ÖDERO BLOG

PCI DSS Nedir, Neden Önemlidir?

Finans Rehberi

27 Haziran 2024

E-ticarette veri gizliliği ve ödeme güvenliği konusunda hem ulusal hem de global çapta çeşitli sistemler mevcut. Güvenlik standartlarını belirleyen uluslararası sistemler ile uyumlu çalışan e-ticaret ve ödeme altyapısı firmaları ise tüketicilere her zaman daha güvenli bir deneyim sunar. Bu noktada karşımıza çıkan PCI DSS, kartlı ödeme sistemlerinin kullanıldığı platformların güvenlik standartlarına uyumluluğunu gösteren önemli bir detaydır. Peki, PCI DSS uyumluluğu nedir ve PCI DSS sertifikası nasıl alınır?

PCI DSS Nedir?

PCI DSS; Mastercard, Visa, JCB, Discover ve American Express tarafından kurulan PCI Security Standards Council (PCI SSC - PCI Güvenlik Standartları Konseyi) çatısı altında yönetilen bir veri güvenliği standardıdır.

Açılımı “Payment Card Industry Data Security Standard” (Ödeme Kartı Sektörü Veri Güvenliği Standardı) olan bu sistem, banka ve kredi kartı gibi ödeme araçlarının sahipleriyle ilgili verilerin güvenliğini kapsar. PCI DSS, kartlı ödeme araçlarına ve bu kartların sahiplerine ait bilgileri toplayan, saklayan, işleyen ve iletimine aracılık eden kuruluşlar için geçerli bir güvenlik standardıdır.

İlk olarak 2006 yılında başlatılan ve yıllar içinde geliştirilen PCI DSS standardı, tüketicilerin internetten alışveriş yaparken duyduğu güvenlik şüphelerini ortadan kaldırmayı amaçlıyor. Dolayısıyla PCI DSS standartlarına uyan ve PCI DSS sertifikası olan firmalar da tüketicilerin gözünde daha güvenli görünüyor. Çünkü bu standartlar doğrultusunda verilerin güvenli tutulabilmesi sağlanıyor.

PCI DSS Sertifikası Nedir?

E-ticaret sektöründeki ödeme ve finans kuruluşlarında karşımıza çıkan PCI DSS sertifikası, ilgili firmanın PCI Güvenlik Standartları Konseyi’nin Ödeme Kartı Sektörü Veri Güvenliği Standardı’na uyum sağladığını gösterir. Yani bu sertifikaya sahip kuruluşlar, müşterilerine kart ve kart sahipleriyle ilgili bilgilerin güvende olacağının sözünü vermiş olur. Standartların dışına çıkmayan firmalarda söz konusu verilerin güvenliği sağlanır.

PCI DSS Sertifikası Nasıl Alınır?

PCI DSS Sertifikası Nasıl Alınır? PCI DSS Sertifikası Nasıl Alınır?

PCI DSS sertifikası almak üzere PCI Güvenlik Standartları Konseyi’ne başvuran kuruluşlar, detaylı bir şekilde incelenir. Başvuru yapan firma; iş süreçlerinden yasal prosedürlere, sistem altyapısından güvenlik uygulamalarına kadar her açıdan değerlendirilir. İlk olarak PCI SSC tarafından analiz edilen firmalar iyileştirme ve belgeleme aşamasını da geçerek bu sertifikayı alabilir.

Tüm sürecin sorunsuz geçmesi ise ancak PCI DSS uyumluluğunu sağlayabilmekle mümkündür. Peki, PCI DSS uyumluluğu nedir ve nasıl sağlanır?

PCI DSS Uyumluluğu Nasıl Sağlanır?

Ödeme Kartı Sektörü Veri Güvenliği Standardı uyumluluğu için 12 temel gereksinimi karşılamak gerekiyor. Bu gereksinimler şöyle sıralanıyor:

  1. Kart sahiplerinin verilerini korumak için devamlılığı sağlanabilen bir güvenlik duvarı yapılandırması kurmak
  2. Sistem şifreleri ve diğer güvenlik parametreleri için sağlayıcının sunduğu varsayılan bilgileri kullanmamak
  3. Kart sahibine ait saklanan verileri korumak
  4. Açık ve genel ağlardan iletilen kart sahibi verilerini şifrelemek
  5. Tüm sistemi kötü amaçlı yazılımlara karşı korumak ve antivirüs programlarını sürekli güncel tutmak
  6. Güvenli sistem ve uygulamalar geliştirerek devamlılığı sağlamak
  7. Kart sahibine ait verilere erişimi, işletme tarafından bilinmesi gerekenlere göre kısıtlamak
  8. Sistem bileşenlerine erişimi tanımlamak ve doğrulamak
  9. Kart sahibine ait verilere fiziksel olarak erişimi kısıtlamak
  10. Kart sahibi verilerine ve ağ kaynaklarına erişimi izlemek ve takip etmek
  11. Güvenlik sistemlerini ve güvenlik süreçlerini düzenli olarak test etmek
  12. Tüm personel için veri güvenliğini ele alan bir politika sürdürmek

PCI DSS Seviyeleri Ne Anlama Gelir?

PCI DSS sertifikaları, uyumluluk sağlayan firmaların kartlı işlem adetlerine göre sınıflandırılır. Dört farklı sertifika seviyesi mevcuttur. PCI DSS seviyelerini şu şekilde sıralayabiliriz:

PCI DSS Sertifika Sınıflandırmaları
Seviye 1 (Level 1) Yıllık 6 milyondan fazla işlem gerçekleştiren firmalar
Seviye 2 (Level 2) Yıllık 1 ila 6 milyon arası işlem gerçekleştiren firmalar
Seviye 3 (Level 3) Yıllık 20.000 ila 1 milyon arası işlem gerçekleştiren firmalar
Seviye 4 (Level 4) Yıllık 20.000’den az işlem gerçekleştiren firmalar

PCI DSS Sertifikasının Geçerliliği Ne Kadardır?

PCI DSS sertifikası sürekli kontrole tabi tutulan bir uygulamadır. Yani bu sertifikayı bir kere almak yeterli değildir. Uyumluluk standartlarının sürekli bir şekilde sağlanması gerekir. Bu doğrultuda firmalara yıllık denetimler yapılır. 1. seviye firmalar için yılda 4 kez network taraması yapılır. Diğer seviyelerde ise yılda 4 kez network taramasına ek olarak uyumluluğun devamını gösteren SAQ (Self-Assessment Questionaire) anketi de yapılır.

PCI DSS Sertifikası E-ticaret İçin Neden Önemlidir?

PCI DSS sertifikası, e-ticaret sektöründeki birçok firma için büyük önem taşır. Bu standartlara uyum sağlanmadığı takdirde güvenlik açıkları oluşur ve tüketicilerin kart bilgilerinin gizliliği riske girer. E-ticaretin ilk ortaya çıktığı yıllarda yaşanan dolandırıcılık vakaları üzerine geliştirilen sistemlerden biri olan PCI DSS, olası dolandırıcılıkları önleme noktasında önemlidir.

Siz de e-ticaret sitenizi daha güvenli ve tercih edilebilir hale getirmek istiyorsanız mutlaka PCI DSS sertifikasına sahip bir ödeme altyapısı firmasıyla çalışmalısınız. Müşterilerinizin kart bilgilerini almak, saklamak, işlemek ve iletmekle görevli olan ödeme kuruluşlarını, müşterilerinize karşı siz temsil edersiniz. Dolayısıyla bu konuda hassas davranmalı ve e-ticaret için büyük önem taşıyan PCI DSS uyumluluğuna dikkat etmelisiniz.

PCI DSS Level 1 sertifikasına sahip Ödero ile e-ticaret sitenizdeki ödeme süreçlerini güvenli hale getirebilirsiniz. Koç Holding ve Token Finansal Teknolojiler güvencesiyle hizmet veren Ödero, sanal POS ve diğer online ödeme yöntemleri konusunda güçlü bir altyapı sunar. Uzman kadrosu ile tüm süreçlerde ihtiyaçlarınız için destek sunan Ödero, güvenlik düzeyini yükselten geliştirmelere de her zaman devam eder.

Global standartlara uygun bir altyapı ile ödemelerinizi güvende tutmak için Ödero’ya hemen başvurun.

Ödero Uzman İçerik Yazarları

Yazar Avatarı

Ödero, Koç Holding şirketlerinden Türkiye’nin lider ödeme sistemi platform sağlayıcısı Token Finansal Teknolojiler’in dijital ödeme çözümleri alanında hizmet veren uzman markasıdır. Ödero olarak, uluslararası PCI-DSS güvenlik standartlarına uygun sanal POS altyapımız ve işinizin ihtiyacına uygun tasarlanan ödeme ve tahsilat çözümlerimizle inovatif finansal çözümler üretiyoruz. Ödero uzman içerik yazarları, e-ticaret iş modelleri, ödeme sistemleri, finansal analiz, pazarlama stratejileri gibi geniş bir alanı kapsayan konularda güvenilir kaynak analizi yapar ve bu bilgileri sizler için kaleme alır.

Diğer içeriklere göz at

E-ticaret dünyasını adım adım keşfetmek için diğer blog yazılarımızı inceleyebilirsiniz.

1.07.2024
Mail Order Nedir? Nasıl Yapılır?
Banka ve kredi kartlarından uzaktan ödeme almayı sağlayan mail order nasıl kullanılır?
27.03.2024
Ödeme Ağ Geçidi Nedir, Nasıl Çalışır?
E-ticaret sitelerinde ödeme almayı ve yapmayı sağlayan sistem olan ödeme ağ geçidi nasıl çalışır?
15.03.2024
ETBİS Nedir, ETBİS Kaydı Nasıl Yapılır?
E-ticaret firmalarının dahil olması gereken ETBİS sistemi nedir, kayıt işlemleri nasıl yapılır?