Wix Platformunda Ziraat Bankası 3D Secure Entegrasyonu: Güvenli Ödeme Altyapısının Kurulması

Türkiye Cumhuriyeti Ziraat Bankası sanal POS sisteminin Wix e-ticaret platformu üzerinde 3D Secure protokolü ile entegre edilmesi, online ödeme güvenliğinin sağlanmasında kritik öneme sahip bir süreçtir. Bu entegrasyon, müşteri kartı bilgilerinin doğrudan banka tarafından doğrulanmasını sağlayarak hem işletmeleri hem de tüketicileri potansiyel güvenlik risklerine karşı korumaktadır. Ziraat Bankası'nın uzun yıllara dayanan güvenilirliği ve Türkiye'nin en büyük banka ağına sahip olması, bu entegrasyonu işletmeler için özellikle cazip kılmaktadır.

Ziraat Bankası Sanal POS Altyapısının Teknik Temelleri

Ziraat Bankası sanal POS sistemi, uluslararası ödeme güvenliği standartlarına tam uyumluluk gösterecek şekilde tasarlanmıştır. Bankanın teknik altyapısı PCI-DSS sertifikasyonuna sahip olup, müşteri verilerinin korunması konusunda endüstri standartlarını karşılamaktadır. Ziraat Bankası'nın sanal POS hizmetleri hakkında kapsamlı bilgiye www.ziraatbank.com.tr adresindeki kurumsal bankacılık bölümünden ulaşılabilmektedir. İşletmelerin sanal POS başvurusu yapabilmesi için bankanın belirlediği ticari kriterleri karşılaması gerekmekte ve başvuru süreci merkez şubeler aracılığıyla yürütülmektedir.

Bankanın geliştirici dokümantasyonuna erişim, işyeri anlaşması sonrasında sağlanmaktadır. Teknik entegrasyon kılavuzunda API endpoint adresleri, istek formatları, yanıt kodları ve örnek kod parçaları detaylı şekilde açıklanmaktadır. Test ortamı için ayrı bir sandbox environment sağlanmakta ve işletmelerin canlı ortama geçmeden kapsamlı testler yapması teşvik edilmektedir. Ziraat Bankası'nın sanal POS sistemi hem XML hem de JSON formatında veri alışverişini desteklemekte, bu da modern web teknolojileriyle entegrasyon kolaylığı sağlamaktadır.

Bankanın provizyon altyapısı yüksek işlem hacimlerine dayanacak şekilde ölçeklenebilir mimariyle kurgulanmıştır. Sistem, yoğun satış dönemlerinde bile kesintisiz hizmet verebilecek kapasiteye sahiptir. Ziraat Bankası'nın geniş şube ağı ve güçlü teknoloji altyapısı, ödeme işlemlerinde yüksek başarı oranı sağlamaktadır. İşletmeler için sunulan merchant panel aracılığıyla işlem raporları, mutabakat bilgileri ve taksit yapılandırması gibi operasyonel ihtiyaçlar karşılanmaktadır.

Wix Velo ile Backend Entegrasyon Mimarisi

Wix platformunda Ziraat Bankası sanal POS entegrasyonunun gerçekleştirilmesi, Velo backend teknolojisi üzerinden yapılmaktadır. Velo, JavaScript tabanlı tam kapsamlı bir backend geliştirme ortamı sunmakta ve modern web API'leriyle sorunsuz entegrasyon imkanı vermektedir. Wix Velo'nun resmi dokümantasyonuna www.wix.com/velo/reference adresinden erişilebilmekte ve backend modüllerinin nasıl oluşturulacağı, HTTP fonksiyonlarının nasıl yapılandırılacağı konularında detaylı kılavuzlar bulunmaktadır.

Entegrasyon sürecinin ilk aşaması, Ziraat Bankası'ndan temin edilen API kimlik bilgilerinin güvenli bir şekilde Wix sistemine entegre edilmesidir. Bu kimlik bilgileri arasında terminal numarası, üye işyeri numarası ve güvenlik anahtarı bulunmaktadır. Wix platformunun sunduğu Secrets Manager özelliği, bu hassas bilgilerin şifrelenmiş ortamda saklanmasını sağlamaktadır. Secrets Manager kullanımı hakkında detaylı bilgi support.wix.com/en/article/velo-about-secrets-manager adresinde sunulmaktadır. Bu yaklaşım, kodun içerisinde açık metin olarak API anahtarlarının görünmesini engellemekte ve güvenlik risklerini minimize etmektedir.

Backend kodunun yapısı, üç temel fonksiyonel katmandan oluşmaktadır. İlk katman, müşterinin ödeme bilgilerini girdiği frontend checkout sayfasından gelen verilerin alınması ve doğrulanmasıdır. İkinci katman, bu verilerin Ziraat Bankası API formatına uygun şekilde dönüştürülmesi ve güvenlik parametrelerinin oluşturulmasıdır. Üçüncü katman ise banka ile HTTP protokolü üzerinden güvenli iletişimin kurulması ve yanıtların işlenmesidir. Wix Velo'da HTTP istekleri göndermek için wix-fetch modülü kullanılmakta ve bu modülün detaylı kullanım kılavuzu www.wix.com/velo/reference/wix-fetch adresinde mevcuttur.

3D Secure Protokolü ve EMV Standartları

3D Secure protokolü, online kart işlemlerinde kart hamilinin kimliğinin banka tarafından doğrulanmasını sağlayan küresel bir standarttır. EMVCo tarafından yönetilen bu protokolün güncel versiyonu 3D Secure 2.0 olup, gelişmiş güvenlik özellikleri ve iyileştirilmiş kullanıcı deneyimi sunmaktadır. EMVCo'nun resmi web sitesi www.emvco.com adresinde protokol spesifikasyonları, teknik dokümantasyon ve güvenlik gereksinimleri yayınlanmaktadır. 3D Secure 2.0, önceki versiyona kıyasla risk bazlı doğrulama yaklaşımı getirmekte ve düşük riskli işlemlerde müşteriden ek doğrulama talep etmemektedir.

Ziraat Bankası sanal POS sisteminde tüm online işlemler için 3D Secure doğrulaması zorunlu tutulmaktadır. Bu politika, Türkiye Cumhuriyet Merkez Bankası'nın ödeme hizmetleri yönetmeliğiyle de uyumludur. TCMB'nin ilgili mevzuatına www.tcmb.gov.tr adresindeki yayınlar bölümünden ulaşılabilmektedir. Zorunlu 3D Secure uygulaması, sahte kart kullanımı ve yetkisiz işlem risklerini önemli ölçüde azaltmakta, böylece hem işletmeleri hem de tüketicileri korumaktadır.

Wix platformunda 3D Secure akışının başlatılması, müşterinin checkout sayfasında kart bilgilerini girmesiyle başlamaktadır. Bu bilgiler Velo backend fonksiyonuna gönderilmekte ve burada Ziraat Bankası'nın beklediği formatta bir işlem talebi oluşturulmaktadır. Talep içerisinde işlem tutarı, para birimi, sipariş numarası, başarı ve hata callback URL'leri ile güvenlik parametreleri yer almaktadır. Oluşturulan talep Ziraat Bankası'nın 3D Secure gateway adresine POST metodu ile gönderilmekte ve müşteri otomatik olarak bankanın doğrulama sayfasına yönlendirilmektedir.

Hash Doğrulama Mekanizması ve Güvenlik İmzası

Hash algoritması, ödeme güvenliğinin temel taşlarından birini oluşturmaktadır. Ziraat Bankası sanal POS sisteminde kullanılan hash mekanizması, işlem verilerinin bütünlüğünü garanti altına almakta ve yetkisiz değişiklikleri önlemektedir. Hash hesaplama süreci, belirli işlem parametrelerinin önceden tanımlanmış bir sıraya göre birleştirilmesi ve ardından kriptografik hash fonksiyonundan geçirilmesiyle gerçekleştirilmektedir. Genellikle SHA-256 veya SHA-512 gibi güvenli hash algoritmaları kullanılmaktadır. Kriptografik hash fonksiyonları hakkında teknik detaylar National Institute of Standards and Technology'nin web sitesi olan csrc.nist.gov adresinde yayınlanmaktadır.

Hash hesaplama sürecinde terminal numarası, sipariş numarası, işlem tutarı ve güvenlik anahtarı gibi parametreler belirli bir formatta birleştirilmektedir. Bu birleştirilmiş string değeri hash fonksiyonundan geçirilerek sabit uzunlukta bir hash değeri elde edilmektedir. Elde edilen bu hash değeri, Ziraat Bankası API'sine gönderilen isteklerin içerisine dahil edilmekte ve bankanın sisteminde doğrulama yapılmaktadır. Eğer gönderilen hash değeri bankanın kendi hesapladığı değerle eşleşmiyorsa, işlem güvenlik nedeniyle reddedilmektedir.

Callback aşamasında ise süreç tersine işlemektedir. Ziraat Bankası, 3D Secure doğrulaması tamamlandıktan sonra işlem sonucunu önceden belirtilen callback URL'sine göndermektedir. Bu yanıt içerisinde işlem durumu, onay kodu, referans numarası gibi bilgilerin yanında bankanın ürettiği hash değeri de bulunmaktadır. Wix Velo backend fonksiyonunda, gelen tüm parametreler aynı algoritma ve sıralama ile yeniden hash hesaplamasından geçirilmekte ve elde edilen değer bankanın gönderdiği hash ile karşılaştırılmaktadır. İki hash değeri birebir eşleşiyorsa verinin bütünlüğü garanti altındadır ve işlem güvenilir kabul edilmektedir. Eşleşme yoksa bu durum potansiyel bir güvenlik ihlali işareti olarak değerlendirilmekte ve işlem reddedilmektedir.

Callback URL Yapılandırması ve İşlem Sonuç İşleme

Callback mekanizması, 3D Secure sürecinin tamamlanmasının ardından işlem sonucunun merchant sistemine bildirilmesini sağlayan kritik bir bileşendir. Wix Velo platformunda callback endpoint'lerinin oluşturulması HTTP fonksiyonlar aracılığıyla gerçekleştirilmektedir. Bu fonksiyonların nasıl tanımlanacağı ve yapılandırılacağı www.wix.com/velo/reference/wix-http-functions adresinde detaylı olarak açıklanmaktadır. HTTP fonksiyonlar, external sistemlerden POST veya GET metoduyla gelen istekleri alabilen ve yanıt döndürebilen sunucu tarafı kodlardır.

Başarılı işlemler için tanımlanan success callback endpoint'i ve başarısız işlemler için tanımlanan error callback endpoint'i olmak üzere iki ayrı URL yapılandırılması önerilmektedir. Bu ayrım, işlem sonucuna göre farklı kullanıcı deneyimleri sunulmasını ve farklı iş mantıklarının uygulanmasını kolaylaştırmaktadır. Callback URL'lerinin mutlaka HTTPS protokolü ile çalışması gerekmekte, aksi takdirde Ziraat Bankası sistemi güvenlik nedeniyle bu URL'lere veri göndermemektedir. Wix platformu otomatik olarak tüm sayfalara SSL sertifikası sağladığından, bu gereksinim karşılanmış olmaktadır.

Callback fonksiyonunda yapılması gereken ilk işlem, Ziraat Bankası'ndan gelen tüm parametrelerin alınması ve loglanmasıdır. Bu parametreler arasında işlem durumu kodu, onay numarası, banka referans numarası, hata mesajı ve hash değeri bulunmaktadır. Loglama işlemi hem hata ayıklama hem de güvenlik denetimi açısından kritik önem taşımaktadır. Parametreler alındıktan sonra hash doğrulaması yapılmakta, doğrulama başarılıysa işlem durumu kodu kontrol edilmektedir. İşlem başarılı ise sipariş durumu Wix veritabanında güncellenmekte, ödeme onayı müşteriye email veya SMS ile bildirilmekte ve gerekli iş süreçleri tetiklenmektedir.

Sipariş Yönetimi ve Veritabanı Senkronizasyonu

Wix platformunda sipariş bilgilerinin tutulması ve yönetilmesi, Wix Data veritabanı sistemi üzerinden gerçekleştirilmektedir. Her ödeme işlemi için benzersiz bir sipariş numarası oluşturulması ve bu numaranın hem Ziraat Bankası'na gönderilmesi hem de kendi veritabanında saklanması gerekmektedir. Bu eşleştirme sayesinde callback aşamasında gelen işlem sonucu doğru siparişle ilişkilendirilebilmektedir. Wix Data API'sinin kullanımı hakkında detaylı bilgi www.wix.com/velo/reference/wix-data adresinde sunulmaktadır.

Sipariş durumları için iyi tanımlanmış bir yaşam döngüsü oluşturulması önerilmektedir. Sipariş ilk oluşturulduğunda beklemede durumuna getirilmekte, ödeme süreci başlatıldığında ödeme başlatıldı durumuna güncellenme, 3D Secure doğrulaması yapılırken doğrulama aşamasında durumuna geçmekte ve callback sonucuna göre ödeme başarılı veya ödeme başarısız durumlarına güncellenmektedir. Her durum değişikliğinde timestamp bilgisi kaydedilmekte, böylece işlem zaman çizelgesi takip edilebilmektedir.

Veritabanı yapısında sipariş tablosunun yanında işlem geçmişi tablosu da tutulması tavsiye edilmektedir. İşlem geçmişi tablosunda her API isteği ve yanıtı, hash değerleri, hata mesajları ve sistem logları saklanmaktadır. Bu detaylı kayıt tutma yaklaşımı, sorun giderme süreçlerinde ve müşteri hizmetleri taleplerinde büyük kolaylık sağlamaktadır. Ayrıca PCI-DSS uyumluluğu açısından da işlem kayıtlarının belirli bir süre saklanması gerekmektedir. Payment Card Industry Security Standards Council'ın uyumluluk gereksinimleri www.pcisecuritystandards.org adresinde detaylandırılmaktadır.

Güvenlik Katmanları ve PCI-DSS Uyumluluğu

Payment Card Industry Data Security Standard, kredi kartı bilgilerinin işlendiği tüm sistemler için zorunlu güvenlik gereksinimlerini belirlemektedir. Wix-Ziraat Bankası entegrasyonunda PCI-DSS uyumluluğunun sağlanması için en kritik kural, kart numarası ve CVV gibi hassas bilgilerin asla merchant sunucusunda saklanmamasıdır. 3D Secure akışında kart bilgileri doğrudan banka sistemine iletilmekte ve merchant sisteminde hiçbir zaman saklanmamaktadır. Bu yaklaşım, SAQ-A seviyesinde uyumluluk sağlamakta ve işletmenin uyumluluk yükünü önemli ölçüde azaltmaktadır.

Wix platformunun güvenlik altyapısı hakkında kapsamlı bilgi www.wix.com/about/security adresinde yayınlanmaktadır. Wix, SOC 2 Type II sertifikasyonuna sahip olup, düzenli penetrasyon testleri ve güvenlik denetimleri yapılmaktadır. Platform otomatik olarak tüm sitelere SSL/TLS sertifikası sağlamakta ve veri iletimi şifrelenmiş kanallar üzerinden gerçekleştirilmektedir. Ayrıca Wix'in sunduğu Web Application Firewall servisi, yaygın web saldırılarına karşı koruma sağlamaktadır.

Velo backend kodlarında kullanılan API anahtarları ve güvenlik tokenlarının Secrets Manager ile korunması güvenlik mimarisinin önemli bir parçasıdır. Secrets Manager, AES-256 şifreleme algoritması kullanmakta ve bu da endüstri standardı güvenlik seviyesi anlamına gelmektedir. Ayrıca backend fonksiyonlarına erişim kontrolü uygulanması ve sadece yetkili kullanıcıların hassas işlemleri gerçekleştirebilmesi sağlanması gerekmektedir. Wix platformunun sunduğu Permissions API ile rol bazlı erişim kontrolleri tanımlanabilmektedir.

İade ve İptal İşlemlerinin Yönetimi

E-ticaret operasyonlarında iade ve iptal işlemlerinin düzgün yönetilmesi müşteri memnuniyeti ve operasyonel verimlilik açısından kritik öneme sahiptir. Ziraat Bankası sanal POS sistemi, iade ve iptal işlemlerini API üzerinden desteklemektedir. İptal işlemi henüz kesinleşmemiş işlemlerde kullanılmakta ve genellikle aynı gün içerisindeki işlemler için geçerlidir. İade işlemi ise kesinleşmiş işlemlerde kullanılmakta ve müşterinin kartına paranın geri ödenmesini sağlamaktadır.

Wix yönetim panelinde sipariş detay sayfalarına iade ve iptal işlemlerini başlatacak butonlar eklenebilmektedir. Bu butonlar tıklandığında Velo backend fonksiyonu devreye girmekte ve Ziraat Bankası API'sine uygun formatta iade veya iptal talebi göndermektedir. Talep içerisinde orijinal işlemin referans numarası, onay kodu ve iade tutarı bulunmaktadır. Kısmi iade işlemleri de desteklenmekte olup, orijinal işlem tutarının bir kısmının iadesi yapılabilmektedir.

Tüketici haklarına ilişkin düzenlemeler, online alışverişlerde cayma hakkını garanti altına almaktadır. Türkiye Cumhuriyeti Ticaret Bakanlığı'nın tüketici koruma mevzuatına www.ticaretbakanligi.gov.tr adresinden ulaşılabilmektedir. Mesafeli satış sözleşmelerinde tüketicilere on dört gün içerisinde cayma hakkı tanınmakta ve işletmelerin bu talepleri karşılaması yasal zorunluluk oluşturmaktadır. Wix-Ziraat Bankası entegrasyonunda iade sürecinin otomatize edilmesi, bu yasal gereksinimlere uyumun kolaylaştırılmasını sağlamaktadır.

Performans Optimizasyonu ve Kullanıcı Deneyimi

Ödeme sürecinin hızı ve güvenilirliği, müşteri deneyimini ve dönüşüm oranlarını doğrudan etkilemektedir. Ziraat Bankası API'sine yapılan isteklerde timeout süreleri optimize edilmeli ve yanıt süreleri minimize edilmelidir. Wix Velo backend fonksiyonlarında asenkron programlama teknikleri kullanılarak API isteklerinin sayfa yükleme süresini bloke etmesi önlenmelidir. JavaScript'in Promise ve async/await yapıları bu konuda büyük kolaylık sağlamaktadır.

Sık kullanılan verilerin cache'lenmesi performansı artırabilmektedir. Ancak güvenlik açısından hassas bilgilerin cache'lenmemesi gerekmektedir. Sadece statik referans veriler ve işlem durumu gibi bilgiler cache mekanizmalarında tutulabilmektedir. Wix Data API'si üzerinden cache stratejileri uygulanabilmekte ve veritabanı sorgu sayısı minimize edilebilmektedir.

Loading göstergeleri ve progress indicator'lar, müşterinin işlem sürecini takip edebilmesini sağlamaktadır. 3D Secure sayfasına yönlendirme sırasında kullanıcıya bilgilendirici mesajlar gösterilmesi önerilmektedir. Başarılı ödeme sonrası müşteri teşekkür sayfasına yönlendirilmeli ve sipariş özeti gösterilmelidir. Başarısız işlemlerde ise kullanıcı dostu hata mesajları sunulmalı ve alternatif ödeme yöntemleri önerilmelidir. Google'ın User Experience best practices dokümanlarına developers.google.com adresinden ulaşılabilmektedir.

Mobil Uyumluluk ve Responsive Tasarım

Türkiye'deki e-ticaret trafiğinin büyük çoğunluğu mobil cihazlardan gelmektedir. Bu nedenle Ziraat Bankası sanal POS entegrasyonunun mobil uyumlu olması zorunluluktur. Wix platformu responsive design prensipleriyle çalışmakta ve checkout sayfaları otomatik olarak mobil cihazlara optimize edilmektedir. Wix'in mobil optimizasyon araçları hakkında bilgi support.wix.com adresindeki help center bölümünde sunulmaktadır.

Ziraat Bankası'nın 3D Secure doğrulama sayfası da mobil uyumlu olarak tasarlanmıştır. Müşteriler mobil cihazlarında SMS ile gelen doğrulama kodunu kolayca girebilmekte ve işlemi tamamlayabilmektedir. Bazı durumlarda mobil tarayıcılarda popup blocker'lar 3D Secure sayfasının açılmasını engelleyebilmektedir. Bu sorunu önlemek için kullanıcıya bilgilendirme mesajı gösterilmesi veya sayfanın yeni sekmede açılması gibi teknik önlemler alınabilmektedir.

Google'ın Mobile-First Indexing politikası, mobil uyumluluğu SEO açısından da kritik hale getirmektedir. Bu politika hakkında detaylı bilgi developers.google.com/search/mobile-sites adresinde mevcuttur. Core Web Vitals metrikleri olan Largest Contentful Paint, First Input Delay ve Cumulative Layout Shift değerlerinin optimize edilmesi, hem kullanıcı deneyimi hem de arama motoru sıralaması açısından önemlidir. Bu metrikler hakkında teknik detaylar web.dev/vitals adresinde açıklanmaktadır.

Kaynakça ve Teknik Referanslar

Bu entegrasyon sürecinde kullanılan tüm teknik standartlar, protokoller ve düzenlemeler güvenilir resmi kaynaklara dayanmaktadır. Türkiye Cumhuriyet Merkez Bankası'nın ödeme sistemleri düzenlemeleri www.tcmb.gov.tr adresinde, Bankacılık Düzenleme ve Denetleme Kurumu'nun bankacılık mevzuatı www.bddk.org.tr adresinde yayınlanmaktadır. PCI Security Standards Council'ın uyumluluk gereksinimleri ve güvenlik standartları www.pcisecuritystandards.org adresinde detaylı şekilde açıklanmaktadır.

EMVCo'nun 3D Secure protokol spesifikasyonları ve teknik dokümantasyon www.emvco.com adresinde mevcuttur. Wix platformunun Velo teknolojisi, backend geliştirme, HTTP fonksiyonlar ve güvenlik özellikleri hakkında kapsamlı dokümantasyon www.wix.com/velo/reference adresinde sunulmaktadır. Kriptografik hash fonksiyonları ve güvenlik algoritmaları hakkında teknik detaylar National Institute of Standards and Technology'nin csrc.nist.gov adresinde yayınlanmaktadır.

Ziraat Bankası'nın kurumsal web sitesi www.ziraatbank.com.tr adresinde sanal POS hizmetleri, işyeri başvuru süreçleri ve teknik destek iletişim bilgileri bulunmaktadır. Wix platformunun güvenlik altyapısı ve sertifikasyonları hakkında bilgi www.wix.com/about/security adresinde, kullanıcı destek kaynakları ise support.wix.com adresinde mevcuttur. Tüketici hakları ve mesafeli satış sözleşmeleri düzenlemeleri Ticaret Bakanlığı'nın www.ticaretbakanligi.gov.tr adresinde yayınlanmaktadır.

Bu kapsamlı kaynak listesi ve ilgili bölümlerde yapılan teknik atıflar, Wix platformunda Ziraat Bankası 3D Secure entegrasyonunun güvenilir ve doğrulanabilir bilgilere dayandığını göstermektedir. İşletmeler, bu kaynakları inceleyerek entegrasyon sürecinde karşılaşabilecekleri teknik ve yasal konularda derinlemesine bilgi edinebilmektedir.