Giriş

Ödeme sağlayıcıları ve API sürümleri, bir oyun veya bahis platformunda (ör. Dodo) kullanıcı deneyimi, gelir akışı ve operasyonel güvenilirlik açısından kritik rol oynar. Bu rehberde pratik ön hazırlıklar, teknik entegrasyon modelleri, güncelleme ve sürüm yönetimi ile test ve dağıtım adımlarını adım adım ele alacağız.

Kimler için?

Bu içerik ürün yöneticileri, backend geliştiriciler, ödeme mühendisleri ve operasyon ekipleri için tasarlanmıştır. Hedef, teknik ekiplerin karar alma süreçlerini hızlandırmak ve hizmet kesintilerini en aza indirecek uygulamalar sunmaktır.

Uyarı

Bu belge genel teknik rehberlik sağlar ve hukuki veya düzenleyici tavsiye yerine geçmez. Bölgesel düzenlemeler değişebilir; uygulamanızın uyumluluğu için yerel hukuk veya uyumluluk uzmanına danışın.

1. Başlarken: Gereksinimleri netleştirin

Entegrasyon öncesi net bir gereksinim listesi hazırlamak, sonraki adımları hızlandırır. Aşağıdaki maddeleri ekip içinde netleştirin:

  • Desteklenecek ödeme yöntemleri: kartlar (Visa/Mastercard), cüzdanlar (Apple/Google Pay), banka transferleri (ACH/SEPA) veya ön ödemeli-balans yaklaşımları.
  • Hacim ve gecikme beklentileri: maksimum işlem/ saniye, hedef gecikme (latency) ve pik trafik gün/ saatleri.
  • Para birimleri ve para akışı: lokal para birimleri, dönüşüm gereksinimleri ve ödeme sağlayıcılarının para çekme/hesap çözümleme süreleri.
  • Raporlama ve mutabakat: günlük/haftalık rapor formatları, otomatik kayıt eşleme (reconciliation) ihtiyacı.
  • Uyumluluk ve operasyonel gereksinimler: kimlik doğrulama, veri saklama politikaları ve denetim izleri.

2. Ödeme sağlayıcısı seçimi: teknik ve operasyonel kriterler

Sağlayıcı seçimi yalnızca ücretlere dayanmamalıdır. Teknik entegrasyon, SLA, raporlama ve destek süreçleri kritik rol oynar. Değerlendirilecek başlıca kriterler:

  • Desteklenen ödeme seçenekleri ve coğrafi kapsam — hedef pazarlarda kullanılan yerel yöntemler.
  • Entegrasyon modelleri — hosted checkout (iframe/redirect), tokenizasyon, doğrudan API erişimi veya SDK seçenekleri.
  • Test ortamı ve sandbox — gerçekçi test kartları, webhook simülasyonları ve test raporları.
  • Raporlama & reconciliation — günlük mutabakat dosyaları, webhook olayları ve API üzerinden rapor desteği.
  • Güvenlik & uyumluluk — PCI kapsamını küçültme seçenekleri (hosted fields, token), şifreleme, ve sertifikasyon süreçleri.
  • Operasyonel destek — 7/24 destek, SLA’lar, olay yönetimi.

3. Teknik entegrasyon modelleri

En yaygın modeller ve kısa değerlendirmeleri:

  • Hosted checkout / redirect: Kart bilgilerinin sağlayıcıya yönlendirildiği model — uygulamanın PCI kapsamını azaltır ancak kullanıcı deneyimi farklılaşabilir.
  • Hosted fields / iframe: Ödeme formunun sağlayıcı tarafından sunulduğu, ancak görünümün uygulamaya entegre edildiği yöntem — güvenlik avantajı ve daha iyi UX dengesi.
  • Sunucu tarafı API (tokenization): Kart verisi token olarak saklanır; işletme sunucuları hassas veriyi doğrudan saklamaz.
  • Tam sunucu tarafı işleme: Platformun doğrudan PAN işlediği model — yüksek uyumluluk maliyeti ve sıkı denetim gerektirir.

Öneri

Çoğu durumda tokenization + hosted fields kombinasyonu, hem güvenlik hem de kullanıcı deneyimi dengesi açısından uygundur. Ancak pazar ve ürün gereksinimlerinize göre karar verin.

4. Kimlik doğrulama ve güvenlik

API erişiminde ve webhook doğrulamasında uygulanabilecek güvenlik önlemleri:

  • Güçlü TLS sürümleri ve ciphers — sunucu tarafında TLS 1.2 veya daha güncel sürüm kullanımını zorunlu hale getirin.
  • API anahtarları ve OAuth 2.0: kısa ömürlü tokenler, client credentials flow veya ihtiyaç halinde mTLS ile ek doğrulama katmanı.
  • Webhook doğrulama: her webhook isteğine imza başlığı ekleyin; uygulamanız, imzayı doğrulayarak kaynağın sağlayıcı olduğunu teyit etsin.
  • Gizli anahtar yönetimi: gizli anahtarları bir secret vault veya yönetilen gizli deposunda saklayın; anahtar döndürme (rotation) politikasına sahip olun.
  • Tokenization: ödeme verilerini token'larla değiştirerek hassas veri saklama alanınızı daraltın.

5. Webhooklar ve olay işleme

Webhook tabanlı bildirimler, asenkron olayları yönetmek için kullanışlıdır ancak tasarım hataları operasyonel sorunlara yol açabilir. Önemli prensipler:

  • İmza ve zaman damgası doğrulaması — istek üzerindeki başlık ile imzayı kontrol edin; replay saldırılarına karşı zaman damgası sınırı uygulayın.
  • Idempotency — tekrar gelen aynı olayı güvenli şekilde işleyebilmek için idempotency anahtarları kullanın.
  • Retry politikası — sağlayıcıların retry davranışını anlayın ve endpoint’inizi buna göre yapılandırın (ör. hızlı geri dönüş 200/204 için uygun yanıtlar).
  • Queue & backpressure — yoğun olay trafiklerinde doğrudan DB işlemi yerine kuyruk (queue) kullanarak işlem hattını dengeleyin.

6. Sürüm yönetimi ve API notları

API değişiklikleri planlanırken aşağıdaki uygulamalar önerilir:

  • Semantik sürümleme (Semantic Versioning) — major/minor/patch kuralları ile uyumlu sürümler yayınlayın.
  • Geriye dönük uyumluluk: major sürüm değişiklikleri haricinde geriye dönük uyumluluğu koruyun.
  • Deprecation politikası: eski uç noktalar için açık takvim ve migration rehberi yayınlayın.
  • OpenAPI spec ve contract tests: tüketiciler için açık ve test edilebilir API spesifikasyonları sağlayın.

7. Test ve QA

İyi hazırlanmış test süreci, canlı ortamdaki aksaklıkları azaltır. Önemli test başlıkları:

  • Sandbox ve staging: gerçekçi test verileri ve webhook simülasyonları ile tam entegrasyon testleri yapın.
  • Automated integration tests: ödeme akışlarının uçtan uca doğrulanması.
  • Load & performance testing: pik trafik koşullarını simüle ederek latency ve hata oranlarını ölçün.
  • Güvenlik taramaları: gizli anahtar kullanımı, açık portlar ve sertifika kontrollerini içeren periyodik tarama.
  • Reconciliation testleri: sağlayıcı raporları ile satır bazlı mutabakat testleri gerçekleştirin.

8. Dağıtım, rollout ve rollback stratejileri

Yapılandırılmış dağıtım planı hizmet sürekliliğini sağlar:

  • Canary ve phased rollout: önce küçük kullanıcı segmentlerinde yeni entegrasyonu etkinleştirip metrikleri izleyin.
  • Feature flags: yeni davranışları anında kapatabilmek için feature flag'ler kullanın.
  • Rollback planı: her sürümle birlikte otomatik veya manuel geri alma adımlarını dokümante edin.
  • Operasyon playbook: hata senaryoları, sorumlular ve iletişim kanallarını içeren olay yönetim kılavuzu hazırlayın.

9. Operasyonel izleme ve raporlama

Canlı ortamda sürekli ölçüm ve alarm mekanizmaları kurun:

  • Metrikler: işlem başarı oranı, hata oranı, latency, queue uzunluğu, reconciliation farkları gibi göstergeler.
  • Alerting: SLA eşiklerini aşan durumlar için bildirimler ve otomatik eskalasyon kuralları.
  • Loglama ve audit: ödeme olayları için denetim izi (audit trail) tutun ve erişimi sınırlayın.

10. Hazır-lık kontrol listesi (Pratik)

Aşağıdaki kontrol listesi dağıtımdan önce hızlı bir doğrulama sağlar:

  • Ön lansman: sağlayıcı sözleşmesi ve test ortam erişimleri, API anahtarları, OpenAPI dokümanı hazır.
  • Testler: end-to-end testler, mutabakat testleri, güvenlik taramaları tamamlandı.
  • Dağıtım: canary planı, feature flag hazır, rollback dokümantasyonu mevcut.
  • Canlı sonrası: ilk 24-72 saat için yoğun izleme, günlük reconciliation ve hızlı müdahale ekibi hazır.

11. Sık karşılaşılan sorunlar ve çözümler

  • Webhook tekrarları: idempotency uygulayın ve olayların bir kuyruğa alınmasını sağlayın.
  • Beklenmeyen ödeme hataları: sağlayıcı hata kod haritalarını dokümante edin ve kullanıcıya net geri bildirim verin.
  • Mutabakat sapmaları: saat dilimi dönüşümleri, rounding ve komisyon hesaplamalarını gözden geçirin.

Sonuç ve sonraki adımlar

Dodo veya benzeri platformlarda ödeme sağlayıcıları ve API güncellemeleri planlarken, teknik mimari, güvenlik, test ve operasyonel süreçler arasında denge kurmak gerekir. Ön hazırlık, kapsamlı test ve kademeli rollout ile üretime geçiş riskleri azaltılabilir. Bir sonraki adım olarak mevcut ödeme akışınızı yukarıdaki kontrol listesiyle değerlendirin ve eksik alanlara öncelik vererek bir zaman çizelgesi oluşturun.

Eğer ekibinizle teknik bir kontrolden geçmek isterseniz, spesifik entegrasyon şemalarını ve test senaryolarını birlikte gözden geçirebilecek bir teknik değerlendirme planı hazırlamanıza yardımcı olabilirim.