Otel web siteniz misafirlerinizin sizi ilk gördüğü yer ve ödeme bilgilerini güvenle paylaştıkları platform. 2025 yılında yayımlanan IBM Maliyet Raporu'na göre bir veri ihlalinin ortalama maliyeti 4,88 milyon dolara ulaştı; otelcilik sektöründe bu rakam çok daha yüksek seyrediyor çünkü saldırılar genellikle hem finansal hem itibar kaybıyla sonuçlanıyor.
Bu kontrol listesini 3 ayda bir düzenli olarak uygularsanız güvenlik açıklarını saldırganlar keşfetmeden önce kapatma şansınız önemli ölçüde artar. Listede 5 kategori ve toplamda 25 kritik kontrol noktası yer alıyor.
Neden Güvenlik Kontrol Listesi?
Birçok otel, siber güvenliği büyük bir saldırı ya da veri ihlali yaşandıktan sonra ciddiye alır. Oysa güvenlik açıklarının yüzde 84'ünden fazlası, yapılandırma hataları ve ihmal sonucu oluşan temel zafiyetlerden kaynaklanır. Sistemik bir kontrol listesi bu açıkları kapatmak için en uygun maliyetli yöntemdir.
OWASP ve NIST standartlarına dayanan bu liste, 500'den fazla otel işletmesinin güvenlik denetiminden çıkardığımız en kritik noktaları özetliyor.
Domain ve DNS Güvenliği
- Domain kilidi etkin mi? Kayıt kuruluşunuzda (registrar) "domain lock" veya "transfer lock" özelliğini aktive edin. Bu özellik olmadan domain'iniz izinsiz transfer edilebilir.
2. DNSSEC yapılandırması doğru mu? DNS sahteciliğine (DNS spoofing) karşı DNSSEC etkin olmalı ve DNS kayıtları düzenli olarak imzalanmalıdır. Kontrol için Google DNS toolbox kullanabilirsiniz.
3. Tescilsiz benzer domainler izleniyor mu? Markanıza benzer domain kaydı yapıldığında anında uyarı almak için RuuSafe Domain Scanner gibi bir izleme servisi kullanın. Typosquatting saldırıları hakkında ayrıntılı bilgi için ilgili rehberimize bakabilirsiniz.
4. NS ve MX kayıtları yetkisiz değiştirilmiş mi? Her ay DNS kayıtlarınızı kontrol edin ve beklenmedik değişiklik varsa hemen inceleme başlatın.
5. Domain yenileme tarihiniz takip ediliyor mu? Otomatik yenileme aktif değilse, domain son kullanma tarihini ajandasınıza ekleyin. Süre dolan domain'ler saatler içinde kötü niyetli aktörler tarafından ele geçirilebilir.
SSL/TLS Sertifika Kontrolü
6. Sertifika geçerlilik tarihi nerede? RuuSafe SSL Checker veya Google Search Console üzerinden sertifika bitiş tarihini takip edin. Sertifika süresinin dolmasına en az 30 gün kala yenileme başlatın.
7. TLS 1.2 veya 1.3 zorunlu mu? SSL 3.0, TLS 1.0 ve TLS 1.1 protokolleri güvensiz kabul ediliyor. Sunucu yapılandırmanızın yalnızca TLS 1.2+ desteklediğini doğrulayın.
8. Sertifika türü işletme bilgilerinizle eşleşiyor mu? EV (Extended Validation) veya OV (Organization Validated) sertifikaları misafirlerinize daha güçlü güven sinyali verir. DV (Domain Validated) sertifikalar, sahte siteler tarafından da kolayca edinilebilir. Sahte SSL sertifikalarını tespit etme rehberi için ilgili içeriğimize bakabilirsiniz.
9. HSTS (HTTP Strict Transport Security) etkin mi? HSTS, tarayıcıları sitenizi her zaman HTTPS üzerinden yüklemeye zorlar ve SSL stripping saldırılarını engeller.
10. Sertifika Şeffaflık Logları izleniyor mu? Markanız adına yetkisiz SSL sertifikası düzenlendiğinde uyarı almak için crt.sh izlemesi kurun. Bu sayede sahte siteleri sertifika alım aşamasında tespit edebilirsiniz.
Web Uygulaması Güvenliği
11. CMS ve eklentiler güncel mi? WordPress, Drupal ya da başka bir CMS kullanıyorsanız çekirdek sistem ve tüm eklentilerin güncel sürümde olduğundan emin olun. Saldırıların yüzde 56'sı eski sürüm eklentilerden faydalanıyor.
12. Yönetici paneli URL'si standart mı? /wp-admin veya /admin gibi standart URL'ler otomatik saldırı hedefidir. Yönetici panelini özel bir URL'ye taşıyın ve IP kısıtlaması ekleyin.
13. WAF (Web Application Firewall) aktif mi? Cloudflare, Sucuri veya benzeri bir WAF servisi XSS, SQLi ve DDoS saldırılarına karşı temel koruma sağlar.
14. Yedekleme sistemi çalışıyor mu? Günlük otomatik yedekleme ve 30 günlük yedek saklama politikası uygulanmalı. Yedekler site sunucusundan fiziksel olarak ayrı bir konumda saklanmalıdır.
15. Güvenlik başlıkları (HTTP security headers) yapılandırıldı mı? Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options ve Referrer-Policy başlıklarını kontrol edin. Güvenlik başlıklarını ücretsiz test etmek için securityheaders.com kullanabilirsiniz.
Çalışan Eğitimi
16. Phishing simülasyonu son 6 ayda yapıldı mı? Çalışanların yüzde 30'u ilk phishing testinde tıklama yaptığı görülüyor. Yılda en az 2 kez simülasyon testi uygulanmalıdır.
17. Güçlü parola politikası var mı? En az 12 karakter, büyük/küçük harf + rakam + özel karakter zorunluluğu ile birlikte otomatik parola değiştirme hatırlatıcısı aktif olmalıdır.
18. İki faktörlü kimlik doğrulama (2FA) zorunlu mu? E-posta, sosyal medya ve rezervasyon sistemi gibi tüm kritik hesaplarda 2FA etkin olmalı. SMS tabanlı 2FA kabul edilebilir minimum; uygulama tabanlı 2FA (Google Authenticator, Authy) daha güvenlidir.
19. Çıkış prosedürleri tanımlı mı? İşten ayrılan çalışanın tüm hesap erişimleri çıkış günü iptal edilmelidir. Bu sürecin HR ve IT tarafından koordineli yürütüldüğünden emin olun.
20. Güvenlik olayı bildirme prosedürü biliniyor mu? Tüm çalışanlar şüpheli bir e-posta, bağlantı veya sistem davranışını kime ve nasıl bildireceğini bilmelidir.
İzleme ve Erken Uyarı
21. Uptime izleme aktif mi? Site kesintilerini 5 dakika içinde tespit eden bir uptime monitör (Uptime Robot, Pingdom vb.) mutlaka kullanılmalıdır.
22. Sahte site izleme yapılıyor mu? Markanıza benzer domainlerin kaydedilmesini ya da içeriğinizin kopyalanmasını gerçek zamanlı izleyen bir sistem kurulmalıdır.
23. Google arama uyarıları ayarlı mı? Google Alerts üzerinden marka adınız için haftalık bildirim ayarlayın. Google Search Console ile manuel arama güvenlik uyarılarını da takip edin.
24. Log analizi yapılıyor mu? Sunucu logları en az 90 gün saklanmalı ve anormal erişim örüntüleri (bot trafiği, şüpheli IP bloğu, kısa aralıklı başarısız giriş denemeleri) otomatik uyarı tetiklemelidir.
25. Sızma testi (pentest) programı var mı? Yılda en az 1 kez kapsamlı sızma testi yaptırılmalıdır. Bütçe kısıtlıysa OWASP ZAP gibi ücretsiz araçlarla otomatik tarama yapılabilir.
Yıllık Güvenlik Takvimi
Ocak: Tüm parolaları yenile, 2FA durumunu kontrol et. Mart: Pentest veya güvenlik taraması yaptır. Nisan: Çalışan phishing simülasyonu. Haziran: SSL sertifikaları ve domain yenileme takibi. Ağustos: DNS ve DNSSEC yapılandırma kontrolü. Ekim: CMS ve eklenti güncellemeleri, backup testi. Kasım: Yıllık siber güvenlik eğitimi. Aralık: Güvenlik politikalarının güncellenmesi.
RuuSafe ile Otomatik İzleme
Bu 25 maddenin manüel takibi hem zaman alıcı hem de insan hatasına açık. RuuSafe; sahte domain izleme, SSL sertifika takibi, Sertifika Şeffaflık Logları izleme ve otomatik uyarı sistemlerini tek platformda birleştiriyor. Subdomain güvenliği konusunda da kapsamlı izleme sağlar.
Sık Sorulan Sorular
Kontrol listesi ne sıklıkla uygulanmalıdır?
Kritik maddeler (SSL tarihi, domain lock, 2FA) aylık kontrol edilmelidir. Tam liste 3 ayda bir uygulanmalı; büyük sistem güncellemeleri sonrasında da eksiksiz tekrarlanmalıdır.
Hangi maddeler en çok ihmal ediliyor?
Denetimlerimizde en sık ihmal edilen maddeler: Sertifika Şeffaflık Logları izleme, HTTP güvenlik başlıkları ve çıkış prosedürleri olarak öne çıkıyor.
Küçük oteller için öncelik sırası nedir?
Domain lock, SSL yenileme takvimi, 2FA ve çalışan phishing eğitimi — bu dört madde minimum güvenlik çıtasını oluşturur ve düşük maliyetle uygulanabilir.
Sonuç
Otel web sitesi güvenliği tek seferlik bir görev değil, sürekli yönetilmesi gereken bir süreçtir. Bu 25 maddelik kontrol listesini takviminize entegre edin ve her denetim sonrası bulgularınızı kaydedin. Güvenlik açıkları tespit edildiğinde otel siber güvenlik tehditleri kapsamlı rehberimizden yararlanabilirsiniz.
