PCI DSS Nedir?
İngilizce: PCI DSS
PCI DSS, kart verisini saklayan, işleyen veya ileten sistemlerde kart sahibi verisini korumaya yönelik ödeme güvenliği standardıdır.
PCI DSS Nedir?
PCI DSS (Payment Card Industry Data Security Standard), kart sahibi verisini saklayan, işleyen veya ileten sistemler için güvenlik gereksinimleri tanımlar. Standart, kart verisinin yetkisiz erişim, sızıntı ve kötüye kullanıma karşı korunmasını hedefler.
PCI DSS bir yazılım özelliği değil, kapsam ve kontrol setidir. Bir sistem kart numarasını hiç görmüyorsa kapsam daralabilir; kart verisi sunucudan geçiyor veya saklanıyorsa sorumluluk ve denetim yükü büyür.
Hangi Alanları Kapsar?
- Ağ güvenliği ve güvenli yapılandırma
- Kart sahibi verisinin korunması ve şifrelenmesi
- Zafiyet yönetimi ve düzenli güvenlik testi
- Güçlü erişim kontrolü ve kimlik doğrulama
- Loglama, izleme ve olay kayıtları
- Güvenlik politikaları ve operasyonel süreçler
Ödeme formunu güvenilir bir sağlayıcının hosted page veya tokenization çözümüyle çalıştırmak PCI DSS kapsamını azaltabilir, fakat tamamen ortadan kaldırmaz. Entegrasyon mimarisi kapsamı belirleyen ana etkendir.
Risk ve Uyum
PCI DSS; e-ticaret sitesi, abonelik sistemi, çağrı merkezi tahsilatı, pazaryeri ve sanal POS entegrasyonu olan işletmeler için gündeme gelir. Kart verisiyle temas eden her akışta “hangi sistem kart verisini görüyor?” sorusu teknik tasarımın başında cevaplanmalıdır.
Ödeme geçidi seçimi, tokenizasyon yöntemi ve loglarda hassas veri maskeleme PCI DSS kapsamını doğrudan etkiler. GDPR kişisel veri mahremiyetiyle ilgilenirken PCI DSS ödeme kartı verisinin güvenliğine odaklanır; ikisi farklı ama birbirini tamamlayan çerçevelerdir.
İlgili Terimler
GDPR, AB ve AEA'daki kişilerin kişisel verilerinin işlenmesini düzenleyen; şeffaflık, haklar ve veri sorumlusu yükümlülükleri getiren regülasyondur.
Ödeme GeçidiÖdeme geçidi, e-ticaret işlemlerinde müşteri ödeme bilgilerini güvenli şekilde işleyen ve banka ile işletme arasında köprü kuran sistemdir.