🚀 Dijital dönüşümünüze bugün başlayın! İlk 3 imza ücretsiz - Hemen deneyin!

← Trust Center

PCI-DSS SAQ A — Self-Assessment Beyanı

imzala.org platformu, Payment Card Industry Data Security Standard (PCI-DSS v4.0) kapsamında SAQ A (Self-Assessment Questionnaire A) kategorisindedir.

Beyan Düzeyi

Bu doküman bir self-assessment (öz değerlendirme)dır. SAQ A, kart işleme tamamen 3rd party PCI-DSS Level 1 servis sağlayıcısına (bizim için: PayTR) outsource edilmiş e-commerce merchant'lar için PCI Council tarafından öngörülen en hafif seviyedir. Bağımsız Qualified Security Assessor (QSA) denetimi gerekmemektedir; merchant kendi self-assessment'ı yapar.

1. PCI-DSS Nedir?

PCI-DSS (Payment Card Industry Data Security Standard), kart bilgisi (PAN — Primary Account Number, CVV, son kullanma tarihi) işleyen tüm merchant ve service provider'ların uygulaması zorunlu güvenlik standardıdır. PCI Security Standards Council (PCI SSC) tarafından yönetilir. Visa, Mastercard, American Express, JCB, Discover üyesidir.

2. SAQ A Kapsamı ve Niye Bu Kategoride Olduğumuz

PCI-DSS, merchant kart işleme yöntemine göre farklı SAQ kategorileri tanımlar:

SAQ Türü Kapsam Soru Sayısı
SAQ A E-commerce, kart işleme tamamen 3rd party (redirect/iframe) 22 soru (en hafif)
SAQ A-EP E-commerce, kart formu kendi sitende (embedded JS) 191 soru
SAQ B / B-IP Standalone terminal, IP bağlantı 41-83 soru
SAQ C / C-VT POS, virtual terminal 85-160 soru
SAQ D Tam scope (kart bilgisi merchant sunucusunda) 329 soru (full PCI-DSS)

imzala.org SAQ A kategorisindedir. Aşağıdaki PCI Council kriterleri karşılanmaktadır (PCI-DSS v4.0 SAQ A Eligibility):

  • ✓ Kart işleme tamamen 3rd party PCI-DSS Level 1 servis sağlayıcısına outsource edilmiştir (PayTR)
  • ✓ Kart formu (PAN, CVV, expiry) imzala.org sunucularında değil, doğrudan PayTR sayfasında / iframe'inde işlenir
  • ✓ imzala.org sunucuları kart bilgilerini görmez, saklamaz, işlemez
  • ✓ Yalnızca PayTR utoken (token referansı, kart numarası DEĞİLDİR) saklanır
  • ✓ Tüm kart işleme PayTR'nin PCI-DSS Level 1 sertifikalı altyapısında gerçekleşir

3. Servis Sağlayıcı: PayTR

PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş. PCI Security Standards Council tarafından onaylanmış PCI-DSS Level 1 Service Provider'dır (yıllık 6 milyon+ kart işlemi). Visa Global Registry of Service Providers ve Mastercard SDP kayıtlıdır.

PayTR Attestation of Compliance (AOC) belgesi talep üzerine sağlanır. PayTR'nin PCI-DSS uyumluluğu Visa Global Registry üzerinden kamuya açık şekilde doğrulanabilir.

4. SAQ A Sorumluluk Matrisi

PCI-DSS v4.0 SAQ A'da 22 soru bulunur. Bunların büyük çoğunluğu N/A (PayTR sorumluluğunda). imzala.org sorumluluğunda olan 3 madde:

4.1 Madde 9.4 — Vendor List (Yıllık)

Sorumlu: imzala.org. PCI-DSS Level 1 sertifikalı tüm payment processor'larımızı yıllık güncellenen bir listede tutarız. Şu an: PayTR (Türkiye, Visa Registry kayıtlı). Listede bulunmayan veya Level 1 sertifikası olmayan processor kullanılmaz.

4.2 Madde 12.3.4 — 3rd Party Service Provider Risk Assessment

Sorumlu: imzala.org. PayTR'nin PCI-DSS uyumluluğu yıllık olarak doğrulanır:

  • PayTR AOC belgesi yıllık alınır ve kayıt edilir
  • Visa Global Registry / Mastercard SDP listesinde PayTR'nin aktif olduğu kontrol edilir
  • Sözleşmemizde PayTR PCI-DSS uyumluluğunu sürdürme yükümlülüğü açıkça belirtilir
  • PayTR'de güvenlik ihlali olursa 24 saat içinde imzala.org'a bildirim zorunludur

4.3 Madde 12.10.1 — Incident Response Plan

Sorumlu: imzala.org. Kart bilgisi ihlali şüphesi durumunda incident response prosedürümüz:

  1. PayTR'ye derhal bildirim (24 saat içinde)
  2. İlgili kart şemalarına (Visa, Mastercard) bildirim — PayTR koordinasyonu
  3. PCI Forensic Investigator (PFI) atanması (gerekiyorsa)
  4. Etkilenen müşterilere KVKK m.12 + GDPR Art.34 kapsamında bildirim (72 saat)
  5. Kök neden analizi ve düzeltici aksiyon

Detaylı runbook: proxmox-imzala/docs/19-incident-response-runbook.md (internal).

5. Teknik Kontroller

SAQ A scope'u dışında olsa da, ek koruma sağlayan teknik kontrollerimiz:

  • TLS 1.2/1.3 — tüm trafik şifreli (Cloudflare + Let's Encrypt)
  • HSTS — max-age 1 yıl, force HTTPS
  • WAF — Cloudflare, kart skimming saldırılarına karşı koruma
  • CSP — Content Security Policy, malicious script injection önleme
  • SRI — Subresource Integrity, 3rd party JS değişiklik tespiti
  • Vulnerability scanning — Trivy CI, payment redirect endpoint'leri dahil
  • Audit log — tüm payment redirect işlemleri loglanır

6. Yıllık Self-Assessment

SAQ A her yıl yeniden değerlendirilir. Süreç:

  1. 22 soruluk SAQ A formu doldurulur (PCI Council resmi şablonu)
  2. Attestation of Compliance (AOC) merchant tarafından imzalanır
  3. PayTR'den güncel AOC belgesi alınır
  4. Tüm dokümantasyon kayıt altına alınır (3 yıl saklama)
  5. İhlal yok ise PCI raporlama gerekmez (yalnızca müşteri talebinde sunulur)

7. Kapsam Dışı Olanlar

Aşağıdaki PCI-DSS gereksinimleri imzala.org tarafından karşılanmasına gerek yoktur (PayTR sorumluluğu):

  • Kart bilgisi şifreleme at-rest (PAN encryption, key management)
  • Cardholder Data Environment (CDE) network segmentation
  • Quarterly external vulnerability scanning (ASV scan)
  • Payment processor için penetration testing
  • Cardholder data tokenization veya truncation
  • Magnetic stripe / chip data handling
  • POS terminal güvenliği

8. Değişiklik Yönetimi

imzala.org'un kart işleme yöntemini değiştirmesi (örn. kendi sayfasında kart formu açması) SAQ kategorisini değiştirir. Böyle bir değişiklik öncesinde:

  1. Yeni SAQ kategorisi belirlenir (büyük olasılıkla SAQ A-EP veya SAQ D)
  2. Ek PCI-DSS gereksinimleri uygulanır
  3. Bu beyan güncellenir
  4. Müşterilere ve düzenleyici kurumlara bildirim yapılır

9. Yeni Müşteri / Pazar Genişlemesi Halinde

Yıllık kart işlem hacmi 6 milyon+ olduğunda merchant kategorisi değişir (Level 4 → 3 → 2 → 1). Şu an Level 4 kategorisindeyiz (en küçük segment). Hacim büyüyünce ek validation gereksinimleri ortaya çıkabilir, ancak SAQ A eligibility yine 3rd party processor mimarisine bağlıdır.

10. İletişim

Codeck Yazılım Anonim Şirketi

VKN: 2111145165

PCI Compliance Inquiries: [email protected]
Security Officer: [email protected]
Payment Processor Reference: PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş.

Self-assessment date: 29 April 2026 — Version: 1.0

Bu beyan PCI-DSS v4.0 (March 2024) ve PCI Council SAQ A Eligibility Criteria dikkate alınarak hazırlanmıştır. Hukuki veya finansal tavsiye niteliği taşımaz.

Demo Talep Et

15 dakikalık ücretsiz demo ile imzala.org'un kurumunuza nasıl uyduğunu birlikte görelim.

E-posta veya telefondan en az birini doldurun.