Giriş

Çevrimiçi ödemeler sırasında satıcıdan ödeme sağlayıcısına (PSP) veya harici bir ödeme sayfasına yapılan yönlendirmeler, işlemin güvenliği açısından kritik bir noktadır. "Güvenli ödeme yönlendirmesi" terimi, yönlendirme zincirinin, hedef sayfanın ve ödeme formunun beklenen ve güvenilir kaynaklara ait olduğunu doğrulamak için yapılan kontrolleri kapsar. Bu rehberde pratik kontrol adımları, hızlı tespit yöntemleri ve bir kontrol listesi bulacaksınız.

Temel kavramlar

Yönlendirme (redirect): Kullanıcının tarayıcısının bir URL'den başka bir URL'ye otomatik veya manuel olarak gönderilmesidir. Yönlendirme zincirleri birden çok ara alan (domain) içerebilir.

PSP (Payment Service Provider): Ödemeyi işleyen aracı kuruluş. Doğrulanmış bir PSP, ödemeyi güvenli bir şekilde kabul edip ilgili finansal altyapıyla iletişime geçer.

HTTPS / TLS sertifikası: Adres çubuğunda görünen kilit simgesi, sayfanın TLS ile şifrelenmiş olduğunu gösterir. Sertifika bilgileri alan adı eşleşmesi, verici (issuer) ve son kullanma tarihi gibi kritik bilgiler içerir.

Hızlı doğrulama: Adım adım kontrol listesi

1. Adres çubuğunu kontrol edin: Yönlendirme sonrası görünen alan adı (domain) beklenen PSP ya da satıcı alan adıyla eşleşiyor mu?
2. HTTPS kilidini inceleyin: Kilit ikonuna tıklayarak sertifika ayrıntılarını kontrol edin; sertifika veren kuruluş, alan adı uyuşumu ve geçerlilik tarihine bakın.
3. Yönlendirme zincirini gözden geçirin: Birden fazla ara alan adı veya uzun yönlendirme zincirleri dikkat gerektirir. Gerekirse tarayıcı geliştirici araçlarıyla (Network) veya komut satırı araçlarıyla (örneğin curl -I -L https://...) yönlendirme başlıklarını inceleyin.
4. Form hedefini doğrulayın: Ödeme formunun "action" hedefi hangi domaine gönderiyor? Gönderim, gözüken PSP alan adıyla tutarlı mı?
5. Sayfa içeriğini inceleyin: Marka isimleri, iletişim bilgileri, yazım hataları ve tasarım kalitesi şüpheli durumlarda ek göstergeler olabilir.
6. Ödeme tutarı ve para birimi: İstenen tutar beklediğinizle aynı mı? Para birimi veya tutarda beklenmeyen değişiklikler var mı?
7. 3D Secure veya ek doğrulama: Kredi/banka kartı için ek doğrulama adımı (3D Secure gibi) sunuluyor mu? Sunuluyorsa ekran içeriği ve doğrulama sağlayıcısı beklenen biçimde mi görünüyor?
8. Gereksiz bilgi isteniyor mu? Kart bilgileri dışında kimlik numarası, sosyal güvenlik gibi hassas bilgiler istenmemeli. İhtiyaç varsa neden gerektiğini sorun.
9. İletişim kanallarını doğrulayın: Sayfada sunulan telefon/e-posta adreslerini satıcının resmi web sitesindeki bilgilerle karşılaştırın.
10. Görsel güven işaretleri: Güvenli ödeme rozetleri veya bankacılık logoları varsa bunların tıklanabilir ve doğrulanabilir olduğundan emin olun.

Tarayıcı ve sertifika kontrolleri

Tarayıcının kilit ikonuna tıklayarak sertifika ayrıntılarını görebilirsiniz. Aşağıdakileri kontrol edin:

• Alan adı uyuşumu: Sertifika hangi alan adını kapsıyor (CN / SAN alanları)?
• Verici (Issuer): Sertifikayı hangi yetkili kurum sağlamış? Bilinen ve güvenilir bir sertifika otoritesi mi?
• Geçerlilik tarihi: Sertifika süresi dolmuş mu?
• Sertifika zinciri: Tarayıcının gösterdiği zincirde eksik ara sertifika olup olmadığına dikkat edin.

Daha derin bir inceleme için çevrimiçi SSL test araçları kullanılabilir. Bu araçlar, TLS yapılandırması ve genel güvenlik durumuna dair teknik bilgiler verir. Örnek araçlara doğrudan erişim için şunlara bakabilirsiniz: https://www.ssllabs.com/ssltest/ ve https://letsencrypt.org/.

Yönlendirme zincirini teknik olarak inceleme

Basit bir kontroller dizisiyle yönlendirme başlıklarını görebilirsiniz. Tarayıcı geliştirici araçlarının Network sekmesi, hangi URL'lerin çağrıldığını ve hangi Location başlıklarının döndüğünü gösterir. Komut satırında örnek bir başlık sorgusu şu şekilde çalışır: curl -I -L https://ornek.site — bu komut, takip edilen yönlendirmeler için üst bilgi (header) çıktısı verir. Çıktıda "Location:" başlıkları hangi alan adlarına yönlendirildiğini gösterir.

Uzun veya gizemli zincirler, beklenen PSP alan adından farklı ara alanlar içeriyorsa ekstra dikkat gerektirir.

PSP güvenilirliğini nasıl değerlendirebilirsiniz?

Bir ödeme sağlayıcısının güvenilirliğini değerlendirirken şu noktalar yardımcı olur:

• Resmi kimlik ve iletişim: Şirket kayıt bilgileri, adres ve müşteri hizmetleri erişimi doğrulanmalı.
• Uyumluluk ve sertifikalar: PSP'nin PCI DSS gibi ödeme güvenliği standartlarına uyum beyanı sunması beklenir; bu beyanı doğrudan sağlayıcıdan veya yayımlanmış dokümanlardan kontrol edin. Genel bilgi kaynağı için: https://www.pcisecuritystandards.org/
• Banka ortaklıkları: PSP hangi banka veya akıllı ödeme altyapılarıyla çalışıyor? Akredite banka ortakları güvenilirlik işareti olabilir.
• Test ve canlı mod ayrımı: Ödeme sayfasında test moduna ait göstergeler (sandbox) bırakılmamış mı, canlı mod görünümleri tutarlı mı?

Doğrulama gerekiyorsa, satıcıdan PSP ile yaptıkları sözleşme ve PSP iletişim bilgilerini talep edin; resmi kanallar üzerinden teyit almak en güvenlisidir.

Mobil ve uygulama içi yönlendirmeler

Mobilde ödeme yönlendirmeleri farklı riskler taşır. Uygulama içi tarayıcılar (in-app browser) adres çubuğunu gizleyebilir; bu durumda yönlendirme hedefini doğrulamak zorlaşır. Dikkat edilecekler:

• Dış tarayıcı tercihi: Uygulama, ödemeyi mümkünse cihazın varsayılan tarayıcısında açmalı; adres çubuğu görünür olmalıdır.
• Uygulama mağazası doğrulaması: Uygulamanın geliştirici bilgileri ve yorumlar tutarlı mı?
• Derin linkler: Mobilde kullanılan derin linkler beklenen PSP paketine açılıyor mu?

Erken uyarı işaretleri (kısaca dikkat edilmesi gerekenler)

• Adres çubuğunda beklenmeyen alan adları veya IP adresleri görünmesi.
• Kilidin olmaması ya da sertifikanın süresinin dolmuş olması.
• Form hedefinin farklı bir domaine POST yapması ve bu domainin açıklamasız/şaşırtıcı olması.
• Sayfada aşırı yazım hatası, amatör tasarım veya eksik iletişim bilgileri.
• Ödeme sırasında beklenenden fazla kişisel bilgi istenmesi.
• Yönlendirme zincirinin gereğinden uzun veya çok sayıda ara adı içermesi.

Şüpheli bir yönlendirme bulunduğunda atılacak adımlar

1. Ödeme işlemini hemen durdurun; formu göndermeyin.
2. Sayfanın ekran görüntüsünü ve adres çubuğu görüntüsünü kaydedin.
3. Satıcının resmi iletişim kanallarını kullanarak durumu bildirin ve yönlendirmeyi doğrulatın.
4. Kart sağlayıcınızla (banka veya kart şirketi) iletişime geçin; gerekirse işlemi iptal veya itiraz sürecini başlatın.
5. Kurumsal bir işlemse, teknik ekip veya güvenlik departmanına yönlendirme zincirinin detaylarını iletin.

Pratik bir örnek: Hızlı kontrol akışı

1. Satıcının ödeme butonuna tıkladınız: Dikkatlice adres çubuğunu izleyin.
2. Yeni sayfa açıldı: Kilit ikonuna tıklayın, sertifika ve alan adı kontrolü yapın.
3. Form görünüyorsa gizli alanlar ve action hedefini tarayıcı geliştirici araçlarında kontrol edin.
4. İstenen tutar ve para birimini doğrulayın; eğer ek kimlik isteniyorsa neden gerektiğini sorun.
5. Şüphe varsa satıcıya ve bankaya başvurmadan ödeme yapmayın.

Özet kontrol listesi (kopyalayabileceğiniz kısa versiyon)

• Adres çubuğu: alan adı beklenen mi?
• HTTPS ve sertifika: geçerli mi, issuer güvenilir mi?
• Form hedefi: action domain ile uyumlu mu?
• Yönlendirme zinciri: gereksiz ara domainler var mı?
• Gereksiz bilgi talebi: ekstra hassas bilgi isteniyor mu?
• PSP doğrulaması: iletişim ve uyumluluk bilgileri mevcut mu?

Sınırlar ve uyarılar

Bu rehber teknik ve prosedürel kontroller sunar; hukuki veya finansal tavsiye niteliğinde değildir. Ödeme sağlayıcılarının ve bankaların kendi güvenlik politikaları farklılık gösterebilir; kritik durumlarda doğrudan ilgili kuruluşlarla iletişim kurun. Yerel düzenlemelere uyum gereksinimlerini satıcı ile teyit edin.