PCI DSS Nedir?

PCI DSS nedir?

Ödeme Kartı Endüstrisi Veri Güvenliği Standartları (PCI DSS), işletmelerin müşterilerin kart sahibi verilerini ihlallere karşı güçlü bir ödeme güvenliği ile korunmasına yardımcı olmak için tasarlanmış bir dizi idari ve teknik gereksinimler standardıdır.

PCI DSS, kart sahibi verilerini (CHD) ve / veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen ve ileten tüm kuruluşlara uygulanır. CHD, hesap numaralarını, kart sahibi adlarını, son kullanma bilgilerini ve servis kodlarını içerir. SAD, manyetik şerit verilerini, pin numaralarını ve güvenlik kodlarını içerir.

pci dss

PCI DSS, PCI Konseyi’nin kurucu üyeleri tarafından uygulanmaktadır: American Express, Finansal Hizmetleri Keşfedin, JCB, MasterCard ve Visa. Uyum sağlama yolunda uygun önlemleri almadığı düşünülen kuruluşlar para cezası almakla yükümlüdür ve ciddi durumlarda bankacılık hizmetleri geri çekilebilir.

 

PCI DSS seviyeleri

PCI DSS‘nin bir kuruluş için nasıl uygulandığını anlamak zor olabilir. Genel bir kural olarak, herhangi bir PCI kurucu üyesinden ödeme kartı kabul eden tüm kuruluşlar bir satıcıdır.

Tüccarlar işlem yaptıkları kart verisinin hacmine bağlı olarak dört seviyeden birine girerler:

Seviye 4: Yılda 20.000 işlemin altında işlem yapan firmalar.
Seviye 3: Yılda 20.000 ila 1 milyon işlem gerçekleştiren firmalar.
Seviye 2: Yılda 1 ila 6 milyon işlem gerçekleştiren firmalar.
Seviye 1: Yılda 6 milyonun üzerinde kart işlem gerçekleştiren firmalar.

Satıcı düzeyinde kategorizasyon, bir kuruluşun PCI uyumluluğu için yapması beklenen minimum standartları belirler. 1. Seviye de bulunan firmalar bizzat yerinde değerlendirmeye tabi tutulmaları gerekirken 2,3,4. seviye firmalar ise değerlendirme anketleri ile (Self-Assessment Questionnaire) değerlendirilebilirler.

 

PCI SAQ türleri

Sekiz ana SAQ türü vardır ve söz konusu ödeme senaryosuna en uygun olanı seçmek önemlidir.

PCI SAQ-A PCI DSS’ye
tamamen dış kaynaklı olan ve üçüncü şahıslar tarafından onaylanan üçüncü şahıslar tarafından onaylanmış ve verileri evde işlemeyen kart satıcıları için.

PCI SAQ A-EP Bir PCI DSS’ye
tamamen dış kaynak kullanan e  ticaret tüccarları için, üçüncü şahıslar tarafından onaylanmış, doğrudan kart sahibi verisi almayan ancak işlem güvenliğini etkileyebilen web siteleriyle.

PCI SAQ B
Elektronik kart sahibi veri deposu olmayan ve elektronik kart sahibi veri deposu olmayan baskı makinelerini kullanan tüccarlar için.

PCI SAQ B-IP
Yalnızca ödeme işlemcisine IP bağlantısı olan ve elektronik kart sahibi veri deposu olmayan ödeme terminalleri kullanan satıcılar için.

PCI SAQ C
Kart sahibi verilerini elektronik olarak saklayan, İnternete bağlı ödeme uygulama sistemleri olan satıcılar için.

PCI SAQ C-VT
Klavye üzerinden işlem yapan, bir PCI DSS tarafından barındırılan sanal terminallere elektronik kart sahibi veri deposuna sahip olmayan üçüncü şahıslar tarafından onaylanan satıcılar için.

PCI SAQ P2PE
Elektronik kart sahibi veri deposu olmayan, doğrulanmış, PCI SSC ile doğrulanmış, noktadan noktaya şifreleme çözümü üzerinden yönetilen donanım ödeme terminalleri kullanan satıcılar için.

PCI SAQ D
Başka bir SAQ türünde olmayan satıcılar için.

 

PCI uygunluk kontrol listesi

Altı ana hedefe bölünmüş on iki adet temel PCI DSS gereksinimi vardır. PCI DSS gereksinimleri, bir kuruluşun Kart Sahibi Veri Ortamına (CDE) bağlı olan tüm sistem bileşenleri için geçerlidir. CDE, kart sahibi ve hassas kimlik doğrulama verilerini depolayan, işleyen veya ileten tüm insanları, süreçleri ve teknolojileri içerir.

Çekirdek PCI gereksinimleri aşağıdaki PCI uyumluluk kontrol listesinde ayrıntılı olarak açıklanmıştır.

Güvenli Bir Ağ Oluşturma ve Bakımını Yapma
1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması yükleyin ve koruyun
2. Sistem şifreleri ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın

Kart Sahibi Verilerini
Koruyun 3. Depolanmış kart sahibi verilerini koruyun
4. Açık, genel ağlar üzerinden kart sahibi verilerinin iletimini şifreleyin

Bir Güvenlik Açığı Yönetim Programını Koruyun
5. Virüsten koruma yazılımı veya programları kullanın ve düzenli olarak güncelleyin
6. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün

Güçlü Erişim Denetimi Ölçütlerini Uygulayın
7. Bilmeniz gerekenlere göre kart sahibi verilerine erişimi kısıtlayın
8. Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın
9. Kart sahibi verilerine fiziksel erişimi kısıtlayın

Ağları Düzenli Olarak İzleme ve Test Etme
10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleme ve izleme
11. Güvenlik sistemlerini ve işlemlerini düzenli olarak test etme

Bilgi Güvenliği Politikasının Korunması
12. Çalışanlar ve yükleniciler için bilgi güvenliğine yönelik bir politika oluşturun.