PCI DSS (Payment Card Industry Data Security Standard), kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten tüm şirketlerin güvenli bir ortam oluşturmasını sağlamak için tasarlanmış bir güvenlik standardıdır. PCI DSS, büyük finansal kuruluşlarının (Visa, Mastercard, American Express ve Discover gibi) ödeme kartlarını kabul eden, işlem boyutuna veya sayısına bakılmaksızın tüm şirketler için geçerlidir.
PCI DSS güvenlik taraması, bir şirketin sistem ve süreçlerinin PCI DSS standardı ile uyumlu olduğundan emin olmak için yürütülen bir testtir. Bu genellikle şirket ağının ve sistemlerinin otomatik olarak taranmasının yanı sıra politikaların, prosedürlerin ve kontrollerin manuel olarak gözden geçirilmesini içerir. Güvenlik taramasının amacı, şirketin kredi kartı verilerini riske atabilecek tüm güvenlik açıklarını veya olası uyumsuzluklarını belirlemektir.
PCI DSS Güvenlik Taraması Türleri
Bir şirketin, PCI DSS uyumluluğu düzeyine ve işinin doğasına bağlı olarak geçmesi gerekebilecek çeşitli PCI DSS güvenlik taraması türleri vardır. Bunlar aşağıdakileri içerir:
1. Harici güvenlik açığı taraması
Harici güvenlik açığı taraması, bilgisayar korsanları tarafından yararlanılabilecek güvenlik açıklarını belirlemek için şirketin halka açık internet altyapısının otomatik olarak taranmasıdır.
2. Dahili güvenlik açığı taraması
Dahili güvenlik açığı taraması, ağa erişimi olan içerideki kişiler veya bilgisayar korsanları tarafından yararlanılabilecek güvenlik açıklarını belirlemek için şirketin dahili ağının otomatik olarak taranmasıdır.
3. Sızma testi
Sızma testi, güvenlik açıklarını belirlemek ve şirketin bir saldırıyı algılama ve yanıt verme yeteneğini değerlendirmek için şirketin ağına ve sistemlerine yönelik bir bilgisayar korsanı saldırısını simüle eden daha kapsamlı bir testtir.
4. Uyumluluk değerlendirmesi
Uyumluluk değerlendirmesi, PCI DSS gereksinimleriyle uyumlu olduklarından emin olmak için şirketin politikalarının, prosedürlerinin ve kontrollerinin manuel olarak gözden geçirilmesidir.
Şirketlerin, müşterilerinin kredi kartı verilerini korumak ve işlerine olan güveni sürdürmek için PCI DSS uyumluluğunu sürdürmeleri önemlidir.
Düzenli PCI Uyumluluk Taramalarına Sahip Olmanın Avantajları Nelerdir?
Kredi kartı bilgilerini kabul eden, işleyen, depolayan veya ileten şirketler için düzenli PCI uyumluluk taramaları yaptırmanın çeşitli avantajları vardır. Bunlar aşağıdaki şekildedir:
1. Hassas verileri korur
PCI uyumluluk taramaları, bir şirketin sistem ve süreçlerinin güvenli ve Payment Card Industry Data Security Standard (PCI DSS) ile uyumlu olmasını sağlamaya yardımcı olur. Bu, kredi ve banka kartı sahiplerinin hassas verilerinin korunmasına ve veri ihlallerinin önlenmesine yardımcı olur.
2. Maliyetli ihlalleri önler
Veri ihlalleri, hem finansal kayıplar hem de itibarın zarar görmesi açısından işletmeler için son derece maliyetli olabilir. Şirketler, düzenli PCI uyumluluk taramaları gerçekleştirerek güvenlik açıklarını ve potansiyel uyumsuzlukları bir veri ihlaline yol açmadan önce tespit eder ve giderebilir.
3. Güvenlik taahhüdünü gösterir
Şirketler, düzenli olarak PCI uyumluluk taramaları gerçekleştirerek, müşterilerine ve paydaşlarına, kredi kartı verilerini işlemek için güvenli bir ortam sağlamayı taahhüt ettiklerini gösterebilir. Bu, şirketlerinde işlerinde güven ve itimat oluşturmasına yardımcı olur.
4. Para cezası ve diğer ceza riskini azaltır
PCI DSS uyumsuzluğu, kart markaları ve düzenleyici kurumlar tarafından para cezalarına neden olabilir. Şirketler, düzenli PCI uyumluluk taramaları yaparak uyumsuzluk riskini azaltabilir ve bu maliyetli sonuçlardan kaçınabilir.
5. Genel güvenlik duruşunu iyileştirir
PCI uyumluluk taramaları, şirketlerin güvenlik açıklarını ve sistem ve süreçlerindeki olası uyumsuzlukları belirleyip ele almalarına yardımcı olarak güvenlik duruşlarında genel bir iyileşmeye yol açar. Bu, sadece kredi kartı veri ihlallerine karşı değil, aynı zamanda diğer siber tehdit türlerine karşı da korunmaya yardımcı olur.
PCI DSS Uyumluluğu Nasıl Sağlanır?
Şirketlerin PCI DSS uyumluluğunu sağlamak için atabilecekleri bazı adımlar vardır. Bunlar aşağıdaki şekildedir:
1. PCI DSS gereksinimlerini anlayın
PCI DSS uyumluluğunu sağlamanın ilk adımı, standardın gereksinimlerini anlamaktır. Bu, PCI DSS denetimleri ve gereksinimlerinin yanı sıra işletmeniz için geçerli olabilecek sektöre özgü gereksinimler hakkında bilgi sahibi olmanızı içerir.
2. Bir öz değerlendirme yürütün
Bir sonraki adım, mevcut PCI DSS uyumluluğu düzeyinizi belirlemek için bir öz değerlendirme yapmaktır. Bu, güvenlik açıklarını ve potansiyel uygunsuzlukları belirlemek için mevcut politikalarınızı, prosedürlerinizi ve kontrollerinizi gözden geçirmenin yanı sıra güvenlik taramaları ve değerlendirmeleri yapmayı içerebilir.
3. Uyumsuzlukları ele alın
Uyumsuzlukları veya güvenlik açıklarını belirledikten sonra, bunları gidermek için adımlar atın, sistem ve süreçlerinizi PCI DSS standardıyla uyumlu hale getirin. Bu, yeni politika ve prosedürlerin uygulanmasını, sistemlerin yükseltilmesini veya yama uygulanmasını veya çalışanlara ek eğitim verilmesini içerebilir.
4. Uyumluluğu koruyun
PCI DSS uyumluluğunu sürdürmek, sürekli izleme ve değerlendirme gerektiren devam eden bir süreçtir. Bu, düzenli güvenlik taramaları ve değerlendirmeleri gerçekleştirmenin yanı sıra, güncel ve PCI DSS standardı ile uyumlu olduklarından emin olmak için politika ve prosedürlerinizi düzenli olarak gözden geçirmeyi ve güncellemeyi içerebilir.
5. Rehberlik ve destek isteyin
PCI DSS gereksinimlerini anlamakta veya karşılamakta güçlük çekiyorsanız, kalifiye bir güvenlik değerlendiricisinden (QSA) veya onaylı tarama satıcısından (ASV) rehberlik ve destek almak isteyebilirsiniz. Bu kişiler, PCI DSS konusunda eğitilmiş ve sertifikalandırılmıştır ve uyumluluğu sağlamak için çalışırken değerli rehberlik ve destek sağlayabilir.
PCI Uyumsuzluğundan Kaynaklanan Zorluklar
PCI (Payment Card Industry) uyumsuzluğu, kart ödemelerini işleyen işletmeler için çeşitli zorluklar doğurabilir. Bu zorluklardan bazıları aşağıdaki şekildedir:
1. Mali cezalar
PCI standartlarına uymadığı tespit edilen işletmeler, alıcı veya kart markaları tarafından para cezalarına ve diğer mali cezalara tabi tutulabilir.
2. İtibar zedelenmesi
Bir veri ihlali veya başka bir güvenlik olayı, bir işletmenin itibarına zarar vererek müşteri güvenini ve bağlılığının kaybedilmesine yol açabilir.
3. Satıcı ayrıcalıklarının kaybı
Bir işletmenin uyumsuz olduğu tespit edilirse, bu işletme kart ödemelerini kabul etme ayrıcalığını kaybedebilir ve bu da iş yapma kabiliyetini önemli ölçüde etkileyebilir.
4. Yasal işlem
Bazı durumlarda PCI standartlarına uymayan işletmeler müşterilerden, kart markalarından veya diğer taraflardan yasal işlem görebilir.
Genel olarak, bu ve diğer zorluklardan kaçınmak için kart ödemelerini yöneten işletmelerin PCI standartlarına uyumlu olduklarından emin olmaları önemlidir.
PCI Ağ Güvenlik Açığı Taramalarını Kim Gerçekleştirir?
PCI (Payment Card Industry) ağ güvenlik açığı taramaları, farklı taraflarca gerçekleştirilebilir. Bazı yaygın seçenekler aşağıdakileri içerir:
1. Dahili BT personeli
Bazı işletmeler kendi BT personelinin kurum içinde güvenlik açığı taramaları yapmasını tercih eder.
2. Yönetilen hizmet sağlayıcılar
Yönetilen hizmet sağlayıcıları (MSP’ler), güvenlik açığı taraması da dahil olmak üzere bir dizi BT hizmeti sağlayan üçüncü taraf şirketlerdir.
3. Nitelikli güvenlik değerlendiricileri (QSA’lar)
QSA’lar, bir kuruluşun PCI standartlarına uygunluğunu değerlendirmek üzere PCI Security Standards Council tarafından yetkilendirilmiş bağımsız ve nitelikli güvenlik uzmanlarıdır. QSA’lar, değerlendirme sürecinin bir parçası olarak güvenlik açığı taramaları yapmak üzere eğitilir.
4. Approved scanning vendors (ASV’ler)
ASV’ler, işletmeler için ağ güvenlik açığı taramaları gerçekleştirmek üzere PCI Security Standards Council tarafından onaylanan şirketlerdir.
Kimlerin PCI DSS Uyumlu Olması Gerekir?
PCI DSS (Payment Card Industry Data Security Standard), boyutu veya türü ne olursa olsun, kart sahibi verilerini kabul eden, ileten veya depolayan herhangi bir kuruluş için geçerli olan bir dizi güvenlik standardıdır. Buna ticaret yapanlar, ödeme işlemcileri ve kart ödemelerini işleyen diğer kuruluşlar dahildir.
Genel olarak, kart ödemelerini kabul eden herhangi bir kuruluşun, hassas kart sahibi verilerini korumak ve veri ihlallerini önlemek için PCI DSS uyumlu olması gerekir. Bu, kart sahibi verilerini sistemlerinde depolayanların yanı sıra şahsen, çevrimiçi veya telefon üzerinden kart ödemelerini kabul eden işletmeleri içerir.
İşledikleri kart işlemlerinin hacmine bağlı olarak farklı işletme türleri için geçerli olan farklı PCI DSS uyumluluğu seviyeleri vardır. Örneğin, büyük hacimli kart işlemlerini işleyen işletmelerin daha sık değerlendirmelerden geçmesi ve ek güvenlik önlemleri alması gerekebilir.
Genel olarak, hassas kart sahibi verilerini korumak ve müşterilerinin güvenini sürdürmek için kart ödemelerini yöneten işletmelerin PCI DSS uyumlu olduklarından emin olmaları önemlidir.
PCI Tarama Başarısı
PCI taramada başarıya ulaşmak için uygulayabileceğiniz bazı ipuçları aşağıdaki şekildedir:
1. PCI tarama gereksinimlerinizi anlayın
Tarama sıklığı ve taramaların kapsamı (örn. harici veya dahili) gibi işletmeniz için geçerli olan belirli PCI tarama gereksinimlerini anlamanız önemlidir.
2. Saygın ve nitelikli bir tarama satıcısı kullanın
PCI taramalarınızı gerçekleştirmek için saygın ve nitelikli bir tarama satıcısı seçin. Bu, taramaların eksiksiz ve doğru olmasını sağlayacaktır.
3. Taramalarınız için hazırlanın
Tüm sistem ve cihazların yamalarla güncel olduğundan ve ilgili tüm belgelerin hazır olduğundan emin olmak gibi taramalarınıza hazırlanmak için gerekli adımları atın.
4. Taramalar tarafından belirlenen sorunları takip edin
Taramalar herhangi bir sorun tespit ederse, PCI uyumluluğunu sürdürmek için bunları derhal ele almanız çok önemlidir.
5. PCI uyumluluk durumunuzu takip edin
PCI uyumluluk durumunuzu ve taramalar tarafından belirlenen sorunları çözmek için yapılan tüm işlemleri takip edin. Bu, uyumluluk yükümlülüklerinizin üstesinden gelmenize yardımcı olacaktır.
Genel olarak, PCI tarama ile başarıya ulaşmak, proaktif ve düzenli bir yaklaşım gerektirir. Bu ipuçlarını izleyerek işletmenizin PCI standartlarıyla uyumlu kalmasını sağlayabilirsiniz.
PCI DSS İle İlgili En Çok Sorulan Sorular
1. PCI DSS kimler için geçerlidir?
PCI DSS, işlemin boyutuna veya sayısına bakılmaksızın, herhangi bir kart sahibi verisini kabul eden, ileten veya depolayan herhangi bir kuruluş için geçerlidir.
2. PCI Veri Güvenliği Standardını (PCI DSS) nerede bulabilirim?
Geçerli PCI DSS belgelerini, PCI Security Standards Council web sitesinde bulabilirsiniz.
3. Telefon üzerinden sadece kredi kartlarını kabul edersem, PCI DSS yine de benim için geçerli olur mu?
Evet. Ödeme kartı sahibi verilerini depolayan, işleyen veya ileten tüm işletmeler PCI uyumlu olmalıdır.
4. Üçüncü taraf işlemciler kullanan kuruluşların PCI DSS uyumlu olması gerekiyor mu?
Evet. Bir üçüncü taraf şirketi kullanmak, bir şirketi PCI DSS uyumluluğunun dışında tutmaz. Riske maruz kalmalarını ve sonuç olarak uyumluluğu doğrulama çabalarını azaltabilir. Ancak bu, PCI DSS’yi yok sayabilecekleri anlamına gelmez.
5. Şirketim kredi kartı verilerini saklamıyor, bu nedenle PCI uyumluluğu bizim için geçerli olur mu?
Bir ödeme şekli olarak kredi veya banka kartlarını kabul ediyorsanız, PCI uyumluluğu sizin için geçerli olur. Kart verilerinin saklanması risklidir, bu nedenle kart verilerini saklamazsanız güvenli ve uyumlu hale gelmek daha kolay olabilir.
6. Banka kartı işlemleri PCI kapsamında mı?
PCI SSC’ye katılan beş kart marka logosundan biri olan American Express, Discover, JCB, MasterCard ve Visa International ile markalanmış tüm banka kartlarını, kredi kartlarını ve ön ödemeli kartları içerir.
7. SSL sertifikam varsa PCI uyumlu olur muyum?
Hayır. SSL sertifikaları, bir web sunucusunu kötü amaçlı saldırılara veya izinsiz girişlere karşı korumaz. Yüksek güvenceli SSL sertifikaları, müşteri güvenliği ve güvencesi sağlar, ancak PCI uyumluluğunu elde etmek için farklı adımlar da vardır.