PCI DSS UYUMUNUN ÖNEMİ NEDİR VE ADIMLARI NELERDİR?

PCI DSS UYUMLULUĞU

Para ile takas ekonomisinin uygulanmaya başladığı dönemden bugüne gelindiğinde artık hizmet ve mal alış-verişinde para yerine geçen üzerimizde taşımamıza gerek olmayan değerlerin kullanımına geçilmiştir. Böylece insanlık, üzerinde metal para ya da kâğıt para taşıma ihtiyacının olmamasının verdiği rahatlık ile bütün alış-verişini yapabilir hale gelmiştir.

DEVLETLERİN DURUMA BAKIŞ AÇISI

Bu yeni durum devletler açısından da apayrı bir değer oluşturmuştur. Sürecin global tarafını göz ardı ederek sadece Türkiye açısından değerlendirdiğimizde, yasa ve regülasyonlar ticareti ve para hareketlerini izlenebilir yapmak için, önce ticari alış-verişleri limit kısıtlamalarıyla bankalar üzerinden yapmaya zorlamış, ardından ücretlerin ödenmesi şeklini bankalar üzerinden olacak şekilde düzenleyerek kişilerin gelirlerinin de elektronik ortamda oluşmasını sağlamıştır.

ELEKTRONİK TİCARETE GİDEN YOLDA ZORLUKLAR

Uzunca bir süredir bankalar tarafından sağlanan kredi kartlarıyla POS cihazları üzerinden yapılan alış-veriş gelirin de bankalara taşınmasıyla daha da yaygın hale gelmiştir. POS cihazları ile yapılan ve alıcı ve satıcının karşı karşıya geldiği alış-veriş hızla gelişirken e-ticaret siteleri üzerinde yapılan alış-veriş büyük kolaylıklar sağlamasına rağmen çok uzun yıllar beklenen seviyede yaygın kullanıma ulaşmamıştır. Bu durumun oluşmasındaki en temel sebep elektronik ortamda yaygın olarak meydana gelen veri ihlalleri sebebiyle kullanıcıların sıklıkla zarara uğraması olmuş ve elektronik ticaretin önünde çözüm bekleyen önemli bir konu olarak ortaya çıkmıştır.

PCI ORGANIZASYON OLUŞUMU

Elektronik ticareti daha güvenli hale getirebilmenin yöntemini geliştirmek üzere American Express, Discovery, JCB, Mastercard ve Visa olmak üzere bir araya gelen kredi kartı kuruluşları tarafından oluşturulmuş bir organizasyon olan PCI (Payment Card Industry) tarafından bazı kurallar geliştirilmiş ve bu kurallar PCI DSS (Payment Card Industry Data Security Standard) olarak adlandırılmıştır.

PCI DSS bilgi güvenliği standardı, ödeme kartı sahtekarlığını önlemeye yardımcı gereksinimleri belirler. PCI DSS, kart sahibine ilişkin verileri işleyen, ileten ya da bulunduran tüm tacir ve hizmet sağlayıcılar için uyumluluğu zorunlu olan bir standarttır.

PCI DSS KONTROL LİSTESİ

PCI DSS uyumluluğu için sağlanması gereken 12 temel gereksinim vardır ve PCI SSC (Payment Card Industry Security Standards Council)'ye göre, kuruluş PCI DSS uyumluluk kontrol listesinin bir parçası olarak aşağıdaki maddeleri sağlamalıdır.

1. Firewall kullanılması ve bakımının yapılması
2. Uygun parola korumasının sağlanması
3. Kart sahibi verilerini korunması
4. İletilen verileri şifreli olması
5. Anti-virüs kullanılıyor ve bakımının yapılıyor olması
6. Güncel yazılım kullanımı
7. Veri erişiminin kısıtlanmış olması
8. Erişim için benzersiz kimlikler oluşturulması
9. Fiziksel erişimin kısıtlanmış olması
10. Erişim günlüklerinin oluşturuluyor ve takip ediliyor olması
11. Güvenlik açıklarını taranıyor ve test ediliyor olması
12. Tüm Sürecin belirlenmiş olması (Süreç 3 temel aşamadan oluşur; analiz, iyileştirme ve belgeleme)

PCI DSS gereksinimlerini yerine getirmiş ve uygunluğuna ilişkin belgelendirilmiş kuruluşlar.

Veri ihlallerinin önlenmesi açısından; ödeme sistemlerine ilişkin güvenlik risklerini en aza indirmiş olurlar. Uyumluluk yönetimi özellikle hassas müşteri verilerini işleyen ve depolayan kuruluşlar için BT alt yapısı oluşturulması aşamasında önemli bir husustur. Bu tür işletmelerin güçlü Firewall ve encryption çözümü kullanmaları gerektiğinden ve kart sahibi bilgilerini saklamalarına müsaade edilmediğinden siber suçlar için daha az değerli bir hedeftir.

Müşteri güveninin oluşturulması açısından; satın alma anında ödeme ekranına girilen kart bilgilerinin işleme koyulacağından emin olunması, güvenli ödemeler için uluslararası standartlara uyumluluğun belgelenmesiyle müşterilere garanti edilir ya da kanıtlanır. Böylece müşteriler kendinin güvende olduğunu hissederek alış-verişlerini tamamlarlar. Güven olmayan ortamda alış-veriş olmaz.

PCI DSS uyumluluğunun belgelendirilmiş olması, her müşteri adayına bu standardın bütün gerekliliklerinin karşılandığı ve kendisine ait finansal verilerin sızmasına dair ihtimalin en düşük olasılık olduğunun mesajını verir.

PCI DSS uyumluluk gereksinimlerinin yerine getirilmiş ve denetimler neticesinde bu durumun “PCI DSS Uyumluluk Belgesi” ile belgelendirilmiş olması kötü ihtimalin gerçekleşmesi durumunda işletmeyi uygulanacak yaptırımlardan korur.

SEVİYELERE GÖRE PCI DSS UYUMLULUĞU

Level 1

Büyük kuruluşlar. Bir yıl içerisinde 6.000.000 işlem adetinden fazla işlem yapan kuruluşlar için uyumluluk seviyesidir.

Servis sağlayıcılar. Bir yıl içerisinde 300.000 işlemden daha fazla işlem yapan kuruluşlar için uyumluluk seviyesidir.

Level 2

Orta ölçekli kuruluşlar. Bir yıl içerisindeki işlem hacmi 1.000.000 ile 6.000.000 arasında olan kuruluşlar için uyumluluk seviyesidir.

Servis sağlayıcılar. Bir yıl içerisinde 300.000 işlem hacminden az yapan kuruluşlar için uyumluluk seviyesidir.

Level 3

Küçük ve orta ölçekli kuruluşlar. Bir yıl içerisindeki işlem hacmi 20.000 ile 1.000.000 arasında olan kuruluşlar için uyumluluk seviyesidir.

Level 4

Daha küçük kuruluşlar. Bir yıl içerisindeki işlem hacmi 20.000 adetten az olan kuruluşlar için uyumluluk seviyesidir.