Merhaba sevgili Kernelblog takipçileri bu yazımda ve ilişkili olacak diğer yazılarda sizlere PCI DSS standardı nedir, neden gereklidir, standarda uyum için neler yapılmalıdır, standardın gereksinimleri nelerdir, standarda kimler uyum sağlamalı, PCI denetçisinde olması gereken özellikler vs. gibi daha pek çok konuyu ele alacağım.
PCI DSS Nedir?
PCI DSS, Payment Card Industry Data Security Standard olarak ifade edilen standardın kısaltmasıdır. Ödeme Kartı Endüstrisi Veri Güvenliği Standardı olarak Türkçe’ye çevrilmiştir. Kredi ve banka kartı işlemlerinin güvenliğini sağlamayı ve kart sahiplerini kişisel bilgilerinin kötüye kullanılmasına karşı korumayı amaçlayan, teknik ve yönetsel gereksinimleri içeren 2004 yılı itibariyle uluslararası ödeme kuruluşları (American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. ) tarafından geliştirilen tescilli bilgi güvenliği standardıdır.
PCI DSS Neden Gereklidir?
PCI DSS uyumluluğu, kart sahibi verilerini işleyen, ileten ve saklayan sistemlerin güvenlik seviyesinin yüksek olduğunu ek olarak da kart sahibi müşterilerinin ve iş ortaklarının firmalara güvenebileceği anlamına gelir. Firmaların çalıştığı banka, ödeme sistemleri kuruluşları ve diğer kurumlar nezdinde itibarı yükselir diyebiliriz. Firmalarda kullanılan sistemlerin veri hırsızlığı ve siber güvenlik saldırılarına karşı güvenlik seviyesi artar ve güncelliği ve sürekliliği sağlanmış olur.
PCI SSC ve İlişkili Standartlar Nelerdir?
PCI konseyi tarafından ödeme kartlarının güvenliğini sağlamak amacıyla geliştirilmiş, standartların oluşturulması, oluşturulan standartların duyurulması, eğitimlerin düzenlenmesi ve denetim konusunda öncülük etmektedir. PCI tarafından yayınlanmış olan diğer standartlar;
- PCI DSS – Payment Card Industry Data Security Standard
- PA-DSS – Payment Application Data Security Standard
- P2PE – Point to Point Encryption Standard
- PTS – Pin Transaction Security
- PCI 3DS – PCI 3DSecure Core Security Standard
- PCI SSS – Secure Software Standard
- Card Production
PCI DSS Gereksinimleri Nelerdir?
PCI DSS sistemine dahil olmak ve uyumluluk sertifikası alabilmek için üç temel süreci geçmeniz gerekmektedir. Bu süreçler;
- Analiz Süreci
- İyileştirme Süreci
- Belgelendirme Süreci
PCI DSS gereksinimleri için yapılan bu üç aşamalı değerlendirme süreci ile; değerlendirme kapsamı belirlenmiş olur, gerekli belge ve teknik yeterlilikler gözden geçirilir, uyum süreçleri için destek verilir ve rehberlik edilir, telafi süreçleri uygulanır ve son aşama olarak telafi kontrolleri yapılarak belge verilir.
1.1. Analiz Süreci
Analiz sürecinde bankaların sağlamış olduğu kartlarla yapılan ödemelerin nasıl işleme alındığının analizi yapılır. Ödeme işlemleri sırasında gerçekleşen bütün veri akışları tespit edilir. İşlem yapılan karta ait bilgilerin güvenli olarak kullanılıp kullanılmadığı incelenir ve var olan durum tespit edilir. Kart sahibine ait bilgilerden hangilerinin saklandığına, ne şekilde saklandığına bu bilgilerin hangi biçimde tutulduğuna bakılır. Elde edilen kart sahiplerine ait bilgilere üçüncü şahısların ulaşma riski araştırılır ve mevcut durumun güvenlik derecesi incelenerek güvenlik açığı/ zafiyet taramaları yapılır.
1.2.İyileştirme Süreci
Analiz sürecinin ardından, elde edilen bilgiler değerlendirilir, güvenlik açıkları tespit edilir, var olan durumun güvenlik seviyesi belirlenir. Gerekli görülen noktalarda iyileştirme çalışmaları yapılır, zayıf yönler tekrar taranır, ortaya çıkan güvenlik açıkları kapatılır. İyileştirme süreci sonunda, kart sahiplerine ait bilgilerin üçüncü kişilerin eline geçmesi riski sıfırlanmış veya sıfıra yaklaştırılmış olur. Bu süreç aynı zamanda, şirketlerin elde ettiği kart bilgilerinin, gereken haller dışında kullanılmamasını da sağlar.
1.3.Belgelendirme Süreci
Analiz ve iyileştirme süreçleri tamamlandıktan sonra, değerlendirilmesi biten firmanın PCI DSS standartlarına uygun kabul edilir ve bu uygunluk PCI DSS sertifikası ile belgelenir.
PCI DSS Uyumluluk Seviyeleri Nelerdir?
PCI uyumluluğu, bir iş sürecindeki yıllık kredi veya banka kartı işlemlerinin sayısına bağlı olarak dört seviyeye bölünmüştür. Sınıflandırma seviyesi, bir işletmenin uyumlu kalması için ne yapması gerektiğini belirler.
Seviye 1: Yılda 6 milyondan fazla gerçek dünya kredi veya banka kartı işlemi gerçekleştiren satıcılar için geçerlidir. Yetkili bir PCI denetçisi tarafından yürütülür, yılda 1 kez iç denetimden geçmeleri gerekir. Ek olarak, 3 ayda bir Onaylı Tarama Satıcısı (ASV) tarafından bir PCI taramasına göndermeleri gerekir.
Seviye 2: Yıllık olarak 1-6 milyon arasında gerçek dünya kredi veya banka kartı işlemi gerçekleştiren satıcılar için geçerlidir. Öz Değerlendirme Anketi (SAQ) kullanarak yılda 1 kez bir değerlendirme tamamlamaları gerekir. Ek olarak, 3 ayda bir PCI taraması gerekebilir.
Seviye 3: Yılda 20 bin -1 milyon arasında e-ticaret işlemi gerçekleştiren satıcılar için geçerlidir. İlgili SAQ’yu kullanarak yıllık bir değerlendirmeyi tamamlamaları gerekir. 3 ayda bir PCI taraması da gerekli olabilir.
Seviye 4: Yılda 20.000’den az e-ticaret işlemi gerçekleştiren veya 1 milyona kadar gerçek dünya işlemi gerçekleştiren satıcılar için geçerlidir. İlgili SAQ kullanılarak yıllık bir değerlendirme tamamlanmalıdır ve 3 ayda bir PCI taraması gerekebilir.
Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.