Otel Veb Saytı Təhlükəsizlik Yoxlama Siyahısı — 2026

Otel veb saytınız qonaqlarınızın sizi ilk gördüyü yer və ödəniş məlumatlarını etibarlı şəkildə paylaşdıqları platformadır. 2025-ci ildə yayımlanan IBM Məlumat Pozuntusu Xərc Hesabatına görə, bir məlumat pozuntusunun orta xərci 4,88 milyon dollara çatıb; otelçilik sektorunda bu rəqəm daha yüksəkdir, çünki hücumlar adətən həm maliyyə, həm də nüfuz itkisi ilə nəticələnir.

Bu yoxlama siyahısını 3 aydan bir mütəmadi olaraq tətbiq etsəniz, təhlükəsizlik boşluqlarını təcavüzkarlar kəşf etmədən əvvəl bağlamaq şansınız əhəmiyyətli dərəcədə artar. Siyahıda 5 kateqoriya və ümumilikdə 25 kritik yoxlama nöqtəsi yer alır.

Bir çox otel kiber təhlükəsizliyi böyük bir hücum və ya məlumat pozuntusu yaşandıqdan sonra ciddiyə alır. Halbuki təhlükəsizlik boşluqlarının 84%-dən çoxu konfiqurasiya səhvləri və laqeydlik nəticəsində yaranan əsas zəifliklərdən qaynaqlanır. Sistemli bir yoxlama siyahısı bu boşluqları bağlamaq üçün ən sərfəli üsuldur.

OWASP və NIST standartlarına əsaslanan bu siyahı, 500-dən çox otel müəssisəsinin təhlükəsizlik yoxlamasından çıxardığımız ən kritik nöqtələri ümumiləşdirir.

1. Domen kilidi aktivdirmi? Qeydiyyat qurumunuzda (registrar) "domain lock" və ya "transfer lock" funksiyasını aktivləşdirin. Bu funksiya olmadan domeniniz icazəsiz köçürülə bilər.

2. DNSSEC konfiqurasiyası doğrudurmu? DNS saxtakarlığına (DNS spoofing) qarşı DNSSEC aktiv olmalı və DNS qeydləri mütəmadi olaraq imzalanmalıdır. Yoxlama üçün Google DNS toolbox istifadə edə bilərsiniz.

3. Qeydiyyatsız oxşar domenlər izlənilirmi? Markanıza oxşar domen qeydiyyatdan keçirildikdə dərhal xəbərdarlıq almaq üçün RuuSafe Domain Scanner kimi bir izləmə xidmətindən istifadə edin. Typosquatting hücumları haqqında ətraflı məlumat üçün müvafiq bələdçimizə baxa bilərsiniz.

4. NS və MX qeydləri icazəsiz dəyişdirilibmi? Hər ay DNS qeydlərinizi yoxlayın və gözlənilməz dəyişiklik varsa, dərhal araşdırmağa başlayın.

5. Domen yeniləmə tarixiniz izlənilirmi? Avtomatik yeniləmə aktiv deyilsə, domen son istifadə tarixini təqviminizə əlavə edin. Müddəti bitən domenlər saatlar ərzində pis niyyətli aktorlar tərəfindən ələ keçirilə bilər.

6. Sertifikatın etibarlılıq tarixi haradadır? RuuSafe SSL Checker və ya Google Search Console vasitəsilə sertifikatın bitmə tarixini izləyin. Sertifikat müddətinin bitməsinə ən az 30 gün qalmış yeniləməyə başlayın.

7. TLS 1.2 və ya 1.3 məcburidirmi? SSL 3.0, TLS 1.0 və TLS 1.1 protokolları təhlükəsiz hesab edilmir. Server konfiqurasiyanızın yalnız TLS 1.2+ dəstəklədiyini təsdiqləyin.

8. Sertifikat növü biznes məlumatlarınızla uyğundurmu? EV (Extended Validation) və ya OV (Organization Validated) sertifikatları qonaqlarınıza daha güclü etibar siqnalı verir. DV (Domain Validated) sertifikatları saxta saytlar tərəfindən də asanlıqla əldə edilə bilər. Saxta SSL sertifikatlarını aşkar etmə bələdçisi üçün müvafiq məzmunumuza baxa bilərsiniz.

9. HSTS (HTTP Strict Transport Security) aktivdirmi? HSTS, brauzerləri saytınızı həmişə HTTPS üzərindən yükləməyə məcbur edir və SSL stripping hücumlarını əngəlləyir.

10. Sertifikat Şəffaflıq Logları izlənilirmi? Markanız adına icazəsiz SSL sertifikatı verildikdə xəbərdarlıq almaq üçün crt.sh izləməsi qurun. Bu sayədə saxta saytları sertifikat alınma mərhələsində aşkar edə bilərsiniz.

11. CMS və plaguinlər güncəldirmi? WordPress, Drupal və ya başqa bir CMS istifadə edirsinizsə, əsas sistemin və bütün plaguinlərin güncəl versiyada olduğundan əmin olun. Hücumların 56%-i köhnə versiyalı plaguinlərdən faydalanır.

12. İdarəetmə panelinin URL-i standartdırmı? /wp-admin və ya /admin kimi standart URL-lər avtomatik hücum hədəfidir. İdarəetmə panelini xüsusi bir URL-ə köçürün və IP məhdudiyyəti əlavə edin.

13. WAF (Web Application Firewall) aktivdirmi? Cloudflare, Sucuri və ya bənzər bir WAF xidməti XSS, SQLi və DDoS hücumlarına qarşı əsas qorunma təmin edir.

14. Ehtiyat nüsxə sistemi işləyirmi? Gündəlik avtomatik ehtiyat nüsxə və 30 günlük ehtiyat nüsxə saxlama siyasəti tətbiq edilməlidir. Ehtiyat nüsxələr sayt serverindən fiziki olaraq ayrı bir yerdə saxlanmalıdır.

15. Təhlükəsizlik başlıqları (HTTP security headers) konfiqurasiya edilibmi? Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options və Referrer-Policy başlıqlarını yoxlayın. Təhlükəsizlik başlıqlarını pulsuz test etmək üçün securityheaders.com istifadə edə bilərsiniz.

16. Phishing simulyasiyası son 6 ayda edilibmi? İşçilərin 30%-nin ilk phishing testində kliklədiyi görülür. İldə ən az 2 dəfə simulyasiya testi tətbiq edilməlidir.

17. Güclü parol siyasəti varmı? Ən az 12 simvol, böyük/kiçik hərf + rəqəm + xüsusi simvol məcburiyyəti ilə birlikdə avtomatik parol dəyişdirmə xatırladıcısı aktiv olmalıdır.

18. İki faktorlu kimlik doğrulaması (2FA) məcburidirmi? E-poçt, sosial media və rezervasiya sistemi kimi bütün kritik hesablarda 2FA aktiv olmalıdır. SMS əsaslı 2FA qəbul edilə bilən minimumdur; tətbiq əsaslı 2FA (Google Authenticator, Authy) daha təhlükəsizdir.

19. Çıxış prosedurları müəyyən edilibmi? İşdən ayrılan işçinin bütün hesab girişləri çıxış günü ləğv edilməlidir. Bu prosesin HR və IT tərəfindən koordinasiyalı aparıldığından əmin olun.

20. Təhlükəsizlik hadisəsi bildirmə proseduru bilinirmi? Bütün işçilər şübhəli bir e-poçtu, bağlantını və ya sistem davranışını kimə və necə bildirəcəyini bilməlidir.

21. Uptime izləmə aktivdirmi? Sayt kəsintilərini 5 dəqiqə ərzində aşkar edən bir uptime monitoru (Uptime Robot, Pingdom və s.) mütləq istifadə edilməlidir.

22. Saxta sayt izləmə aparılırmı? Markanıza oxşar domenlərin qeydiyyatdan keçirilməsini və ya məzmununuzun kopyalanmasını real vaxtda izləyən bir sistem qurulmalıdır.

23. Google axtarış xəbərdarlıqları qurulubmu? Google Alerts vasitəsilə marka adınız üçün həftəlik bildiriş qurun. Google Search Console ilə əl ilə axtarış təhlükəsizlik xəbərdarlıqlarını da izləyin.

24. Log təhlili aparılırmı? Server logları ən az 90 gün saxlanmalı və anormal giriş nümunələri (bot trafiki, şübhəli IP bloku, qısa aralıqlı uğursuz giriş cəhdləri) avtomatik xəbərdarlıq yaratmalıdır.

25. Sızma testi (pentest) proqramı varmı? İldə ən az 1 dəfə hərtərəfli sızma testi aparılmalıdır. Büdcə məhduddursa, OWASP ZAP kimi pulsuz vasitələrlə avtomatik skan edilə bilər.

Yanvar: Bütün parolları yeniləyin, 2FA vəziyyətini yoxlayın. Mart: Pentest və ya təhlükəsizlik skanı aparın. Aprel: İşçi phishing simulyasiyası. İyun: SSL sertifikatları və domen yeniləmə izləməsi. Avqust: DNS və DNSSEC konfiqurasiya yoxlaması. Oktyabr: CMS və plagin yeniləmələri, ehtiyat nüsxə testi. Noyabr: İllik kiber təhlükəsizlik təlimi. Dekabr: Təhlükəsizlik siyasətlərinin yenilənməsi.

Bu 25 maddənin əl ilə izlənməsi həm vaxt aparan, həm də insan səhvinə açıqdır. RuuSafe; saxta domen izləmə, SSL sertifikat izləmə, Sertifikat Şəffaflıq Logları izləmə və avtomatik xəbərdarlıq sistemlərini tək platformada birləşdirir. Subdomen təhlükəsizliyi mövzusunda da hərtərəfli izləmə təmin edir.

Kritik maddələr (SSL tarixi, domen kilidi, 2FA) aylıq yoxlanılmalıdır. Tam siyahı 3 ayda bir tətbiq edilməli; böyük sistem yeniləmələrindən sonra da tamamilə təkrarlanmalıdır.

Yoxlamalarımızda ən çox laqeyd edilən maddələr: Sertifikat Şəffaflıq Logları izləmə, HTTP təhlükəsizlik başlıqları və çıxış prosedurları olaraq önə çıxır.

Domen kilidi, SSL yeniləmə təqvimi, 2FA və işçi phishing təlimi — bu dörd maddə minimum təhlükəsizlik səviyyəsini təşkil edir və aşağı xərclə tətbiq edilə bilər.

Otel veb saytı təhlükəsizliyi birdəfəlik bir tapşırıq deyil, davamlı idarə edilməsi lazım olan bir prosesdir. Bu 25 maddəlik yoxlama siyahısını təqvimizə inteqrasiya edin və hər yoxlamadan sonra tapıntılarınızı qeyd edin. Təhlükəsizlik boşluqları aşkar edildikdə otel kiber təhlükəsizlik təhdidləri hərtərəfli bələdçimizdən faydalana bilərsiniz.