Image
Beko Yetkili Satıcısı
Giriş Yap
Image
Anasayfa > Blog > POS Sistemlerinde Güvenlik ve Dolandırıcılık Önlemleri
8 Ekim, 2025

POS Sistemlerinde Güvenlik ve Dolandırıcılık Önlemleri

Günümüz iş dünyasında, POS (Point-Of-Sale / Satış Noktası) cihazları yalnızca ödeme aracısı olmanın ötesine geçti — stok, raporlama, müşteri yönetimi gibi sistemlerle entegre çalışıyorlar. Bu artan entegrasyon ve dijitalleşme, aynı zamanda POS sistemlerini daha cazip hedef haline getiriyor. Dolayısıyla işletmeler, POS cihazlarını ve altyapılarını güvenli hale getirmek için dikkatli davranmak zorunda.

Bu yazıda üç ana başlıkta odaklanacağız:

  1. Şifreleme, SSL, PCI-DSS uyumluluğu
  2. Sahtekârlık tespit yöntemleri
  3. Personel eğitimi & güvenlik protokolleri

1. Şifreleme, SSL, PCI-DSS Uyumluluğu

PCI-DSS Nedir, Neden Önemlidir?

PCI-DSS (Payment Card Industry Data Security Standard), kart verisini işleyen, depolayan ya da ileten tüm kurumlar için belirlenmiş güvenlik standartları bütünüdür Amaç, kart sahibine ait verilerin korunması, veri ihlallerinin azaltılması ve işlem güvenliğinin sağlanmasıdır.

PCI-DSS belgesi, 12 temel gereksinimi kapsar: ağ güvenliği, şifreleme, erişim kontrolü, ağın izlenmesi, güvenlik politikaları vs.

İşletmeler, işlem hacmine bağlı olarak yıllık değerlendirme, dış denetim ya da kendi kendine değerlendirme (Self-Assessment Questionnaire, SAQ) ile uyumluluklarını belgelemelidir.

PCI-DSS, yalnızca kredi kartı verisini doğrudan işleyen tarafı değil, veriye erişebilecek tüm sistem bileşenlerini (örneğin POS ağı, sunucular, raporlama sistemleri) kapsar.

Veri Şifreleme & SSL / TLS

  • Veri şifreleme (Encryption): Kart numarası, CVV, PIN gibi hassas veriler, iletim sırasında mutlaka güvenli şifreleme ile korunmalıdır.
  • SSL / TLS: Verilerin internet gibi açık ağlar üzerinden geçerken güvende olması için SSL/TLS kullanılmalıdır.
  • End-to-End Encryption (uçtan uca şifreleme, E2EE): POS cihazından başlayan, işlem sunucusuna kadar devam eden tüm iletişim kanalını kapsayan şifreleme. Arada ağı dinleyen kötü niyetliler bile veriyi çözememelidir.
  • Point-to-Point Encryption (P2PE): Kart verisi POS cihazında okunurken kriptolanır ve doğrudan ödeme işlem altyapısına iletilir; aradaki sistem bileşenleri bu veriyi şifreli halde iletir.
  • Tokenizasyon: Kart verisini doğrudan sistemde saklamak yerine, işlem için tek kullanımlık veya sabit olmayan “token” değerleriyle çalışmak. Böylece veritabanında gerçek kart bilgisi tutulmaz.

Diğer Teknik Önlemler & En İyi Uygulamalar

  • Güçlü parola ve erişim kontrolü: Her kullanıcı kendine özel hesapla sisteme giriş yapmalı, paylaşılan admin kullanıcıları olmamalı.
  • Varsayılan şifreler değiştirilmeli: POS cihazı ya da sistem bileşenleri, üretici tarafından gelen varsayılan parolalarla gelirse bunlar hemen değiştirilmelidir.
  • Güncelleme & yamalama: POS yazılımı, işletim sistemi, bileşenler düzenli olarak güncellenmeli; güvenlik yamaları zamanında uygulanmalı.
  • Ağ segmentasyonu: POS cihazları, müşteri Wi-Fi ağından ya da diğer işletme ağlarından izole edilmeli; sadece gerekli erişim izinleri verilmeli.
  • Güvenlik duvarı (firewall): POS veri alanını dış dünyadan ayıracak şekilde yapılandırılmış firewall olmalı.
  • Antivirüs/malware koruması: Zararlı yazılımlar POS sistemine bulaşmamalı, sürekli izleme olmalı.
  • Gözlemlenebilirlik & günlük kayıt (logging & monitoring): İşlemler, erişimler, hata ve uyarılar kaydedilmeli; olağan dışı girişimler tespit edilmeli.
  • Güvenlik testleri (penetrasyon testi, zafiyet analizi): Sistem periyodik olarak saldırılara karşı test edilmeli.
  • Donanım koruması: POS cihazlarının fiziksel müdahalelere karşı korunması; kart girişi, PIN pad gibi bileşenlerde zorlama kontrolü olmalı.

2. Sahtekârlık Tespit Yöntemleri

POS sistemlerinde sahtekârlık riskleri çeşitlidir: kart sahteciliği, taklit cihazlar (skimmer), içerden yapılan hırsızlık, sahte iade işlemleri vb. Aşağıda öne çıkan tespit/önleme yöntemleri:

Gerçek Zamanlı İzleme & Anomali Tespiti

  • İşlem hacmi, işlem sıklığı, işlem tutarları gibi metriklerde anormal davranışlar otomatik sistemlerle izlenmeli.
  • Örneğin, kısa sürede çok sayıda küçük işlem, aynı kartla art arda işlem gibi durumlar alarm tetikleyebilir.
  • AI / makine öğrenimi tabanlı sistemler bu tür anomalileri yakalamada etkin olabilir. Karşılaştırmalı Analiz & Siyah Liste Kullanımı
  • Şüpheli kart numaraları, kredi kartı sahipleri, IP adresleri önceden tanımlı kara listelerde tutulabilir.
  • Kart bilgisi daha önce sahtekarlıkta kullanılmışsa uyarı verilebilir.

İşlem Onayı / Kimlik Doğrulama Katmanı

  • Yüksek tutarlı işlemlerde ek doğrulama (SMS doğrulama, 3D Secure gibi yöntemler) istenebilir.
  • Telefon doğrulaması, e-posta salma kontrolü gibi çift doğrulama mekanizmaları kullanılabilir.

İade / İptal Kontrolleri

  • İade / iptal işlemleri sık kontrol edilmeli ve alışılmışın dışında işlemler incelenmeli.
  • İadelerde işlem geçmişi, aynı cihazdan çok sayıda iade kontrolü gibi kurallar uygulanabilir.

POS Donanım Güvenliği & Skimmer Tespiti

  • POS cihazlarına fiziksel müdahale edilmiş mi, skimmer takılmış mı gibi kontroller düzenli yapılmalı.
  • PIN pad, kart okuyucu yüzeyleri düzenli gözle incelenmeli.
  • Cihazların açık bırakılması, dışarıdan kablo bağlantıları kontrol edilmelidir.

İçeriden Tehdit & Yetki İhlali Kontrolü

  • Çalışanların işlem yetkileri sınırlandırılmalı — belli işlemler yalnızca belirli kullanıcı gruplarına açık olmalı.
  • Aynı kullanıcı hesabından çok sayıda işlem yapılması, şüpheli davranış izlenmeli.
  • Kritik işlemler (iade, yetki yükseltme) için yönetici onayı gerekebilir.

Raporlama & Denetim İzleri

  • Sistemdeki tüm işlemler ayrıntılı loglarla desteklenmeli.
  • Düzenli raporlar (günlük, haftalık) incelenmeli; şüpheli işlemler ayrı raporlanmalı.
  • Bağımsız denetçiler ya da siber güvenlik uzmanları ile sistem testleri yapılmalı.

3. Personel Eğitimi & Güvenlik Protokolleri

Teknik önlemler ne kadar güçlü olursa olsun, “insan unsuru” güvenlik zayıflığı olabilir. Bu nedenle personel eğitimi ve firmadaki protokoller çok kritik.

Çalışan Farkındalığı & Eğitim

  • POS sistemleri, ödeme verisi işleyen cihazlar oldukları için çalışanlara veri güvenliği bilinci kazandırılmalı.
  • Sosyal mühendislik (phishing, oltalama) saldırılarına karşı eğitim verilmeli.
  • Kötü niyetli e-posta bağlantıları, indirme, USB bellek kullanımı vb. riskler öğretilmeli.
  • Düzenli tekrarlayan eğitimler olmalı, güncel siber tehditler personelle paylaşılmalı.

Yetkilendirme & Sorumluluk Paylaşımı

  • Her çalışana sadece işlemleri yapabilmesi için gereken en düşük hak verilmeli (least privilege)
  • Kritik işlemler (iade, yetki artırımı, sistem güncelleme) için çift imza ya da yönetici onayı sistemi olmalı.
  • Çalışan değişimlerinde yetki iptal prosedürleri uygulanmalı.

Güvenli Çalışma Protokolleri

  • POS cihazları gece “kilit pozisyonuna” getirilerek, yetkisiz erişime kapatılmalı.
  • Fiziksel güvenlik: POS cihazları sabitlenmeli, kablosuz ekipman kullanılıyorsa sinyal güvenliği göz önüne alınmalı.
  • Cihazların etrafında kameralar, alarm sistemleri gibi fiziksel güvenlik önlemleri düşünülebilir.
  • Yazılım kullanıcı oturumlarının otomatik kilitlenmesi, kısa sürede boşta kalma durumunda oturum kapanması gibi önlemler olmalı.

Olay Müdahale Planı & Süreç Belirleme

  • Bir güvenlik olayı (veri sızıntısı, şüpheli işlem) olduğunda nasıl hareket edileceği önceden tanımlı olmalı (olay müdahale planı).
  • Olay kayıtları tutulmalı, inceleme süreçleri belirli olmalı.
  • Sorumlu kişiler, iletişim hattı, yedekleme prosedürleri önceden tanımlanmalı.
  • Önceki
  • 1
  • 2
  • Sonraki
Image
8 Ekim, 2025

POS Sistemlerinde Güvenlik ve Dolandırıcılık Önlemleri

Günümüz iş dünyasında, POS (Point-Of-Sale / Satış Noktası) cihazları yalnızca ödeme aracısı olmanın ötesine geçti — stok, raporlama, müşteri yönetimi gibi sistemlerle entegre çalışıyorlar. Bu artan entegrasyon ve dijitalleşme, aynı zamanda POS sistemlerini daha cazip hedef haline getiriyor. Dolayısıyla işletmeler, POS cihazlarını ve altyapılarını güvenli hale getirmek için dikkatli davranmak zorunda.

Bu yazıda üç ana başlıkta odaklanacağız:

  1. Şifreleme, SSL, PCI-DSS uyumluluğu
  2. Sahtekârlık tespit yöntemleri
  3. Personel eğitimi & güvenlik protokolleri

1. Şifreleme, SSL, PCI-DSS Uyumluluğu

PCI-DSS Nedir, Neden Önemlidir?

PCI-DSS (Payment Card Industry Data Security Standard), kart verisini işleyen, depolayan ya da ileten tüm kurumlar için belirlenmiş güvenlik standartları bütünüdür Amaç, kart sahibine ait verilerin korunması, veri ihlallerinin azaltılması ve işlem güvenliğinin sağlanmasıdır.

PCI-DSS belgesi, 12 temel gereksinimi kapsar: ağ güvenliği, şifreleme, erişim kontrolü, ağın izlenmesi, güvenlik politikaları vs.

İşletmeler, işlem hacmine bağlı olarak yıllık değerlendirme, dış denetim ya da kendi kendine değerlendirme (Self-Assessment Questionnaire, SAQ) ile uyumluluklarını belgelemelidir.

PCI-DSS, yalnızca kredi kartı verisini doğrudan işleyen tarafı değil, veriye erişebilecek tüm sistem bileşenlerini (örneğin POS ağı, sunucular, raporlama sistemleri) kapsar.

Veri Şifreleme & SSL / TLS

  • Veri şifreleme (Encryption): Kart numarası, CVV, PIN gibi hassas veriler, iletim sırasında mutlaka güvenli şifreleme ile korunmalıdır.
  • SSL / TLS: Verilerin internet gibi açık ağlar üzerinden geçerken güvende olması için SSL/TLS kullanılmalıdır.
  • End-to-End Encryption (uçtan uca şifreleme, E2EE): POS cihazından başlayan, işlem sunucusuna kadar devam eden tüm iletişim kanalını kapsayan şifreleme. Arada ağı dinleyen kötü niyetliler bile veriyi çözememelidir.
  • Point-to-Point Encryption (P2PE): Kart verisi POS cihazında okunurken kriptolanır ve doğrudan ödeme işlem altyapısına iletilir; aradaki sistem bileşenleri bu veriyi şifreli halde iletir.
  • Tokenizasyon: Kart verisini doğrudan sistemde saklamak yerine, işlem için tek kullanımlık veya sabit olmayan “token” değerleriyle çalışmak. Böylece veritabanında gerçek kart bilgisi tutulmaz.

Diğer Teknik Önlemler & En İyi Uygulamalar

  • Güçlü parola ve erişim kontrolü: Her kullanıcı kendine özel hesapla sisteme giriş yapmalı, paylaşılan admin kullanıcıları olmamalı.
  • Varsayılan şifreler değiştirilmeli: POS cihazı ya da sistem bileşenleri, üretici tarafından gelen varsayılan parolalarla gelirse bunlar hemen değiştirilmelidir.
  • Güncelleme & yamalama: POS yazılımı, işletim sistemi, bileşenler düzenli olarak güncellenmeli; güvenlik yamaları zamanında uygulanmalı.
  • Ağ segmentasyonu: POS cihazları, müşteri Wi-Fi ağından ya da diğer işletme ağlarından izole edilmeli; sadece gerekli erişim izinleri verilmeli.
  • Güvenlik duvarı (firewall): POS veri alanını dış dünyadan ayıracak şekilde yapılandırılmış firewall olmalı.
  • Antivirüs/malware koruması: Zararlı yazılımlar POS sistemine bulaşmamalı, sürekli izleme olmalı.
  • Gözlemlenebilirlik & günlük kayıt (logging & monitoring): İşlemler, erişimler, hata ve uyarılar kaydedilmeli; olağan dışı girişimler tespit edilmeli.
  • Güvenlik testleri (penetrasyon testi, zafiyet analizi): Sistem periyodik olarak saldırılara karşı test edilmeli.
  • Donanım koruması: POS cihazlarının fiziksel müdahalelere karşı korunması; kart girişi, PIN pad gibi bileşenlerde zorlama kontrolü olmalı.

2. Sahtekârlık Tespit Yöntemleri

POS sistemlerinde sahtekârlık riskleri çeşitlidir: kart sahteciliği, taklit cihazlar (skimmer), içerden yapılan hırsızlık, sahte iade işlemleri vb. Aşağıda öne çıkan tespit/önleme yöntemleri:

Gerçek Zamanlı İzleme & Anomali Tespiti

  • İşlem hacmi, işlem sıklığı, işlem tutarları gibi metriklerde anormal davranışlar otomatik sistemlerle izlenmeli.
  • Örneğin, kısa sürede çok sayıda küçük işlem, aynı kartla art arda işlem gibi durumlar alarm tetikleyebilir.
  • AI / makine öğrenimi tabanlı sistemler bu tür anomalileri yakalamada etkin olabilir. Karşılaştırmalı Analiz & Siyah Liste Kullanımı
  • Şüpheli kart numaraları, kredi kartı sahipleri, IP adresleri önceden tanımlı kara listelerde tutulabilir.
  • Kart bilgisi daha önce sahtekarlıkta kullanılmışsa uyarı verilebilir.

İşlem Onayı / Kimlik Doğrulama Katmanı

  • Yüksek tutarlı işlemlerde ek doğrulama (SMS doğrulama, 3D Secure gibi yöntemler) istenebilir.
  • Telefon doğrulaması, e-posta salma kontrolü gibi çift doğrulama mekanizmaları kullanılabilir.

İade / İptal Kontrolleri

  • İade / iptal işlemleri sık kontrol edilmeli ve alışılmışın dışında işlemler incelenmeli.
  • İadelerde işlem geçmişi, aynı cihazdan çok sayıda iade kontrolü gibi kurallar uygulanabilir.

POS Donanım Güvenliği & Skimmer Tespiti

  • POS cihazlarına fiziksel müdahale edilmiş mi, skimmer takılmış mı gibi kontroller düzenli yapılmalı.
  • PIN pad, kart okuyucu yüzeyleri düzenli gözle incelenmeli.
  • Cihazların açık bırakılması, dışarıdan kablo bağlantıları kontrol edilmelidir.

İçeriden Tehdit & Yetki İhlali Kontrolü

  • Çalışanların işlem yetkileri sınırlandırılmalı — belli işlemler yalnızca belirli kullanıcı gruplarına açık olmalı.
  • Aynı kullanıcı hesabından çok sayıda işlem yapılması, şüpheli davranış izlenmeli.
  • Kritik işlemler (iade, yetki yükseltme) için yönetici onayı gerekebilir.

Raporlama & Denetim İzleri

  • Sistemdeki tüm işlemler ayrıntılı loglarla desteklenmeli.
  • Düzenli raporlar (günlük, haftalık) incelenmeli; şüpheli işlemler ayrı raporlanmalı.
  • Bağımsız denetçiler ya da siber güvenlik uzmanları ile sistem testleri yapılmalı.

3. Personel Eğitimi & Güvenlik Protokolleri

Teknik önlemler ne kadar güçlü olursa olsun, “insan unsuru” güvenlik zayıflığı olabilir. Bu nedenle personel eğitimi ve firmadaki protokoller çok kritik.

Çalışan Farkındalığı & Eğitim

  • POS sistemleri, ödeme verisi işleyen cihazlar oldukları için çalışanlara veri güvenliği bilinci kazandırılmalı.
  • Sosyal mühendislik (phishing, oltalama) saldırılarına karşı eğitim verilmeli.
  • Kötü niyetli e-posta bağlantıları, indirme, USB bellek kullanımı vb. riskler öğretilmeli.
  • Düzenli tekrarlayan eğitimler olmalı, güncel siber tehditler personelle paylaşılmalı.

Yetkilendirme & Sorumluluk Paylaşımı

  • Her çalışana sadece işlemleri yapabilmesi için gereken en düşük hak verilmeli (least privilege)
  • Kritik işlemler (iade, yetki artırımı, sistem güncelleme) için çift imza ya da yönetici onayı sistemi olmalı.
  • Çalışan değişimlerinde yetki iptal prosedürleri uygulanmalı.

Güvenli Çalışma Protokolleri

  • POS cihazları gece “kilit pozisyonuna” getirilerek, yetkisiz erişime kapatılmalı.
  • Fiziksel güvenlik: POS cihazları sabitlenmeli, kablosuz ekipman kullanılıyorsa sinyal güvenliği göz önüne alınmalı.
  • Cihazların etrafında kameralar, alarm sistemleri gibi fiziksel güvenlik önlemleri düşünülebilir.
  • Yazılım kullanıcı oturumlarının otomatik kilitlenmesi, kısa sürede boşta kalma durumunda oturum kapanması gibi önlemler olmalı.

Olay Müdahale Planı & Süreç Belirleme

  • Bir güvenlik olayı (veri sızıntısı, şüpheli işlem) olduğunda nasıl hareket edileceği önceden tanımlı olmalı (olay müdahale planı).
  • Olay kayıtları tutulmalı, inceleme süreçleri belirli olmalı.
  • Sorumlu kişiler, iletişim hattı, yedekleme prosedürleri önceden tanımlanmalı.