |
| 11.2 (Zafiyet Taraması) | ASV onaylı dış ve iç taramalar | Çeyreklik (3 Ayda Bir) |
Kart Sahibi Veri Ortamı (CDE) ve Segmentasyon
E-ticaret platformları, maliyetleri ve denetim karmaşıklığını azaltmak için genellikle ağlarını segmentlere ayırırlar. Kart Sahibi Veri Ortamı (CDE), kart bilgilerinin bulunduğu sistemleri temsil eder ve bu ortamın geri kalan kurumsal ağdan tamamen izole edilmesi gerekir. PCI-DSS, bu izolasyonun sadece bir firewall kuralı olarak kalmamasını, sızma testi uzmanları tarafından test edilerek aşılıp aşılamadığının kanıtlanmasını şart koşar.
Eğer bir kuruluş hizmet sağlayıcı konumundaysa (başkası adına ödeme işlemi yürütüyorsa), bu segmentasyon testlerini altı ayda bir yapma yükümlülüğü altındadır. Denetim sürecinde, bu testlerin raporlarını sunamamak PCI-DSS uyumsuzluğu anlamına gelir ve ödeme işlemlerinin durdurulması gibi ciddi yaptırımları beraberinde getirebilir.
3. E-Ticarete Özgü Tehdit Analizi
E-ticaret siteleri, standart web uygulamalarından farklı olarak iş mantığı üzerine kurulu karmaşık akışlara sahiptir. Bu durum, otomatik araçların tespit edemediği, sadece uzmanların manuel testleriyle ortaya çıkarılabilecek özgün zafiyet türlerini beraberinde getirir.
Parametre Kurcalama (Parameter Tampering)
Bu saldırı türünde saldırgan, istemci ile sunucu arasında gönderilen HTTP parametrelerini manipüle ederek uygulamanın işleyişini değiştirir. E-ticaret sitelerinde en sık hedef alınan parametreler ürün fiyatları, ürün kodları, miktarlar ve kullanıcı yetki seviyeleridir. Örneğin, sepetteki bir ürünün fiyatının gizli bir form alanında taşınması durumunda, saldırgan bu değeri proxy araçları kullanarak 100 TL’den 0.01 TL’ye çekebilir.
Uygulamanın bu manipülasyonu fark etmemesi, sunucu tarafında fiyat doğrulaması yapılmadığını gösterir. Benzer şekilde, miktar alanına negatif değerler girilmesi (örneğin -1 adet ürün) bazı hatalı tasarlanmış sistemlerde toplam sepet tutarının düşmesine neden olabilir. Bu tür zafiyetler, finansal zararın yanı sıra stok yönetim sistemlerinin de bozulmasına yol açar.
İş Mantığı ve Ödeme Akışı Manipülasyonu
E-ticaret sitelerinde ödeme akışı genellikle belirli adımlardan oluşur: Sepet → Adres → Ödeme → Onay. Sızma testleri sırasında bu adımların sırasının değiştirilip değiştirilemediği test edilir. Bir saldırganın, ödeme adımını atlayarak doğrudan “/siparis-onay” sayfasına POST isteği atıp atamadığı kontrol edilir. Ayrıca, aynı ödeme işleminin birden fazla kez tetiklenmesiyle (idempotency eksikliği) aynı siparişin mükerrer gönderilmesi veya iade süreçlerindeki mantık hataları incelenir.
Magecart ve E-Skimming Saldırıları
Modern e-ticaret siteleri, analiz araçlarından canlı destek sistemlerine kadar birçok üçüncü taraf JavaScript kütüphanesi kullanır. Magecart olarak bilinen saldırı grupları, bu kütüphaneleri veya doğrudan sitenin kodunu manipüle ederek ödeme sayfasına zararlı kodlar enjekte ederler. E-skimming denilen bu yöntemde, müşteri kart bilgilerini girdiği anda veriler gerçek ödeme kuruluşuna giderken eş zamanlı olarak saldırganın sunucusuna da iletilir.
Sızma testleri, bu tür zararlı kod enjeksiyonlarını tespit etmek için Content Security Policy (CSP) yapılandırmalarını, Subresource Integrity (SRI) kontrollerini ve üçüncü taraf script yüklemelerini detaylı olarak analiz etmelidir. Modern e-ticaret platformlarında CSP header’ının doğru yapılandırılması ve script-src direktiflerinin kısıtlayıcı olması bu saldırılara karşı temel savunma mekanizmasını oluşturur.
| Tehdit Türü | Hedef | Potansiyel Zarar |
|---|---|---|
| Parametre Manipülasyonu | Fiyat, miktar, kullanıcı yetkileri | Finansal zarar, stok bozulması |
| İş Mantığı Hatası | Ödeme akışı, sipariş onay süreci | Ücretsiz alışveriş, mükerrer sipariş |
| E-Skimming (Magecart) | Ödeme formu, kart bilgileri | Toplu kart verisi çalınması |
| IDOR (Yetki Aşımı) | Sipariş detayları, kullanıcı profilleri | Başka kullanıcıların verilerine erişim |
4. KVKK ve Teknik Tedbirler Kapsamında Sızma Testi
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’deki tüm veri sorumlularına kişisel verilerin güvenliğini sağlama yükümlülüğü yükler. Sızma testi, bu yükümlülüğün yerine getirilmesinde sadece bir öneri değil, Kurul tarafından zorunlu görülen temel bir teknik tedbirdir.
Madde 12 ve Veri Sorumlusunun Yükümlülüğü
KVKK Madde 12, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri alması gerektiğini belirtir. Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Veri Güvenliği Rehberi”, sızma testini ağ güvenliğinin sağlanması ve zafiyetlerin tespiti başlığı altında açıkça listeler.
E-ticaret siteleri için bu durumun pratik sonuçları şunlardır: Veri sorumluları sistemlerindeki açıkları tespit etmek için düzenli aralıklarla sızma testi yaptırmalı, tespit edilen açıkların raporlanması ve bu raporların olası bir denetimde Kurul’a sunulması gerekir. Sızma testi yaptırılmaması, olası bir veri sızıntısında Kurul tarafından “ihmal” olarak değerlendirilir ve ağır idari para cezalarına yol açar.
Veri İhlali Kararları ve Sızma Testi İlişkisi
Kurul’un geçmiş kararları incelendiğinde, sızma testi yaptırmayan veya test sonuçlarını uygulamayan şirketlere verilen cezaların, veri ihlalinin “öngörülebilir ve önlenebilir” olduğu gerekçesiyle artırıldığı görülmektedir. Bir e-ticaret sitesinde gerçekleşen veri sızıntısı sonrası yapılan incelemede, sistemdeki kritik bir SQL Injection açığının bir sızma testiyle aylar öncesinden tespit edilebileceği belirlenmiş ve bu ihmal nedeniyle 1 milyon TL’nin üzerinde ceza uygulanmıştır.
2026 yılı itibarıyla güncellenen ceza limitleri, bu tür ihlallerde 13.5 milyon TL’ye kadar risk oluşturmaktadır. Dolayısıyla sızma testi yaptırmak yalnızca teknik bir zorunluluk değil, aynı zamanda stratejik bir finansal risk yönetimi kararıdır.
5. 7545 Sayılı Siber Güvenlik Kanunu ve Yeni Yaptırımlar
2025 yılı sonunda yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, Türkiye’deki dijital güvenlik ekosisteminde yeni bir dönem başlatmıştır. Bu kanun, özellikle kritik altyapı sektörleri ve e-ticaret gibi stratejik öneme sahip özel sektör kuruluşları için daha sert yükümlülükler ve denetim mekanizmaları getirmiştir.
Siber Güvenlik Başkanlığı’nın Denetim Rolü
Yeni kurulan Siber Güvenlik Başkanlığı, siber güvenlik alanındaki standartları belirleme, kurumların bu standartlara uyumunu denetleme ve ihlal durumunda doğrudan yaptırım uygulama yetkisine sahiptir. Kanun kapsamında, e-ticaret siteleri siber olaylara müdahale planları oluşturmak ve düzenli sızma testlerinden geçmek zorundadır.
Hukuki ve Cezai Sonuçlar
7545 sayılı Kanun, teknik tedbir almayan kuruluşlar için kademeli bir yaptırım sistemi öngörmektedir. Bilgi, belge veya veriyi denetim görevlileriyle paylaşmamak 1 yıldan 3 yıla kadar hapis cezası gerektirirken, gerekli siber güvenlik tedbirlerini almamak ve bildirim yapmamak 1 milyon TL ile 10 milyon TL arasında idari para cezasıyla sonuçlanabilmektedir.
Ayrıca, ticari şirketler için brüt satış hasılatının yüzde beşine kadar ek idari para cezası uygulanabilmesi, siber güvenliğin doğrudan bir finansal hayatta kalma meselesi olduğunu kanıtlamaktadır. Büyük e-ticaret platformları için bu durum, yıllık cirosunun yüzde beşinin kaybedilmesi anlamına gelebilir.
| Mevzuat / Düzenleme | Gereklilik | Odak Noktası |
|---|---|---|
| KVKK (6698 Sayılı) | Teknik Tedbirler Rehberi gereği | Kişisel verilerin gizliliği |
| PCI-DSS (Gereksinim 11) | Yıllık zorunlu ve değişim sonrası | Kredi kartı verilerinin güvenliği |
| 7545 Sayılı Kanun | Düzenli test ve risk analizi | Ulusal siber dayanıklılık |
| TS 13638 Standardı | TSE Onaylı firma gerekliliği | Testin kalitesi ve metodoloji |
6. Sahtecilik Önleme ve Ödeme Geçidi Güvenliği
Sızma testleri teknik açıkları kapatmaya odaklanırken, sahtecilik (fraud) önleme sistemleri işlemin niyetini ve riskini analiz eder. E-ticaret sitelerinde bu iki mekanizmanın entegre çalışması gerekir.
3D Secure ve Risk Tabanlı Kimlik Doğrulama
3D Secure, ödeme sırasında kart sahibinin bankası tarafından sağlanan bir doğrulama ekranı (OTP, SMS) aracılığıyla kimlik doğrulama yapılmasını sağlar. Bu sistem, çalıntı kartlarla yapılan alışverişleri engellediği gibi, işletmeyi ters ibraz (chargeback) maliyetinden de korur. Modern sistemler her işlemde 3DS sormak yerine, yapay zeka destekli risk skorlaması kullanır.
Eğer işlem düşük riskli görülürse (bilinen cihaz, alışılmış tutar), kullanıcıyı yormadan ödeme tamamlanır; risk yüksekse ek doğrulama istenir. Bu yaklaşım hem güvenliği artırır hem de kullanıcı deneyimini korur.
Operasyonel Fraud Kontrolleri
E-ticaret platformları, ödeme güvenliğini artırmak için şu teknik kontrolleri uygulamalıdır:
- Velocity Check: Aynı IP, cihaz veya kart üzerinden kısa sürede yapılan olağan dışı sayıda işlem denemesi engellenmelidir.
- IP ve Coğrafi Analiz: Proxy veya VPN kullanan, riskli bölgelerden gelen talepler ek incelemeye alınmalıdır.
- AVS (Adres Doğrulama Sistemi): Fatura ve teslimat adreslerinin kartın kayıtlı adresiyle uyumu kontrol edilmelidir.
- Hatalı Deneme Blokesi: Kart bilgilerinin 2-3 defadan fazla yanlış girilmesi durumunda kart veya kullanıcı geçici olarak bloke edilmelidir.
7. TSE TS 13638 Standartı ve Denetlenebilir Raporlama
Türkiye’de sızma testlerinin belirli bir kalitede yürütülmesi için TSE tarafından geliştirilen TS 13638 standardı, bu hizmeti sunan firmaların ve personelin yetkinliğini belgeler.
TSE Onaylı Sızma Testi Firmaları
TSE, firmaları A, B ve C olmak üzere üç seviyede sınıflandırır. A seviyesi en yüksek yetkinlik seviyesini temsil eder ve kıdemli sızma testi uzmanı istihdamı ile ISO 27001 belgesi bulundurma zorunluluğu gibi şartlara sahiptir. Kamu kurumları ve kritik altyapı kapsamındaki e-ticaret sitelerinin, denetimlerde geçerli bir rapor sunabilmeleri için TSE onaylı firmaları tercih etmeleri önem arz eder.
Raporlama Kriterleri ve USOM Rehberi
Sızma testi raporu, sadece teknik bir döküm değil, bir risk yönetim belgesidir. USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından belirlenen kriterlere göre bir rapor şunları içermelidir:
- Yönetici Özeti: Teknik olmayan karar vericiler için risklerin özeti.
- Zafiyet Sınıflandırması: Bulunan açıkların kritiklik seviyelerine göre derecelendirilmesi (Low, Medium, High, Critical).
- Çözüm Önerileri: Her bir zafiyetin nasıl kapatılacağına dair spesifik teknik adımlar.
- Kanıtlar: Saldırı simülasyonunun nasıl gerçekleştirildiğini gösteren ekran görüntüleri ve loglar.
Doğrulama ve Retest Süreci
Sızma testi raporunun sunulmasından sonra, veri sorumlusu (e-ticaret sitesi) tespit edilen açıkları kapatmak için bir takvim oluşturur. Açıklar kapatıldıktan sonra, testi gerçekleştiren firma Doğrulama Testi (Retest) yaparak zafiyetlerin gerçekten giderildiğini onaylar. KVKK ve PCI-DSS uyumu için bu doğrulama adımı, denetim izi oluşturulması açısından zorunludur.
8. Sık Sorulan Sorular
E-ticaret sitesi için ne sıklıkla sızma testi yaptırmalıyım?
PCI-DSS Gereksinim 11.3 gereği yılda en az bir kez sızma testi zorunludur. Ayrıca ödeme sisteminde, altyapıda veya uygulama kodunda yapılan her önemli değişiklikten sonra da test yaptırılması gerekir. KVKK açısından ise düzenli test yükümlülüğü teknik tedbirler arasında yer almaktadır.
Zafiyet taraması yeterli değil mi, neden sızma testi gerekiyor?
Zafiyet taraması otomatik araçlarla bilinen güvenlik açıklarını tespit eder; ancak iş mantığı hataları, parametre manipülasyonu ve karmaşık saldırı zincirleri gibi spesifik e-ticaret zafiyetlerini bulamaz. Sızma testi, bu açıkların gerçek bir saldırgan tarafından nasıl istismar edilebileceğini manuel olarak test eder.
PCI-DSS uyumu olmadan kredi kartı kabul edebilir miyim?
Hayır. Kredi kartı işlemi yapan tüm e-ticaret siteleri PCI-DSS uyumluluğu sağlamak zorundadır. Uyumsuzluk durumunda ödeme kuruluşu (banka veya ödeme geçidi sağlayıcısı) kartlı ödeme kabul etme lisansınızı askıya alabilir. Bu durum işletmeniz için ciddi gelir kaybı anlamına gelir.
TSE TS 13638 belgesi olmayan firmadan sızma testi alırsam ne olur?
KVKK ve 7545 sayılı Kanun denetimleri sırasında, TSE TS 13638 standardına uygun olmayan raporlar geçersiz sayılabilir. Bu durumda “teknik tedbir alınmadı” tespiti yapılarak idari para cezası uygulanması riski ortaya çıkar. Ayrıca PCI-DSS denetimlerinde de nitelikli pentest raporu zorunluluğu bulunmaktadır.
3D Secure kullanıyorum, yine de sızma testi gerekli mi?
Evet. 3D Secure ödeme sırasındaki kimlik doğrulama güvenliğini artırır ancak sisteminizin teknik zafiyetlerini kapatmaz. SQL Injection, XSS, parametre manipülasyonu gibi açıklar 3D Secure ile korunmaz. Bu zafiyetler hem müşteri verilerinin çalınmasına hem de ödeme akışının manipüle edilmesine neden olabilir.
