Bilişim Evreni PCI DSS, Payment Card Industry Data Security Standard’ın kısaltmasıdır; Visa, MasterCard, American Express, Discover ve JCB gibi 5 uluslararası ödeme kuruluşu tarafından yönetilen, ödeme kartlarını saklayan, ileten ve işleyen işletmeler için zorunlu bir bilgi güvenliği standardıdır.
PCI DSS, Payment Card Industry Security Standard Council (PCI SSC) için yukarıda belirtilen uluslararası ödeme kuruluşları tarafından yetkilendirilmiş bir standarttır. Ülkemizde en çok kullanılan VISA ve MasterCard’ın kullandığı bu standartlar, kart sahibi verileri üzerindeki kontrolü artırmak ve ödeme kartı verilerinin sahtekarlığını ve hırsızlığını engellemek için geliştirilmiştir.
Sertifika bir yıl geçerli olacak ve işletmeler periyodik olarak yeniden değerlendirmeye tabi tutulacaktır. Çok sayıda işlem gerçekleştiren işletmeler, durum tespiti yapmak ve bir Uygunluk Raporu (RoC) yayınlamak için harici bir Kalite Güvenlik Değerlendiricisi (QSA) tutmayı seçecekken, daha az sayıda işlemle ilgilenen işletmelerin bir Öz Değerlendirme (SAQ) tamamlaması gerekecektir.
PCI DSS, Ödeme Kartı Verisi üzerinde 6 ana izleme hedefini içerir. Bunlar arasında, Hesap Numaraları, CVV numaraları, Hesap Sahibinin İsmi, Son Kullanım Tarihi, Servis Kodu, PIN/PIN Bloklama, Veri Takibi yer alır.
ÖDEME KARTI VERİ GÜVENLİK STANDARDI GEREKSİNİMLERİ (Ödeme Kartı Sektörü Veri Güvenliği Standardı – PCI DSS)
Payment Card Industry Data Security Council (PCI DSC), Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International gibi dünyada beş popüler uluslararası ödeme kartı sağlayıcısı tarafından kurulmuş olup, ödeme kartı verilerinin dünya çapında güvenliğini korumayı amaçladığından bahsetmiştik.
PCI DSS ödeme kartı veri güvenliği standardı, kartlı ödeme kuruluşlarının müşteri verilerini yetkisiz erişime ve kullanıma karşı korumasına yardımcı olmak için geliştirilmiştir. İşletmelerin güvenlik açıklarını ve bilgi hırsızlığı riskini sınırlandırmasına yardımcı olacaktır.
Bu standart, kartta depolanan verileri saklayan, işleyen veya ileten tüm kuruluşlar için geçerli olup, bu kuruluşların işlem yaparken kartta depolanan verileri korumaları gerekmektedir. Ödeme kartı veri bilgileri şunları içerir: Hesap numarası (PAN), hesap sahibinin ismi, son kullanma tarihi ve doğrulama kodu.
Genellikle hassas kimlik doğrulama verileri (SAD) olarak bilinen başka bir veri türünün de PCI DSS standardına uyması gerekir, ancak normalde SAD bilgilerinin saklanması yasaktır. Şirketin organizasyonu veya her yıl işlenen işlem kartı sayısı ne olursa olsun, PCI DSS uyumluluğu bir zorunluluktur. Bilişim Evreni olarak şunu söylemliyiz ki ödeme kartlarını işleyen dış kuruluşlara dış kaynak sağlayan şirketler de PCI DSS’ye uymalıdır.
PCI Uyumlu Tarama Hizmetleri
Beyond Security, PCI standartlarına göre tarama yapan lisanslı bir kuruluştur. Beyond Security, hızlı ve verimli PCI uyumlu tarama sağlar. beSecure güvenlik açığı değerlendirme ve tarama sistemiyle, yalnızca bir etki alanının PCI taramasından yüz binlerce IP’ye sahip uluslararası bir ağı taramaya kadar ölçeklendirebilir. beSECURE, CVE sertifikalıdır ve tüm finansal, tıbbi ve devlet güvenlik standartları için raporlama gereksinimlerini karşılar. CVE sertifikası, sertifika doğrulama motoru görevini yerine getirir.
