PCI DSS

PCI DSS nedir?

PCI DSS (PCI Veri Güvenliği Standardı), güvenlik kontrollerini artırarak kredi kartı sahtekarlığını azaltmak için tasarlanmış bir bilgi güvenliği standardıdır .

Standart, büyük ödeme sistemleri (American Express, Discover, JCB, Mastercard ve Visa) arasındaki bir işbirliğinin sonucudur ve PCI SSC (Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi) tarafından yönetilir .

PCI Güvenlik Standartları Konseyi web sitesinde PCI DSS v3.2.1’in tam metnini okuyun . BT Yönetişimi, bir PCI QSA (Nitelikli Güvenlik Değerlendiricisi) şirketidir.

PCI DSS’ye kim uymak zorundadır?

Kredi Kart verilerini işleyen, ileten veya depolayan tüm satıcılar ve hizmet sağlayıcılar PCI DSS’ye uymalıdır.

  • Satıcılar  , ürünler veya hizmetler için banka veya kredi kartı ödemelerini kabul eder. PCI DSS’nin, kredi kartı işlemlerini üçüncü bir tarafa taşerona vermiş olsalar bile satıcılar için geçerli olduğunu unutmayın.
  • Hizmet sağlayıcılar  , başka bir kuruluş adına kart sahibi verilerinin işlenmesi, depolanması veya iletilmesiyle doğrudan ilgilenir.

Bazı kuruluşlar hem satıcı hem de hizmet sağlayıcı olabilir. Örneğin, diğer tüccarlar için veri işleme hizmetleri sağlayan bir kuruluş, kart ödemelerini kabul etmesi durumunda da satıcı olacaktır.

PCI DSS uyumluluğunun avantajları

Kart sahibi verilerini depolayan, işleyen veya ileten her kuruluş için ödeme güvenliği esastır.

Standardın önemli bir avantajı, ayrıntı seviyesidir. Verileri korumak için ne yapılması gerektiğine dair özel rehberlik sağlar ve kredi kartı verilerini işlemenin veya saklamanın herhangi bir yöntemini kullanan her boyut veya türdeki kuruluşlara uygulanabilir.

PCI DSS ile uyumsuzluk cezaları

PCI DSS, kanun olmayan bir standarttır ve tüccarlar arasındaki sözleşmeler, kredi kartı işlemlerini işleyen bankalar ve ödeme kuruluşları aracılığıyla uygulanır.

Her ödeme kuruluşu, PCI DSS uyum ihlalleri için alıcı bankalara para cezası verebilir ve satın alan bankalar, uyumlu olmayan satıcılardan kart ödemelerini kabul etme olanağını geri alabilir. Tüccarlar için uyumluluk yükümlülükleri de bir ihlal durumunda önemli ölçüde artar.

12 PCI DSS gereksinimleri

PCI DSS, altı kontrol hedefi halinde düzenlenmiş 12 gereksinimi belirtir.

Güvenli bir ağ oluşturun ve sürdürün

1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması kurun ve sürdürün.

2. Sistem şifreleri ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın.

Kart sahibi verilerini koruyun

3. Depolanan kart sahibi verilerini koruyun.

4. Kart sahibi verilerinin açık, genel ağlar üzerinden iletimini şifreleyin.

Bir güvenlik açığı yönetimi programı sürdürün

5. Virüsten koruma yazılımı veya programları kullanın ve düzenli olarak güncelleyin.

6. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün.

Güçlü erişim kontrol önlemleri uygulayın

7. Kart sahibi verilerine erişimini kısıtlayın

8. Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın.

9. Kart sahibi verilerine fiziksel erişimi kısıtlayın.

Ağları düzenli olarak izleyin ve test edin

10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin

11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.

Bir bilgi güvenliği politikası sürdürün

12. Çalışanlar ve yükleniciler için bilgi güvenliğini ele alan bir politika sürdürün

PCI DSS uyumlu nasıl olunur

Satıcılar ve hizmet sağlayıcılar, Standardın geçerli gereksinimlerine göre CDE’lerinin (kart sahibi verileri ortamı) denetimini tamamlayarak PCI DSS ile uyumluluklarını gösterebilirler.

Denetim türleri şunlardır:

  • BT Yönetişimi gibi bir PCI QSA organizasyonu veya ISA (Dahili Güvenlik Değerlendiricisi) tarafından tamamlanan bir RoC (Uyum Raporu ).
  • Kuruluşun bir görevlisi tarafından imzalanmış bir değerlendirme anketi
  • Bir güvenlik şirketi tarafından yürütülen harici bir güvenlik açığı taraması .

Geçmeniz gereken denetim türü ve tam PCI DSS uyumluluk gereksinimleriniz, her yıl işlenen kart işlemlerinin sayısına bağlı olarak satıcı veya hizmet sağlayıcı düzeyinize bağlı olarak değişecektir.

Genel olarak, uygulanan kriterler, başlıca ödeme kartı şirketleri olan Visa ve Mastercard tarafından belirlenen şartlara dayanacaktır.

Seviye-1 kuruluşlar

Seviye-1 kuruluşlar , yıllık olarak bir dış denetim yaptırmalı ve uygunluklarını kanıtlamak için alıcı bankalarına bir DENETİM sunmalıdır .

  • Değerlendirmenin kapsamını doğrulayın;
  • Sağlanan tüm belgeleri ve teknik bilgileri inceleyin;
  • Standardın karşılanıp karşılanmadığını belirleyin;
  • Uyum süreci boyunca destek ve rehberlik sağlayın;
  • Gerektiği şekilde değerlendirme süresince yerinde olun;
  • PCI DSS değerlendirme prosedürlerine uyun;
  • Telafi edici kontrolleri değerlendirin;

Verilerinizin güvenliğini değerlendirme

Birçok kuruluş, PCI DSS uyumluluğunu sağlamak için üç aşamalı bir süreç kullanır:

  • PCI DSS Boşluk Analizi – tipik olarak bir kuruluşun uyum durumunu anlamak için ilk adım. Standardın gereksinimlerini kuruluşun mevcut düzenlemeleriyle karşılaştırır, tüm uyum eksikliklerini belirler ve tam PCI DSS uyumluluğunu sağlamak için öncelikli bir plan oluşturur.
  • PCI DSS İyileştirme – Mümkün olduğunda projenin kapsamını azaltmak ve kalan tüm uyumluluk açıklarını kapatmak için boşluk analizine dayalı olarak planı uygulamak.
  • PCI DSS Denetimi – eylem planını uygulamayı tamamladıktan sonra, bir değerlendirici, PCI DSS uyumlu olduğunuzun kanıtını sağlamak ve kaydetmek için kontrollerinizi gözden geçirecektir