PCI DSS Nedir?
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi ve banka kartı işlemlerinin güvenliğini sağlamayı ve kart sahiplerini kişisel bilgilerinin kötüye kullanılmasına karşı korumayı amaçlayan, teknik ve yönetsel gereksinimleri içeren bir standarttır. PCI DSS, 2004 yılında beş büyük kredi kartı şirketi tarafından ortaklaşa oluşturulmuştur.
PCI DSS Nedir?
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi ve banka kartı işlemlerinin güvenliğini sağlamayı ve kart sahiplerini kişisel bilgilerinin kötüye kullanılmasına karşı korumayı amaçlayan, teknik ve yönetsel gereksinimleri içeren bir standarttır. PCI DSS, 2004 yılında beş büyük kredi kartı şirketi tarafından ortaklaşa oluşturulmuştur.
PCI DSS Denetimleri
Metodolojimiz
01
PROJE BAŞLANGIÇ TOPLANTISI
Üst düzey yönetimi ve ilgili birim yöneticilerinin katıldığı bir proje başlangıç toplantısı ile projenin amacını, sürecini, gerekli kaynakları ve projenin riskleri değerlendirilir. İlgili birimler ile görüşerek PCI DSS uyumluluğu ve denetimine esas olacak kapsamın doğru bir şekilde belirlenmesini sağlanır.
02
PCI DSS KAPSAMININ BELİRLENMESİ
Kapsam belirlenirken kuruluşun iş süreçleri, yerleşkeleri, veri merkezleri, sistemleri, çalışanları, hizmet sağlayan tedarikçileri, kredi/banka kartının iletimi, işleyişi, saklanması, imhası ile ilgili olan ve kart bilgisinin güvenliğini etkileyen tüm süreç ve bileşenler dikkate alınır. PCI DSS kapsam dokümanı hazırlanır.
01
PROJE BAŞLANGIÇ TOPLANTISI
Üst düzey yönetimi ve ilgili birim yöneticilerinin katıldığı bir proje başlangıç toplantısı ile projenin amacını, sürecini, gerekli kaynakları ve projenin riskleri değerlendirilir. İlgili birimler ile görüşerek PCI DSS uyumluluğu ve denetimine esas olacak kapsamın doğru bir şekilde belirlenmesini sağlanır.
02
PCI DSS KAPSAMININ BELİRLENMESİ
Kapsam belirlenirken kuruluşun iş süreçleri, yerleşkeleri, veri merkezleri, sistemleri, çalışanları, hizmet sağlayan tedarikçileri, kredi/banka kartının iletimi, işleyişi, saklanması, imhası ile ilgili olan ve kart bilgisinin güvenliğini etkileyen tüm süreç ve bileşenler dikkate alınır. PCI DSS kapsam dokümanı hazırlanır.
03
PCI DSS FARKLILIK ( GAP) ANALİZİ
Mevcut yapının güncel PCI DSS standardına uygunluğunu belirlemek amacıyla bir farklılık analizi hizmeti gerçekleştirilir.
Analiz çalışması ile standarda uygun olmayan unsurlar ve uyumsuzluk sebepleri belirlenir. Analiz hizmeti sonucunda Farklılık Analizi Raporu hazırlanır. PCI SSC tarafından yetkilendirilmiş QSA (Qualified Security Assessor) uzmanlar tarafından gerçekleştirilir.
04
PCI DSS İYİLEŞTİRME DANIŞMANLIK HİZMETİ
Kredi/Banka kartı uygulamaları ve ödeme altyapısının PCI DSS’e uygun olarak oluşturulması için danışmanlık hizmeti sağlanır. Secureway ve kuruluş ile birlikte bir önceliklendirme dokümanı oluşturur, uyumsuzlukların giderilmesi ile ilgili iş adımları, sorumlular, termin süreleri belirlenir.
Uyumluluk için gerekli dokümanlar hazırlanır.
03
PCI DSS FARKLILIK ( GAP) ANALİZİ
Mevcut yapının güncel PCI DSS standardına uygunluğunu belirlemek amacıyla bir farklılık analizi hizmeti gerçekleştirilir.
Analiz çalışması ile standarda uygun olmayan unsurlar ve uyumsuzluk sebepleri belirlenir. Analiz hizmeti sonucunda Farklılık Analizi Raporu hazırlanır. PCI SSC tarafından yetkilendirilmiş QSA (Qualified Security Assessor) uzmanlar tarafından gerçekleştirilir.
04
PCI DSS İYİLEŞTİRME DANIŞMANLIK HİZMETİ
Kredi/Banka kartı uygulamaları ve ödeme altyapısının PCI DSS’e uygun olarak oluşturulması için danışmanlık hizmeti sağlanır. Secureway ve kuruluş ile birlikte bir önceliklendirme dokümanı oluşturur, uyumsuzlukların giderilmesi ile ilgili iş adımları, sorumlular, termin süreleri belirlenir.
Uyumluluk için gerekli dokümanlar hazırlanır.
05
PCI DSS YERİNDE DENETİM
(ON-SITE AUDIT) HİZMETİ
Farklılık Analizi Raporunda belirlenen tüm uyumsuzlukların giderilmesinden sonra, PCI SSC tarafından yetkilendirilmiş QSA (Qualified Security Assessor) uzmanlarıyla yerinde denetim hizmeti (On-Site Audit) gerçekleştirilir.
Denetim hizmeti sonucunda ROC
(Report On Compliance) hazırlanır.
06
UYUMLULUK BELGESİ (AOC)
HAZIRLANMASI VE PAYLAŞIMI
ROC dokümanının Secureway tarafından hazırlanıp iletilmesinden ve Kuruluş tarafından da da dokümanı incelenmesinden sonra PCI DSS Uyumluluk Belgesi – Attestation of Compliance (AOC) dokümanı hazırlanır. Denetçi (QSA) ve Kurum yetkillierinin imzalaması ile denetim süreci sona erer.
AOC dokümanın, ödeme markaları (Payment Brands) ya da bankalara iletilmesi gerekirse Secureway bu konuda gerekli iletişimi ve paylaşımı sağlar.
05
PCI DSS YERİNDE DENETİM
(ON-SITE AUDIT) HİZMETİ
Farklılık Analizi Raporunda belirlenen tüm uyumsuzlukların giderilmesinden sonra, PCI SSC tarafından yetkilendirilmiş QSA (Qualified Security Assessor) uzmanlarıyla yerinde denetim hizmeti (On-Site Audit) gerçekleştirilir.
Denetim hizmeti sonucunda ROC
(Report On Compliance) hazırlanır.
06
UYUMLULUK BELGESİ (AOC)
HAZIRLANMASI VE PAYLAŞIMI
ROC dokümanının Secureway tarafından hazırlanıp iletilmesinden ve Kuruluş tarafından da da dokümanı incelenmesinden sonra PCI DSS Uyumluluk Belgesi – Attestation of Compliance (AOC) dokümanı hazırlanır. Denetçi (QSA) ve Kurum yetkillierinin imzalaması ile denetim süreci sona erer.
AOC dokümanın, ödeme markaları (Payment Brands) ya da bankalara iletilmesi gerekirse Secureway bu konuda gerekli iletişimi ve paylaşımı sağlar.
PCI SSC ve Standartlar
PCI konseyi tarafından ödeme kartlarının güvenliğini sağlamak amacıyla geliştirilmiş bir standarttır. VISA, Mastercard, American Express, Discovery ve JCB tarafından oluşturulmuş olan konsey ödeme kartları ile ilgili güvenlik standartlarını oluşturmakta ve bunların duyurulması, eğitimleri ve denetimleri konusunda ödeme kartları endüstrisine öncülük etmektedir.
PCI konseyi tarafından yayınlanmış olan standartlar
PCI SSC ve Standartlar
PCI konseyi tarafından ödeme kartlarının güvenliğini sağlamak amacıyla geliştirilmiş bir standarttır. VISA, Mastercard, American Express, Discovery ve JCB tarafından oluşturulmuş olan konsey ödeme kartları ile ilgili güvenlik standartlarını oluşturmakta ve bunların duyurulması, eğitimleri ve denetimleri konusunda ödeme kartları endüstrisine öncülük etmektedir.
PCI konseyi tarafından yayınlanmış olan standartlar
PCI DSS Üye İşyeri Seviyeleri
PCI DSS Üye İşyeri
Seviyeleri
| KATEGORİ | KRİTERLER | GEREKLİLİKLER |
|---|---|---|
| Level 1 | • Herhangi bir hack ya da saldırıya maruz kalarak ve müşteri bilgisi ele geçirilmiş (Account Data Compromise - ADC) iş yerleri- Yıllık 6 milyondan fazla toplam Mastercard ve Maestro işlemi olan iş yerleri • VISA’nın Level 1 kriterini karşılayan iş yerleri • MasterCard ın kendi isteğiyle, riski azaltmak için Level-1 kategorisinde olarak değerlendirdiği iş yerleri | • Yıllık yerinde denetim (on-site audit) |
| Level 2 | • Yıllık 1 milyondan fazla 6 milyondan az ya da eşit toplam Mastercard ve Maestro işlemi olan iş yerleri • VISA’nın Level 2 kriterini karşılayan iş yerleri | • Yıllık yerinde denetim (on-site audit) yada öz değerlendirme (Self Assessment) |
| Level 3 | • Yıllık 20.000’den fazla toplam Mastercard ve Maestro e-ticaret işlemi olan ama yıllık toplam Mastercard ve Maestro işlem sayısı 1 milyondan az ya da eşit olan iş yerleri • VISA’nın Level 3 kriterini karşılayan iş yerleri | • Yıllık Öz Değerlendirme (Self Assessment) • İş yerinin tercihine göre yerinde denetim (On-site Audit) |
| Level 4 | • Tüm diğer işyerleri | • Yıllık Öz Değerlendirme (Self Assessment) • İş yerinin tercihine göre yerinde denetim (On-site Audit) |
PCI DSS Servis Sağlayıcı Seviyeleri
PCI DSS Servis Sağlayıcı
Seviyeleri
| KATEGORİ | KRİTERLER | GEREKLİLİKLER |
|---|---|---|
| Level 1 | • Tüm üçüncü parti işlem sağlayıcılar – All Third Party Processors (TPPs) • Tüm aşamalı sayısal cüzdan operatörleri – All Staged Digital Wallet Operators (SDWOs) • Tüm sayısal aktivite sağlayıcılar – All Digital Activity Service Providers (DASPs) • Tüm token servis sağlayıcılar – All Token Service Providers (TSPs) • Tüm 3-DSecure servis sağlayıcılar – All 3-D Secure Service Providers (3-DSSPs) • Tüm AML/Yaptırım servis sağlayıcılar – All AML/Sanctions Service Providers • Yıllık 6 milyondan fazla toplam Mastercard ve Maestro işlemi olan tüm Veri Saklama Firmaları ve Ödeme Servis Sağlayıcı – All Data Storage Entities (DSEs) and Payment Facilitators (PFs) with more than 300,000 total combined Mastercard and Maestro transactions annually | • Yıllık yerinde denetim (on-site audit). PCI SSC tarafından onaylı bir QSA tarafından gerçekleştirilmelidir. |
| Level 2 | • Yıllık 300.000 ya da daha az toplam Mastercard ve Maestro işlemi olan tüm Veri Saklama Firmaları ve Ödeme Servis Sağlayıcı All DSEs1 and PFs with 300,000 or less total combined Mastercard and Maestro transactions annually • Tüm Terminal Sağlayıcılar – All Terminal Servicers (TSs) | • Yıllık Öz Değerlendirme (Self Assessment) |
Bize Ulaşın
Lütfen size nasıl yardımcı
olabileceğimizi bize bildirin.
Secureway’in iş felsefesi, en yüksek kalitede yenilikçi ürünü, toplam müşteri memnuniyetini, çözümlerin zamanında teslimini ve sektörde bulunan en iyi kalite-fiyat oranını sağlamaktır.
Misyonumuz, iş performansınızı iyileştirmenize, riskleri azaltmanıza, sizi daha üretken, daha az stresli ve biraz daha güvenli olmanıza yardımcı olmaktır.
İletişim Formu
Bize Ulaşın
Lütfen size nasıl yardımcı
olabileceğimizi bize bildirin.
Secureway’in iş felsefesi, en yüksek kalitede yenilikçi ürünü, toplam müşteri memnuniyetini, çözümlerin zamanında teslimini ve sektörde bulunan en iyi kalite-fiyat oranını sağlamaktır.
Misyonumuz, iş performansınızı iyileştirmenize, riskleri azaltmanıza, sizi daha üretken, daha az stresli ve biraz daha güvenli olmanıza yardımcı olmaktır.
