Stark Ajans

Sidebarbg
0(850) 302 55 21
Logo
icon Yazılım Geliştirme

Online ödeme entegrasyonu süreci, PCI DSS uyumu, 3D Secure, tokenization, taksit yönetimi ve popüler sağlayıcılar. Stark Ajans güvenli entegrasyonlar sunar.

Title: Online Ödeme Entegrasyonu: 2026 Kapsamlı Teknik Rehber
Date: 29.05.2026

Online ödeme, e-ticaret ve dijital hizmetlerin kalbidir. 2026’da Türkiye e-ticaret hacminin %94’ü kredi kartı, taksit, dijital cüzdan veya açık bankacılıkla gerçekleşiyor. Ödeme altyapısının güvenliği, hızı ve kullanıcı deneyimi; dönüşüm oranını doğrudan etkiliyor. Yanlış entegre edilmiş bir ödeme sistemi, sepeti dolu ama alamayan müşterilerin yarattığı kayıp satışla bir yılda milyonlarca TL zarara yol açabiliyor. Biz Stark Ajans olarak online ödeme entegrasyonu projelerinde iyzico, PayTR, Stripe, Param, Shopier ve uluslararası birçok sağlayıcıyla güvenli entegrasyonlar kuruyoruz. Bu rehberde teknik, güvenlik ve kullanıcı deneyimi boyutlarını paylaşıyoruz.

Online Ödeme Akışı: 3D Secure ve Non-3D

Kredi kartı ödeme süreci iki ana senaryoda gerçekleşir: Non-3D (doğrudan) ödeme müşterinin kart bilgilerini girip işlemi tamamladığı; ancak günümüzde çok az e-ticarette ve sadece kurumsal B2B için kullanılır. 3D Secure ödeme, bankanın müşteriyi SMS OTP veya biyometrik doğrulama ile kimlik kontrolü yaptığı standarttır. 2026’da BDDK düzenlemelerine göre bireysel kart ile yapılan e-ticaret işlemlerinin neredeyse tamamı 3D Secure zorunluluğundadır. Liability shift (sorumluluk geçişi) avantajı merchant’ın chargeback riskini azaltır.

Popüler Ödeme Sağlayıcıları Karşılaştırma

Sağlayıcı Komisyon Güçlü Yönü Uygun Olduğu Alan
iyzico %1.49-2.99 + sabit Türkiye’nin en yaygın, kolay entegrasyon E-ticaret, SaaS, hizmet
PayTR %1.4-2.8 + sabit Rekabetçi komisyon, hızlı kurulum E-ticaret, bağış, eğitim
Param %1.19-2.69 Uygun komisyon, sanal POS entegrasyon KOBİ e-ticaret
Shopier %2.95 Sanal POS’suz kolay başlangıç Küçük işletme, bireysel satış
Stripe %2.9 + 30c (TL henüz yok) Global ödeme, gelişmiş API Global SaaS, uluslararası satış
Garanti Sanal POS %0.95-1.99 Banka güveni, düşük komisyon Yüksek hacimli e-ticaret
BKM Express ~%1.5 Tek tıkla ödeme Dönüşüm optimizasyonu
Papara %0-1.5 Dijital cüzdan, genç kitle Eğlence, eğitim, dijital ürün

Entegrasyon Yaklaşımları

Hosted Checkout: Kullanıcı ödeme sayfasına sağlayıcının domain’ine yönlendirilir. PCI DSS sorumluluğu minimize; ancak kullanıcı deneyiminde marka kesintisi olur. iyzico Checkout Form, PayTR iFrame bu kategoride.

iFrame / Direct API: Ödeme formu sizin sayfanızda görünür ama kart verileri JS üzerinden direkt sağlayıcıya gider. Token dönüşü alınır, backend sadece token ile işlem yapar. UX iyi, PCI SAQ A-EP düzeyinde uyum gerektirir.

Server-to-Server: Tam kontrol sizin sunucunuzda. Yüksek PCI DSS Level 1 uyumu gerektirir. Sadece bankalar, fintech’ler ve yüksek hacimli platformlar tercih eder.

Tokenization: Kart bilgisi bir kez alınır, sağlayıcı token döner. Sonraki ödemelerde sadece token kullanılır. Abonelik SaaS, tek tıkla tekrar alışveriş için kritiktir.

// Laravel - iyzico ödeme örneği (server-side)
$request = new IyzipayRequestCreatePaymentRequest();
$request->setLocale('tr');
$request->setConversationId(uniqid());
$request->setPrice('150.00');
$request->setPaidPrice('157.50');
$request->setCurrency('TRY');
$request->setInstallment(1);
$request->setPaymentChannel('WEB');
$request->setPaymentGroup('PRODUCT');

$paymentCard = new IyzipayModelPaymentCard();
$paymentCard->setCardHolderName($form->holder);
$paymentCard->setCardNumber($form->cardNumber);
$paymentCard->setExpireMonth($form->month);
$paymentCard->setExpireYear($form->year);
$paymentCard->setCvc($form->cvc);
$paymentCard->setRegisterCard(0);
$request->setPaymentCard($paymentCard);
// Buyer, ShippingAddress, BillingAddress, BasketItems ... set
$payment = IyzipayModelPayment::create($request, $options);

Taksit Yönetimi

Türkiye’de e-ticaretin ayrılmaz parçası taksitlendirmedir. Teknik detaylar: BIN sorgu API’ı ile kart numarasının ilk 6 hanesinden banka ve taksit seçenekleri çekilir, kategori bazlı taksit limiti (elektronik maksimum 12, kozmetik maksimum 6 vb), kampanya taksit farkı yönetimi (marketing kampanyalarıyla ekstra taksit), sepet tutarı limiti, komisyon maliyeti (sağlayıcıdan sağlayıcıya farklı). İyi bir entegrasyon taksit seçeneklerini gerçek zamanlı gösterir; müşteri kartını yazarken “bu kartınızla 6 taksite kadar” bilgisi belirir.

PCI DSS Uyumu

Kart bilgileri işleyen her platform PCI DSS (Payment Card Industry Data Security Standard) uyumlu olmalıdır. Seviyeler: Level 1 (yılda 6M+ işlem), Level 2 (1M-6M), Level 3 (20K-1M), Level 4 (altında). SAQ (Self-Assessment Questionnaire) tipleri: SAQ A (tam outsourced), SAQ A-EP (iframe veya redirected), SAQ D (full merchant). Entegrasyonunuzun türü PCI yükünüzü belirler. Çoğu e-ticaret için hosted checkout + tokenization ile SAQ A-EP yeterlidir; büyük kurumsal yapılar için dedicated compliance programı gerekir.

Dönüşüm Optimizasyonu

Teknik doğru entegrasyon yetmez; dönüşüm için UX optimizasyonu şart: (1) Mobile-first ödeme formu (tuş takımı doğru tip: kart numaralarında numeric keyboard), (2) Auto-fill desteği (autocomplete attribute), (3) Kart tarama (kamera ile tarayıp otomatik doldurma), (4) Misafir ödeme (zorunlu kayıt yok), (5) Progress göstergesi (3 adımlı süreç net), (6) Güven sinyalleri (SSL badge, güvenli ödeme logoları), (7) Çoklu ödeme seçeneği (kart + havale + kapıda + BKM Express + Papara), (8) Hata mesajları anlamlı (“kartınız taksite uygun değil” gibi), (9) Hızlı yükleme (LCP<2s), (10) Session timeout uyarısı.

Webhook ve Ödeme Sonrası İş Akışı

Ödeme sonucu webhook’u her durumda handle edilmelidir. Özellikle kullanıcı tarayıcıyı kapattığında veya internet koptuğunda webhook tek güvenilir sinyal olur. Best practice: (1) Webhook endpoint signature doğrulama, (2) Idempotency key ile duplicate koruma, (3) Async işleme (queue’ya at, hızlı yanıt dön), (4) Başarılı ödemede: sipariş onayla, stok düş, e-posta/SMS gönder, CRM’e yaz, (5) Başarısız ödemede: müşteriye tekrar deneme linki, takip e-postası, (6) Pending ödemelerde: beklenen kısa süre sonra timeout.

Güvenlik ve Fraud Önleme

Fraud (dolandırıcılık) gerçek bir tehdittir. Alınacak önlemler: (1) Fraud scoring (iyzico Marketplace, Sift, Stripe Radar), (2) Velocity check (aynı karttan kısa sürede çok işlem), (3) BIN country check (yurtdışı kart Türkiye adresine gidiyorsa inceleme), (4) AVS (Address Verification Service), (5) CVV zorunlu, (6) 3D Secure zorunlu bireysel kartlarda, (7) Manual review yüksek riskli işlemler için, (8) Chargeback yanıt süreci ve delil toplama, (9) Blacklist yönetimi (IP, kart token, e-posta).

2026 Online Ödeme Entegrasyon Maliyetleri

  • Tek sağlayıcı basit entegrasyon (iyzico checkout): 15.000-45.000 TL
  • Çoklu ödeme seçeneği + taksit + BIN sorgu: 50.000-150.000 TL
  • Abonelik tokenization + dunning + raporlama: 150.000-350.000 TL
  • Çok para birimi + uluslararası sağlayıcılar: 250.000-600.000 TL
  • Yıllık PCI DSS SAQ süreç danışmanlığı: 30.000-100.000 TL

Sıkça Sorulan Sorular

Tek sağlayıcı mı çoklu sağlayıcı mı kullanmalı? Yüksek hacimde çoklu: biri down olursa diğerine yönlendirme (failover). KOBİ için tek sağlayıcı yeterli.

Kart bilgilerini veritabanıma kaydedebilir miyim? Kesinlikle hayır. PCI DSS bunu yasaklar. Tokenization ile sağlayıcıda saklanır, siz sadece token tutarsınız.

Taksit hesaplaması nasıl yapılır? BIN sorgu API ile banka belirlenir, merchant kampanyası ve kategori taksit limitine göre seçenek listesi oluşturulur.

Uluslararası müşteri için ne kullanmalı? Stripe, Adyen, Braintree global lider. Türkiye’de hâlâ card payment çoğunlukta, Paddle Merchant of Record yaklaşımı vergi yükü azaltır.

Stark Ajans Ödeme Entegrasyon Hizmetleri

Biz Stark Ajans olarak iyzico, PayTR, Stripe, Param, Shopier, Papara ve banka sanal POS’ları ile güvenli, dönüşüm odaklı ödeme entegrasyonları geliştiriyoruz. Tokenization, abonelik, taksit, çoklu para birimi ve dunning yönetimi ile kurumsal projelerinize uzun ömürlü altyapı sunuyoruz.