---
title: PCI Compliance
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/pci-compliance/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/pci-compliance/
last_updated: 2026-06-20
---

# PCI Compliance

> Implement PCI DSS compliance requirements for secure handling of payment card data and payment…

PCI Compliance, PCI DSS'in 12 temel gereksinimi, dört uyum seviyesi ve SAQ türleri arasında pratik bir yol sunarken denetim kapsamınızı belirgin şekilde küçültmenizi sağlar. Temel strateji, barındırılan ödeme ve tokenizasyon ile kart verisini tamamen sunucularınızın dışında tutmaktır; bu da sizi 300 soruluk SAQ D'den yaklaşık 20 soruluk SAQ A'ya indirir. Şifreleme, erişim kontrolü, denetim kaydı ve veri minimizasyonu desenleriyle 'uyumlu'yu kontrol listesinden çalışan koda dönüştürür.

## Ne için kullanılır
- Kart verisi işleyen ödeme sistemi kurma
- PCI kapsamını SAQ D'den SAQ A'ya doğru daraltma
- PAN'ın sunucuya hiç ulaşmaması için tokenizasyon uygulama
- Kart sahibi verisini beklemede ve aktarımda şifreleme
- Tüm kart sahibi verisi erişimleri için denetim kaydı kurma
- PCI DSS öz değerlendirmesine hazırlanma

## Faydalar
- Kart verisini sistemlerinizin dışında tutarak denetim maliyetini azaltın
- CVV saklama veya şifrelenmemiş PAN gibi en yaygın ihlallerden kaçının
- Doğru güvenlik sinyalleriyle müşteri ödeme güveni oluşturun
- Uyumu yalnızca belgeyle değil, kodla zorunlu kılın

## Ne içerir
- Altı savunma kategorisine eşlenmiş 12 PCI DSS gereksinimi
- SAQ A, A-EP ve D arasında kapsam daraltma rehberi
- Tokenizasyon desenleri: sağlayıcı token'ları ve özel AES-256 kasaları
- AES-256-GCM beklemede şifreleme ve TLS 1.2+ aktarım yapılandırması
- PCI erişim dekoratörü ile rol tabanlı erişim kontrolü
- Yalnızca ekleme yapılan PCI denetim kaydı ve yasak veri doğrulaması

## Kimler için
Kart verisi işleyen ve uyum kapsamı ile denetim maliyetini mümkün olduğunca küçük tutarak PCI DSS'i karşılaması gereken mühendislik ekipleri için.

## Nasıl çalışır
Bir ödeme sistemi kart verisine dokunacağı an skill'in koştuğu döngü, kara kutu yok, yaptığı iş tam olarak bu:
1. Kart verisi akışını haritala ve mümkün olan en küçük PCI kapsamını seç: hosted ödeme sayfası SAQ A (yaklaşık 20 soru), gömülü Stripe.js formu SAQ A-EP (yaklaşık 180), sunucuda kart işleme SAQ D (yaklaşık 300 soru artı yıllık pentest ve QSA denetimi); kapsam küçültme sonradan değil ilk karardır.
2. Veri minimizasyonunu zorla: CVV, full track data ve PIN asla saklanmaz, PAN her logda ilk 6 artı son 4 dışında maskelenir, yasaklı bir alan depoya ulaşmadan storage doğrulayıcısı hata fırlatır.
3. Token'a çevir: kart verisi client tarafında token'a dönüşür, sunucu yalnızca tok_/pm_ kimliklerini görür, veritabanında sadece customer_id ve payment_method_id durur; özel vault kaçınılmazsa AES artı kriptografik rastgele token kullanılır, standart random modülü asla.
4. İki durumu da şifrele: durağan veride rastgele nonce ile AES-256-GCM, aktarımda TLS 1.2+ ve secure, httponly, samesite cookie ayarları.
5. Erişimi kapıla ve kaydet: pci_access rol dekoratörü yetkisiz okumayı keser, kart verisine her erişim zaman damgası, kullanıcı, kaynak, aksiyon, sonuç ve IP ile salt-ekleme audit loguna yazılır, Requirement 10 saklama süresine uyulur.
6. 6 kategorili uyum kontrol listesiyle kapat (ağ güvenliği, veri koruma, zafiyet yönetimi, erişim kontrolü, izleme, politika) ve bilinen ihlal listesini, saklanan CVV, şifresiz PAN, varsayılan parola, eksik log, denetim öncesi süpür.

## Sık sorulanlar
### Zaten Stripe gibi barındırılan ödeme kullanıyoruz, bu yine de gerekli mi?
Evet, kodladığı strateji tam olarak bu: barındırılan ödeme ve tokenizasyon kart numarasını sunucularınızdan uzak tutar ve sizi SAQ A bölgesine taşır. Paket, geriye kalan kapsamı, yani hâlâ yanıtladığınız yaklaşık 20 soruyu doğrulamanıza ve arkasındaki kontrolleri kurmanıza yardım eder.

### Denetimi 300 sorudan yaklaşık 20'ye gerçekten nasıl indiriyor?
Kart sahibi verisi saklamayı ortadan kaldırarak: tokenizasyon desenleri (sağlayıcı token'ları veya özel AES-256 kasası) sistemlerinizin ham kart numarası tutmamasını sağlar; bu da sizi SAQ D'den SAQ A yönüne taşır. Kalan kısım, erişim kontrolü, denetim kaydı ve yasak veri doğrulaması, yalnızca politika belgesi değil kod deseni olarak gelir.

### Uygularsam resmî PCI sertifikam olur mu?
Hayır. Öz değerlendirmeyi hazırlar ve teknik kontrolleri kurar; resmî doğrulama, seviyenize göre SAQ beyanı veya QSA denetimi, edinici bankanızla tamamladığınız ayrı bir süreçtir. Sertifika evrak artı kanıttır; bu paket kanıtı inşa eder.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)