Şarj Operasyonlarında Bilgi Güvenliği — Operatör için Kritik Konular

15 Nisan 2026·Raquun IoT & Yazılım

Şarj operatörlüğü artık sadece bir enerji işi değil; aynı zamanda bir veri işi. Her şarj oturumu sürücü, araç, ödeme, regülasyon ve cihaz verilerinin akışını içerir. Bu zincir kırıldığında — bir veri ihlali, bir ödeme dolandırıcılığı, bir regülasyon raporlama hatası — sonuçlar hem itibar hem para kaybı olarak operatörün kucağına düşer.

Bu yazıda şarj operasyonlarında bilgi güvenliğinin pratik çerçevesini çiziyoruz: hangi veriler riskte, saldırı vektörleri nelerdir, ve operatörün hangi prensipleri devreye alması gerekir.

Hangi Veriler Riskte?

Bir şarj operasyonu birkaç farklı veri kümesini günlük olarak işler:

Sürücü verisi. İsim, telefon, e-posta, adres, KVKK izni, RFID kart bilgisi, araç bilgisi. KVKK kapsamında en yüksek hassasiyetle yönetilmesi gereken veri.

Ödeme verisi. Kredi kartı bilgileri, ön provizyonlar, fatura kayıtları, iade işlemleri. PCI-DSS ve banka regülasyonları gereği özel saklama ve aktarım kuralları geçerlidir.

Cihaz verisi. Sahadaki şarj cihazlarından gelen telemetri — soket durumları, enerji ölçümleri, hata kodları, firmware versiyonları. Manipülasyon riski en yüksek alan.

Operatör verisi. Tarifeler, gelir raporları, müşteri segmentleri, kampanya kuralları, partner sözleşmeleri. Rekabet açısından kritik bilgi.

Regülasyon verisi. EPDK bildirimleri, GIB-ESU faturaları, IYS izinleri. Kaybı veya yanlış raporlanması yasal yaptırımla sonuçlanır.

Her bir veri kümesinin kendine özgü güvenlik gereksinimleri vardır. Tek bir politika ile yetinmek mümkün değil.

Saldırı Vektörleri

Şarj operasyonuna yönelik tehdit modelinde başlıca dört giriş noktası vardır:

1. Cihaz tarafı. Sahadaki bir şarj cihazı kötü niyetli bir aktör tarafından fiziksel olarak veya ağ üzerinden hedef alınabilir. Sahte oturum başlatma, ücretsiz şarj, cihaz kontrolünün ele geçirilmesi gibi senaryolar mümkündür.

2. Ödeme tarafı. Kart bilgilerinin ele geçirilmesi, sahte oturumlarla ücret yansıtılması, iade dolandırıcılığı. Doğrudan finansal kayıp yaratır.

3. API ve entegrasyon tarafı. Operatörün dışa açık servisleri (mobil uygulama, OCPP cihaz iletişimi, OCPI roaming, fatura sağlayıcı entegrasyonları) yanlış yapılandırıldığında zayıf nokta hâline gelir.

4. İçeriden tehdit. Yetkisi gereğinden geniş bir çalışan, yanlış yere bakan bir partner, eski bir kullanıcı hesabı. Saldırıların önemli bir kısmı dış değil, iç kaynaklıdır.

İyi bir güvenlik mimarisi, dördünü de aynı anda hesaba katar.

Mimarinin Beş Temel Prensibi

Şarj operasyonunda güvenliğin pratik çerçevesi beş prensip etrafında şekillenir.

1. Lisanslı firma izolasyonu

Çoklu operatöre hizmet veren bir altyapıda her lisanslı firmanın verisi kesin olarak ayrı tutulmalıdır. Bir operatörün sürücüsü, başka bir operatörün verisini hiçbir senaryoda göremez. Bu, sadece teknik bir önlem değil; ticari bir güven ön koşuludur.

2. Rol ve yetki ayrımı (RBAC)

Bir operasyon ekibinde herkes her şeyi göremez. SystemAdmin, operatör, müşteri rolleri açıkça tanımlanmalı; her rolün hangi modüle erişebildiği konfigürasyondan yönetilmelidir. "Geçici" yetkiler kalıcı hâle gelmemelidir.

3. Veri akışı şifreleme

Cihazdan platforma, platformdan partnere, platformdan banka geçidine — tüm bağlantılar transit şifreleme ile korunmalı. Saklanan hassas veriler (kart bilgileri, kişisel veriler) at-rest şifreleme ile yönetilmelidir.

4. Denetim izi (Audit trail)

Her değişiklik kaydedilmelidir: kim, ne zaman, hangi nesneye, ne yaptı. Bu sadece güvenlik soruşturması için değil; KVKK uyumluluğu, ticari anlaşmazlık çözümü ve operasyonel debugging için de kritiktir. Audit trail "olabilir" değil "olmalı" özelliğidir.

5. Olay müdahale planı

Bir veri ihlali, bir cihaz manipülasyonu, bir API saldırısı tespit edildiğinde ne yapılacağı önceden tanımlı olmalıdır. Hangi sistemler izole edilir, hangi yetkililer bilgilendirilir, KVKK kapsamında veri sahiplerine ne zaman ve nasıl bildirim gider — bu plan masada hazır bekler. Olay anında plan yapmaya kalkmak en kötü senaryodur.

KVKK ve Yasal Çerçeve

Türkiye'de şarj operatörü olarak çalışırken KVKK çerçevesinin kapsamına giriyorsunuz. Sürücülerin onayı, veri sahibi haklarının işlenmesi (silme, taşınabilirlik, düzeltme talepleri), veri ihlali bildirim yükümlülükleri — hepsi günlük operasyonun parçası.

Buna ek olarak:

  • EPDK kapsamında soket, enerji ve oturum verilerinin doğru ve zamanında raporlanması.
  • GIB-ESU kapsamında dijital imzalı e-fatura zincirinin denetlenebilir olması.
  • IYS kapsamında pazarlama iletişimi onaylarının sorgulanabilir olması.

Bunların hepsinin altında ortak bir prensip yatıyor: denetlenebilirlik.

Operatöre Pratik Öneriler

Sahada görerek öğrendiğimiz dört pratik tavsiye:

1. Yazılım sağlayıcınızın güvenlik mimarisini sorun. "Veri nasıl izole ediliyor?", "Hangi loglar tutuluyor?", "Bir ihlal durumunda bildirim akışınız nasıl?". Cevaplar net değilse, bir bayrak.

2. Personel erişim hijyenine yatırım yapın. İşten ayrılan çalışanın hesabının ne zaman kapatıldığı, geçici yetkilerin gerçekten geçici olup olmadığı, kritik işlemlerin iki kişilik onayla yapılıp yapılmadığı — bunlar kâğıt üzerindeki güvenliği gerçek güvenliğe çeviren detaylardır.

3. Veri minimizasyonu prensibini uygulayın. İşinize gerekli olmayan kişisel veriyi toplamayın. Topladığınızı saklamayın. Sakladığınızı paylaşmayın. KVKK'nın özü budur.

4. Düzenli güvenlik tatbikatı yapın. "Yarın bir veri ihlali olsa kim ne yapardı?" sorusunun cevabı sadece doküman değil, deneyim olmalıdır. Yıllık bir tatbikat bile büyük fark yaratır.

Echargo'nun Yaklaşımı

Echargo, çok lisanslı firma destekli mimarisini bilgi güvenliği prensipleri etrafında inşa etti. Her lisanslı firmanın verisi izole edildi; rol bazlı erişim platformun çekirdeğine işlendi; her değişiklik için denetim izi tutuluyor; KVKK gereksinimleri dahili akış olarak çalışıyor.

Operatörlerimiz için bilgi güvenliği "ek bir proje" değil; platformun gelmesiyle birlikte kazanılan bir özellik. Yine de güvenlik hiçbir zaman bitmiş bir iş değildir — sürekli izlenmesi, güncellenmesi ve test edilmesi gereken bir alan.

ISO/IEC 27001 — Sertifikalı Bir Çerçeve

Echargo'nun arkasındaki şirket olan Raquun IoT & Yazılım A.Ş., bilgi güvenliği yönetim sistemini uluslararası ISO/IEC 27001 standardına uygun olarak işletir. Bu, yukarıda anlatılan prensiplerin yalnızca pazarlama metni olarak değil, denetlenmiş ve sertifikalandırılmış bir yönetim sistemi olarak çalıştığı anlamına gelir.

ISO 27001 kapsamında düzenli olarak uygulanan başlıca süreçler:

  • Varlık envanteri ve risk değerlendirme — hangi verinin nerede saklandığı, hangi tehditlere karşı hangi kontrolün uygulandığı dokümante edilmiştir.
  • Erişim yönetimi — yetki verme, geri alma, periyodik gözden geçirme süreçleri yazılı.
  • Olay yönetimi — bir güvenlik olayında ne yapılacağı, kimin bilgilendirileceği, kayıtların nasıl tutulacağı önceden tanımlı.
  • Tedarikçi güvenliği — partnerlerimiz ve entegrasyon sağlayıcılarımız aynı disiplinle değerlendiriliyor.
  • Sürekli iyileştirme — iç denetimler ve yönetim gözden geçirmeleri ile sistem hep diri tutuluyor.

Detaylı bilgi güvenliği politikamızı raquun.com/bilgi-guvenligi-politikasi adresinden inceleyebilirsiniz.

Bu çerçeve, Echargo'yu seçen operatörlerin kendi denetimlerinde de güvenle referans gösterebilecekleri bir yönetim disiplinine yaslanır.

Şarj operasyonu = veri operasyonu. Veriyi koruyan operatör, hem yasal yükümlülüğünü yerine getirir hem de sürücülerinin güvenini kalıcı hâle getirir. Bilgi güvenliği bir ek değil, operatörlüğün asli bir bileşenidir.

Bu yazıyı uygulamaya dökün.

Yazıda anlatılan akışları kendi şarj ağınızda nasıl çalıştırabileceğinizi gösterelim.

Demo Talep Et

İlgili Yazılar

Şarj Operasyonunun Sesi: Echargo Çözüm Merkezi

Şarj Operasyonunun Sesi: Echargo Çözüm Merkezi

Plug & Charge: Sürücü Kabloyu Takar, Fatura Otomatik Kesilir

Plug & Charge: Sürücü Kabloyu Takar, Fatura Otomatik Kesilir

Roaming ile Şarj Ağları Arası Kesintisiz Deneyim

Roaming ile Şarj Ağları Arası Kesintisiz Deneyim