LogoImage
menu-line

Papel Blog /

PCI DSS Nedir? Şirketler İçin Neden Önemlidir?

Blog Image

PCI DSS Nedir? Şirketler İçin Neden Önemlidir?


PCI DSS, kartla ödeme yapan kullanıcıların verilerini korumak için geliştirilmiş uluslararası standart ve teknolojiler bütünüdür.

#Güvenli-Ödeme

4 dakika

Son Güncelleme: Eki 7, 2024

Blog Image

Blog İçeriği

PCI DSS'in Tarihçesi

PCI DSS Uyumluluğu

PCI DSS Sertifikasyonu İçin Gereksinimler

PCI DSS Seviyeleri Nelerdir?

Şirketler ve İşletmeler Neden PCI DSS Sertifikası Alır?

Paylaş

KopyalaCopyIcon
KopyalaCopyIcon

Paylaş


Açılımı Payment Card Industry Data Security Standart (Ödeme Kart Sektörü Veri Güvenliği Standartları) olan PCI DSS, 5 ödeme kartları şirketi tarafından geliştirilen bir dizi güvenlik standardıdır ve ödeme kartı bilgilerini korumayı amaçlar.


İster fiziki ister online olsun, ödeme kartlarıyla yapılan tüm alışverişlerde kart bilgilerinin güvenliği en önemli konulardan biridir. Güvenli bir ödeme deneyimi için kart verilerinin işlenmesi, saklanması ve iletilmesi ile ilgili bir dizi kural ve standart, PCI DSS tarafından belirlenir. Dünya çapında birçok banka, finans kuruluşu ve şirket, bu standartları takip ederek daha güvenli bir ödeme altyapısına sahip olur.



PCI DSS'in Tarihçesi


İlk kredi kartı 1950’lerde American Express tarafından piyasaya sürüldü. Bu dönemde ödeme güvenliğiyle ilgili sorunlar da ortaya çıkmaya başladı. 1970’lerde kart sahiplerinin bilgilerini korumak adına manyetik şerit teknolojisi geliştirilirken, 1990’ların sonunda ise internetin de yaygınlaşmasıyla beraber online ödemeler popüler hale gelmeye başladı. Ancak gelişen teknoloji ve yaygınlaşan kart kullanımı, aynı zamanda yeni güvenlik risklerini beraberinde getirdi. Ödeme hizmeti şirketleri, güvenliği artırmak ve standartlar belirlemek için kendi programlarını oluşturdu. Dönemin en büyük ödeme hizmeti kuruluşlarının programları şöyleydi:


Visa: Kart Sahibi Bilgi Güvenlik ProgramıMastercard: Site Veri Koruma ProgramıAmerican Express: Veri Güvenliği İşletim PolitikasıDiscover: Bilgi Güvenliği ve Uyum ProgramıJCB: Veri Güvenlik Programı


2004 yılında bir araya gelen bu 5 şirket, PCI Güvenlik Standartları Konseyi'ni (PCI SSC) kurdu. Bu konsey, ödeme kartı bilgilerinin güvenli bir şekilde işlenmesi, saklanması ve iletilmesi için uluslararası standartlar belirledi. PCI DSS olarak isimlendirilen ve gelişen teknolojiye göre sürekli güncellenen bu standartlar, uluslararası kabul gördü.



ss



PCI DSS Uyumluluğu


PCI DSS kapsamında, 300'den fazla güvenlik kontrolü vardır. PCI Konseyi tarafından yayımlanan PCI DSS ile ilgili bin 800 sayfadan fazla resmi belge bulunur. PCI DSS uyumluluğunu tamamlamak için gerekli tüm resmi belgeleri okumak bile yaklaşık 72 saat sürer.


PCI DSS, güvenli bir ağ altyapısının oluşturulmasıyla beraber ağ güvenliğinin sağlanması, kredi kartı verilerinin güvenli bir şekilde saklanmasıyla kart verilerinin korunması, kart verilerine erişimin sadece yetkilendirilmiş kişilere açık olması suretiyle erişim kontrolünün sağlanması, sistemlerin düzenli olarak izlenmesi, güvenlik testlerinin yapılması, güvenlik politikalarının oluşturulması ve çalışanlara bu politikaların öğretilmesi konularını kapsar. PCI DSS uyumlu bir sistemin kurulması, güvenliği artırarak dolandırıcılık olaylarının azalmasını sağlar. İşletmelerin itibarını korumanın yanı sıra işletmelerin yasal gerekliliklere de uymalarını sağlar.



PCI DSS Sertifikasyonu İçin Gereksinimler


PCI DSS uyumluluğu için kontrol edilmesi gereken 12 ana gereksinim ve 300'den fazla alt gereksinim vardır. Ana gereksinimler şöyledir:
  • Ağ güvenlik kontrollerini kurun ve sürdürün,
  • Tüm sistem bileşenlerine güvenli yapılandırmalar uygulayın,
  • Saklanan kart sahibi verilerini koruyun,
  • Kart sahibi verilerini, kamuya açık ağlar üzerinden iletim sırasında güçlü şifreleme ile koruyun,
  • Tüm sistemleri ve ağları kötü niyetli yazılımlardan koruyun,
  • Güvenli sistemler ve yazılımlar geliştirin ve sürdürün,
  • Sistem bileşenlerine ve kart sahibi verilerine erişimi iş gereksinimi ile sınırlayın,
  • Kullanıcıları tanımlayın ve sistem bileşenlerine erişimi kimlik doğrulaması ile kontrol edin,
  • Kart sahibi verilerine fiziksel erişimi sınırlayın,
  • Tüm sistem bileşenlerine ve kart sahibi verilerine erişimleri kaydedin ve izleyin,
  • Sistemlerin ve ağların güvenliğini düzenli olarak test edin,
  • Bilgi güvenliğini organizasyonel politikalar ve prosedürlerle destekleyin.


PCI DSS Seviyeleri Nelerdir?


PCI DSS uyumluluğuna sahip olmak isteyen şirketler için farklı seviyeler vardır. Gereksinimler ve kontroller, sertifikasyon seviyesine göre değişir. PCI DSS seviyeleri şöyledir:



Seviye 1: Yılda 6 milyon veya daha fazla işlem gerçekleştiren şirketler,


Seviye 2: Yılda 1 ila 6 milyon işlem gerçekleştiren şirketler,


Seviye 3: Yılda 20 bin ila 1 milyon işlem gerçekleştiren şirketler,


Seviye 4: Yılda 20 binden az işlem gerçekleştiren şirketler.



ss


Şirketler ve İşletmeler Neden PCI DSS Sertifikası Alır?


Özellikle ödeme kartı bilgilerini işleyen, saklayan veya ileten şirketler için PCI DSS sertifikasına sahip olmak oldukça önemlidir. Bankalar ve finans kuruluşları, elektronik para ve ödeme kuruluşları, oteller ve restoranlar, e-ticaret platformları ve telekomünikasyon şirketleri gibi şirketlerin güvenli bir müşteri deneyimi için gereksinimleri yerine getirerek, PCI DSS uyumlu olması büyük önem taşır. Bir şirket için PCI DSS sertifikasına sahip olmanın avantajlarını kısaca şöyle özetleyebiliriz:


Hukuki Uyumluluk


Birçok ülkede, ödeme kartı bilgilerini işleyen işletmelerin PCI DSS'ye uyumlu olması gerekmektedir. Uyumsuzluk, yasal yaptırımlara ve cezalara neden olabilir.


Güvenlik Artışı


PCI DSS, ödeme kartı bilgilerinin güvenli bir şekilde saklanmasını, işlenmesini ve iletilmesini sağlayacak güvenlik önlemleri ve protokollerini belirler. Bu standartlara uyum, veri ihlalleri ve dolandırıcılık gibi güvenlik tehditlerine karşı koruma sağlar.


Müşteri Güveni


Müşteriler, ödeme bilgilerinin korunduğunu bilerek işlemlerini daha güvenli bir şekilde yapabilirler. PCI DSS sertifikası, işletmenin güvenli bir altyapı sunduğunu gösterir.


Finansal Zararların Önlenmesi


Veri ihlalleri, işletmeler için önemli mali kayıplara neden olabilir. PCI DSS uyumu, bu tür ihlallerin önlenmesine yardımcı olarak, işletmelerin olası zararlarını azaltır.


Marka İtibarının Korunması


Bir veri ihlali, şirketin itibarına zarar verebilir ve müşteri kaybına yol açabilir. PCI DSS sertifikası, işletmenin veri güvenliğine verdiği önemi gösterir ve marka imajını güçlendirir.


Kaynaklar: 1, 2

Okumaya Devam Et

Tümünü GörArrowIcon

3D Secure ve CVV Kodu Nedir? Güvenli Alışverişlerde Neden Gereklidir?

İnternet alışverişlerinde güven ilk sırada gelir. Ödeme güvenliğini artıran 3D Secure korumasıyla ilgili bilinmesi gerekenleri bir araya getirdik.

ImageBlog
4 dakika

Finansal Okuryazarlık ile İlgili Bilmen Gerekenler: Nedir ve Neden Önemlidir?

Öngöremeyeceğimiz birçok olasılık bizim hayatımızı etkileyebilir. Bu ekonomik durumumuz için de geçerli.

ImageBlog
6 dakika

Kişisel Veri Nedir? Kişisel Veri Güvenliği Nasıl Sağlanır?

Günümüz dünyasında birçok önemli bilgi sanal ortamda saklanıyor. Kullanıcılar için büyük avantajlar sağlayan bu durum, aynı zamanda potansiyel tehditleri de içinde barındırıyor.

ImageBlog
5 dakika

Papel Bülten’e abone ol.

Finans dünyasındaki gelişmelerden ve Papel yeniliklerinden haberdar ol.

Gizlilik Politikası'nı‎‎ kabul ediyorum