Neden PCI DSS Zorunludur?
PCI DSS'e uyum, yalnızca bir iyi niyet göstergesi değil, kart markaları ve alıcı bankalar tarafından zorunlu kılınan bir gerekliliktir. Bu standarda uymayan veya uyumluluğunu sürdürmeyen firmalar, şu risklerle karşılaşırlar:
- Faaliyet Kısıtlamaları: Kredi kartı ile ödeme alma yetkilerinin durdurulması.* Yüksek Cezalar: Bir veri ihlali durumunda, PCI DSS uyumlu olmayan işletmelere kart markaları tarafından ağır idari ve finansal para cezaları uygulanır.
- İtibar Kaybı: Müşteri güveninin ciddi şekilde zedelenmesi ve marka itibarının kalıcı olarak zarar görmesi.
Kısacası, e-ticaret sitelerinden bankalara, sanal POS kullanan tüm işletmelere kadar, kart sahibi verileriyle etkileşimde bulunan herkesin bu standartlara uyması zorunludur.
PCI DSS'in 6 Ana Hedefi ve 12 Temel Gereksinimi
PCI DSS, kart sahibi verilerini korumak için altı ana güvenlik amacına odaklanmış ve bu amaçlar altında toplanmış temel gereksinim belirlemiştir.
Ana Hedef |
Temel Gereksinimler (Özet) |
Güvenli Bir Ağ ve Sistemler Oluşturun ve Koruyun |
1: Güvenlik duvarı yapısını kurun ve sürdürün. 2: Sistem parolaları ve diğer güvenlik parametreleri için varsayılan değerleri değiştirmeyin. |
Kart Sahibi Verilerini Koruyun |
1: Saklanan kart sahibi verilerini koruyun. 2: Kart sahibi verilerinin açık, genel ağlar üzerinden iletimini şifreleyin. |
Bir Güvenlik Açığı Yönetim Programı Sürdürün |
1: Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve antivirüs programlarını düzenli güncelleyin. 2: Güvenli sistemler ve uygulamalar geliştirin ve sürdürün. |
Güçlü Erişim Kontrol Önlemleri Uygulayın |
1: Kart sahibi verilerine erişimi, bilmesi gerekenler esasına göre kısıtlayın. 8: Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın. 2: Kart sahibi verilerine fiziksel erişimi kısıtlayın. |
Ağları Düzenli Olarak İzleyin ve Test Edin |
1: Tüm erişimi ağ kaynaklarına ve kart sahibi verilerine izleyin ve takip edin. 2: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin. |
Bir Bilgi Güvenliği Politikası Sürdürün |
Tüm personel için veri güvenliğini ele alan bir politika sürdürün. |
PCI DSS Uyum Seviyeleri
İşletmelerin uyması gereken gerekliliklerin kapsamı ve denetim şekli, yıllık kredi kartı işlem hacmine göre belirlenen dört seviyeye ayrılır:
|
Seviye |
Yıllık İşlem Hacmi (Yaklaşık) |
Uyum Doğrulama Yöntemi |
|
Seviye 1 |
Yılda 6 milyondan fazla işlem yapan işletmeler (genellikle büyük tüccarlar/bankalar). |
Zorunlu Yerinde Denetim (Qualified Security Assessor - QSA tarafından). |
|
Seviye 2 |
Yılda 1 milyon ila 6 milyon arası işlem. |
Öz Değerlendirme Anketi (Self-Assessment Questionnaire - SAQ) ve Uygunluk Raporu. |
|
Seviye 3 |
Yılda 20.000 ila 1 milyon arası e-ticaret işlemi. |
Öz Değerlendirme Anketi (SAQ) ve Gerekli Tarama/Testler. |
|
Seviye 4 |
Yılda 20.000'den az e-ticaret işlemi (veya 1 milyondan az diğer işlemler). |
Öz Değerlendirme Anketi (SAQ) ve Gerekli Tarama/Testler. |
Not: Yıllık işlem hacmi düştükçe denetim şekli yerinde denetimden (Seviye 1), daha çok Öz Değerlendirme Anketine (SAQ) kayar.
Sürekli Uyumun Önemi
PCI DSS, bir kerelik bir sertifika değil, sürekli bir süreçtir. Bir firma sertifika aldıktan sonra bile, güvenlik kontrollerini ve prosedürlerini sürekli olarak sürdürmek zorundadır.
- Yıllık Raporlama: İşletmeler, işlem hacimlerine göre her yıl uyumluluklarını kanıtlayan bir rapor (AOC - Attestation of Compliance) sunmalıdır.
- Düzenli Tarama: Dış ve iç ağ zafiyet taramaları (genellikle üç ayda bir) düzenli olarak yapılmalı ve sonuçları takip edilmelidir.
- Değişiklik Yönetimi: Kart sahibi veri ortamında (CDE) yapılan her büyük değişiklik, uyumluluğun devam ettiğinden emin olmak için tekrar gözden geçirilmelidir.
Sonuç
PCI DSS, ödeme sistemlerinin güvenli çalışmasının ve müşteri güveninin korunmasının temel direğidir. Bu standartlara uyum, işletmelerin sadece yasal zorunlulukları yerine getirmesini değil, aynı zamanda siber saldırılara karşı güçlü bir duruş sergilemesini de sağlar.
PCI-DSS Nedir?