Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X

Lütfen Ülke (Bölge) Seçiniz

Türkiye (Türkçe)Türkiye (Türkçe) Almanya (German)Almanya (German) Worldwide (English)Worldwide (English)
X

Lütfen Para Birimi Seçiniz

Türk Lirası $ US Dollar Euro
X

Lütfen Ülke (Bölge) Seçiniz

Türkiye (Türkçe)Türkiye (Türkçe) Almanya (German)Almanya (German) Worldwide (English)Worldwide (English)
X

Lütfen Para Birimi Seçiniz

Türk Lirası $ US Dollar Euro

Bilgi Bankası

Anasayfa Bilgi Bankası Genel PCI DSS Nedir? Kredi Kartı Güvenliğ...

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
Telefon +90 850 888 83 42
WhatsApp +90 850 307 34 58
E-posta [email protected]

PCI DSS Nedir? Kredi Kartı Güvenliği Standardı Rehberi

PCI DSS Nedir?

PCI DSS (Payment Card Industry Data Security Standard), kredi kartı bilgilerini işleyen, saklayan veya ileten tüm kuruluşların uyması gereken bir bilgi güvenliği standardıdır. Amaç, kredi kartı bilgilerinin güvenliğini sağlamak ve dolandırıcılığı önlemektir. Bu standart, Visa, MasterCard, American Express, Discover ve JCB gibi büyük kredi kartı şirketleri tarafından oluşturulmuştur ve PCI SSC (Payment Card Industry Security Standards Council) tarafından yönetilir.

Önemli Nokta: PCI DSS, yasal bir zorunluluk olmasa da, kredi kartı şirketleri tarafından sözleşmeler aracılığıyla zorunlu kılınır. Uyulmaması durumunda, para cezaları, kart kabul etme yetkisinin kaybı ve itibar kaybı gibi ciddi sonuçlar doğurabilir.

PCI DSS'in Amaçları Nelerdir?

PCI DSS'in temel amaçları şunlardır:

  • Müşteri Kredi Kartı Verilerini Korumak: Kredi kartı numaraları, son kullanma tarihleri ve güvenlik kodları (CVV) gibi hassas bilgilerin yetkisiz erişime karşı korunması.
  • Dolandırıcılığı Önlemek: Kredi kartı bilgilerinin çalınması ve kötüye kullanılmasının engellenmesi.
  • Müşteri Güvenini Artırmak: İşletmelerin kredi kartı bilgilerini güvenli bir şekilde işlediğini göstererek müşteri güvenini artırmak.
  • Marka İtibarını Korumak: Veri ihlallerinin neden olabileceği itibar kaybını önlemek.

PCI DSS'in Gereklilikleri Nelerdir?

PCI DSS, 12 ana gereklilik ve bu gereklilikleri destekleyen alt gerekliliklerden oluşur. Bu gereklilikler, altı ana kontrol hedefi altında gruplandırılmıştır:

  1. Güvenli Bir Ağ Oluşturun ve Sürdürün:
    • Gereklilik 1: Güvenlik duvarı yapılandırması kurun ve sürdürün.
    • Gereklilik 2: Satıcı tarafından sağlanan varsayılan sistem şifrelerini ve diğer güvenlik parametrelerini kullanmayın.
  2. Kart Sahibi Verilerini Koruyun:
    • Gereklilik 3: Saklanan kart sahibi verilerini koruyun.
    • Gereklilik 4: Açık ağlar üzerinden kart sahibi verilerinin iletimini şifreleyin.
  3. Bir Güvenlik Açığı Yönetim Programı Sürdürün:
    • Gereklilik 5: Tüm sistemleri kötü amaçlı yazılımlardan koruyun ve düzenli olarak anti-virüs yazılımını güncelleyin.
    • Gereklilik 6: Sistemleri ve uygulamaları güvenli bir şekilde geliştirin ve sürdürün.
  4. Güçlü Erişim Kontrol Önlemleri Uygulayın:
    • Gereklilik 7: Kart sahibi verilerine erişimi iş gereksinimine göre kısıtlayın.
    • Gereklilik 8: Bilgisayar erişimi için her kullanıcıya benzersiz bir kimlik atayın.
    • Gereklilik 9: Kart sahibi verilerine fiziksel erişimi kısıtlayın.
  5. Ağları Düzenli Olarak İzleyin ve Test Edin:
    • Gereklilik 10: Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve günlüğe kaydedin.
    • Gereklilik 11: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.
  6. Bir Bilgi Güvenliği Politikası Sürdürün:
    • Gereklilik 12: Tüm personel için bir bilgi güvenliği politikası sürdürün.

Adım Adım Talimat: Gereklilik 3 - Saklanan Kart Sahibi Verilerini Koruyun

  1. Veri Keşfi: Ağınızda ve sistemlerinizde nerede kart sahibi verilerinin saklandığını belirleyin.
  2. Veri Minimasyonu: Gerekli olmayan kart sahibi verilerini saklamaktan kaçının. Sadece yasal veya iş gereksinimleri için gerekli olan verileri saklayın.
  3. Şifreleme: Saklanan kart sahibi verilerini güçlü şifreleme algoritmaları kullanarak şifreleyin. AES-256 veya TDES gibi endüstri standardı algoritmalar kullanın.
  4. Anahtar Yönetimi: Şifreleme anahtarlarını güvenli bir şekilde yönetin. Anahtarları düzenli olarak değiştirin ve güvenli bir yerde saklayın.
  5. Maskeleme/Kırpma: Kart numarasının sadece bir kısmını gösterin (örneğin, ilk altı ve son dört hanesi). Geri kalan haneleri maskeleyin veya kırpın.

Kod Örneği: AES-256 ile Veri Şifreleme (Python)


from cryptography.fernet import Fernet

# Anahtar oluştur
key = Fernet.generate_key()
f = Fernet(key)

# Şifrelenecek veri
data = b"Kredi kartı numarası: 1234567890123456"

# Veriyi şifrele
encrypted_data = f.encrypt(data)

# Şifrelenmiş veriyi yazdır
print("Şifrelenmiş veri:", encrypted_data)

# Veriyi çöz
decrypted_data = f.decrypt(encrypted_data)

# Çözülmüş veriyi yazdır
print("Çözülmüş veri:", decrypted_data.decode())

PCI DSS Uyumluluk Seviyeleri Nelerdir?

PCI DSS uyumluluk seviyeleri, bir kuruluşun yıllık işlem hacmine göre belirlenir. Her seviye için farklı doğrulama gereksinimleri vardır.

Seviye Yıllık Visa/MasterCard İşlem Hacmi Doğrulama Gereksinimleri
Seviye 1 6 milyondan fazla işlem veya küresel olarak işlem yapan herhangi bir satıcı Yıllık Bağımsız Güvenlik Değerlendirmesi (QSA) ve ASV taraması
Seviye 2 1 milyon ile 6 milyon arası işlem Yıllık Öz Değerlendirme Anketi (SAQ) veya QSA ve ASV taraması
Seviye 3 20.000 ile 1 milyon arası e-ticaret işlemi Yıllık Öz Değerlendirme Anketi (SAQ) ve ASV taraması (varsa)
Seviye 4 20.000'den az e-ticaret işlemi veya 1 milyondan az diğer tüm işlemler Yıllık Öz Değerlendirme Anketi (SAQ) ve ASV taraması (varsa)

PCI DSS Uyumluluğu Nasıl Sağlanır?

PCI DSS uyumluluğunu sağlamak için aşağıdaki adımlar izlenebilir:

  1. Kapsam Belirleme: PCI DSS kapsamına giren tüm sistemleri, ağları ve süreçleri belirleyin.
  2. Boşluk Analizi: Mevcut güvenlik önlemlerinizi PCI DSS gereklilikleriyle karşılaştırın ve eksiklikleri belirleyin.
  3. İyileştirme Planı Oluşturma: Belirlenen eksiklikleri gidermek için bir iyileştirme planı oluşturun.
  4. Güvenlik Önlemlerini Uygulama: Güvenlik duvarları, anti-virüs yazılımları, şifreleme ve erişim kontrolleri gibi gerekli güvenlik önlemlerini uygulayın.
  5. Belgeleme: Tüm güvenlik önlemlerini ve süreçlerini belgeleyin.
  6. Değerlendirme: Uyumluluğunuzu değerlendirmek için bir Öz Değerlendirme Anketi (SAQ) doldurun veya bir Bağımsız Güvenlik Değerlendirmesi (QSA) yapın.
  7. Düzeltici Eylemler: Değerlendirme sonucunda belirlenen eksiklikleri düzeltin.
  8. Uyumluluğu Sürdürme: Güvenlik önlemlerinizi düzenli olarak güncelleyin ve uyumluluğunuzu sürdürün.

PCI DSS SAQ (Self-Assessment Questionnaire) Nedir?

SAQ (Self-Assessment Questionnaire), PCI DSS uyumluluğunu değerlendirmek için kullanılan bir öz değerlendirme anketidir. Farklı SAQ türleri vardır ve hangi SAQ'nun kullanılacağı, bir kuruluşun işlem türüne ve sistem mimarisine bağlıdır.

SAQ Türleri:

  • SAQ A: Sadece kart sahibi verilerini tamamen üçüncü taraf hizmet sağlayıcısına dış kaynak kullanan satıcılar için.
  • SAQ A-EP: E-ticaret satıcıları için, web siteleri üçüncü bir tarafça barındırılan ve tüm ödeme işlemleri üçüncü bir tarafça yönetilen.
  • SAQ B: Bağımsız, elektronik ödeme terminalleri kullanan satıcılar için (kart sahibi verileri saklanmaz).
  • SAQ B-IP: IP bağlantılı, bağımsız ödeme terminalleri kullanan satıcılar için (kart sahibi verileri saklanmaz).
  • SAQ C: Ödeme uygulaması sistemlerine sahip satıcılar için.
  • SAQ C-VT: Sanal terminaller aracılığıyla manuel olarak kart sahibi verilerini giren satıcılar için (kart sahibi verileri saklanmaz).
  • SAQ P2PE: Onaylı P2PE (Point-to-Point Encryption) çözümleri kullanan satıcılar için.
  • SAQ D: Diğer tüm satıcılar ve hizmet sağlayıcılar için.

PCI DSS'e Uymamanın Sonuçları Nelerdir?

PCI DSS'e uymamanın ciddi sonuçları olabilir:

  • Para Cezaları: Kredi kartı şirketleri, uyumsuzluk durumunda para cezası uygulayabilir.
  • Kart Kabul Etme Yetkisinin Kaybı: Kredi kartı şirketleri, uyumsuzluk devam ederse kart kabul etme yetkisini askıya alabilir veya iptal edebilir.
  • İtibar Kaybı: Veri ihlalleri, müşteri güvenini sarsabilir ve marka itibarını zedeleyebilir.
  • Hukuki Sorumluluk: Veri ihlalleri sonucunda müşteriler dava açabilir ve hukuki sorumluluk doğabilir.
  • Sigorta Primlerinde Artış: Veri ihlalleri, siber sigorta primlerinde artışa neden olabilir.

Gerçek Hayattan Örnek: Target Veri İhlali (2013)

2013 yılında Target, büyük bir veri ihlali yaşadı. Saldırganlar, Target'ın POS (Point of Sale) sistemlerine kötü amaçlı yazılım bulaştırarak yaklaşık 40 milyon kredi ve banka kartı bilgisini ele geçirdi. İhlal, Target'a milyonlarca dolarlık zarara yol açtı, müşteri güvenini sarstı ve marka itibarını zedeledi. Bu olay, PCI DSS uyumluluğunun önemini açıkça göstermektedir.

Vaka Çalışması: Küçük Bir İşletmenin PCI DSS ile Mücadelesi

Küçük bir e-ticaret işletmesi, PCI DSS uyumluluğunun karmaşıklığı ve maliyeti nedeniyle zorlanıyordu. İşletme sahibi, güvenlik duvarı yapılandırması, şifreleme ve güvenlik açığı taramaları gibi teknik konularda yetersiz bilgiye sahipti. Ayrıca, bir Bağımsız Güvenlik Değerlendirmesi (QSA) yapmanın maliyeti de bütçelerini aşıyordu. İşletme sahibi, bir danışmanlık firmasıyla çalışarak PCI DSS gerekliliklerini anlamaya ve uyumluluğu sağlamaya çalıştı. Danışmanlık firması, işletmeye güvenlik açıklarını gidermede, güvenlik önlemlerini uygulamada ve Öz Değerlendirme Anketi (SAQ) doldurmada yardımcı oldu. Sonuç olarak, işletme PCI DSS uyumluluğunu sağladı ve müşteri güvenini artırdı.

PCI DSS'in Geleceği Nasıldır?

PCI DSS, sürekli olarak gelişen bir standarttır. PCI SSC, yeni tehditlere ve teknolojik gelişmelere uyum sağlamak için standardı düzenli olarak günceller. Gelecekte, PCI DSS'in daha esnek, ölçeklenebilir ve risk odaklı olması beklenmektedir. Ayrıca, bulut bilişim, mobil ödemeler ve IoT (Nesnelerin İnterneti) gibi yeni teknolojilerin PCI DSS kapsamına daha fazla dahil edilmesi beklenmektedir.

PCI DSS Uyumluluğunu Kolaylaştırmak İçin İpuçları

  • Kapsamı Minimize Edin: Gerekli olmayan kart sahibi verilerini saklamaktan kaçının.
  • Basitleştirin: Sistem mimarinizi basitleştirin ve karmaşık süreçleri ortadan kaldırın.
  • Dış Kaynak Kullanın: Kredi kartı işlemlerini güvenli bir üçüncü taraf hizmet sağlayıcısına dış kaynak kullanın.
  • Otomatikleştirin: Güvenlik süreçlerini otomatikleştirin ve insan hatasını azaltın.
  • Eğitin: Personelinizi PCI DSS gereklilikleri konusunda eğitin.
Konu Açıklama
Tokenizasyon Hassas kart bilgilerini benzersiz, geri döndürülemez bir değerle (token) değiştirme işlemidir. Tokenizasyon, kart bilgilerinin çalınması durumunda bile hassas verilerin korunmasını sağlar.
Şifreleme Verileri okunamaz hale getirme işlemidir. Şifreleme, hem saklanan hem de iletilen kart bilgilerini korumak için kullanılır.
Veri Maskeleme Kart numarasının belirli bölümlerini gizleme işlemidir. Veri maskeleme, kart bilgilerinin tamamının görüntülenmesini engelleyerek yetkisiz erişimi önler.
Ağ Segmentasyonu Ağı farklı bölgelere ayırma işlemidir. Ağ segmentasyonu, bir bölgedeki ihlalin diğer bölgelere yayılmasını engeller.

Aradığınız Bilgiyi Bulamıyor musunuz?

Bilgi bankasını detaylı olarak incelediniz, fakat ihtiyacınız olan bilgiyi bulamıyorsanız,

Bir Destek Talebi Oluşturun.
Faydalı Buldunuz mu?
(975 defa görüntülendi. / 89 kişi faydalı buldu.)

Kategoriler

Sunucu/VPS/VDS (67)SSH (23)cPanel ve WHM (31)Alan Adı Yönetimi (15)Genel (577)Reseller Hosting (1)

En Son Eklenen Başlıklar

Notion Nedir? Proje Yönetimi, Not Alma ve Bilgi Organizasyonu RehberiGoogle Meet Nedir? Ücretsiz ve Kolay Uzak Toplantı Platformu RehberiZoom Nedir? Uzaktan Toplantı ve Görüntülü Görüşme RehberiMicrosoft Teams Nedir? Kurumsal İletişim ve Uzaktan İşbirliği RehberiTeamViewer Nedir? Uzaktan Destek ve Uzak Masaüstü Erişimi RehberiAnyDesk Nedir? Uzak Masaüstü Erişimi ve Uzaktan Destek RehberiXming Nedir? Windows'ta X11 Uygulamalarını Görüntüleme RehberiUltraVNC Nedir? Windows İçin Uzak Masaüstü ve Ekran Paylaşım RehberiHyperTerminal Nedir? Seri Port ve Modem Bağlantıları İçin Klasik Terminal YazılımıRLogin Nedir? Gelişmiş Japon Terminal İstemcisi Rehberi

Ürün ve hizmetlerimiz hakkında daha detaylı bilgi almak için hemen arayın.

Top