PCI DSS Nedir?
Ödeme Kartı Sektörü Veri Güvenliği Standardı anlamına gelen PCI DSS, kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten TÜM şirketlerin güvenli bir ortam sağlamasını sağlamak için tasarlanmış bir dizi güvenlik standardıdır. Daha anlaşır bir dil ile söylemek gerekirse; kredili işlemler, banka ve nakit kartı işlemlerinin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanımına karşı korumayı amaçlayan politika ve prosedürler bütünüdür diyebiliriz.
Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC), Ödeme Kartı Sektörü (PCI) güvenlik standartlarının devam eden gelişimini, işlem süreci boyunca ödeme hesabı güvenliğini geliştirmeye odaklanarak yönetmek için 7 Eylül 2006’da başlatıldı. PCI DSS, başlıca ödeme kartı markaları (Visa, MasterCard, American Express, Discover ve JCB.) tarafından oluşturulmuş bağımsız bir kuruluş olan PCI SSC (www.pcisecuritystandards.org) tarafından takip edilir ve yönetilir. Uyumluluğun uygulanmasından PCI konseyinin değil, bizzat ödeme markalarının ve alıcılarının sorumlu olduğunu unutmayalım. Küçük çaplı bir işletme veya hizmet sağlayıcının gerçekleştirdiği kredi kartı işlemlerinin miktarından bağımsız olarak, PCI DSS ’e uymaları gerekir.
Bu durumda bankalar, firmalardan PCI DSS şartlarını yerine getirmek adına talepte bulunabilirler. Son yıllarda artan kart bilgisi işleme nedenleriyle alıcı (acquirer) bankalardan böyle bir talep almanız olağanlaşmıştır. Bankalar artan güvenlik tehditlerini azaltmak, sistemlerindeki kart sahibi (cardholder) bilgilerine zarar gelmemesi adına, iş birliği yaptığı firmalardan PCI DSS standartlarına uymasını beklemektedir. Aracı firmalar kart bilgilerini kaydetmeyip sistem üzerinde işleyerek kullansa bile, bankalar sistemlerinin ve müşterilerinin güvenliği için iş ortaklarından PCI DSS standartlarına uymalarını isteyecektir. Kart bilgilerini tutmayan aracı firmalar, buradaki sorumluluktan tam anlamıyla kurtulmuş olmuyor. İletilen datanın güvenliği başta olmak üzere, PCI DSS bu iletişim altyapısının ve hizmetin tamamen güvenli bir yapıda olmasını amaçlıyor. Bu yüzden bu tarz sorgulamalara maruz kalmamak ve sistem altyapınızın gerçekten PCI DSS gerekliliğine uygun olup olmadığını belirlemek adına PCI DSS denetimi yaptırmanız hem sizi hem de alıcı bankaları rahatlatacaktır.
PCI DSS sertifikası almak için başvurduğunuz uygunluk onay formu değerlendirmesi şirketinizin özelliklerine göre değişiklik göstermektedir. Her şirketin, e-ticaret firmasının aynı değerlendirmeye tabi tutulmasındaki belirleyici unsur, işlem hacmi yani para girdisidir. PCI DSS level 1 olarak geçen, seviye bir kapsamındaki kuruluşlar için QSA ya da ISA değerlendirmesi yapılır. QSA (Qualified Security Assessor) Nitelikli Güvenlik Derecesi olarak adlandırılırken, ISA (Internal Security Assessor) Dahili güvenlik derecesi olarak Türkçeye çevrilebilir. Yapılan derecelendirmeler, bir dış denetim mekanizması oluşturarak, güvenlik seviyenizin tarafsız bir biçimde değerlendirilmesi için uygulanmaktadır. Tarafsız bir göz ile değerlendirilen kurumun, güvenlik açıklıklarının ortadan kaldırılması amaçlanmaktadır.
PCI DSS Kapsamı Nedir?
Günümüzde gelişen e-ticaret sektöründe online ödeme sistemlerinin küresel çapta korunmaya alınmasını sağlayan Ödeme Kartları Sektörü Veri Güvenliği Standartları (PCI DSS) ödemelerin güvenle yapılmasını sağladığı gibi kart bilgilerinin de güvenle saklanmasını sağlayan çeşitli prosedürler içermektedir.
PCI DSS’nin ana başlıklar halinde özetlersek, şu amaçlar etrafında toplandığını belirtebiliriz.
Kart sahibi (Cardholder) bilgilerinin korunması: Dijital şifreleme, tüm kredi kartı işlemlerinde özellikle de e-ticaretin kilit noktasıdır. PCI DSS kart sahiplerinin; şifreler, doğum tarihi, anne kızlık soyadı, telefon numaraları, iletişim bilgileri ve e-posta adresleri gibi kişisel bilgilerin güvenle saklanması için yol haritası sunmaktadır. Böylece PCI DSS uyumlu şirketler, bu kritik verilerin kötü niyetli kişilerin eline geçmesini engellerken kendi güvenlik açıklarının da önüne geçmektedir.
Güçlü güvenlik duvarlarıyla sahteciliğin önlenmesi: PCI DSS güvenli bir ağ sistemi için şirketlerin güvenlik duvarı oluşturmaları konusunda destekler. Şirketler güçlü güvenlik duvarları sayesinde sahtecilik, dolandırıcılık gibi güvenlik tehditlerinin önüne geçmektedir. Dışarıdan gelecek saldırılara karşı sistemi ve kart sahibi verisini korumayı sağlar.
Güvenlik süreçlerinin ve güncellemelerinin düzenli yürütülmesi: Tüm güvenlik önlemlerinin ve süreçlerinin yerinde olduğundan, düzgün çalıştığından ve güncel tutulduğundan emin olmak için ağlar sürekli olarak izlenmeli ve düzenli olarak test edilmelidir. Prosedürler kapsamında rutin kontroller ve hata analizleri yapılmalıdır. Örneğin, virüsten koruma ve kötü niyetli yazılımdan koruma programları en güncel programlarla sağlanmalıdır. Yeni gelişen açıklıklara karşı zafiyet bulunmamalıdır.
Güvenlik politikasının tüm uyumlu kuruluşlar tarafından uygulanması: PCI DSS uyumlu kuruluşlar resmi bilgi güvenliği politikası ve prosedürlerini uygulamalıdır.
PCI DSS Neden Gereklidir?
Gün geçtikçe kredi kartları ve elektronik ödeme sistemleri nakit alışverişin önüne geçiyor. İnternet ortamı E-ticaret için açılan çevrim içi mağazalar ile doldu. Birçok e-ticaret firması, bünyesinde onlarca küçük firmayı barındırabilmektedir. Fakat güvenlik sorunu nedeni ile bir online mağaza oluşturarak tam teşekküllü bir satış sistemi kurmak o kadar da kolay değil. Şu anda, ödeme işleme ile ilişkili herhangi bir elektronik ticaret sistemi güvenlik sorunları ile karşı karşıyadır. Maalesef pazar, temel sorunları çözen sınırlı sayıda çerçeve, yazılım sunmaktadır. Artık küçük bir çevrimiçi mağaza bile gizli kullanıcı bilgileriyle çalışacaktır. Ve değerli bilgiler içeren veri tabanlarının davetsiz misafirlerin eline geçme tehlikesi vardır. Böyle bir durumda verisi çalınan kart sahibi ve aracı firma ciddi zararlar görebilir. PCI DSS (Ödeme Kartları Sektörü Veri Güvenliği Standardı) gereksinimleri, altyapıdaki tüm katılımcıların faaliyetlerini ve uyulması gereken kuralların tamamını kapsayarak, tüm bu süreçlerin güvenli bir şekilde ilerlemesini amaçlar.
Sıradan kullanıcıların internet okuryazarlığı yavaş yavaş artıyor, ancak bilgi güvenliği konularında hala çok ciddi sıkıntılarımız var. Genel anlamda, çevrim içi mağazaların müşterilerinin çoğu, https ve http arasındaki farkı zaten anlıyor. Bu, sitedeki güvenli bir sertifikanın bulunmaması konusunda kullanıcıları mümkün olan her şekilde uyaran web tarayıcılarının geliştiricileri tarafından kolaylaştırıldı.
Http sitesine giderken, tarayıcıda kaynağın güvenli bir sertifikası olmadığına dair bir uyarı görüntülenir. Genel olarak, bir kullanıcı böyle bir uyarıyı görmezden gelebilir, ancak tarayıcı ara yüzü, böyle bir işareti gören kişilerin % 80-90’ı siteyi özellikle alış veriş sitesini terk edecektir. Bu, hileli web sayfaları sayısının katlanarak artmasıyla insanları daha haklı konuma getiriyor. Http’nin yavaş yavaş modası geçmiş hale geldiğinden ve kabul edilebilir bir güvenlik düzeyini garanti edemeyeceğinden bahsetmiyoruz bile.
İşte bu kadarlık bir katkı bile, kart sahibinin mağdur olmasının büyük ölçüde önüne geçecektir. Sadece alışveriş yaptığı site ile olan bağlantısının güvenli olmadığını gören kullanıcı, oradan uzaklaşacak ve ilgili e-ticaret sitesini kullanmak istemeyecektir.
PCI DSS bu noktada tamda bu noktada devreye giriyor. Kart sahibinin bağlantı şeklinde başlayarak, tüm sistemin ve süreçlerinin güvenli bir şekilde ilerleyip ilerlemediğini, rutin kontrol ve iyileştirmelerinin yapılıp yapılmadığını kontrol ediyor. Amacı uçtan uca güvenli bir kart sahibi datasını akıtmak ve müşterinin mağdur olmadan alışverişini yapmasını sağlamak. Gelişen teknoloji ile artan açıklıklar ve yeni ortaya çıkan zafiyetlere karşı her iki tarafı da korumak.
Kart sahibi, datalarını kaybettiğinde ciddi maddi zararlara uğrayabilir. Aynı şekilde, banka veya aracı kurumda kaybedilen data sebebiyle ciddi maddi kayıp ve itibar zedelenmesi yaşayacaktır. Sanal ortamda sağlanan kolay, hızlı ve efektif alışveriş piyasası sarsılacak, insanları güvenleri zedelenecektir. Tüm bunların önüne geçmek için en ideal yapı ve oluşum PCI DSS standartlarıdır.
Kurum olarak ihtiyaç duyduğunuz her an PCI DSS çözümlerimiz ile yanınızdayız.