Ödeme Sistemi Entegrasyonuna Giriş
E-ticaret dünyasında ödeme sistemi entegrasyonu, işletmenizin başarısını doğrudan etkileyen kritik bir bileşendir. Yanlış yapılandırılmış bir ödeme sistemi, sepet terk oranlarını artırabilir, güvenlik açıklarına yol açabilir ve müşteri güvenini zedeleyebilir. Bu kapsamlı rehberde, en popüler ödeme geçitlerinin entegrasyonunu, güvenlik standartlarını ve en iyi uygulamaları detaylı olarak inceleyeceğiz.
Türkiye e-ticaret pazarı 2025 yılında 1.5 trilyon TL'yi aşmış durumdadır ve her yıl %25'in üzerinde büyümektedir. Bu büyüme, güvenilir ve kullanıcı dostu ödeme sistemlerinin önemini daha da artırmaktadır.
Popüler Ödeme Geçitleri Karşılaştırması
| Özellik | Stripe | iyzico | PayPal |
|---|---|---|---|
| Türkiye Desteği | Sınırlı | Tam Destek | Kısıtlı |
| Komisyon Oranı | %2.9 + 30¢ | %2.49 + 0.29₺ | %3.49 + 49¢ |
| Taksit Desteği | Hayır | Evet (2-12 taksit) | Hayır |
| API Kalitesi | Mükemmel | İyi | Orta |
| Dokümantasyon | Mükemmel | İyi | İyi |
| 3D Secure | Evet | Evet | Evet |
| Tekrarlayan Ödeme | Evet | Evet | Evet |
| Sandbox | Evet | Evet | Evet |
Stripe Entegrasyonu
Stripe Nedir?
Stripe, dünya genelinde milyonlarca işletme tarafından kullanılan, geliştirici dostu bir ödeme altyapısıdır. Kapsamlı API'si, detaylı dokümantasyonu ve zengin SDK desteği ile öne çıkmaktadır.
Stripe Payment Intents API
Stripe'ın modern ödeme akışı Payment Intents API üzerine kuruludur. Bu API, SCA (Strong Customer Authentication) gereksinimlerini otomatik olarak yönetir:
- Sunucu tarafında PaymentIntent oluşturulur
- İstemci tarafında Stripe Elements ile ödeme formu gösterilir
- Kullanıcı kart bilgilerini girer ve 3D Secure doğrulaması yapılır
- Ödeme onaylanır ve webhook ile bildirim alınır
Stripe Webhooks
Webhook'lar, ödeme durumu değişikliklerinde sunucunuzun bildirim almasını sağlar. En önemli webhook olayları:
- payment_intent.succeeded: Ödeme başarılı
- payment_intent.payment_failed: Ödeme başarısız
- charge.refunded: İade işlemi yapıldı
- customer.subscription.updated: Abonelik güncellendi
- invoice.payment_failed: Fatura ödemesi başarısız
Webhook endpoint'lerinizi her zaman idempotent olarak tasarlayın. Aynı olay birden fazla kez gönderilebilir, bu nedenle tekrarlanan işlemleri kontrol eden bir mekanizma oluşturun.
iyzico Entegrasyonu
Neden iyzico?
iyzico, Türkiye pazarına özel çözümler sunan yerli bir ödeme geçididir. Taksit desteği, BKM Express entegrasyonu ve Türk bankalarıyla doğrudan çalışma imkanı sunar. Türkiye'de e-ticaret yapan işletmeler için en uygun seçeneklerden biridir.
iyzico Entegrasyon Yöntemleri
- iyzico Checkout Form: Hazır ödeme sayfası ile hızlı entegrasyon
- iyzico API: Tam özelleştirme için doğrudan API entegrasyonu
- iyzico Plugin: WooCommerce, Shopify gibi platformlar için hazır eklentiler
Taksit Yönetimi
iyzico ile taksit yönetimi oldukça esnektir. Banka bazında taksit oranları ve seçenekleri dinamik olarak alınabilir. Taksit komisyon oranları bankadan bankaya değişir ve iyzico bu oranları otomatik olarak hesaplar.
PayPal Entegrasyonu
PayPal Commerce Platform
PayPal, özellikle uluslararası satış yapan işletmeler için güçlü bir seçenektir. PayPal Commerce Platform ile şunları sunabilirsiniz:
- PayPal ile ödeme
- Kredi kartı ile ödeme (Braintree altyapısı)
- Pay Later (sonra öde) seçenekleri
- Venmo entegrasyonu (ABD pazarı)
- Çoklu para birimi desteği
PayPal Smart Payment Buttons
PayPal Smart Payment Buttons, kullanıcının konumuna ve tercihlerine göre en uygun ödeme yöntemlerini otomatik olarak gösteren akıllı butonlardır. Bu yaklaşım, dönüşüm oranlarını önemli ölçüde artırabilir.
PCI DSS Uyumluluğu
Payment Card Industry Data Security Standard (PCI DSS), kredi kartı verilerinin güvenliğini sağlamak için oluşturulmuş küresel bir güvenlik standardıdır. PCI DSS uyumluluğu dört seviyeden oluşur:
PCI DSS Seviyeleri
| Seviye | Yıllık İşlem Sayısı | Gereksinimler |
|---|---|---|
| Seviye 1 | 6 milyondan fazla | Yıllık QSA denetimi, üç aylık ağ taraması |
| Seviye 2 | 1-6 milyon | Yıllık SAQ, üç aylık ağ taraması |
| Seviye 3 | 20.000-1 milyon | Yıllık SAQ, üç aylık ağ taraması |
| Seviye 4 | 20.000'den az | Yıllık SAQ önerilir |
PCI Uyumluluğunu Kolaylaştırma
Stripe Elements, iyzico Checkout Form veya PayPal Smart Buttons gibi barındırılmış ödeme formları kullanarak PCI uyumluluk yükünüzü büyük ölçüde azaltabilirsiniz. Bu yaklaşımda kart bilgileri doğrudan ödeme sağlayıcısının sunucularına gönderilir ve sizin sunucunuza hiç uğramaz.
- Kart bilgilerini asla sunucunuzda saklamayın
- Barındırılmış ödeme formları kullanın
- TLS 1.2 veya üzerini zorunlu kılın
- Tokenizasyon kullanarak kart verilerini token ile değiştirin
- Düzenli güvenlik taramaları yapın
3D Secure 2.0 Entegrasyonu
3D Secure 2.0, kart sahibinin kimliğini doğrulayan bir güvenlik protokolüdür. PSD2 düzenlemesi kapsamında Avrupa'da zorunlu hale gelmiştir. 3D Secure 2.0'ın avantajları:
- Frictionless Flow: Düşük riskli işlemlerde kullanıcı müdahalesi olmadan doğrulama
- Mobil Uyumluluk: Uygulama içi ödeme desteği
- Zengin Veri Paylaşımı: Daha doğru risk değerlendirmesi
- Sorumluluk Aktarımı: Dolandırıcılık sorumluluğu kart çıkaran bankaya geçer
Tekrarlayan Ödeme (Subscription) Yönetimi
Abonelik tabanlı iş modelleri için tekrarlayan ödeme sistemleri kritik öneme sahiptir. Başarılı bir abonelik sistemi için dikkat edilmesi gerekenler:
Abonelik Yaşam Döngüsü
- Oluşturma: Plan seçimi ve ilk ödeme
- Yenileme: Otomatik periyodik ödeme
- Güncelleme: Plan değişikliği ve prorasyon hesabı
- Duraklatma: Geçici abonelik askıya alma
- İptal: Abonelik sonlandırma ve geri bildirim toplama
Başarısız Ödeme Yönetimi (Dunning)
Tekrarlayan ödemelerde kart limitlerinin dolması, kartın süresinin geçmesi gibi nedenlerle ödeme başarısız olabilir. Etkili bir dunning stratejisi şunları içermelidir:
- Otomatik yeniden deneme (3-5 gün arayla)
- E-posta ile kullanıcı bilgilendirmesi
- Kart güncelleme hatırlatmaları
- Grace period (ek süre tanıma)
- Hesap askıya alma süreci
Stripe Billing, tekrarlayan ödemeler için Smart Retries özelliğini sunar. Makine öğrenimi kullanarak başarısız ödemeleri en uygun zamanda yeniden dener ve kurtarma oranını %38'e kadar artırabilir.
Güvenlik En İyi Uygulamaları
- Tüm ödeme sayfalarında HTTPS zorunlu kılın
- API anahtarlarını çevre değişkenlerinde saklayın, kaynak koda asla yazmayın
- Webhook imzalarını doğrulayarak sahte bildirimleri engelleyin
- Rate limiting uygulayarak brute force saldırılarını önleyin
- Ödeme loglarını güvenli şekilde saklayın ve düzenli denetleyin
- İki faktörlü kimlik doğrulama (2FA) kullanın
Sonuç
Doğru ödeme sistemi seçimi ve güvenli entegrasyon, e-ticaret başarınızın temel taşlarından biridir. Türkiye pazarı için iyzico, uluslararası satış için Stripe veya PayPal değerlendirilebilir. Hangi sistemi seçerseniz seçin, PCI DSS uyumluluğu, 3D Secure entegrasyonu ve güvenlik en iyi uygulamalarına mutlaka dikkat edin. Doğru kurgulanmış bir ödeme altyapısı, hem dönüşüm oranlarınızı artıracak hem de müşterilerinizin güvenini kazanmanızı sağlayacaktır.
