PCI DSS Nedir? Neden Önemlidir?

D

DOKTR1N

Moderatör
1 Tem 2020
1,472
761
Bin atlı akınlarda çocuklar gibi şendik.



E-ticaret sektörü için ödeme sistemlerinin güvenli bir halde gerçekleşmesi fazlaca önemlidir. Ödeme sistemlerinin küresel çapta sorunsuz işlemesine ve küresel çapta veri güvenliğine katkı sunan PCI DSS (Ödeme Kartları Sektörü Veri Güvenliği Standartları) e-ticarette tüketici ödeme veri güvenliği açısından çok önemlidir.



2Bbk67Wi.jpeg

PCI DSS Nedir?

Ödemeleri kartlar ve öteki elektronik çalgılarla işleyenlerin güvenlik önlemlerini daha güçlü şekilde alması gerekmektedir. Sahtecilik, dolandırıcılık, siber saldırı gibi riskleri azaltmak için Ödeme Kartı Endüstrisi ve Güvenlik Standartları Konseyi; şirketleri ve tüketicileri güvende tutmak için küresel güvenlik standartlarına denetim mekanizmaları kurmuştur. PCI DSS de bu oluşumun adıdır.
PCI DSS açılımı dediğimizde Payment Card Industry Data Security Standard şeklindedir. Ödeme Kartı Sektörü Veri Güvenliği Standardı anlamına gelen PCI DSS nedir dediğimizde ise özetle; kredi, banka ve nakit kartı işlemlerinin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanımına karşı korumayı fakatçlayan bir dizi siyaset ve prosedürdür.
PCI DSS 2004 yılında MasterCard, Visa, American Express, Discover ve JCB International tarafınca ortaklaşa kurulmuştur. İşletmelerin PCI DSS sertifikası alması ise tüketiciye güven vermesi ve ödeme işlemlerini koruma altına alması açısından gereklidir.


PCI DSS Güvenli Ödeme Sistemi nasıl İşler?

PCI DSS, sistemi yukarıda belirttiğimiz bankaların ortaklık ile hazırlanan konsey tarafınca yakından izlenmektedir. Burada amaç, kart ödemelerinin belirlenen düzeye uygun korumalara doğal olarak olmasını sağlamaktır. Sisteme dahil olmak PCI DSS sertifikası adında olan uygunluk tasdik formu doldurulmalıdır. Bu form ihtarnca sisteme dahil olmak isteyen işyeri ya da e- ticaret şirketi sahipleri üç aylık periyotlarla gerçekleştirilen bir ağ taramasına tabi tutulmaktadır.

PCI DSS sertifikası almak için başvurduğunuz uygunluk onay formu değerlendirmesi şirketinizin özelliklerine değişim göstermektedir. Her şirketin,e- ticaret firmasının aynı değerlendirmeye doğal olarak tutulmasındaki belirleyici unsur, işlem hacmi kısaca para girdisidir. PCI DSS level 1 olarak geçen, seviye bir kapsamındaki müesseselar için QSA yahut ISA değerlendirmesi yapılır. QSA (Qualified Security Assessor) Nitelikli Güvenlik Derecesi olarak adlandırılırken, ISA (Internal Security Assessor) Dahili güvenlik derecesi anlamına gelir. Meydana getirilen derecelendirmeler, bir dış denetim mekanizması oluşturarak, güvenlik seviyenizin tarafsız bir halde değerlendirilmesi için uygulanmaktadır.



adsiz-834x393.jpg

PCI DSS Güvenlik Politikalarının Kapsamı Nedir?

Günümüzde gelişen e-ticaret sektöründe online ödeme sistemlerinin küresel çapta korunmaya alınmasını elde eden Ödeme Kartları Sektörü Veri Güvenliği Standartları ödemelerin güvenle yapılmasını sağladığı benzer biçimde kart bilgilerinin de güvenle saklanmasını elde eden çeşitli prosedürler içermektedir.


PCI DSS’nin hangi fakatçlar çevreında toplandığında ilişkin bazı başlıkları aşağıda deklare ettim.

  • Sağlam güvenlik duvarlarıyla sahteciliğin önlenmesi: PCI DSS güvenli bir ağ sistemi için şirketlerin güvenlik duvarı oluşturmaları konusunda destek sunar. Şirketler güçlü güvenlik duvarları yardımıyla sahtecilik, dolandırıcılık gibi güvenlik tehditlerinin önüne geçmektedir.
  • Kart sahibi bilgilerinin korunması: Dijital şifreleme, tüm kredi kartı işlemlerinde özellikle de e-ticaretin kilit noktasıdır. PCI DSS kart sahiplerinin; şifreler, doğum tarihi, anne kızlık soyadı, telefon numaraları ve posta adresleri gibi kişisel bilgilerin güvenle saklanması için yol haritası sunmaktadır. Böylece PCI DSS uyumlu şirketler kötü niyetli kişilerin eline geçmesi korunurken güvenlik açıklarının da önüne geçmektedir.
  • Güvenlik süreçlerinin ve güncellemelerinin sorunsuz yürütülmesi: Tüm güvenlik önlemlerinin ve süreçlerinin yerinde olduğundan, düzgün çalışmış olduğundan ve güncel tutulduğundan kesin olmak için ağlar devamlı olarak izlenmeli ve tertipli olarak kontrol edilmelidir. Örneğin, virüsten koruma ve kötü niyetli yazılımdan koruma programları en güncel programlarla sağlanmalıdır.
Güvenlik politikasının tüm uyumlu kuruluşlar tarafınca uygulanması: PCI DSS uyumlu kurumlar resmi informasyon güvenliği politikası ve prosedürlerini uygulamalıdır.




pci-dss-sertifikasi-nedir-1024x612.png

PCI DSS Denetimleri nedir?

PCI DSS uyumlu şirketlerin tam donanımlı bir koruma için yapması gereken bazı düzenlemeler mevcuttur. Yukarıda kapsamından bahsettiğimiz PCI DSS güvenlik politikaları kapsamında şirketlerden beklentileri mevcuttur. Aşağıda birkaçını maddeler halinde deklare ettik.
  • Güvenli ağları ve sistemleri korumak, kart sahibi verilerini korumak için güvenlik duvarlarının kurulması.
  • Varsayılan yada satıcı tarafınca sağlanan aygıt güvenlik yapılandırmalarını değiştirilmesi
  • Ödeme kartı ve kart sahibi verilerini korunması
  • saklanan kart sahibi verilerinin de şirket sunucularında korunmasının sağlanması
  • Kart sahibi verilerini korumak için virüsten koruma yazılımlarının güncellenmesi
  • Tüm uygulamalarda güvenli protokoller ve davranışlar geliştirilmesi
  • Kimlik ve erişim yönetiminin korunması
  • Kart sahibi verilerine tüm erişimin kimliği doğrulanmış kullanıcılarla sınırlanması
  • Ağ trafiğinin ve etkinliğinin düzenli olarak kontrol edilmesi
  • Ağ kaynaklarına, özellikle kart sahibi verilerine erişimin izlenmesi Mevcut güvenlik sistemlerinin ve süreçlerinin etkinliğinin düzenli olarak değerlendirilmesi Güvenlik politikasına uyulması ve sürdürülmesi


PCI DSS Uyumluluğu Nedir?

PCI DSS uyumluluğu olan kurumlar e-ticarette güvenli ödemeyi güvence eden hem işletme bununla birlikte tüketici güvenliğini elde eden bir süreç olarak karşımıza çıkmaktadır. PCI DSS uyumluluğu olan müesseseların e-ticarette sunduğu güvencelerden birkaçını şöyle sıralayabiliriz;

  • Ödeme Güvenliği: Ödeme hizmetleri ve çözümleri sunan kuruluşlar PCI DSS uyumlu altyapısı sayesinde online ödeme hizmetlerinde, kart ve kişisel verilerin korumasını büyük bir titizlikle sağlamaktadır.
  • Sahteciliğin önüne geçme: Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumlu olan kuruluşlar online ödemelerde dolandırıcılığın ve sahteciliğinin maksimum düzeyde önüne geçmektedirler. Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumlu teknik altyapısı olan ödeme müesseseları çok sayıda filtreleme özelliği ile güvenliği en üst seviyede tutmaktadır.
  • Kart güvenliğini sağlama: SSL sertifikalı ödeme sayfaları PCI DSS uyumluluğu ile birlikte 7/24 güvenli bir ortamda kartlı ödemelerle online olarak ödemelerini gerçekleştirmektedir.

1*4X7MVbUaq8bLNJ33V3pW8g.png

PCI DSS Sertifikası nasıl Alınır?

PCI DSS politikası standartlarının hazırlandığı bankalar tarafından yakından takip edilmektedir. İlgili prosedür ve politikalara uyup uyulmadığı sürece kontrole tabi tutulmaktadır. Böylece her daim hem mahalli aynı zamanda küresel çapta kartlı online ödemelerde güvenli bir ödeme ortamı oluşturulmaktadır.
PCI DSS uyumluluğuna haiz olmak için PCI DSS sertifikası adı altında bir uyumluluk sertifikası alınmalıdır. Öncelikle uygunluk tasdik formu doldurulmalıdır. Doldurulan formdan sonrasında başvurunuz değerlendirmeye alınmaktadır. Bu biçim uyarınca sisteme dahil olmak isteyen işyeri ya da e- ticaret şirketi sahipleri üç aylık periyotlarla gerçekleştirilen bir ağ taramasına tabi tutulmaktadır.
İşletme özelliklerine göre PCI DSS başvuru değerlendirme segmentleri değişim göstermektedir. Sertifikalara bakıldığında; PCI DSS level 1, QSA (Qualified Security Assessor), ISA (Internal Security Assessor) gibi değerlendirmeler yapılmaktadır.
 
Son düzenleme:
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.