E-ticaret sektörü için ödeme süreçlerindeki güvenlik, işletmelerin odaklanması gereken en önemli nokta. Ödeme adımındaki veri güvenliği denildiğinde ise ilk akla gelen, PCI-DSS Standardı (Ödeme Kartları Sektörü Veri Güvenliği Standartları) oluyor. Bu yazımızda, PCI-DSS Standardı nedir ve ne için kullanılır konusuna detaylıca yer vereceğiz.
PCI-DSS Nedir?
Açılımı “The Payment Card Industry Data Security Standard” olan PCI-DSS Standardı (“Standart)”, ödeme süreçlerindeki kart bilgilerinin belirlenen global güvenlik standartlarına uygun şekilde işlenmesini, saklanmasını, aktarılmasını ve bu sayede kart kullanıcılarının korunmasını amaçlayan bir dizi politika ve prosedürdür.
Standart, 2004 yılında MasterCard, Visa, American Express, Discover ve JCB International tarafından ortaklaşa kurulmuştur. Takip eden dönemde ise bu standartları yöneten bağımsız bir organ olarak PCI Security Standards Council (PCI SSC) oluşturulmuştur.
İşletmelerin Standart’ı alması ise tüketiciye güven vermesi ve ödeme işlemlerini koruma altına alması açısından gereklidir.
Ne İçin Kullanılır?
PCI DSS standartları kart verilerini toplayan, işleyen ve aktaran tüm işletmelerin bu süreçleri güvenli şekilde yönetebilmesi için uyması gereken kuralları ortaya koyar. Herhangi bir yasal düzenleme niteliği taşımasa dahi bu Standart, global kartlı sistem kuruluşlarıyla çalışan tüm bankalar, bu bankalarla çalışan servis sağlayıcıları ve işletmelerin güvenilirlik ölçütü niteliğindedir.
Dolayısıyla eğer ki işletmeniz kart ile ödeme kabul ediyorsa Standart’ın ortaya koyduğu kurallara uyması gerekir. Standart ile uyumluluk denildiğinde ise işletmelerin kredi kartı verilerini işlerken, saklarken ve iletirken birtakım prosedürleri gerçekleştirmesine işaret eder.
Standart’a dair sertifikayı alabilmesi için bir işletmenin Standart’ın hangi seviyesi kapsamında olduğunu bilmesi gerekir. Bu seviyenin kapsamı ise yıllık kart işlem sayısına göre dört farklı seviyede belirlenmektedir:
- PCI Seviye 1: Yılda 6 milyondan fazla işlem yapan işletmeler
- PCI Seviye 2: Yılda 1 milyon ila 6 milyon işlem gerçekleştiren işletmeler
- PCI Seviye 3: Yılda 20.000 ila 1 milyon işlem gerçekleştiren işletmeler
- PCI Seviye 4: Yılda 20.000’den az işlem gerçekleştiren işletmeler
İşletmenizin hangi seviyedeki Standart’a başvuracağını belirledikten sonra, PCI DSS Standardına dair gereklilikleri ise PCI SSC’nin web sitesinden öğrenebilirsiniz. Daha detaylı bilgi için, PCI DSS standardının çalışma prensipleri konulu blog yazımızı inceleyebilirsiniz.
Kart Saklama süreçlerindeki en yüksek güvenlik sertifikası olan Standart, belirli aralıklarda yeni sürümünü yayınlamaktadır. Bu süreç kapsamında işletmelerin her yeni sürüme dair gereklilikleri yerine getirerek sertifikalarını yenilemeleri gerekmektedir.
Kart saklama süreçlerinde bir ödeme servis sağlayıcı veya ödeme orkestrasyonu platformundan destek alıyorsanız, Standart kapsamındaki gereklilikleri ilgili kuruluşların yerine getirmesi gerekir.
Örneğin Craftgate, yeni sürümünün yayınlanmasıyla birlikte, v.4.0. sertifikası için ilgili gereklilikleri tamamlayarak PCI DSS Level-1 Sertifikası’nı güncellemiştir.
Craftgate’in yüksek güvenilirlikli kart saklama çözümünden yararlanarak müşterilerinize saklı kartları ile ödeme yapma kolaylığı sunma konusunda da bizimle iletişime geçebilirsiniz.