Security Blog

PCI DSS mi ISO 27001 mi?

Eğer işletmeniz uyumluluk sürecini başlatmayı düşünüyorsa, ilk akla gelen seçenek PCI DSS olacaktır. Diğer seçenek olarak ise ISO 27001 akla gelmektedir. Her iki standardın hedefi firma bilgilerinin güvenliğini sağlamak ve yönetmektir. Her ikisi de bunu farklı yollar ve farklı alanlarda gerçekleştirmektedir. Ancak her iki standardın da kontrol ve belgelendirmeleri birbirine oldukça benzemektedir.

ISO 27001 nedir?

ISO-kuruculariISO 27001, Bilgi Güvenliği Yönetim Sistemi’ni (Security Management System – ISMS) uygulamak ve sürdürmek için oluşturulmuş uluslararası bir standarttır. Standart genel bir yapıdadır ve herhangi bir işletme için uygulanabilir. Sıkı sıkıya bağlı, emredici kurallar üzerine kurulu olmadığı için mevcut güvenlik politanız doğrultusunda işletmenize uygulayabilmeniz açısından oldukça esnektir. ISO 27001, Uluslararası Standartlar Teşkilatı (International Organization for Standardization) tarafından yönetilmektedir. Örgütlerin denetim ve sertifikalandırılmaları da yine ISO tarafından gerçekleştirilmektedir. Bu bilgilere ek olarak, ISO, sanıldığı gibi teşkilatın ilk harflerinden kısaltılarak değil, Yunanca eşit anlamına gelen isos kelimesinden türetilmiştir.

Peki ya PCI DSS nedir?

Bu zorunlu standart, genellikle kart verisi olarak adlandırılan kredi kartı verilerini elinde tutan, işleyen, gönderen ve saklayan işletmeler için uygulanmaktadır. Uyumluluk seviyesi, işlem hacmine göre değişim göstermektedir. İhtiyaçlar ve zorunluluklar ticaret doğasına göre belirlenmektedir. PCI DSS, aralarında Visa, Master Card, American Express, Diner Club ve JCB’nin olduğu PCI Güvenlik Standartları Konseyi (PCI Security Standards Council – PCI SSC) tarafından yönetilmektedir. PCI DSS denetimi, PCI SSC tarafından onaylanmış bir firmada çalışmakta olan bir Uzman Güvenlik Denetçisi (Qualified Security Assessor – QSA) tarafından gerçekleştirilmektedir.

İkisi nasıl karşılaştırılır?

Hem PCI DSS hem de ISO 27001 standartları çeşitli eklerle sunulan ihtiyaçlar doğrultusunda organize edilmektedir. PCI DSS, bilgi güvenliğine dayalı 12 adet ihtiyaç, bir adet ek ve 250 adet kontrol setinden oluşmaktadır. ISO 27001’de ise ISMS’i planlama, uygulama, sürdürme, denetleme ve geliştirmeye yönelik adet ihtiyaç, bir adet ek ve 114 adet kontrol bulunmaktadır.

PCI DSS geniş bir erişim ağına sahiptir ve ücretsiz olarak indirilebilir. Diğer taraftan ISO 27001 standarına sahip olmak için ücret ödenmesi gerekmektedir ki şahsen bu durumdan pek hoşlanmıyorum.

Firmam için hangisi daha iyi ve nereden başlamalıyım?

Firmanız herhangi bir şekilde kart verisi işlemiyorsa ve eğer sıfırdan güvenlik politikası oluşturulacaksa, ISO 27001 standartları ISMS uygulamak için iyi bir başlangıç olacaktır. Doğru kapsam dahilinde risk yönetimine sahip olmak için PUKÖ’ye (Planla, Uygula, Kontrol Et ve Önlem Al) dayalı bir bilgi güvenliği politikası oluşturmanız gerekmektedir.

Eğer firmanız kart verisi işlemeyi planlıyorsa, benim de kariyerimin bir parçası olan PCI DSS standartlarıyla uyumlu olmanız gerekmektedir. Kart veri ortamınız için doğru bir kapsama sahip olmak istiyorsanız, katı bir bilgi güvenliği politikasına sahip olmak uyum sürecinize uzanan yolda iyi bir başlangıç olacaktır. Bu süreç, daha sonra risk yönetimi, gap analizi ile birlikte farklı zorunluluk ve kontrollerle desteklenecektir.

Her ikisine sahip olmam gerekir mi?

Evet. Eğer firmanız bugün ISO 27001 standartları ile uyumluysa, edindiğim tecrübelere göre, PCI DSS uyum sürecinin de %50 kadarını sağlamışsınız demektir. Bu uyum ayrıca GDPR için de büyük ölçüde yardımcı olacaktır.

ISO 27001 standartlarında yer alan kontroller ve risk yönetim metodolojisinin büyük bir kısmı PCI DSS’i destekleyici özelliklerdedir. Her iki standart da kolay bir entegrasyon ihtiyaçlarına sahiptir. Mükemmel bir güvenlik dünyasında firmanız her iki sertifikaya da sahip olabilir. Bu da firmanızın sorunsuz ve güvenli ISMS yönetimi ve operasyonları için büyük ölçüde yardımcı olacaktır.

24 Solutions, hem ISO 27001 hem de PCI DSS uyumluluuğuna sahiptir. Siz de firmanızın ISO 27001 ya da PCI DSS uyumlu olmasını istiyorsanız, hemen bizimle iletişime geçin.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com