PCI DSS, “Payment Card Industry Data Security Standard” kelimelerinin kısaltmasıdır. PCI DSS, ödeme kartı işlemlerinde kullanılan verilerin korunması için belirlenmiş bir dizi güvenlik standartlarıdır. Bu standartlar, kredi kartları, banka kartları, ATM kartları ve diğer ödeme kartları gibi kart tabanlı işlemler için geçerlidir.
PCI DSS, Amerika Birleşik Devletleri’nde Visa, Mastercard, Discover, JCB ve American Express tarafından geliştirilmiştir. Standartlar, ödeme kartı işlemlerinde kullanılan verilerin gizliliğini, bütünlüğünü ve güvenliğini korumak için tasarlanmıştır.
PCI DSS Sertifikasyonu Nedir?
PCI DSS sertifikasyonu, bir organizasyonun PCI DSS gereksinimlerini karşıladığını doğrulayan bir sertifikadır. PCI DSS sertifikasyonu, bir organizasyonun müşteri verilerinin güvenliği ve korunması konusunda taahhütte bulunduğunu gösterir.
PCI DSS sertifikasyonu, bir organizasyonun ödeme kartı işlemlerinde kullanılan verileri güvence altına almak için gereken önlemleri aldığını belgeleyen bir işlemdir. Sertifikasyon, bir organizasyonun güvenlik politikaları, prosedürleri, sistemleri ve uygulamalarının uygunluğunu doğrular.
PCI DSS sertifikasyonu, müşterilerin güvenini kazanmak ve ödeme kartı bilgilerinin güvenliği konusunda güvence vermek için önemlidir. Sertifikasyon aynı zamanda, ödeme kartı şirketleri ve diğer işletmelerle iş yapmanızı sağlar.
PCI DSS seviyeleri nelerdir?
PCI DSS’nin 4 seviyesi vardır ve her seviye, işletmenin yılda ne kadar işlem yaptığına ve bu işlemlerin nasıl gerçekleştirildiğine bağlı olarak belirlenir. Bu seviyeler şunlardır:
Seviye 1: Yılda en az 6 milyon işlem veya daha fazla işlem yapan herhangi bir işletme bu seviyeye girer. Bu seviyedeki işletmeler, en yüksek gereksinimleri karşılamak zorundadır ve bir dış denetimci tarafından her yıl denetlenir.
Seviye 2: Yılda 1 ila 6 milyon arasında işlem yapan işletmeler bu seviyeye girer. Bu seviyedeki işletmeler de, Seviye 1 işletmeleri kadar yüksek gereksinimleri karşılamak zorundadır, ancak denetimlerini bir dış denetimci yerine kendileri gerçekleştirir.
Seviye 3: Yılda 20.000 ila 1 milyon arasında işlem yapan işletmeler bu seviyeye girer. Bu seviyedeki işletmeler, Seviye 1 ve Seviye 2 işletmelerine göre daha az gereksinime sahiptir, ancak yine de bir dış denetimci tarafından denetlenirler.
Seviye 4: Yılda 20.000 veya daha az işlem yapan işletmeler bu seviyeye girer. Bu seviyedeki işletmeler, en az gereksinimleri karşılamak zorundadır ve herhangi bir dış denetimci tarafından denetlenmezler, ancak kendi iç denetimlerini gerçekleştirmeleri gerekmektedir.
Her seviyedeki işletme, kredi kartı verilerinin güvenliğini sağlamak için belirli gereksinimleri karşılamak zorundadır. Bu gereksinimler, ağ güvenliği, fiziksel güvenlik, veri saklama, şifreleme, güvenlik yönetimi ve diğer konuları içerir.
SAQ-D Nedir?
SAQ-D (Self-Assessment Questionnaire D) PCI DSS uyumluluğunu sağlamak için kullanılan bir öz değerlendirme aracıdır. SAQ-D, bir işletmenin kredi kartı işlemleri yaparken sadece sanal terminal kullanması durumunda uygulanan bir değerlendirme türüdür.
SAQ-D, ödeme kartı verilerinin güvenliğini sağlamak için gerekli önlemleri almış olan işletmelerin öz değerlendirme sürecine yardımcı olur. Bu işletmeler, ödeme kartı verilerini kendi bilgisayarları üzerinde saklamazlar, ancak bir sanal terminal aracılığıyla işlem yaparlar. Bu işletmeler, fiziksel POS (Point of Sale) cihazlarını kullanmayan veya POS cihazlarına erişimi olmayan işletmelerdir.
SAQ-D, bir dizi soru içerir ve bu sorular işletmenin kredi kartı verilerinin güvenliğini sağlamak için hangi önlemleri aldığını belirlemeyi amaçlar. Bu önlemler, ağ güvenliği, veri saklama, güvenli şifreleme, personel eğitimi ve diğer güvenlik önlemlerini içerir.
SAQ-D’yi tamamlamak, işletmenin PCI DSS uyumluluğunu doğrulamak için gereklidir. İşletmeler, PCI DSS gerekliliklerini tam olarak karşıladıklarından emin olmak için öz değerlendirme sürecinden önce bir dış denetimci ile görüşebilirler.
PCI DSS Sertifikasyonu Nasıl Alınır?
PCI DSS sertifikasyonu almak için, bir organizasyonun önce PCI DSS gereksinimlerini karşılaması gerekmektedir. Gereksinimler, şunları içerir:
- Ağınızı güvence altına alın: Ağınızı güvenli hale getirmek için uygun güvenlik önlemleri alın.
- Veri saklama ve işleme uygulamalarınızı inceleyin: Ödeme kartı bilgilerinin güvenliği konusunda uygun prosedürler ve yönergeler benimseyin.
- Yazılım ve donanım güncellemelerini takip edin: Güvenlik açıklarını önlemek için yazılım ve donanım güncellemelerini takip edin.
- Ağ trafiğini izleyin: Ağ trafiğini izleyin ve anormal etkinlikleri tespit etmek için güvenlik incelemeleri yapın.
- PCI DSS gereksinimlerini sıkı bir şekilde takip edin: PCI DSS gereksinimlerini takip edin ve düzenli olarak uygunluğunuzu test edin.
- Sistemlerinizi düzenli olarak test edin: Sistemlerinizi düzenli olarak test edin ve güvenlik açıklarını tespit etmek için penetre testleri yapın.
PCI DSS sertifikasyonu almak için, bir organizasyonun uygunluk incelemelerini tamamlaması ve bir sertifikasyon kuruluşuna başvurması gerekir. Sertifikasyon kuruluşları, bir organizasyonun uygunluk düzeyini test eder ve uygunluk açıklarını tespit eder.
Sertifikasyon kuruluşları, uygunluk testleri sırasında organizasyonunuzun iş süreçlerini, prosedürlerini, sistemlerini ve uygulamalarını gözden geçirir. Kuruluşlar, uygunluk düzeyini değerlendirmek için ayrıca penetrasyon testleri ve diğer güvenlik testleri yaparlar.
PCI DSS sertifikasyonu almak, bir organizasyonun ödeme kartı işlemlerinde kullanılan verilerin güvenliği konusunda müşterilere ve iş ortaklarına güvence vermesini sağlar. Sertifikasyon, organizasyonların müşteri güvenini kazanmalarına ve işletme risklerini azaltmalarına yardımcı olur.
Sonuç olarak, PCI DSS sertifikasyonu, ödeme kartı işlemlerinde kullanılan verilerin güvenliği ve korunması konusunda bir organizasyonun tanımladığı kurallar bütünür. Bu kurallar sayesinde güvenli bir şekilde kartlı ödeme sistemlerini kullanabiliyoruz.
Bu sebeple ödeme sistemleriniz için PCI DSS Sertifikasyon süreçleini başlatmakta geç kalmayın.