KENDİ VERİ MİMARİNİZ
First-Party Veri & Ölçüm Mimarisi
sGTM, Conversion API, BigQuery/Snowflake data lake, Consent Mode v2 + TCF 2.2, identity resolution ve reverse ETL — üçüncü-taraf çerez sonrası dünyada kazanan markaların veri altyapısı, sıfırdan mühendislik disipliniyle.
Pixel'in öldüğü değil, veri sahipliğinin zorunlu olduğu bir çağa giriyoruz; altyapı mühendislik işidir, plug-and-play SaaS değil.
Consent Mode v2, iOS 17 ATT, Chrome çerez değişiklikleri ve TCF 2.2 ile birlikte reklam platformlarına giden sinyal ortalama %40-60 aralığında eridi. Çoğu marka bunu fark etmeden çoklu SaaS araçlarıyla paralel veri gölleri oluşturdu; her aracın farklı ID'si, farklı consent yorumu, farklı event şeması var. Roibase'in first-party veri operasyonu bu parçalanmışlığı kaldıran altı prensip üzerine kurulur; her prensip bir SaaS değil, bir mühendislik standardıdır.
Roibase perspective
METODOLOJİ
AUDIT → DESIGN → DEPLOY → VALIDATE → GOVERN → HANDOFF — mühendislik disiplini
Veri mimarisi bir tag yönetimi projesi değil, uzun ömürlü bir platformdur. Altı aşamalı süreç her kararı yazılı, test edilebilir ve devredilebilir kılar.
01
01
AUDIT
Mevcut client-side GTM, GA4, pixel, CMP, consent uygulaması, veri akışı ve fatura görünürlüğü auditi; sinyal kaybı, consent ihlali ve veri dubluicate'leri nicelleştirilir.
02
02
DESIGN
Event taxonomy, identity stratejisi, consent policy, warehouse mimarisi ve data contract'ları tasarlanır; paydaş (legal, IT, pazarlama, veri) onayı alınır.
03
03
DEPLOY
sGTM konteyner, CAPI endpoint'leri, Consent Mode v2 yapılandırması, warehouse streaming ve dbt modelleri canlıya alınır; blue/green deployment ile risk azaltılır.
04
04
VALIDATE
Shadow mode + dual tracking ile eski ve yeni mimari paralel çalıştırılır; event parity %99+ olana kadar cutover yapılmaz; QA kontrol listesi 120+ madde.
05
05
GOVERN
Schema registry, PII tagging, retention, RBAC, audit log ve compliance raporları devreye alınır; veri yönetişim kurulu aylık cadence ile toplantılaştırılır.
06
06
HANDOFF
Ekibinize 3 haftalık hands-on eğitim + runbook + 6 aylık asenkron destek; kritik alarm rotasyonu ve SLA sözleşmesi yazılı devredilir.
— KARŞILAŞTIRMA
In-house vs SaaS-dependent ajans vs Roibase veri mühendisliği
Üç farklı yaklaşımın veri sahipliği, consent uyumu, mühendislik derinliği ve toplam maliyet üzerindeki somut farkı.
| Boyut | In-house minimal | SaaS-dependent ajans | Roibase mühendislik |
|---|---|---|---|
| Veri sahipliği | Parçalı (her araç kendi DB'si) | SaaS sağlayıcıda | Kendi warehouse'unuzda |
| sGTM + CAPI | Kısmi (client-only) | Yok ya da vendor yönetiminde | Kendi altyapınızda, tam sahiplik |
| Consent Mode v2 + TCF 2.2 | Temel entegrasyon | CMP pre-set, uyarlama yok | Yazılı policy + legal review + test |
| Identity resolution | Yok ya da email-only | Vendor black-box | Deterministik + olasılıksal açık model |
| PII governance + audit log | Ad-hoc | Sözleşmesel, operasyonel değil | Runbook + aylık compliance raporu |
| Data contracts + schema registry | Yok | SaaS schema'sına bağımlı | Versiyonlu, test edilebilir, owned |
| Reverse ETL + activation | Manuel CSV | SaaS kilitli | Warehouse-native, özgür seçim |
| Toplam yıllık maliyet | 50-120k€ (parçalı SaaS) | 120-250k€ (ajans + lisans) | 80-180k€ (kurulum + warehouse) |
KANIT
Rakamlarla sonuç
+%45
Sinyal geri kazanımı
iOS 14+/ATT sonrası sGTM + CAPI ile atfedilememiş dönüşümlerin geri getirilmesi.
%94
Consent uyum oranı
TCF 2.2 + Consent Mode v2 sonrası kabul edilebilir consent state dağılımı.
12
Araç konsolidasyonu
Tipik müşteride birleştirilebilen ayrı veri/analitik SaaS aracı sayısı.
€0
Aylık veri lisans maliyeti
Kendi warehouse'unuzda — yalnızca query + storage maliyeti; SaaS per-seat yok.
8
Hafta kurulum süresi
Audit'ten canlı shadow mode'a tipik orta ölçek müşteri zaman çizelgesi.
%99.8
Event delivery oranı
sGTM + CAPI dual-path sonrası ortalama event teslim başarı oranı.
NELER YAPIYORUZ
Çalışma kapsamı
Her hizmet başlığı, çıktı bazlı ölçülebilir bir iş paketidir. Roibase, strateji ve uygulamayı tek ekip içinde birleştirir.
01 / 10
Server-side GTM (sGTM)
Google Cloud Run / AWS Fargate üzerinde kendi sGTM konteyneriniz: veri sahipliği sizde, vendor lock-in yok, client yükü azalır; PII redaction sunucuda gerçekleşir.
02 / 10
Consent Mode v2 + TCF 2.2
IAB TCF 2.2 uyumlu CMP entegrasyonu, ad_user_data + ad_personalization sinyallerinin consent state'ine göre dinamik yayınlanması; KVKK/GDPR 'legal basis' ayrıştırması yazılı politikayla.
03 / 10
Conversion API (CAPI)
Meta, Google, TikTok, Pinterest için sunucu taraflı dönüşüm eventi; hashed PII + event deduplication; %30-50 sinyal geri kazanımı ve iOS 14+/ATT uyumu.
04 / 10
BigQuery / Snowflake data lake
Ham event streaming + dbt modelleri + semantic layer + Looker Studio/Metabase/Looker görselleştirme; partition + clustering + cost optimization dahil.
05 / 10
Identity resolution
Deterministik (login, email hash) + olasılıksal (device fingerprint, household) identity graph; cross-device journey ve cross-channel atıf için tek kullanıcı kimliği.
06 / 10
CDP readiness
Segment / RudderStack / mParticle entegrasyonu ya da warehouse-native CDP (Census, Hightouch) ile reverse ETL hatları; CDP seçimi bağımsız değerlendirme ile.
07 / 10
Reverse ETL & activation
Hesaplanmış segmentlerin (churn risk, LTV tier, product affinity) Meta Custom Audience, Google Customer Match, Klaviyo, HubSpot, Braze'e otomatik aktarımı.
08 / 10
Customer Match rebuild
Hashed PII + CAPI ile lookalike + retargeting yeniden inşası; pixel dışı dünyada reklam platformu performansını koruyan altyapı.
09 / 10
Schema registry + PII governance
Event şeması versiyonlu, test edilebilir; PII alanları tag'lenir, retention + masking politikası uygulanır; schema drift alarmları ile veri kalite izleme.
10 / 10
Audit log + erişim izleme
Kim hangi veriye, ne zaman, hangi amaçla eriştiği loglanır; role-based access control (RBAC), data contracts ve compliance raporu aylık otomatik üretilir.
— FAYDA
Veri sahipliğinin somut, ölçülebilir getirisi
First-party veri mimarisi sadece uyum değil; reklam performansı, müşteri anlayışı ve ekip hızı için doğrudan kaldıraç.
+%45 sinyal
Reklam sinyali geri kazanımı
Meta/Google/TikTok CAPI ile %30-50 sinyal geri; reklam platformlarının öğrenme hızı ve optimizasyon kalitesi belirgin artar.
−%52 SaaS gideri
Araç maliyeti azalır
Parçalanmış SaaS yığını tek warehouse + dbt katmanına konsolide edilir; yıllık lisans gideri %40-60 düşer.
+%38 karar hızı
Ekibinizin hızı artar
Self-serve semantic layer ile iş birimi kendi sorusunu kendi cevaplar; veri team bottleneck yerine enabler konumuna geçer.
%100 audit-ready
Consent uyumu yazılı
TCF 2.2 + Consent Mode v2 + KVKK policy auditli, test edilebilir; yasal denetimde 'evidence file' hazır.
+%28 atıf doğruluğu
Cross-channel journey görünür
Identity resolution ile cihaz/kanal bağımsız kullanıcı yolculuğu; atıf modelleri ve kohort analizleri bütünsel veri üzerinde.
Runbook + RACI
Veri yönetişimi devam edilebilir
Schema registry, PII tagging, retention, RBAC, audit log — ekibinize runbook + aylık compliance raporu ile devredilir.
ÇIKTILAR
Her first-party proje için somut, yazılı teslimatlar
Mimari, kod, konfigürasyon, dokümantasyon ve eğitim — her teslimat versiyonlanır ve ekibinize devredilir.
Signal audit raporu
Mevcut sinyal kaybı, consent ihlali ve araç dublikasyonunun niceliksel değerlendirmesi, 40-60 sayfa.
Event taxonomy & data contracts
Tüm event'lerin isimleri, özellikleri, sahipleri, schema versiyonu ve backward compatibility kuralları.
sGTM konteyner kurulumu
Google Cloud Run / AWS Fargate üzerinde canlı sGTM, blue/green deployment + CI/CD pipeline + rollback planı.
CAPI entegrasyonları
Meta, Google, TikTok, Pinterest için sunucu taraflı dönüşüm eventi; event deduplication + hashed PII + error handling.
Consent Mode v2 + CMP policy
IAB TCF 2.2 uyumlu CMP yapılandırması, ad_user_data/ad_personalization dinamik sinyaller, yazılı consent policy + legal review.
BigQuery/Snowflake warehouse
Ham event streaming pipeline, partition + clustering, cost optimization, monitoring + alerting.
dbt modelleri + semantic layer
Staging → intermediate → marts katmanları, dbt testleri, exposures, lineage graph + documentation site.
Identity resolution pipeline
Deterministik + olasılıksal eşleşme kuralları, household detection, cross-device journey tablosu.
Reverse ETL hatları
Census/Hightouch ile Meta CA, Google CM, Klaviyo, HubSpot, Braze'e segment aktarım; schedule + monitoring.
Schema registry & PII governance
Versiyonlu şema kayıtları, PII tagging, retention + masking politikası, schema drift alarmları.
Audit log + compliance raporu
RBAC konfigürasyonu, data access log, aylık otomatik compliance raporu (KVKK/GDPR + reklam politika).
Runbook + 3 haftalık eğitim
Operasyonel runbook, on-call rotasyonu, SLA sözleşmesi + ekibinize 3 haftalık hands-on eğitim.
— KAPSAM
Neleri yapıyor, neleri yapmıyoruz — net sınırlar
First-party mimari mühendislik işidir; kapsamı net tanımlamak, sürprizleri ve sonradan ek faturaları önler.
Yapıyoruz
- Signal audit + consent sağlığı değerlendirmesi
- Event taxonomy + data contracts tasarımı
- sGTM konteyner kurulumu + CI/CD + monitoring
- Meta/Google/TikTok/Pinterest CAPI entegrasyonları
- Consent Mode v2 + TCF 2.2 + CMP yapılandırması
- BigQuery/Snowflake warehouse + streaming pipeline
- dbt modelleri + semantic layer + testler
- Identity resolution (deterministik + olasılıksal)
- Reverse ETL hatları (Census/Hightouch)
- Schema registry + PII governance + audit log
- Legal/compliance review koordinasyonu
- Runbook + 3 haftalık hands-on eğitim
Yapmıyoruz
- Hukuki danışmanlık (partner avukat + policy review koordine edilir)
- CDP lisans satışı (vendor-agnostik öneri veririz, komisyonsuz)
- Parçalanmış SaaS yığının sürdürülmesi (konsolidasyon önerilir)
- Raw analytics agency süreleri (paket yerine mühendislik sprintleri)
- Garantili 'pixel öncesi' sinyal geri kazanımı (realistik aralık verilir)
- Warehouse lisansı / bulut faturası (müşteri hesabında kalır)
- Reklam hesabı yönetimi (PPC/Growth ekipleriyle ayrı kapsam)
- Plug-and-play SaaS deployment (her müşteri custom mimari)
NASIL ÇALIŞIYORUZ
İlk 8 haftalık kurulum → 6 aylık operasyon — neyin ne zaman yapıldığı yazılı
01
Hafta 1-2: audit + discovery
Mevcut GTM/GA4/CMP/pixel audit, consent health check, paydaş görüşmeleri, mimari gereksinim dokümanı.
02
Hafta 3-4: design + data contracts
Event taxonomy, identity stratejisi, warehouse şeması, consent policy, data contracts — legal + IT + pazarlama onayı.
03
Hafta 5-6: sGTM + CAPI deploy
Cloud Run/Fargate konteyner canlıya; Meta/Google/TikTok CAPI entegrasyonu; shadow mode başlatılır.
04
Hafta 7-8: warehouse + dbt
BigQuery/Snowflake streaming pipeline, dbt staging + intermediate + marts, semantic layer ilk sürümü.
05
Hafta 9-10: validate + cutover
Event parity testi, QA kontrol listesi, blue/green cutover; eski mimari decommission planı.
06
Hafta 11-12: govern + handoff
Schema registry, PII tagging, audit log, RBAC; ekibinize hands-on eğitim başlar, runbook teslim edilir.
07
Ay 4-5: activation + optimization
Reverse ETL hatları, ilk segment aktivasyonları, MMM/attribution veri hazırlığı, cost optimization.
08
Ay 6+: steady state + audit
Aylık compliance raporu, kwartal veri yönetişim kurulu, schema drift izleme, SLA + on-call rotasyonu.
— ARAÇ SETİ
Kullandığımız araçlar — vendor-agnostik ama kararlı seçim
Her müşteri için uygun olanı seçeriz; bağımsızlığımızı komisyon almayarak koruruz.
SERVER-SIDE TRACKING
Google Tag Manager ServerStape.ioGoogle Cloud RunAWS FargateMeta Conversion APIGoogle Ads Enhanced ConversionsTikTok Events APIPinterest CAPI
CMP & CONSENT
OneTrustCookiebotDidomiUsercentricsGoogle Consent Mode v2IAB TCF 2.2
WAREHOUSE & CDP
BigQuerySnowflakeRedshiftdbt Core/CloudSegmentRudderStackmParticleAmplitude
REVERSE ETL & ACTIVATION
CensusHightouchPolytomicFivetranAirbyteStitchMeta Custom Audience APIGoogle Customer Match API
SIK SORULAR
Sık sorulan sorular
Üç somut fayda: (1) Ad-blocker + ITP atlatımı ile %30-50 sinyal kazancı, (2) Veri sahipliği — PII redaction sunucuda gerçekleşir, (3) Sayfa yükleme hızı artışı — client-side script yükü azalır. Buna ek olarak vendor lock-in kırılır; tüm tag mantığı sizin bulutunuzda.
— SÖZLÜK
First-party veri mühendisliği terimleri
Ekibinize ve paydaşlara ortak dil kazandıran 12 kritik terim.
- sGTM
- Server-side Google Tag Manager — tarayıcıdaki GTM'in payload'ını ele alıp temizleyen, zenginleştiren ve birden fazla destination'a (GA4, Meta CAPI, TikTok, vb.) yönlendiren proxy. Cookie ömrünü uzatır, ad-blocker'a dirençlidir, server-side conversion API'lerinin altyapısıdır.
- CAPI
- Meta'nın Pixel'e paralel server-to-server event API'si. ITP ve adblock nedeniyle browser'da kaybolan %20-40 dönüşüm sinyalini geri kazandırır; deduplication için her event'e event_id ve aynı zaman damgası taşıması zorunludur. Modern paid sosyal stack'in temeli.
- Consent Mode v2
- Google'ın TCF 2.2 uyumlu consent sinyali mekanizması; ad_user_data + ad_personalization state'leri.
- TCF 2.2
- IAB Europe'un 2024'ten beri zorunlu olan TCF (Transparency & Consent Framework) versiyonu. Yayıncı, vendor ve kullanıcı arasındaki onay sinyalini standardize eder; CMP üreticileri (OneTrust, Cookiebot, Didomi) Google Consent Mode v2 ile birlikte zorunlu uyumu sağlar.
- Identity resolution
- Farklı cihaz ve kanallardaki kullanıcı aktivitesinin tek bir kimliğe bağlanması; deterministik + olasılıksal.
- CDP
- Customer Data Platform; kullanıcı profillerini birleştirip aktivasyon kanallarına açan sistem (Segment, mParticle, warehouse-native).
- Reverse ETL
- Warehouse'dan operasyonel araçlara (Meta, Google, Klaviyo) veri aktarımı; Census, Hightouch tipik vendor'lar.
- Customer Match
- Google Ads'da hash'lenmiş first-party listenin (e-posta, telefon, mailing adresi) Search, YouTube ve Display'de hedefleme/dışlama kitlesi olarak kullanılması. Lookalike seed'i ve win-back için temel; minimum match rate genelde %30+ olmalı.
- Data warehouse
- Ham ve modellenmiş event verisinin oturduğu bulut veri deposu (BigQuery, Snowflake, Redshift, Databricks).
- Event schema
- Event isimleri, özellikleri, veri tipleri ve sahiplerinin yazılı, versiyonlu tanımı; schema registry'de saklanır.
- PII
- Personally Identifiable Information; kişiyi tanımlayan veri (email, telefon, IP, device ID). Tagging + retention altında yönetilir.
- Data governance
- Veri kalitesi, erişim, yönetişim ve uyumluluk disiplinlerinin bütünü; RBAC + audit log + data contracts standart.
- GA4 Measurement Protocol
- GA4'e doğrudan HTTP isteği ile event göndermeye yarayan server-to-server protokol. Web pikseli olmayan ortamlardan (CRM, IoT, app server) conversion sinyali üretir; api_secret + measurement_id ile kimliklendirilir, Consent Mode'a uyumlu yapılandırılır.
- Enhanced Conversions
- Google Ads'da hash'lenmiş first-party verisi (e-posta, telefon) ile dönüşümü kullanıcıya bağlayan ölçüm katmanı. ITP ve cookie kaybından dolayı düşen attribution'ı %3-15 telafi eder; web ve lead form için iki varyantta gelir.
- Offline Conversions
- CRM'de gerçekleşen lead-to-sale, çağrı kapatma veya mağaza ziyareti gibi dönüşümleri tıklama ID'si (gclid/wbraid/fbclid) ile reklam platformuna geri bildirme süreci. tROAS'ı gerçek satışla beslemenin en güvenli yolu.
- First-party Data
- Markanın kendi mülklerinden (web, app, CRM, çağrı merkezi, e-posta, üyelik) doğrudan kullanıcı izniyle topladığı veri. Üçüncü-parti cookie kaybı sonrası performans-pazarlamanın en savunulabilir yakıtı; hash'lenip aktivasyon platformlarına aktarılır.
- Data Clean Room
- İki tarafın (örn. marka + medya/platform) birbirinin ham PII'sini görmeden agregasyon ve match yapabildiği güvenli işlem ortamı. Google Ads Data Hub, Amazon AMC, Snowflake/Databricks clean room'lar — overlap analizi, attribution ve audience inşası için.
- Identity Graph
- Aynı bireyi ait olduğu cihaz, e-posta, telefon, ödeme kimliği ve hashed ID'ler arasında bağlayan ilişkisel grafik. Cross-device attribution, retention modelleri ve LAL seed kalitesinin temelini kurar; CDP'nin kalbi.
- First-party Cookies
- Site sahibinin kendi domain'inde set ettiği ve sadece kendi sayfa isteklerinde gönderilen cookie. Third-party cookie blokajından sonra ITP'nin de kısalttığı bu kategori için server-side cookie set + 1y+ rotasyon politikası kritik.
- Server-side Events
- Tarayıcıdan değil, kendi server'ından (sGTM, kendi backend) reklam platformuna API üzerinden gönderilen conversion event'leri. Ad-blocker ve browser kısıtlamasından muaf; CAPI (Meta), GA4 MP, TikTok Events API gibi spec'lerle çalışır.
- Hashed PII
- Kişiye özgü tanımlayıcının (e-posta, telefon, ad-soyad) tek-yönlü kriptografik fonksiyonla (genelde SHA-256) sabitlenmiş hali. Reklam platformlarında match, custom audience yükleme ve Enhanced Conversions için zorunlu — privacy ve compliance şartı.
- Privacy Sandbox
- Google'ın Chrome içinde third-party cookie'yi kaldırmadan reklam ölçümü, retargeting ve fraud detection sağlamak için geliştirdiği API'lar paketi: Topics, Protected Audience (FLEDGE), Attribution Reporting. Cookieless geleceğin Google tarafı.
- CORS (Cross-Origin Resource Sharing)
- Tarayıcının bir origin'den diğerine yapılan fetch/XHR isteklerinin sunucu tarafından açıkça onaylanmasını şart koşan güvenlik mekanizması. Access-Control-Allow-* header'ları ile yönetilir; yanlış konfig SaaS API'larında en sık karşılaşılan integration bug.
- CSP (Content Security Policy)
- Sayfanın hangi kaynaklardan script, style, image, iframe yükleyebileceğini belirleyen HTTP header. XSS'e karşı en güçlü browser-side savunma; nonce + strict-dynamic modern best practice, monitoring için report-uri/report-to direktifleri.
- TLS / SSL
- İstemci ile sunucu arasındaki tüm trafiği şifreleyen ve sunucu kimliğini sertifika ile doğrulayan protokol. HTTPS'in altındaki katman; modern web'de TLS 1.3 standardı, Let's Encrypt ile ücretsiz sertifika, HSTS header zorunlu.
- Zero-Trust
- Ağ konumuna güvenmeyen, her istek için kullanıcı + cihaz + bağlam bazında yeniden authentication ve authorization yapan güvenlik modeli. VPN'in modern alternatifi; BeyondCorp, Cloudflare Access, Tailscale gibi platformlar üzerine kurulur.
- AWS IAM (Identity and Access Management)
- AWS'te kim hangi servise ne yapabilir sorusunun cevabını veren auth katmanı. User, Group, Role, Policy hiyerarşisi; least-privilege ilkesi; SCP (Service Control Policy) ile organization-level guardrail; her AWS workload'un güvenlik altyapısı.
- OWASP Top 10
- OWASP'ın yıllık güncellediği, web uygulamalarındaki en kritik 10 güvenlik riski listesi. 2021 sürümünün başını Broken Access Control, Cryptographic Failures, Injection, Insecure Design çekiyor. Endüstri standardı güvenlik öz-değerlendirme rehberi.
- SQL Injection
- Saldırganın input alanına SQL parçası enjekte ederek veritabanı sorgusunu manipüle ettiği klasik web zafiyeti. Login bypass, full DB dump, rm -rf benzeri DROP TABLE saldırılarına yol açar. Çözüm: parameterized query / prepared statement, ORM kullanımı.
- XSS (Cross-Site Scripting)
- Saldırganın bir web sayfasına kötü amaçlı JS enjekte ederek kurbanın tarayıcısında çalıştırması. Reflected, Stored, DOM-based üç tip; cookie hırsızlığı, session hijack riskine yol açar. Önlem: çıktı escape, CSP header, HttpOnly + SameSite cookie.
- CSRF (Cross-Site Request Forgery)
- Kullanıcının kimliği doğrulanmış oturumunu kötüye kullanarak istem dışı işlem yaptıran saldırı. Saldırgan farklı bir site üzerinden kurbanın bankasına auto-submit form gönderir. Önlem: anti-CSRF token, SameSite=Lax/Strict cookie, double submit cookie pattern.
- Clickjacking
- Saldırganın kendi sayfasına şeffaf iframe'le hedef siteyi yerleştirip kullanıcıyı görünmez butona tıklatması. Like, transfer, app permission gibi işlemleri istem dışı yaptırır. Önlem: X-Frame-Options: DENY veya CSP frame-ancestors header'ı.
- MITM (Man-in-the-Middle)
- İki taraf arasındaki iletişimi araya girerek dinleyen veya değiştiren saldırı. Açık Wi-Fi, sahte sertifika, ARP spoofing tipik vektörler. HTTPS, HSTS preload, certificate pinning, DNS over HTTPS (DoH) ile mitige edilir.
- Certificate Pinning
- Mobile / desktop uygulamanın yalnız belirli bir sunucu sertifikası (veya CA'nın) public key'ini kabul etmesi. Saldırgan kurbanın cihazına sahte CA yükletse bile uygulama kabul etmez; MITM'e karşı en güçlü savunmalardan biri ama anahtar rotasyonu zor.
- MFA / 2FA (Multi-Factor Authentication)
- Şifreye ek olarak ikinci kanıt faktörü gerektiren auth yöntemi. Faktörler: bildiğin (parola), sahip olduğun (telefon, hardware key), olduğun (biyometri). SMS zayıf; TOTP (Authenticator), push notification, FIDO2/WebAuthn modern tercih.
- SSO (Single Sign-On)
- Bir kez giriş yaparak birden çok bağlı uygulamaya erişim sağlama. SAML 2.0 (kurumsal) ve OIDC (modern web/mobile) iki ana protokol; Okta, Azure AD, Google Workspace tipik IdP'ler. UX iyileştirir + IT'ye merkezi user lifecycle yönetimi sağlar.
- SAML 2.0
- Kurumsal SSO'nun XML-tabanlı eski standardı (2005). IdP (Okta, ADFS) → Service Provider arasında authentication assertion taşır; browser POST veya redirect binding ile çalışır. Modern SaaS'larda hâlâ standart, ama yeni projeler için OIDC tercih ediliyor.
- OIDC (OpenID Connect)
- OAuth 2.0'ın üzerine kurulmuş kimlik (identity) katmanı. Access token'a ek olarak ID token (JWT) verir; "Sign in with Google/Apple/Microsoft" akışlarının teknolojisidir. SAML'a göre JSON tabanlı, mobile/SPA dostu, daha modern.
- JWT (JSON Web Token)
- Header.Payload.Signature formatında, taşınabilir, imzalı kimlik/yetki token'ı. Stateless oturum, mikroservis arası kimlik aktarımı, OIDC ID token formatı. Best practice: kısa süreli access + uzun süreli refresh; HS256 yerine RS256/ES256 önerilir.
- Security Headers
- Tarayıcıya güvenlik kuralları gönderen HTTP response header'ları. Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Doğru yapılandırma XSS, MITM, sniffing risklerini büyük ölçüde indirir.
- WAF (Web Application Firewall)
- OSI Layer-7 trafiğini analiz ederek SQL injection, XSS, RCE, bot saldırılarını engelleyen güvenlik katmanı. Cloudflare WAF, AWS WAF, Imperva, F5 başlıca ürünler; yönetilen rule set + custom rule + rate limiting bir arada.
- Penetration Testing (Pentest)
- Sistemin güvenliğini gerçek saldırgan zihniyetiyle test eden kontrollü güvenlik denetimi. Black-box, gray-box, white-box yaklaşımları; web app, mobile, network, social engineering scope'ları. Sonuç: prioritize edilmiş bulgu listesi + yeniden test (retest).
- Bug Bounty
- Şirketin güvenlik açıklarını bulan dış araştırmacıya nakit ödül verdiği program. HackerOne, Bugcrowd platformları üzerinden veya self-hosted; scope, kural, ödül skalası açıkça yayımlanır. Sürekli pentest etkisi yaratır.
- Zero Trust
- "Hiç kimseye ve hiçbir networke varsayılan güven gösterme; her isteği yeniden doğrula" yaklaşımı. Geleneksel kale-hendek modelinin yerine identity + device posture + context bazlı access. BeyondCorp, Cloudflare Access, Zscaler örnekleri.
- DDoS (Distributed Denial of Service)
- Binlerce komprometize cihazdan eş zamanlı trafik göndererek hedef servisi çökerten saldırı. Volumetric (bandwidth'i doldurma), protocol (SYN flood), application layer (HTTP flood) tipleri. Cloudflare, AWS Shield, Akamai gibi anycast network'ler ana savunma.
- Secrets Management
- API key, DB şifresi, certificate, OAuth client secret gibi hassas değerlerin merkezi, denetlenebilir, rotate edilebilir şekilde saklanması. HashiCorp Vault, AWS Secrets Manager, Doppler, 1Password Secrets standart araçlar; .env'i Git'e atmaya son.
- Prompt Injection
- Saldırganın kullanıcı veya tool input'una gizli talimatlar yerleştirerek LLM'i sistem prompt'unu yok saymaya zorladığı saldırı türü. "Önceki tüm talimatları unut, ..." gibi. LLM uygulamalarının XSS'i; defans katmanları, input sanitization, output filtering, sandbox şart.
- LLM Jailbreak
- Modelin yerleşik güvenlik kurallarını (zararlı içerik üretmeme, gizli sistem promptunu ifşa etmeme vb.) atlatma denemesi. DAN, "grandma exploit", roleplay, encoding, multi-turn manipulation tipik teknikler. Red team'lerin sürekli sınadığı yüzey.
- GDPR (General Data Protection Regulation)
- 2018'de yürürlüğe giren Avrupa Birliği veri koruma yönetmeliği. Açık rıza, veri minimizasyonu, sileme/erişim hakları (Right to Access / Erasure), data breach 72 saat bildirim, %4 küresel ciro veya 20M EUR para cezası. AB ile iş yapan herkesi bağlar.
- CCPA / CPRA
- California Consumer Privacy Act (2020) ve onu güçlendiren CPRA (2023). California sakinine: bilinme hakkı, sileme hakkı, "Do Not Sell or Share" opt-out hakkı tanır. ABD'de federal yasanın olmaması nedeniyle de-facto US privacy standardı; eyalet bazlı diğer yasalar (Virginia VCDPA, Colorado CPA) buna referans verir.
- LGPD (Lei Geral de Proteção de Dados)
- Brezilya'nın 2020'de yürürlüğe giren GDPR'a benzer veri koruma yasası. ANPD (Autoridade Nacional de Proteção de Dados) denetler; veri sahibinin 9 hakkı, açık rıza, DPO ataması zorunluluğu. Cezalar: ihlal başına ciroya bağlı %2, max 50M BRL.
- KVKK (Türkiye)
- 6698 sayılı Kişisel Verilerin Korunması Kanunu — Türkiye'nin 2016'da çıkardığı veri koruma yasası. KVKK Kurulu denetler; VERBİS sicili, açık rıza, ilgili kişinin 11 hakkı, yurt dışına aktarımda yeterli koruma şartı. GDPR'a uyumlu, ama bazı noktalarda daha katı.
- DSA (Digital Services Act)
- AB'nin 2024'te tam yürürlüğe giren büyük platform regülasyonu. VLOP'lar (Very Large Online Platforms — 45M+ AB kullanıcısı: Meta, Google, TikTok…) için: yıllık risk değerlendirmesi, yasadışı içerik takibi, algoritmik şeffaflık, dark pattern yasağı. Ceza: küresel cironun %6'sı.
- DMA (Digital Markets Act)
- AB'nin "gatekeeper" platformları (Apple, Google, Meta, Microsoft, Amazon, ByteDance, Booking) hedef alan rekabet kuralı (2024). Üçüncü taraf app store, browser engine seçimi, mesajlaşma interoperability, self-preferencing yasağı. iOS'un AB'de yan-yükleme açmasının nedeni.
- ePrivacy Directive ("Cookie Law")
- 2002 AB direktifi (2009 güncelleme) — cookie ve tracker kullanımı için açık consent zorunluluğunu getiren ilk yasa. Halen GDPR'ı tamamlayıcı şekilde geçerli; AB sitelerinde gördüğümüz cookie banner'larının yasal kaynağı. ePrivacy Regulation (yeni nesil) hala müzakerede.
- FLEDGE / Protected Audience API
- Google Privacy Sandbox'ın third-party cookie kalkınca remarketing'i devam ettirmek için tasarlanan API'si. Interest group'lar tarayıcıda saklanır; auction da tarayıcıda çalışır, IP/ID dışarı sızmaz. Chrome 109+'da varsayılan, IAB testleri devam ediyor.
- Topics API
- Privacy Sandbox'ın FLoC'tan sonraki halefi (2023). Tarayıcı, kullanıcının ziyaret geçmişine göre haftada bir 5 "topic" çıkarır (örn. /Sports/Soccer); reklam verene bir random subset paylaşılır. Cross-site tracking olmadan ilgi alanı eşleştirme amacı.
- CHIPS (Cookies Having Independent Partitioned State)
- Chrome'un üçüncü-parti cookie'leri site bazlı partition'lara böldüğü teknoloji. Embed edilen widget cookie'si artık her site için ayrı; cross-site tracking imkansız hale geliyor ama site içi state korunuyor. Set-Cookie'ye Partitioned attribute eklenir.
- SKAdNetwork (Apple)
- Apple'ın iOS'ta IDFA olmadan reklam attribution'ı sağlayan framework'ü. Reklamı gösteren network ile install'ı tetikleyen reklam arasında deterministic eşleşme; conversion value 0-63 + 24 saatlik aggregated postback. Mobil ad ekosisteminin ATT sonrası standardı.
- ATT (App Tracking Transparency)
- iOS 14.5'te (2021) gelen, app'lerin "Allow / Ask Not to Track" sistem dialog'u olmadan IDFA'ya erişimini engelleyen Apple özelliği. Kullanıcıların ~%75'i opt-out etti; mobile ad attribution sektörünü temelinden değiştirdi, SKAdNetwork'a yöneldi.
- IDFA / GAID
- IDFA (Identifier for Advertisers, iOS) ve GAID (Google Advertising ID, Android) — mobile cihaza bağlı, kullanıcı tarafından sıfırlanabilir reklam kimlikleri. ATT öncesi mobile attribution'ın temeliydi; bugün GAID Android'de aktif, IDFA opt-in modeline çekildi.
- OpenRTB
- IAB'nin programmatic display ve video reklam alış-satışını standartlaştıran açık protokolü. SSP'den DSP'lere bid request, bid response, win notice JSON formatlarını tanımlar; v2.6 (2024) audio + CTV + identity solutions desteği. Header bidding ve PMP'nin teknik temeli.
- Prebid.js
- En yaygın açık kaynak header bidding kütüphanesi. Yayıncının sayfasında ad server (GAM) çağrısından önce 10+ SSP'ye paralel bid request gönderir; en yüksek bid kazanır. Yayıncı eCPM'i %20-50 artırması, programmatic ekosistemini şeffaflaştırması ile devrim yaptı.
- Cookie Consent Banner
- Site açıldığında "Çerez kullanımını kabul ediyor musun?" diyen modern web'in tanıdık banner'ı. AB ePrivacy + GDPR'ın gereği; Reject All eşit kolaylıkta olmalı, kategorilere göre granüler seçim sunmalı. CookieYes, OneTrust, Cookiebot başlıca CMP'ler.
- CMP (Consent Management Platform)
- Kullanıcı consent'ini toplayan, saklayan ve site geneline yayan platform. IAB TCF v2.2 ile entegre olur, üçüncü taraf vendor'lara consent string ile bildirir. OneTrust, TrustArc, CookieYes, Cookiebot, Iubenda yaygın çözümler; modern privacy stack'in zorunlu parçası.
- IAB TCF v2.2 (Transparency & Consent Framework)
- IAB Europe'un AB pazarındaki adtech vendor'ları için consent paylaşma standardı. Kullanıcının hangi 12 amaca, hangi 1000+ vendor'a izin verdiğini binary string'le ifade eder; CMP→SSP→DSP boyunca taşınır. v2.2 (2023) "purpose 1: device storage" granülerliği netleştirdi.
- DSAR (Data Subject Access Request)
- GDPR Article 15 / KVKK / CCPA kapsamında, bireyin "şirket benim hakkımda hangi verileri tutuyor, kimle paylaştı" sorusuna 30 gün içinde belgeli yanıt alma hakkı. DSAR portalı, runbook, otomatik veri çekme pipeline'ı modern privacy programının olmazsa olmazı.
- Privacy by Design
- Ann Cavoukian'ın 7 ilkesi (1995, GDPR Art. 25'e gömülü): proaktif ol, varsayılan ayar privacy-friendly olsun, sistemi sıfırdan kapsayıcı tasarla, end-to-end şifreleme, full lifecycle koruma, görünürlük, kullanıcıya saygı. Modern güvenlik mimarisinin etik temeli.
- Right to be Forgotten
- GDPR Article 17 — bireyin kişisel verilerinin silinmesini talep etme hakkı. Şirket "yasal gerekçe yoksa" 30 gün içinde silmek zorunda; backup, log, üçüncü-parti vendor'a kadar yayılma kapsamı. 2014 ECJ Costeja kararıyla Google arama sonuçlarında da uygulandı.
- SPF (Sender Policy Framework)
- E-posta gönderen IP'lerin yetkili olduğunu DNS TXT kaydı ile belirten anti-spoofing standart. v=spf1 include:_spf.mailgun.org -all gibi. Receiver MTA gönderen IP'yi SPF ile karşılaştırır; başarısız olursa spam folder'a düşer veya reddedilir.
- DKIM (DomainKeys Identified Mail)
- Gönderen domain'in cryptographic signature'ı ile e-postaların orijinal olduğunu kanıtlayan standard. Mail header'ına DKIM-Signature eklenir, alıcı DNS'teki public key ile doğrular. SPF ile birlikte modern e-posta authentication'ın ikinci ayağı.
- DMARC (Domain-based Message Authentication, Reporting & Conformance)
- SPF + DKIM'i bir araya getirip "doğrulama başarısızsa ne yapsın" politikasını domain sahibinin söylemesini sağlayan standard. p=none / quarantine / reject; rua=mailto:dmarc@... ile rapor toplanır. 2024'ten itibaren Gmail/Yahoo bulk gönderici için zorunlu.
- BIMI (Brand Indicators for Message Identification)
- DMARC enforcement geçmiş gönderenlerin marka logosunu Gmail / Yahoo Inbox'ında "from" yanında gösteren standart. SVG Tiny logo + VMC (Verified Mark Certificate) gerektirir; 2023+ destekleyen mailbox'lar yaygınlaşıyor. Open rate'i %3-15 yükseltiyor.
- CAN-SPAM (US email yasası)
- 2003 ABD yasası — ticari e-posta için zorunlu kurallar: yanıltıcı header / subject yok, açık opt-out linki, mesajda fiziksel adres, opt-out'u 10 gün içinde uygula. İhlal başına $51K'a kadar ceza. AB GDPR'dan farklı olarak opt-out modeli (opt-in zorunlu değil).
- CBDC (Central Bank Digital Currency)
- Merkez bankasının çıkardığı, yasal para birimi seviyesinde dijital token. Bahamas Sand Dollar, Nijerya eNaira, Çin e-CNY canlı; Avrupa Digital Euro pilot. Stablecoin'in regülatör versiyonu; cross-border ödeme ve nakitsiz toplum projelerinin merkezinde.
- Sign-In with Ethereum (SIWE)
- Email/parola yerine Ethereum wallet imzasıyla giriş yapma standardı (EIP-4361). dApp'in oluşturduğu mesajı kullanıcı wallet'ıyla imzalar; backend imzayı doğrular ve session açar. Web3 auth'un OIDC alternatifi; passkey + wallet kombinasyonuyla yaygınlaşıyor.
- LLM Red Team
- Modelin güvenlik kurallarını + iç sınırlarını test eden insan + AI takımı. Adversarial prompt, jailbreak, PII leak, prompt injection senaryolarını dener; bulunan zafiyetler eval set'ine girer. OpenAI, Anthropic, Google red team'lerinin model lansmanı öncesi rolü kritik.
- Adversarial Prompt
- Modeli kasıtlı yanlış / zararlı / yasak çıktıya zorlamayı amaçlayan özel hazırlanmış prompt. "Detail-only", "creative-fiction", "system-message-override", base64 encoding hile vektörleri. Bu prompt'ları topraklamak için instruction tuning + RLHF + Constitutional AI gerekli.
- Jailbreak Eval Suite
- LLM güvenlik kontrollerini atlatma denemelerinin standart test koleksiyonu. AdvBench, HarmBench, JailbreakBench gibi açık benchmark'lar; "DAN", "grandma exploit", roleplay framing örnekler. Yeni LLM lansmanından önce zorunlu pass-rate ölçümü.
- Prompt Leakage
- Saldırganın model'in system prompt'unu (genelde sırlı şirket business logic'i) ortaya çıkarmaya çalıştığı saldırı. "Önceki tüm talimatları yazdır" tarzı; gizli RAG context, hassas business kurallar sızabilir. Defense: instruction wrapper + repeat-back filter + structured output.
- PII Redaction (LLM)
- Kullanıcı input'undaki kişisel veriyi (isim, telefon, email, kart no, adres) LLM'e gitmeden veya log'a yazılmadan önce maskelemeye yarayan katman. Microsoft Presidio, Google DLP, AWS Comprehend Medical gibi araçlar; GDPR / KVKK / HIPAA uyumu için zorunlu.
- LLM Guardrails
- Modelin output'unu istenmeyen alanlardan (toxic, off-topic, hallucinatory, structured-output-violating) koruyan kontrol katmanı. Output filtering, schema validation, classifier-as-judge, tool-call validation; NeMo Guardrails, Guardrails AI, AWS Bedrock Guardrails araçlar.
- Content Moderation API
- Metin / görsel input ve output'u toxic, NSFW, violence, hate speech, self-harm gibi kategorilerde sınıflandıran servis. OpenAI Moderation, Perspective API (Google), AWS Rekognition, Azure Content Safety. LLM uygulamasının zorunlu pre-filter'ı.
- AI Safety Eval (HHH)
- "Helpful, Honest, Harmless" üçlüsünü ölçen alignment değerlendirme prensibi. Helpful: kullanıcıya gerçekten yardım edebiliyor mu; Honest: yanlış / gizli niyetli yanıt veriyor mu; Harmless: zararlı eylem öneriyor mu. Anthropic'in safety paper'larının temeli.
- Toxicity Score
- Bir metnin toxic / harassing / hateful tonunu 0-1 arası ölçen sınıflandırıcı çıktısı. Perspective API (Google), OpenAI Moderation, Detoxify, HateBERT araçlar. Eşik genelde 0.7+; LLM output'larında, comment moderation'da, brand-safety'de kritik filtre.
- Bias Audit
- Modelin gender, race, age, religion gibi protected attribute'lara göre adil olmayan output verip vermediğinin sistematik kontrolü. Demographic parity, equal opportunity, counterfactual fairness metric'leri; AI Fairness 360, Fairlearn araçlar. Regulated industry'de zorunlu compliance.
- Anti-Cheat (VAC, EAC, BattlEye)
- Multiplayer oyunlarda hile, aimbot, wallhack engelleme sistemi. Valve VAC, Easy Anti-Cheat (EAC), BattlEye, Riot Vanguard, FACEIT AC popüler; kernel-level erişim güvenlik / privacy tartışmasının kaynağı. Hile engellemenin sınırı yok ama kötü implementasyon UX yıkımı.
- SOC (Security Operations Center)
- 7/24 güvenlik olaylarını izleyen + müdahale eden ekip + altyapı. Tier 1 (alert triage), Tier 2 (deep investigation), Tier 3 (threat hunter, forensic) yapısı; SIEM, EDR, SOAR ortak araç seti. Modern enterprise'in 100+ çalışanlı dahili veya MSSP outsource yapısı.
- SIEM (Security Information & Event Management)
- Log'ları + güvenlik event'lerini merkezi olarak toplayan, korelasyon kuralları ile alert tetikleyen platform. Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM, Sumo Logic; "kim ne yaptı" + "hangi anomali" sorularının cevabı. Modern SOC'un kalbi.
- EDR (Endpoint Detection & Response)
- Çalışan, sunucu, mobil endpoint'lerde gerçek-zamanlı malware + ransomware + lateral movement tespit + müdahale platformu. CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Carbon Black, Sophos Intercept X. Klasik antivirüsün halefi.
- XDR (Extended Detection & Response)
- EDR'in network, email, cloud, identity sinyallerini de birleştirilmiş şekilde işleyen halefi. Endpoint'in dışında "siloed alert"i tek korele görüntüye çevirir; Palo Alto Cortex XDR, Microsoft Defender XDR, Trellix, SentinelOne Singularity. SOC analyst başına ticket sayısını 5-10x düşürür.
- SOAR (Security Orchestration, Automation & Response)
- SIEM alert'lerinin ardından otomatik playbook çalıştıran orkestrasyon platformu. "Şu IP'yi blokla", "endpoint'i isolate et", "kullanıcı şifresini sıfırla" gibi 100+ adımlık tepki senaryoları. Splunk SOAR, Palo Alto XSOAR, Tines, Torq; SOC Tier 1 yükünü %60+ azaltır.
- Threat Intelligence
- Aktif siber tehdit aktörlerini, taktiklerini, IoC (Indicators of Compromise: IP, hash, domain) tabanlı bilgi besleyen disiplin. Recorded Future, Mandiant, CrowdStrike Intel, OTX, MISP feed'leri; SIEM'e enjekte edilir, "şu sızıntı bizi etkiliyor mu" sorusunu cevaplar.
- CVE (Common Vulnerabilities & Exposures)
- MITRE'nin yönettiği, herkese açık güvenlik zafiyeti ID kataloğu (CVE-2024-12345 gibi). Vendor patch'i + exploit detayı + etkilenen sürüm bağı; her CVE'ye CVSS skoru atanır. Vulnerability management programının atomik birimi.
- CVSS (Common Vulnerability Scoring System)
- Bir güvenlik zafiyetinin ciddiyetini 0.0-10.0 arası standart şekilde puanlayan sistem (FIRST.org yönetir). Base Score (exploitability + impact), Temporal, Environmental katmanları; 9.0+ Critical, 7.0-8.9 High, 4.0-6.9 Medium. Patch öncelik sırası belirlemenin temeli.
- NIST CSF (Cybersecurity Framework)
- NIST'in 2014'te yayınladığı, siber güvenlik programını 5 fonksiyonda (Identify, Protect, Detect, Respond, Recover) kategorize eden çerçeve. v2.0 (2024) Govern fonksiyonunu ekledi. ABD federal + global enterprise'da en yaygın referans framework.
- ISO 27001
- Bilgi güvenliği yönetim sistemi (ISMS) kuran uluslararası standart. Risk değerlendirme + 93 control (Annex A) + sürekli iyileştirme döngüsü; 3 yılda bir external audit + yıllık surveillance. SaaS şirketleri için B2B satış zorunluluğu, GDPR + KVKK ile uyumu kanıtlama yolu.
- SOC 2
- AICPA'nın SaaS şirketleri için tasarladığı denetim raporu. Trust Services Criteria: Security (zorunlu), Availability, Processing Integrity, Confidentiality, Privacy. Type 1 (point-in-time), Type 2 (6-12 aylık operational evidence) raporu. ABD-merkezli enterprise satışın anahtarı.
- CIS Controls
- Center for Internet Security'nin yayınladığı, en kritik 18 siber güvenlik kontrolü kümesi (eski adı SANS Top 20). IG1 (small), IG2 (mid), IG3 (large) implementation tier'ları; "asset inventory", "MFA", "phishing awareness" gibi pratik aksiyonlar. NIST CSF'in operasyonel haritası.
- MITRE ATT&CK Framework
- MITRE'nin gerçek-dünya saldırgan TTP'lerini (Tactics, Techniques, Procedures) toplayan açık knowledge base'i. Initial Access → Execution → Persistence → ... → Impact 14 taktik altında 600+ teknik. Red team senaryosu, detection rule yazımı, threat-intel alignment temel referans.
- Zero-Day Exploit
- Vendor'ün henüz farkında olmadığı (0 gün patch geçmiş) yazılım zafiyeti ve onu kullanan exploit. Bug bounty + dark web market'ında milyon dolarlık değer; APT grupları, devlet aktörleri, Pegasus tarzı spyware'in tercihi. Defense: defense-in-depth + EDR + virtual patching.
- Supply Chain Attack
- Hedefin doğrudan değil, kullandığı yazılım/parça/vendor üzerinden saldırılması. SolarWinds Orion (2020), Kaseya (2021), MOVEit Transfer (2023), 3CX (2023) korkutucu örnekler. Tek vendor compromise → 18K + müşteri etkisi; SBOM + signed artifact + SLSA framework standart savunma.
- Ransomware
- Kurbanın dosyalarını şifreleyen + decrypt anahtarı için fidye isteyen kötü amaçlı yazılım. Modern double-extortion: dosyayı şifreler + dark web'de yayımlamakla tehdit eder. LockBit, BlackCat (ALPHV), Conti, Ryuk; 2024 ortalama fidye $2M, ortalama downtime 21 gün.
- Phishing / Spear Phishing / Whaling
- Sahte email/SMS/sayfa ile credential / data çalma saldırısı. Phishing: kitlesel + jenerik; Spear Phishing: hedefli (spesifik kişi/şirket); Whaling: CEO + CFO + senior exec hedefi. AI üretimli phishing 2024'te %1500 arttı; defense: DMARC + email security gateway + awareness training.
- Credential Stuffing
- Başka bir sızıntıdan elde edilen username/password çiftlerini başka site'larda otomatik denenip hesap ele geçirme saldırısı. Bot tabanlı, milyonlarca req/sec; HaveIBeenPwned veritabanı 13B+ leak. Defense: rate limiting, CAPTCHA, MFA, password manager + unique password.
- Brute Force Attack
- Şifre kombinasyonlarını sistematik olarak deneme saldırısı. Online (canlı login'e karşı) + Offline (hash dump'a karşı) iki tip; GPU + dictionary + rule-based attack tools (Hashcat, John the Ripper). 2024 top GPU 600 milyar hash/sec; defense: long passphrase + bcrypt/scrypt/argon2.
- UEBA (User & Entity Behavior Analytics)
- Kullanıcı + cihaz davranış desenlerini ML ile öğrenip "anormal" olanı tespit eden güvenlik analytics katmanı. Login zaman/yer anomalisi, atypical file access, lateral movement pattern; insider threat + compromised account detection için kritik. Splunk UBA, Exabeam, Microsoft Sentinel UEBA.
- CASB (Cloud Access Security Broker)
- Şirket çalışanlarının kullandığı SaaS uygulamalarına erişimi izleyen + politika dayatan cloud güvenlik katmanı. Shadow IT discovery, DLP, threat protection, compliance check; Microsoft Defender for Cloud Apps, Netskope, McAfee MVISION, Zscaler CASB. Saas-first çağın güvenlik DMZ'i.
- DLP (Data Loss Prevention)
- Hassas verinin (PII, kart no, ticari sır) yetkisiz şekilde dışa sızmasını engelleyen sistem. Endpoint, network, email, cloud kanallarında deep content inspection + policy enforcement; Symantec DLP, Forcepoint, Microsoft Purview, Netskope. GDPR + KVKK + HIPAA uyumun kalbi.
- IAM (Identity & Access Management)
- Kim hangi sisteme ne kadar yetkiyle erişebilir sorusunu yöneten platform. Single source of identity (Okta, Azure AD/Entra, Auth0, Ping Identity), SSO, MFA, lifecycle (joiner-mover-leaver) automation, RBAC/ABAC. Modern Zero Trust mimarisinin merkezi.
- Privileged Access Management (PAM)
- Admin / root / break-glass yetkili hesapları yönetme + denetleme platformu. Just-in-Time access, password vault, session recording, approval workflow. CyberArk, BeyondTrust, Delinea, HashiCorp Boundary; insider threat + privilege escalation'in primary control'ü.
- KYC (Know Your Customer)
- Müşteri kimliğini doğrulayan finansal regülasyon şartı. Belge (kimlik, pasaport), liveness check (selfie, video), adres (utility bill), source of funds. Bank + crypto exchange + fintech'in zorunlu adımı; ihlali milyonlarca dolar para cezası + lisans iptali demek.
- AML (Anti-Money Laundering)
- Para aklamayı önleme regülasyon ve kontrolleri. Transaction monitoring, suspicious activity report (SAR), sanctions screening (OFAC, EU, UN), PEP (Politically Exposed Person) check. Bank + fintech'in compliance fonksiyonu; FinCEN, FATF global standart belirleyici.
- PCI DSS Level 1
- Kart işlem hacmi yıllık 6M+ olan şirketleri kapsayan en sıkı kart güvenliği standardı. QSA (Qualified Security Assessor) tarafından yıllık on-site denetim, üç ayda bir vulnerability scan, penetration test, segmentation review. Stripe, Adyen, Shopify Payments Level 1 sertifikalı.
- Embedded Finance
- Finansal hizmetin (ödeme, kredi, sigorta, banka hesabı) finansal-olmayan ürünün içine gömülmesi. Uber'in driver hesabı, Shopify Capital kredi, Tesla insurance, Apple Card. Banking-as-a-Service (BaaS) sağlayıcıları (Stripe Treasury, Unit, Synapse) yapı taşı; tahmini 2030 7T$+ market.
- Apple Pay / Google Pay (Wallet)
- Telefon veya wearable cihazda kart bilgisi tokenize edilerek saklanan + NFC / online ödeme yapılan dijital cüzdan. Card-not-present işlemde fraud rate %50+ düşer; Visa Token Service + Mastercard MDES backend. iOS NFC artık 3rd-party wallet'lara açık (2024 EU DMA).
- Direct Debit (SEPA DD / BACS)
- Müşterinin önceden verdiği yetkilendirme ile düzenli ödemenin (kira, fatura, abone) banka hesabından otomatik çekilmesi. Avrupa SEPA Direct Debit, UK BACS Direct Debit, ABD ACH Debit. Subscription business + utility için pull-payment standartı; pre-notification + mandate ID + chargeback hakkı kurallı.
- Wire Transfer
- Banka hesapları arası gerçek-zamanlı yüksek-değerli para transferi. Domestic (Fedwire ABD'de) + International (SWIFT). Same-day settlement, $25-50 ücret, irreversible. B2B yüksek-değer + emlak satın alma standart yolu; ACH'den daha hızlı + pahalı.
- Cross-Border Payment
- Farklı para birimleri ve banka şebekeleri arası uluslararası ödeme. Klasik SWIFT correspondent banking 2-5 gün + %2-5 fee; modern alternatifler Wise, Revolut, Stripe Cross-Border, blockchain stablecoin (USDC). 2024 küresel cross-border B2B ödemesi 150T$+ değerinde.
- Authorization vs Settlement
- Kart işleminin iki adımı. Authorization: müşteri kartının limitini hold'lar (saniyeler içinde); Settlement: hold'un gerçek hesap düşümüne çevrilmesi (1-3 iş günü). E-ticaret'te shipping önce auth, ürün gönderildiğinde capture/settlement; restoran tip için auth + adjusted-settlement.
- Chargeback
- Müşterinin bankası aracılığıyla işlemi reddetmesi → para iadesi + merchant'a $15-50 chargeback fee. "Item not received", "fraud", "duplicate charge" sebepleri. Modern sequence: Pre-arbitration → Arbitration. Visa Compelling Evidence 3.0 (2023) merchant tarafına dosya hazırlama silahı veriyor.
- Friendly Fraud
- Müşterinin gerçekten ürünü aldığı + memnun kullandığı halde "tanımıyorum" diyerek chargeback açması. E-ticaret chargeback'lerinin %60-80'i friendly fraud sayılır. Order detay screenshot, tracking, IP-match, signature delivery confirmation merchant'in defansı.
- Interchange Fee
- Issuer bank'a (kart sahibinin bankası) acquirer bank tarafından ödenen ücret. Visa/Mastercard schedule'ı ile belirlenir; ABD ortalama %1.5-3, AB %0.2-0.3 (PSD2 kapağı). Toplam merchant fee'sinin (~%2.5) en büyük dilimi; fintech'lerin en kazançlı geliri.
- Acquirer Bank vs Issuer Bank
- Kart işleminin iki ucu. Issuer Bank: kullanıcıya kartı veren banka (kart limit'i, billing); Acquirer Bank: merchant'in payment processor'üne entegre olan banka (merchant funding, settlement). Stripe + Adyen genelde acquirer ile çalışır; merchant tarafının "back-end" partneri.
- eKYC / Digital KYC
- KYC sürecinin %100 dijital halefi. Selfie + ID document AI verification (Onfido, Jumio, Veriff, Persona); 30 saniye-2 dakika onboarding, manuel review fallback. Document tampering AI detection, liveness anti-spoofing kritik. Modern fintech'in conversion farkı.
- Card Brand (Visa / Mastercard / Amex)
- Kart şebekesi sahipleri. Visa + Mastercard "open-loop" (her bank issuer/acquirer olabilir); Amex + Discover "closed-loop" (kendi bank). Visa global %38, Mastercard %28, Amex %22 hacim payı; Türkiye'de Troy yerel şebeke. Brand'in interchange + network fee'leri merchant maliyetinin temeli.
- Card-Present vs Card-Not-Present
- CP: müşteri kart fizikselen mağazada (chip + PIN, NFC, swipe); CNP: e-ticaret, telefon, mail-order işlem. CNP fraud rate CP'den 8-10x yüksek; 3DS2 + tokenization + fraud scoring zorunlu. Brick-and-mortar vs online perakendenin temel risk profili farkı.
- Open Banking / PISP / AISP
- PSD2'nin yarattığı iki üçüncü-parti rolü. AISP (Account Information Service Provider): account aggregation, financial planning (Mint, Tink); PISP (Payment Initiation Service Provider): banka hesabından doğrudan ödeme başlatma (Trustly, GoCardless Instant). Kart şebekelerine doğrudan rakip.
- HIPAA
- ABD'nin 1996'da çıkardığı sağlık veri gizliliği yasası. PHI (Protected Health Information): hasta kimliği + sağlık durumu kombinasyonu; storage + transit'te encryption + access log + 6 yıl audit zorunlu. İhlal başına $50K-1.5M ceza; HIPAA-compliant SaaS sağlık sektöründe satışın olmazsa olmazı.
- RegTech (Regulatory Technology)
- Compliance ve regülasyon süreçlerini otomatize eden tech segment. AML/KYC (ComplyAdvantage, Chainalysis), regulatory reporting (NICE Actimize, FIS Protegent), tax automation (Avalara, TaxJar), GDPR/CSRD raporlama. 2024 RegTech yatırımı $15B+; bank + insurance + fintech'in en hızlı büyüyen tedarikçi kategorisi.
- InsurTech
- Sigorta sektörünü dijitalleştiren teknoloji segmenti. Lemonade (P&C, AI claims), Root (telematics auto), Hippo (smart home insurance), Coalition (cyber insurance), Wefox, Türkiye'de Quick Sigorta, BoMonti. Klasik sigortacının data-driven + customer-experience-first muadili.
01
CAPIConsent Mode v2
02
sGTMCustomer Match
03
TCF 2.2PII
04
Consent Mode v2
05
CDPCustomer Match
06
Reverse ETLData warehouse
07
CDPData warehouse
08
CAPIPII
09
Event schemaData governance
10
Data governance
11
Data governanceConsent Mode v2
12
PIIEvent schema
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
— KARAR AĞACI
First-party veri operasyonu size uygun mu?
4 soruya Evet/Hayır cevap verin; sonuç önerisi net olsun.
01 / 04
Aylık reklam bütçeniz 30k USD üzerinde mi?
Sinyal geri kazanımının ekonomik olarak anlamlı olması için eşik.
— BAŞLAYALIM
Pixel'lerinize ne kadar güveniyorsunuz?
2 saatlik bir signal audit ile kaybedilen dönüşümleri, consent sorunlarını ve warehouse fırsatlarını çıkarıyoruz.