İşletmelerin neden PCI uyumlu olması gerekiyor?

Müşterilerinizden dijital ödemeleri kabul eden bir işletme sahibiyseniz, tüm bu verileri PCI kural ve yönetmeliklerine uygun bir servis sağlayıcı ile barındırmanız gerekir. Ödeme Kartı Endüstrisi Veri Güvenliği Standardı veya PCI DSS ile ilişkili güvenlik protokollerini izlemeyi içerir.

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı veya PCI DSS, PCI Güvenlik Standartları Konseyi tarafından geliştirilmiştir. Tüm hesap verileri için sağlam bir güvenlik süreci sağlamak için etkili ve eyleme geçirilebilir bir çerçeve sağlar. Güvenlik olaylarının önlenmesine, tespit edilmesine ve hızlı yanıt verilmesine yardımcı olur. Kredi kartı sektörü, kredi kartı güvenliğini sağlamak için bir dizi politika ve prosedüre sahiptir. Bununla birlikte, uyumluluğu sağlamak için gereken en iyi uygulamalar, müşterilerin kredi kartı verilerinin güvenliğini korumanın çok ötesine geçer.

PCI uyumluluğunun önemi

Müşterilerinizin kredi kartlarını işlemek için PCI uyumlu herhangi bir satıcıya danışmalısınız.

Mükemmel bir çözüm olabilir. Kredi kartı detaylarıyla uğraşırken güvenlik ve verimlilik sağlar. Öte yandan, işletmeniz çok sayıda kredi kartını yönetiyorsa, şirketinizin PCI DSS tarafından öngörülen kurallara, politikalara ve düzenlemelere uygun olduğundan emin olmak iyi bir fikir olacaktır. PCI DSS ile uyumlu hale geldiğinizde, kullanıcıların kişisel kredi kartı verilerinin sizinle güvende olacağını bilerek gönül rahatlığı yaşarsınız. Bu düzenlemelere uymayı sürdürmek sizi olası bilgisayar korsanlığı girişimlerinden koruyabilir. İşletmenizin her ay yüzlerce ve binlerce kredi kartından gelen verileri işleyip işlemediğini dikkate almak önemlidir.   

PCI DSS uyumluluğunun artan önemi

PCI DSS ve destekleyici belgeler önemli bir dizi önlem ve araç olarak çalışır.

Bu nedenle, hayati ve hassas bilgilerin etkin ve güvenli yönetimi için kullanılır. PCI DSS'nin uygulanması sayesinde veri ihlali ile ilgili riskleri azaltmak mümkündür. Bu düzenlemeler, olması durumunda veri ihlalinin olası etkilerini azaltmaya yardımcı olur. Bu nedenle, kart sahiplerinin verilerini işleyen, depolayan ve ileten tüm varlıkların PCI DSS ile uyumlu olmasını sağlamak esastır. Çoğu siber suçlu ve hırsız kredi kartı verilerini çalmaya çalışır ve bu nedenle bu tür şeylerin olmaması için uygun önlemleri almak mantıklıdır.

Ölüm sonrası uzlaşma analizi yoluyla, yaygın ve kritik güvenlik sorunlarının çoğu, PCI DSS tarafından alınan önlemlerle ele alınabilir. En başından beri PCI DSS, yalnızca kredi kartı sahibi verilerini çalmaya odaklanan farklı türdeki siber güvenlik tehditlerini azaltmak ve yönetmek amacıyla tasarlanmış ve geliştirilmiştir. Veri hırsızlığı olasılığını ve gerçekleşirse böyle bir uzlaşmanın etkilerini azaltmaya yardımcı olabilir. PCI DSS, gerçek veri ihlali vakalarına dayandığından, insanları olası kredi kartı veri güvenliği ihlallerinden korumaya yardımcı olabilir.

PCI DSS, e-ticaret tabanlı işletmeler için ne anlama geliyor?

PCI DSS, müşterilerin kişisel ve kredi kartı verilerini korumanın güçlü bir yoludur. Ancak, ticari varlığı birden fazla şekilde korur. Verilerin çevrimiçi olası güvenlik tehditlerine karşı korunması söz konusu olduğunda en iyi uygulamalardan bazılarını içerirler. Şirketinizin harici bir barındırma hizmeti sağlayıcısı varsa, barındırma uzmanının PCI DSS yönetmeliklerine ve politikalarına uygun olup olmadığını öğrenin. Yıllık SSAE 16 veya SOC 1 denetimini gerçekleştirmeleri gerekir. Barındırma hizmeti şirketinizin PCI DSS düzenlemelerine uygun olmadığını fark ederseniz, çevrimiçi güvenliğe daha pratik bir yaklaşımla farklı bir hizmet sağlayıcı seçmelisiniz. Bu tür şirketler genellikle PCI DSS uyumluluğunu ciddiye alır. Ne siz ne de barındırma hizmeti sağlayıcınız PCI DSS uyumluluğu konusunda yetersiz olmamalıdır.

PCI DSS uyumluluğu ile ilgili adımlar

PCI DSS ile ilgili politika ve düzenlemelerin uygulanmasında birkaç adım vardır.

Bu adımlar aşağıda tanımlanmıştır.

• Çevrimiçi işlemler için güvenli bir ağ oluşturma ve daha sonra bu ağın bakımını yapma
  Kart sahibinin verilerinin korunması
• Sağlam ve verimli bir güvenlik açığı yönetimi programı oluşturma
• Erişim ve kontrol için güçlü önlemlerin uygulanması
• Ağ gücünü düzenli olarak denetlemek ve değerlendirmek
• Etkili ve sonuç odaklı bir bilgi güvenliği politikasının sürdürülmesi

Şirketinizin bir yıllık bazda yönettiği çevrimiçi işlem sayısına göre birden fazla uyumluluk düzeyi vardır ve bunları bilmeniz gerekir.

• Seviye 4: Seviye 4 ilk ve en düşük seviyedir. Yıllık 20.000 veya daha az kart işlemini yöneten şirketler için geçerlidir. Web sitesi ve ağ taramalarını düzenli olarak yapmak çok önemlidir. Ayrıca, resmi olarak onaylanmış bir tarama satıcısı tarafından yapılmalıdır. Ekibinizin bir öz değerlendirme anketi doldurması ve uygunluğun belgelendirilmesi gerekir. Bu seviyenin ücreti düşüktür ve ayda yalnızca yaklaşık 60 ABD dolarıdır.
• Seviye 3: Seviye 3 uyumluluğu, yıllık 20000 ila bir milyon işlem arasında işlemleri yöneten şirketler içindir. Bu seviyenin ücreti yüksek, yıllık 1200 dolar civarında.
• Seviye 2: Seviye 2, yılda 1 ila 6 milyon işlemi yöneten şirketleri içerir. Bunun için yıllık maliyetleriniz yaklaşık 10000 ila 50000 dolar arasında olacaktır. Çalıştığınız ağın boyutundan ve toplam IP adreslerinizden de etkilenebilir.
• Seviye 1: Seviye 1, yılda altı milyon veya daha fazla işlem gerçekleştiren şirketlerle ilişkili maksimum seviyedir. Ayrıca verilerini depolayabilir, sunucularını çalıştırabilir ve kodlarının çoğunu yazabilirler. Bu tür şirketler için ücret 50000 dolardan fazla olacak.

Yukarıda tartışılan ayrıntılara bir göz atmak, PCI DSS uyumluluğunun dünya çapında nasıl çalıştığı hakkında size bilgi verecektir. PCI DSS uyumluluğu hakkında daha fazla bilgi edinmek için buraya tıklayabilirsiniz.