[GH-ISSUE #292] PCI DSS (Payment Card Industry Data Security Standard) #155

New issue

Closed

opened 2026-03-03 15:43:36 +03:00 by kerem · 3 comments

kerem commented 2026-03-03 15:43:36 +03:00

Owner

Copy link

Originally created by @mhmtpacal on GitHub (Jan 23, 2026).
Original GitHub issue: https://github.com/mewebstudio/pos/issues/292

Kütüphanedeki bazı akışlarda ödeme sayfasında kart bilgilerinin uygulama tarafından alınarak backend katmanına iletilmesi, burada işlenmesi veya oturum (session) benzeri yapılarda geçici olarak tutulması ve ardından bankaya aktarılması gerektiği anlaşılıyor.

Bu yaklaşım, PCI DSS standartları açısından kart verisinin merchant sistemi tarafından işlenmesi anlamına gelmektedir.

Bu noktada, kütüphanenin PCI DSS uyumluluğu ile ilgili öngördüğü kullanım modeli nedir? Özellikle kart verisinin backend’e hiç uğramadığı (SAQ-A kapsamına giren) bir akış kütüphane tarafından resmi olarak desteklenmekte midir?

Originally created by @mhmtpacal on GitHub (Jan 23, 2026). Original GitHub issue: https://github.com/mewebstudio/pos/issues/292 Kütüphanedeki bazı akışlarda ödeme sayfasında kart bilgilerinin uygulama tarafından alınarak backend katmanına iletilmesi, burada işlenmesi veya oturum (session) benzeri yapılarda geçici olarak tutulması ve ardından bankaya aktarılması gerektiği anlaşılıyor. Bu yaklaşım, PCI DSS standartları açısından kart verisinin merchant sistemi tarafından işlenmesi anlamına gelmektedir. Bu noktada, kütüphanenin PCI DSS uyumluluğu ile ilgili öngördüğü kullanım modeli nedir? Özellikle kart verisinin backend’e hiç uğramadığı (SAQ-A kapsamına giren) bir akış kütüphane tarafından resmi olarak desteklenmekte midir?

kerem closed this issue 2026-03-03 15:43:36 +03:00

kerem commented 2026-03-03 15:43:37 +03:00

Author

Owner

Copy link

@nuryagdym commented on GitHub (Jan 23, 2026):

Merhaba,
Bu konu maalesef kutuphane ile ilgili degil.

• Ornegin Payten 3D form icin hash olustururken kart bilgileri dahil 3D formdaki verilerin tamamindan hash hesaplanmasini istemekte. Payten'in eski versiyonun'da 3D formun belli bir kismi hash icin lazim diye hatirliyorum, ama shu anki versiyonunda bu mumkun degil.
• Diger Konu ise PayFlexV4Pos'pos'ta kullanici 3D onay sayfasindan dondukten sonra, provizyon islemi icin tekrar card bilgileri istenmekte, bu yuzden ya su anki gibi kart bilgileri backend'de gecici olarak saklanacak, yada kullanici 2 kere kart girisi yapmasi gerekecek.
• Bazi gatewayler icin backend'de kart bilgileri gondermeden ishlem yapilmasi mumkun. Ancak bu kullanicinin frontend'de kart bilgilerini formatlama, gerekli alanlara ekleme gibi islemler yapmasi gerekecek. Aslinda create3DFormData() metodun son parametresi bunun icin. Form bilgileri kartsiz olusturup sonra kendiniz ekleyebilirsiniz o forma. Belki kutuphane tarafindan gereken frontend kodlari olusturulabilir bunun icin. Ama kafa karasikligi arttirabilir.

<!-- gh-comment-id:3788969436 --> @nuryagdym commented on GitHub (Jan 23, 2026): Merhaba, Bu konu maalesef kutuphane ile ilgili degil. - Ornegin Payten 3D form icin hash olustururken kart bilgileri dahil 3D formdaki verilerin tamamindan hash hesaplanmasini istemekte. Payten'in eski versiyonun'da 3D formun belli bir kismi hash icin lazim diye hatirliyorum, ama shu anki versiyonunda bu mumkun degil. - Diger Konu ise PayFlexV4Pos'pos'ta kullanici 3D onay sayfasindan dondukten sonra, provizyon islemi icin tekrar card bilgileri istenmekte, bu yuzden ya su anki gibi kart bilgileri backend'de gecici olarak saklanacak, yada kullanici 2 kere kart girisi yapmasi gerekecek. - Bazi gatewayler icin backend'de kart bilgileri gondermeden ishlem yapilmasi mumkun. Ancak bu kullanicinin frontend'de kart bilgilerini formatlama, gerekli alanlara ekleme gibi islemler yapmasi gerekecek. Aslinda [create3DFormData()](https://github.com/mewebstudio/pos/blob/c73d4588489a2ead7dec9986cc6e120345ee4a9e/src/PosInterface.php#L133) metodun son parametresi bunun icin. Form bilgileri kartsiz olusturup sonra kendiniz ekleyebilirsiniz o forma. Belki kutuphane tarafindan gereken frontend kodlari olusturulabilir bunun icin. Ama kafa karasikligi arttirabilir.

kerem commented 2026-03-03 15:43:37 +03:00

Author

Owner

Copy link

@mhmtpacal commented on GitHub (Jan 23, 2026):

Peki bu yöntemleri kullanmanın riski nedir?
iyzico, param, paytr, stripe gibi ödeme aracıları hosted form yani kendi formlarını vererek bu riski 0'a düşürüyor fakat komisyon sorunu olduğu bu şekilde direkt kullanmak çok avantajlı ama PCI riski mevcut

<!-- gh-comment-id:3788999519 --> @mhmtpacal commented on GitHub (Jan 23, 2026): Peki bu yöntemleri kullanmanın riski nedir? iyzico, param, paytr, stripe gibi ödeme aracıları hosted form yani kendi formlarını vererek bu riski 0'a düşürüyor fakat komisyon sorunu olduğu bu şekilde direkt kullanmak çok avantajlı ama PCI riski mevcut

kerem commented 2026-03-03 15:43:37 +03:00

Author

Owner

Copy link

@nuryagdym commented on GitHub (Jan 23, 2026):

Bu yontem derken?

Backende sunucunun guvenliligini saglanmasi hep website yonetecisinin sorumlulugu. Kutuphanenin bu guvenligi saglamak icin yapabilecegi bir sey yok.

Eger website yoneticisi bu konuda kendine guvenmiyorsa (ki dogrusu o):

• 3D host odeme modeli kullanabilir
• kart bilgileri frontend'de alip, 3D form verisini kendisi eklemesi gerekecek, bunun icin de bu yontemi destekleyen Sanal Pos Alt Yapisi secmesi gerekecek

<!-- gh-comment-id:3789098401 --> @nuryagdym commented on GitHub (Jan 23, 2026): Bu yontem derken? Backende sunucunun guvenliligini saglanmasi hep website yonetecisinin sorumlulugu. Kutuphanenin bu guvenligi saglamak icin yapabilecegi bir sey yok. Eger website yoneticisi bu konuda kendine guvenmiyorsa (ki dogrusu o): - 3D host odeme modeli kullanabilir - kart bilgileri frontend'de alip, 3D form verisini kendisi eklemesi gerekecek, bunun icin de bu yontemi destekleyen Sanal Pos Alt Yapisi secmesi gerekecek

kerem referenced this issue 2026-03-03 15:44:05 +03:00

[PR #155] [MERGED] issue #153 Isbank Asseco İMECE kart ile ödeme desteği eklendi #234

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

v2

v2-introduce-response-object

v1.8.0

issue-289-fix-kuveytpos-soap-calls

fix/phpstan-and-php8.5

v1.6

task/pacgage-upgrade

master-old-pkg

1.8.0

1.7.1

1.7.0

1.6.0

1.5.0

1.4.2

1.4.1

1.4.0

1.3.0

1.2.0

1.1.1

1.1.0

1.0.1

1.0.0

0.16.1

0.16.0

0.15.1

0.15.0

0.14.0

0.13.2

0.13.1

0.13.0

0.12.2

0.12.1

0.12.0

0.11.0

0.10.5

0.10.4

0.10.3

0.10.2

0.10.1

0.10.0

0.9.1

0.9.0

0.8.2

0.8.1

0.8.0

0.7.4

0.7.3

0.7.2

0.7.1

0.7.0

0.6.1

0.6.0

0.5.2

0.5.1

0.5.0

0.4.17

0.4.16

0.4.15

0.4.14

0.4.13

0.4.12

0.4.11

0.4.10

0.4.9

0.4.8

0.4.7

0.4.6

0.4.5

0.4.4

0.4.3

0.4.2

0.4.1

0.4.0

0.3.8

0.3.7

0.3.6

0.3.5

0.3.4

0.3.3

0.3.2

0.3.1

0.2.0

0.1.8

0.3.0

0.1.7

0.1.6

0.1.5

0.1.2

0.1.1

0.1.0

Labels

Clear labels   

PayFlexV4

  

TROY

  

akbankpos

  

bug

  

duplicate

  

enhancement

  

garanti

  

help wanted

  

isbank

  

kuveyt

  

payten

  

posnet

  

pull-request

Mirrored from GitHub Pull Request

  

vakifbank

  

ziraat

No labels

PayFlexV4

TROY

akbankpos

bug

duplicate

enhancement

garanti

help wanted

isbank

kuveyt

payten

posnet

pull-request

vakifbank

ziraat

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

starred/pos#155

No description provided.