Günümüz dijital çağında, kredi kartlarıyla yapılan işlemlerin güvenliği, hem işletmeler hem de tüketiciler için büyük bir önem taşımaktadır. Kredi kartı verilerini korumak amacıyla oluşturulan Payment Card Industry Data Security Standard (PCI DSS) – Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, bu alandaki en önemli güvenlik çerçevelerinden biridir. Bu makalede, PCI DSS’in amacı, ilkeleri, gereksinimleri ve uyumluluk seviyeleri hakkında detaylı bilgiler sunarak, bu kritik standartın neden önemli olduğunu ve işletmeler için hangi faydaları ve zorlukları beraberinde getirdiğini inceleyeceğiz.
İçerik Tablosu
PCI DSS Nedir?
PCI DSS (Payment Card Industry Data Security Standard) – Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, kredi, banka ve nakit kart işlemlerinin güvenliğini en üst düzeye çıkarmak ve kart sahiplerinin kişisel bilgilerinin kötüye kullanılmasını önlemek amacıyla oluşturulmuş geniş çapta kabul görmüş bir dizi politika ve prosedürden oluşur.
PCI DSS, siber güvenlik ihlallerini önlemek ve ödeme kartı bilgilerini işleyen, depolayan ve ileten kuruluşlar için dolandırıcılık riskini azaltmak için tasarlanmıştır.
PCI DSS bir yasa veya yasal bir düzenleme değildir. Ancak, ödeme kartı işlemleri gerçekleştiren işletmeler için genellikle sözleşmesel bir yükümlülük olarak kabul edilir. Bu tür işlemleri gerçekleştiren kuruluşların PCI DSS’in gereklerini yerine getirmesi, müşterilerine güvenli bir ortam sağlamak adına zorunludur.
PCI DSS, 2004 yılında Visa, Mastercard, Discover, JCB ve American Express gibi beş büyük kredi kartı şirketi tarafından oluşturulmuştur. PCI DSS yönergelerini geliştiren kuruluş ise Payment Card Industry Security Standards Council (PCI SSC) adını taşır.
PCI DSS’nin Amacı Nedir?
PCI DSS’in temel amacı, kredi kartı numaraları, son kullanma tarihleri ve güvenlik kodları gibi hassas kart sahibi bilgilerinin güvenliğini korumak ve optimize etmektir. Bu standart, işletmelerin veri ihlali, dolandırıcılık ve kimlik hırsızlığı riskini minimize etmelerine yardımcı olur.
Ayrıca, PCI DSS’e uyumluluk, işletmelerin kredi kartı verilerini işlerken, depolarken ve iletirken en iyi endüstri uygulamalarına uymalarını sağlar. Bu da, müşteriler ve paydaşlar arasında güven tesis eder.
PCI DSS’in 6 İlkesi Nedir?
PCI Güvenlik Standartları Konseyi (PCI SSC), PCI DSS için altı ana hedef belirlemiştir:
Güvenli bir ağ ve sistemi oluşturmak ve sürdürmek
Kredi kartı işlemlerinin güvenli bir ağda gerçekleştirilmesi gerekmektedir. Güvenlik altyapısı, etkili olacak kadar güçlü ve karmaşık, ancak kart sahipleri veya satıcılar için rahatsızlık yaratmayacak şekilde olmalıdır. Kablosuz yerel alan ağları için özel güvenlik duvarları mevcuttur, çünkü bu tür ağlar kötü niyetli saldırılara karşı oldukça hassastır. Satıcı tarafından sağlanan kimlik doğrulama verileri, kişisel kimlik numaraları ve şifreler sürekli olarak kullanılmamalıdır.
Kart sahibi bilgilerini korumak
PCI DSS’ye uyan kuruluşlar, kart sahibi bilgilerini nerede saklanıyorsa saklansın korumalıdır. Doğum tarihleri, annelerin kızlık soyadları, Sosyal Güvenlik numaraları, telefon numaraları ve posta adresleri gibi hayati verilerin saklandığı yerler ve kaynaklar güvenli olmalıdır. Kart sahibi bilgilerinin kamuya açık ağlar üzerinden iletimi şifrelenmelidir.
Bir güvenlik açığı yönetim programı sürdürmek
Kart hizmetleri kuruluşları, sistemlerini kötü niyetli yazılımların faaliyetlerinden koruyan risk değerlendirme ve güvenlik açığı yönetim programları uygulamalıdır. Tüm uygulamalar, kart sahibi verilerinin çalınmasına veya değiştirilmesine neden olabilecek hatalardan ve güvenlik açıklarından arındırılmış olmalıdır. Yazılım ve işletim sistemleri düzenli olarak güncellenmelidir.
Güçlü erişim kontrol önlemleri uygulamak
Sistem bilgilerine ve operasyonlara erişim kısıtlanmalı ve kontrol edilmelidir. Sistemde bilgisayar kullanan herkes benzersiz ve gizli bir kimlik adı veya numarası ile tanımlanmalıdır. Kart sahibi verileri hem fiziksel hem de elektronik olarak korunmalıdır. Fiziksel koruma, belge imha cihazları kullanma, belge çoğaltma sınırları, çöp konteynerlerine kilitler ve satış noktalarında güvenlik önlemleri almayı içerebilir.
Ağları düzenli olarak izlemek ve test etmek
Güvenlik önlemlerinin yerinde olduğunu, düzgün çalıştığını ve güncel olduğunu doğrulamak için ağlar düzenli olarak izlenmeli ve test edilmelidir. Örneğin, antivirüs ve casus yazılım karşıtı programlar en son tanım ve imzalara sahip olmalıdır. Bu programlar sürekli olarak tüm veri alışverişlerini, uygulamaları, RAM’leri ve depolama medyalarını taramalıdır.
Bir bilgi güvenliği politikası sürdürmek. Resmi bir bilgi güvenliği politikası tanımlanmalı, sürdürülmeli ve tüm katılımcı varlıklar tarafından takip edilmelidir. Uyumsuzluk durumunda denetimler ve ceza uygulamaları gibi yaptırım önlemleri gerekli olabilir.
PCI DSS’in 12 Gereksinimi Nelerdir?
PCI SSC – PCI Güvenlik Standartları Konseyi, altı ana hedeften oluşan PCI DSS içinde belirli gereksinimler barındırır. PCI DSS uyumluluğu sağlamak isteyen kuruluşların bu 12 gereksinimi karşılaması gerekir:
Kart Sahibi Verilerini Korumak İçin Güvenlik Duvarı Kurmak ve Sürdürmek
Kredi kartı bilgilerini korumak için güvenlik duvarınızı yapılandırın ve güncel tutun.
Varsayılan Şifreleri ve Diğer Güvenlik Parametrelerini Kullanmamak
Cihaz veya yazılım üreticileri tarafından sağlanan varsayılan şifreleri ve ayarları değiştirmeyi ihmal etmeyin.
Saklanan Kart Sahibi Verilerini Korumak
Depolanan kredi kartı bilgilerinin güvenli bir şekilde korunmasını sağlamak için gerekli güvenlik önlemlerini alın.
Kredi Kartı Verilerini Açık ve Genel Ağlarda Şifrelemek
Hassas ödeme bilgilerini internette veya açık ağlarda iletirken şifreleme kullanın.
Antivirüs Yazılımı Kullanmak ve Düzenli Olarak Güncellemek
Virüsten koruma yazılımınızı düzenli olarak güncelleyerek kötü amaçlı yazılımların sisteminize zarar vermesini önleyin.
Güvenli Sistemler ve Uygulamalar Geliştirmek ve Sürdürmek
Kendi geliştirdiğiniz veya kullandığınız yazılımların güvenli olduğundan emin olun ve sürekli olarak güncel tutun.
Kart Sahibi Verilerine Erişimi İş İhtiyacına Göre Sınırlandırmak
Çalışanların, sadece görevleri gerektirdiklerinde kredi kartı bilgilerine erişim sağlamalarına izin verin.
Veri veya Bilgisayar Erişimi Olan Her Bireye Eşsiz Bir Kimlik Atamak
Sisteme erişimi olan her bireye, takip edilebilirlik ve güvenlik için benzersiz bir kullanıcı kimliği verin.
Kart Sahibi Verilerine Fiziksel Erişimi Sınırlandırmak
Kart bilgilerinin bulunduğu fiziksel ortamlara sadece yetkili kişilerin erişmesini sağlayın.
Ağ Kaynaklarına ve Kart Sahibi Verilerine Tüm Erişimleri İzlemek ve Takip Etmek
Kredi kartı bilgilerine ve ağ kaynaklarına yapılan tüm erişimleri izleyerek kayıt altına alın.
Güvenlik Sistemlerini ve Süreçlerini Düzenli Olarak Test Etmek
Güvenlik süreçlerinizi ve sistemlerinizi belirli aralıklarla test ederek açıkları kapatın.
Bilgi Güvenliği Politikası Sürdürmek
Detaylı bir bilgi güvenliği politikası oluşturun ve sürekli olarak uygulandığından emin olun.
PCI DSS Uyumluluk Seviyeleri
PCI DSS uyumluluk gereksinimleri, bir iş yerinin yıllık kredi veya banka kartı işleme hacmine göre dört seviyeye ayrılır. Aşağıda bu dört doğrulama seviyesi bulunuyor:
Seviye 1
Yıllık 6 milyondan fazla kart işlemi gerçekleştiren kuruluşlar bu kategoride yer alır. Bu işletmeler her yıl bir Kayıtlı Güvenlik Değerlendiricisi (QSA) tarafından denetlenmeli ve her çeyrekte Onaylı Tarayıcı Satıcısı (ASV) tarafından ağ taraması yapılmalıdır.
Seviye 2
Yıllık 1 milyon ila 6 milyon kart işlemi gerçekleştiren kuruluşları kapsar. Bu kuruluşlar yıllık bir Öz Değerlendirme Anketi (SAQ) doldurmalı ve her çeyrekte olası ağ güvenlik açıklarını taratmalıdır.
Seviye 3
Yıllık 20.000 ila 1 milyon kart işlemi gerçekleştiren orta ölçekli firmaları kapsar. Bu iş yerleri de yıllık SAQ doldurmalı ve çeyrek dönemlik ağ taramaları yapmalıdır.
Seviye 4
Yıllık 20.000’den az kart işlemi gerçekleştiren küçük işletmeleri kapsar. Seviye 2 ve 3’te olduğu gibi yıllık bir SAQ doldurmalı ve çeyrek dönemlik ağ taramaları yapmalıdır.
Bu gereksinimlerin ve seviyelerin tamamı, kart verilerinin güvenliğini sağlamak ve olası ihlalleri en aza indirmek için uygulanır.
PCI DSS Uyumunun Faydaları ve Zorlukları
PCI DSS, işletmeler için önemli faydalar ve bazı zorluklar sunmaktadır. İşte bu fayda ve zorluklar hakkında daha detaylı bilgi:
PCI DSS’nin Faydaları
PCI DSS uyumu sağlandığında, işletmeler veri koruma ve güvenlik konusunda öne çıkar ve bu da olumlu bir itibar yaratır. İşte bu faydalar:
Gelişmiş Müşteri Güveni: PCI DSS, kart sahibi verilerini korur ve bu da müşterilerin güvenini kazanmaya yardımcı olur. Güvenliğe önem veren bir işletme olarak tanınmak, müşteri sadakatini artırabilir ve tekrar eden iş potansiyelini yükseltir.
Veri İhlallerinin Azalması: PCI DSS, güvenlik önlemleri ve veri koruma prosedürleriyle veri ihlali riskini en aza indirir. Bu da cezalar, yasal masraflar ve itibar kaybı gibi olumsuz durumların önüne geçer.
Dolandırıcılık Koruması: PCI DSS’nin gereksinimleri dolandırıcılığı önler ve tespit eder, bu da dolandırıcılıkla bağlantılı mali kayıpları azaltır.
Sektör Standartlarına Uyumluluk: PCI DSS uyumu, işletmenin sektörde en iyi uygulamalara bağlı kaldığını gösterir. Bu da işletmenin ortakları, paydaşlar ve düzenleyicilerle olan itibarını ve ilişkilerini güçlendirir.
PCI DSS’nin Zorlukları
Ancak, PCI DSS uyumu sağlarken işletmeler bazı zorluklarla karşılaşabilir:
Karmaşıklık: PCI DSS’nin gereksinimleri kapsamlı güvenlik kontrolleri içerir ve bu kontrolleri anlamak ve uygulamak, özellikle küçük işletmeler için zor olabilir.
Maliyet: PCI DSS uyumunu sürdürmek ve gerekli güvenlik sistemlerini, süreçleri ve personeli sağlamak pahalı olabilir. Bu da genellikle küçük işletmeler için bir yük oluşturur.
Sürekli Çaba Gerektirir: PCI DSS uyumunu sağlamak, sürekli izleme, test etme ve güvenlik önlemlerini güncelleme gerektirir. Bu sürdürülebilir bir süreci gerektirir ve zaman ve kaynak ister.
Değişen Ortam: Ödeme kartı endüstrisi ve siber güvenlik tehditleri sürekli olarak değişmektedir. Bu değişen standartlara uyum sağlamak, işletmeler için zorlu olabilir.
PCI DSS uyumu, avantajları kadar zorlukları da olan önemli bir konudur. Hem müşteri güvenini artırarak hem de veri ihlallerini azaltarak işletmeler için büyük faydalar sağlar. Ancak, karmaşıklık, maliyet ve sürekli çaba gerektirmesi gibi zorlukları da göz önünde bulundurmak önemlidir.
PCI DSS Tarama Nedir?
PCI DSS tarama ise uyumluluk için aranan standartların var olup olmadığının belli aralıklarla incelenmesidir. Kart ile ödeme alan kuruluşlar, kart işlem sayılarına göre 4 farklı seviyeye ayrılır ve her seviyenin PCI DSS tarama süresiyle şekli farklılık gösterir. Ortalama olarak her 3 ayda bir olmak üzere yılda 4 defa tarama yapılması ve sonuçların iletilmesi zorunludur. Bu sonuçları inceleyen PCI DSS, kredi kartı ile ödeme alınabilmesi yetkisinin devam edip etmeyeceğini belirler.
PCI DSS Comodo HackerGuardian
Sanal POS sağlayıcılarının mutlaka uygulaması gereken PCI DSS taramasını yapmanız için mükemmel bir araç olan Comodo HackerGuardian ile tek bir noktadan kolaylıkla tüm işlemleri gerçekleştirmek mümkün.
Comodo HackerGuardian PCI DSS Tarama, taramanın aynı gün içinde başlayıp bitmesine ve sonuçlara kolaylıkla erişilebilmesine imkan tanır. Ayrıca aynı günde birden fazla tarama, sonuçları tekrar tarama, günlük otomatik tarama, özel yönetici raporu, subnet desteği, güncel veritabanı ve güvenlik açığı raporu gibi özellikler de Comodo HackerGuardian ile elde edilir.