FinTech Altyapı Mühendisliği

Fintech Altyapısını Topolojiden Denetime Kadar Biz Yönetiyoruz

2014'ten bu yana PCI-DSS Level 1. 50+ denetim, sıfır başarısızlık. Topoloji tasarımından SPoF analizine, network izolasyonundan OS yapılandırmasına, firewall'dan loglama altyapısına kadar — denetim odasında bizim ekip oturuyor.

PCI-DSS Hakkında
50+
PCI-DSS Denetimi
Sıfır başarısızlık
2014
Level 1 SP
Türkiye'nin ilki
v4.0
PCI-DSS Uyumu
Güncel standart
7/24
NOC & Müdahale
SLA kapsamında

PCI-DSS Sertifikası Almak Kolay, Yaşamak Zor. Biz 10+ Yıldır Yaşıyoruz.

2015'te bir müşterimiz adına PCI-DSS sertifikasyon sürecine girdik. O dönemde Türkiye'de QSA (Qualified Security Assessor) yoktu — yıllarca Polonya'dan denetçi geldi. O günden bu yana 50'den fazla denetime girdik, hiçbirinde başarısız olmadık. Türkiye'nin ilk PCI-DSS Level 1 Service Provider'ı olduk.

Fintech müşterilerimiz için sadece "uyumlu altyapı" sağlamıyoruz — topoloji tasarımından standart uyumuna, tatbikatlardan SPoF analizine, network izolasyonundan OS yapılandırmasına, firewall kurallarından loglama altyapısına kadar PCI-DSS'in her maddesini kapsayan uçtan uca mühendislik hizmeti veriyoruz.

Onay sürecinden sonra da bitmez — NOC ve erken müdahale hizmetlerimiz SLA sözleşmemiz kapsamında 7/24 devam eder.

Sertifikadan Operasyona

İki aşamalı yaklaşım: önce uyumlu hale getiriyoruz, sonra uyumlu tutuyoruz.

Aşama 1 — Hazırlık ve Sertifikasyon

Topoloji Tasarımı

  • Ağ mimarisi çizimi, segment izolasyonu, CDE tanımlama
  • SPoF (Single Point of Failure) analizi
  • Firewall zonelama, DMZ tasarımı

Denetçi geldiğinde topoloji diyagramınız hazır olmalı — biz çiziyoruz.

Network İzolasyonu ve Güvenlik

  • VLAN segmentasyonu, mikro-segmentasyon
  • Firewall kural seti tasarımı ve yapılandırması (Fortigate)
  • IDS/IPS yapılandırması, erişim kontrol listeleri

PCI-DSS Req. 1: Ağ güvenlik kontrollerini kurun ve sürdürün.

OS Yapılandırması ve Hardening

  • Linux/Windows sunucu sıkılaştırma
  • Gereksiz servis ve port kapatma, CIS Benchmark
  • Patch yönetimi, güvenli konfigürasyon baseline'ları

PCI-DSS Req. 2: Tüm sistem bileşenlerine güvenli konfigürasyon uygulayın.

Loglama ve İzleme

  • Merkezi log toplama ve korelasyon
  • PCI-DSS uyumlu değiştirilemez audit trail (Elasticsearch)
  • Log retention politikaları, anomali tespiti

PCI-DSS Req. 10: Tüm erişimleri loglayın ve izleyin.

Şifreleme ve Anahtar Yönetimi

  • TLS 1.2/1.3 yapılandırması, AES-256 veri şifreleme
  • HSM entegrasyonu (Utimaco — FIPS 140-4)
  • Kart verisi tokenizasyonu ve maskeleme

PCI-DSS Req. 3 & 4: Saklanan ve iletilen kart verilerini koruyun.

Denetim Hazırlığı ve Koordinasyon

  • Gap analizi ve remediation planı
  • QSA ile koordinasyon, kanıt dosyası hazırlığı
  • Tatbikatlar (incident response, DR)

Denetçi geldiğinde sürpriz olmasın — her şeyi önceden hazırlıyoruz.

Aşama 2 — Sürekli Operasyon

Sertifika Alındı — Şimdi Yaşatma Başlıyor

7/24 NOC ve Erken Müdahale

  • SLA sözleşmesi kapsamında kesintisiz izleme
  • Erken müdahale: <15dk ilk yanıt
  • Incident response prosedürleri, eskalasyon zincirleri

Sürekli Uyum İzleme

  • Konfigürasyon drift tespiti
  • Düzenli güvenlik taramaları
  • PCI-DSS yıllık yenileme desteği, değişiklik yönetimi

Kapasite ve Performans Yönetimi

  • LibreNMS ile bant genişliği izleme (95th percentile)
  • Uptime Kuma ile servis ve SSL izleme
  • Kapasite planlama ve ölçekleme önerileri

TSM'den E-Faturaya — Fintech Yazılım Mühendisliği

PCI-DSS uyumlu altyapının ötesinde, fintech sektörünün ihtiyaç duyduğu uzmanlık gerektiren yazılımları da geliştiriyoruz.

TSM Yazılımları

POS terminal yönetimi, anahtar dağıtımı, terminal güvenlik modülü uygulamaları

E-Fatura / E-Arşiv

GİB entegrasyonu, Paraşüt entegrasyonu (production'da aktif)

Ödeme Altyapısı

POSNET 3D Secure, tokenize kart saklama, taksit yönetimi

BDDK Uyumu

Bankacılık düzenleme ve denetleme kurumu gereksinimlerine uyumlu altyapı

GİB Uyumu

Gelir İdaresi Başkanlığı e-belge entegrasyonları

HSM Entegrasyonu

Utimaco HSM yapılandırması, FIPS 140-4, kriptografik anahtar yönetimi

Elektronik Para Altyapısı

BDDK lisanslı e-para kuruluşları için PCI-DSS uyumlu işlem altyapısı, tokenizasyon

Loyalty / Puan Programları

Ödeme ve puan birleştirme, kapalı devre ödeme sistemleri altyapısı

Hangi Regülasyona Uyum Gerekiyor?

RegülasyonNe GerektirirVeriTeknik'in Rolü
PCI-DSS v4.0Kart verisi işleyen/saklayan/ileten tüm sistemlerUçtan uca uyum: topoloji → denetim → operasyon
ISO 27001:2022Bilgi güvenliği yönetim sistemiSertifika kapsamı tasarımı, kontrol implementasyonu
KVKK (6698)Kişisel veri işleyen tüm sistemlerVeri minimizasyonu, açık rıza, yerel veri yerleşimi
BDDKBankacılık ve ödeme kuruluşlarıAltyapı gereksinimleri, raporlama, denetim hazırlığı
GİBE-fatura/e-arşiv zorunluluğuEntegrasyon geliştirme, Paraşüt bağlantısı
BKMBankalararası Kart Merkezi gereksinimleri72 saatlik breach notification, PCI-DSS uyum

Fintech Referanslarımız

PepParaElektronik Para
PCI-DSS uyumlu altyapı, HSM, denetim
KobaküsFintech Platform
PCI-DSS, Ops Hub pilot
TRPOSPOS / Ödeme Sistemleri
PCI-DSS uyumlu altyapı
EgePayElektronik Para
Altyapı yönetimi
JetParaElektronik Para
Altyapı yönetimi
TÜBİTAKKamu / Ar-Ge
E-posta güvenliği, altyapı

Bu Uzmanlıktan Bir Girişim Doğdu

Onlayer (PCI Checklist) — PCI-DSS uyum süreçlerini dijitalleştiren SaaS platformu. İş Bankası Workup'tan mezun oldu, Maxis'ten 1.2M TL yatırım aldı. Uzmanlığımız o kadar derin ki, içinden ayrı bir şirket çıktı.

Fintech Altyapınızı Değerlendirelim

Mevcut PCI-DSS uyum durumunuzu ve altyapı ihtiyaçlarınızı konuşalım.

  • PCI-DSS gap analizi
  • Uyum yol haritası
  • Teknik görüşme planla
Morpheus
Morpheus çevrimiçi

Mevcut PCI-DSS uyum durumunuzu ve altyapı ihtiyaçlarınızı konuşalım.

Doğrudan iletişime de geçebilirsiniz:

+90 312 234 20 00info@veriteknik.comGörüşme Planla