Payment Card Industry Data Security Standard (PCI DSS), kredi, banka ve nakit kartı işlemlerinin güvenliğini sağlamayı amaçlayan ve kart sahiplerini kişisel bilgilerinin kötüye kullanılmasına karşı korumayı amaçlayan, yaygın olarak kabul gören bir dizi politika ve prosedürdür . PCI DSS, 2004 yılında dört büyük kredi kartı şirketi tarafından ortaklaşa oluşturulmuştur. Bunlar: Visa, MasterCard, Discover ve American Express.
PCI-DSS’nin 12 Gereksinimi
PCI DSS standardı, altı ana başlığa ayrılmış 12 gereksinim halinde düzenlenmiştir.
1- Güvenli Bir Ağ Oluşturma
*Kart sahibi verilerini koruyan bir güvenlik duvarı yapılandırması kurun ve aktif edin.
Bu gereksinim başlıktan da anlaşılabileceği gibi yetkisiz erişimi önlemek için gelişmiş güvenlik duvarlarının kullanımını içermektedir. Firewall, şirketin güvenilen iç ağları ve güvenilmeyen dış ağlar arasındaki iletişimden sorumludur.
*Sistem şifrelerini ve güvenlik parametrelerini işlerken satıcı tarafından sağlanan varsayılan bilgileri kullanmaktan kaçının.
Varsayılan şifreler veya güvenlik parametreleri genellikle bilinir ve kötüye kullanılması neredeyse kaçınılmazdır. Varsayılan bilgileri anında değiştirmek güvenlik ortamının kalitesini daha da arttıracaktır.
2- Kart Sahiplerinin Verilerini Koruyun
*Kart sahibinden alınan verileri koruyun.
Yalnızca gerekli minimum veriler saklanmalı ve şifreleme, maskeleme ve hash ile korunmalıdır. Bunun yanı sıra , CVN ve PIN verileri asla şirket tarafından saklanmamalıdır.
*Kart sahibi bilgilerinin açık ve genel ağlar üzerinden iletimi şifrelenmelidir.
Hassas verileri korumak için TLS, IPSec ve SSH gibi güvenlik protokollerine ihtiyaç duyulurken, genel ağlarda veri aktarımı ile ilgili güvenlik politikaları açıkça yayınlanmalı ve belgelenmelidir.
3- Bir Güvenlik Açığı Yönetim Programına Sahip Olun
*Tüm sistemlerin kötü amaçlı yazılımlara karşı uygun şekilde korunduğundan ve antivirüs yazılımıyla güncellendiğinden emin olun.
Tüm kötü amaçlı yazılımları 7 gün 24 saat tespit etmek ve kötü amaçlı yazılımları sistemden uzaklaştımak için siber güvenlik araçlarını kullanmak gerekmektedir. Bunları devre dışı bırakmak, yalnızca belirli bir işlem için yetki verildiğinde gerçekleşmelidir.
*Güvenli uygulamalar ve sistemler geliştirin.
Güvenlik açıklarının risk faktörlerine göre tanımlanması ve derecelendirilmesi gerekirken, belirli satıcılardan gelen tüm yazılım güncellemeleri ve yamaları, yayınlandıktan sonraki 30 gün içinde kurulmalıdır. Bakım konuları, dahili ve harici olarak geliştirilen uygulamalarla ilgilidir.
4- Erişim Kontrolü Önlemleri Uygulayın
*Kart sahibi verilerine erişimi kısıtlayın.
Kullanıcı ayrıcalıklarının kötüye kullanılması, çevrimiçi saldırıların en yaygın biçimlerinden biridir ve tanımlanması da çok zor olabilir. Erişim haklarının hassas verilerle sınırlandırılması, erişimi reddetmek için erişim kontrol varsayılanlarının ayarlanması gerekmektedir.
*Sisteme erişimi tanımlayın ve doğrulayın.
Belgelenmiş ilkeler ve prosedürler, tüketici olmayan kullanıcılara ve yöneticilere özel odaklanılarak tüm sistem bileşenlerinde kullanılmalıdır. Tüm kullanıcıların kullanıcı kimliklerine sahip olması gerekirken, uzak ağlar üzerinden erişim için iki faktörlü kimlik doğrulama uygulanmalıdır.
*Kart sahibi verilerine erişimi fiziksel düzeyde sınırlayın.
Sunucu odalarına, veri merkezlerine ve hassas verileri barındıran diğer konumlara erişim kısıtlanmalıdır. Depolama, erişim ve dağıtım kontrollü bir ortamda gerçekleştirilmelidir.
5- Ağları Düzenli Olarak İzleyin ve Test Edin
*Ağa ve kart sahibi verilerine erişimi izleyin.
Veri kaydı, hasarı önler, tespit eder ve en aza indirir, bu nedenle denetimlerin güvenli bir şekilde uygulanması gerekir. Talep edildiğinde güvenlik ekibine 3 aylık gerçek zamanlı bir analiz sunulmalı ve tüm veriler minimum bir yıl süreyle tutulmalıdır.
*Güvenlik öğelerini düzenli olarak test edin.
Sistemleri ve süreçleri kapsamalıdır. Haftalık kritik dosya karşılaştırmaları, personeli yetkisiz sistem değişiklikleri konusunda hızlı bir şekilde uyarabilir.
6- Bir Bilgi Güvenliği Politikası Oluşturun
*Veri koruma ve bilgi güvenliğini ele alan bir politika oluşturun.
En iyi sonuçlar için güvenlik politikası oluşturulmalı, yayınlanmalı, sürdürülmeli ve yaygınlaştırılmalıdır. Herhangi bir saldırı veya ihlalin verimli bir şekilde ele alınabilmesi için risk değerlendirmeleri, kullanım politikaları ve olay müdahale planları da oluşturulmalıdır.
PCI DSS Uyumlu musunuz?
PCI-DSS, kişisel ayrıntılar ve ödeme bilgileri dahil olmak üzere hassas kart sahibi verilerinin işlenmesine ilişkin küresel olarak kabul edilen standartları oluşturan bir gereksinimler bütünüdür.
E-ticaret platformunuzun PCI DSS‘ e uyumlu olduğu konusunda endişeleriniz varsa, bizimle iletişime geçebilirsiniz. SecroMix, hem kuruluşların hem de onlara güvenen müşterilerin verilerini güvence altına alma konusunda uzmandır.