PCI DSS Nedir?

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı
(PCI DSS), kredi ve banka kartı işlemlerinin güvenliğini sağlamayı ve kart sahiplerini kişisel bilgilerinin kötüye kullanılmasına karşı korumayı amaçlayan, teknik ve yönetsel gereksinimleri içeren bir standarttır. PCI DSS, 2004 yılında beş büyük kredi kartı şirketi tarafından ortaklaşa oluşturulmuştur.  

PCI DSS Denetimleri
Metodolojimiz

01

PROJE BAŞLANGIÇ TOPLANTISI

Üst düzey yönetimi ve ilgili birim yöneticilerinin katıldığı bir proje başlangıç toplantısı ile projenin amacını, sürecini, gerekli kaynakları ve projenin riskleri değerlendirilir. İlgili birimler ile görüşerek PCI DSS uyumluluğu ve denetimine esas olacak kapsamın doğru bir şekilde belirlenmesini sağlanır.

02

PCI DSS KAPSAMININ BELİRLENMESİ

Kapsam belirlenirken kuruluşun iş süreçleri, yerleşkeleri, veri merkezleri, sistemleri, çalışanları, hizmet sağlayan tedarikçileri, kredi/banka kartının iletimi, işleyişi, saklanması, imhası ile ilgili olan ve kart bilgisinin güvenliğini etkileyen tüm süreç ve bileşenler dikkate alınır. PCI DSS kapsam dokümanı hazırlanır.

03

PCI DSS FARKLILIK ( GAP) ANALİZİ 

Mevcut yapının güncel PCI DSS standardına uygunluğunu belirlemek amacıyla bir farklılık analizi hizmeti gerçekleştirilir.
Analiz çalışması ile standarda uygun olmayan unsurlar ve uyumsuzluk sebepleri belirlenir. 
Analiz hizmeti sonucunda Farklılık Analizi Raporu hazırlanır.  PCI SSC tarafından yetkilendirilmiş QSA (Qualified Security Assessor) uzmanlar tarafından gerçekleştirilir. 

04

PCI DSS İYİLEŞTİRME DANIŞMANLIK HİZMETİ 

Kredi/Banka kartı uygulamaları ve ödeme altyapısının PCI DSS’e uygun olarak oluşturulması için danışmanlık hizmeti sağlanır.
Secureway ve kuruluş ile birlikte bir önceliklendirme dokümanı oluşturur, uyumsuzlukların giderilmesi ile ilgili iş adımları, sorumlular, termin süreleri belirlenir.

Uyumluluk için gerekli dokümanlar hazırlanır.

05

PCI DSS YERİNDE DENETİM
(ON-SITE AUDIT) HİZMETİ 

Farklılık Analizi Raporunda belirlenen tüm uyumsuzlukların giderilmesinden sonra, PCI SSC tarafından yetkilendirilmiş QSA (Qualified Security Assessor) uzmanlarıyla yerinde denetim hizmeti
(On-Site Audit) gerçekleştirilir.

Denetim hizmeti sonucunda ROC
(Report On Compliance) hazırlanır.  

06

UYUMLULUK BELGESİ (AOC)
HAZIRLANMASI VE PAYLAŞIMI 

ROC dokümanının Secureway tarafından hazırlanıp iletilmesinden ve Kuruluş tarafından da da dokümanı incelenmesinden sonra PCI DSS Uyumluluk Belgesi – Attestation of Compliance (AOC) dokümanı hazırlanır. Denetçi (QSA) ve Kurum yetkillierinin imzalaması ile denetim süreci sona erer.
AOC dokümanın, ödeme markaları (Payment Brands) ya da bankalara iletilmesi gerekirse Secureway bu konuda gerekli iletişimi ve paylaşımı sağlar.  

PCI SSC ve Standartlar

PCI konseyi tarafından ödeme kartlarının güvenliğini sağlamak amacıyla geliştirilmiş bir standarttır. VISA, Mastercard, American Express, Discovery ve JCB tarafından oluşturulmuş olan konsey ödeme kartları ile ilgili güvenlik standartlarını oluşturmakta ve bunların duyurulması, eğitimleri ve denetimleri konusunda ödeme kartları endüstrisine öncülük etmektedir.

PCI konseyi tarafından yayınlanmış olan standartlar

- PCI DSS - Payment Card Industry Data Security Standard
- PA-DSS - Payment Application Data Security Standard
- P2PE - Point to Point Encryption Standard
- PTS - Pin Transaction Security
- PCI 3DS - PCI 3DSecure Core Security Standard
- PCI SSS - Secure Software Standard
- Card Production 

PCI DSS üye işyeri seviyeleri

KATEGORİ   KRİTERLER GEREKLİLİKLER
Level 1- Herhangi bir hack ya da saldırıya maruz kalarak ve müşteri bilgisi ele geçirilmiş
  (Account Data Compromise - ADC) iş yerleri

- Yıllık 6 milyondan fazla toplam Mastercard ve Maestro işlemi olan iş yerleri

- VISA’nın Level 1 kriterini karşılayan iş yerleri

- MasterCard ın kendi isteğiyle, riski azaltmak için Level-1 kategorisinde
   olarak değerlendirdiği iş yerleri
- Yıllık yerinde denetim
  (on-site audit)
Level 2- Yıllık 1 milyondan fazla 6 milyondan az ya da eşit toplam Mastercard ve
  Maestro işlemi olan iş yerleri

- VISA’nın Level 2 kriterini karşılayan iş yerleri
- Yıllık yerinde denetim
(on-site audit) yada
öz değerlendirme
(Self Assessment) 

Level 3 - Yıllık 20.000’den fazla toplam Mastercard ve Maestro e-ticaret işlemi
  olan ama yıllık toplam Mastercard ve Maestro işlem sayısı
  1 milyondan az ya da eşit olan iş yerleri

- VISA’nın Level 3 kriterini karşılayan iş yerleri

- Yıllık Öz Değerlendirme
  (Self Assessment)
- İş yerinin tercihine göre
  yerinde denetim
  (On-site Audit)

Level 4 • Tüm diğer işyerleri- Yıllık Öz Değerlendirme
  (Self Assessment)
- İş yerinin tercihine göre
  yerinde denetim
  (On-site Audit)

PCI DSS servis sağlayıcı seviyeleri

KATEGORİ   KRİTERLER GEREKLİLİKLER
Level 1- Tüm üçüncü parti işlem sağlayıcılar - All Third Party Processors (TPPs)

- Tüm aşamalı sayısal cüzdan operatörleri - All Staged Digital Wallet Operators (SDWOs)

- Tüm sayısal aktivite sağlayıcılar - All Digital Activity Service Providers (DASPs)

- Tüm token servis sağlayıcılar - All Token Service Providers (TSPs)

- Tüm 3-DSecure servis sağlayıcılar - All 3-D Secure Service Providers (3-DSSPs)

- Tüm AML/Yaptırım servis sağlayıcılar - All AML/Sanctions Service Providers

- Yıllık 6 milyondan fazla toplam Mastercard ve Maestro işlemi olan tüm
  Veri Saklama Firmaları ve Ödeme Servis Sağlayıcı - All Data Storage Entities (DSEs)
  and Payment Facilitators (PFs) with more than 300,000 total combined Mastercard
  and Maestro transactions annually

- Yıllık yerinde denetim
  (on-site audit).
  PCI SSC tarafından
  onaylı bir QSA
  tarafından
  gerçekleştirilmelidir.

Level 2- Yıllık 300.000 ya da daha az toplam Mastercard ve Maestro işlemi olan
  tüm Veri Saklama Firmaları ve Ödeme Servis Sağlayıcı
  All DSEs1 and PFs with 300,000 or less total combined
  Mastercard and Maestro transactions annually

- Tüm Terminal Sağlayıcılar - All Terminal Servicers (TSs)

- Yıllık Öz Değerlendirme
  (Self Assessment) 

İletişim Formu

Mobirise