Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten TÜM şirketlerin güvenli bir ortam sağlamasını sağlamak için tasarlanmış bir dizi güvenlik standardıdır.
Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC), Ödeme Kartı Sektörü (PCI) güvenlik standartlarının devam eden gelişimini, işlem süreci boyunca ödeme hesabı güvenliğini geliştirmeye odaklanarak yönetmek için 7 Eylül 2006’da başlatıldı. PCI DSS, başlıca ödeme kartı markaları (Visa, MasterCard, American Express, Discover ve JCB.) tarafından oluşturulmuş bağımsız bir kuruluş olan PCI SSC (www.pcisecuritystandards.org) tarafından yönetilir ve yönetilir. Uyumluluğun uygulanmasından PCI konseyinin değil, ödeme markalarının ve alıcılarının sorumlu olduğunu belirtmek önemlidir.
Bu durumda alıcı bankalar firmalardan PCI DSS şartlarını yerine getirmek adına talepleri olabilir. Son yıllarda artan kart bilgisi işleme nedenleriyle alıcı (acquirer) bankalardan böyle bir talep almanız olağanlaşmıştır. Son yıllarda artan güvenlik nedeniyle böyle bir istek olduğunda ne yapmalıyız sorusunu size anlatmak için hazırladık.
Öncelikle işletmenizden böyle bir talep geldiğinde doğal olarak kart bilgilerini kaydetmeyip sistem üzerinde işleyerek kullansanız bile bankalar sizden ısrarla bunu isteyebilirler. Bu yüzden bu tarz sorgulamalardan kurtulmak ve sistem altyapınızın hakikaten PCI DSS gerekliliğine uygun olup olmadığını belirlemek adına PCI DSS denetimi yaptırmanız, hem sizi hem de alıcı bankaları rahatlatacaktır.
Peki böyle bir durumda ilk ne yapılmalıdır, tabii ki cevap bu işin uzmanına danışmaktır. Çünkü her ne kadar PCI DSS standardı ve kontrolleri anlaşılabilir olsa da biz uzmanın sizi yönlendirmesi firmanızın uyumluluğunu daha da hızlandıracaktır. Temel olarak PCI DSS uyumluluğu için olmazsa olmazlar şunlardır.
Yılda 4 defa yapılacak ASV (Approved Scanning Vendor) taramaları. Bu taramalar PCI uyumlu rapor almanızı sağlayacaktır.
Yılda 1 defa sızma testi. Sızma testinin kapsamı yine uzman eşliğinde belirlenecek ve gerçekleşecektir. Bazı durumlarda yılda 2 kez segmentasyon (ağ ayrım) testi de yaptırmak gerekir.
PCI DSS denetim sonucu AoC ve RoC raporları
Sonuç olarak işletmenizin PCI DSS ile denetlenmesi size eksiklik değil güven olarak dönecektir. Bu yüzden işin uzmanı firmamız CertBy ile çalışmayı sizi davet ediyoruz.