PCI DSS Yerinde Denetim Hizmeti

Kart sahibi verilerinin güvenliğini korumak için PCI Security Standards Council, ödeme kartlarıyla çalışan kuruluşların PCI DSS ile uyumluluğu korumasını şart koşar.

Kart sahibi verilerinin güvenliğini korumak için PCI Security Standards Council, ödeme kartlarıyla çalışan kuruluşların PCI DSS ile uyumluluğu korumasını şart koşar. Kart sahibi verilerini depolayan, işleyen veya ileten bir kuruluşsanız, yetkilendirilmiş QSA hizmeti sunan firmamıza, “Bir PCI denetimini nasıl yürütüyorsunuz?” diye soruyor olabilirsiniz.

Bir PCI denetimi, yaklaşık 400 ayrı kontrolden oluşan ve kart sahibi verilerinin işlenmesine dahil olan herhangi bir üye işyeri, hizmet sağlayıcı veya alt hizmet sağlayıcı için işte kalmanın kritik bir parçası olan Ödeme Kartı Sektörü Veri Güvenliği Standardının titiz bir incelemesidir.

Hizmet genellikle, QSA’larımızın PCI DSS programını denetleyen yöneticiler, ağ yönetimi ve kart sahibi sistemlerinde yer alan kilit personel ve şirket prosedürlerinden ve politikalarından sorumlu kişilerle buluşması için yerinde birkaç gün sürer.

 

  • Kapsam Belirleme: Bir görev, kapsamınızın ve uyumluluk gereksinimlerinizin bir ön değerlendirmesiyle başlar.
  • Değerlendirme öncesi bilgi toplama: Bu adım sırasında, PCI DSS QSA’mız ağ tasarımının gözden geçirilmesini, güvenlik politikasının gözden geçirilmesini ve yerinde ziyaret hazırlığını içeren bir ön değerlendirme gerçekleştirecektir.
  • QSA PCI DSS denetimi: Kart sahibi verileri ortamınızın 12 PCI DSS gereksinimine karşı tam bir incelemesini gerçekleştirecek ve kontrollerinizin yerinde olduğuna ve etkin bir şekilde çalıştığına dair kanıt toplayacağız.
  • Tamamlanmış PCI DSS AoC: Tüm iyileştirme öğelerini tamamladıktan sonra, AoC’yi resmi gönderime hazır hale getirmeden önce tamamlanmış RoC’yi dahili QA sürecimize göndereceğiz ve kuruluşunuzun uyumlu olduğunu onaylayacağız.

Kuruluşunuzun tam uyumlu olduğunu doğrulamak için Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi’ne (PCI SSC) resmi bir rapor verecek olan bir QSA tarafından gerçekleştirilmelidir.

PCI Uyumluluk Onayı (AoC), bir kuruluşun PCI DSS uyumluluk durumunu belirten Nitelikli Güvenlik Değerlendiricisi (QSA) tarafından tamamlanan bir onaydır. Bir AoC, bir kuruluşun kart sahibi verilerini korumak için en iyi güvenlik uygulamalarını desteklediğinin belgelenmiş kanıtıdır. Temel olarak bir AoC, kuruluşunuzun geçerli SAQ’yu tamamladığının ve bir QSA tarafından doğrulandığının yazılı bir beyanıdır.

Bir PCI Uyumluluk Raporu (RoC), bir QSA tarafından düzenlenir ve bir kuruluşun güvenlik duruşunu, ortamını, sistemlerini ve kart sahibi verilerinin korunmasını ayrıntılandırır. RoC, yerinde denetim ve kontrollerin gözden geçirilmesini içeren bir QSA tarafından tamamlanan kapsamlı bir değerlendirme yoluyla geliştirilmiştir. Bir denetçi, kontrollerinizi test ettikten ve süreçlerinizin belgelerini elde ettikten sonra, nihai bir RoC ile sonuçlanan bir bulgu özeti geliştirilir.

Her RoC, tüm QSA’lara sağlanan RoC Raporlama Şablonundan türetilen nitelikli bir RoC için PCI Güvenlik Standartları Konseyi’nin spesifikasyonlarına göre düzenlenir. Raporlamanın standardizasyonu, kuruluşunuzun her paydaşa, müşteriye veya ilgili tarafa PCI uyumluluğu durumunuzun net bir temsilini sağlamasına olanak tanır.

CertBy, PCI DSS yerinde denetim (onsite audit) hizmeti vermektedir. Yetkilendirilmiş QSA olarak sağlanan bu hizmet ile AoC (Attestation of Compliance) ve RoC (Report on Compliance) çıktıları üretilir.

6493 sayılı kanun ile Ödeme ve elektronik para kuruluşlarının PCI DSS için gerekli her türlü hizmetini karşılayan firmamız bununla birlikte ISO 27001 danışmanlık, Sızma testi ve güvenli kod geliştirme eğitimleri hizmetlerini de vermektedir. Hizmetlerimiz hakkında daha detaylı bilgi almak için info@certby.com adresimizden ulaşabilirsiniz.