PCI DSS

PCI DSS (Payment Card Industry Data Security Standard), ödeme kartı endüstrisinde veri güvenliğini sağlamak için oluşturulan bir dizi standarttır. Bu standartlar, kart sahibi bilgilerini korumak ve kart dolandırıcılığını önlemek amacıyla Visa, MasterCard, American Express, Discover ve JCB gibi büyük kart markalarının ortaklaşa oluşturduğu bir güvenlik standardıdır.

PCI SSC; American Express, MasterCard, Visa, Discover Financial Services ve JCB tarafından kurulmuştur. Standartlar, kart sahibi verilerini işleyen, ileten ve/veya saklayan tüm kuruluşlar ve hizmet sağlayıcılar için geçerlidir.

PCI DSS sertifikası, bir işletmenin PCI DSS standartlarına uyum sağladığını belgeleyen bir sertifikadır. Bu sertifika, işletmelerin müşterilerinin ödeme kartı bilgilerini güvenli bir şekilde işlediğini, sakladığını ve ilettiğini doğrular. Sertifikasyon süreci, genellikle bir üçüncü taraf değerlendirme kuruluşu tarafından gerçekleştirilir.

PCI DSS sertifikası almak için aşağıdaki adımlar izlenir:

1. Hazırlık: Mevcut güvenlik durumu değerlendirilmeli ve gerekli iyileştirmeler yapılmalıdır.
2. Kendi Kendine Değerlendirme: Küçük ve orta ölçekli işletmeler, PCI DSS Self-Assessment Questionnaire (SAQ) doldurabilirler.
3. Denetim: Büyük işletmeler, bir PCI QSA (Qualified Security Assessor) tarafından denetlenir.
4. Raporlama: Uyum sağlandıktan sonra, bir Uyumluluk Raporu (ROC) hazırlanır ve ilgili kart markalarına sunulur.
5. Sertifikasyon: Tüm gereksinimlerin karşılandığı doğrulandıktan sonra sertifikasyon sağlanır.

PCI test, PCI DSS uyumluluğunu sağlamak için yapılan testleri kapsar. Bu testler, genellikle ağ güvenlik taramaları ve penetrasyon testleri gibi teknik güvenlik değerlendirmelerini içerir. Amaç, sistemlerin güvenliğini test etmek ve olası zayıflıkları belirlemektir.

PCI DSS güvenlik taraması, dış kaynaklı tehditlere karşı ağların ve sistemlerin güvenliğini değerlendirmek için yapılan taramalardır. Bu taramalar, PCI DSS uyumluluğunu sağlamak için belirli aralıklarla yapılır ve zayıf noktaların tespit edilmesine yardımcı olur. ASV (Approved Scanning Vendor) tarafından gerçekleştirilir.

PCI denetimi, bir işletmenin PCI DSS standartlarına uyum sağlayıp sağlamadığını belirlemek için yapılan resmi bir değerlendirmedir. Denetim, genellikle QSA tarafından yapılır ve işletmenin tüm güvenlik politikaları, prosedürleri ve teknik önlemleri gözden geçirilir.

PCI uyumluluğu, bir işletmenin PCI DSS standartlarına uygun olarak işlem yaptığı anlamına gelir. Bu uyumluluk, işletmelerin kart sahibi bilgilerini korumasını ve olası güvenlik ihlallerini önlemesini sağlar.

PCI DSS uyumluluk seviyeleri, işletmenin yıllık kart işlemi hacmine göre belirlenir:

• Seviye 1: Yıllık 6 milyondan fazla kart işlemi.
• Seviye 2: Yıllık 1 milyon ile 6 milyon kart işlemi arasında.
• Seviye 3: Yıllık 20.000 ile 1 milyon kart işlemi arasında.
• Seviye 4: Yıllık 20.000’den az kart işlemi.

PCI DSS, ödeme kartı bilgilerinin güvenliğini sağlamaya yönelik bir dizi standarttır. Bu standartlar, dolandırıcılığı önlemek ve müşterilerin finansal bilgilerini korumak amacıyla uygulanır. PCI DSS uyumluluğu, işletmelerin güvenlik risklerini azaltmasına ve müşteri güvenini artırmasına yardımcı olur.

PCI DSS 4.0, PCI DSS standartlarının en güncel versiyonudur ve aşağıdaki yenilikleri içerir:

• Esneklik Artışı: Daha esnek güvenlik kontrolleri ve uyum yolları sunar.
• Modern Tehditlere Uyum: Gelişen tehdit ortamına karşı daha güçlü koruma sağlar.
• Performans İzleme: Güvenlik performansının sürekli izlenmesini ve raporlanmasını teşvik eder.
• Özelleştirilebilir Kontroller: İşletmelerin kendi risklerine göre güvenlik kontrollerini özelleştirmelerine olanak tanır.

PCI DSS standartları, kart sahibi verilerini korumak için belirlenen 12 ana gereksinimi içerir:

1. Güvenli ağ ve sistemler oluşturma ve sürdürme.
2. Kart sahibi bilgilerini koruma.
3. Güvenlik açığı yönetimi programı sürdürme.
4. Güçlü erişim kontrol önlemleri uygulama.
5. Ağ erişimini izleme ve test etme.
6. Bilgi güvenliği politikasını sürdürme.
7. Güvenlik sistemleri ve uygulamalarının geliştirilmesi ve bakımı
8. Güvenli sistem ve uygulama geliştirme
9. Güvenli erişim kontrolleri
10. Kart sahibi verilerini koruma
11. Düzenli güvenlik testleri ve izleme
12. Bilgi güvenliği politikaları oluşturma

1. Güvenli Bir Ağ Oluşturma ve Sürdürme

1.1 Bir güvenlik duvarı yapılandırması oluşturun ve sürdürün: Güvenlik duvarları, ağları izinsiz girişlere karşı korur. Bu adımda, güvenlik duvarları ve yönlendiriciler için yapılandırma standartları oluşturulmalıdır.

1.2 Güvenlik duvarı yapılandırmalarını değişikliklere karşı koruyun: Güvenlik duvarı kurallarının ve yapılandırmalarının düzenli olarak gözden geçirilmesi ve güncellenmesi gerekir.

2. Kart Sahibi Verilerini Koruma

2.1 Saklanan kart sahibine ait verileri koruyun: Saklanan kart verilerinin şifrelenmesi veya maskelenmesi gereklidir.

2.2 Kart verilerinin iletim sırasında korunmasını sağlayın: Kart verileri internet veya açık ağlar üzerinden iletilirken güçlü şifreleme yöntemleri kullanılarak korunmalıdır.

3. Bir Güvenlik Açığı Yönetimi Programı Sürdürme

3.1 Güvenlik açıkları ve tehditlere karşı koruma sağlayın: Anti-virüs yazılımları ve anti-malware çözümleri kullanılarak sistemler korunmalıdır.

3.2 Sistemleri ve uygulamaları güvenlik açıklarına karşı güncel tutun: Yazılım güncellemeleri ve yamaları düzenli olarak uygulanmalıdır.

4. Güçlü Erişim Kontrol Önlemleri Uygulama

4.1 Kart sahibi bilgilerine erişimi kısıtlayın: Kart bilgilerine erişim sadece iş gereksinimleri doğrultusunda izin verilmelidir.

4.2 Benzersiz bir kimlik ile erişimi tanımlayın ve izleyin: Her kullanıcı için benzersiz bir kimlik belirlenmeli ve erişim kayıtları tutulmalıdır.

4.3 Fiziksel erişimi kısıtlayın: Kart sahibi verilerine fiziksel erişim, yetkisiz kişilerden korunmalıdır.

5. Ağ Erişimini İzleme ve Test Etme

5.1 Ağ erişim ve güvenlik kontrollerini izleyin ve test edin: Ağda gerçekleşen tüm erişimler ve güvenlik kontrolleri düzenli olarak izlenmeli ve test edilmelidir.

5.2 Ağ trafiğini ve sistem aktivitelerini izleyin: Tüm ağ trafiği ve sistem aktiviteleri, olası güvenlik ihlallerini tespit etmek için izlenmelidir.

6. Bilgi Güvenliği Politikasını Sürdürme

6.1 Bilgi güvenliği politikaları oluşturun ve sürdürün: Tüm çalışanlar için bilgi güvenliği politikaları oluşturulmalı ve uygulanmalıdır.

6.2 Çalışanlara düzenli olarak güvenlik eğitimi verin: Çalışanların bilgi güvenliği konusunda bilinçlenmesi için düzenli eğitimler verilmelidir.

7. Güvenlik Sistemleri ve Uygulamalarının Geliştirilmesi ve Bakımı

7.1 Güvenlik açıklarını belirlemek ve gidermek için güvenlik sistemlerini ve uygulamalarını düzenli olarak gözden geçirin: Düzenli taramalar ve değerlendirmeler yaparak güvenlik açıkları tespit edilmeli ve düzeltilmelidir.

7.2 Güvenli yazılım geliştirme süreçleri uygulayın: Yazılım geliştirme sırasında güvenlik standartları ve en iyi uygulamalar takip edilmelidir.

8. Güvenli Sistem ve Uygulama Geliştirme

8.1 Güvenli kodlama standartlarına uyun: Yazılım geliştirme sürecinde güvenli kodlama standartlarına uygun kodlama yapılmalıdır.

8.2 Yazılım ve sistemlerin güvenliğini test edin: Geliştirilen yazılım ve sistemler, güvenlik açıkları açısından düzenli olarak test edilmelidir.

9. Güvenli Erişim Kontrolleri

9.1 Fiziksel erişimi kontrol altına alın: Kart sahibi verilerinin bulunduğu fiziksel alanlara erişim kısıtlanmalı ve kontrol edilmelidir.

9.2 Yetkisiz fiziksel erişimi önlemek için güvenlik kontrolleri uygulayın: Fiziksel güvenlik önlemleri, izinsiz erişimi önlemek için uygulanmalıdır.

10. Kart Sahibi Verilerini Koruma

10.1 Kart sahibi verilerini koruyun: Kart sahibi verileri, izinsiz erişim ve ifşaya karşı korunmalıdır.

10.2 Kart sahibi verilerinin güvenliğini sağlayacak kontrolleri uygulayın: Kart verilerinin güvenliğini sağlamak için uygun güvenlik kontrolleri uygulanmalıdır.

11. Düzenli Güvenlik Testleri ve İzleme

11.1 Düzenli güvenlik değerlendirmeleri ve testleri gerçekleştirin: Güvenlik açıklarını belirlemek için düzenli değerlendirmeler ve testler yapılmalıdır.

11.2 Güvenlik olaylarını izleyin ve kayıt altına alın: Güvenlik olayları izlenmeli ve detaylı olarak kayıt altına alınmalıdır.

12. Bilgi Güvenliği Politikaları

12.1 Bilgi güvenliği politikaları oluşturun ve sürdürün: İşletmenin genel bilgi güvenliği stratejisini ve politikalarını belirleyin.

12.2 Bilgi güvenliği politikalarını düzenli olarak gözden geçirin ve güncelleyin: Bilgi güvenliği politikaları düzenli olarak gözden geçirilmeli ve güncellenmelidir.

Bu 12 gereksinim, PCI DSS uyumunun sağlanması için kapsamlı bir çerçeve sunar ve kart sahibi verilerinin güvenliğini sağlamak için gerekli adımları tanımlar.

PCI DSS eğitimi, işletmelerin PCI DSS standartlarına uyum sağlamaları için gerekli bilgi ve becerileri edinmelerini sağlayan bir eğitim programıdır. Bu eğitimler, güvenlik politikaları, veri koruma yöntemleri ve uyumluluk süreçleri hakkında bilgi verir.

PCI DSS sertifikası, bir işletmenin PCI DSS standartlarına uygunluğunu belgeleyen bir sertifikadır. Bu sertifika, işletmelerin müşterilerinin ödeme kartı bilgilerini güvenli bir şekilde işlediğini, sakladığını ve ilettiğini doğrular.

PCI DSS sertifikası genellikle bir yıl süreyle geçerlidir. Her yıl düzenli olarak yenilenmesi ve uyumluluk sürecinin tekrar değerlendirilmesi gerekmektedir.

Evet, PCI DSS zorunludur. Ödeme kartı işlemleri yapan tüm işletmeler, PCI DSS standartlarına uymak zorundadır. Bu, hem kart markaları hem de müşterilerin güvenliğini sağlamak için gereklidir.