PCI DSS Nedir?
Ödemeleri kartlar ve diğer elektronik araçlarla işleyenlerin güvenlik önlemlerini daha güçlü şekilde alması gerekmektedir. Sahtecilik, dolandırıcılık, siber saldırı gibi riskleri azaltmak için Ödeme Kartı Endüstrisi ve Güvenlik Standartları Konseyi; şirketleri ve tüketicileri güvende tutmak için küresel güvenlik standartlarına kontrol mekanizmaları kurmuştur. PCI DSS de bu oluşumun adıdır.
PCI DSS açılımı dediğimizde Payment Card Industry Data Security Standard şeklindedir. Ödeme Kartı Sektörü Veri Güvenliği Standardı anlamına gelen PCI DSS nedir dediğimizde ise özetle; kredi, banka ve nakit kartı işlemlerinin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanımına karşı korumayı amaçlayan bir dizi politika ve prosedürdür.
PCI DSS 2004 yılında MasterCard, Visa, American Express, Discover ve JCB International tarafından ortaklaşa kurulmuştur. İşletmelerin PCI DSS sertifikası alması ise tüketiciye güven vermesi ve ödeme işlemlerini koruma altına alması açısından gereklidir.
PCI DSS Güvenli Ödeme Sistemi Nasıl İşler?
PCI DSS, sistemi yukarıda belirttiğimiz bankaların işbirliği ile hazırlanan konsey tarafından yakından izlenmektedir. Burada amaç, kart ödemelerinin belirlenen düzeye uygun korumalara tabi olmasını sağlamaktır. Sisteme dahil olmak PCI DSS sertifikası adı verilen uygunluk onay formu doldurulmalıdır. Bu form uyarınca sisteme dahil olmak isteyen işyeri ya da e- ticaret şirketi sahipleri üç aylık periyotlarla gerçekleştirilen bir ağ taramasına tabi tutulmaktadır.
PCI DSS sertifikası almak için başvurduğunuz uygunluk onay formu değerlendirmesi şirketinizin özelliklerine değişiklik göstermektedir. Her şirketin,e- ticaret firmasının aynı değerlendirmeye tabi tutulmasındaki belirleyici unsur, işlem hacmi yani para girdisidir. PCI DSS level 1 olarak geçen, seviye bir kapsamındaki kuruluşlar için QSA ya da ISA değerlendirmesi yapılır. QSA (Qualified Security Assessor) Nitelikli Güvenlik Derecesi olarak adlandırılırken, ISA (Internal Security Assessor) Dahili güvenlik derecesi anlamına gelir. Yapılan derecelendirmeler, bir dış denetim mekanizması oluşturarak, güvenlik seviyenizin tarafsız bir biçimde değerlendirilmesi için uygulanmaktadır.
PCI DSS Güvenlik Politikalarının Kapsamı Nedir?
Günümüzde gelişen e-ticaret sektöründe online ödeme sistemlerinin küresel çapta korunmaya alınmasını sağlayan Ödeme Kartları Sektörü Veri Güvenliği Standartları ödemelerin güvenle yapılmasını sağladığı gibi kart bilgilerinin de güvenle saklanmasını sağlayan çeşitli prosedürler içermektedir.
PCI DSS’nin hangi amaçlar etrafında toplandığında ilişkin bazı başlıkları aşağıda açıkladık.
Sağlam güvenlik duvarlarıyla sahteciliğin önlenmesi: PCI DSS güvenli bir ağ sistemi için şirketlerin güvenlik duvarı oluşturmaları konusunda destekler. Şirketler güçlü güvenlik duvarları sayesinde sahtecilik, dolandırıcılık gibi güvenlik tehditlerinin önüne geçmektedir.
Kart sahibi bilgilerinin korunması: Dijital şifreleme, tüm kredi kartı işlemlerinde özellikle de e-ticaretin kilit noktasıdır. PCI DSS kart sahiplerinin; şifreler, doğum tarihi, anne kızlık soyadı, telefon numaraları ve posta adresleri gibi kişisel bilgilerin güvenle saklanması için yol haritası sunmaktadır. Böylece PCI DSS uyumlu şirketler kötü niyetli kişilerin eline geçmesi korunurken güvenlik açıklarının da önüne geçmektedir.
Güvenlik süreçlerinin ve güncellemelerinin sorunsuz yürütülmesi: Tüm güvenlik önlemlerinin ve süreçlerinin yerinde olduğundan, düzgün çalıştığından ve güncel tutulduğundan emin olmak için ağlar sürekli olarak izlenmeli ve düzenli olarak test edilmelidir. Örneğin, virüsten koruma ve kötü niyetli yazılımdan koruma programları en güncel programlarla sağlanmalıdır.
Güvenlik politikasının tüm uyumlu kuruluşlar tarafından uygulanması: PCI DSS uyumlu kuruluşlar resmi bilgi güvenliği politikası ve prosedürlerini uygulamalıdır.
PCI DSS Denetimleri Nelerdir?
PCI DSS uyumlu şirketlerin tam donanımlı bir koruma için yapması gereken bazı düzenlemeler mevcuttur. Yukarıda kapsamından bahsettiğimiz PCI DSS güvenlik politikaları kapsamında şirketlerden beklentileri mevcuttur. Aşağıda birkaçını maddeler halinde açıkladık.
Güvenli ağları ve sistemleri korumak, kart sahibi verilerini korumak için güvenlik duvarlarının kurulması.
Varsayılan veya satıcı tarafından sağlanan cihaz güvenlik yapılandırmalarını değiştirilmesi
Ödeme kartı ve kart sahibi verilerini korunması
Saklanan kart sahibi verilerinin de şirket sunucularında korunmasının sağlanması
Kart sahibi verilerini korumak için virüsten koruma yazılımlarının güncellenmesi
Tüm uygulamalarda güvenli protokoller ve davranışlar geliştirilmesi
Kimlik ve erişim yönetiminin korunması
Kart sahibi verilerine tüm erişimin kimliği doğrulanmış kullanıcılarla sınırlanması
Ağ trafiğinin ve etkinliğinin düzenli olarak kontrol edilmesi
Ağ kaynaklarına, özellikle kart sahibi verilerine erişimin izlenmesi Mevcut güvenlik sistemlerinin ve süreçlerinin etkinliğinin düzenli olarak değerlendirilmesi Güvenlik politikasına uyulması ve sürdürülmesi
PCI DSS Uyumluluğu Nedir?
PCI DSS uyumluluğu olan kuruluşlar e-ticarette güvenli ödemeyi garanti eden hem işletme hem de tüketici güvenliğini sağlayan bir süreç olarak karşımıza çıkmaktadır. PCI DSS uyumluluğu olan kuruluşların e-ticarette sunduğu güvencelerden birkaçını şöyle sıralayabiliriz;
Ödeme Güvenliği: Ödeme hizmetleri ve çözümleri sunan kuruluşlar PCI DSS uyumlu altyapısı sayesinde online ödeme hizmetlerinde, kart ve kişisel verilerin korumasını büyük bir titizlikle sağlamaktadır.
Sahteciliğin önüne geçme: Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumlu olan kuruluşlar online ödemelerde dolandırıcılığın ve sahteciliğinin maksimum düzeyde önüne geçmektedirler. Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumlu teknik altyapısı olan ödeme kuruluşları çok sayıda filtreleme özelliği ile güvenliği en üst seviyede tutmaktadır.
Kart güvenliğini sağlama: SSL sertifikalı ödeme sayfaları PCI DSS uyumluluğu ile birlikte 7/24 güvenli bir ortamda kartlı ödemelerle online olarak ödemelerini gerçekleştirmektedir.
PCI DSS Sertifikası Nasıl Alınır?
PCI DSS politikası standartlarının hazırlandığı bankalar tarafından yakından takip edilmektedir. İlgili prosedür ve politikalara uyup uyulmadığı sürece kontrole tabi tutulmaktadır. Böylece her daim hem yerel hem de küresel çapta kartlı online ödemelerde güvenli bir ödeme ortamı oluşturulmaktadır.
PCI DSS uyumluluğuna sahip olmak için PCI DSS sertifikası adı altında bir uyumluluk sertifikası alınmalıdır. Öncelikle uygunluk onay formu doldurulmalıdır. Doldurulan formdan sonra başvurunuz değerlendirmeye alınmaktadır. Bu form uyarınca sisteme dahil olmak isteyen işyeri ya da e- ticaret şirketi sahipleri üç aylık periyotlarla gerçekleştirilen bir ağ taramasına tabi tutulmaktadır.
İşletme özelliklerine göre PCI DSS başvuru değerlendirme segmentleri değişiklik göstermektedir. Sertifikalara bakıldığında; PCI DSS level 1, QSA (Qualified Security Assessor), ISA (Internal Security Assessor) gibi değerlendirmeler yapılmaktadır.
PCI DSS Sertifikası E-ticaret Siteleri için Neden Önemlidir?
Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumluluğu olan işletmeler, online ödeme yapan tüketicilere güvenli bir ortamda alışveriş yapma imkanı sağlamaktadır. PCI-DSS politikası küresel alanda güvenli sistemler sunduğundan işletmelere e-ticaret ve e-ihracat konusunda dönüşümlerini ve büyümelerini artırmada katkılar sunmaktadır.