PCI DSS (Payment Card Industry Data Security Standard) 2004 Aralık ayında kredi kartı şirketlerinin oluşturduğu konsey ile kart sahiplerine ait veri güvenliğini  kapsayan standarttır. Geliştirilen bu standart ile birlikte kredi kartı, banka kartı ve diğer ödeme kartları sahiplerinin verilerini işleyen, depolayan ve ileten tüm kuruluşların veri güvenliğini sağlamaları ve standarta uymaları gerekmektedir.

PCI DSS (Payment Card Industry - Data Security Standard)

Kuruluşların yıllık bazda gerçekleştirdiği işlem sayısına göre belirlenen uygunluk düzeyleri aşağıdaki gibidir;

1: Yılda 6 milyondan fazla kart işlemi gerçekleştiren tüccarlar.

2: Yılda 1 ila 6 milyon işlem gerçekleştiren tüccarlar.

3: Yılda 20.000 ila 1 milyon işlem gerçekleştiren tüccarlar.

4: Yılda 20.000’den az işlem gerçekleştiren satıcılar.

PCI DSS Uygulanabilirlik Bilgileri

Üye iş yerleri, işlemci kuruluşlar, kart kabul eden kuruluşlar, kart çıkaran kuruluşlar ve hizmet sağlayıcıları da içermek üzere ödeme kartı işlemede yer alan tüm kuruluşlara uygulanır. Bunun yanı sıra, kart sahibi verilerini ve/veya hassas kimlik doğrulama verilerini saklayan, işleyen ya da ileten tüm diğer kuruluşlara da uygulanır.

Kart sahibi verileri ve hassas kimlik doğrulama verileri aşağıdaki şekilde tanımlanır:

PCI DSS

Birincil hesap numarası, kart sahibi verileri için tanımlayıcı etkendir. Kart sahibi adı, hizmet kodu ve/veya son kullanım tarihi, PAN ile saklanır, işlenir ve iletilirse veya kart sahibi verileri ortamında başka bir şekilde mevcut olursa bunlar yürürlükteki PCI DSS gereksinimlerine göre korunmalıdır.

PCI DSS gereksinimleri, hesap verilerinin (kart sahibi verileri ve/veya hassas kimlik doğrulama verileri) saklandığı, işlendiği ya da iletildiği kuruluşlara uygulanır. Bazı PCI DSS gereksinimleri, ödeme işlemleri ya da CDE’lerinin yönetimi dış kaynak kullanımıyla yapılan kuruluşlara da uygulanabilir1. Ek olarak, CDE ya da ödeme süreçlerini dış kaynak kullanımıyla üçüncü taraflara yaptıran kuruluşlar, hesap verilerinin, yürürlükteki gereksinimlerine göre üçüncü tarafça korunmasını sağlamaktan sorumludur.

Sonraki sayfadaki tablo, kart sahibi ve hassas kimlik doğrulama verilerinin yaygın olarak kullanılan öğelerini, her veri unsurunun saklanmasına izin verildiğini ya da yasaklandığını ve her veri öğesinin korunup korunmaması gerektiğini gösterir. Bu tablo kapsamlı değildir, ama her veri öğesine uygulanan farklı gereksinim türlerini örneklemek için sunulmaktadır.

PCI DSS Gerekliliği 3.3 ve 3.4 yalnızca PAN’ye uygulanır. PAN, kart sahibi verilerinin diğer öğeleriyle birlikte saklanırsa, PCI DSS Gerekliliği 3.4’e göre yalnızca PAN okunamaz hale getirilmelidir.
Hassas kimlik doğrulama verileri, şifreli olsa bile, yetkilendirme sonrasında saklanmamalıdır. Bu, ortamda hiç PAN olmadığında bile uygulanır.

Kuruluşlar, yetkilendirme öncesinde SAD’nin saklanmasına izin verilip verilmediğini, ne kadar süre verildiğini ve ilgili her türlü kullanım ve koruma gereksinimlerini anlamak için doğrudan kart kabul eden kuruluşları ya da bağımsız ödeme markalarıyla iletişime geçmelidir.

PCI DSS ve PA-DSS arasındaki ilişki

PCI DSS’nin PA-DSS Uygulamalarına Uygulanabilirliği
Bir Ödeme Uygulaması Veri Güvenliği Standardı (PA-DSS) uyumlu uygulamanın bir PCI DSS uyumlu ortama ve ödeme uygulaması sağlayıcısı tarafından sunulan PA-DSS Uygulama Kılavuzuna göre uygulanması gerektiğinden, o uygulamanın kendisi tarafından kullanımı bir kuruluşu PCI DSS uyumlu kılmaz.

PA-DSS ile doğrulanmış uygulamalar dâhil olmak üzere, kart sahibi verilerini saklayan, işleyen ya da ileten tüm uygulamalar, bir kuruluşun değerlendirmesi için kapsam içindedir. PCI DSS değerlendirmesi, PA-DSS doğrulanmış ödeme uygulamasının düzgün biçimde yapılandırıldığını ve gereksinimlerine göre güvenli şekilde uygulandığını doğrulamalıdır. Ödeme uygulamasında herhangi bir özelleştirme yapılırsa uygulama, PA-DDS ile doğrulanmış sürümü daha fazla temsil etmeyebileceğinden, PCI DSS değerlendirmesi sırasında daha derinlemesine bir gözden geçirme gerekecektir.

PA-DSS gereksinimleri, PCI DSS Gereksinimleri ve Veri Değerlendirme Prosedürlerinden (bu belgede tanımlanan) türetilir. PA-DSS, bir müşterinin PCI DSS’ye uyumunu kolaylaştırmak için bir ödeme uygulamasının karşılaması gereken gereksinimlerin ayrıntılarını verir.

Güvenli ödeme uygulamaları, uyumlu bir ortamda uygulandıklarında, PAN, tam izleme verileri, kart doğrulama kodları ve değerleri (CAV2, CID, CVC2, CVV2), PIN’ler ve PIN bloklarının tehlikeye düşmesine yol açan güvenlik ihlalleriyle birlikte, bu ihlallerden kaynaklanan zarar verici suiistimal potansiyelini en aza indirgeyecektir.

PA-DSS’nin belirli bir ödeme uygulamasına uygulanıp uygulanmadığını belirlemek için, lütfen www.pcisecuritystandards.org adresinde bulunabilen PA-DSS Program Kılavuzuna başvurun.

PCI DSS’nin Ödeme Uygulaması Sağlayıcılarına Uygulanabilirliği
Sağlayıcı, kart sahibi verilerini saklıyor, işliyor ya da iletiyorsa veya müşterilerinin kart sahibi verilerine erişiyorsa (örneğin bir hizmet sağlayıcısı rolünde), ödeme uygulaması sağlayıcılarına uygulanabilir.

PCI DSS Gereksinimlerinin Kapsamı

PCI DSS güvenlik gereksinimleri, kart sahibi verileri ortamında bulunan ya da bu ortama bağlı olan tüm sistem bileşenlerine uygulanır. Kart sahibi verileri ortamı (CDE), kart sahibi verileri veya hassas kimlik doğrulama verilerini saklayan, işleyen ya da ileten kişiler, süreçler ve teknolojilerden oluşur. “Sistem bileşenleri”, ağ cihazları, sunucular, bilgi işlem cihazları ve uygulamaları içerir. Sistem bileşenleri örnekleri, bunlarla sınırlı olmamak üzere aşağıdakileri içermektedir:

▪ Güvenlik hizmetleri sağlayan (örneğin kimlik doğrulama sunucuları), bölümlemeye olanak tanıyan (örneğin dâhili güvenlik duvarları) veya CDE’nin güvenliğini etkileyebilen (örneğin ad çözümleme veya web yeniden yönlendirme sunucuları) sistemler.
▪ Sanal makineler, sanal anahtarlar/yönlendiriciler, sanal cihazlar, sanal uygulamalar/masaüstleri ve misafir sistem ara katmanları gibi sanallaştırma bileşenleri.
▪ Güvenlik duvarları, anahtarlar, yönlendiriciler, kablosuz erişim noktaları, ağ gereçleri ve diğer güvenlik gereçlerini içeren fakat bunlarla sınırlı olmamak üzere ağ bileşenleri.
▪ Web, uygulama, veritabanı, kimlik doğrulama, posta, vekil sunucu, Ağ Zaman Protokolü (NTP) ve Alan Adı Sistemini (DNS) içeren fakat bunlarla sınırlı olmamak üzere sunucu türleri.
▪ Dâhili ve harici (örneğin internet) uygulamaları da içeren, tüm satın alınmış ve özel uygulamalar.
▪ CDE içinde bulunan ya da ona bağlı olan diğer tüm bileşenler ya da cihazlar.

Bir PCI DSS değerlendirmesinin ilk adımı, gözden geçirme kapsamını doğru biçimde belirlemektir. En az yıllık olarak ve yıllık değerlendirmenin öncesinde, değerlendirilen kuruluş, PCI DSS kapsamının doğruluğunu; tüm konumları ve kart sahibi verilerinin akışını belirleyerek ve bunların PCI DSS kapsamına dâhil edildiğinden emin olarak onaylamalıdır. Yedekleme/kurtarma merkezleri ve yük devretme sistemleri de dahil olmak üzere her türlü sistem ve konum kapsam belirleme sürecinin bir parçası olarak düşünülmelidir.

PCI DSS kapsamının doğruluğunu ve uygunluğunu onaylamak için aşağıdakileri yapın:

▪ Değerlendirilen kuruluş, mevcut tanımlanmış CDE’nin dışında hiçbir kart sahibi verisinin olmadığını doğrulamak için, ortamındaki tüm kart sahibi verileri varlığını tanımlar ve belgelendirir.
▪ Kart sahibi verilerinin tüm konumları belirlenip belgelendirildiğinde, kuruluş, sonuçları PCI DSS kapsamının uygun olduğunu doğrulamak için kullanır (örneğin sonuçlar, kart sahibi verileri konumlarının bir şeması ya da envanteri olabilir).
▪ Kuruluş, bulunan herhangi bir kart sahibi verisinin PCI DSS değerlendirmesi ve CDE’nin parçası kapsamında olacağını göz önünde bulundurur. Kuruluş, o an için CDE’de olmayan veriler belirlerse bu tür veriler, güvenli biçimde silinmeli, geçerli tanımlanmış CDE’ye taşınmalı veya CDE, bu verileri içerecek şekilde yeniden tanımlanmalıdır.
▪ Kuruluş, PCI DSS kapsamının nasıl belirlendiğini gösteren belgeler tutar. Belgeler, denetçinin gözden geçirmesi ve/veya izleyen yıldaki kapsamını onaylama etkinliği sırasında başvuru için tutulur.
Her PCI DSS değerlendirmesi için, denetçinin, değerlendirmenin kapsamının doğru biçimde tanımlandığı ve belgelendirildiğini doğrulaması gerektirilir.

Ağ Bölümleme

Kart sahibi verileri ortamının bölümlemesi ya da bir kuruluşun ağının kalanından yalıtılması (ayrılması) bir PCI DSS gereksinimi değildir. Ancak, aşağıdakileri azaltabildiğinden bir yöntem olarak kesinlikle önerilir:
▪ PCI DSS değerlendirmesinin kapsamı
▪ PCI DSS değerlendirmesinin maliyeti
▪ PCI DSS kontrollerinin uygulanması ve sürdürülmesinin maliyeti ve zorluğu
▪ Bir kuruluşa yönelik riski (kart sahibi verilerini daha az sayıda, daha fazla kontrol edilen konumlar halinde birleştirilerek azaltılır)

Yeterli ağ bölümleme olmadığında (bazen “düz ağ” olarak adlandırılır), tüm ağ PCI DSS değerlendirmesi kapsamındadır. Ağ bölümleme işlemi, uygun biçimde yapılandırılmış dâhili ağ güvenlik duvarları, güçlü erişim kontrolü listelerine sahip yönlendiriciler veya ağın belirli bir bölümüne erişimi kısıtlayan diğer teknolojiler gibi, birtakım fiziksel ya da mantıksal yollarla yapılabilir. PCI DSS’ye yönelik kapsamın dışında olduğunun düşünülmesi için, bir sistem bileşeni, kapsam dışındaki sistem bileşeni tehlikeye girse bile CDE’nin güvenliğini etkilemeyecek şekilde uygun biçimde CDE’den yalıtılmalıdır (ayrılmalıdır).

Kart sahibi verileri ortamının kapsamını azaltmanın önemli bir önkoşulu, iş ihtiyaçlarının ve kart sahibi verilerinin saklanması, işlenmesi ya da iletilmesiyle ilgili süreçlerin açık biçimde anlaşılmasıdır. Kart sahibi verilerinin, gereksiz verilerin ortadan kaldırılması ve gerekli verilerin birleştirilmesi yoluyla mümkün olan en az konumla kısıtlanması, uzun süredir devam eden iş uygulamalarının yeniden mühendisliğinin yapılmasını gerektirebilir.

Kart sahibi verilerinin akışlarını bir veri akış şemasıyla belgelemek, tüm kart sahibi verilerinin akışlarını tamamen anlamaya yardımcı olur ve herhangi bir ağ bölümlemesinin kart sahibi verileri ortamını yalıtmada etkin olmasını sağlar.

Ağ bölümleme yürürlükteyse ve değerlendirmesinin kapsamını azaltmak için kullanılıyorsa denetçi, bölümlemenin, değerlendirmenin kapsamını azaltmak için yeterli olduğundan emin olmalıdır. Üst düzeyde, yeterli ağ bölümleme, kart sahibi verilerini saklayan, işleyen ya da ileten sistemleri, bu işlemleri yapmayanlardan ayırır. Ancak, ağ bölümlemenin belirli bir uygulamasının yeterliliği son derece değişkendir ve belirli bir ağın yapılandırması, dağıtılan teknolojiler ve uygulanabilecek diğer kontroller gibi birtakım etkenlere bağlıdır.

Ek D: Ticari Tesislerin/Sistem Bileşenlerinin Bölümlemesi ve Örneklenmesi, ağ bölümlemesinin ve örneklenmesinin bir PCI DSS değerlendirmesinin kapsamındaki etkisi konusunda daha fazla bilgi sağlar.

Kablosuz

Kart sahibi verilerini saklamak, işlemek ya da iletmek için kablosuz teknolojisi kullanılıyorsa (örneğin satış noktası işlemleri, “hat baskını”) veya bir kablosuz yerel ağ (WLAN) kart sahibi verileri ortamının parçasıysa ya da ona bağlıysa, kablosuz ortamlara yönelik gereksinimleri ve test prosedürleri geçerlidir ve gerçekleştirilmelidir (örneğin Gereksinim 1.2.3, 2.1.1 ve 4.1.1). Bir kuruluş kablosuz teknolojinin uygulanmasından önce teknolojiye yönelik gereksinimi riske karşı dikkatlice değerlendirmelidir. Yalnızca hassas olmayan verilerin iletimi için kablosuz teknoloji dağıtmayı düşünün.

Üçüncü Taraf Hizmet Sağlayıcılar / Dış Kaynak Kullanımı

Yıllık yerinde değerlendirmeye girmesi gereken hizmet sağlayıcılar için, uyum doğrulaması, kart sahibi verileri ortamındaki tüm sistem bileşenlerinde gerçekleştirilmelidir.Bir hizmet sağlayıcı ya da üye iş yeri, onların adına kart sahibi verilerini saklaması, işlemesi ya da iletmesi veya yönlendiriciler, güvenlik duvarları, veri tabanları, fiziksel güvenlik ve/veya sunucular gibi bileşenleri yönetmesi için bir üçüncü taraf hizmet sağlayıcı kullanabilir. Bu durumda, kart sahibi verileri ortamının güvenliği üzerinde bir etki görülebilir.

Taraflar, hizmet sağlayıcının değerlendirmesinin kapsamına dâhil edilen hizmetleri ve sistem bileşenlerini, hizmet sağlayıcı tarafından kapsanan özel gereksinimlerini ve kendi PCI DSS gözden geçirmelerine dâhil etmek için hizmet sağlayıcının müşterilerinin sorumlulukları olan gereksinimleri açık biçimde belirlemelidir. Örneğin, yönetilen bir barındırma sağlayıcısı, üç aylık güvenlik açığı tarama işlemlerinin bir parçası olarak hangi IP adreslerinin taranacağını ve hangi IP adreslerinin kendi üç aylık taramalarına dâhil edileceğinin müşterinin sorumluluğu olduğunu açık biçimde tanımlamalıdır.

Uyumu doğrulamak için üçüncü taraf hizmet sağlayıcıların iki seçeneği vardır:
1) Yıllık değerlendirme: Hizmet sağlayıcılar, kendi kendilerine bir PCI DSS değerlendirmesine girebilir ve uyumlarını göstermek için müşterilerine kanıt sunabilirler veya
2) Çoklu, talep üzerine gerçekleşen değerlendirmeler: Kendi PCI DSS değerlendirmelerine girmezlerse müşterilerinin  değerlendirmelerinin her birinin ilerleyişi sırasında hizmetlerini gözden geçirtmeleri gerekecektir.

Üçüncü taraf kendi PCI DSS değerlendirmesine girerse hizmet sağlayıcının PCI DSS değerlendirmesinin kapsamının müşteriler için geçerli hizmetleri kapsadığını ve ilgili gereksinimlerinin incelenip yürürlükte olduğunun belirlendiğini doğrulamak için müşterilerine yeterli kanıt sunmalıdır. Hizmet sağlayıcı tarafından müşterilerine sağlanan kanıtın belirli türü, o taraflar arasında yürürlükte olan sözleşmelere/anlaşmalara bağlı olacaktır. Örneğin, AOC ve / veya hizmet sağlayıcının ROC’nin ilgili kısımlarını (gizli bilgileri korumak için düzenlenmiş) sağlamak, bilgilerin tamamını veya bazılarını sağlamaya yardımcı olabilecektir.

Bunun yanı sıra, üye iş yerleri ve hizmet sağlayıcılar, kart sahibi verilerine erişimi olan tüm ilişkili üçüncü taraf hizmet sağlayıcıların uyumunu yönetmeli ve izlemelidir. Ayrıntılar için bu belgedeki Gereksinim 12.8’e başvurun.

PCI DSS uyumluluk dökümanını linkten indirerek inceleyebilirsiniz..

MENÜYÜ KAPAT