Açılımı Payment Card Industry Data Security Standard olan Türkçeye ise Ödeme Kartı Sektörü Veri Güvenliği Standardı olarak geçen PCI DSS, kredi kartı bilgilerini işleyen, saklayan veya ileten tüm şirketlerin güvenli bir ortam sağlamasını sağlamaya yönelik bir dizi gereksinimdir. İşlem süreci boyunca PCI güvenlik standartlarını yönetmek ve hesap güvenliğini artırmak için 7 Eylül 2006'da başlatıldı. Visa, MasterCard, American Express, Discover ve JCB tarafından oluşturulan bağımsız bir organ olan PCI Güvenlik Standartları Konseyi (PCI SSC), PCI DSS'yi yönetir.
Çoğu müşteri internetten ödeme yaparsa bilgilerinin çalınacağından korktuğu için alışveriş yapmaktan vazgeçer. Bu nedenle, bir iş kurmak söz konusu olduğunda müşterilerinizin hassas bilgilerinin ve verilerinin güvenliği özellikle de ödemeler söz konusu olduğunda muhtemelen akla ilk gelen şeydir.
Ödeme kartlarını kabul eden bir tüccar kimliğine sahip tüm tüccarlar, veri ihlallerine karşı koruma sağlamak için PCI uyumluluk düzenlemelerine uymalıdır. Gereksinimler, işletmeniz ve çalışanlarınız için veri güvenliği politikaları oluşturmaktan kart verilerini işleme sisteminizden ve ödeme terminallerinden kaldırmaya kadar uzanır.
“Kart sahibi” veya ödeme verileri, tam birincil hesap numarası (PAN), kart sahibinin adı ve kredi kartı hizmet kodu ve son kullanma tarihi gibi bilgileri kapsar. Satıcılar ayrıca manyetik şeritli verilerdeki (örneğin, CAV2, CVC2, CVV2, CID, PIN'ler, PIN blokları ve daha fazlası) hassas kimlik doğrulama verilerinin korunmasından sorumludur.
PCI DSS Uyumluluğu
PCI DSS uyumluluğu için kontrol edilmesi gereken 12 ana gereksinim vardır. PCI SSC'ye göre, bir satıcı PCI uyumluluk kontrol listesinin bir parçası olarak aşağıdaki görevleri tamamlamalıdır:
- Güvenlik Duvarlarını Kullanın ve Bakımını Yapın
- Uygun Parola Korumaları
- Kart Sahibi Verilerini Koruyun
- İletilen Verileri Şifreleyin
- Anti-Virüs Kullanın ve Bakımını Yapın
- Düzgün Güncellenmiş Yazılım
- Veri Erişimini Kısıtlayın
- Erişim İçin Benzersiz Kimlikler Oluşturun
- Fiziksel Erişimi Kısıtlayın
- Erişim Günlükleri Oluşturun ve Takibini Yapın
- Güvenlik Açıklarını Tarayın ve Test Edin
- Tüm Süreci Belgeleyin
Kısaca bu süreç 3 temel aşamadan oluşur denilebilir. Bunlar; analiz, iyileştirme ve son olarak belgelemedir.
PCI / DSS Seviyeleri Nelerdir?
1. Seviye: Yıl içinde 6 milyondan fazla işlem.
2. Seviye: Yılda 1 – 6 milyon arası yapılan işlemler.
3. Seviye: Yılda 20 bin – 1 milyon arası işlem.
4. Seviye: Yılda 20 binden daha az işlem yapan firmalar.
