Payven, PCI-DSS (Payment Card Industry Data Security Standard) uyumlu bir altyapı sunar. Bu, kart verisi işleyen ve saklayan sistemlerin uyması gereken global güvenlik standardıdır.Documentation Index
Fetch the complete documentation index at: https://docs.payven.com.tr/llms.txt
Use this file to discover all available pages before exploring further.
PCI-DSS Sertifikalı Altyapı
Payven platformu PCI-DSS standardına uyumludur. Sertifika ve denetim raporları talep üzerine paylaşılır — destek ekibimize yazın.
Sizin sorumluluğunuz
PCI-DSS uyumluluğu sizin kart verisi nasıl topladığınızla doğrudan ilgilidir. Aşağıdaki yaklaşımlar farklı sorumluluk seviyelerine karşılık gelir:- En düşük yük: Hosted Checkout
- Orta yük: Pay-by-Link
- Yüksek yük: Direct API
Müşteri kart bilgilerini Payven’in barındırdığı ödeme sayfasına girer.
- Kart verisi sizin sunucularınıza hiç dokunmaz.
- PCI-DSS denetim kapsamınız SAQ-A (en kısa form, ~22 madde).
- Önerilen yaklaşım: çoğu B2C entegrasyonu için ideal.
Asla saklamayın
| Veri | Saklamak yasak mı? |
|---|---|
| Tam kart numarası (PAN) | ❌ Yasak (Payven saklar, siz saklamayın) |
| CVV / CVC | ❌ Kesinlikle yasak |
| Manyetik şerit / chip track verisi | ❌ Kesinlikle yasak |
| PIN | ❌ Kesinlikle yasak |
| Kart sahibi adı (referans için) | ✅ İzinli ama gerekmiyorsa saklamayın |
| Son 4 hane (referans/raporlama için) | ✅ İzinli |
| BIN (ilk 6 hane) | ✅ İzinli |
| Son kullanma tarihi | ⚠️ Tek başına yeterli değil ama saklamamak en iyisi |
Önerilen güvenlik kontrolleri
TLS 1.2 veya üstü — Payven yalnızca TLS 1.2+ kabul eder. Eski TLS sürümleri reddedilir.
HSTS — Kendi domain’iniz için HTTP Strict Transport Security ekleyin.
API anahtarı güvenliği — Anahtarları HashiCorp Vault, AWS Secrets Manager veya benzeri bir secret manager’da saklayın.
Loglar maskelenir — Yanlışlıkla kart numarası loglanırsa hemen maskeleyin:
4546 71** **** 7894.Erişim kontrolü — API anahtarına yalnızca ödeme alan servis erişebilsin, geliştiriciler doğrudan production anahtarına erişmesin.
Düzenli rotasyon — En az 6 ayda bir API anahtarınızı rotasyona alın.
Denetim ve raporlama
İhtiyaç durumunda destek ekibinden talep edebileceğiniz belgeler:- PCI-DSS Attestation of Compliance (AOC)
- Sorumluluk Matrisi (Payven ↔ siz)
- Penetrasyon test özet raporu (NDA altında)
- ISO 27001 sertifikası
Sık sorulanlar
Kendi sayfamda kart formu kullanmak istemiyorum, neyi seçmeliyim?
Kendi sayfamda kart formu kullanmak istemiyorum, neyi seçmeliyim?
Hosted Checkout kullanın. Kart verisi sizin sunucularınıza dokunmaz, PCI yükü minimumdur.
Direct API kullanmak için PCI sertifikası şart mı?
Direct API kullanmak için PCI sertifikası şart mı?
Evet — PAN’i sizin altyapınızdan geçen her senaryoda PCI-DSS denetimi yaptırmanız gerekir.
Test ortamında PCI kuralları geçerli mi?
Test ortamında PCI kuralları geçerli mi?
Sandbox test kartları gerçek kart değildir, dolayısıyla saklamak/loglamak teknik olarak ihlal değildir. Yine de production kodunuz gerçek kartı işlemediğinden emin olmak için sandbox’ta da aynı disiplinle çalışın.