POS Sistemlerinde Güvenlik: Ödeme ve Veri Koruma Rehberi
9 Haziran 2026
POS güvenliği; ödeme işlemi sırasında kart, müşteri ve satış verilerinin uçtan uca şifreleme, erişim kontrolü ve PCI-DSS gibi sektör standartlarıyla yetkisiz erişime ve veri ihlaline karşı korunmasıdır. Bir POS cihazı yalnızca bir tahsilat aracı değil, aynı zamanda kart numaraları, vardiya verileri ve müşteri bilgilerinin geçtiği bir veri kapısıdır; bu kapı korunmadığında risk doğrudan işletmeye geçer.
POS Güvenliği Neden İşletmeniz İçin Kritik?
Birçok küçük ve orta ölçekli işletme, "biz büyük zincir değiliz, bizi kimse hedef almaz" düşüncesiyle POS güvenliğini ikinci plana atar. Oysa son on yılın kart verisi ihlal istatistikleri tam tersini söyler: saldırganlar büyük zincirlerin değil, korumasız küçük işletmelerin POS uç noktalarını hedefler. Çünkü küçük işletmelerde güncellenmemiş yazılım, ortak kullanılan zayıf şifreler ve denetlenmeyen vardiya değişiklikleri çok daha sık görülür.
POS güvenliğinin tehlikeye girmesi durumunda işletmenin karşı karşıya kalabileceği başlıca riskler şunlardır: müşteri kart bilgilerinin çalınması, banka ve kart şemaları tarafından kesilen uyumsuzluk cezaları, müşteri güveninin ve marka itibarının kalıcı olarak zarar görmesi, KVKK kapsamında idari para cezaları ve veri ihlali sonrası adli inceleme maliyetleri. Tek bir başarılı saldırı, küçük bir kafe ya da market için yıllık net kârın üzerinde bir yük getirebilir.
POS sistemlerini hedef alan başlıca tehdit türleri
POS dünyasında en sık karşılaşılan saldırı vektörleri belirli kalıplar etrafında dolaşır. Bu kalıpları tanımak, koruma stratejisinin ilk adımıdır.
Kart kopyalama (skimming): Cihazın kart okuyucu modülüne fiziksel olarak yerleştirilen küçük bir donanım veya yazılım, kart manyetik şerit verisini kopyalar. Daha çok sahipsiz, denetimsiz POS noktalarında görülür.
RAM-scraping zararlı yazılım: Şifrelenmemiş ödeme verisinin cihaz belleğinde bir an için açık halde bulunduğu mikrosaniyeyi yakalayan zararlı yazılımdır. Tarihsel olarak en büyük perakende ihlallerinin arkasındaki teknik budur.
Ortadaki adam (man-in-the-middle) saldırıları: POS ile ödeme ağ geçidi arasındaki trafiği dinleyen veya değiştiren saldırılardır. Halka açık veya zayıf yapılandırılmış Wi-Fi ağlarında yapılan tahsilatlar bu riske açıktır.
Kimlik avı (phishing) ile yönetici hesabının ele geçirilmesi: İşletme sahibi ya da müdürün e-posta veya bulut panel şifresinin sahte sayfalarla çalınmasıyla başlar; saldırgan POS yönetim paneline meşru kullanıcı olarak girer.
İçeriden saldırı: Yetkisi kötüye kullanılan veya işten ayrılmış personelin hâlâ aktif olan hesabı üzerinden yaptığı işlemlerdir. POS ihlallerinin önemli bir kısmı dış değil iç kaynaklıdır.
Tedarik zinciri ele geçirme: POS yazılımının veya bir eklentinin güncelleme mekanizmasının ele geçirilmesi ile yapılan saldırılar; tek bir tedarikçi üzerinden binlerce işletme aynı anda etkilenebilir.
Bu tehditlerin ortak noktası, hiçbirinin "şanssızlık" olmamasıdır. Hepsi bilinen, belgelenmiş ve önlenebilir saldırı kalıplarıdır. POS güvenliğinin amacı, bu kalıpların her birine karşı önceden tanımlı bir savunma katmanı bulundurmaktır.
Ödeme Verisi Nasıl Şifrelenir? — TLS, E2EE ve P2PE
Ödeme verisinin korunmasında üç farklı şifreleme katmanı devreye girer. Bu katmanların ne yaptığını bilmek, satıcınızdan ne talep edeceğinizi de belirler.
TLS (Transport Layer Security)
TLS, POS cihazı ile ödeme ağ geçidi arasındaki "yol"u şifreler. Bir kez veri hatta düştüğünde, yolda dinleyen birinin kart numarasını okuyamamasını sağlar. Bugünkü standart TLS 1.2 ve TLS 1.3'tür; eski sürümler (TLS 1.0, 1.1, SSL) artık güvenli kabul edilmez ve PCI-DSS tarafından da yasaklanmıştır. Cihazınızın hangi TLS sürümünü kullandığını ve sertifikalarının düzenli olarak güncellenip güncellenmediğini satıcınızdan teyit etmelisiniz.
Uçtan uca şifreleme (E2EE)
E2EE, kart verisinin cihaza okutulduğu andan ödeme ağ geçidine ulaştığı ana kadar şifreli kalmasını sağlar. TLS yalnızca hattı korurken, E2EE veriyi koruduğu için POS cihazının belleğinde bile düz metin olarak bulunmaz. Bu, RAM-scraping zararlı yazılımına karşı en etkili savunmadır; çünkü çalmaya çalıştığı veri zaten okunabilir formda değildir.
Noktadan noktaya şifreleme (P2PE)
P2PE, E2EE'nin sertifikalı ve denetlenmiş bir biçimidir. PCI Council tarafından onaylı P2PE çözümlerinde, kart verisi cihazın güvenli kart okuyucusunda anında şifrelenir; çözüm yalnızca ödeme alıcısının güvenli ortamında gerçekleşir. P2PE kullanan işletmeler PCI-DSS denetim kapsamının çok büyük bir kısmından muaf olur; çünkü kart verisi hiçbir noktada işletmenin sistemine düz metin olarak girmez. SAQ formunu doldurma yükü ciddi ölçüde azalır.
Pratik çıkarım: TLS bir asgari gerekliliktir, E2EE güçlü bir koruma katmanıdır, P2PE ise hem koruma hem de denetim yükünü azaltan en üst seviyedir. POS satıcınızdan en az E2EE, mümkünse P2PE sertifikalı çözüm sunup sunmadığını öğrenin.
PCI-DSS Uyumluluğu Nedir, İşletme Sahibine Ne Anlam İfade Eder?
PCI-DSS (Payment Card Industry Data Security Standard), Visa, Mastercard, American Express, Discover ve JCB tarafından ortaklaşa oluşturulan ve kart verisi işleyen tüm tarafların uymak zorunda olduğu bir güvenlik standardıdır. Türkiye'de bir devlet zorunluluğu değildir, ancak kart kabul eden her işletme banka veya ödeme alıcı kuruluşla yaptığı sözleşme gereği bu standartla uyumlu olmak zorundadır. Uyumsuzluğun yaptırımı; üye işyeri komisyonlarının artırılması, bir ihlal sonrası kesilen yüksek para cezaları ve en kötü senaryoda kart kabul yetkisinin iptalidir.
PCI-DSS'in 12 ana gerekliliği — özet
PCI-DSS standardı 6 hedef altında toplanan 12 ana gereklilikten oluşur. Detaya girmeden, işletme sahibine sade haliyle şöyle özetlenebilir:
Hedef | Gereklilikler |
|---|---|
Güvenli ağ kurmak ve sürdürmek | Güvenlik duvarı yapılandırması; varsayılan sistem şifrelerinin değiştirilmesi |
Kart sahibi verisini korumak | Saklanan kart verisinin korunması; iletilen kart verisinin şifrelenmesi |
Zafiyet yönetimi sürdürmek | Anti-virüs kullanımı; güvenli sistem ve uygulamaların geliştirilmesi |
Güçlü erişim kontrolü uygulamak | İhtiyaç temelli erişim; benzersiz kullanıcı kimliği; fiziksel erişim kısıtlaması |
Ağı düzenli olarak izlemek ve test etmek | Tüm erişimlerin loglanması; düzenli güvenlik testleri |
Bilgi güvenliği politikası sürdürmek | Yazılı politika ve personel farkındalığı |
SAQ tipleri — işletme sahibi hangi formu doldurur?
PCI-DSS uyumluluğunu beyan etmek için işletmeler Self-Assessment Questionnaire (SAQ) doldurur. Hangi formu dolduracağınız iş modelinize göre değişir:
SAQ A: Tüm kart işlemlerini sertifikalı bir üçüncü tarafa (örn. ödeme ağ geçidine) yönlendiren e-ticaret işletmesi.
SAQ A-EP: E-ticaret sitesi kart verisini doğrudan işlemese de kart sayfasının kendi alan adında olduğu işletmeler.
SAQ B: Yalnızca otonom (bağımsız) yazarkasa/POS cihazı kullanan, ağa bağlanmayan işletmeler.
SAQ B-IP: IP üzerinden çalışan ama yalnızca onaylı bağımsız ödeme cihazı kullanan işletmeler.
SAQ C: Ödeme uygulaması internete bağlı bir sistemde çalışan ancak diğer iş sistemlerinden ayrıştırılmış işletmeler.
SAQ P2PE: PCI Council onaylı P2PE çözümü kullanan işletmeler — en kısa form.
SAQ D: Yukarıdakilerin hiçbirine uymayan, kart verisini kendi sisteminde saklayan veya işleyen işletmeler — en kapsamlı form.
Çıkarım: Doğru POS ve ödeme mimarisi seçimi, doldurmanız gereken SAQ formunun büyüklüğünü doğrudan belirler. P2PE sertifikalı bir çözüm seçmek, hem güvenlik hem de uyum denetim yükü açısından en avantajlısıdır.
Personel Yetki Seviyeleri ve Kasa Erişim Kontrolü
POS güvenliğinin en küçümsenen ama en etkili katmanı yetki yönetimidir. Çünkü bir POS sistemine yapılan zararın önemli kısmı, dışarıdan gelen sofistike bir saldırgan tarafından değil, gereğinden fazla yetkiye sahip bir iç kullanıcı tarafından yapılır.
Rol bazlı erişim modeli
Doğru kurulan bir POS sisteminde her kullanıcı en az üç rolden birine atanır:
Kasiyer: Yalnızca satış yapabilir, çek/fiş kesebilir, kendi vardiyasında kendi satışlarını görür. İptal/iade, gün sonu raporu, fiyat değişikliği gibi işlemler için yetkisi yoktur.
Müdür: Tüm kasiyer haklarına ek olarak iptal/iade onayı, gün içi ürün/fiyat düzenlemesi, vardiya raporu görüntüleme yetkisine sahiptir. Ancak kullanıcı oluşturma ve yetki değişikliği yapamaz.
İşletme sahibi: Tüm raporlara, yetki değişikliklerine, ürün/menü düzenlemelerine ve sistem ayarlarına erişebilir. Tek bir kişide toplanır.
Bu ayrım yalnızca ihtiyaç prensibine değil, izlenebilirlik prensibine de hizmet eder. Bir sorun yaşandığında "kim yaptı" sorusu sadece doğru yetki ayrımı varsa cevaplanabilir.
Benzersiz kullanıcı, paylaşılmaz şifre
PCI-DSS'in en katı kurallarından biri her kullanıcı için benzersiz kimlik zorunluluğudur. Bu, "kasiyer1" gibi ortak hesapların kullanılmaması anlamına gelir. Vardiya değişen iki kasiyerin aynı hesap üzerinden satış yapması, hem fraud tespitini hem de yasal denetimi imkansız hale getirir.
İlgili pratik kurallar:
Her personelin kendi benzersiz kullanıcı adı olmalı.
Şifreler asla post-it'e yazılmamalı, paylaşılmamalı.
En az 8 karakter, harf + rakam + sembol içeren bir şifre politikası uygulanmalı.
Şifreler en geç 90 günde bir değiştirilmeli.
İşten ayrılan personelin hesabı aynı gün devre dışı bırakılmalı.
Çok faktörlü doğrulama (MFA)
Yönetici ve işletme sahibi hesapları için yalnızca şifre yeterli değildir. Bulut tabanlı POS yönetim panellerine erişimde mutlaka çok faktörlü doğrulama (SMS, e-posta kodu veya kimlik doğrulayıcı uygulama) açık olmalıdır. MFA, şifresi çalınan bir hesabın saldırgan tarafından kullanılmasını büyük ölçüde engeller.
Vardiya açma–kapama ve denetim log'u
Her vardiya açılışında ve kapanışında kasiyer kimliğinin, başlangıç-bitiş tutarının ve eldeki nakit miktarının kaydedildiği bir log tutulmalıdır. Bu log; iptal, iade, fiyat değişikliği gibi her hassas işlem için "kim, ne zaman, hangi cihazda" sorusunu cevaplayabilmelidir. Denetim log'u korunaklı bir yerde — tercihen bulutta, salt okunur olarak — saklanmalı ve en az bir yıl geri çağrılabilmelidir.
Fraud (Sahte İşlem) Tespiti ve Önleme
Fraud, POS dünyasında yalnızca müşteriden gelen sahte kartlarla yapılan saldırılar değildir; kasiyerden müdüre kadar her seviyede karşılaşılabilen bir risk kategorisidir. Önleme stratejisi, en sık karşılaşılan 5 fraud desenini tanımakla başlar.
En sık görülen 5 POS fraud deseni
Fraud deseni | Nasıl çalışır | Tespit sinyali | Önleme aksiyonu |
|---|---|---|---|
Sahte iade | Kasiyer, gerçek bir satış olmadığı halde iade işlemi yapıp parayı çeker | Aynı kasiyerde anormal yüksek iade oranı; müşterisiz iadeler | Tüm iadelerin müdür onayına bağlanması; iadelerin kasiyere değil aynı karta yapılması |
Void abuse (iptal istismarı) | Satış tamamlandıktan sonra fiş iptal edilir ama para kasada kalır | Belirli kasiyerde yüksek günlük iptal sayısı | İptallerin müdür onayı + gerekçe alanı zorunlu |
Hediye kartı dolandırıcılığı | Hediye kartı bakiyesi sahte işlemlerle aktarılır | Aktivasyondan kısa süre sonra büyük tutarda kullanım | Hediye kartı bakiye transferi için müdür onayı; aktivasyon-kullanım arasındaki sürenin izlenmesi |
Friendly fraud (chargeback istismarı) | Müşteri ödeme yaptıktan sonra bankaya "tanımıyorum" itirazı yapar | Belirli müşteri profilinden tekrarlayan chargeback'ler | İmzalı slip arşivi; sipariş + teslim kanıtı; risk skorlama |
Çalışan skimming | Kasiyer cep telefonu / sahte cihaz ile müşteri kart bilgilerini kopyalar | Müşterilerden gelen "kartım kullanıldı" şikayetinin tek bir vardiyada yoğunlaşması | Kasa noktasında cep telefonu yasağı; kapalı devre kamera; düzenli cihaz fiziksel kontrolü |
Anomali alarmları kurmak
Modern POS yazılımları, yukarıdaki desenlerin çoğu için otomatik anomali alarmı kurmaya imkân tanır. İşletme sahibi günlük olarak kontrol etmesi gereken üç temel raporu belirlemelidir:
İptal/iade oranı raporu — kasiyer ve şube bazında.
Saatlik satış grafiği — beklenen aralığın dışına çıkan anlık pikler.
Eksik z/x rapor durumu — günü kapatmadan biten vardiyaların listesi.
Bu üç raporun günlük 2 dakikalık disiplini, en sık görülen fraud vakalarının %80'ini önceden yakalar.
Veri İhlali Durumunda 72 Saatlik Müdahale Planı
Önleme katmanlarına rağmen bir veri ihlali yaşandığında, ilk 72 saat hem yasal hem teknik açıdan en kritik penceredir. Bu pencerede atılan adımlar, ihlalin maliyetini bir kaç katı azaltabilir ya da artırabilir.
Saat 0–4: Tespit ve izolasyon
İhlal şüphesi doğduğu anda etkilenen POS cihazları ve sunucular ağdan izole edilmelidir. Cihaz fişten çekilmez — bellekteki kanıt kaybolur — bunun yerine ağ kablosu/Wi-Fi devre dışı bırakılır. Olayı raporlayacak tek bir sorumlu kişi belirlenir; bilgi kirliliğini önlemek için iletişim bu kişiden geçer.
Saat 4–24: Kapsam tespiti ve kayıt
Hangi cihazların etkilendiği, hangi tarih aralığında olduğu, hangi kart numaralarının veya kişisel verinin sızdığı belirlenmeye çalışılır. Loglar — POS, ağ ve bulut tarafı dahil — bozulmayacak şekilde dışa aktarılır. Bu aşamada bir adli bilişim uzmanı veya banka tarafından önerilen PCI Forensic Investigator (PFI) ile çalışmak şarttır.
Saat 24–72: Yasal bildirim ve müşteri iletişimi
Türkiye'de KVKK gereği kişisel veri ihlalinin Kişisel Verileri Koruma Kurulu'na en geç 72 saat içinde bildirilmesi zorunludur. Etkilenen müşterilere de "makul en kısa sürede" bilgi verilmelidir. Kart şemaları (Visa/Mastercard) tarafı için bankanız aracılığıyla bildirim yapılır; bankanız sizden olayın detaylı bir raporunu isteyecektir.
Saat 72+: Kök neden ve sızdırmazlık
Saldırı vektörünün kapatıldığından emin olunmadan etkilenen sistemler tekrar üretime alınmaz. Aynı zaafiyetin tekrarlamaması için: şifrelerin sıfırlanması, yazılımın güvenli sürüme güncellenmesi, etkilenen API anahtarlarının döndürülmesi ve bir post-mortem raporu yazılması zorunludur.
Müşteri Verilerinin Korunması — KVKK ile Uyum
Türkiye'de POS sistemleri yalnızca kart verisi değil, kişiselleştirilmiş kampanya, sadakat programı, e-fatura ve e-arşiv kayıtları gibi pek çok kişisel veri işler. Bu nedenle POS güvenliği, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamına doğrudan girer.
KVKK çerçevesinde POS verisi nasıl sınıflanır?
İşletmenin POS üzerinden topladığı veriler KVKK kapsamında üç ana grupta değerlendirilebilir:
Kimlik ve iletişim verisi: Ad, soyad, telefon, e-posta — sadakat programı veya e-fatura için alınır.
İşlem ve finansal veri: Satış kayıtları, fiş kayıtları, ödeme yöntemi bilgisi.
Pazarlama profili verisi: Sıklık, sepet içeriği, tercih edilen kampanyalar.
Bunların her biri için işleme amacı, hukuki sebebi, saklama süresi ve imha politikası VERBİS (Veri Sorumluları Sicili) kaydında ve aydınlatma metninde açıkça belirtilmelidir.
Aydınlatma metni ve açık rıza
Müşteriden e-fatura için telefon/e-posta alıyorsanız aydınlatma metni göstermek zorunludur. Pazarlama ve profilleme için bu veriyi kullanmak istiyorsanız ayrı bir açık rıza alınmalıdır; sözleşmenin içine gizlenmiş tek kutu yeterli kabul edilmez.
Veri ihlali bildirim süresi
KVKK kapsamında, kişisel veri ihlali öğrenildiğinde en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. Bildirim yapılmaması veya geç yapılması başlı başına idari para cezası sebebidir; ihlalin kendisinden bağımsız olarak cezalandırılır.
Veri minimizasyonu
KVKK'nın en sık ihlal edilen ilkesi veri minimizasyonudur. Her sadakat kaydında TC kimlik numarası istemek, doğum tarihi sormak ya da müşterinin tam adresini tutmak; çoğu işletme için ne hukuki ne ticari bir gerekçeye dayanır. POS sisteminizden topladığınız her veri için "gerçekten gerekli mi?" sorusunu yıllık olarak tekrar sorun. Toplanmayan veri sızdırılamaz.
POS Güvenlik Kontrol Listesi — Bugün İşletmenizde Yapın
Aşağıdaki 15 maddelik liste, bu rehberde anlatılan tüm katmanları bir bakışta uygulanabilir hale getirir. Bir gün ayırıp her madde için "evet / kısmen / hayır" işaretlemeniz, işletmenizin POS güvenlik olgunluğunu netleştirir.
Cihaz ve yazılım
Tüm POS cihazlarının yazılımı son sürüme güncel.
Cihazlar TLS 1.2 veya 1.3 üzerinden iletişim kuruyor.
Ödeme verisi en az E2EE, mümkünse P2PE ile şifreleniyor.
POS cihazları işletme dışından gelen kablosuz ağa (misafir Wi-Fi) bağlı değil.
Cihazların fiziksel bütünlüğü (kart okuyucuda yabancı modül var mı?) haftalık kontrol ediliyor.
Personel ve erişim
Her personelin benzersiz kullanıcı adı ve şifresi var, paylaşılan hesap yok.
Yönetici hesapları için çok faktörlü doğrulama açık.
İşten ayrılan personelin hesabı aynı gün devre dışı bırakılıyor.
Kasiyerlerin iptal/iade yetkisi yok; müdür onayıyla yapılıyor.
Şifre politikası (8+ karakter, 90 günde değişim) uygulanıyor.
Süreç ve denetim
Tüm iptal, iade, fiyat değişikliği işlemleri log'lanıyor ve bir yıl saklanıyor.
İptal/iade oranı raporu günlük inceleniyor.
Veri ihlali müdahale planı yazılı ve sorumlular belli.
KVKK aydınlatma metni güncel, açık rıza süreçleri doğru.
POS satıcınızın PCI-DSS uyum durumu yazılı olarak alınmış.
Bu 15 maddenin tamamına "evet" diyebilen bir işletme, sektör ortalamasının çok üzerinde bir güvenlik olgunluğuna sahiptir. Her bir "hayır" maddesi ise önümüzdeki ay için somut bir aksiyon başlığıdır.
Sonuç
POS güvenliği; tek bir cihaz, tek bir özellik veya tek bir sertifika ile sağlanan bir durum değil, katmanlardan oluşan bir disiplindir. Doğru şifreleme (TLS + E2EE/P2PE), doğru standart (PCI-DSS uyumu), doğru yetki modeli (rol bazlı, benzersiz kullanıcı, MFA), aktif fraud izleme, hazır müdahale planı ve KVKK ile uyumlu veri politikası — bu altı katman bir araya geldiğinde işletmenin maruz kaldığı risk dramatik biçimde azalır.
Kardo POS, bu katmanların büyük çoğunluğunu işletme sahibinin teknik bilgi yükü olmadan kullanabileceği şekilde sunar: rol bazlı yetki yönetimi, çok faktörlü doğrulamalı yönetici girişi, denetlenebilir log altyapısı, şifrelenmiş bulut yedek ve P2PE uyumlu ödeme entegrasyonları. Mevcut sisteminizin güvenlik olgunluğunu birlikte değerlendirmek için Kardo POS yetkili danışmanlarıyla iletişime geçebilirsiniz.