PCI DSS Hizmeti

PCI DSS Nedir?

PCI DSS hassas kredi kartı bilgilerini işleyen, ileten ve saklayan sistemlerinizin güvenli olmasını sağlar. Bu sisteme sahip işyerlerine müşterilerin güvenebileceği anlamı gelmektedir. Düzenli devam eden bir süreç olup firmayı bilgi hırsızlığı ve güvenlik saldırılarına karşı canlı tutar. TSE, Cobit, ISO 27001, vs. gibi diğer standartlara uyumu kolaylaştırır. Kurum bilgi güvenliği için sağlam bir temeli oluşturur. BT altyapısının sürekli iyileştirme fırsatlarını olumlu yönde etkiler.

E-ticaret pazarı milyarlarca dolarlık bir hacme ulaşmıştır. PCI DSS, Ödeme Kartları Sektörü Veri Güvenliği Standardı olarak bilinen, kredi kartlarını kullanan kuruluşlar için gerekli bir bilgi güvenliği standardıdır.

PCI Standardı, kart markaları tarafından zorunlu kılınır ancak Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı Konseyi (2006 yılında MasterCard, Visa, American Express vb. gibi firmalar konsorsiyumu) tarafından yönetilir. Standart, kredi kartı sahtekârlıklarını azaltmak ve müşteriye dair tüm bilgiler etrafındaki kontrolleri artırmak için oluşturulmuştur.

Müşteri ihtiyaç ve alışkanlıklarının değişmesi ile güvenlik standartlarının güncellenmesi gerekir. PCI DSS bir kuruluşun en az yılda bir kez ve bilgi altyapısındaki önemli değişikliklerden sonra bir sızma testi yapmasını gerektirir.

PCI DSS'de Seviyeler

Siber güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilir. Farklı seviyelere göre de uyum doğrulamayı gerektirecek değişik yollar ortaya çıkar.

Visa ve Master card kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:

✓  Seviye 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
✓  Seviye 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
✓  Seviye 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
✓  Seviye 4: Yılda 20 binden az işlem yapılan firmalar.

PCI DSS Danışmanlığı

PCI DSS danışmanlık hizmeti ile internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği konusunda uluslararası standartlara ulaşması mümkündür. Bu sistem ve kurallar bütün ile kart sahiplerinin kişisel verileri ve güvenliklileri koruma altında alınır.

Secromix PCI DSS danışmanlık hizmeti ile ödeme güvenliği konusunda belirlenmiş standartlara ve güvenlik yöntemlerine uyarak güvenli hizmet sunumu desteklenmektedir.

PCI DSS Sertifikası ve Uyumluluğu Neden Önemlidir?

Bu standart sayesinde internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği konusunda uluslararası standartlara ulaşması mümkün olup bu sistem ve kurallar sayesinde kart sahiplerinin kişisel verileri ve güvenliklileri koruma altına alınmış olur. PCI DSS sadece kredi kartı ile ödeme alan işletmeler için değil, kart sahiplerinin bilgilerini depolayan ve iletimini sağlayan işletmeler için de son derece önemlidir.

Kredi kartıyla işlem yapan tüm üye iş yerleri ve bankalar için geçerli olan PCI DSS Sertifikası, kriterlerine uymayan firmaların kredi kartı ile satış yapma yetkisini durdurmaya gidebilecek yaptırımları uygulama gücüne de sahiptir.

PCI DSS Zorunluluğu

Günümüzde internet ve teknolojinin devamlı gelişmesine bağlı olarak ortaya çıkan sanal dolandırıcılığın engellenmesi için PCI DSS zorunluluğu oldukça önemli bir hal almıştır. PCI DSS, kredi kartı işlemlerine ilişkin kartın korunması, bilgilerinin iletimi ve işlenmesine ilişkin uyulması gereken kurallar bütününü ifade eder. Müşteri ve itibar kayıplarının önüne geçilmesi.

Depolama alanını ve kritik verilerin süresini en aza indirin.

Bu yayın bağlamında hassas veriler, güvenliği PCI DSS + GDPR gereksinimleri   tarafından düzenlenen verilerdir (kart ve kişisel veriler gibi). ‘Bu tür veriler   prensipte gerekli midir yoksa anonim hale getirilebilir mi’, ‘Bu ciltte kritik   verileri depolamak gerçekten gerekli mi’, ‘Yinelenen veriler önlenebilir mi ve nasıl en aza indirilebilir’ gibi sorulara cevap bulmak lazımdır.

Veri tabanlarındaki kritik verilerin şifrelenmiş biçimde saklanması tavsiye edilir.

Kritik veriler şifrelenmiş olarak saklanmalıdır. Bir veri tabanı (veya dosya sistemi) aracılığıyla şifreleme yeterlidir. Ancak, veri aktarımının bir parçası olarak ek şifreleme kullanmak ve daha sonra veri tabanına şifrelenmiş biçimde yerleştirmek çok daha güvenlidir.

Bu durumda, güçlü bir şifreleme algoritması belirlemek, anahtar değiştirildiğinde verilerin yeniden şifrelenmesi olasılığını sağlamak ve ayrıca bir anahtarı depolamak veya oluşturmak için güvenli bir yöntem sağlamak gerekir.

İstemci ağ veri akışları şifrelenmelidir.

Kritik veriler, şifrelenmiş bir kanal üzerinden iletilmelidir. Kritik ağ verileri, şifrelenmiş bir kanal üzerinden iletilmelidir. Resmi olarak TLS güvenlik protokolünü kullanmak yeterlidir, ancak aktarılan bilgilerin yazılım düzeyinde şifrelenmesini sağlamak daha iyidir. Uygulamanın veritabanlarına şifreli olarak bağlanması tavsiye edilir.

Parola gücü için gereksinimler.

Kaba kuvvet saldırılarına geçit vermeyen şifreler seçilmelidir. Şifrelerin depolanması ve iletilmesi, tehlikeye düşme olasılığını en aza indirecek şekilde (şifre saklama, ayrı saklama vb.) sağlanmalıdır.

Ödeme kartlarının fotoğrafları alınırsa, güvenlik gerekliliklerine uygun olmalıdır.

Doğrulama süreçleri için kullanıcı verilerinin toplanması genellikle, kart verilerinin (PANCVV) gösterilebileceği ödeme kartlarını gösteren grafik materyallerin toplanmasını içerir. Basit bir çözüm olarak bu tür verileri sistemlerden silmek ve müşteriden gerekli formatın kendi başına fotoğraf kopyalarını yeniden sağlamasını istemektir. Bir sonraki seçenek, kritik verileri kendiniz silmek ve fotoğrafı onsuz kaydetmektir. Daha da ilginç bir seçenek ise grafik görüntülerde CVV ve kart numaralarını tanımak ve bulanıklaştırmak için kendinizin yazabileceği veya satın alınan hizmetlerdir.

Veri tabanları, uygulama alt ağından ayrı bir alt ağda olmalıdır.

Kritik veri sızıntısı riskini azaltmak için, veritabanları uygulamaların bulunduğu alt ağdan ayrı konumlandırılmalıdır. Her yerde bulunan sanallaştırma göz önüne alındığında, veritabanı ve uygulamaların ek olarak ayrılması olasılığının da göz önünde bulundurulması önerilir.

Çalıştırma sürecinde tüm test parametreleri silinmelidir.

Kritik veri sızıntısı riskini azaltmak için, veritabanları uygulamaların bulunduğu alt ağdan ayrı konumlandırılmalıdır. Her yerde bulunan sanallaştırma göz önüne alındığında, veritabanı ve uygulamaların ek olarak ayrılması olasılığının da göz önünde bulundurulması önerilir.

Çalıştırma sürecinde tüm test parametreleri silinmelidir.

Kimlik bilgileri genellikle entegrasyonun bir parçası olarak kullanılır. Bu da bazı riskleri beraberinde getirir. Üretim ortamına aktarılırken test verilerinin kullanılması tavsiye edilir, bu tür veriler değiştirilmeli veya silinmelidir.

daha fazla bilgiye mi ihtiyacınız var?

Aradığınızı bulamadınız veya daha fazla bilgiye ihtiyacınız var ya da teklif almak istiyorsunuz. Yandaki formu doldurun uzman danışmanlarımız en kısa zamanda size ulaşsın…

Hizmet Teklif Al