PCI DSS Nedir ve Neden Önemlidir?

Pek çok ülkede, nakit paranın giderek daha az kullanıldığını bir dönemde, kart sahibi verilerinin güvenli bir şekilde işlenmesini sağlamak giderek daha önemli hale gelmiştir. PCI DSS (Payment Card Industry Data Security Standards) yani veri güvenliği standartlarının belirlenmesi bu dönemin kritik bir parçasıdır. PCI standartları, 2004 yılında, kredi kartı firmaları olan Visa, Mastercard, American Express, Discover ve JCB International’ ın oluşturduğu PCI SSC (Payment Card Industry Security Standard Council) tarafından; kredi kartı verisi kullanan kurumların, belli bir seviyede sistem güvenliğini sağlamak, bilgilerin kötüye kullanılmasını ve kötü niyetli kişilerin eline geçmesini engellemek amacıyla oluşturulmuştur. PCI konseyi, kredi kartı bilgisi saklayan, işleyen ve ileten tüm kurum ve işletmelerin düzenli zaman aralığı içerisinde denetlenmesini ve belgelenmesini istemektedir.

Peki, PCI DSS nedir ve PCI standartları kart ödemelerini nasıl daha güvenli hale getirir? Aşağıda açıklamaya çalışalım.

PCI DSS, “Ödeme Kartı Endüstrisi Veri Güvenliği Standartları” anlamına gelir ve kart verilerinin güvenliğini artırmayı amaçlayan dünya çapında bir güvenlik standardıdır. Kart sahibi verilerini saklayan, ileten ve işleyen tüm işletmeler için geçerlidir. PCI DSS, 12 gereksinime bölünebilir ve bunlar da kendi içinde 250 alt gereksinime bölünebilir. PCI DSS uyumluluğu, işletmenizin PCI DSS gereksinimlerine uygunluğunu sağlamış olması anlamına gelir.

PCI DSS uyumluluğu neden önemlidir?

PCI DSS uyumluluğunun neden gerekli olduğuna dair bir çok neden sayabiliriz. En önemlisi, PCI DSS uyumluluğunun, veri ihlallerinin ve hassas bilgilerin siber suçlular tarafından kötüye kullanılmasının önlenmesidir. PCI DSS uyumluluğunu sağlayan kurumlar, müşteri ve kişisel verilerin korunması hususunda yüksek güvenliğe ulaşmış olmaktadırlar. Bu bir güvenlik damgasıdır, kurumların hem güven hem de itibar kazanmasına yardımcı olmaktadır.

PCI DSS uyumluluğunun sağlanması için gerekli 12 gereksinim nelerdir?

  1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırmasının kurulması ve sürdürülmesi
  2. Sistem şifreleri ve diğer güvenlik parametreleri için satıcı tarafından sağlanan bilgilerin kullanmaması
  3. Depolanan kart sahibi verilerinin korunması
  4. Kart sahibi verilerinin açık ve genel ağlar üzerinden iletiminin şifrelenmesi
  5. Tüm sistemlerin, kötü amaçlı yazılımlara karşı korunması ve virüs koruma yazılımlarının veya programlarının düzenli olarak güncellenmesi
  6. Güvenli sistemler ve uygulamalar geliştirilmesi ve sürdürülmesi
  7. Kart sahibi verilerine erişimin ve bilinmesinin kısıtlanması
  8. Sistem bileşenlerine erişimin tanımlanması ve doğrulanması
  9. Kart sahibi verilerine fiziksel erişimin kısıtlanması
  10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimin takip edilmesi ve görüntülenmesi
  11. Güvenlik sistemlerinin ve süreçlerinin düzenli olarak test edilmesi
  12. Tüm personel için bilgi güvenliği politikası oluşturulması ve sürdürülmesi

PCI DSS uyumluluğu olmayan kurumlarda neler yaşanabilir?

PCI DSS ile uyumlu olmayan kurumlar büyük risk altına girebilir. İlk olarak, uyumsuzluk cezalarına maruz kalabilirler ve kart ödemesi kabul etmeleri engellenebilir.

PCI DSS uyumluluğu, güvenlik ve siber güvenlik ile çok ilişkili olduğundan, uyumsuzluk, şirketinizi siber suç ve veri tehlikelerine karşı risk altına sokar. Kart bilgileri ve kişisel bilgiler gibi müşteri verilerinin dolandırıcılık amaçlı kullanımına yol açabilir. Bu da, kurumlarda itibar ve müşteri kaybına sebebiyet verebilmektedir.