Web Sitesi İhtiyaç Analizi: Güvenlik ve Uyumluluk Gereksinimleri

Bir web sitesinin başarısı yalnızca hız, tasarım ve içerikle ölçülmez; güven ve uyumluluk olmadan sürdürülebilir hiçbir büyüme mümkün değildir. Güvenlik; verinin, sistemlerin ve kullanıcıların maruz kaldığı riskleri azaltmak için alınan teknik ve operasyonel önlemlerin toplamıdır. Uyumluluk ise bu önlemlerin yasa, standart ve sözleşmelerle uyumlu olacak şekilde belgeye, iz’e ve yönetişime kavuşmuş hâlidir. Proje başlangıcında güvenlik ve uyumluluk gereksinimlerini toplayıp yazılı bir temele oturtmak; ürün ve içerik ekiplerinin kararlarını “varsayımlardan” değil kanıtlanabilir kriterlerden yürütmesini sağlar.

1) Tehdit Modeli ile Başlamak: “Kime Karşı, Neyi Koruyoruz?”

İhtiyaç analizinin ilk adımı, tehdit modeli yazmaktır. Varlıklar (kişisel veriler, ödeme bilgisi, kimlik belirteçleri, içerik yönetimi hesabı, API anahtarları), aktörler (fırsatçı saldırgan, otomasyonlu bot, içeriden hatalı davranış), saldırı yüzeyi (formlar, admin paneli, 3. taraf script’ler, CDN/edge kuralları, API uçları) ve olası etki (veri sızıntısı, hizmet kesintisi, itibar kaybı, para cezası) netleşmeden “ne yapmalı?” sorusu havada kalır.
Uygulama: Her varlık için gizlilik–bütünlük–erişilebilirlik (C-I-A) önceliği verin; kritik varlıkları kırmızı, önemli olanları sarı, düşük öncelikli olanları gri ile işaretleyin. Bu harita, bütün kontrol setinin referansıdır.

---

2) Yasal Zemin: KVKK/GDPR ve ePrivacy’nin Çerçevesi

Türkiye’de KVKK, Avrupa için GDPR, pazarlama iletişimi ve çerezler için ePrivacy mantığı ihtiyaç analizi brifinin ilk sayfasında yer almalıdır.

• Amaçla sınırlılık & veri minimizasyonu: “Toplayabildiğimiz için” değil, işlenme amacı için gerekli olanı toplayın.

• Hukuka uygunluk sebepleri: Açık rıza, sözleşme, meşru menfaat, hukuki yükümlülük… Her veri işleme faaliyeti bir zemine bağlanmalı.

• Aydınlatma ve şeffaflık: Basit dil, erişilebilir politika sayfaları, değişiklik sürümleri.

• Hak yönetimi: Erişim, düzeltme, silme, taşınabilirlik, itiraz; başvuru akışları.
  Örnek olay: Demo formu için telefon numarası zorunluydu. Veri minimizasyonu ilkesine aykırı olduğu görüldü; “tercih ettiğiniz iletişim kanalı” alanı eklendi, telefon isteğe bağlı yapıldı; tamamlama yükseldi, şikâyetler azaldı.

---

3) Rıza Yönetimi ve Çerez Katmanları: Kanıtlanabilir Onay

Analitik, A/B test, reklam ve kişiselleştirme çerezleri için granüler rıza şarttır.

• Kategori bazlı tercihler (Analitik, İşlevsel, Pazarlama) ve varsayılan kapalı yaklaşımı.

• Kanıt kaydı: Rıza verildiği an, IP, tarayıcı parmak izi (mümkün olan en azıyla), sürüm ve çerez politikası versiyonu.

• Kolay geri alma: “Tercihleri yönet” bağlantısı her sayfada görünür.
  Uygulama: CMP (Consent Management) entegrasyonu, GA4/GTM ve diğer script’leri rıza durumuna göre tetiklemelidir. Rıza yoksa ölçüm yok.

---

4) Veri Envanteri ve Saklama Politikası: “Ne, Nerede, Ne Kadar?”

Hangi kişisel verinin nerede tutulduğunu, kimlerin eriştiğini, ne kadar süre saklandığını ve nasıl imha edildiğini tabloya dökmek (envanter) uyumluluğun temelidir.

• Saklama süreleri: Amaç bitince derhâl silme; yasal zorunluluklar için ayrık saklama.

• Anonimleştirme/pseudonimleştirme: Analitik ve test verilerinde kişisel veri yerine token.

• Yedekler: Yedekte de kişisel veri var; saklama ve imha planı ayrı yazılmalı.
  Örnek olay: Destek biletlerinde gereksiz veri tutulduğu anlaşıldı; formlar kısaltıldı, 180 gün sonrası otomatik imha kuralı kondu.

---

5) Kimlik ve Yetkilendirme: SSO, MFA, En Az Ayrıcalık

Admin paneli, müşteri portalı veya iç araçlar, saldırganın ilk hedefidir.

• SSO/OIDC/SAML ile kurumsal giriş; MFA/step-up ile riskli işlemlerde ek doğrulama.

• RBAC/ABAC: Rol ve bağlamsal erişim; “içerik editörü tüm kullanıcı verisini görmesin.”

• Oturum güvenliği: HttpOnly/SameSite çerezler, token süresi, yenileme akışları.
  Uygulama: Ayrıcalıklı hesaplara (admin) ek koruma: IP kısıtlaması + donanım güven anahtarı (FIDO2).

---

6) Uçtan Uca Şifreleme ve Taşıma Güvenliği: TLS, HSTS, PFS

• TLS 1.2+, güçlü şifre takımları, HSTS ve OCSP stapling ile aktarımdaki veri korunur.

• Veri dinlenimi (at-rest): Veritabanı ve nesne depolamada şifreleme; anahtar yönetimi (KMS/HSM).

• Anahtar rotasyonu: Periyodik anahtar değişimi ve yetkisiz erişime karşı alarm.
  Örnek olay: Medya depolamasında halka açık linkler yerine imzalı URL’ler kullanıldı; geçerlilik süresi kısa tutularak sızıntı riski azaltıldı.

---

7) Uygulama Güvenliği: OWASP İlkeleri, SAST/DAST ve Kod Gözden Geçirme

• Girdi doğrulama, çıktı kaçışlama, CSRF koruması, SSRF engeli, güvenli dosya yükleme gibi OWASP Top 10 pratikleri zorunlu kabul kriteridir.

• SAST/DAST/IAST araçları CI/CD’de koşar; başarısız olan pipeline birleşmez.

• Kod incelemesi iki göz kuralıyla yapılır; güvenlik konfigürasyonu “infra as code” ile sürümlenir.
  Uygulama: Dosya yükleme uçlarında uzantı ve imza doğrulaması + antivirüs taraması + görüntüleme için dönüştürme (orijinali servis etme).

---

8) Bağımlılık ve Tedarik Zinciri Güvenliği: SBOM, İmza, Sürüm Stratejisi

Modern siteler onlarca bağımlılığa dayanır.

• SBOM (Software Bill of Materials) üretilir; zafiyet uyarıları otomatik takip edilir.

• İmzalı artefakt ve imzalı container zorunlu; rastgele registry’den çekim yok.

• Gizli tarama (secret scanning) ve bağımlılık güncelleme ritüeli (ör. haftalık).
  Örnek olay: 3. taraf analitik snippet’leri “onaylı liste”ye alındı; etiket yöneticisine doğrudan ekleme yetkisi kaldırıldı.

---

9) Kenar (Edge) ve CDN Güvenliği: WAF, Bot Yönetimi, Rate Limiting

• WAF ile SQLi/XSS ipuçları, anomali desenleri engellenir.

• Bot yönetimi ve rate limiting ile brute-force ve kaynak tüketme saldırıları azaltılır.

• Geo/IP kuralları ve ülke-bazlı içerik (hukuka uygun) edge’de uygulanır.
  Uygulama: Yetkisiz giriş denemeleri için kademeli kilit; CAPTCHA’yı yalnız şüpheli akışlarda devreye alarak erişilebilirliği koru.

---

10) İçerik Güvenliği: CSP, SRI, CORS ve Clickjacking Koruması

• CSP (Content-Security-Policy) ile yalnız izinli kaynaklardan script/style yüklenir.

• SRI (Subresource Integrity) ile dış kaynağın beklenen hash’i doğrulanır.

• CORS sıkı; X-Frame-Options/Frame-Ancestors ile clickjacking önlenir.
  Örnek olay: Pazarlama testi için eklenen üçüncü taraf script CSP’de tanımlı olmadığı için yüklenmedi; güvenlik ekibiyle hızlı onay akışı kuruldu.

---

11) Formlar, Onaylar ve Kişisel Veri Toplama: Etik ve Asgariyet

• Zorunlu alanlar amaca gerekliyse zorunlu; aksi hâlde isteğe bağlı.

• Açık rıza metinleri kısa ve anlaşılır; işleme amaçları ayrı.

• İkinci kullanım (secondary use) için ayrıca rıza istenir; “pazarlama onayı” kutucuğu varsayılan kapalı.
  Uygulama: Hata mesajları suçlayıcı değil; “Telefonunuzu paylaşmak istemiyorsanız e-posta ile dönebiliriz” gibi güvence metinleri dönüşümü artırır.

---

12) Analitik, A/B Test ve Gizlilik: Ölçerken Saygı Göster

• Anonim IP, kullanıcı kimliği yerine rastgele token, event minimizasyonu.

• Rıza olmayan trafiği ölçmemek, testleri yalnız rızalı kullanıcılarla yürütmek.

• Sunucu tarafı etiketleme (server-side tagging) ile veri sızıntısı yüzeyi azaltılır.
  Örnek olay: A/B test aracındaki kullanıcı kimliği alanı kapatıldı; yalnız varyasyon ve performans olayları tutuldu.

---

13) İçerik Yönetimi Güvenliği: CMS, Rollback ve Yayın İzleri

• Rol/izin ve audit log CMS’de açık; kim, neyi, ne zaman yayınladı?

• Onay akışları (editör → hukuk → yayın) ve geri alma.

• Önizleme ortamı canlıyla aynı içerik güvenliği kurallarını taşır.
  Uygulama: “Onaylı snippet” politikası ile izinsiz 3. taraf script yüklemesi engellendi.

---

14) Olay Günlüğü ve Gözlemlenebilirlik: İz Bırak, Hızlı Tespit Et

• Log, metrik ve iz (tracing) üçlüsü; GDPR/KVKK ile uyumlu, kişisel veri içermeyecek şekilde tasarlanır.

• SLI/SLO’lar: “Checkout hata oranı ≤ %0,5”, “auth P95 < 400 ms”.

• Aksiyonlanabilir alarmlar: Gürültüsüz kurallar, çalışma saati farkındalığı, runbook.
  Örnek olay: “Hata oranı + dönüşüm düşüşü + edge 429 artışı” kombine alarmı, bot saldırısını 8 dakikada görünür kıldı.

---

15) Olay Müdahalesi ve İhlal Bildirimi: Hazırlık Zaferin Yarısı

• IRP (Incident Response Plan): Roller, iletişim listesi, kanıt toplama, yasal bildirim akışları.

• Breach değerlendirmesi: Kişisel veri etkilenmiş mi? Bildirim eşikleri ve süreleri.

• Kök neden analizi ve iyileştirme bileti; karar log’u.
  Uygulama: Yılda iki kez masaüstü tatbikat; bir kez de “sürpriz” senaryo.

---

16) Yedekleme ve Felaket Kurtarma: RTO/RPO ile Gerçekçi Plan

• 3-2-1 kuralı (3 kopya, 2 farklı ortam, 1 offsite), immutable backup.

• RTO/RPO hedefleri; senaryolu kurtarma tatbikatları.

• Bölgesel ayrım ve çok sağlayıcı (mümkünse) ile altyapı tekil bağımlılıktan çıkar.
  Örnek olay: CDN kesintilerinde “stale-while-revalidate” sayesinde kritik sayfalar cache’den servis edildi, dönüşüm etkisi minimal kaldı.

---

17) Üçüncü Taraflar ve Sözleşmeler: DPA, SLA, Çıkış Stratejisi

• DPA/SCC gibi veri işleme sözleşmeleri, SLA’lar (uptime, yanıt/çözüm süresi), denetim hakkı ve çıkış maddeleri.

• Alt işlemci listesi şeffaf; değişiklik bildirimi ve itiraz hakkı.

• Vendor risk değerlendirmesi: Güvenlik sertifikaları, güvenlik beyannamesi, penetrasyon testi özeti.
  Uygulama: Kritik sağlayıcı için “failover” planı ve düzenli tatbikat şartı sözleşmeye yazıldı.

---

18) İçeriden Tehdit ve Operasyon Hijyeni: Şifre, Gizli, Ayrı Ortam

• Ayrık ortamlar: Dev/Stage/Prod veri ayrımı; prod verisi testiçin maskelenir.

• Gizli yönetimi: KMS/Secrets Manager; repo’da gizli yok.

• Şifre politikası: Yöneticide 2FA zorunlu; parola kasası; sosyal mühendislik eğitimi.
  Örnek olay: “Editör hesabı paylaşılıyordu.” Kişisel hesap + SSO’ya geçilince hesap bütünlüğü ve izlenebilirlik sağlandı.

---

19) Erişilebilirlik ve Güvenlik: Kesişim Seti

• CAPTCHA’yı erişilebilir kılın: Sadece yüksek riskli akışlarda, görsel + sesli alternatif.

• Odak yönetimi ve hata iletisi: Hata sonrası odak hatalı alana taşınır; ekran okuyucuya uygun, saldırganca olmayan dil.

• Kontrast ve geri bildirim: Güvenlik mesajları (kilit, uyarı) okunabilir.
  Uygulama: İki adımlı doğrulama ekranında ekran okuyucu etiketleri düzeltildi; giriş şikâyetleri azaldı.

---

20) Çok Dilli ve Çok Lokasyonlu Yapılarda Uyumluluk: Yerel İnce Ayar

• Yerel hukuk metinleri (Impressum, ticari sicil, veri sorumlusu), yerel çerez kategorileri, yaş doğrulama gereksinimleri.

• Veri aktarımı (ülke dışına) için sözleşmesel teminatlar ve teknik önlemler.

• Yerel ödeme ve iade yasaları; sayfalarda şeffaflık.
  Örnek olay: Almanya sitesinde yasal sayfalar ve veri sorumlusu bilgisi görünür olunca güven artışıyla dönüşüm yükseldi.

---

21) Performans, SEO ve Güvenliğin Birlikte Tasarımı

• CSP/SRI ve kritik JS diyeti ile güvenlik sağlarken LCP/INP/CLS hedeflerini koruyun.

• SSR/SSG/ISR hibriti; kenarda (edge) yönlendirme ve AB bayrakları, gizlilikle uyumlu.

• Güven içerikleri (sertifika, uyumluluk özeti, penetrasyon testi sampları) değerlendirme sayfalarında dönüşümü artırır.
  Uygulama: Güvenlik sayfası “şifreleme, erişim, log, yedek, pentest” başlıkları ve sade ikonografiyle standardize edildi; itiraz yönetimi hızlandı.

---

22) Test, Denetim ve Sürekli İyileştirme: Yaşayan Program

• Penetrasyon testi (yılda en az 1), zafiyet taraması (aylık), bağımlılık güncelleme (haftalık).

• İç denetim: Rıza–log–DSAR akışları, saklama süresi ve imha kayıtları.

• Karar log’u ve standartlaştırma: Her olay sonrası kalıcı kontrol.
  Örnek olay: Form kaçakları tespit edilince CSP sıkılaştırıldı; etiket yöneticisine erişim daraltıldı; “onaylı snippet” listesi güncellendi.

---

23) DSAR ve Kullanıcı Hakları Akışları: Deneyim Tasarımıyla Birlikte

• Hak başvuru formu (erişim/düzeltme/silme/itiraz), kimlik doğrulama ve yanıt süreleri.

• İşlem kayıtları (audit): Ne zaman başvuruldu, ne yanıt verildi, ne silindi?

• Self-servis tercih merkezi: Abonelikleri yönet, pazarlama iznini değiştir, çerezleri güncelle.
  Uygulama: E-posta altbilgisine “tercih merkezine git” eklendi; spam şikâyetleri düştü.

---

24) Ödeme ve PCI-DSS: Temas’ı Azaltan Mimari

• Hosted payment page veya tokenizasyon; kart verisi sitenize uğramaz.

• 3D Secure ve yerel düzenlemeler; hata durumlarında anlaşılır geribildirim.

• İade/teslimat şeffaflığı; işlem sayfalarında görünür güvence metinleri.
  Örnek olay: Hosted ödeme akışına geçince hem uyum yükü hem de terk oranı azaldı.

---

25) Vaka Çalışması (B2B SaaS): Güvenlik Sayfasıyla Dönüşüm Artışı

Bağlam: Kurumsal müşteriler uyumluluk soruyor, demo talepleri düşük.
Müdahale: “Güvenlik ve Uyumluluk” merkezi; şifreleme, erişim, loglama, yedek, pentest özetleri; KVKK/GDPR uyumu; SOC2 ilerleme notu; rıza ve DSAR akışları.
Sonuç: Fiyat → demo CTA tıklaması +%22; demo formunda “güvenlik soruları” azalınca tamamlama +%11; satış döngüsü 2 hafta kısaldı.

---

26) Vaka Çalışması (E-ticaret): Bot ve Kart Doldurma Saldırılarına Karşı

Bağlam: Kredi kartı test saldırıları, performans düşüşü, hileli iadeler.
Müdahale: Edge WAF + bot yönetimi + rate limiting; risk-bazlı CAPTCHA; hosted ödeme; iade politikası görünür; müşteri panelinde cihaz/parmak izi takibi (gizlilikle uyumlu).
Sonuç: 429 ve ödeme hatalarında düşüş; meşru kullanıcı etkilenmeden saldırı trafiği %90 azaldı.

---

27) Vaka Çalışması (Kamu/Üniversite): Erişilebilir Güvenlik

Bağlam: Yaşlı kullanıcı, eski cihaz, yüksek güven ihtiyacı.
Müdahale: Yüksek kontrast, klavye ile gezinme, odak yönetimi; CAPTCHA yalnız şüpheli isteklerde; randevu onayı SMS/e-posta; veri minimizasyonu.
Sonuç: Tamamlama oranı %58→%81; şikâyetler ve çağrı merkezi yükü azaldı.

---

Sonuç

Güvenlik ve uyumluluk, web sitesi ihtiyaç analizinin sabit taşıdır. Tehdit modeliyle başlamak; KVKK/GDPR ve ePrivacy ilkelerini daha ilk günden tasarım kararlarına gömmek; rıza, veri envanteri, saklama, hak yönetimi ve şeffaflık akışlarını kurmak; kimlik–yetki, şifreleme, uygulama/tedarik zinciri güvenliği, edge/CDN korumaları, içerik güvenliği başlıklarını kabul kriteri hâline getirmek demektir. Sadece teknik değil; CMS iş akışlarından CMP entegrasyonuna, DSAR süreçlerinden sözleşme ve SLA’lara kadar operasyonel ritüeller de bu çerçevenin parçasıdır.

Bu yaklaşım yalnız riski düşürmez; dönüşümü artırır. Güvenlik ve uyumluluk sayfalarının kanıt yoğunluğu; itirazları azaltır, “satıcı değerlendirme” aşamasını hızlandırır. Rıza ve gizlilik tercihlerinin şeffaflığı; kullanıcıyla psikolojik sözleşme kurar. Edge ve performans kontrolleri; hem Core Web Vitals’ı hem saldırı dayanımını güçlendirir. Olay müdahalesi, yedekleme ve felaket kurtarma planları; kesintilerde itibar kaybını sınırlar.

Son kertede; güvenlik-uyumluluk programı, bir “evet/hayır” kontrol listesi değil, yaşayan bir öğrenme sistemidir: denetimler, pen-test, zafiyet takibi, karar log’u ve standartlaştırma döngüsüyle her çeyrek olgunlaşır. Bu sistemi proje başlangıcından itibaren kuran ekipler, pazarlama ve ürün kararlarını korkuyla değil özgüvenle alır; çünkü bilirler ki hızları, güvenli sınırlar içinde katlanarak artacaktır.

Bill Gates Web: Profesyonel Çözümler Sunan Güvenilir Partneriniz

Bill Gates Web, dijital dünyada varlık gösteren herkes için kapsamlı çözümler sunan öncü bir platformdur. Web tasarım, yazılım geliştirme, uygulama ve programlama gibi birçok alanda uzmanlaşmış olan ekibimiz, sizin işinizi büyütmeniz için gereken her şeyi sunmak için burada. Sektördeki en son teknolojilere hakim olan ekibimiz, projenizin başarılı bir şekilde hayata geçirilmesini sağlamak için elinden gelenin en iyisini yapar.

Dijital Varlığınızı Güçlendirecek Profesyonel Dokunuşlar

Bill Gates Web olarak, işinizi bir adım öteye taşıyacak benzersiz çözümler sunuyoruz. İhtiyaçlarınıza özel olarak tasarlanmış web siteleri, kullanıcı dostu arayüzler, özelleştirilmiş yazılımlar ve mobil uygulamalarla dijital varlığınızı güçlendiriyoruz. Ayrıca, itibar danışmanlığı hizmetimizle markanızın çevrimiçi itibarını korumak ve geliştirmek için size rehberlik ediyoruz.

İlerlemenin Anahtarını Bugün Yakalayın

Siz de işinizi dijital dünyada büyütmek ve ilerlemek istiyorsanız, Bill Gates Web sizin için doğru adres. Profesyonel ekibimizle çalışarak, rekabetin önüne geçecek çözümlerle tanışabilir, başarıya giden yolda adımlarınızı sağlam atabilirsiniz. Hemen bizimle iletişime geçin ve dijital dünyadaki potansiyelinizi keşfedin!