PCI DSS Uyumlu Olma Adımları

PCI DSS Uyumlu Olma Adımları

Tüccarlar, ağ geçitleri, ödeme hizmeti sağlayıcıları (PSP’ler) veya alıcılar, PCI DSS uyumlu olmak için aşağıdaki adımları dikkate almalıdır.

İşletmenizdeki PCI DSS kapsamını belirleyin.

Yapmanız gereken ilk şey, PCI DSS uyumluluğu için hangi sistemlerin test edilmesi gerektiğini belirlemektir. Kart sahibi verilerini veya hassas kimlik doğrulama verilerini işleyen, depolayan ve toplayan ve bunları kapsama dahil eden tüm kişileri, süreçleri ve teknolojileri göz önünde bulundurun. Bu adımı yalnızca PCI DSS ile uyumlu olmayı planladığınız ilk seferde değil, her yıl PCI DSS yıllık değerlendirmesinden önce atmalısınız.

PCI DSS değerlendirmesi için atılacak adımlar, uyumluluk düzeyinize bağlıdır. Her ödeme markası – Visa, MasterCard, Discover, American Express – her seviye için kendi spesifikasyonlarına sahiptir, ancak hepsi bazı yönergeleri paylaşır:

Ortamınızın PCI DSS değerlendirmesini gerçekleştirin.

PCI DSS kapsamınızı (insanlar, süreçler ve teknoloji) değerlendirin ve şirketin gereksinimlerin her birini doğru bir şekilde takip edip etmediğini kontrol edin. Doğru güvenlik yapılandırmalarının ve protokollerinin yürürlükte olduğundan emin olmak için BT ve güvenlik departmanlarıyla birlikte çalışın. Resmi PCI SSC belge kitaplığında, her adımda sizi destekleyecek bazı kaynaklar bulacaksınız. Yukarıdaki PCI DSS seviyesine bağlı olarak, bir Öz Değerlendirme Anketi doldurmanız veya bir Uygunluk Raporu sunması için kalifiye bir denetçi talep etmeniz gerekecektir:

SAQ (Öz Değerlendirme Anketi). Bu belge, uyumluluk seviyeniz için bir öz değerlendirme aracı olarak çalışır. SAQ’yu doldururken, şirketin PCI DSS gereksinimlerine uyup uymadığını kontrol ediyorsunuz. Organizasyon türüne göre farklı SAQ hazırlamanız gerekecektir.

ROC (Uyumluluk Raporu). Her bir PCI DSS gereksinimi için şirketin uyumluluk koşulunun kanıtının bir özeti. ROC, şirketin PCI DSS ile uyumlu olduğunu doğrulamak için değerlendirme faaliyetlerinin tüm kayıtlarını detaylandırması gereken nitelikli bir güvenlik değerlendiricisi (QSA) tarafından tamamlanır. Denetimden sonra, QSA, belgeyi, daha sonra doğrulama için kart ağına gönderecek olan tüccarın alıcısına gönderir.

Üç Aylık Ağ Taramaları. On birinci gereksinimin bir parçası olarak, kuruluşların Onaylı Tarama Satıcısı (ASV) tarafından gerçekleştirilen güvenlik açığı taramalarını tamamlaması gerekir. Bu taramalar üç ayda bir ve önemli ağ değişikliklerinden sonra yapılmalıdır.

Uygunluk Onayını (AOC) tamamlayın.

Uygunluk Onayı, bir QSA veya bir üye işyerinin dahili nitelikli denetçisi tarafından tamamlanır ve üye işyerinin PCI DSS ile uyumluluk durumunun bir beyanı olarak hizmet eder. Tüccarlara veya hizmet sağlayıcılara yönelik AOC şablonunu PCI SSC belge kitaplığında bulabilirsiniz.

Gerekli belgeleri gönderin.

SAQ’yu alıcınıza veya kart ağına göndermelisiniz. QSA, ROC ve AOC’yi alıcıya veya kart ağına gönderir. Gönderdikten sonra sizden başka belgeler hazırlamanız veya gönderdiğiniz belgeleri güncel bir raporla revize etmeniz istenebilir.

PCI DSS uyumluluğunuzu periyodik olarak yeniden değerlendirin.

PCI DSS uyumluluğunu sürdürmek için her kuruluşun her yıl yeni bir doğrulama yapması ve gerekli belgeleri tamamlaması ve göndermesi gerekir. Ancak bu aynı zamanda sürekli bir süreçtir: kuruluşların, fiziksel işletmeyi çevrimiçi ortama taşıma veya yeni bir müşteri destek hizmeti ekleme gibi ödeme kartı verilerini içeren her yeni güncellemede veya PCI’de yeni bir güncelleme olduğunda PCI DSS uyumluluğunu yeniden değerlendirmesi gerekir.

PCI DSS Uyumlu Olmanın Maliyetleri

PCI DSS uyumlu hale gelmenin ve sertifikayı yıllar boyunca sürdürmenin maliyetleri, kuruluşunuzun uyumluluk düzeyine ve aynı zamanda kuruluşunuzun kurulumuna bağlıdır:

İş Boyutu. Daha büyük kuruluşların daha fazla süreç, teknoloji, personel ve kart sahibi verisini yönetmesi gerekir, bu da uyum açıkları için daha fazla potansiyel olduğu anlamına gelir.

Gerekli eğitim ve politikalar. Kart sahibi verilerini işleyen personelin gerekli eğitime ihtiyacı vardır. Bazı durumlarda, kuruluşların, çalışanların ihtiyaç duyulan gereksinimleri anlamalarına ve bunlara yanıt vermelerine yardımcı olmak için dış yardıma ihtiyacı vardır. Her yeni çalışan, eğitim maliyetlerini artırabilir veya daha ayrıntılı politika ve prosedürler gerektirebilir.

Ağ ortamı. Kuruluşunuzun ağının tasarlanma şekli, PCI DSS uyumluluk maliyetlerini etkileyebilir. Ağ segmentasyonu, ilgili maliyetlerin bir kısmını azaltmanıza yardımcı olabilir. Kart sahibi verileri ortamını şirket ağının geri kalanından yalıtarak, PCI DSS değerlendirmesinin kapsamını ve maliyetini, PCI DSS kontrollerini sürdürme maliyetini ve çabasını ve kuruluşun riskini azaltırsınız. Kart sahibi verileri, daha az ve daha kontrollü konumlarda birleştirilir ve harici ağlarla iletişim kuramaz. Örneğin, 100 sunuculu düz bir ağda (ağ segmentasyonu yok), tüm sunucular denetim kapsamına açıktır. Yalnızca 4 sunucunun kart sahibi verileri içerdiğini varsayarsak, bu sunucuları bölümlere ayrılmış bir ağda yalıtarak PCI DSS değerlendirmesinin kapsamını %96 oranında azaltırsınız.

Seviye 1 tüccarlar, QSA denetimlerinin gerekli gereksinimleri nedeniyle genellikle daha yüksek maliyetleri öder, üç ayda bir güvenlik açığı taramaları, sızma testi, politika geliştirme ve yazılım ve donanım güncellemeleri ekler.

Kart sahibi verilerinin korunmasıyla ilgili bazı etkinlikleri değiştirmeyi seçebilsenizde, kuruluşunuzda bir PCI DSS değerlendirmesinden geçmekten tamamen özgür değilsiniz.

İşletmeniz kart ödemelerini kabul ediyorsa, PCI DSS’ye uymak yine de kuruluşunuzun sorumluluğundadır. Kuruluşunuzun gereksinimlerle uyumlu olduğunu kanıtlamanız, ödeme sağlayıcılarınızın da PCI standartlarına uygun olduğunu doğrulamanız ve değerlendirmeleri her yıl ve gereksinimlerde değişiklik olduğunda tekrarlamanız gerekir.

PCI DSS uyumluluk yolculuğunuzun başlangıcındaysanız, öncelikle kuruluşunuzun mevcut ve gelecekteki ihtiyaçlarına bir göz atmanızı öneririz. Kart sahibi verilerinin işlenmesi, saklanması ve iletilmesi faaliyetlerinde yer alan tüm kişileri, süreçleri ve teknolojileri belirleyin ve dahili olarak hangi değişikliklerin ve stratejilerin uygulanabileceğine karar verin. Ardından, uyumluluk gereksinimlerinizi karşılamak için hangi öğelerin dış yardıma ihtiyaç duyacağını anlayın ve uygun sağlayıcıları araştırın.