PCI-DSS
Payment Card Industry Data Security Standard (PCI DSS) Nedir, Standart ve uyumluluğu nasıl sağlanır?
PCI DSS,
Payment Card Industry Data Security Standard, Türkçe'ye Kartlı Ödeme
Endüstrisi Veri Güvenlik Standardı (PCI DSS) ifadesi ile geçmiştir. Kredi
kartının işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken
mantıksal ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. Bu
kurallar PCI (Payment Card Industry) adı verilen ve aralarında American
Express, MasterCard Worldwide, Visa, Discover Financial Services, JCB(jcbusa) gibi
üyelerin yer aldığı PCI SSC adı verilen konsey tarafından tarafından
geliştirilmekte ve yayımlanmaktadır.
PCI DSS sadece kredi kartı ile işlem yapan üye işyerleri ve bankalar için
geçerli olmakla kalmayıp, kart sahibinin bilgilerini gizleyen ya da ileten tüm
hizmet sağlayıcılarını da kapsamakta olup uçtan uca şifreleme işlemlerini gerçekleştirmektedir. Bir başka deyişle, kredi kartı
sahiplerinin bilgilerini güven altında tutmak için oluşturulmuş PCI DSS
standartlarına uymayan firmalar, kredi kartı ile satış yapamazlar. Bu
standartlara uymayan firmaların, bir an evvel gerekli güncellemeleri
gerçekleştirmesi gerekmektedir. Aksi halde yetkinin durdurulmasına kadar varan
yaptırımlarla karşılaşılabilmektedir.
PCI DSS uyumluluğu nasıl sağlanır?
PCI DSS uyumluluğunun sağlanabilmesi için üç temel süreçten geçmek
gerekmektedir:
Analiz süreci
- Kart ödemelerinin işleme nasıl
sokulduğunun analizi yapılır.
- Kart işlemleri esnasındaki tüm veri
akışlarının tespit işlemi gerçekleştirilir.
- Kart sahiplerinin hassas
bilgilerinin güvenli bir şekilde kullanılıp kullanılmadığı tespit edilir.
- Kart sahiplerine ilişkili olarak
hangi bilgilerin tutulduğu belirlenir ve bu bilgilerin ne şekilde
saklandığı belirlenir.
- Kart sahibi bilgilerinin üçüncü
şahısların eline geçme riskleri araştırılır ve mevcut güvenlik açıklarının
taraması yapılır.
İyileştirme süreci
- Gerekli iyileştirme faaliyetleri
gerçekleştirilir.
- Zafiyet taramasının ardından,
tespit edilen güvenlik açıkları kapatılır.
- Kart sahibi bilgilerinin gerekli
haller dışında kullanılmaması sağlanır.
Belgelendirme
- PCI DSS standardı çerçevesinde,
uyum doğrulama gereksinimlerinde belirtilen periyotlarda, standartlara
uygun biçimde denetleme ve belgelendirme işlemleri yapılır.
Yorumlar
Yorum Gönder