Security Blog

PCI DSS uyumluluk süreçleri

PCI DSS uyumluk süreci, günümüzde kağıt paraların yerini dijital ödeme sistemlerinin almasıyla birlikte oldukça fazla önem arz etmeye başladı. Alışveriş yapmak, e-ticaret sitelerinin artması ve ödeme sistemlerinin daha güvenilir ve hızlı bir para transferi imkanı sunmasıyla birlikte yaygınlaştı ve bunun sonucu olarak siber uzay üzerindeki para akışında da artış yaşandı. Bu artışla birlikte pek çok kurum, ticari işlemlerini de internet ortamına taşıdı.

Siber saldırılar ise özellikle son birkaç yılda gerek güvenlik uzmanlarının, gerek kurum ve kuruluşların gerekse de internet kullanıcılarının en büyük sorunlarından biri. Bu saldırılar sayesinde bugüne kadar milyonlarca kredi kartı bilgisi ele geçirildi. Kullanıcının rızası dışında ele geçirilen ve kullanılan bu kredi kartı bilgilerinin korunması, saklanması ise artık sadece kredi kartıyla işlem yapan tüm üye işyeri ve bankalar için değil, aynı zamanda kart sahibi bilgilerini saklayan ya da ileten tüm hizmet sağlayıcılarının da görevi.

pci dss uyumluluk belgesi

Bunun için, yukarıda sözü edilen işletmelerin PCI DSS standartları doğrultusunda ödeme sistemleri altyapılarına sahip olması gerekmektedir. PCI DSS uyumluluğu ile birlikte e-ticaret siteleri üzerinden alım-satım işlemleri yapılırken, güvenlik zafiyeti ortadan kalkmaktadır. Böylelikle kredi kartı ve diğer hassas bilgilerin, üçüncü kişilerin eline geçmesi riski sıfıra indirilmektedir. Bir başka deyişle, PCI DSS uyumluluğu olan bir ticaret platformunda, kart sahiplerinin güvenliği A’dan Z’ye tam anlamıyla korunmaktadır.

PCI DSS uyumluluğu nedir?

PCI DSS uyumluluğu, Mastercard, Visa, American Express, Discover Services gibi büyük kuruluşların da üyesi olduğu bir konsey tarafından oluşturulmuş, teknik ve operasyonel bir sistem entegrasyonu kapsamında yazılımların çalışmasıdır. PCI DSS uyumluluğu, daha basit bir ifadeyle; internet üzerinden yapılan alışverişlerin, güvenlik standartları doğrultusunda gerekli sertifikaya sahip olmak için sistemin uyumlu olmasını sağlayan kriterlerin denetlenmesi ve oluşturulmasıdır.

PCI DSS uyumluluğunda 12 kategori altında toplamda 200’ün üzerinde gereksinim bulunmaktadır. PCI DSS uyumluluğuna sahip olmak isteyen işletmelerde bulunması gereken gereksinimleri PCI DSS nedir? başlıklı yazımızda belirtmiştik. Bu gereksinimlere sahip olmak içinse üç adımdan geçmek gerekmektedir:

  1. PCI DSS Analiz
  2. PCI DSS İyileştirme
  3. PCI DSS Belgeleme

1. PCI DSS Analizi

PCI DSS uyumluluğu çalışmalarına başlamak için öncelikle gap analizi yapmak gerekmektedir. Gap analizi içinde ele alınması gereken konular ise şu şekildedir:

  • Geçerli politika, prosedürlerin gözden geçirilmesi, analiz edilmesi ve PCI DSS uyumluluğunun sağlanması için varsa, gerekli değişikliklerin hayata geçirilmesi ve gerekli belgelerin belirlenmesi.
  • Üretim ortamındaki kredlendirme/para iadesi gibi kart işlemlerinin incelenmesi.
  • Donanım/yazılım sistemlerinin, bileşenlerin ve ilgili tüm uygulama ve ağ katmanı cihazlarının hassas bir şekilde incelenmesi.
  • PCI DSS ile ilgili konularda hizmet veren üşüncü sağlayıcıların belirlenmesi ve analiz edilmesi.
  • İşletme içindeki mevcut personelin iç denetim ve değerlendirmesinin yapılması.
  • Gap analiz raporunun tamamlanması ve PCI DSS uyumluluğu için yapılması gerekenlerin tespit edilmesi.
  • Projenin son haline getirilerek onaylanması.

2. PCI DSS İyileştirmesi

PCI DSS Gap Analizi’nin sona ermesinin ardından, sıra analiz sonucunda ortaya çıkan eksiklerin giderilmesi, raporda belirtilen işlemlerin iyileştirilmesine gelmektedir.

Bu işlem sırasında dikkat edilmesi gereken en önemli konulardan biri, kuralların ve işlemin nasıl yapılacağına dair belirlenen unsurların yazılı hale getirilmesidir. Aksi takdirde, kimi zaman PCI DSS uyumluluğu için oldukça önem taşıyan politika ve prosedürlerin gözden kaçırılması gibi sorunlar yaşanmaktadır.

Yazılı olarak sunulan politika ve prosedürlerin hayata geçirilmesi ve PCI DSS uyumluluğu için gerekli olan tüm unsurların iyileştirilmesinin ardından son işleme geçilmektedir.

3. PCI DSS’in Belgelenmesi

Hazırlık aşaması ve ardından iyileştirme sürecinin tamamlanmasına müteakip, değerlendirme işlemi gerçekleştirilir. Burada, yine PCI DSS standartlarına uygun olmayan bir unsur varsa, düzeltilme yoluna gidilir. Herhangi bir sorun ya da eksik olmaması halinde ise onay, yani belgeleme aşaması için bir raporlama oluşturulur. Uyumluluk, PCI DSS gereksinimlerinin karşılanıp karşılanmadığının kontrolü için yetkili bir PCI QSA tarafından kontrol edilir ve onaylanır. Onayın ardından QSA tarafından, uyumluluk belgesi verilir.

24 Solutions PCI DSS alanında uzman, PCI Güvenlik Standartları Konseyi tarafından yetkilendirilmiş QSA’leri ile işletmenizi PCI uyumlu hale getirmekte ve gerekli denetimleri yapmaktadır. Siz de PCI DSS uyumluluk hizmeti almak istiyorsanız, hemen bizimle iletişime geçin.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com