Ödeme Kartı Endüstrisi Veri Güvenliği Standardının kısaltması olan PCI DSS, Visa, MasterCard ve American Express gibi büyük kart sağlayıcıları tarafından 2004 yılında geliştirilen bir dizi güvenlik standardıdır. Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC), banka ve kredi kartı işlemlerini veri hırsızlığı ve dolandırıcılığından korumak için uygunluk düzenini yönetir.

PCI SSC, uygunluğu zorunlu kılacak yasal yetkiye sahip olmasa da, kredi veya banka kartı ödemelerini kabul eden herhangi bir şirket için bir gerekliliktir. PCI sertifikası aynı zamanda hassas verileri ve bilgileri korumanın en iyi yollarından biridir ve işletmelerin müşterileriyle uzun vadeli ve güvenilir ilişkiler kurmasına olanak tanır.

PCI DSS Sertifikası Nedir?

PCI sertifikası, PCI SSC tarafından belirlenen bir dizi gereksinim aracılığıyla işletmenizde kart verilerinin güvenliğini sağlar. Bunlar, güvenlik duvarlarının kurulumu, veri şifreleme ve anti-virüs yazılımının kullanımı gibi iyi bilinen birkaç en iyi uygulamayı içerir. Ek olarak, şirketler kart sahibi verilerine erişimi kısıtlamalı ve ağ kaynaklarına erişimi izlemelidir.

PCI uyumlu güvenlik, müşterilere şirketinizle yaptıkları işlemlerin güvenli olduğunu bildiren bir varlıktır. Buna karşılık, güvenlik açığının hem parasal maliyeti hem de itibara vereceği zarar herhangi bir işletme sahibini veri güvenliğine öncelik vermeye ikna etmek için yeterli olmalıdır. 

Bir veri ihlali, hassas müşteri bilgilerini ifşa ettiğinden, bir işletme için ciddi sonuçlar doğurabilir. Bir ihlal, ödeme kartı veren kuruluşun para cezalarına, davalara, satışların azalmasına ve itibarın ciddi şekilde zarar görmesine neden olabilir.

Bir ihlalin ardından, bir işletme, kredi kartı işlemlerini kabul etmeyi bırakmaya veya uygunluğun ilk maliyetinden daha fazla müteakip masraf ödemeye zorlanabilir. PCI güvenlik prosedürlerine yatırım yapmak, işletmenizi kötü niyetli çevrimiçi aktörlerden korumaya yardımcı olur.

PCI uyumluluğu için 12 gereksinim vardır;

  1. Kart sahibi verilerini korumak için bir güvenlik duvarı kurun.
  2. Satıcı tarafından sağlanan sistem parolalarını ve diğer güvenlik parametrelerini kullanmayın.
  3. Depolanan kart sahibi verilerini koruyun.
  4. Açık, genel ağlarda kart sahibi veri iletimini şifreleyin.
  5. Virüsten koruma yazılımlarını veya programlarını kullanın ve güncel tutun.
  6. Güvenli sistemler ve uygulamalar oluşturun.
  7. Kart sahibi verilerine erişimi, işle ilgili bilmesi gerekenlerle sınırlayın.
  8. Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın.
  9. Kart sahibi verilerine herhangi bir fiziksel erişimi kısıtlayın.
  10. Tüm ağ kaynağını ve kart sahibi verilerine erişimini izleyin.
  11. Güvenlik sistemleri ve prosedürlerini düzenli olarak test edin.
  12. Tüm çalışanlar için bir bilgi güvenliği politikası sürdürün.

 

PCI DSS’in 4 Seviyesi

Daha önce bahsettiğimiz gibi, PCI DSS, kuruluşların ödeme verileri ihlallerini ve kart sahtekarlığını önlemelerine yardımcı olan bir dizi gereksinimdir. Büyük kart markaları arasındaki bu işbirliği, kart ödemelerinin buna göre korunmasını sağlar. Ve bunun için ilk adım, seviyenize bağlı olarak bir değerlendirme, üç ayda bir yapılan bir ağ taraması ve Uygunluk Beyanı Formudur.

Öyleyse, PCI düzeylerine bir göz atalım. Bir kuruluşun yıllık işlemlerinin sayısına bağlı olan dört uyum düzeyi vardır. Birinci seviye 6 milyondan fazla kart işlemi gerçekleştiren satıcıları, ikinci seviye ise yılda 1 ila 6 milyon işlem yapan satıcıları içerir. Diğer iki seviye, nispeten daha küçük işletmeleri kapsar: 20.000 ila 1 milyon işlem içeren 3. seviye ve yıllık 20.000’den az işlem içeren 4. seviye.

 

PCI DSS Seviyenize Nasıl Karar Vermelisiniz?

Satıcılar, satıcı hizmetleri sağlayıcılarıyla çalışarak veya sağlayıcılarının raporlama yazılımlarını kullanarak PCI uyumluluk düzeylerini değerlendirebilirler. Boyut ve kapsam nedeniyle, Seviye 1-3 satıcılarının daha spesifik uygunluk kriterleri vardır. Uyum sürecini takip etmek için dahili BT ve uygulama departmanlarına sahip olma olasılıkları çok daha yüksektir.

Küçük veya orta ölçekli işletme olarak sınıflandıran çoğu üye işyeri 4. seviye olarak sınıflandırılır. Yaptırım kriterleri daha basit olabilse de, dahili bir BT altyapısı yoksa bu işletmelerin gereksinimleri karşılaması zorlaşabilir.

Öz Değerlendirme Anketi

Bir işletmenin tamamlaması gereken Öz Değerlendirme Anketi(Self-Assessment Questionnaire), kısaca SAQ, kart ödemelerini nasıl kabul ettiklerine göre belirlenir. Örneğin SAQ-A, kartsız (eComm veya MOTO) ödemeleri kabul eden, ancak kart sahibi verilerini kendi tesislerinde saklamayan, işlemeyen veya iletmeyen satıcıları ifade eder. SAQ-B, bağımsız bir çevirme terminali kullanan ve elektronik veri depolaması olmayan işletmeler tarafından doldurulmalıdır. Hangi türü kullanacağınızdan emin değilseniz, ödeme sağlayıcınız veya PCI SSC ile iletişime geçin.

PCI DSS Uyumu İçin Neler Yapılmalı?

Seviye 1:

  • Bir Nitelikli Güvenlik Değerlendiricisinin (QSA) yardımıyla yıllık Uyumluluk Raporunu (ROC) doldurun.
  • Onaylı Tarama Tedarikçisi (ASV) ile üç ayda bir ağ taramaları gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 2:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 3:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 4:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

PCI DSS Uyumu ile İlgili Sorunlar

Her şeyden önce, satıcıların uygunluğu sağlamak için tüm gereksinimleri karşılaması gerekir. PCI-DSS standardı, uyumluluğun sağlanması için tümü istisnasız tamamlanması gereken 246 spesifikasyondan oluşur. Her gereksinimde belirtilenlere uymanın yanı sıra, sertifikasyonun 12 aylık süresi boyunca uygunluğun sürdürülmesi zorunludur. Aksi takdirde, satıcılar bir denetim durumunda cezalarla, ve hatta diskalifiye ile karşılaşabilirler.

PCI DSS’in 4 Seviyesi

Daha önce bahsettiğimiz gibi, PCI DSS, kuruluşların ödeme verileri ihlallerini ve kart sahtekarlığını önlemelerine yardımcı olan bir dizi gereksinimdir. Büyük kart markaları arasındaki bu işbirliği, kart ödemelerinin buna göre korunmasını sağlar. Ve bunun için ilk adım, seviyenize bağlı olarak bir değerlendirme, üç ayda bir yapılan bir ağ taraması ve Uygunluk Beyanı Formudur.

Öyleyse, PCI düzeylerine bir göz atalım. Bir kuruluşun yıllık işlemlerinin sayısına bağlı olan dört uyum düzeyi vardır. Birinci seviye 6 milyondan fazla kart işlemi gerçekleştiren satıcıları, ikinci seviye ise yılda 1 ila 6 milyon işlem yapan satıcıları içerir. Diğer iki seviye, nispeten daha küçük işletmeleri kapsar: 20.000 ila 1 milyon işlem içeren 3. seviye ve yıllık 20.000’den az işlem içeren 4. seviye.

PCI DSS Seviyenize Nasıl Karar Vermelisiniz?

Satıcılar, satıcı hizmetleri sağlayıcılarıyla çalışarak veya sağlayıcılarının raporlama yazılımlarını kullanarak PCI uyumluluk düzeylerini değerlendirebilirler. Boyut ve kapsam nedeniyle, Seviye 1-3 satıcılarının daha spesifik uygunluk kriterleri vardır. Uyum sürecini takip etmek için dahili BT ve uygulama departmanlarına sahip olma olasılıkları çok daha yüksektir.

Küçük veya orta ölçekli işletme olarak sınıflandıran çoğu üye işyeri 4. seviye olarak sınıflandırılır. Yaptırım kriterleri daha basit olabilse de, dahili bir BT altyapısı yoksa bu işletmelerin gereksinimleri karşılaması zorlaşabilir.

Öz Değerlendirme Anketi

Bir işletmenin tamamlaması gereken Öz Değerlendirme Anketi(Self-Assessment Questionnaire), kısaca SAQ, kart ödemelerini nasıl kabul ettiklerine göre belirlenir. Örneğin SAQ-A, kartsız (eComm veya MOTO) ödemeleri kabul eden, ancak kart sahibi verilerini kendi tesislerinde saklamayan, işlemeyen veya iletmeyen satıcıları ifade eder. SAQ-B, bağımsız bir çevirme terminali kullanan ve elektronik veri depolaması olmayan işletmeler tarafından doldurulmalıdır. Hangi türü kullanacağınızdan emin değilseniz, ödeme sağlayıcınız veya PCI SSC ile iletişime geçin.

PCI DSS Uyumu İçin Neler Yapılmalı?

Seviye 1:

  • Bir Nitelikli Güvenlik Değerlendiricisinin (QSA) yardımıyla yıllık Uyumluluk Raporunu (ROC) doldurun.
  • Onaylı Tarama Tedarikçisi (ASV) ile üç ayda bir ağ taramaları gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 2:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 3:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

Seviye 4:

  • Yıllık Öz Değerlendirme Anketi’ni (SAQ) doldurun
  • Onaylı Tarama Satıcısı (ASV) ile üç ayda bir ağ taraması gerçekleştirin.
  • Uygunluk Beyanı Formunu doldurun.

PCI DSS Uyumu ile İlgili Sorunlar

Her şeyden önce, satıcıların uygunluğu sağlamak için tüm gereksinimleri karşılaması gerekir. PCI-DSS standardı, uyumluluğun sağlanması için tümü istisnasız tamamlanması gereken 246 spesifikasyondan oluşur. Her gereksinimde belirtilenlere uymanın yanı sıra, sertifikasyonun 12 aylık süresi boyunca uygunluğun sürdürülmesi zorunludur. Aksi takdirde, satıcılar bir denetim durumunda cezalarla, ve hatta diskalifiye ile karşılaşabilirler.

İkinci olarak, sertifikasyon sürecinde organizasyonel baskı vardır. Sözleşmeye bağlı bir gereklilik veya ödeme kartlarını çalıştıran şirketlerin baskısı nedeniyle PCI DSS uyumluluğunu doğrulamaya çalışan işletmeler görmek alışılmadık bir durum değildir. PCI DSS uyum ihtiyacı genellikle şirketin üst yönetiminden gelir ve mümkün olan en kısa sürede sertifikasyonu gerektirir. Bu kısır döngü, yetersiz girişimlere ve gereksinimlere uymada başarısızlığa neden olacaktır.

Son olarak, kapsamın belirlenmesi PCI DSS uyumluluk sürecinin en kritik adımıdır. Bu süreçte şirket, gereklilikleri yerine getirmek için hangi adımların atılması gerektiğini belirler. Uyumluluk elde etmek isteyen işletmeler için PCI DSS, gerçekleştirdikleri veri işlemlerinin miktarına ve türüne bağlı olarak çeşitli derecelendirme seviyelerine sahiptir. Şirketinizin ilk uygunluk değerlendirmesi, etkili bir doğrulama sürecine giden ilk adımdır. Çok dar bir kapsam belirlemek, ödeme kartı verilerini riske atabilirken, çok geniş bir kapsam belirlemek projenin genel maliyetini arttırır.

Kaynakça

https://www.imperva.com/learn/data-security/pci-dss-certification/

https://www.fisglobal.com/en/insights/merchant-solutions-worldpay/article/what-you-need-to-know-about-pci-compliance-levels

https://www.cimcor.com/blog/a-beginners-guide-to-the-pci-compliance-levels

kirkpatrickprice.com/blog/levels-of-pci-compliance/

www.itgovernance.eu/blog/en/a-guide-to-the-4-pci-dss-compliance-levels

cipher.com/blog/top-5-challenges-of-pci-dss-compliance/