PCI Uyumluluğu, Ödeme Kartı Sektörü Veri Güvenliği Standartlarıyla uyumluluğu ifade eder. Kredi ve/veya banka kartı ödemeleri alan her işletme, kart ödeme bilgilerini koruyan PCI DSS tarafından belirlenen gereksinimleri sağlamalıdır.
E-ticaret web siteleri ve kartlı ödeme işlemlerine izin veren diğer web siteleri PCI DSS’ye uygun olmalıdır. Standart, müşterilerini korumaya yardımcı olmak için Mastercard, American Express ve Visa dahil olmak üzere bir grup büyük kredi kartı şirketi tarafından geliştirilmiştir. Bu gruba PCI SSC (Payment Card Industry Security Standards Council) adı verilir.
PCI SSC Veri Güvenliği Standartlarına Genel Bakış
SSC, PCI DSS’yi destekler ve yeni zorluklar veya potansiyel tehditler ortaya çıktığında müşterilerin korunmasını sürdürmek için gerektiğinde standartların güncellenmesini sağlar. Ayrıca SSC, eğitim ve değerlendirmenin yanı sıra tarama özellikleri sunarak satıcıları ve hizmet sağlayıcıları da destekler.
PCI uyumluluğu doğrulanmalıdır ve bunun nasıl gerçekleştiği, yıllık olarak işlenen işlemlerin hacmine bağlıdır. PCI uyumluluğu yasal bir gereklilik değildir, ancak uyumlu olmayan şirketler, büyük kart ödeme şirketlerini kullanarak kart işlemlerini gerçekleştiremezler.
PCI DSS Uyumluluğu İçin Gereksinimler
PCI DDS’nin listelenen 12 gereksinimi vardır:
- Güvenlik Duvarlarını Kullanın ve Bakımını Yapın: Kart sahibi verilerini korumak için işlem yapılan web sitesinde güvenlik duvarları kurulmalıdır.
- Uygun Parola Korumaları: Parolaları korumak için uygun bir sistem mevcut olmalı ve satıcı tarafından sağlanan verili olanlar kullanılmamalıdır.
- Kart Sahibi Verilerini Koruyun: Bir işletme herhangi bir türde kart sahibi verisini saklıyorsa, kart sahibi verilerini korumak için de yeterli güvenlik önlemlerine sahip olmalıdır.
- Uçtan uca şifreleme (E2EE) : Veriler açık, genel ağlar arasında iletildiğinde, tanınmamasını sağlamak için verileri karıştırmak için şifreleme yazılımı kullanılmalıdır.
- Anti-Virüs Kullanın ve Bakımını Yapın: Kötü amaçlı yazılım saldırılarını önlemeye yardımcı olmak için anti-virüs yazılımı kurulmalı ve bakımı yapılmalıdır. Yazılımların veya anti-virüs programlarının etkin kalmaları için gerektiğinde güncellenmesi gerekir.
- Düzgün Güncellenen Yazılım: İşletmelerin, güncellemelerin zamanında uygulanmaması nedeniyle oluşan güvenlik açıklarını engellemek için güncellemeler kullanıma sunulduğunda yazılımın güncellenmesini sağlamaları gerekir.
- Veri Erişimlerini Kısıtla: Sistemlere yalnızca, temel iş amaçları için verilere erişmesi gereken kişiler olan yetkili personel tarafından erişilebilmesini sağlayacak bir sistem mevcut olmalıdır.
- Erişim için Benzersiz Kimlikler: Ödeme sistemlerine ve verilere erişecek her bireyin benzersiz bir kimliği olmalıdır ve sistemlere erişmek için kullanılan paylaşılan veya genel kimlikler olmamalıdır.
- Fiziksel Erişimi Kısıtla: Sistem açısından yeterli korumanın sağlandığından emin olmanın yanı sıra, kart sahibi verilerine fiziksel erişim de kısıtlanmalıdır.
- Erişim Günlükleri Oluşturun ve Bakımını Yapın: Herhangi biri kart sahibi verilerine eriştiğinde, kaydedilen erişimin bir günlüğü olmalıdır.
- Güvenlik Açıklarını Tarama ve Test Etme: Sistemler, verileri riske atabilecek güvenlik açıkları için düzenli olarak test edilmeli ve herhangi bir tehdit için tarama yapılmalıdır.
- Belge Politikaları: Çalışanlar ve yükleniciler için bilgi güvenliği süreçlerini ve gereksinimlerini ele alan bir güvenlik politikası yürürlükte olmalıdır.
İşletmelerin kullanabileceği tek çözüm bu 12 gereksinimin karşılanmasını sağlayabilir, bu da kapsamlı bir üçüncü taraf veri koruma çözümü kullanmaktır!