PCI DSS Güvenlik Sertifikası Hakkında Kısaca

Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı (PCI DSS), kredi kartının işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır.  Bu kurallar PCI (Payment Card Industry) adı verilen ve aralarında American Express, MasterCard Worldwide, Visa, Discover Financial Services gibi üyeleri bulunan bir konsey tarafından geliştirilmekte ve yayımlanmaktadır. Yani internetten alışverişte güvenlik standartlarını belirleyen ve seviyelere göre sertifikalar veren bir yapıdır. İnternetten alışverişte ödeme sistemlerinin güvenliği her zaman sorgulanmış bir konudur. Güvenliğin sorgulanması bir zaman sonra azalacak ve belki de sonunda yok olacak ama bu, güvenlik sertifikalarının yaratacağı güven ortamıyla mümkün olacak. Devlet tarafında, zayıf bir güvenlik yapısına sahip olan e-ticaret sitelerinin kapatılması gibi söylemler dolaşırken güvenliğe önem vermemek gibi bir durumun söz konusu olamayacağını kabul etmek gerekiyor. Ödeme ve onay sisteminizin PCI veri güvenliği standartları ile uyumluluğu, risklerin azalması, güven zafiyetinin ortadan kalkması ve kart sahibinin bilgilerini korumanıza yardımcı olur. PCI DSS uyumluluğu yalnızca tek sefere mahsus yapılan bir işlem değildir. Sürekli uygulanması ve güncellenmesi gereken bu sistem farklı başlıkların birlikte uygulanması ile amacına ulaşır.

PCI DSS için öncelikle güvenli bir ağ oluşturulması gerekir. Güvenlik duvarının kurulması, ayarlanması, sistem parolalarının ayarlanması ilk yapılması gerekenlerdir. Daha sonra kredi kartı ya da banka kartı sahibinin bilgilerinin açık ve kapalı ağlarda transferinin güvenli bağlantı üzerinden sağlanması gerçekleştirilir. Her sistemde olduğu gibi burada da anti-virüs yazılımlarına ihtiyaç vardır. Bu yazılımların kurulumu ve düzenli olarak güncellenmesi esastır. Güvenli ve %100 koruma sağlayan bir anti-virüs programının sisteme tanımlandığından emin olunması gerekir. Kart sahibinin bilgilerinin yalnızca ilgili kişilere gönderiminin sağlanması, kart bilgilerine fiziksel erişimin engellenmesi bir sonraki basamaktır. Ağ kaynaklarına ve kart sahibi bilgilerine erişimin sürekli olarak izlenmesi ve kayıt altında tutulması , güvenlik sisteminin ve süreçlerinin test edilmesi PCI DSS’te rutin olarak yapılması gerekenlerin başında gelir.

PCI DSS’de Seviyeler
Güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilirler. Farklı seviyelere göre de uyum doğrulamayı gerektirecek farklı yollar belirlenir.
Visa ve Mastercard kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:
– Level 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
– Level 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
– Level 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
– Level 4: Yılda 20 binden az işlem yapılan firmalar.

PCI DSS Güvenlik Sertifikasına En Kolay Nasıl Sahip Olabilirsiniz?
Tüm bu kriterleri karşılamak ve değerlendirmelerden geçmek e-ticaret firmaları ve sanal pos kullanarak tahsilat yapan firmalar için önemli olmalarına rağmen oldukça da zahmetlidir.Sizde Payfull’ un üyelerine doğrudan sunduğu PCI DSS Sertifikasını kullanabilir, büyük bir zahmetten kurtulabilirsiniz.