PCI Uyumluluğu

Published · Updated

PCI Uyumluluğu Nedir?

Ödeme kartı endüstrisi (PCI) uyumluluğu, ödeme endüstrisindeki kredi kartı işlemlerinin güvenliğini sağlamaya yardımcı olmak için PCI Güvenlik Standartları Konseyi tarafından geliştirilir ve yönetilir.

Temel Çıkarımlar

  • Ödeme Kartı Endüstrisi Veri Güvenliği Standartlarını (PCI DSS) izleyen ve gerçekleştiren şirketler PCI uyumlu olarak kabul edilir.
  • PCI DSS’nin geliştirilmesinden PCI Güvenlik Standartları Konseyi sorumludur.
  • PCI DSS, kuruluşların PCI uyumlu olmasını sağlamak için 12 temel gereksinim, 78 temel gereksinim ve 400 test prosedürüne sahiptir.
  • PCI uyumlu olmak veri ihlallerini azaltır, kart sahiplerinin verilerini korur, cezalardan kaçınır ve marka itibarını artırır.
  • PCI uyumluluğu kanunen gerekli değildir ancak mahkeme emsalleri yoluyla zorunlu kabul edilir.

PCI Uyumluluğunu Anlamak

mahkeme emsalleri yoluyla zorunlu olarak kabul edilir.

Genel olarak, PCI uyumluluğu, herhangi bir kredi kartı şirketinin güvenlik protokolünün temel bir bileşenidir. Genellikle kredi kartı şirketleri tarafından zorunlu kılınmakta ve kredi kartı ağı anlaşmalarında tartışılmaktadır.

PCI Standartları Konseyi, PCI uyumluluğu için standartların geliştirilmesinden sorumludur. Bu standartlar satıcı işlemleri için geçerlidir ve ayrıca önemli varlıklar arasında The Card Association Network ve National Automated Clearing House (NACHA) bulunmaktadır.

PCI Uyumluluğu Gereksinimleri

PCI uyum standartları, satıcıların ve diğer işletmelerin kredi kartı bilgilerini, kart sahiplerinin hassas finansal hesap bilgilerinin çalınması olasılığını azaltmaya yardımcı olacak güvenli bir şekilde işlemesini gerektirir. Satıcılar kredi kartı bilgilerini PCI Standartlarına göre işlemezse, kart bilgileri saldırıya uğrayabilir ve çok sayıda dolandırıcılık eylemi için kullanılabilir. Ek olarak, kart sahibi hakkındaki hassas bilgiler kimlik dolandırıcılığında kullanılabilir .

PCI uyumlu olmak, PCI Standartlar Konseyi tarafından belirlenen bir dizi yönergeye tutarlı bir şekilde bağlı kalmak anlamına gelir. PCI uyumluluğu, kredi kartlarının güvenliğini yönetmek amacıyla 2006 yılında kurulan bir organizasyon olan PCI Standartlar Konseyi tarafından yönetilir.

Konsey tarafından geliştirilen gereksinimler, Ödeme Kartı Endüstrisi Veri Güvenliği Standartları (PCI DSS) olarak bilinir. PCI DSS’nin 12 temel gereksinimi, 78 temel gereksinimi ve 400’ün üzerinde test prosedürü vardır. Yönergeler ayrıca en iyi güvenlik uygulamaları olarak kabul edilir. 12 ana gereksinimi aşağıdakileri içerir:

  1. Verileri korumak için güvenlik duvarları uygulayın
  2. Uygun şifre koruması
  3. Kart sahibi verilerini koruyun
  4. Aktarılan kart sahibi verilerinin şifrelenmesi
  5. Virüsten koruma yazılımı kullanın
  6. Yazılımı güncelleyin ve güvenlik sistemlerini koruyun
  7. Kart sahibi verilerine erişimi kısıtlayın
  8. Verilere erişimi olanlara atanan benzersiz kimlikler
  9. Verilere fiziksel erişimi kısıtlayın
  10. Erişim günlükleri oluşturun ve izleyin
  11. Güvenlik sistemlerini düzenli olarak test edin
  12. Belgelenen ve takip edilebilen bir politika oluşturun

PCI DSS en yeni sürümü Mayıs 2018 yılında piyasaya sürüldü ve sürümü 3.2.1 olarak anılır. Genel olarak, altı hedef ve 12 gereksinim, kredi kartı işlemcilerinin sürekli olarak takip etmesi gereken bir dizi adımı ana hatlarıyla belirtir. Şirketlerden önce bilgi teknolojisi altyapısını, iş süreçlerini ve kredi kartı işleme prosedürlerini içeren ağlarını ve sistemlerini değerlendirmeleri istenir.

PCI Uyumluluğunun Avantajları

Sosyal güvenlik  ve ehliyet numaraları gibi hassas kart sahibi bilgilerinin çalınmasını mümkün olduğunca önlemek için güvenlikteki boşlukların sürekli bakımı ve değerlendirilmesi de çok önemlidir .

Şirketlerin, kart işleme sözleşmelerinin bir parçası olarak düzenli olarak uyumluluk raporları sağlamaları gerekir. Ödeme Kartı Endüstrisi Veri Güvenliği Standartlarının izlenmesi, değerlendirilmesi ve denetimleri, bir şirketin güvenlik departmanının önemli bir parçasıdır.

Kredi kartı bilgilerini işleyen tüm şirketlerin, kart işleme sözleşmelerinde belirtildiği şekilde PCI uyumluluğunu sürdürmesi gerekir. PCI uyumluluğu endüstri standardıdır ve onsuz iş, anlaşma ihlalleri ve ihmaller için önemli para cezalarına neden olabilir. PCI uyumluluğu olmadan, şirketler ayrıca hırsızlık, dolandırıcılık ve veri ihlallerine karşı oldukça savunmasızdır.

% 95

İnsan hatasından kaynaklanan siber güvenlik ihlallerininyüzdesi.

Uyumluluğun faydaları arasında, veri ihlali riskinin azalması, kart sahibi verilerinin korunması ve böylece kimlik hırsızlığı olasılığının önlenmesi yer alır. Veri ihlalleri ile ilgili cezaları azalttığı, bir şirketin marka itibarına yardımcı olduğu, müşterileri mutlu ve sorumlu bir şirketle iş yaptıklarından emin oldukları ve marka sadakatine yol açtığı için şirketlerin uyumlu olmaları iyi bir uygulamadır.

2020’nin ilk yarısında, veri ihlalleri nedeniyle açığa çıkan 36 milyar kayıt vardı.İhlallerin yüzde seksen altısı finansal olarak motive edildi ve küresel bilgi güvenliği pazarının 2020’de 170 milyar dolara ulaşması beklendiğinden, finansal risk daha da yüksek. Kart sahibi verilerinin korunması sadece iş için iyi olmakla kalmaz, aynı zamanda yapılacak doğru şeydir ve insanların olumsuz bir şekilde zarar görmemesini veya herhangi bir mali kayba uğramamasını sağlar.

PCI Uyumluluğu ve Veri İhlalleri

PCI uyumluluğu, dolandırıcılık faaliyetlerinden kaçınmaya yardımcı olur ve veri ihlallerini azaltır. Verizon, “Verizon Ödeme Güvenliği Raporu” nda ödeme güvenliğinin yıllık bir değerlendirmesini sunar. 2019 Raporu, PCI DSS’ye “PCI DSS uyumluluğunun durumu, 2019: ve 12 temel gereksinim” adlı bir bölümün tamamını ayırır. “Verizon 2019 Ödeme Güvenliği Raporu” ndaki bazı PCI DSS önemli noktaları şunları içerir:

  • Kuruluşların% 36,7’si 2018’de PCI DSS programlarını aktif olarak sürdürüyordu.
  • Asya-Pasifik bölgesi Amerika, Avrupa, Orta Doğu ve Afrika’dan daha iyi performans gösterdi.
  • Endüstri perspektifinden, konukseverlik diğer sektörlerin biraz gerisinde kalıyor.

PCI Uyumluluğu SSS

PCI uyumlu ne anlama geliyor?

PCI uyumlu, kart sahiplerinin özel verilerini kabul eden, ileten veya depolayan herhangi bir şirket veya kuruluşun, verilerin güvenli ve gizli tutulmasını sağlamak için PCI Security Standard Council tarafından belirtilen çeşitli güvenlik önlemleriyle uyumlu olduğu anlamına gelir.

PCI uyumluluğu yasalarca gerekli midir?

PCI uyumluluğunu gerektiren bir düzenleyici yetki yoktur, ancak mahkeme emsalleri yoluyla zorunlu olarak kabul edilir.

PCI uyumlu nasıl edinirim?

PCI uyumlu olmak için, ilk önce uyumlu hale gelmek için hangi öz değerlendirme anketini takip etmeniz gerektiğini belirlemelisiniz. Anketi bitirdikten sonra, bir PCI SSC Onaylı Tarama Satıcısı ile güvenlik açığı taramasından geçme kanıtını tamamlamanız ve tutmanız gerekir. Tarama yalnızca bazı satıcılar için geçerlidir. Daha sonra Uygunluk Beyanını doldurmanız gerekecektir. Son adım, yukarıdaki bilgilerin tümünü göndermek olacaktır.

Kimler PCI uyumlu olmalıdır?

Kart sahiplerinin özel verilerini kabul eden, ileten veya depolayan herhangi bir şirket veya kuruluş.

Alt çizgi

PCI uyumluluğu, kuruluşların uygulaması ve sürdürmesi gereken PCI Güvenlik Standartları Konseyi tarafından belirlenen teknik ve operasyonel standartları ifade eder. PCI uyumlu olmanın amacı, kart sahibi verilerini korumaktır ve bu verileri kabul eden, ileten veya depolayan tüm kuruluşlar için geçerlidir. PCI uyumlu olmak, tüketici verilerinin güvenliğini ilk sıraya koyması ve aynı zamanda olumlu bir marka itibarı yoluyla bir kuruluşa fayda sağlaması açısından iyi bir iş uygulamasıdır.