PCI DSS (Payment Card Industry Data Security Standard), ödeme kartı endüstrisinde veri güvenliğini sağlamak için belirlenen bir standarttır. Bu standart; Visa, MasterCard, American Express, Discover ve JCB gibi önde gelen ödeme kartı şirketleri tarafından oluşturulmuş ve PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından yönetilmektedir.
E-ticaret firmaları müşterilerinin kredi kartı bilgilerini işledikleri için bu verilerin güvenliğini sağlamakla yükümlüdürler. Güvenlik ihlalleriyle ilişkili riskler artarken veri sızıntıları ve dolandırıcılık vakaları giderek daha sık görülmektedir.
Veri ihmalleri yüzünden işletmeniz ciddi yaptırımlarla karşı karşıya kalabilir. Yüksek para cezaları ve müşteri güveni kaybı, işletmenizin itibarını ve finansal durumunu ciddi şekilde etkileyebilir.
Dahası, veri ihlalleri veya güvenlik açıkları nedeniyle hukuki sorunlarla da karşılaşma riski vardır. Dolayısıyla tüm bunlar PCI-DSS uyumluğunun ihmal edilmesinin ne kadar büyük bir risk taşıdığının altını çizmektedir.
Peki, PCI DSS uyumluluğu nedir? PCI DSS veri güvenlik önlemleri nelerdir?
PCI DSS Nedir?
Türkçemizde Ödeme Kartı Sektörü Veri Güvenliği Standardı olarak geçen PCI DSS, online ödemelerde kredi kartı bilgilerinin güvenliğini sağlamak amacıyla kullanılan bir dizi önlemlerdir.
PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından yönetilen bu standart ödeme kartı işlemleriyle uğraşan tüm kuruluşlar için geçerlidir.
Özellikle online alışveriş gibi internet üzerinden yapılan ödemelerde müşterilerin kart bilgilerinin güvenliği büyük önem taşır.
PCI DSS, işletmelerin müşteriye ait kredi kartı numaraları gibi hassas verileri veya kart doğrulama değerlerini (CAV2, CVC2, CVV2, CID, PIN vb.) şifreleyerek bu bilgilerin güvende kalmasını sağlar.
Bununla birlikte PCI DSS aynı zamanda işletmelerin güvenli ağlar oluşturmasını, güvenlik yazılımlarının kurulmasını ve düzenli olarak güvenlik testleri yapmasını da gerektirir.
PCI DSS Uyumluluğu Nedir?
PCI DSS uyumlu olmak, organizasyonunuzun yıllık kredi kartı işlem sayısına göre belirlenen gereklilikleri yerine getirmesi anlamına gelir.
PCI DSS uyumluluğunun kontrol edilmesi için organizasyon seviyesinin belirlenmesi ve güvenli bir ağ oluşturulması gibi denetimlerin resmi olarak beyan edilmesi gereklidir.
Bu denetimler kart verilerinin şifrelenmesi, güvenlik yazılımlarının kullanılması, ağ güvenliğinin sağlanması, fiziksel erişimin kontrol altında tutulması gibi bir dizi güvenlik önlemi içerir.
Aşağıda PCI DSS denetimi için gerekli olan 12 adımlık listeyi bulabilirsiniz.
PCI DSS Gereksinimleri
PCI DSS kredi kartı işlemlerinde kullanılan verilerin güvenli işlenmesi, saklanması ve iletilmesi için belirli denetimleri zorunlu kılmıştır.
PCI DSS uyumluluğu denetimi açısından kontrol edilmesi gereken 12 adet madde bulunmaktadır:
- Kart sahibi verilerini korumak için bir güvenlik duvarı sistemi kurun ve sürdürün.
- Sistem şifreleri ve diğer güvenlik parametreleri için tedarikçi tarafından sağlanan varsayılanları kullanmayın.
- Saklanan kart sahibi verilerini koruyun.
- Açık, kamusal ağlarda kart sahibi verilerinin iletilmesini şifreleyin.
- Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve anti-virüs yazılımını veya programlarını güncelleyin.
- Güvenli yazılımlar kullanın.
- İş gereksinimi doğrultusunda kart sahibi verilerine erişimi kısıtlayın.
- Sistem bileşenlerine erişimi tanımlayın ve doğrulayın.
- Kart sahibi verilerine fiziksel erişimi kısıtlayın.
- Ağ kaynaklarına ve kart sahibi verilere erişimi izleyin ve denetleyin.
- Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.
- Tüm personel için bilgi güvenliği politikasını sürdürün ve bu politikayı belirleyin.
PCI DSS Seviyeleri
PCI DSS standartlarına tabi olan işletmelerin PCI DSS uyumluluklarını raporlama yöntemleri yıllık işlem sayılarına göre belirlenir. Başka bir deyişle PCI DSS seviyeleri firmaların yıllık olarak işlediği kredi kartı işlem sayısına göre düzenlenir.
Standardı karşılamaya yönelik özel gereksinimler, şirketinizin düzeyine bağlı olacaktır ve bu da yılda kaç kredi kartı işlemi gerçekleştirdiğinize göre belirlenir:
- 1. Seviye: Yılda 6 milyon veya daha fazla kart işlemi yapan büyük işletmeler bu seviyededir.
- 2. Seviye: Yılda 1 ila 6 milyon arasında kart işlemi gerçekleştiren orta ölçekli işletmeler bu seviyededir.
- 3. Seviye: Yılda 20.000 ile 1 milyon arasında kart işlemi gerçekleştiren küçük işletmeler bu seviyededir.
- 4. Seviye: Yılda 20.000’den az kart işlemi gerçekleştiren işletmeler bu seviyededir.
Her seviyede farklı uyumluluk gereksinimleri bulunur ve bu gereksinimler, organizasyonun işlediği kart işlem sayısına göre belirlenir.
Daha yüksek seviyelerdeki işletmelerin ekstra denetimden geçmesi gerekirken, daha düşük seviyelerdeki işletmeler için gereksinimler kısmen esnektir.
PCI DSS Sertifikasının E-Ticaret Siteleri İçin Önemi
E-ticaret siteleri için PCI DSS sertifikası artık bir standart haline gelmiştir. Çünkü e-ticaret endüstrisini karlı hedefler olarak gören siber suçlular hassas verileri elde etmek için sürekli yeni yollar arıyorlar.
2013 yılında, ABD’nin perakende devi Target Corporation’a siber saldırı gerçekleşti ve beraberinde ağlarından 40 milyon kredi ve banka kartı numarası çalındı.
Target Corporation 2013 yılındaki veri ihlali sonrasında ciddi mali cezalara maruz kaldı.
Federal Ticaret Komisyonu (FTC) ve diğer regülatörlerle yapılan anlaşmalar kapsamında, Target 18.5 milyon dolarlık tazminat ödemeyi kabul etti.
Ayrıca bankalara ve kart çıkaran kuruluşlara 10 milyon dolarlık bir dava açıldı ve bu kuruluşlar, müşterilerin zararlarını telafi etmek için yapılan ödemelerin bir kısmını Target’tan geri talep ettiler.
Toplamda Target’ın 2013 veri ihlali sonucunda ödediği mali cezaların tutarı 2022 yılı itibarıyla 300 milyon doları aşmıştır.
Durum sadece finansal sonuçlardan ziyade, firmanın müşteriler açısından itibarının zedelenmesiyle de devam etti.
Target’ın 2013’teki veri ihlali sonucunda ödediği yüksek mali cezalar, e-ticaret işletmeleri için veri güvenliğinin önemini göstermektedir.
E-ticaret işine girdiğinizde, müşteri verileri için sorumluluk alırsınız. Verileri kendi ekipmanınızda bulundurmasanız bile, güvende olduğundan emin olmak sizin sorumluluğunuzdadır.
Dolayısıyla PCI DSS uyumluluğu e-ticaret işletmeleri için kaçınılmaz bir gerekliliktir. Belirlenen standartlar müşteri verilerinin korunmasını sağlayarak hem işletmelerin güvenilirliğini artırır hem de potansiyel veri ihlali riskini en aza indirir.
PCI DSS Sertifikası Nasıl Alınır?
PCI DSS sertifikasyonu almak için öncelikle organizasyonunuzun belirtilen gereksinimlerini karşılaması gerekmektedir.
Sertifikasyon kuruluşları (PCI SSC) organizasyonunuzun iş süreçlerini, prosedürlerini, sistemlerini ve uygulamalarını gözden geçirecek ve uygunluk düzeyini değerlendirmek için penetrasyon testleri gibi güvenlik testleri yapacaklardır.
Bu sürecin ardından sertifikasyon kuruluşu uygunluk düzeyinizi değerlendirecek ve sertifikayı almanız için gerekli adımları belirleyecektir.
PCI DSS Zorunlu Mu?
Kredi kartı verilerini ileten, saklayan, işleyen veya kabul eden her işletme, boyutu veya işlem hacmi ne olursa olsun PCI DSS Standartları’na uymak zorundadır.
Yani senede üç kredi kartı işlemi gerçekleştirseniz bile, üçüncü taraf bir ödeme işlemcisi kullanıyor olsanız veya kredi kartı verilerini saklamıyor ancak sunucunuzdan geçiriyorsanız bile, PCI standartlarına uyumlu olmanız gerekmektedir.
PCI DSS Uyumlu Vepara ile Ödemeleriniz Güvende!
PCI DSS sertifikası almak oldukça karmaşık ve zaman alıcı bir süreç gibi gözükebilir. İşletmenizin bu zahmetli süreçten kurtulması ise oldukça basit.
Vepara, üye iş yerlerine doğrudan PCI DSS sertifikasını sunarak sizin için işleri kolaylaştırıyor. Vepara Sanal POS entegrasyonu sayesinde, otomatik olarak PCI DSS sertifikasına sahip oluyorsunuz.
Bu da demek oluyor ki işletmeniz güvenlik endişeleriyle uğraşmak yerine müşterilerinize güvenli bir alışveriş deneyimi sunabiliyor.
Siz işinizi büyütmeye odaklanın, güvenliği bize bırakın.
%0’dan başlayan komisyon oranlarıyla PCI DSS uyumlu Vepara Sanal POS ile ödemelerinizi güvende!
