PCI DSS (Payment Card Industry Data Security Standard), kredi kartı ile işlem yapan (kredi kartı bilgisini işleyen, saklayan ve ileten) tüm banka, servis sağlayıcılar ve üye iş yerlerinin uymakla yükümlü olduğu bir güvenlik standardıdır.  “Ödeme Kartları Endüstrisi Veri Güvenliği Standartları” olarak dilimize çevrilmiştir.

Ödeme Kartları, yaygın olarak iki çeşittir. Credit Card (Kredi Kartı) ve Debit Card (Para veya ATM Kartı) olarak isimlendirilen kartlardır. Her ikisi de plastik bir kart üzerine basılmış; fiziksel (adı/soyadı, kart numarası, banka adı, görseller vb.), manyetik (adı/soyadı, kart numarası, banka hesap numarası, müşteri numarası, CVV vb.) ve şifreli chip (adı/soyadı, kart numarası, müşteri numarası, hesap numarası, PIN, CVV vb.) gibi bilgileri ve alanları barındıran, kişi, kurum ve banka arasındaki güvenliğin Kimlik Doğrulama (Authentication) ve Yetki (Authorization) adımlarını kolaylaştırarak ödeme aracı olmak için tasarlanmış bir üründür.

PCI dahilinde olan kuruluşlar, ödeme kartları ile iş kolu arasında direkt bir bağ bulunan, müşterilerine bunu bir hizmet olarak sunan ve gelir elde eden, kâr amaçlı kurulmuş şirketler veya kurumlardır. Örnek olarak, American Express (AMEX), Master Card, Visa, Discover ve JCB gibi ödeme kartları markalarını verilebilir.

Ödeme Kartları Güvenliği konusunda ilk kontrol uygulayan kurum VISA’dır, 2000 yılında CISP (Cardholder Information Security Program) isimli programı Amerika’da başlatmıştır, 2001 yılında ise tüm ticari kurumlarına zorunluluk olarak getirmiştir. 2004 yılında Master Card ve Visa ortaklığında PCI DSS v 1.0 ilk sürüm olarak yayınlanmış, 2006 yılında ise PCI SSC (Security Standard Council) Güvenlik Standartları Konseyi kurularak standardın bağımsız sektör profesyonelleri tarafından olgunlaştırılması için adım atılmıştır. PCI SSC tarafından standart günümüze kadar getirilmiş ve geliştirilmeye de devam etmektedir.

PCI Veri Güvenlik Standardı’nın 12 temel gereksiniminden biri olan dış zafiyet taramaları hizmeti ile, Standarda uyumluluğun sağlanabilmesi için PCI lisanslı İnternet’e açık sistemlerin 3 ayda bir zafiyet taramalarından geçirilmelerini ve bulguların sunulmasını hedeflemektedir. Dış zafiyet taramalarının da ASV (Approved Scanning Vendor) kurumların gerçekleştirmesi zorunludur.

PCI DSS, kartlı ödeme sistemlerinde yer alan kurum ve kuruluşlarda bilgi güvenliğini sağlamak için bilgi sistemlerinde bilgi iletimini, bilgi işleyişini ve bilgi depolamayı esas alan 6 temel kriter baz alınarak oluşturulmuş 12 gereksinim kategorisi ve bu kategoriler altında yer alan 200 üzerindeki kontrolden oluşmaktadır.  En son olarak 2016 da PCI DSS v. 3.2 yayınlanmıştır.

Kredi kartı bilgisi tutan ve işleyen her kurum, PCI belirlemiş olduğu kriterlere göre senelik olarak denetimlere tabi olmak ve uyumluluk raporunu almak zorundadır.

PCI DSS Danışmanlığı Yaklaşımımız

PCI DSS (Payment Card Industry Data Security Standard) Danışmanlığı ile kredi kartınızın işlenme, iletilme ve saklanma aşamalarında bilgi güvenliği açısından uymanız gereken mantıksal ve fiziksel kuralları hakkında bilgi sahibi olmanızı amaçlarız.

PCI DSS Süreç Danışmanlığı

Gereksinimlerin bütünüyle karşılanması adına gerekecek tüm plan, prosedür ve politikaların tasarlanması, uygulanmasını; ilgili kontrollerin yerleştirilerek denetim izlerinin bırakılması hedeflenmektedir.

PCI DSS SAQ Formlarının Doldurulması

Çalışma, aşağıda belirtilen SAQ formlarının altyapı, uygulamalar ve fiziksel şartlara istinaden doğru şekilde doldurulmasını kapsamaktadır.