Stok fraud göz ardı edilen risktir
E-ticaret fraud tartışmaları genelde ödeme dolandırıcılığıyla sınırlı kalır. Oysa stok manipülasyonu, sahte iade kaydı ve yetkisiz panel erişimi de doğrudan zarar üretir. İç tehdit, dış saldırı kadar yaygın olabilir.
Pazaryeri satıcılarında tipik senaryolar: çalışanın manuel stok artırıp kendi hesabından sipariş vermesi, iade stoğunun kayıt dışı satılması, API credential paylaşımı ile toplu fiyat/stok değişikliği.
Erişim kontrolü ve yetkilendirme
Prensip: en az ayrıcalık (least privilege). Depo personeli stok görür ama fiyat değiştiremez; muhasebe rapor alır ama push tetikleyemez. Pazaryeri panel erişimleri kişisel hesapla; paylaşılan şifre yasak.
API credential'lar vault'ta tutulur, çevre değişkenlerinde düz metin saklanmaz. Rotasyon politikası: 90 günde bir veya personel ayrılışında anında. Eski çalışan erişimi devre dışı bırakma checklist'i işe alım sürecine dahil edilmelidir.
Audit log ve değişmez kayıt
Her stok hareketi loglanmalıdır: kim, ne zaman, hangi SKU, eski değer, yeni değer, neden (sipariş no, sayım ref, manuel açıklama). Log silinemez veya geriye dönük düzenlenemez.
Manuel stok düzeltmesi iki aşamalı onay gerektirebilir: operasyon talep eder, yönetici onaylar. Küçük ekiplerde bile «neden» alanı zorunlu tutulmalıdır.
- Stok artırımı > 10 adet → yönetici onayı
- Gece saatlerinde manuel düzeltme → alarm
- Aynı kullanıcıdan kısa sürede çok sayıda düzeltme → inceleme
- API key kullanımı IP whitelist ile sınırla
Anomali tespiti
Kural tabanlı anomali: 1 saatte 20+ stok düzeltmesi, tek SKU'da gün içi 3+ yön değişimi, iade stoğu ani düşüş, kullanılmayan API key'den aktivite. Makine öğrenmesi opsiyonel; kural tabanlı başlangıç çoğu ekip için yeterlidir.
Sipariş fraud ile stok fraud kesişir: aynı adrese kısa sürede çok sipariş, yüksek değerli SKU'da olağandışı hacim. Sipariş ve stok anomali sinyalleri birleşik dashboard'da gösterilmelidir.
Olay müdahale prosedürü
Şüpheli aktivite tespit edildiğinde: (1) ilgili hesap/API key dondur, (2) etkilenen SKU'larda satışı geçici kapat, (3) audit log'u dışa aktar, (4) stok sayımı yap, (5) pazaryeri destek ile koordinasyon. Hukuki süreç gerekiyorsa kayıtları saklayın.
Önleme, müdahaleden ucuzdur. Aylık güvenlik gözden geçirmesi: erişim listesi, aktif API key'ler, anomali trendi. Çeyreklik «red team» tatbikatı: test siparişi ile stok akışını doğrulama.
Sık sorulan sorular
Pazaryeri paneli audit log sağlar mı?
Sınırlı sağlar. Kendi Commerce Ops platformunuzdaki log daha detaylıdır. İkisini çapraz kontrol edin; panelde görünmeyen API üzerinden yapılan değişiklikler kendi log'unuzda yakalanır.
Çalışan ayrıldığında ne yapılmalı?
Aynı gün: panel erişimi kapat, API key rotate et, şifre değiştir, ortak credential varsa hepsini yenile. Checklist'i HR offboarding sürecine bağlayın.
Stok fraud sigortayla karşılanır mı?
Genel işletme sigortaları kapsamı sınırlıdır. Envanter sigortası ve siber güvenlik poliçesi ayrı değerlendirilmelidir. Önleme her zaman birincil savunmadır.
Unisonect'te stok hareketleri izlenebilir mi?
Evet. Tüm stok değişiklikleri audit log'da kullanıcı, zaman ve neden bilgisiyle kayıtlıdır. Anomali kuralları ile alarm tetiklenebilir.
Pillar rehber
Birden fazla kanalda satış yapan ekiplerin en büyük riski oversell'dir. Merkezi stok + doğru eşleştirme + anlık push üçlüsü bu riski minimize eder.
Stok senkronizasyonu: oversell'i önlemek
