PCI-DSS

-

Payment Card Industry Data Security Standard (PCI DSS) Nedir, Standart ve uyumluluğu nasıl sağlanır?


    PCI DSS, Payment Card Industry Data Security Standard, Türkçe'ye Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı (PCI DSS) ifadesi ile geçmiştir. Kredi kartının işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. Bu kurallar PCI (Payment Card Industry) adı verilen ve aralarında American Express, MasterCard Worldwide, Visa, Discover Financial Services, JCB(jcbusa) gibi üyelerin yer aldığı  PCI SSC adı verilen konsey tarafından tarafından geliştirilmekte ve yayımlanmaktadır.


PCI DSS sadece kredi kartı ile işlem yapan üye işyerleri ve bankalar için geçerli olmakla kalmayıp, kart sahibinin bilgilerini gizleyen ya da ileten tüm hizmet sağlayıcılarını da kapsamakta olup uçtan uca şifreleme işlemlerini gerçekleştirmektedir. Bir başka deyişle, kredi kartı sahiplerinin bilgilerini güven altında tutmak için oluşturulmuş PCI DSS standartlarına uymayan firmalar, kredi kartı ile satış yapamazlar. Bu standartlara uymayan firmaların, bir an evvel gerekli güncellemeleri gerçekleştirmesi gerekmektedir. Aksi halde yetkinin durdurulmasına kadar varan yaptırımlarla karşılaşılabilmektedir.

PCI DSS uyumluluğu nasıl sağlanır?

PCI DSS uyumluluğunun sağlanabilmesi için üç temel süreçten geçmek gerekmektedir:

Analiz süreci

  • Kart ödemelerinin işleme nasıl sokulduğunun analizi yapılır.
  • Kart işlemleri esnasındaki tüm veri akışlarının tespit işlemi gerçekleştirilir.
  • Kart sahiplerinin hassas bilgilerinin güvenli bir şekilde kullanılıp kullanılmadığı tespit edilir.
  • Kart sahiplerine ilişkili olarak hangi bilgilerin tutulduğu belirlenir ve bu bilgilerin ne şekilde saklandığı belirlenir.
  • Kart sahibi bilgilerinin üçüncü şahısların eline geçme riskleri araştırılır ve mevcut güvenlik açıklarının taraması yapılır.

İyileştirme süreci

  • Gerekli iyileştirme faaliyetleri gerçekleştirilir.
  • Zafiyet taramasının ardından, tespit edilen güvenlik açıkları kapatılır.
  • Kart sahibi bilgilerinin gerekli haller dışında kullanılmaması sağlanır.

Belgelendirme

  • PCI DSS standardı çerçevesinde, uyum doğrulama gereksinimlerinde belirtilen periyotlarda, standartlara uygun biçimde denetleme ve belgelendirme işlemleri yapılır.

 



Kaynak : 
https://blog.codevist.com/eec28e285d53
https://www.biznet.com.tr/pci-dss-uyumluluk-hizmetleri/

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

T.C. Merkez Bankası, 6493 Sayılı Kanun’da Değişiklik Yapılmasına Dair Kanun Teklifi Taslağı’nı Görüşe Açtı

-
Resim
6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun'da Değişiklik Taslağı      6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para   Kuruluşları Hakkında Kanun (Kanun) 27 Haziran 2013 tarihinde 28690 sayılı Resmî gazete yayınlanan karar ile Ödeme Sistemleri ve Ödeme Hizmetleri alanında bir düzenleme yürürlüğe girmişti. Yürürlüğe giren kanunla Ödeme ve Elektronik Para kuruluşları Kanun ile lisans kapsamına alınmış ve lisanslama süreci 2014 yılında alınan başvurular ile başlamış olup ilk lisanslar Bankacılık Düzenleme ve Denetleme Kurumu ( BDDK ) tarafından 2015 yılı içerisinde verilmeye başlanmıştı. Ödeme ve Elektronik  Para Kuruluşları 2019 yılının sonuna kadar Bankacılık Düzenleme ve Denetleme Kurumu'nun  (BDDK)  düzenlemesi ve denetimi alanında iken 2019 yılının son aylarında çıkarılan 7192 Sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme ve Elektronik P
Devamı

6493 Sayılı Kanunun ikincil düzenlemelerinde Mevzuat 2.0 yayımlandı.

-
Resim
T.C. Merkez Bankası 6493 sayılı Kanun'un düzenlemelerinde değişiklik yaparak Mevzuat 2.0'ı yayınladı.  Ödeme ve Elektronik Para kuruluşları 6493 sayılı kanun ile lisans kapsamına alınmış ve lisanslama süreci 2014 yılında alınan başvurular ile başlamış olup ilk lisanslar Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 2015 yılı içerisinde verilmeye başlanmıştı. Ödeme ve Elektronik Para Kuruluşları 2019 yılının sonuna kadar Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) düzenlemesi ve denetimi alanında iken 2019 yılının son aylarında çıkarılan 7192 Sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme ve Elektronik Para Kuruluşları Hakkında Kanun ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun" (7192 sayılı Kanun) ile  6493 Sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme ve Elektronik Para Kuruluşları Hakkında Kanun"(6493 Sayılı Kanun) da değişiklik yapılarak 01.01.2020 tarihi itibari ile düzenleme ve denetleme yetkisi
Devamı

6493 Sayılı Kanun'un ikincil düzenlemeleri hakkında

-
Resim
  Ödeme ve Elektronik Para Kuruluşlarını düzenleyen ve denetleyen 6493 sayılı Kanun’un ikincil düzenlemeleriyle ilgili Türkiye Cumhuriyet Merkez Bankası (T.C. Merkez Bankası) yaptığı çalışmalar ve denetimler sonucunda yeni düzenleme yapmış ve 01.12.2021 tarihinde yayımlanmıştı. Yayımlanan İkincil Düzenlemeler için kuruluşlara bir yıllık uyum süresi verilmişti. Uyum süreci dolmaya yakın bir sürede T.C. Merkez Bankası tarafından yayımlanan kararlarla Şubat 2023 Yılına ve sonra 2 kez, toplamda 3 olmak üzere uyum süresi için 30.09.2023 tarihine ötelenmişti.  Bu ötelemeler dikkate alındığında Ödeme ve Elektronik Para Kuruluşları yeni bir öteleme beklemekteydi fakat T.C. Merkez Bankası ötelemeyle ilgili bir tebliğ yayınlamadı. 1 Ekim itibariyle yürürlüğe giren ikincil düzenlemelerle ilgili olarak kuruluşların yerine getirmesi gereken yükümlülükler bulunmakta ve onların bir kısmı aşağıda paylaşılmıştır. -           28 Ocak 2023 tarihinde yayımlanan tebliğ ile yeniden değerleme ile belirle
Devamı