PCI DSS nedir? Gereksinimler ve Uyumluluk

   Haziran 19, 2023  Posted in ComputerWeekly


PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) nedir?

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi kartı, banka kartı ve nakit kartı işlemlerinin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanılmasına karşı korumayı amaçlayan, geniş çapta kabul görmüş bir dizi politika ve prosedürdür. PCI DSS, hassas verilerin siber güvenlik ihlallerini önlemek ve ödeme kartı bilgilerini işleyen kuruluşlar için dolandırıcılık riskini azaltmak üzere tasarlanmıştır.

PCI DSS, bir yasa veya yasal düzenleyici gereklilik değildir. Ancak kredi, banka kartı ve diğer ödeme kartı işlemlerini işleyen ve saklayan işletmelerin uyması genellikle sözleşmeden doğan yükümlülüklerin bir parçasıdır. Sözleşmeyle yükümlü kuruluşlar, müşterileri için güvenli bir ortam oluşturmak ve sürdürmek için PCI DSS gereksinimlerini karşılamalıdır.

PCI DSS, 2004 yılında beş büyük kredi kartı şirketi tarafından oluşturuldu: Visa, Mastercard, Discover, JCB ve American Express. Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC), PCI DSS için yönergeler geliştirdi.

PCI DSS geçmişinin zaman çizelgesi
2004 yılına kadar resmi olarak kurulmamış olmasına rağmen, PCI DSS’nin uyumluluk çerçevesinin tarihi 1990’larda başladı.

PCI DSS’nin amacı nedir?

PCI DSS’nin birincil amacı, kredi kartı numaraları, son kullanma tarihleri ​​ve güvenlik kodları gibi hassas kart sahibi verilerinin güvenliğini korumak ve optimize etmektir. Standardın güvenlik denetimleri, işletmelerin veri ihlali, dolandırıcılık ve kimlik hırsızlığı riskini en aza indirmesine yardımcı olur.

PCI DSS uyumluluğu aynı zamanda işletmelerin kredi kartı verilerini işlerken, saklarken ve iletirken sektördeki en iyi uygulamalara bağlı kalmasını sağlar. Buna karşılık, PCI DSS uyumluluğu müşteriler ve paydaşlar arasında güveni artırır.

PCI DSS’nin 6 ilkesi nedir?

PCI Güvenlik Standartları Konseyi (PCI SSC), PCI DSS için altı ana hedef oluşturmuştur:

  1. Güvenli bir ağ ve sistemler oluşturun ve sürdürün. Kredi kartı işlemleri güvenli bir ağda yapılmalıdır. Güvenlik altyapısı, kart sahiplerine veya satıcılara rahatsızlık vermeden etkili olacak kadar güçlü ve karmaşık güvenlik duvarları içermelidir. Gizli dinleme ve kötü niyetli saldırılara karşı oldukça savunmasız olan kablosuz yerel alan ağları için özel güvenlik duvarları mevcuttur. Kişisel kimlik numaraları ve parolalar gibi satıcı tarafından sağlanan kimlik doğrulama verileri sürekli olarak kullanılmamalıdır.
  2. Kart sahibi verilerini koruyun. PCI DSS’ye bağlı kuruluşlar, nerede saklanırsa saklansın kart sahibi bilgilerini korumalıdır. Doğum tarihleri, annelerin kızlık soyadları, Sosyal Güvenlik numaraları, telefon numaraları ve posta adresleri gibi hayati verileri içeren depolar güvenli olmalıdır. Kart sahibi verilerinin genel ağlar aracılığıyla iletilmesi şifrelenmelidir.
  3. Bir güvenlik açığı yönetimi programı sürdürün. Kart hizmetleri kuruluşları, sistemlerini casus yazılımlar ve kötü amaçlı yazılımlar gibi kötü niyetli bilgisayar korsanlarının faaliyetlerinden koruyan risk değerlendirmesi ve güvenlik açığı yönetimi programları oluşturmalıdır. Tüm uygulamalarda, kart sahibi verilerinin çalınabileceği veya değiştirilebileceği istismarlara olanak sağlayabilecek hatalar ve güvenlik açıkları bulunmamalıdır. Yazılım ve işletim sistemleri düzenli olarak güncellenmeli ve yamalanmalıdır.
  4. Güçlü erişim kontrol önlemleri uygulayın. Sistem bilgilerine ve işlemlerine erişim kısıtlanmalı ve kontrol edilmelidir. Sistemde bilgisayar kullanan her kişiye benzersiz ve gizli bir kimlik adı veya numarası atanmalıdır. Kart sahibi verileri elektronik olarak olduğu kadar fiziksel olarak da korunmalıdır. Fiziksel koruma, belge öğütücülerin kullanımını, belge çoğaltma sınırlamalarını, çöp bidonlarına kilitleri ve satış noktasındaki güvenlik önlemlerini içerebilir.
  5. Ağları düzenli olarak izleyin ve test edin. Güvenlik önlemlerinin yerinde olduğundan, düzgün çalıştığından ve güncel olduğundan emin olmak için ağlar düzenli olarak izlenmeli ve test edilmelidir. Örneğin, antivirüs ve casus yazılım önleme programlarına en son tanımlar ve imzalar sağlanmalıdır. Bu programlar sık ​​sık değiş tokuş edilen tüm verileri, uygulamaları, RAM’i ve depolama ortamlarını tarar.
  6. Bir bilgi güvenliği politikası sürdürün. Resmi bir bilgi güvenliği politikası, tüm katılımcı kuruluşlar tarafından tanımlanmalı, sürdürülmeli ve takip edilmelidir. Uyumsuzluk için denetimler ve cezalar gibi yaptırım önlemleri gerekli olabilir.

PCI DSS’nin 12 gereksinimleri nelerdir?

PCI SSC, altı PCI DSS hedefinin her birinde özel gereksinimler içerir. PCI DSS uyumlu olmak isteyen kuruluşların şu 12 gereksinimi karşılaması gerekir:

  1. Kart sahibi veri ortamlarını korumak için bir güvenlik duvarı kurun ve bakımını yapın.
  2. Satıcı tarafından sağlanan varsayılan parolaları ve diğer güvenlik parametrelerini kullanmayın.
  3. Saklanan kart sahibi verilerini koruyun.
  4. Açık, genel ağlarda iletilen ödeme kartı verilerini şifreleyin.
  5. Virüsten koruma yazılımı kullanın ve düzenli olarak güncelleyin.
  6. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün.
  7. İşleri erişim gerektirdiğinden, kart sahibi verilerine erişimi iş ihtiyacı olan çalışanlarla sınırlayın.
  8. Veri veya bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın.
  9. Kart sahibi verilerine kimlerin fiziksel erişimi olduğunu kısıtlayın.
  10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin.
  11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.
  12. Bir bilgi güvenliği politikası sürdürün.

PCI DSS uyumluluk düzeyleri

PCI DSS uyumluluğu gereksinimleri, bir işletme tarafından hem e-ticaret hem de gerçek mekanda faaliyet gösteren işlemler için gerçekleştirilen kredi veya banka kartı işlemlerinin yıllık hacmine göre dört üye iş yeri düzeyine ayrılır. Aşağıdakiler dört doğrulama düzeyidir:

  1. Seviye 1 Yılda 6 milyondan fazla kart işlemi gerçekleştiren kuruluşları içerir. Bu işletmeler, her yıl Nitelikli Güvenlik Değerlendiricisi (QSA) değerlendirmesinden geçmeli ve bir Onaylı Tarama Sağlayıcısına (ASV) üç ayda bir ağ görünürlük taraması yaptırmalıdır.
  2. Seviye 2 yıllık 1 milyondan 6 milyona kadar kart işlemi gerçekleştiren kuruluşları içerir. Yıllık Öz Değerlendirme Anketi (SAQ) doldurmaları gerekir ve üç ayda bir ASV ağ güvenlik açığı taramaları göndermeleri gerekebilir.
  3. 3. seviye 1 milyona kadar yıllık 20.000’den fazla kart işlemi gerçekleştiren kuruluşları içerir. 2. düzey işletmeler gibi, 3. düzey işletmelerin de yıllık SAQ tamamlaması gerekir ve üç ayda bir ağ güvenlik açığı taraması göndermesi gerekebilir.
  4. Seviye 4 yıllık 20.000’den az kart işlemi gerçekleştiren kuruluşları içerir. Seviye 2 ve 3 gibi, bu işletmelerin de yıllık SAQ tamamlaması gerekir ve üç ayda bir ağ güvenlik açığı taraması göndermesi gerekebilir.
PCI DSS uyumluluk düzeylerinin listesi
Bir kuruluşun karşılaması gereken standartları belirleyen dört PCI DSS uyumluluk düzeyi vardır.

PCI DSS uyumluluğunun avantajları ve zorlukları

PCI DSS uyumluluğu çeşitli avantajlar ve zorluklarla birlikte gelir.

PCI DSS avantajları

PCI DSS’ye uymak, verileri koruma ve güvenlik bilincine sahip kuruluşlar olarak itibarlarını artırma açısından işletmelere çeşitli avantajlar sunar. Bu faydalar aşağıdakileri içerir:

  • Geliştirilmiş müşteri güveni. PCI DSS, kart sahibi verilerinin güvenliğini sağlayarak işletmelerin müşterilerle güven oluşturmasına ve sürdürmesine yardımcı olur. Bu, müşterilerin ve marka sadakatinin artmasının yanı sıra tekrarlanan işlere yol açabilir.
  • Veri ihlali riskinde azalma. PCI DSS’nin güvenlik denetimleri ve veri koruma prosedürleri, veri ihlali riskini ve para cezaları, yasal ücretler ve itibar kaybı gibi ilgili maliyetleri en aza indirir.
  • Dolandırıcılık koruması. PCI DSS gereksinimleri, dolandırıcılığı önleyip tespit ederek dolandırıcılığa bağlı finansal kayıp riskini azaltır.
  • Endüstri standartlarına uygunluk. PCI DSS uyumluluğu, bir işletmenin iş ortakları, paydaşlar ve düzenleyiciler nezdindeki konumunu iyileştiren sektördeki en iyi uygulamalara bağlılığı gösterir.

PCI DSS zorlukları

PCI DSS uyumluluğu, işletmeler için aşağıdakiler gibi zorluklar da doğurur:

  • karmaşıklık. PCI DSS’nin gereksinimleri, özellikle sınırlı kaynaklara sahip küçük şirketler için işletmelerin anlaması ve uygulaması genellikle zor olan bir dizi güvenlik denetimini kapsar.
  • Maliyet. Özellikle küçük işletmeler için PCI DSS güvenlik sistemlerini, süreçlerini, yetkinliklerini ve personelini korumak ve bunlara uymak pahalı olabilir.
  • Devam eden çaba. PCI DSS ile uyumluluk, sürekli uyum sağlamak için güvenlik önlemlerinin sürekli olarak izlenmesini, test edilmesini ve güncellenmesini gerektirir. Bu devam eden süreç, zaman ve kaynak gerektirir.
  • Değişen ortam. Ödeme kartı endüstrisi ve siber güvenlik ortamı, sürekli olarak ortaya çıkan tehditlere ve değişen uyumluluk gereksinimlerine uyum sağlıyor. Bu değişen standartlara uymak, işletmeler için zorlu olabilir.

PCI DSS uyumluluğuna ilişkin en iyi uygulamalar

İşletmelerin PCI DSS’ye uymasına ve kart sahibi verilerinin iletimi için güvenli bir ortam sağlamasına yardımcı olabilecek birkaç en iyi uygulama vardır. PCI SSC, “PCI DSS Uyumluluğunu Sürdürmek İçin En İyi Uygulamalar”da aşağıdakiler gibi birkaç en iyi uygulama önerir:

  • Yalnızca iş fonksiyonları için kritik olan kart sahibi verilerini ve diğer bilgileri saklayın.
  • Stratejik hedefleri ve rolleri içeren bir uyumluluk programı geliştirin; güçlü parola gereksinimleri gibi politikalar; ve uyumluluk görevlerini tamamlama prosedürleri.
  • Uyumluluğu değerlendirmek için güçlü performans ölçütleri geliştirin.
  • Bilgili, kalifiye ve yetenekli çalışanlara uyum için sorumluluklar ve roller atayın.
  • Bir kuruluşa ve sektörüne özgü PCI DSS’nin ötesinde ek güvenlik gereksinimleri geliştirin.
  • Potansiyel güvenlik açıklarını ve tehditleri tespit etmek ve ele almak için güvenlik sistemlerini, süreçleri ve kontrolleri düzenli olarak izleyin ve test edin.
  • Güvenlik hatalarını tespit edin ve ele alın; ihlalleri ve başarısızlıkları gidermek için yürürlükte olan süreçlere sahip olmak.
  • Kimlik avı ve korkutma yazılımı gibi sosyal mühendislik tekniklerine dayalı ihlalleri önlemek için güvenlik bilincini öğretin ve sürdürün.
  • Satıcı hizmet sağlayıcılarının uyumluluğunu izleyin.
  • Siber güvenlik tehditlerindeki değişiklikleri izlemek ve uyumluluk programlarını uyarlamak için kaynakları ayırın.

PCI SSC, şirketlerin tavsiye ettiklerinin dışında kendi gereksinimlerini ve en iyi uygulamalarını geliştirmelerini önerir. Bu öneriler genellikle kendi kendini izleme en iyi uygulamalarını içerir. Şirketler, belirli bir ortamda kart sahibi verilerine yönelik en önemli riskleri ele alan güvenlik kontrollerine öncelik veren risk tabanlı yaklaşımlar uygulamalıdır.

Kuruluşlar, çalışanlarını eğitirken aynı zamanda politikalarını ve prosedürlerini düzenli olarak gözden geçirmeli ve güncellemelidir. PCI DSS uyumluluğunun önemi ve kart sahibi verilerini korumadaki rolü hakkında. İşletmeler, PCI DSS uyumluluğunu değerlendirmeye, uygulamaya ve sürdürmeye yardımcı olmak için QSA’lara, ASV’lere ve diğer uzmanlara danışır.

hakkında daha fazla bilgi edinin PCI DSS uyumluluğu için en iyi uygulamalar ve ipuçları.



Source link