TL;DR
Fintek ekipleri, PCI DSS kapsamı, veri yerleşimi, finansal düzenleyiciler için denetim kayıtları ve API kimlik bilgilerinin güvenli yönetimi gibi ekstra API araçları gereksinimleriyle karşılaşır. Bu rehber; API test araçlarının hassas verileri nasıl yönettiğine, hangi uyumluluk gereksinimlerini sağladığına ve fintek ekipleri için hangi pratik çözümlerin uygulanabileceğine odaklanır.
💡 Apidog, ücretsiz ve hepsi bir arada bir API geliştirme platformudur. Fintek ekipleri için Apidog'un yerel kimlik bilgisi depolaması, kendi kendine barındırılan dağıtım seçeneği ve denetim kaydı, genel SaaS API araçlarının çoğunda eksik olan uyumluluk gereksinimlerini karşılar. Apidog'u kredi kartı gerekmeden ücretsiz olarak kullanabilirsiniz.
Giriş
Ödeme API’leri, açık bankacılık entegrasyonları veya finansal veri hizmetleri geliştirirken, test ortamlarında kullanılan kimlik bilgileri gerçek finansal sistemlere erişebilir. API spesifikasyonlarınız, potansiyel olarak güvenlik mimariniz hakkında hassas bilgiler içerebilir.
Çoğu API test aracı, genel yazılım geliştirme için tasarlanır ve bulutta barındırılır; kimlik bilgilerini otomatik olarak sunuculara senkronize eder. Bu araçlar, yemek tarifi uygulaması ile bir ödeme işleyici API'sini test eden geliştirici arasında ayrım yapmaz.
Fintek ekipleri için kritik olan nokta: API kimlik bilgileriniz nerede saklanıyor? Satıcıda bir ihlal olursa ne olur? PCI DSS kapsamı sağlanıyor mu? Denetim kayıtları üretebiliyor musunuz?
Aşağıda, yaygın API test araçlarının bu sorulara verdiği yanıtları bulacaksınız.
API Araç Seçimini Etkileyen Uyumluluk Gereksinimleri
PCI DSS ve Kimlik Bilgisi İşleme
PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), kart sahibi verisine dokunan API'ler için geçerlidir ve araç seçiminizi doğrudan etkiler:
- Gereksinim 7 (Erişim Kontrolü): API test aracınız ödeme sistemlerine erişen kimlik bilgilerini depoluyorsa, bu sistemler PCI kapsamına girer.
- Gereksinim 10 (Günlük Kaydı ve İzleme): Kart sahibi verilerine ve ağ kaynaklarına yapılan tüm erişimler denetlenebilir olmalı.
- Gereksinim 12.5 (Üçüncü Taraf Hizmet Sağlayıcıları): Tüm üçüncü taraf hizmet sağlayıcıları ve depolanan/veri iletilen kart verilerinin envanteri tutulmalı.
Eğer bir API test aracı, ortam değişkenlerini (API anahtarları, tokenlar) kendi sunucularına senkronize ediyorsa, bu aracı üçüncü taraf hizmet sağlayıcı olarak PCI kapsamına dahil etmeniz gerekir. Bu, ek değerlendirme ve sürekli takip zorunluluğu doğurur.
Pratik uygulama: Kimlik bilgilerini yalnızca yerel olarak saklayan ve buluta senkronize etmeyen araç tercih edin. Apidog'un yerel ortam değişkeni özelliğiyle, hassas değişkenler sadece geliştiricinin makinesinde tutulur.
Veri Yerleşimi ve Coğrafi Kısıtlamalar
AB, Birleşik Krallık veya başka düzenlemeye tabi ülkelerde çalışan fintek şirketleri için veri yerleşimi zorunludur. ABD merkezli bir fintek şirketi için bile, API spesifikasyonu ve test verilerinin AB içinde kalması gerekebilir.
Çoğu bulut SaaS aracı, bölgesel veri yerleşimi sunmaz. Kurumsal planlarda bazen bu seçenek vardır. Kendi kendine barındırılan (on-premise) kurulumlar ise tamamen kontrolünüzde olur – veriler yalnızca sizin ortamınızda tutulur.
Finansal Düzenleyiciler için Denetim Kayıtları
Düzenleyiciler (SEC, FCA, FINRA, OCC vb.) erişim ve değişikliklerin denetlenebilir olmasını ister:
- Kimler test ortamlarına erişti?
- API spesifikasyonlarını/test yapılandırmalarını kim değiştirdi?
- Otomatik testler ne zaman ve hangi ortamlarda çalıştı?
- Test sonuçları beklenenle uyumlu mu?
Denetim kaydı olmayan araçlarda, bu kanıtları farklı sistemlerden manuel toplamak gerekir. Denetim kaydı özelliği olan araçlar bu işi kolaylaştırır.
Penetrasyon Testi Uyumluluğu
PCI DSS, SOC 2 veya müşteri sözleşmeleri gereği fintek API’lerine düzenli penetrasyon testleri yapılır. API aracınız, pentest ekiplerinin kendi ortamlarında veya sizin ağınızda test yapmasına izin vermeli.
Eğer API aracınız yalnızca bulut kimlik doğrulamasıyla çalışıyorsa ve pentest ekibi bu bulut ortamına erişemiyorsa süreç aksar. Kendi kendine barındırılan veya yerel araçlar ile bu sorun ortadan kalkar.
Araç Değerlendirmesi: Apidog, Postman ve Insomnia
Apidog
Apidog, yerel öncelikli çalışır. Varsayılan olarak veri yerel cihazda tutulur; buluta senkronizasyon isteğe bağlıdır. Özellikle ortam değişkenlerinde, her bir değişkeni "yerel" olarak işaretleyebilirsiniz – bu değişkenler yalnızca geliştiricinin makinesinde kalır ve asla sunucuya gönderilmez.
Bu, fintek ekiplerinin gereksinim duyduğu “kimlik bilgisi lokalizasyonu” için idealdir. Stripe API anahtarınız ya da Plaid client secret gibi hassas veriler, yerel değişken olarak ayarlandığında geliştiricinin cihazından dışarı çıkmaz.
Tam veri kontrolü gerektiren ekipler için Apidog Enterprise, kendi kendine barındırılan dağıtım sunar. Apidog’u kendi altyapınızda çalıştırabilir, tüm verilerinizi kendi güvenlik alanınızda tutabilirsiniz. Denetim kaydı, API spesifikasyon değişiklikleri, test çalıştırma geçmişi, kullanıcı erişim olayları ve workspace değişikliklerini kapsar (Kurumsal lisans gerektirir).
Apidog’un belirli bir PCI DSS sertifikası yoktur, ancak mimarisi (yerel kimlik bilgisi depolama, self-hosted seçenek, denetim kaydı) PCI gereksinimlerine genel bulut araçlarından daha yakındır.
Apidog hakkında detaylı bilgi için resmi web sitesine bakabilirsiniz.
Postman
Postman fintek sektörü tarafından yaygınca kullanılır, fakat varsayılan mimarisi uyumluluk açısından bazı riskler barındırır. Koleksiyonlar, ortamlar ve değişken değerleri otomatik olarak Postman’ın bulutuna senkronize edilir. Dikkat etmezseniz hassas kimlik bilgileri de sunucuya gider.
“Gizli değişken” tipi, kullanıcı arayüzünde değeri gizler ancak yine de veriler şifreli olarak Postman’ın sunucularına senkronize edilir. PCI kapsamı için, şifreli dahi olsa, kimlik bilgilerinin üçüncü taraf sunucuda bulunması sorunlu olabilir.
Postman, SOC 2 Tip II sertifikasına ve kurumsal planlarda veri yerleşimi seçeneklerine sahiptir, fakat bunlar genellikle yalnızca enterprise planlarda ve özel anlaşmalarla sunulur.
Şirket içi dağıtım (Postman Enterprise On-Premises) seçeneği mevcuttur ancak bulut sürümüne göre daha yavaş güncellenebilir. Kendi kendine barındırma zorunluluğunuz varsa, bu sürümün güncel özelliklerini kontrol edin.
Insomnia
Insomnia (Kong tarafından satın alındı), yerel öncelikli bir REST istemcisidir. Varsayılan olarak tüm verileri yerelde tutar. Bulut senkronizasyonu (Insomnia Sync) isteğe bağlıdır.
Ancak, Insomnia daha çok manuel test ve debugging için uygundur; API tasarımı, otomatik test paketleri, CI/CD entegrasyonu veya API dokümantasyonu için sınırlı desteği vardır. Ekip işbirliği, RBAC veya denetim kaydı özellikleri bulunmaz. Bu nedenle, fintek ekiplerinde genellikle yığının tamamı için değil, bireysel geliştiriciler için tercih edilir.
Fintek Ekipleri için Karşılaştırma
| Kriter | Apidog | Postman | Insomnia |
|---|---|---|---|
| Yerel kimlik bilgisi depolama | Evet (değişken başına isteğe bağlı) | Buluta şifreli senkronizasyon | Evet (varsayılan) |
| Kendi kendine barındırılan / şirket içi seçenek | Evet (Kurumsal) | Evet (Kurumsal, sınırlı) | Hayır |
| Denetim kayıtları | Evet (Kurumsal) | Evet (Kurumsal) | Hayır |
| SOC 2 sertifikası | Satıcıyla kontrol edin | Evet (Tip II) | Satıcıyla kontrol edin |
| Tam yaşam döngüsü (tasarım+test+mock+dokümanlar) | Evet | Kısmi | Hayır |
| CI/CD entegrasyonu | Evet | Evet | Sınırlı |
| Veri yerleşimi seçenekleri | Şirket içi çözer | Sadece Kurumsal | Yok |
Apidog Fintek Uyumluluğunu Nasıl Ele Alıyor?
Uygulamada Yerel Ortam Değişkenleri
Apidog’da bir ödeme API’si için test ortamı oluştururken, API anahtarları ve tokenlar yerel değişken olarak işaretlenebilir. Böylece bu hassas bilgiler yalnızca ilgili geliştiricinin makinesinde tutulur. Ekipteki diğer üyeler, aynı değişken için sadece bir yer tutucu (placeholder) görür ve kendi değerlerini tanımlamaları gerekir.
Bu yöntem, merkezi depolama riskini ortadan kaldırır. Kimlik bilgilerinin sızması için merkezi bir hedef oluşturmaz, her geliştirici kendi kimlik bilgisinden sorumludur.
Tam Kontrol için Kendi Kendine Barındırılan Dağıtım
Veri yerleşimi gereksinimi olan fintek ekipleri için, Apidog Enterprise kendi kendine barındırılan (self-hosted) dağıtım sunar: tüm API spesifikasyonları, test yapılandırmaları, sonuçlar ve kullanıcı erişim kayıtları sadece sizin altyapınızda tutulur. PCI uyumlu bir AWS ortamında çalışıyorsanız, Apidog dağıtımı mevcut güvenlik önlemlerinizden yararlanır.
Dağıtım konteyner tabanlıdır (Docker/Kubernetes). Güvenlik ekibiniz konteynerleri tarayabilir, ağ politikaları uygulayabilir ve trafiği izleyebilir.
Düzenleyici Kanıtlar için Denetim Kaydı
Apidog Enterprise, API spesifikasyonlarındaki değişiklikler, test çalıştırmaları ve erişim yetkisi değişiklikleri gibi tüm workspace olayları için denetim kaydı tutar. Bu günlükler dışa aktarılabilir ve SIEM sisteminize alınabilir.
Denetim kaydı sayesinde, düzenleyici bir incelemede veya PCI QSA denetiminde, ödeme API’lerine kimlerin eriştiği ve ne zaman değişiklik yaptığına dair net kanıt sunabilirsiniz.
Fintek API Araç Seçimi için Pratik Kontrol Listesi
Seçiminizi yapmadan önce aşağıdaki adımları uygulayın:
- [ ] Ortam değişkenleri (API anahtarları, tokenlar) gerçekten nerede tutuluyor? Geliştiricinin cihazında mı, yoksa satıcının sunucusunda mı?
- [ ] Satıcının veri işleme uygulamalarıyla ilgili yazılı açıklama alabiliyor musunuz?
- [ ] Veri yerleşimi gereksinimleriniz değişirse, araç kendi kendine barındırılan kurulum sunuyor mu?
- [ ] Hangi denetim günlük formatları mevcut? SIEM’inize aktarılabiliyor mu?
- [ ] Satıcı, SOC 2 Tip II denetimini geçti mi? (Gerekirse rapor NDA ile sağlanabiliyor mu?)
- [ ] Penetrasyon test ekibi bu araçla çalışmak zorunda mı, dış ağdan erişim mümkün mü?
- [ ] Aboneliği iptal ettiğinizde verileriniz üzerinde ne tür kontrolleriniz var?
Sıkça Sorulan Sorular
Apidog kullanmak satıcı için PCI DSS kapsamı oluşturur mu?
Apidog’un yerel değişken özelliğiyle, hassas kimlik bilgileriniz cihazınızdan ayrılmaz. Tüm ödeme ile ilgili kimlik bilgileri için yerel değişken kullanırsanız, Apidog’un bulut altyapısı bu verileri almaz, bu da PCI kapsamını azaltır. Ancak kesin değerlendirme için bir PCI QSA ile çalışmanız önerilir.
Apidog, PCI uyumlu bir AWS ortamında dağıtılabilir mi?
Evet. Apidog Enterprise kendi kendine barındırılan sürümü, Docker ve Kubernetes ile PCI uyumlu bir AWS VPC'ye kurulabilir. Mevcut PCI kontrolleriniz (ağ segmentasyonu, erişim logları, şifreleme) Apidog üzerinde de geçerli olur.
Fintek geliştirme için bulut tabanlı bir API aracı kullanmanın riski nedir?
Ana riskler: Satıcıda bir ihlal olursa kimlik bilgilerinin açığa çıkması, satıcı değerlendirmesi gerektiren potansiyel PCI kapsamı genişlemesi ve veri yerleşimi uyumluluğu hataları. Ciddiyet, gerçek finansal veriye mi yoksa sadece sentetik/test verilerine mi dokunduğunuza bağlıdır.
Apidog'un bir İş Ortağı Sözleşmesi (BAA) mevcut mu?
BAA’lar genelde HIPAA için geçerlidir. Fintek için genellikle Veri İşleme Anlaşması (DPA) gerekir. Apidog’un kurumsal ekibiyle iletişime geçerek mevcut anlaşma seçeneklerini öğrenebilirsiniz.
Bir fintek ekibi, gerçek finansal verilere benzeyen test verilerini nasıl ele almalı?
Mümkünse, API testlerinde sadece sentetik veriler ve korumalı alan kimlik bilgileri kullanın. Bu mümkün değilse, tüm verilerin sizin ortamınızda kalması için kendi kendine barındırılan (self-hosted) kurulum sunan bir araç seçin.
Apidog, fintek CI/CD pipeline’larında kullanılan güvenlik tarama araçlarıyla entegre olabilir mi?
Apidog CLI, güvenlik tarama adımları içeren CI pipeline’larına entegre edilebilir. API test sonuçları güvenlik tarama sonuçlarından ayrıdır. Entegre güvenlik testi için ReadyAPI veya DAST araçları ile birlikte kullanabilirsiniz.
Fintek API araçları seçimi, sadece geliştirici verimliliği değil, aynı zamanda uyumluluk ve güvenlik kararıdır. Bir tüketici uygulamasına uygun olan araç, bir ödeme şirketi için uygun olmayabilir. Araçları, verilerinizin gerçekte nereye gittiğine göre değerlendirin – satıcının söylediğine değil, varsayılan ve tasarımsal davranışına göre seçim yapın.
Top comments (0)