PCI DSS, Visa, MasterCard, Discover Financial Services, JCB International ve American Express tarafından 2004 yılında oluşturulan bir dizi güvenlik standardıdır. PCI SSC tarafından yönetilen uyum planı, veri hırsızlığı ve dolandırıcılığına karşı kredi ve banka kartı işlemlerini güvence altına almayı amaçlamaktadır.
PCI SSC‘nin uyumluluğu zorunlu kılmak için yasal bir yetkisi olmasa da, kredi veya banka kartı işlemlerini gerçekleştiren herhangi bir işletme için bir gerekliliktir. PCI sertifikası aynı zamanda hassas verileri ve bilgileri korumanın en iyi yolu olarak kabul edilir ve işletmelerin müşterileriyle uzun süreli ve güvenilir ilişkiler kurmalarına yardımcı olur.
PCI sertifikası, PCI SSC tarafından belirlenen bir dizi gereksinim aracılığıyla işletmenizde kart verilerinin güvenliğini sağlar. Bunlar, aşağıdakiler gibi yaygın olarak bilinen bir dizi en iyi uygulamayı içerir:
- Güvenlik duvarlarının kurulumu
- Veri aktarımlarının şifrelenmesi
- Anti-virüs yazılımının kullanımı
Ek olarak, işletmeler kart sahibi verilerine erişimi kısıtlamalı ve ağ kaynaklarına erişimi izlemelidir.
PCI uyumlu güvenlik, müşterilere işletmenizin işlem yapmanın güvenli olduğunu bildiren değerli bir varlık sağlar. Tersine, hem parasal hem de itibar açısından uyumsuzluğun maliyeti, herhangi bir işletme sahibini veri güvenliğini ciddiye almaya ikna etmek için yeterli olmalıdır.
Hassas müşteri bilgilerini ortaya çıkaran bir veri ihlali, bir işletme üzerinde ciddi yansımalara sahip olabilir. Bir ihlal, ödeme kartı veren kuruluşlardan para cezalarına, davalara, satışların azalmasına ve itibarın ciddi şekilde zarar görmesine neden olabilir.
Bir ihlal yaşandıktan sonra, bir işletme, kredi kartı işlemlerini kabul etmekten vazgeçmek zorunda kalabilir veya güvenlik uyumluluğunun ilk maliyetinden daha yüksek müteakip masrafları ödemeye zorlanabilir. PCI güvenlik prosedürlerine yapılan yatırım, ticaretinizin diğer yönlerinin kötü niyetli çevrimiçi aktörlerden korunmasını sağlamaya yönelik önlemlerdir.
PCI DSS Uyumluluk Seviyeleri
PCI uyumluluğu, bir iş sürecindeki yıllık kredi veya banka kartı işlemlerinin sayısına bağlı olarak dört seviyeye bölünmüştür. Sınıflandırma seviyesi, bir işletmenin uyumlu kalması için ne yapması gerektiğini belirler.
- Seviye 1: Yılda altı milyondan fazla gerçek dünya kredi veya banka kartı işlemi gerçekleştiren satıcılar için geçerlidir. Yetkili bir PCI denetçisi tarafından yürütülür, yılda bir kez iç denetimden geçmeleri gerekir. Ek olarak, üç ayda bir Onaylı Tarama Satıcısı (ASV) tarafından bir PCI taramasına göndermeleri gerekir.
- Seviye 2: Yıllık olarak bir ila altı milyon arasında gerçek dünya kredi veya banka kartı işlemi gerçekleştiren satıcılar için geçerlidir. Öz Değerlendirme Anketi (SAQ) kullanarak yılda bir kez bir değerlendirme tamamlamaları gerekir. Ek olarak, üç ayda bir PCI taraması gerekebilir.
- Seviye 3: Yılda 20.000 ila bir milyon arasında e-ticaret işlemi gerçekleştiren satıcılar için geçerlidir. İlgili SAQ’yu kullanarak yıllık bir değerlendirmeyi tamamlamaları gerekir. Üç ayda bir PCI taraması da gerekli olabilir.
- Seviye 4 : Yılda 20.000’den az e-ticaret işlemi gerçekleştiren veya bir milyona kadar gerçek dünya işlemi gerçekleştiren satıcılar için geçerlidir. İlgili SAQ kullanılarak yıllık bir değerlendirme tamamlanmalıdır ve üç ayda bir PCI taraması gerekebilir.
PCI DSS gereksinimleri öğrenmek için hemen tıklayın.
PCI Uyumluluğu ve Web Uygulaması Güvenlik Duvarları
PCI DSS, kuruluşundan bu yana, çevrimiçi tehdit ortamındaki değişikliklere ayak uydurmak için birkaç yinelemeden geçti. Uyum için temel kurallar sabit kalırken, periyodik olarak yeni gereksinimler eklenmektedir.
Bu eklemelerden en önemlilerinden biri 2008’de tanıtılan Gereksinim 6.6’ydı. SQL enjeksiyonları, RFI ve diğer kötü niyetli girdiler dahil olmak üzere en yaygın web uygulaması saldırı vektörlerinden bazılarına karşı verileri korumak için oluşturuldu.
Bu gereksinimin karşılanması, uygulama kodu incelemeleri veya bir web uygulaması güvenlik duvarı (WAF) uygulanarak sağlanabilir.
İlk seçenek, uygulama güvenliğine yönelik bir güvenlik açığı değerlendirmesiyle birlikte web uygulaması kaynak kodunun manuel olarak incelenmesini içerir. İncelemeyi yürütmek için nitelikli bir dahili kaynak veya üçüncü taraf gerekirken, son onay dış bir kuruluştan alınmalıdır.
Alternatif olarak, işletmeler uygulama ve istemciler arasında dağıtılan bir WAF kullanarak uygulama katmanı saldırılarına karşı koruma sağlayabilir. WAF, gelen tüm trafiği inceler ve kötü niyetli saldırıları filtreler.