PCI / DSS Sertifikası Nedir, Nasıl Kullanılır?
PCI DSS zorunluluğu, günümüzde internet ve teknolojinin devamlı gelişmesine bağlı olarak ortaya çıkan sanal dolandırıcılığın engellenmesi için oldukça önemlidir. “Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı’’ olarak tanımlanan PCI DSS, kredi kartı işlemlerine ilişkin kartın korunması, iletimi ve işlenmesine ilişkin uyulması gereken güvenlik aşamalarını ifade etmektedir. PCI (Payment Card Industry), temelde kart güvenliğinin sağlanması için uyulması gereken kurallar bütününü ifade eder.
Küresel düzeyde öne çıkan Visa, MasterCard, American Express gibi kurumsal üyelerin yer aldığı konsey tarafından geliştirilen ve yayımlanan kurallar internet üzerinden yapılacak alışverişlerde tüketicilerin ve firmaların güvenliğini sağlamayı hedefler. PCI DSS Sertifikası, güvenli alışveriş için standartları belirleyen ve farklı seviyelerde derecelendirilen bir yapıdır.
PCI/DSS Sertifikası ve Uyumluluğu Neden Önemlidir?
PCI DSS danışmanlığı ile internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği konusunda uluslararası standartlara ulaşması mümkündür. Bu sistem ve kurallar sayesinde kart sahiplerinin kişisel verileri ve güvenliklileri koruma altında tutulur. Ödeme güvenliği konusunda belirlenmiş standartlara ve güvenliğe uymayan işletmelerin güvenli hizmet sunmadıkları gerekçesiyle faaliyetlerinin durdurulmasına dair çalışmalar da yürütülmektedir. PCI DSS sadece kredi kartı ile ödeme alan işletmeleri için değil, kart sahiplerinin bilgilerini depolayan ve ileten işletmeler için de önemi son derece büyüktür.
PCI/DSS Sertifikası Uyumluluk Süreci Nasıl İşler?
PCI DSS uyumluluk süreci birçok farklı aşamadan oluşur. Temelde üç aşamada tamamlanan bu uyumluluk, küresel düzeyde en güçlü ve saygın güvenlik sertifikası olan PCI DSS Sertifikası almak için başvuran işletmelerin taşıması gereken kriterler oldukça fazladır. Sistemin güvenli ve saygın olmasını sağlayan temel prensip, kredi katının işlenmesi, saklanması ve ilişkin tüm aşamalarda fiziksel ve mantıksal olarak kişisel veri ve bilgilerin güvenliğini sağlayan kurallar bütünü olmasıdır.
PCI DSS uyumluluğu için izlenmesi gereken adımlar ve uyumluluk süreci üç temel başlık altında incelenebilir.
- Analiz
- İyileştirme
- Belgeleme
Analiz aşamasında firmaların ödeme sırasında kart ödemelerini işleme nasıl soktukları, ödemelerde sağlanan veri akışının tespit edilmesi, kart ve kişisel verilerin gizliliği, kopyalama ve saklama koşulları gibi unsurlar tespit edilir. Sonrasında gelen iyileştirme aşamasında ise zayıf noktalar güçlendirilir ve riskler giderilir. Kart sahibine ilişkin bilgilerin ise mümkün olduğunca saklanmaması sağlanır.
Belgeleme aşaması ise diğer aşamalardan çok daha kapsamlı olacaktır. PCI DSS uyumluluğu ve belgelemesi için 6 farlı kriter ve 12 temel şart bulunmaktadır.
PCI / DSS Seviyeleri Nelerdir?
PCI DSS seviyeleri uluslararası standartlara göre dört temel seviyede sınıflandırılmıştır. Kart işlem sayılarına göre belirlenen bu seviyeler uyum doğrulaması gerektirecek muhtelif yöntemleri de içermektedir. Uluslararası en yaygın biçimde kullanılan Visa ve MasterCard için güvelik seviyeleri bir yılda yapılan işlem durumuna göre belirlenmiştir.
- Level 1/1. Seviye: Yıl içinde 6 milyondan fazla işlem.
- Level 2/2. Seviye: Yılda 1 – 6 milyon arası yapılan işlemler.
- Level 3/3. Seviye: Yılda 20 bin – 1 milyon arası işlem.
- Level 4/4. Seviye: Yılda 20 binden daha az işlem yapan firmalar.
PCI DSS Sertifikasına En Kolay Nasıl Sahip Olunur?
PCI DSS eğitimi ile uzmanlığını pekiştiren yetkili ve tecrübeli firmalar ile çalışarak bu sertifikanın kolay bir şekilde alınması mümkündür. E-ticaret firmaları ve sanal pos sistemi kullanarak ödeme işlemlerini gerçekleştiren firmalar PCI DSS sertifikası almak için zorlu bir süreci takip ederek uzman desteğine ihtiyaç duyacaklardır.