SAQ, PCI DSS Seviyeleri ve Öz Değerlendirme Formu Nedir?

PCI DSS (Payment Card Industry Data Security Standard), kuruluşların ödeme verisi ihlallerinin ve ödeme kartı sahtekarlığının önlenmesine yardımcı olacak bir dizi gereksinim içerir.

Peki, kuruluşunuz için gereksinimlerin düzenli olarak kontrol edildiğinde değişebileceğini biliyor muydunuz?

Aslında, kuruluşun her yıl gerçekleştirdiği işlem sayısına göre belirlenen dört PCI uyumluluk düzeyi vardır.

Seviye 1: Yılda 6 milyondan fazla kart işlemi gerçekleştiren tüccarlar (merchants).

Seviye 2: Yılda 1 ila 6 milyon işlem gerçekleştiren tüccarlar.

Seviye 3: Yılda 20.000 ila 1 milyon işlem gerçekleştiren tüccarlar.

Seviye 4: Yılda 20.000’den az işlem gerçekleştiren satıcılar.

Bu seviyelerin, PCI DSS uyumluluğuna yaklaşma şeklinizi nasıl etkilediğine bir göz atalım.

PCI DSS uyumluluğuna nasıl ulaşırız?

PCI DSS, büyük kart markaları (American Express, Discover, JCB, Mastercard ve Visa) arasındaki işbirliğinin bir sonucudur ve işlem süreçleri Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC) tarafından yakından izlenmektedir.

Amaç, kart ödemelerinin uygun koruma koşullarına sahip olmasını sağlamaktır ve bunu başarmanın ilk adımı değerlendirmeyi (özellikler seviyenize göre değişir), üç ayda bir ağ taramasını ve Uygunluk Onayı Formunu (AoC) tamamlamaktır.

Seviye 1 kuruluşlar için değerlendirme yada denetim, bir QSA (Uzman Güvenlik Denetçisi) tarafından gerçekleştirilen bir dış denetimden oluşmalıdır. Aşağıdaki süreçleri içeren bir kapsamda kuruluşunuzun yerinde denetimini yapacaklardır.

  • Denetim kapsamının belirlenmesi ve doğrulanması
  • PCI DSS süreçleri ile ilgili belgeleri ve teknik süreçlerin gözden geçirilmesi
  • PCI DSS gereksinimlerinin karşılanıp karşılanmadığını belirlenmesi
  • Uyum sürecinde destek ve rehberlik sağlamak ve
  • Telafi edici kontrolleri değerlendirmek.

Denetçi daha sonra uygunluğunu göstermek için kuruluşa bir RoC (Uyumluluk Raporu) sunacaktır.

PCI Düzey 2-4’teki kuruluşlar, bir dış denetim yerine bir öz değerlendirme anketi (SAQ) doldurabilir. Seviye 2 kuruluşları da bir RoC tamamlamalıdır.

Öz değerlendirme anketi (SAQ Formu)

Satıcı seviyenize ve ödeme kartı bilgilerini işleme şeklinize bağlı olarak birkaç farklı SAQ türü geçerlidir.

SAQ A: Tüm kart veri işlemlerini doğrulanmış üçüncü taraflara dış kaynak sağlayan satıcılar için. Buna e-ticaret işlemleri ve posta/telefon siparişi veren satıcılar dahildir.

SAQ A-EP: Ödeme işlemlerini dışarıdan temin eden ancak kendisine bağlanan web sitesinin yönetimini sağlamayan e-ticaret tüccarları için.

SAQ B: Kart sahibi verilerini almayan ancak verilerin bir üçüncü taraf ödeme işlemcisine yönlendirilme yöntemini kontrol eden e-ticaret tüccarları için.

SAQ B-IP: Kart sahibi verilerini elektronik biçimde depolamayan ancak IP bağlantılı etkileşim noktası cihazları kullanan üye işyerleri için. Bu tüccarlar, kartlı veya kartsız işlemleri gerçekleştirebilir.

SAQ C-VT: Kart sahibi verilerini bir bilgisayar sistemi yerine sanal bir ödeme terminali aracılığıyla işleyen üye işyerleri için. Bir sanal terminal, sanal terminal ödeme işleme işlevini barındıran üçüncü bir tarafa web tabanlı erişim sağlar.

SAQ C: İnternete bağlı ödeme uygulama sistemlerine sahip üye işyerleri için (elektronik kart sahibi veri deposu yok).

SAQ D: SAQ A–C türlerine dahil olmayan diğer tüm satıcılar için.

SAQ P2PE: Noktadan noktaya şifreleme kullanan satıcılar için. Bu nedenle, e-ticaretle uğraşan kuruluşlar için geçerli değildir.

Doğru SAQ’yu seçmeniz önemlidir çünkü her birinin ödeme kartı verilerinin işlenme şekline dayalı uyumluluk gereksinimleri vardır.

PCI DSS Seviyeniz “PCI DSS Uyumluluğunu Nasıl Etkiler?”

Kuruluşunuzun, bu dört PCI uyumluluğu seviyesinden hangisinin altına düştüğüne bağlı olarak uyumluluk yolculuğunuzun değişebileceğini unutmayın.

Kuruluşunuz PCI Seviye 1 olarak kabul ediliyorsa, uyumluluğu doğrulamak için her yıl yerinde denetimin yapılması, Uyumluluk Onayı’ nın (AoC) ve Uyumluluk Raporu’ nun (RoC) bu denetim sonucunda alınması gerekmektedir. Onaylı bir tarama sağlayıcı (ASV-Approved Scanning Vendor) tarafından, her 3 ayda bir dış tarama yapılması ve PCI onayından geçmesi, her 3 ayda bir iç tarama yapılıp raporlanması ve yılda bir defa da Sızma (Penetrasyon) testinin yapılması gerekmektedir.

Kuruluşunuz bir PCI Seviye 2, 3 veya 4 olarak kabul edilirse, PCI DSS Öz Değerlendirme Formu’nu (SAQ) doldurmanız ve ayrıca onaylı bir tarama sağlayıcı (ASV-Approved Scanning Vendor) ile üç ayda bir dış taramaların yapılması ve PCI onayından geçmesi gerekmektedir.

Kuruluşunuz PCI Seviye 2-3 olarak kabul edilirse ve kart sahibi bilgilerini etkileyen bir veri ihlaline maruz kalınırsa, Visa yada diğer kart markaları, sizi PCI Seviye 1 gibi diğer bir düzeyin gereksinimlerini karşılamaktan sorumlu kılarak, sizi cezalandırmayı seçebilir.

İşletmeniz 4 PCI uyumluluğu seviyesinden hangisine dahil olursa olsun veya ne tür bir satıcı olursanız olun, PCI uyumluluğunun sürdürülmesi en yüksek öncelik olmalıdır.