PCI DSS uyumluluğu, Mastercard, Visa, Amerikan Express, Discover Services gibi büyük kuruluşlarında üyesi olduğu bir konsey tarafından oluşturulan teknik ve operasyonel bir sisteme entegre bir şekilde yazılımların çalışmasıdır. PCI DSS internetten kredi kartları ile alışveriş yaparken, güvenlik standartlarını belirlemekte olan ve seviyelerine göre sertifikaların verildiği bir güvenlik kuruluşudur. Özel olarak bir araya gelmiş bir PCI DSS komitesi bulunmaktadır.
PCI DSS uyumluluğu ile birlikte e-ticaret siteleri üzerinden alım – satım işlemleri yapılırken güven zafiyeti ortadan kalkmakta ve yaşanabilecek riskler sıfır derecelerine indirilmektedir. PCI DSS uyumluluğu olan bir alışveriş sitesinde, kart sahiplerinin güvenliği tam anlamı ile koruma altına alınmış olur.
PCI DSS uyumluluğunda yaklaşık olarak 12 kategori altında gereksinimler bulunmakta ve aynı zamanda bu gereksinimlerinde kendi içerisinde sahip olması gereken 200’ün üzerinde geliştirme mevcuttur. PCI DSS uyumluluğuna sahip olan firmalarda bulunması gereken gereksinimler;
✔ Kart verilerinin korumasını sağlamak amacı ile firewall kurulması ve çalıştırılması,
✔ Üretici firma tarafından oluşturulmuş olan ve varsayılan kullanıcı şifrelerinin ve sistem parametrelerinin kullanma ve kart sahibi verilerini tamamıyla koruma altına alınması,
✔ Depolanmış olan kart verilerinin güvenlik altına alınması,
✔ Ağ üzerinden kar verisi iletimi yapılırken SSL sistemleri ile şifrelenmesi ve güvenlik açıklarını tespit eden programların kurularak çalıştırılması,
✔ Anti virüs yazılım programlarının kurulması ve güncellenmesinin sağlanması,
✔ İleri seviye güvenlikte programların geliştirilmesi, bakımının yapılması ve güçlü erişim kontrol ölçümlerinin oluşturulması,
✔ Kart bilgilerine erişiminin yalnızca bilinmesi gereken derecede kısıtlanması,
✔ Bilgisayar erişimi olan herkese özel tekil erişim kimliklerinin belirlenmesi,
✔ Kredi kart bilgilerine fiziksel erişimin kısıtlanarak, ağların düzenli bir şekilde gözlemlenmesi ve testlerinin yapılması,
✔ Kullanılan bütün güvenlik sistemlerinin düzenli bir şekilde işleyişinin test edilmesi, çalışmasının sağlanması ve bilgi güvenliği politikasının işleyişinin oluşturulması,
✔ Çalışan ve sözleşmeli olan herkes için bilgi güvenliğini açıklayan bir politikanın hazırlanmasıdır.
PCI DSS uyumluluğu yukarıda anlatılan gereksinimleri oluşturarak kart bilgisini taşıyan, işleyen ve saklayan kurum ya da kuruluşların bilgi güvenliğine uyum süreçlerinin yönetilmesi ve bu kurum ve kuruluşlarda bilgi güvenliği disiplininin oluşturulmasını sağlamaktadır.
Not: PCI DSS uyumluluğu ile ilgili, zamanla, bilinmesi gereken bütün detaylar bu makale aracılığı ile sizlere aktarılacaktır.
Şu anda Türkiye’de kaç tane firmanın PCI DSS standartlarına uygun bir şekilde çalışma yaptığı hakkında bilginiz var mıdır acaba ?
PCI DSS uyumluluğunu sahip olmak ve bu sistemi kullanmak oldukça zordur. Öyle bir denetimden geçmeniz gerekir ki şu anda mevcut olan bir çok uygulamanızı değiştirmeniz istenebilir. Muhasebeden tutun, çalışanlarınızın sahip olduğu kullanıcı yetkilerine kadar her şey bir kontrol altına alınmaktadır.
Türkiye’de PCI DSS standartlarına tam olarak uygun bir yapı oluşturabilmek için ciddi bütçelerin ayrılması gerekir. Özellikle sertifika almak 200.000 TL ve üzerini bulabilmektedir. Bunlarında eklenmesini istedim. Bilgilendirici yazı için teşekkür ederim.
Serhat hocam paylaşım için çok teşekkürler. Yeni paylaşımlarınızı da heyecanla bekliyorum.