Security Blog

PCI DSS nedir? PCI standartları nelerdir?

PCI DSS nedir, Türkiye’de PCI DSS hizmeti nasıl alınır gibi sorulara yanıt olarak sektöründe öncü 24 Solutions, sizin için gerekli tüm uyum ve denetim işlemleri gerçekleştirmektedir. PCI DSS, Payment Card Data Security Standard ifadesinin kısaltması olup, Türkçe’ye Ödeme Kartları Endüstrisi Veri Güvenliği olarak geçmiştir. Dünya genelinde kullanılan bu standart sayesinde, kart ödemelerinin güvenli bir şekilde yapılması, sahtecilik ve dolandırcılık işlemlerine karşı etkin bir koruma sağlanmaktadır. Visa, Master Card, American Express, Diner Club ve JCB’nin yer aldığı PCI SSC adı verilen konsey tarafından kurulmuş olan bu sistem teknik ve operasyonel bir sistemdir.

PCI DSS sadece kredi kartı ile işlem yapan üye işyerleri ve bankalar için geçerli olmakla kalmayıp, kart sahibinin bilgilerini gizleyen ya da ileten tüm hizmet sağlayıcılarını da kapsamaktadır. Bir başka deyişle, kredi kartı sahiplerinin bilgilerini güven altında tutmak için oluşturulmuş PCI DSS standartlarına uymayan firmalar, kredi kartı ile satış yapamazlar. Bu standartlara uymayan firmaların, bir an evvel gerekli güncellemeleri gerçekleştirmesi gerekmektedir. Aksi halde yetkinin durdurulmasına kadar varan yaptırımlarla karşılaşılabilmektedir.

PCI DSS denetimine tâbi ödeme kartları

Ödeme kartı denildiğinde akla sadece kredi kartı da gelmemelidir; zira debit card olarak adlandırılan ve ülkemizde para kart, maaş kartı, banka kartı ve tele kart gibi farklı isimlerle ifade edilen ve bankadaki vadesiz hesaplara erişim sağlayan kartlar da yine PCI DSS standartlarına uyumlu olmak zorundadır. PCI DSS hizmetleri sonucunda ödeme kartlarında bulunan bilgiler kişi, kurum ve banka arasındaki güvenliğin Kimlik Doğrulama (Authentication) ve Yetki (Authoziation) adımlarını kolaylaştırarak, kart sahiplerine güvenli ve kolay bir ödeme aracı kullanma imkanı sağlamaktadır.

PCI DSS standartları sayesinde veri güvenliği maksimum seviyede sunulmaktadır. Veri güvenliği denildiğinde ise Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişebilirlik (Availability) devreye girmektedir. Bu öğelerin etkin bir şekilde ödeme sistemine yansıtılması ile birlikte, kartlı alışveriş sistemlerinde veri güvenliği de sağlanmış olmaktadır.

PCI DSS, kredi kartı ile alışveriş imkanı sunan tüm e-ticaret sitelerini, ödeme altyapısı sunan firmaları, bankaları; kısaca kredi kartı bilgisi tutan tüm işletmeleri ilgilendiren ve hayati önem taşıyan bir konudur. Kredi kartı ile işlem yapılmasına izin veren, sistemi üzerinden kart bilgisi geçiren veya bu bilgileri kaydeden işletmelerin PCI DSS standartlarına uygun olması, bir başka deyişle gereksinimleri yerine getirmesi gerekmektedir.

PCI DSS uyumluluğu nasıl sağlanır?

PCI DSS uyumluluğunun sağlanabilmesi için üç temel süreçten geçmek gerekmektedir:

Analiz süreci

  • Kart ödemelerinin işleme nasıl sokulduğunun analizi yapılır.
  • Kart işlemleri esnasındaki tüm veri akışlarının tespit işlemi gerçekleştirilir.
  • Kart sahiplerinin hassas bilgilerinin güvenli bir şekilde kullanılıp kullanılmadığı tespit edilir.
  • Kart sahiplerine ilişkili olarak hangi bilgilerin tutulduğu belirlenir ve bu bilgilerin ne şekilde saklandığı belirlenir.
  • Kart sahibi bilgilerinin üçüncü şahıslarıne eline geçme riskleri araştırılır ve mevcut güvenlik açıklarının taraması yapılır.

İyileştirme süreci

  • Gerekli iyileştirme faaliyetleri gerçekleştirilir.
  • Zafiyet taramasının ardından, tespit edilen güvenlik açıkları kapatılır.
  • Kart sahibi bilgilerinin gerekli haller dışında kullanılmaması sağlanır.

Belgelendirme

  • PCI DSS standardı çerçevesinde, uyum doğrulama gereksinimlerinde belirtilen periyotlarda, standartlara uygun biçimde denetleme ve belgelendirme işlemleri yapılır.

Verinin kullanımı, korunması, saklanması, provizyonu ve iletimi konuları için geliştirilmiş bir standart olan PCI-DSS; 6 ana kriter altında tanımlanan 12 temel maddeden oluşmaktadır:

A. Güvenli ve sürekli bir ağ alt yapısı kurmak
1- Kart bilgilerini korumak için güvenlik duvarı konumlandırılması ve yapılandırılması
2- Sistemde yer alan hiçbir yazılım ve donanımda öntanımlı parolanın kullanılmaması
B. Kart sahibinin bilgilerini korumak
3- Kart bilgilerinin güvenli şekilde saklanması
4- Genel ağlarda kart bilgilerinin şifreli olarak gönderilmesi
C. Güvenlik açığı yönetimi oluşturmak
5- Düzenli olarak güvenlik yazılımlarının güncellenmesi
6- Güvenli sistem ve uygulama geliştirilmesi. Geliştirmenin süreklilik arz etmesi
D. Etkin erişim kontrolü uygulamak
7- İşletme tarafında kart bilgilerine erişim kısıtlamasının getirilmesi
8- Her kullanıcının kendine ait bir kullanıcı hesabının olması ve oturumu bu kullanıcı hesabı ile açması
9- Kart bilgilerine erişimin fiziksel olarak engellenmesi.
E. Düzenli olarak izlemek ve test etmek
10- Kart bilgilerine ve ağa gelen tüm erişimlerin izlenmesi
11- Güvenlik sistemleri ve süreçlerin devamlı olarak test edilmesi
F. Bilgi güvenliği politikası uygulamak
12- Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politikanın uygulanması.

PCI DSS standartlarına uymakla mükellef olan işletmeler, PCI komitesi tarafından yetkilendirilmiş QSA’ler (Qualified Security Assessor) tarafından denetlenmek zorundadır. Ayrıca bu işletmeler, QSA firmaları tarafından yerinde araştırma hizmeti almalı, her üç ayda bir zafiyet ve ağ taraması yaparak PCI DSS uyum dorğulaması yapmak zorundadır. Eğer siz de PCI DSS uyumlu olmak istiyorsanız, bu konuda deneyim sahibi olan QSA’lerimiz PCI DSS denetiminizi gerçekleştirebilir.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com