PCI DSS Nedir?
PCI DSS, “Payment Card Industry Data Security Standard” kelimelerinin kısaltmasıdır. PCI DSS, ödeme kartı işlemlerinde kullanılan verilerin korunması için belirlenmiş bir dizi güvenlik standartlarıdır. Bu standartlar, kredi kartları, banka kartları, ATM kartları ve diğer ödeme kartları gibi kart tabanlı işlemler için geçerlidir.
PCI DSS, Amerika Birleşik Devletleri’nde Visa, Mastercard, Discover, JCB ve American Express tarafından geliştirilmiştir. Standartlar, ödeme kartı işlemlerinde kullanılan verilerin gizliliğini, bütünlüğünü ve güvenliğini korumak için tasarlanmıştır. Standartlara uyan ödeme kuruluşları, seviyelerine göre sertifikasyon sahibi olmakta ve güvenli ödeme işlemi yaptıklarını belgelendirmektedirler.
PCI DSS Sertifikasyonu Nedir?
PCI DSS sertifikasyonu, bir organizasyonun PCI DSS gereksinimlerini karşıladığını doğrulayan bir sertifikadır. Sertifikasyon sonunda firma, organizasyonunun müşteri verilerinin güvenliği ve korunması konusunda taahhütte bulunduğunu beyan etmiş olur.
PCI DSS sertifikasyonu, ödeme kartı işlemlerinde kullanılan verileri güvence altına almak için gereken önlemleri aldığını belgeleyen bir işlemdir. Tüm güvenlik adımlarının eksiksiz tamamlandığını, işlem yapacak kart sahibinin güvenle işlemine devam edebiledeğini gösterir. Sertifikasyon, ayrıca organizasyonunun güvenlik politikaları, prosedürleri, sistemleri ve uygulamalarının uygunluğunu doğrular. Süreçleri de inceler ve eksiksiz tamamlanmasını sağlar.
PCI DSS sertifikasyonu, müşterilerin güvenini kazanmak ve ödeme kartı bilgilerinin güvenliği konusunda güvence vermek için önemlidir. Sertifikasyon aynı zamanda, ödeme kartı şirketleri ve diğer işletmelerle iş yapmanızı sağlar.
Bankalar ile iş birliği içinde olan tüm ödeme sistemi sahibi kuruluşlar, PCI DSS sertifikasyonuna sahip olmalıdır. İşlem sayısına göre belirlenecek seviyede sertifikasyon sahibi olan firmalar, güvenli ödeme altyapısına sahip olduklarını da beyan etmiş olurlar.
Data Center gibi bir çok müşteriye aynı alan üzerinden hizmet veren kuruluşlar da bu sertifikasyon sürecine dahildir.
Certby ailesi olarak kurumlarınızın ödeme altyapısını inceleyip, sertifikasyon süreçlerinde tecrübeli ekibimizle hızlıca yardımcı olmaktayız.
PCI DSS Eğitimi
Ödeme kartı işlemlerinde kullanılan verilerin korunması için belirlenmiş bir dizi güvenlik standartları bulunuyor. Bu standartlar Payment Card Industry Data Security Standard (PCI DSS) olarak adlandırılıyor ve 12 ana kontrol hedefinden oluşuyor.
Kurumumuz bu eğitimde öncelikle PCI DSS’in ne olduğu ve neden önemli olduğunu anlatır. Daha sonra 12 ana kontrol hedefi tek tek açıklanır.
Bunlar;
- Güvenlik duvarı kurulumu ve yönetimi
- Standart şifreleme protokollerinin kullanımı
- Kredi kartı bilgilerinin saklanması
- Güncel yazılım ve donanım kullanımı
- Ağ izleme ve testleri yapılması
- Güvenlik açıklarının düzenli olarak tespit edilmesi ve giderilmesi
- Kredi kartı bilgilerine erişimi olan kişilerin sınırlandırılması
- Kredi kartı bilgilerinin güvenli bir şekilde imha edilmesi
- Fiziksel güvenlik önlemlerinin alınması
- İş süreçlerinde güvenlik kontrollerinin uygulanması
- Güvenlik politikalarının belirlenmesi ve uygulanması
- Güvenlik olaylarına müdahale edilmesi
Bu hedeflerin tamamının yerine getirilmesi gerekiyor.
PCI DSS 12 başlık altında, şirketinizin güvenli bir ödeme kuruluşu olup olmadığını doğrular. Süreçlerin tamamını eksiksiz geçen kurumlar, sertifika sahibi olurlar.
Uzun ve zorlu bir süreç olan belgendirme sürecinde, nelerle karşılaşacağınızı önceden biliyor olmak, bunlar için hazırlıklı olmak işlerinizi kolaylaştıracaktır. 12 başlık altında incelenen süreci, daha detaylı izah edelim.
- Güvenlik duvarı kurulumu ve yönetimi: Güvenlik duvarları, ağınızın dış dünyayla iletişimini kontrol etmenizi sağlar. Bu hedefin yerine getirilmesi için güvenlik duvarlarının kurulması ve aktif yönetilmesi gerekiyor. Tüm data akışının, kontrollü bir şekilde bu güvenlik duvarı arkasından yapılması gerekiyor. Gereksiz tüm erişimler kısıtlanmalı.
- Standart şifreleme protokollerinin kullanımı: Kredi kartı bilgilerinin şifrelenmesi gerekiyor. Bu hedefin yerine getirilmesi için standart güçlü şifreleme protokollerinin kullanılması gerekiyor. Şifresiz ve açık bir şekilde kesinlikle data akışı olmamalı.
- Kredi kartı bilgilerinin saklanması: Kredi kartı bilgilerinin saklanması sırasında belirli güvenlik önlemleri alınmalıdır. Bunun sağlanması için kredi kartı bilgilerinin saklanması sırasında belirli güvenlik önlemlerinin alınması gerekiyor. Gerekirse bu işlem için özel olarak üretilmiş cihazlar da tercih edilebilir.
- Güncel yazılım ve donanım kullanımı: Güncel yazılım ve donanım kullanmak, sisteminizin güvenliğini artırır. Bu hedefin yerine getirilmesi için de güncel yazılım ve donanımların kullanılması gerekiyor. Güvenlik açıklıklarının giderilmiş olması ve tüm altyapının en güncel durumda çalışıyor olması gerek.
- Ağ izleme ve testleri yapılması: Ağınızdaki güvenlik açıklarını tespit etmek için düzenli olarak ağ izleme ve testleri yapılmalıdır. Berlirli aralıklarla yapılacak olan ASV taramaları, Penetrasyon testi, internal tarama gibi işlemler ile, ağınızın açıklıklarını sürekli olarak kontrol etmelisiniz. Bulunan açıkların kritiklik durumuna göre hızlıca kapatılması gerek.
- Güvenlik açıklarının düzenli olarak tespit edilmesi ve giderilmesi: Sisteminizdeki güvenlik açıklarının tespit edilmesi ve giderilmesi gerekiyor. Bu hedefin yerine getirilmesi için sisteminizdeki güvenlik açıklarının düzenli olarak tespit edilip giderilmesi gerekiyor. Tarama sonuçları burada ciddi önem arz ediyor. Tarama sonuçları dikkatlice incelenmeli, bi an önce çözüm için uygulamaya koyulmalıdır.
- Kredi kartı bilgilerine erişimi olan kişilerin sınırlandırılması: Kredi kartı bilgilerine erişimi olan kişilerin sayısı mümkün olduğunca azaltılmalıdır. Yetkisiz ve fazla erişimler kapatılmalıdır. Kritik dataya erişimi olan sistem yöneticileri belirlenmeli, sorumlu tutulmalıdır.
- Kredi kartı bilgilerinin güvenli bir şekilde imha edilmesi: Kredi kartı bilgilerinin artık ihtiyaç duyulmadığı durumlarda güvenli bir şekilde imha edilmeleri gerekiyor. PCI DSS sürelerine uygun olarak tutulan veri, süre sonrasında kontrollü olarak imha edilmelidir. İmha edilen veri geri döndürelememelidir.
- Fiziksel güvenlik önlemlerinin alınması: Fiziksel ortamlarda da belirli güvenlik önlemleri alınmalıdır. Kart datasının saklandığı, işlendiği tüm bileşenlerde fiziksel güvenlik önlemleri PCI DSS’in belirttiği şekilde olmalıdır. Kayıt altına alınan, izlenen ve raporlanan bir bütün olarak, fiziksel güvenlik takip edilmektedir. Destek alınan Hizmet Sağlayıcıların da bu kapsama girdiğini düşünürsek, onlarında PCI DSS sertifika sahibi olması, süreçleri hızlandıracaktır.
- İş süreçlerinde güvenlik kontrollerinin uygulanması: İş süreçlerinde de belirli güvenlik kontrollerinin uygulanması gerekiyor. Şirket içi süreçlerin güvenliği, verinin güvenliği demektir. Uygun prosedürler ile takip edilen iç süreçler de, güvenlik kontrolleri aksatılmamaldır.
- Güvenlik politikalarının belirlenmesi ve uygulanması: Güvenlik politikaları, kuruluşunuzun kredi kartı bilgilerinin güvenliğini sağlamak için belirlediği kurallardır. Güvenlik politikalarının belirlenmesi ve uygulanması gerekiyor. Prosedürler ile politikaların güvence altına alınıp, sürekliliği takip edilmelidir.
- Güvenlik olaylarına müdahale edilmesi: Güvenlik olaylarına müdahale etmek, olası bir güvenlik ihlali durumunda doğru adımları atmanızı sağlar. Bu hedefin yerine getirilmesi için güvenlik olaylarına müdahale edebilecek bir ekip veya kişilerin belirlenmesi gerekiyor.
Bu 12 başlık atlında detaylı bir şekilde verilen eğitim, kurumunuzu ve çalışanlarınızı sertifikasyon sürecine eksiksiz hazırlayacaktır. Eğitim ile süreçlerin detayları anlatılıp, her yıl alınması zorunlu olan PCI DSS sertifika süreçleri incelenecektir.