Oto Servis İçin POS, Kamera ve Ofis Ağ Segmentasyonu

Özet: Oto servis ve atölyelerde ağ tasarımı; ödeme cihazlarının (POS) PCI-DSS hijyeniyle izole edilmesi, plaka tanıma kameralarının kayıt ağına ayrılması, atölye operasyonel cihazlarının ofis bilgisayarlarından bağımsız çalıştırılması üzerine kuruludur. Tek bir düz ağda her şey aynı broadcast domain'de olduğunda kart işlem cihazından ofis dosya sunucusuna sızma teknik olarak mümkün hale gelir; doğru VLAN segmentasyonu bu riski tasarımla ortadan kaldırır.

Bir oto servisin önündeki plaka tanıma kamerası, atölyedeki tablet, ofiste teklif yazan bilgisayar, kasada çalışan POS cihazı — hepsi tek bir modeme bağlıysa servis hem operasyonel verim kaybına hem de güvenlik riskine açıktır. Müşteri ödeme yaparken kart işlem cihazı ile ofiste açılan bir e-posta eki aynı ağda bulunur; bu pratikte saldırıya açık bir kompozisyondur.

Bu yazıda oto servis sahipleri ve IT sorumluları için POS, kamera ve ofis sistemlerinin ağ tarafında nasıl ayrılması gerektiğini ele alıyoruz. Hedef ölçeğimiz 2-15 araç kapasiteli bağımsız oto servis ve plaza yedek servisleri.

Oto Servis Ağında Üç Farklı Cihaz Profili

Oto serviste birbirinden çok farklı amaçlar için kullanılan üç ana cihaz grubu vardır. Bu üç grubun aynı ağda tutulması, en yaygın güvenlik açığıdır.

1. POS ve Ödeme Cihazları

Kart işlem cihazları (PCI-DSS kapsamında), kasa bilgisayarı, fiş yazıcısı. Yüksek güvenlik gereksinimi, dış internet erişimi sıkı kontrollü olmalı.

2. Kamera ve Plaka Tanıma Sistemleri

Atölye ve giriş çıkış kameraları, plaka tanıma kameraları, NVR kayıt cihazı. Sürekli yüksek bant genişliği, içeride yetkilendirilmiş erişim, internete sınırlı çıkış.

3. Ofis Bilgisayarları ve Atölye Cihazları

Teklif yazılımı, müşteri yönetimi (CRM), parça stok takibi, atölye tablet/bilgisayarı, yazıcılar. Geniş internet erişimi, e-posta, web tarama.

Aynı broadcast domain'de paylaşıldıklarında bir gruptaki zafiyet diğerlerine sıçrayabilir.

Önerilen VLAN Yapısı

Standart bir oto servis için pratik VLAN şeması:

VLAN	Amaç	İnternet Erişimi
10	Yönetim (switch, AP, router)	Yok
20	Ofis bilgisayarları, CRM, teklif	Var (filtreli)
30	POS / kart işlem cihazları	Var (sadece banka/ödeme servisleri)
40	IP telefon / santral	Var (sadece SIP)
50	Plaka tanıma + güvenlik kameraları	Var (sınırlı, sadece bulut yedek için)
60	Atölye tabletleri, taşınabilir cihazlar	Var (filtreli)
100	Misafir Wi-Fi (bekleme salonu)	Var (sadece internet)

VLAN'lar arası geçiş firewall kurallarıyla sınırlanır. Örneğin POS VLAN'ından ofis VLAN'ına asla erişim olmamalıdır; misafir Wi-Fi'sinden iç ağa erişim kapalıdır.

POS Hattı: PCI-DSS Hijyeni

Kart işlem cihazları PCI-DSS standardı kapsamındadır. Türkiye'de banka POS sağlayıcıları kart verilerini cihazda işliyor ve şifreli olarak ödeme ağ geçidine gönderiyor; ancak ağ tasarımı yine de minimum güvenlik beklentisini karşılamalıdır.

Kritik Kurallar

• POS cihazları ayrı bir VLAN'da, kendi switch portlarında
• Bu VLAN sadece banka/ödeme sağlayıcısının IP adreslerine outbound bağlantı kurabilir
• Wi-Fi yerine kablolu POS bağlantısı tercih edilir
• Eğer Wi-Fi zorunluysa: WPA2/WPA3 Enterprise, ayrı SSID, MAC adres filtresi
• POS hattında genel internet tarama veya e-posta kullanımı yasak
• POS bağlı segmentte başka cihaz (yazıcı dahil) bulunmamalı

Yaygın Hatalar

Hata	Risk
POS ile ofis bilgisayarı aynı switch portunda	Ofisten POS'a sıçrama
POS Wi-Fi şifresi yıllardır değişmemiş	Kart sahteciliği zinciri
POS firmware güncellemesi atlanmış	Bilinen zafiyet açık
POS bağlantı logları izlenmiyor	Anormal trafik fark edilmez
Misafir Wi-Fi ile POS aynı SSID	Müşteri telefonundan POS görünür

Kamera ve Plaka Tanıma Hattı

Plaka tanıma kameraları (LPR/ANPR), oto servislerin son yıllarda en yaygın yatırımı: müşteri girişinde plaka okur, geçmiş servis kaydını ekrana getirir, otomatik karşılama sağlar.

Bant Genişliği Profili

• Standart 4MP IP kamera: 4-8 Mbps sürekli
• Plaka tanıma kamerası: 8-16 Mbps + AI işlem
• 8 kameralı tipik servis: 60-120 Mbps iç ağ trafiği

Plaka Tanıma Entegrasyonu

Plaka tanıma sistemi sıklıkla servis yönetim yazılımıyla (DMS) entegrasyon ister: kamera plakayı okur → API ile DMS'e sorgu → araç geçmişi ekrana düşer. Bu entegrasyon VLAN arası kontrollü erişim ile yapılır:

• Plaka kamera VLAN → DMS sunucusuna sadece belirli porttan
• Tek yönlü; DMS'ten kameraya erişim yok
• API çağrıları logged ve hız sınırlı

KVKK Boyutu

Plaka, KVKK kapsamında kişisel veridir. Kayıt edilen plakalar:

• Aydınlatma metniyle (servis girişinde) bildirilmiş olmalı
• Belirli bir saklama süresinden sonra silinmeli (örnek: 90 gün)
• Yetkisiz kişilerin erişimine kapalı olmalı
• VERBİS kaydı yapılmış olmalı

Ofis ve Atölye Cihazları

Ofis tarafı en geniş internet erişiminin olduğu segmenttir; aynı zamanda en çok phishing ve ransomware riskine maruz kalır.

Ofis Bilgisayarları

• E-posta, web tarama, CRM/DMS yazılımı
• Endpoint koruma (EDR) zorunlu
• Düzenli yama yönetimi
• Yedek dosyalar ayrı bir sunucu/NAS'ta, doğrudan erişim yok

Atölye Tabletleri

Mobil cihazlar atölye boyunca dolaşır; iş emrine müdahale, fotoğraf çekme, parça sorgulama yapar.

• MDM (mobil cihaz yönetimi) ile yönetilmeli
• Düşürme/kayıp senaryosu için uzaktan kilit/silme
• Kişisel kullanım kapalı olmalı (kurumsal cihaz)
• Şarj istasyonları atölye girişine yakın, kontrollü

Atölye Wi-Fi

Atölye, gürültülü RF ortamıdır: motor lifti, kaynak makinesi, kompresör. Kapsama tasarımı:

• Endüstriyel sınıf AP (toza ve neme dayanıklı)
• 5 GHz tercih edilmeli, 2.4 GHz girişimi yüksek
• Kapı/duvar açıklıkları sinyal akışını planlamada dikkate alınmalı

Kasa-POS-Ofis Akışı: Kontrollü Entegrasyon

Müşteri servis bitince kasaya gelir, ofis çalışanı DMS'ten faturayı keser, POS cihazı tutarı işler. Bu akış üç farklı VLAN arasında olur:

Ofis VLAN (DMS) → Fatura kesilir
       ↓
  Yazıcı (Ofis VLAN) → Fatura çıktısı
       ↓
POS VLAN (Kart cihazı) → Tutar işlenir
       ↓
  POS → Banka (sadece dış ödeme servisi)

VLAN'lar arası iletişim sadece zorunlu yönlerle (DMS API → fatura modülü) ve sıkı firewall kurallarıyla yapılır. POS'tan DMS'e doğru veri akışı gerekmez; ödeme onayı POS'un kendi ekranından okunur ve ofis çalışanı manuel onaylar.

Misafir Wi-Fi (Bekleme Salonu)

Müşteri aracını bırakıp bekleme salonunda Wi-Fi'ye bağlanır. Bu Wi-Fi:

• Tamamen ayrı VLAN (100)
• İç ağa hiçbir şekilde erişim yok — firewall'da kesin reddedilmiş
• 5651 uyumlu logger ile kayıtlanır
• Captive portal ile kullanıcı doğrulama (SMS kodu yeterli)
• Hız sınırı: misafir başına 10-20 Mbps

Yedek İnternet Bağlantısı

POS, plaka tanıma ve uzaktan destek için internet kesintisi tolere edilemez. Yedek bağlantı şart:

• Birincil: fiber (Türk Telekom, TurkNet vs.)
• Yedek: 4G/5G veya ikinci ISP
• Otomatik failover (basit failover router veya SD-WAN)
• Aylık failover testi

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

Oto servis ölçeğine göre uçtan uca destek alanlarımız:

• Atölye + ofis fiziksel ağ keşfi
• VLAN tasarımı ve switch yapılandırması
• POS hattı PCI uyumluluk denetimi
• Plaka tanıma kamera entegrasyonu
• DMS yazılımıyla VLAN arası kontrollü erişim
• Atölye Wi-Fi kapsama tasarımı
• 4G/5G failover yedek bağlantı
• Yıllık ağ sağlık kontrolü

Sıkça Sorulan Sorular

Sonuç

Oto servis ağı, POS güvenliğinden plaka tanıma KVKK uyumuna, atölye Wi-Fi kararlılığından misafir bekleme salonuna kadar farklı disiplinleri tek tasarımda buluşturur. Doğru VLAN segmentasyonu sadece "güvenlik" değil, aynı zamanda operasyonel verim ve müşteri deneyimi meselesidir.

Yamanlar Bilişim olarak servis büyüklüğünüze ve mevcut altyapınıza göre ölçeklenen ağ tasarımları sunuyoruz; kasanızı, atölyenizi ve ofisinizi tek bir akışta — ama doğru sınırlarla — buluşturuyoruz.