PCI DSS Neden Önemlidir?
PCI DSS, kart sahibi verilerini korumak için Visa, Mastercard, American Express ve diğer büyük kart şirketleri tarafından oluşturulmuş güvenlik standardıdır.
Kredi kartı bilgileri son derece hassas verilerdir. Bu bilgilerin yetkisiz kişilerin eline geçmesi mali kayıplara, itibar zedelenmesine ve yasal yaptırımlara yol açabilir.
PCI DSS uyumluluğu, kart kabul eden tüm işletmeler için zorunludur. Uyumsuzluk durumunda para cezaları, kart kabul yetkisinin iptali ve veri ihlali durumunda ağır tazminatlar söz konusu olabilir.
PCI DSS Uyumluluk Seviyeleri
PCI DSS uyumluluğu dört seviyede değerlendirilir. Level 1 en yüksek güvenlik seviyesidir ve yılda 6 milyondan fazla işlem yapan kuruluşlar ile ödeme altyapı sağlayıcıları için geçerlidir.
Level 1 uyumluluğu, yıllık bağımsız denetim (QSA auditi), üç aylık ağ taraması ve sürekli güvenlik izleme gerektirir. Tahsilat.com, PCI DSS Level 1 sertifikasına sahiptir.
Level 2, 3 ve 4 daha düşük işlem hacimlerine sahip işletmeler içindir ve öz değerlendirme anketi (SAQ) ile uyumluluk sağlanabilir. Bir PCI DSS uyumlu ödeme geçidi kullanan işletmeler, kendi uyumluluk yüklerini önemli ölçüde azaltır.
PCI DSS Temel Gereksinimleri
PCI DSS, 12 temel gereksinim grubu içerir. Bunlar arasında güvenlik duvarı yapılandırması, şifreleme, erişim kontrolü, düzenli test ve izleme bulunur.
Ödemede kullanılan kart verileri, transit sırasında (iletim) ve durağan halde (saklama) şifrelenmelidir. Kart numarasının tamamı loglanmamalı ve maskelenmeden gösterilmemelidir.
Sistem bileşenlerine erişim yetki bazlı olmalıdır. Güvenlik açıkları düzenli olarak taranmalı ve penetrasyon testleri yapılmalıdır. Güvenlik politikaları dokümante edilmeli ve çalışanlar eğitilmelidir.