E-ticaret Sitelerinde Güvenlik Nasıl Sağlanır

İnternette online sipariş alınarak kredi kartı, havale, eft ve kapıda ödeme yöntemleri ile satış yapılabilen web siteleri e-ticaret siteleri olarak tanımlanmaktadırlar. Uzun açılımı ile elektronik ticaret paketleri olan e-ticaret paketleri ise, internette müşteri ve işletme sahibini buluşturan, alım ve satım işlemlerinin online olarak yapılmasını sağlayan paketlerdir.

E-ticaret sitelerinin sürekli açık kalma gerekliliği, gelecek olan saldırı ve tehditlerden korunması, müşteri kredi kartı ve diğer bilgilerinin başkalarının eline geçmemesi, sistem yönetiminin üçüncü bir ele geçmemesi için ise uluslar arası güvenlik önlemleri ile donatılması gerekir. Bu makalemde, Eçözüm Bilgi Teknolojileri A.Ş. tarafından geliştirilmekte olan Neticaret e-ticaret paketlerine alınan güvenlik önlemlerini baz alarak, e-ticaret sitelerinde güvenlik nasıl sağlanır sorusunun cevabını vermeye çalışacağım.

E-ticaret Sitelerinde Güvenlik Nasıl Sağlanır ?

E-ticaret sitesi açıldıktan sonra, güvenlikte, iki önemli noktaya dikkat edilmesi gerekir. E-ticaret paketleri alınarak ya da özel olarak alınan sanal mağaza yazılımlarında sunucu ve site bazlı ileri teknoloji güvenlik önlemlerinin alınması önemlidir. Birazdan bahsedeceğim güvenlik önlemleri bir sitede alınmadığı taktirde, zaman içerisinde çok ciddi maddi ve manevi (hukuksal) hasarlar ile karşı karşıya kalınabilmektedir. Peki tamamen güvenli bir e-ticaret sisteminde olması gereken güvenlik önlemleri nelerdir ?

128 – 256 Bit SSL Şifreleme

E-ticaret sitelerinde ciddi ve önemli veri trafiği yapılmaktadır. Bu verilerin arasında, müşterilerin iletişim ve kredi kart bilgileri de yer almaktadır. Bu bilgilerin ikinci bir şahısın eline geçmemesi için 128 – 256 Bit SSL şifreleme sistemlerinin kullanılması gerekir. SSL şifreleme sistemleri bir diğer adı ile birlikte Secure Sockets Layer, internet üzerinden şifrelenmiş veri trafiğini sağlayan bir güvenlik önlemidir. Bir e-ticaret sitesinde mutlaka SSL şifreleme sisteminin olması gerekir. Burada bir ayrıntıya da yer vermek istiyorum. Bankalara sanal pos başvurusu yapıldığında ilk sorulan şey sitenizin SSL şifreleme sistemine sahip olup olmadığıdır. E-ticaret sitenizde SSL şifreleme sisteminiz mevcut değil ise sanal pos başvurunuz başlatılamaz.

Firewall

Firewall, Türkçe anlamı ile güvenlik duvarı ya da ateş duvarı olarak tanımlanabilir. Sunucu bazlı alınması gereken bir güvenlik önlemidir. Özel olarak ağa gelen paket trafiğini kontrol etmekte ve bu kontrol ayarlanmış bir kural temelinde gerçekleşmektedir. Sahip olduğu filtreleme özelliği sayesinde  kullanılan bilgisayar ve ağa gelen-giden trafiğin kontrol altında tutulmasını sağlar. En çok kullanılmakta olan filtreleme yöntemleri ise IP, Port, Web ve İçerik filtrelemesidir. Örek vermek gerekirse e-ticaret sitenizin bulunduğu sunuya trafik yoğunluğu fazla olan bir saldırı geldiğinde, yapılan filtrelemeler içerisinde yer alıyorsa Firewall’a takılır ve sitenizin sorunsuz bir şekilde çalışmaya devam etmesi sağlanır.

IDS – IPS

IDS ve IPS sistemleri saldırı tespit ve engelleme sistemleri olarak bilinir. Özel olarak tasarlanan altyapısı sayesinde, dünya üzerinde tespit edilen bütün tehditler kaydedilerek tek bir veri tabanı altında toplanır. IPS ve IDS sistemleri sayesinde bu veri tabanları sürekli güncel tutulmaktadır. Herhangi bir saldırı ya da tehdit oluşturulduğunda IDS sistemleri sayesinde takip etme imkanı bulunmaktadır. IPS sistemleri sayesinde ise gelen saldırı ve tehditlerin engellenmesini sağlayan bir yapıya sahiptir. Firewall ile kullanılması gereken bu sistemler, sunucularda uluslar arası güvenlik önlemlerinin sağlanması için gereklidir.

Raid5

Raid5 sayesinde birden fazla disk arasında veri kopyalama ve paylaşımı sağlanabilir. Disk kapasitesinin artmasının yanı sıra, e-ticaret sitenizin barındırıldığı bir sunucuda oluşabilecek sorunlarda sorunsuz bir şekilde devam etmesini sağlayabilme özelliği ön plana çıkar. Açık bir şekilde anlatma gerekirse veriler 5 ayrı disk tarafından tutulmaktadır. Bu disklerden bir tanesi bozulduğunda ya da çalışması aksadığında, siteniz sorunsuz bir şekilde çalışmaya devam eder. O disk istenildiği zaman değiştirilebilir. yine aynı şekilde diğer 4 diskte de bu özellik mevcuttur. Veri kayıplarının yaşanmaması ve veri bütünlüğünün sağlanabilmesi için kesinlikle mevcut olması gereken bir güvenlik önlemidir. Bu önlemi şu şekilde daha iyi ifade edebiliriz. Örnek olarak sitenize 1 yıl boyunca 1.000 tane ürün girişi yaptığınızı düşünelim. Raid5 kullanılmıyorsa eğer sitenize, diskinizde yaşanabilecek olan bir problemde 1 yıl boyunca, 1000 ürün ekleme emeğiniz boşa gidecektir. veri kayıplarının yanı sıra sitenizin de özellikle arama motorlarında ciddi bir şekilde sıralama kaybı yaşaması gözlenecektir.

3D Secure

E-ticaret sitelerinde kredi kartları ile iki şekilde ödeme alınabilmektedir. Bunlardan ilki mail order ile diğer ise 3D Secure iledir. Mail order direk olarak kart bilgilerinin girişi yapılarak ödeme yapılmasıdır. Bankalardan alınan sanal poslarda ise 3D Secure mevcut ise, e-ticaret sitenizde ona özel bir yazılımın geliştirilmesi gerekir. 3D Seure ile bir e-ticaret sitesinde alışveriş yapılmaya çalışıldığında, bankada kayıtlı olan cep telefonlarına onay şifresi gönderilir. Sadece onay şifresi girildikten sonra ödeme yapılabilmektedir. Bu sayede kartların 2. bir şahıs tarafından kullanılması engellenmiş olur.

PCI DSS

PCI DSS ‘in açık anlamı “Ödeme Kartları Endüstrisi Veri Güvenliği Standardı” dır. PCI DSS ‘in amacı kredi kartı ödeme sistemlerinde kart bilgisi güvenliğini sağlamaktır. Bu sistem uluslararası kredi kartı sağlayıcıları olan Visa, Mastercard, American Express, Discover Financial Services ve JCB International gibi kurumlar tarafından oluşturulmuş olan PCI Komitesi tarafından geliştirilmiştir. PCI DSS, kredi kartı ile ödeme alan kurumların kart bilgisi güvenliğini sağlamak için uymaları gereken kriter ve gereksinimleri oluşturmaktadır. (http://www.netahsilat.com/etahsilat-cozumu)

Sistem Yöneticisinin Verdiği Güven

Yukarıda anlatılan bütün güvenlik önlemleri, bu konularda tecrübeli bir sistem yöneticisi tarafından kontrol altına alınması gerekmektedir. Özel bir donanım parkuru içerisinde kullanılması gereken sunucular için profesyonel bir ekibin 7/24 saat çalışması gerekir. Mevcut olarak çalışmakta olduğum Eçözüm bilgi Teknolojileri A.Ş.’nin sunucu özelliklerinden bahsetmek gerekirse; 2007 Yılından bu yana 4691 sayılı yasaya tabi olarak İTÜ Teknoloji Geliştirme Bölgesinde ar-ge yapan Eçözüm 2008 yılında Telekomünikasyon İletişim Başkanlığı ‘nın onayı ile “Yer Sağlayıcı” statüsü almıştır. Microsoft SPLA (Service Provider Licence Agreement) Silver Partner olan Eçözüm DC hizmetlerini Grid Telekom ‘dan almakta ve müşterilerine hizmetlerini 84 sunuculuk donanım parkuru üzerinde sağlamaktadır. Kullanılmakta olan sunucular, 1 sistem yöneticisi, 2 sistem analisti ve 2 teknik ekip ile birlikte sürekli kontrol altında tutulmakta ve takip edilmektedir.