Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS)
Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), büyük kart markalarının kredi kartlarını işlemeye yönelik kullanılan bir bilgi güvenliği standardıdır. Bu standart, Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC) tarafından yönetilir ve kart markaları tarafından zorunlu kılınır. PCI DSS, kart sahibi verilerini daha iyi kontrol etmek ve kredi kartı dolandırıcılığını azaltmak amacıyla oluşturulmuştur.[1]
Tarihçe
[değiştir | kaynağı değiştir]Öncesinde büyük kart markalarının beş farklı güvenlik programı vardı:
- Visa'nın Kart Sahibi Bilgi Güvenlik Programı
- Mastercard'ın Site Veri Koruma Programı
- American Express'in Veri Güvenliği İşletim Politikası
- Discover'ın Bilgi Güvenliği ve Uyum Programı
- JCB'nin Veri Güvenlik Programı
Her programın amacı; tacirlerin kart sahibi verilerini depolarken, işlerken ve iletirken belirli güvenlik seviyelerine uymalarını sağlamak ve kart ihraç edenler için ek bir koruma seviyesi oluşturmaktı. Mevcut standartlar arasındaki uyumluluk sorunlarını ele almak amacıyla, başlıca kredi kartı kuruluşlarının ortak çalışması sonucunda Aralık 2004'te PCI DSS sürüm 1.0 yayınlandı. PCI DSS, dünya çapında uygulanmakta ve takip edilmektedir.
PCI SSC (Ödeme Kartı Sektörü Güvenlik Standartları Konseyi) daha sonra kuruldu ve bu şirketler politikalarını PCI DSS oluşturacak şekilde hizaladı. MasterCard, American Express, Visa, JCB International ve Discover Financial Services, Eylül 2006'da PCI SSC'yi idari ve yönetsel bir varlık olarak kurdular ve PCI DSS'nin evrimini ve gelişimini zorunlu kıldılar. Bağımsız özel kuruluşlar, kayıt olduktan sonra PCI geliştirme sürecine katılabilirler. Her katılımcı kuruluş, bir SIG'ye (Özel İlgi Grubu) katılır ve grup tarafından belirlenen faaliyetlere katkıda bulunur. PCI DSS'nin yayınlanmış sürümleri şunlardır:[2][3]
Sürüm | Tarih | Notlar |
---|---|---|
1.0 | 15 Aralık 2004 | |
1.1 | Eylül 2006 | Açıklamalar ve küçük revizyonlar yapıldı |
1.2 | Ekim 2008 | Netlik artırıldı, esneklik iyileştirildi ve gelişen riskler ve tehditler ele alındı |
1.2.1 | Temmuz 2009 | Standartlar ve destekleyici belgeler arasında daha fazla netlik ve tutarlılık sağlamak için küçük düzeltmeler yapıldı |
2.0 | Ekim 2010 | |
3.0 | Kasım 2013 | 1 Ocak 2014'ten, 30 Haziran 2015'e kadar aktif idi |
3.1 | Nisan 2015 | 31 Ekim 2016'dan itibaren kullanım dışı olmuştur |
3.2 | Nisan 2016 | 31 Aralık 2018'den itibaren kullanım dışı olmuştur |
3.2.1 | Mayıs 2018 | 31 Mart 2024'ten itibaren kullanım dışı olmuştur |
4.0[4][5] | Mart 2022 | Güvenlik duvarı terminolojisinin güncellendi, Çok Faktörlü Kimlik Doğrulama (MFA) uygulaması kullanıldı, güvenliği göstermek için esneklik artırıldı ve risk analizleri ile risk maruziyeti belirlendi |
Gereksinimler
[değiştir | kaynağı değiştir]PCI DSS, altı ilgili grupta düzenlenmiş on iki uyum gereksinimine sahiptir:
- Güvenli bir ağ ve sistemler inşa edin ve koruyun
- Kart sahibi verilerini koruyun
- Bir güvenlik açığı yönetim programı sürdürün
- Güçlü erişim kontrol önlemleri uygulayın
- Ağları düzenli olarak izleyin ve test edin
- Bir bilgi güvenliği politikası sürdürün
Her PCI DSS sürümü, bu altı gereksinim grubunu farklı şekilde parçalara bölümüştür. Ancak on iki gereksinim standardın başlangıcından bu yana değişmemiştir. Her gereksinim ve alt gereksinim üç bölüme ayrılır:
- PCI DSS gereksinimleri: Gereksinimi tanımlar. Gereksinim uygulandığında PCI DSS onayı yapılır.
- Test: Uygulamanın doğruluğunu teyit etmek için denetçinin gerçekleştirdiği süreçler ve metodolojiler.
- Rehberlik: Gereksinimin amacını ve ilgili içeriği açıklar, bu da gereksinimin doğru tanımlanmasına yardımcı olabilir.
Raporlama Seviyeleri
[değiştir | kaynağı değiştir]PCI DSS standartlarına tabi olan şirketler, yıllık işlem sayısına ve işlem işleme yöntemine göre PCI uyumlu olmalı ve uyumluluklarını kanıtlamalıdırlar. Bir alıcı veya ödeme markası, takdir yetkisini kullanarak bir kuruluşu bir raporlama seviyesine yerleştirebilir. Tacir seviyeleri şunlardır:[6]
- Seviye 1 – Yıllık altı milyonun üzerinde işlem
- Seviye 2 – Yıllık bir ile altı milyon arasında işlem
- Seviye 3 – 20.000 ile bir milyon arasında işlem ve tüm e-ticaret tacirleri
- Seviye 4 – Yıllık 20.000'den az işlem
Her kart ihraç eden kuruluş, uyumluluk seviyeleri ve hizmet sağlayıcıları için bir tablo tutar.
Uyum Doğrulaması
[değiştir | kaynağı değiştir]Uyum doğrulaması, güvenlik kontrollerinin ve prosedürlerinin PCI DSS'ye uygun olarak uygulanıp uygulanmadığının değerlendirilmesi ve teyit edilmesini içerir. Doğrulama, harici bir varlık tarafından veya kendi kendine değerlendirme ile yıllık olarak gerçekleştirilir.[7]
Uyum Raporu
[değiştir | kaynağı değiştir]Bir Uyum Raporu (ROC), PCI Nitelikli Güvenlik Denetçisi (QSA) tarafından gerçekleştirilir ve bir kuruluşun PCI DSS standardına uyumluluğunun bağımsız doğrulamasını sağlamak için tasarlanmıştır. Tamamlanmış bir ROC, iki belgeyle sonuçlanır: Testin detaylı açıklamasıyla doldurulmuş bir ROC Raporlama Şablonu ve ROC'nin tamamlandığını ve genel sonucunu belgeleyen bir Uyumluluk Beyanı (AOC).
Öz Değerlendirme Anketi
[değiştir | kaynağı değiştir]PCI DSS Öz Değerlendirme Anketi (SAQ), küçük ve orta ölçekli tacirler ve hizmet sağlayıcıların kendi PCI DSS uyumluluk durumlarını değerlendirmeleri için bir doğrulama aracıdır. Farklı uzunluklarda SAQ türleri vardır ve her biri, varlık türü ve kullanılan ödeme modeli gibi faktörlere göre değişir. Her SAQ sorusunun evet veya hayır cevabı vardır ve herhangi bir "hayır" cevabı, varlığın gelecekteki uygulamasını belirtmesini gerektirir. ROC'larda olduğu gibi, SAQ'ya dayalı bir uyumluluk beyanı (AOC) da tamamlanır.
Güvenlik Denetçileri
[değiştir | kaynağı değiştir]PCI Güvenlik Standartları Konseyi, denetim faaliyetlerini yürütmek üzere şirketleri ve bireyleri sertifikalandırmak için bir program sürdürmektedir.
Nitelikli Güvenlik Denetçisi
[değiştir | kaynağı değiştir]Nitelikli Güvenlik Denetçisi (QSA), başka bir kuruluşun PCI DSS uyumluluğunu doğrulamak için PCI Güvenlik Standartları Konseyi tarafından sertifikalandırılmış bir kişidir. QSAlar, PCI Güvenlik Standartları Konseyi tarafından da sertifikalandırılmış bir QSA Şirketi tarafından istihdam edilmelidir ve bu şirket tarafından desteklenmelidir.
İç Güvenlik Denetçisi
[değiştir | kaynağı değiştir]İç Güvenlik Denetçisi (ISA), sponsorluk yaptığı kuruluş için PCI Güvenlik Standartları Konseyi'nden bir sertifika almış ve kendi kuruluşu için PCI öz değerlendirmelerini yürütebilen bir kişidir. ISA programı, Seviye 2 tacirlerin Mastercard uyumluluk doğrulama gereksinimlerini karşılamalarına yardımcı olmak için tasarlanmıştır. ISA sertifikasyonu, bir bireyin kendi kuruluşunu değerlendirmesini ve PCI DSS uyumluluğu için güvenlik çözümleri ve kontroller önermesini sağlar. ISA'lar, QSAlar ile iş birliği ve katılımda sorumludur.[8]
Uyum ve Uyum Doğrulaması Arasındaki Fark
[değiştir | kaynağı değiştir]PCI DSS, kart sahibi verilerini işleyen, depolayan veya ileten tüm varlıklar tarafından uygulanmalıdır; ancak, tüm varlıklar için PCI DSS uyumluluğunun resmi doğrulaması zorunlu değildir. Visa ve Mastercard; tacirler ve hizmet sağlayıcıların PCI DSS'ye göre doğrulanmasını gerektirir. Visa ayrıca nitelikli tacirlerin yıllık PCI DSS doğrulama değerlendirmesini durdurmalarına izin veren bir Teknoloji Yenilik Programı (TIP) sunar. Tacirler, sahtecilik önleme için EMV veya uçtan uca şifreleme gibi alternatif önlemler aldıklarında uygun hale gelirler.
İhraç bankalarının PCI DSS doğrulamasına tabi olmaları gerekmez, ancak hassas verileri PCI DSS uyumlu bir şekilde güvence altına almaları gerekmektedir. Alıcı bankalar, PCI DSS'ye uymalı ve uyumluluklarının bir denetimle doğrulanması gerekmektedir. Bir güvenlik ihlalinde, ihlal anında PCI DSS uyumlu olmayan herhangi bir varlık, kart markalarından veya alıcı bankalardan ek cezalar (örneğin para cezaları) alabilir.[9]
Kaynakça
[değiştir | kaynağı değiştir]- ^ "PCI Data Security Standard (PCI DSS)". PCI Security Standards Council (İngilizce). 30 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "PCI DSS Versions Over the Years | Version 1.0 - 4.0" (İngilizce). 26 Haziran 2024. Erişim tarihi: 4 Temmuz 2024.
- ^ Inc, Truvantis. "PCI-DSS History and Overview | Truvantis". www.truvantis.com (İngilizce). 10 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ Goodspeed, Lindsay. "Updated PCI DSS v4.0 Timeline". blog.pcisecuritystandards.org (İngilizce). 26 Mart 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "PCI DSS 4.0 2023'te Neden Gündemimizde Olmalı?". Makale. Beyaznet. 24 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ Sistemleri, T.-Soft E.-Ticaret. "PCI DSS Sertifikası Nedir? Nasıl Kullanılır?". Tahsildar Tahsilat Yazılımı. 7 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ Ticimax (5 Ağustos 2021). "PCI DSS Nedir? Neden Önemlidir?". www.ticimax.com. 29 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "Document Library". PCI Security Standards Council (İngilizce). 30 Haziran 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024.
- ^ "Difference between PCI compliance and PA-DSS validation". www.ibm.com (İngilizce). Erişim tarihi: 4 Temmuz 2024.