Skip to main content
PCI-DSS uyumu kart verisinin nasıl işlendiğine göre farklı seviyelerde kapsam gerektirir. Bu sayfa, Payven entegrasyon seçeneklerinin PCI Self-Assessment Questionnaire (SAQ) tiplerine eşleştirmesini gösterir. Doğru entegrasyon modeli, denetim yükünüzü 280 sorudan 21 soruya kadar düşürebilir.
Resmi SAQ tanımları için: PCI Security Standards Council — SAQs. Bu tablo Payven entegrasyon modellerine göre rehber niteliğindedir; resmi onay için QSA (Qualified Security Assessor) ile doğrulayın.

Karar tablosu

Entegrasyon modeliKart verisi sizin sunucudan geçiyor mu?SAQ tipiYaklaşık soru sayısıKapsam
Hosted Checkout (Mintlify Hosted Checkout)Hayır — kart Payven sayfasında girilirSAQ A~22En düşük kapsam — yalnız e-ticaret merchant + tamamen outsource
Payven JS Drop-in (iframe / hosted fields)Hayır — kart Payven iframe’inde, parent DOM erişemezSAQ A-EP~191Site Payven’e yönlendiriyor ama kart sayfa içinde gözüküyor
Direct API (Non-3D) — kart sunucunuzdan POST ediliyorEvetSAQ D-Merchant~329Tam PCI-DSS denetimi
Direct API + tokenization (saved card) — ilk kez kart bizden geçer, sonraki çağrılar tokenEvet (ilk işlem)SAQ D-Merchant~329İlk işlem için kapsam — sonraki MIT’lerde daralabilir
Pay-by-link (Hosted)Hayır — link → Payven sayfasıSAQ A~22En düşük kapsam

Önerilen seçim

Hosted Checkout (SAQ A)

Tüketici e-ticareti, ekstra entegrasyon yükü kabul edilebilir. En düşük PCI yükü.

Drop-in iframe (SAQ A-EP)

Marka tutarlılığı önemli, kart formunu kendi sayfanızda göstermek istiyorsunuz ama kart verisini sunucularınızdan tutmak istemiyorsunuz.

Direct API (SAQ D)

Mobil uygulama gibi yüksek kontrol gereken senaryolar; ITSP / lisanslı ödeme kuruluşu olarak zaten SAQ D kapsamındaysanız ek yük yok.

Pay-by-link (SAQ A)

SMS / e-posta / WhatsApp ile ödeme talebi; geliştirme yükü en düşük.

SAQ tipi başına gereksinimler (özet)

SAQ A

  • Kart girişi 100% Payven’de (iframe + redirect)
  • Sizden istenen: TLS 1.2+, SSL Cert geçerli, PCI-uyumlu üçüncü taraf sağlayıcı listesi (Payven dahil), yıllık SAQ A imzalama
  • Kart verisi sunucularınızda hiçbir zaman olmamalı (log’da bile)

SAQ A-EP

  • iframe / drop-in modeli — kart verisi sayfanızda görünür ama Payven JS’sinden çıkmaz
  • Ek olarak: CSP (Content Security Policy), iframe origin kısıtlamaları, sayfa güvenlik kontrolleri
  • Sayfanızı barındıran sunucularda kart verisi log’lanmamalı

SAQ D-Merchant

  • Direct API
  • Tam PCI-DSS — 12 alan, 329 soru
  • Network segmentation, log management, FIM (file integrity monitoring), pen-test, ASV scan, çalışan eğitimi vb.
  • Çoğu ödeme kuruluşu zaten bu kapsamda — Payven’e geçiş ek yük yaratmaz

”Yanlışlıkla” kapsamı genişleten şeyler

Aşağıdakilerden biri varsa otomatik SAQ D-Merchant’a düşersiniz:
  • Kart numarasını log’a yazmak (debug, audit, hata izleme)
  • Kart verisini e-postada / Slack’te / Jira ticket’inde paylaşmak
  • Kart verisini destek için hot-storage’a kopyalamak (Redis, Memcached)
  • Mobil uygulamadan kart verisini SMS / push notification ile server’a göndermek
  • Web request’lerini proxy / WAF / SIEM’de body ile loglamak

Yıllık denetim takvimi (SAQ A merchant için)

AyEylem
OcakYıllık SAQ A formunu doldur
MartPen-test (varsa kapsam)
Çeyreklik (Mar/Jun/Sep/Dec)ASV (Approved Scanning Vendor) ile dış ağ taraması
SürekliÜçüncü taraf sağlayıcı listesi güncel mi? Payven AOC (Attestation of Compliance) kopyası var mı?

Payven’in kendi uyumu

Payven, PCI-DSS Level 1 Service Provider sertifikalıdır (yıllık QSA denetimi). AOC kopyası için: destek ekibimize yazın.

İlgili sayfalar