PCI DSS Nedir?

Ödeme Kartı Sektörü (PCI) Veri Güvenliği Standardı (DSS), büyük kredi kartı şirketlerinin bir araya gelerek oluşturduğu Ödeme Kartları Endüstrisi Güvenlik Konseyi (PCI SSC) tarafından geliştirilmiştir. Bu standart, kartlı ödeme işlemlerinin güvenliğini sağlamak amacıyla gerekli politika, süreç ve teknik gereksinimleri tanımlamaktadır. PCI DSS uyumluluğu, kredi kartı firmaları tarafından zorunlu tutulmakta olup, bazı ülkelerin mevzuatlarında da bu standarda atıflar yapılmakta veya doğrudan standarttan alıntılar yer almaktadır. Ayrıca, standart herkesin erişimine açık olup ücretsiz olarak sunulmaktadır (Sağıroğlu, 2019).

Güvenlik hedeflerine nasıl ulaşılacağı konusunda esneklik sahibi olan PCI DSS içerisinde uygulama ve doğrulama için iki yaklaşım mevcuttur (Payment Card Industry Security Standards Council, 2024).;

  • Tanımlanmış yaklaşım: PCI DSS’yi uygulama ve doğrulama için geleneksel yöntemi izler ve standartta tanımlanan Gereksinimler ve Test Prosedürlerini (Requirements and Testing Procedures) kullanır.
    • Telafi edici kontroller: Tanımlı yaklaşım kapsamında, gerekliliği belirtilen bir standardı teknik veya iş gerekçeleri nedeniyle karşılayamayan kuruluşlar için telafi edici kontroller bir seçenek olarak sunulmaktadır. Kuruluş, söz konusu gerekliliği doğrudan karşılayamasa da, bu duruma ilişkin riski yeterince azaltacak alternatif veya telafi edici kontroller uygular. Telafi edici kontroller genellikle, gerekliliği karşılayacak şekilde güncellenemeyen eski (legacy) sistem veya süreçlerin bulunduğu durumlarda kullanılır.
  • Özelleştirilmiş yaklaşım: Bu yaklaşım, kuruluşlar için tanımlı yaklaşımları birebir izlemeksizin, özelleştirilmiş yaklaşım amacında belirtilen gereklilikleri karşılayacak kontrolleri uygulama imkânı tanır. Bu sayede, yenilikçi yaklaşımlar veya yeni teknolojiler kullanarak PCI DSS hedeflerini gerçekleştirmek isteyen kuruluşlara daha fazla esneklik sağlanır.

PCI DSS, temel olarak 6 ilgili grup içinde düzenlenmiş 12 uyum gereksinimine sahiptir (Payment Card Industry Security Standards Council, 2022).;

  • Güvenli Bir Ağ ve Sistem Kurun ve Sürdürün
    • 1. Ağ güvenlik kontrollerini kurun ve sürdürün.
      • 1.1. Ağ güvenliği kontrollerinin kurulumu ve sürdürülmesine ilişkin süreçler ve mekanizmalar tanımlanmakta ve anlaşılmaktadır.
      • 1.2. Ağ güvenliği kontrolleri (NSC’ler) yapılandırılmakta ve sürdürülmektedir.
      • 1.3. Kart sahibi veri ortamına ve ortamından ağ erişimi kısıtlanmaktadır.
      • 1.4. Güvenilir ve güvenilir olmayan ağlar arasındaki ağ bağlantıları kontrol edilmektedir.
      • 1.5. Hem güvenilir olmayan ağlara hem de kart sahibi verisi ortamı (CDE)’ye bağlanabilen bilgi işlem cihazlarından kaynaklanan CDE riskleri azaltılmaktadır.
    • 2. Tüm sistem bileşenlerine güvenli yapılandırmalar uygulayın.
      • 2.1. Tüm sistem bileşenlerine güvenli yapılandırmaların uygulanmasına yönelik süreçler ve mekanizmalar tanımlanmalı ve anlaşılmalıdır.
      • 2.2. Sistem bileşenleri güvenli bir şekilde yapılandırılmalı ve yönetilmelidir.
      • 2.3. Kablosuz ortamlar güvenli bir şekilde yapılandırılmalı ve yönetilmelidir.
  • Hesap Verilerini Koruyun
    • 3. Saklanan hesap verilerini koruyun.
      • 3.1. Saklanan hesap verilerini korumaya yönelik süreçler ve mekanizmalar tanımlanmakta ve anlaşılmaktadır.
      • 3.2. Hesap verilerinin saklanması minimumda tutulmaktadır.
      • 3.3. Hassas kimlik doğrulama verileri (SAD), yetkilendirmeden sonra saklanmamaktadır.
      • 3.4. Tam birincil hesap numarası (PAN) ekranlarına erişim ve kart sahibi verilerinin kopyalanması kısıtlanmıştır.
      • 3.5. Birincil hesap numarası (PAN), saklandığı her yerde güvence altına alınmıştır.
      • 3.6. Saklanan hesap verilerini korumak için kullanılan kriptografik anahtarlar güvence altına alınmıştır.
      • 3.7. Saklanan hesap verilerini korumak için kriptografinin kullanıldığı durumlarda, anahtar yaşam döngüsünün tüm yönlerini kapsayan anahtar yönetimi süreçleri ve prosedürleri tanımlanmakta ve uygulanmaktadır.
    • 4. Açık ve genel ağlar üzerinden yapılan iletimlerde kart sahibine ait verileri güçlü şifreleme yöntemleriyle koruyun.
      • 4.1. Açık, genel ağlar üzerinden iletim sırasında kart sahibi verilerinin güçlü kriptografi ile korunmasına yönelik süreçler ve mekanizmalar tanımlanmakta ve belgelenmektedir.
      • 4.2. Birincil hesap numarası (PAN), iletim sırasında güçlü kriptografi ile korunmaktadır.
  • Zafiyet Yönetim Programını Sürdürün
    • 5. Tüm sistemleri ve ağları kötü amaçlı yazılımlardan koruyun.
      • 5.1. Tüm sistemleri ve ağları kötü amaçlı yazılımlardan korumaya yönelik süreçler ve mekanizmalar tanımlanmalı ve anlaşılmalıdır.
      • 5.2. Kötü amaçlı yazılımlar (kötü amaçlı yazılımlar) önlenmeli veya tespit edilip ele alınmalıdır.
      • 5.3. Kötü amaçlı yazılım önleme mekanizmaları ve süreçleri etkindir, bakımı yapılır ve izlenir.
      • 5.4. Kimlik avı önleme mekanizmaları, kullanıcıları kimlik avı saldırılarına karşı korur.
    • 6. Güvenli sistemler ve yazılımlar geliştirin ve bunları sürdürün.
      • 6.1. Güvenli sistem ve yazılımların geliştirilmesi ve sürdürülmesine yönelik süreçler ve mekanizmalar tanımlanır ve anlaşılır.
      • 6.2. Özel ve özelleştirilmiş yazılımlar güvenli bir şekilde geliştirilir.
      • 6.3. Güvenlik açıkları belirlenir ve giderilir.
      • 6.4. Herkese açık web uygulamaları saldırılara karşı korunur.
      • 6.5. Tüm sistem bileşenlerinde yapılan değişiklikler güvenli bir şekilde yönetilir.
  • Güçlü Erişim Kontrol Önlemleri Uygulayın
    • 7. Sistem bileşenlerine ve kart sahibi verilerine erişimi, iş gerekliliği esasına göre sınırlandırın.
      • 7.1. İşletmenin bilmesi gereken sistem bileşenlerine ve kart sahibi verilerine erişimi kısıtlamaya yönelik süreçler ve mekanizmalar tanımlanmalı ve anlaşılmalıdır.
      • 7.2. Sistem bileşenlerine ve verilere erişim uygun şekilde tanımlanmalı ve atanmalıdır.
      • 7.3. Sistem bileşenlerine ve verilere erişim, bir erişim kontrol sistemi(leri) aracılığıyla yönetilmelidir.
    • 8. Kullanıcıları tanımlayın ve sistem bileşenlerine erişimlerini kimlik doğrulamayla sağlayın.
      • 8.1. Kullanıcıları tanımlama ve sistem bileşenlerine erişimi doğrulama süreçleri ve mekanizmaları tanımlanmalı ve anlaşılmalıdır.
      • 8.2. Kullanıcı tanımlama ve kullanıcılar ile yöneticiler için ilgili hesaplar, hesabın yaşam döngüsü boyunca sıkı bir şekilde yönetilir.
      • 8.3. Kullanıcılar ve yöneticiler için güçlü kimlik doğrulaması oluşturulur ve yönetilir.
      • 8.4. Kart sahibi verisi ortamı (CDE)’ye erişimi güvence altına almak için çok faktörlü kimlik doğrulama (MFA) uygulanır.
      • 8.5. Çok faktörlü kimlik doğrulama (MFA) sistemleri, kötüye kullanımı önlemek için yapılandırılır.
      • 8.6. Uygulama ve sistem hesaplarının ve ilişkili kimlik doğrulama faktörlerinin kullanımı sıkı bir şekilde yönetilir.
    • 9. Kart sahibi verilerine fiziksel erişimi sınırlandırın.
      • 9.1. Kart sahibi verilerine fiziksel erişimi kısıtlamaya yönelik süreçler ve mekanizmalar tanımlanmakta ve anlaşılmaktadır.
      • 9.2. Fiziksel erişim kontrolleri, kart sahibi verilerini içeren tesis ve sistemlere girişi yönetir.
      • 9.3. Personel ve ziyaretçiler için fiziksel erişim yetkilendirilir ve yönetilir.
      • 9.4. Kart sahibi verilerinin bulunduğu ortamlar güvenli bir şekilde saklanır, erişilir, dağıtılır ve imha edilir.
      • 9.5. Etkileşim noktası (POI) cihazları, kurcalanmaya ve yetkisiz ikamelere karşı korunur.
  • Ağları Düzenli Olarak İzleyin ve Test Edin
    • 10. Sistem bileşenlerine ve kart sahibi verilerine yapılan tüm erişimleri kaydedin ve izleyin.
      • 10.1. Sistem bileşenlerine ve kart sahibi verilerine tüm erişimlerin kaydedilmesi ve izlenmesi için süreçler ve mekanizmalar tanımlanmış ve belgelenmiştir.
      • 10.2. Anormalliklerin ve şüpheli faaliyetlerin tespitini ve olayların adli analizini desteklemek için denetim günlükleri uygulanır.
      • 10.3. Denetim günlükleri, imha ve yetkisiz değişikliklere karşı korunur.
      • 10.4. Anormallikleri veya şüpheli faaliyetleri belirlemek için denetim günlükleri incelenir.
      • 10.5. Denetim günlüğü geçmişi saklanır ve analiz için kullanılabilir.
      • 10.6. Zaman senkronizasyon mekanizmaları, tüm sistemlerde tutarlı zaman ayarlarını destekler.
      • 10.7. Kritik güvenlik kontrol sistemlerindeki arızalar tespit edilir, raporlanır ve derhal müdahale edilir.
    • 11. Sistemlerin ve ağların güvenliğini düzenli olarak test edin.
      • 11.1. Sistem ve ağların güvenliğinin düzenli olarak test edilmesine yönelik süreçler ve mekanizmalar tanımlanmakta ve anlaşılmaktadır.
      • 11.2. Kablosuz erişim noktaları tespit edilip izlenmekte ve yetkisiz kablosuz erişim noktaları ele alınmaktadır.
      • 11.3. Harici ve dahili güvenlik açıkları düzenli olarak tespit edilmekte, önceliklendirilmekte ve ele alınmaktadır.
      • 11.4. Harici ve dahili sızma testleri düzenli olarak gerçekleştirilmekte ve istismar edilebilir güvenlik açıkları ve güvenlik zafiyetleri düzeltilmektedir.
      • 11.5. Ağ saldırıları ve beklenmedik dosya değişiklikleri tespit edilip bunlara müdahale edilmektedir.
      • 11.6. Ödeme sayfalarındaki yetkisiz değişiklikler tespit edilip bunlara müdahale edilmektedir.
  • Bilgi Güvenliği Politikası Sürdürün
    • 12. Bilgi güvenliğini kurumsal politikalar ve programlarla destekleyin.
      • 12.1. Kurumun bilgi varlıklarının korunmasını düzenleyen ve yönlendiren kapsamlı bir bilgi güvenliği politikası bilinmekte ve güncel tutulmaktadır.
      • 12.2. Son kullanıcı teknolojileri için kabul edilebilir kullanım politikaları tanımlanmakta ve uygulanmaktadır.
      • 12.3. Kart sahibi veri ortamına yönelik riskler resmi olarak belirlenmekte, değerlendirilmekte ve yönetilmektedir.
      • 12.4. PCI DSS uyumluluğu yönetilmektedir.
      • 12.5. PCI DSS kapsamı belgelenmekte ve doğrulanmaktadır.
      • 12.6. Güvenlik farkındalık eğitimi sürekli bir faaliyettir.
      • 12.7. Personel, içeriden kaynaklanan tehditlerden kaynaklanan riskleri azaltmak için taranmaktadır.
      • 12.8. Üçüncü taraf hizmet sağlayıcı (TPSP) ilişkileriyle ilişkili bilgi varlıklarına yönelik risk yönetilmektedir.
      • 12.9. Üçüncü taraf hizmet sağlayıcılar (TPSP’ler), müşterilerinin PCI DSS uyumluluğunu desteklemektedir.
      • 12.10. Kart sahibi verisi ortamı (CDE)’yi etkileyebilecek şüpheli ve doğrulanmış güvenlik olaylarına derhal müdahale edilmektedir.

Kaynaklar

Sağıroğlu, Ş. (2019). Siber güvenlik ve savunma: Standartlar ve uygulamalar (Cilt 3). https://dergipark.org.tr/tr/download/journal-file/25260

Payment Card Industry Security Standards Council. (2024). Payment Card Industry Data Security Standard: Requirements and Testing Procedures (Version 4.0.1). https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf?fv=AKHVQBp6

Payment Card Industry Security Standards Council. (2022). PCI DSS v4.0 Quick Reference Guide: Understanding the Payment Card Industry Data Security Standard version 4.0. https://www.pnc.com/content/dam/pnc-com/pdf/smallbusiness/Merchant%20Services/PCI_DSS_QuickRef_Guide.pdf

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir