İçindekiler

Payment Card Industry Data Security Standard (PCI DSS) – Ödeme Kartı Sektörü Veri Güvenliği Standardı; ödemeler sektöründe kart bilgilerinin belirlenen global güvenlik standartlarına uygun şekilde işlenmesini, saklanmasını ve aktarılmasını ve bu sayede kart kullanıcılarının korunmasını hedefleyen gereksinimler bütünüdür. 

PCI DSS Nasıl Ortaya Çıktı?

1990’larda internet çağının başlamasıyla online kartlı ödemelerde sahtecilik ve dolandırıcılık vakaları (“fraud”) yükselişe geçti. 2000’lerin başında Cybersource raporlarında fraud sebepli gelir kaybının 1,5 milyar dolara ulaştığı belirtilmiştir. Son kullanıcı için güven duygusunu zedeleyen, online ödeme alan işletmeler için ise ciddi gelir kayıplarına yol açan bu durum kartlı sistem kuruluşlarını kendi güvenlik programlarını oluşturmaya yöneltmiştir. 

Ancak tüm sektörün ortak problemi haline gelen bu vakalara karşı birbirinden farklı programların uygulanması yerine güçlerin birleştirildiği ortak bir yapının kurulmasının çok daha etkili olacağı fark edilmiştir. Bu amaçla yola çıkan sektörün beş lider firması olan Visa, MasterCard, American Express, Discover ve JCB; 2004 yılında PCI DSS standartlarının ilkini (PCI DSS 1.0) oluşturmuştur. 2006 yılında ise bu standartları yöneten bağımsız bir organ olarak PCI Security Standards Council (PCI SSC) kurulmuştur. 

Bugün online fraud kaynaklı e-ticaret kaybının 2020’de 17,5 milyar dolar, 2023’te ise 48 milyar dolara ulaştığı bir dünyada bu standartlara ihtiyacın hız kesmeden devam ettiğini görüyoruz. PCI DSS de sürekli kendini güncel güvenlik ihtiyaçlarına göre yenilemekte ve geliştirmekte olduğundan yaşayan bir standartlar bütünü oluşturmaktadır.

PCI DSS Kimlere Uygulanır?

PCI DSS standartları kart verilerini toplayan, işleyen ve aktaran tüm kuruluşlara uygulanır. Her ne kadar bir yasal düzenleme niteliği taşımasa da PCI DSS, global kartlı sistem kuruluşlarıyla çalışan tüm bankalar, bu bankalarla çalışan servis sağlayıcılar ve üye işyerlerinin güvenilirlik ölçütü haline gelmiştir. Eğer işletmeniz kart ile ödeme kabul ediyor ise PCI DSS gerekliliklerine uymakla yükümlüdür.

PCI DSS’in Altı Temel Prensibi Nedir?

  1. Güvenli ağ ve sistemlerin oluşturulması ve sürdürülmesi: Kart işlemleri güvenli bir ağ ve sistem yapısı gerektirmektedir. Güçlü ve etkili güvenlik duvarları oluşturulmalıdır. 
  2. Kart kullanıcılarının verilerinin korunması: Kart bilgileri dijital ortamda güçlü kriptografi yöntemiyle şifrelenerek aktarılmalıdır.
  3. Güvenlik açığı yönetim programının oluşturulması ve sürdürülmesi: Zararlı yazılım faaliyetlerini önlemek için kuruluşlar kendi risk değerlendirmelerini yaparak güvenlik açığı programları oluşturmalıdır. Yazılım ve işletim sistemleri düzenli olarak güncellenmeli ve hatalı yazılımlar giderilmelidir.
  4. Güçlü erişim kontrol önlemlerinin uygulanması: Sistem bilgilerine ve operasyona erişim kısıtlı olmalı ve düzenli kontrol edilmelidir. Sistemde bilgisayar kullanan her kişiye benzersiz ve gizli bir kimlik adı veya numarası atanmalıdır. Kart sahibi verileri elektronik olarak olduğu kadar fiziksel olarak da korunmalıdır. Belge öğütücülerin kullanımı, belge çoğaltma sınırlamaları veya çöp bidonları kilitleri fiziksel önlemler arasında sayılabilir.
  5. Ağların düzenli olarak izlenmesi ve test edilmesi: Güvenlik önlemlerinin yerinde olduğundan, düzgün çalıştığından ve güncel olduğundan emin olmak için ağlar düzenli olarak izlenmeli ve test edilmelidir. Örneğin, antivirüs ve casus yazılım önleme programlarının en güncel versiyonları kullanılmalıdır. 
  6. Bilgi güvenliği politikası oluşturulması ve sürdürülmesi: Kuruluşlar tarafından resmi bir bilgi güvenliği politikası tanımlanmalı, sürdürülmeli ve izlenmelidir. Gerektiğinde uyumsuzluk için denetimler ve cezalar gibi yaptırımlar belirlenmelidir. 

Yukarıda sayılan prensipler çerçevesinde PCI DSS’in temel gereklilikleri belirlenmektedir.

PCI DSS Uyumluluk Süreci Nasıl İşler?

PCI DSS sertifikası almak isteyen bir kuruluş öncelikle yıllık kart işlem sayısına göre PCI DSS’in hangi seviyesi kapsamında olduğunu belirlemelidir. PCI DSS kapsamında kuruluşlar yıllık kart işlem sayılarına göre 4 farklı seviyede değerlendirilir. Visa ve Mastercard kullanan firmalar için seviyeler şu şekilde sınıflandırılabilir:

Level 1: Yılda 6 milyondan fazla kart işleminin yapıldığı firmalar.

Level 2: Yılda 1-6 milyon arası kart işleminin yapıldığı firmalar.

Level 3: Yılda 20 bin-1 milyon arası kart işleminin yapıldığı firmalar

Level 4: Yılda 20 binden az kart işlemi yapılan firmalar.

Ardından işletmenize uygun Self-Assessment Questionaire (SAQ)’i doldurmanız gerekmektedir. Detaylı bilgiyi PCI SSC’nin resmi internet sitesinden edinebilirsiniz. Bu anket uyumluluk sağlamanız gereken kriterler hakkında sizi yönlendirecektir. Kontrol listesindeki gereklilikleri sağladığınızdan emin olduktan sonra uyumlu olduğunuza dair Attestation of Compliance (AOC) formu ile resmi olarak uygunluğunuzu tasdik ettirmeniz gerekmektedir.

PCI DSS, kuruluşların kartlı ödeme sürecine bütüncül bir şekilde yaklaşır. Uyumluluk süreci üç temel aşamadan oluşur:

  1. Analiz Aşaması: İlgili kuruluşun kartlı ödeme işlemlerindeki veri akışı, saklama süresi ve alınan güvenlik önlemleri analiz edilerek genel bir risk değerlendirmesi yapılır.
  1. İyileştirme Aşaması: Analiz aşamasında tespit edilen risklerin minimize edilmesi için alınması gereken önlemler belirlenir ve aksiyon alınır.
  1. Belgeleme/Rapor Aşaması: Bilgi güvenliği politikaları oluşturulur ve düzenli uyumluluk denetimlerinde raporlamalar yapılır.

PCI DSS Kapsamında Olan Bir Kuruluş Yükümlülüklerine Uymazsa Ne Olur?

PCI DSS kapsamında işletmelerce yükümlülüklere uyulmaması halinde ihlalin ağırlığına ve etkilenen son kullanıcı sayısına göre değişen 5.000 USD – 100.000 USD arası maddi yaptırımlar söz konusu olmaktadır. İşletmenin yaşayacağı prestij kaybı ve buna bağlı olarak müşterilerde yaşanacak olan güven kaybı ve olası hukuki süreçler ise bir işletme için maddi yaptırımların yanında ciddi olumsuz etki yaratacaktır.

PCI DSS İşletmelere Ne Kazandırır?

  • Müşteri Güveninde Artış: PCI DSS, kart sahibi verilerinin güvenliğini sağlayarak işletmelerin müşterilerle güven oluşturmasına ve sürdürmesine yardımcı olur. 
  • Veri İhlali Riskinde Azalma: PCI DSS’in güvenlik denetimleri ve veri koruma prosedürleri, işletmelerde yaşanabilecek veri ihlali ve uğranabilecek hukuki veya idari yaptırım riskini en aza indirger.
  • Sektör Standartlarına Uygunluk: PCI DSS uyumluluğu, bir işletmenin iş ortakları, paydaşları ve düzenleyici otoriteleri nezdindeki konumunu iyileştiren bir gösterge olduğundan o işletmenin sektördeki en iyi uygulamalara bağlılığını gösterir.

PCI DSS Uyum Sürecinde Yaşanabilecek Zorluklar Nelerdir?

  • Karmaşıklık: PCI DSS’nin gereksinimleri, özellikle sınırlı kaynaklara sahip küçük veya orta ölçekli şirketler için anlaması ve uygulaması oldukça zorlayıcı olabilecek bir dizi güvenlik denetimini kapsar.
  • Maliyet: Özellikle küçük veya orta ölçekli işletmeler için PCI DSS güvenlik sistemlerini, süreçlerini, yetkinliklerini korumak ve bu standartları koruyan bir insan kaynağı oluşturmak ciddi mali yük getirecektir.
  • Sürekli Efor: PCI DSS ile uyumluluk, güvenlik önlemlerinin sürekli olarak izlenmesini, test edilmesini ve güncellenmesini gerektirir. Devamlılık gerektiren bu süreç, zaman ve kaynak ihtiyacı ortaya çıkarır. 
  • Güncellik: Ödemeler sektörü ve siber güvenlik ortamı, sürekli olarak ortaya çıkan tehditlere ve değişen uyumluluk gereksinimlerine ayak uydurmayı gerektirdiğinden güncellik en kritik noktalardan biridir. 

PCI DSS Level 1 Neden Önemli?

PCI DSS Level 1, kart bilgilerini toplayan, ileten veya işleyen işletmeler için en yüksek düzeyde güvenlik sağlamak üzere tasarlanmış bir dizi gereksinimdir. Kuruluş olarak hangi kartlar ile ödeme kabul ettiğinize bağlı olarak; yılda en az 1 milyon (JCB), 2,5 milyon (American Express) veya 6 milyon (Visa, Mastercard, and Discover ) kartlı işlemi gerçekleştiriyorsanız; PCI DSS Level 1 gerekliliklerine uyum sağlamalısınız.

Level 1 için resmi kurumlar tarafından yerinde denetim ve yılda dört kez ağ taraması zorunlu iken; Level 2, 3 ve 4 için yılda dört kez ağ taraması ve PCI uyumluluklarını kanıtlamak için SAQ anketini doldurmak zorunludur.

PCI DSS Level 1 Uyumlu Craftgate

Yukarıda da açıkladığımız üzere, PCI DSS; mali, operasyonel ve teknik anlamda işletmelerce ciddi yatırımların yapılmasını gerektiren bir uyumluluk sürecidir. Ödemeler sektöründen tamamen bağımsız sektörlerde faaliyet gösteren işletmeler için uzmanlıkları olmayan bu süreci devam ettirmek ayrı zorluklar içermektedir.

İşte tam bu noktada, en yüksek veri güvenliği standartlarını taşıyan PCI DSS Level 1 uyumlu bir ödeme orkestrasyonu ile çalışmak işletmelere hem operasyonel hem de mali anlamda büyük bir avantaj yaratmaktadır. Craftgate, Türkiye’de bu standartları sağlayan nadir kuruluşlardan biri olarak sektörde öncü kuruluşlara en güvenli şekilde hizmet sunmaktadır. Böylece bu yorucu ve zorlu sürecin işletmeler üzerinde oluşturduğu yükü ortadan kaldırmaktadır.

PCI DSS Level 1 standardına uyumlu şekilde sunduğumuz kart saklama hizmetinin detaylarına buradan ulaşabilirsiniz.

Yazar

    Kişisel verileriniz İnternet Sitesi Aydınlatma Metni kapsamında işlenmektedir.

      Your personal data is processed within the scope of the Clarification Text on Our Website.