SoftPOS (Software Point of Sale), fiziksel POS cihazına gerek kalmadan mobil cihazlar üzerinden ödeme kabul etmeyi mümkün kılan bir teknolojidir. Ancak bu esneklik, beraberinde bir dizi güvenlik riskini de getirir.
Bir SoftPOS ürünü geliştirirken, özellikle ödeme sistemleri ve regülasyonlarla ilgili birçok hassas noktada titiz olunması gerekir. Bu yazıda, geliştirme sürecinde karşılaşılan güvenlik zorluklarını ve bunlara karşı uygulanan çözüm yollarını ele alıyoruz.
Temel Güvenlik Zorlukları
Cihaz Güvenliği
Root edilmiş veya jailbreak yapılmış cihazların tespit edilmesi zorunludur.
Donanım bağımlılığı olmayan yapılar, geleneksel POS’lara göre daha fazla risk barındırır.
Kart Verisi Güvenliği
PCI DSS, MPoC gibi standartlara tam uyum gereklidir.
PAN (Primary Account Number), CVV gibi veriler hiçbir zaman cihaz belleğinde plaintext saklanmamalıdır.
Yetkisiz Erişim ve Reverse Engineering
APK veya mobil uygulama üzerinden kaynak kod analizine karşı obfuscation gerekir.
Saldırganlar uygulamanın işleyiş mantığını analiz edip sahte transaction üretebilir.
Network Güvenliği
Transaction sırasında tüm veriler uçtan uca şifrelenmeli.
Man-in-the-middle saldırılarına karşı TLS pinning uygulanmalı.
Çözüm Yolları ve Yaklaşımlar
Attestation (Cihaz Doğrulama)
- “Cihaz gerçekten bizim izin verdiğimiz bir cihaz mı?”
- Cihazın durumu, root edilmiş olup olmadığı, emulator kullanımı gibi parametrelerle tespit edilir. Google SafetyNet veya kendi attestation sunucunuz kullanılabilir.
Secure Channel (Güvenli Kanal)
- “Uygulama ile sunucu arasındaki veri akışı ne kadar güvenli?”
- End-to-end encryption + TLS üzerinden özel bir katman oluşturulur. AES-256 gibi güçlü algoritmalarla veri şifrelenir.
Token Bazlı Kimlik Doğrulama
- Sabit credential’lar yerine, her oturumda dinamik access token’lar kullanılır.
- Refresh token süresi kısıtlanır. Gelişmiş kullanıcı oturumu kontrolü uygulanır.
Runtime Güvenlik Kütüphaneleri
- DexGuard (Android), AppSealing gibi güvenlik servisleri kullanılarak runtime seviyesinde müdahale tespit edilir. Kodun dump edilmesi engellenir.
White-box Kriptografi
- Kritik anahtarlar uygulama içine gömülmek yerine, white-box tekniklerle maskelenir.
- Bu sayede APK analizleri ile key’e ulaşmak neredeyse imkânsız hale gelir.
Transaction Risk Scoring
- Her işlem, cihaz davranışı, lokasyon, işlem süresi gibi parametrelere göre puanlanır.
- Riskli işlemler ya engellenir ya da ikinci doğrulamaya yönlendirilir.
Diworkz Ne Yapıyor?
Biz Diworkz olarak SoftPOS projelerinde:
MPoC ve PCI DSS standartlarına tam uyum sağlayan geliştirmeler yapıyoruz,
Secure Channel ve attestation süreçlerini ürünün kalbinde konumlandırıyoruz,
Cihaz tipi, sistem durumu, işlem hacmi gibi detaylara göre gerçek zamanlı güvenlik katmanları inşa ediyoruz.
Güvenli SoftPOS sistemleri, sadece teknik değil aynı zamanda düzenleyici ve operasyonel bilgi gerektirir. Bu hassas yapıyı uçtan uca yönetiyoruz.
