Finans Hukuku

    Ödeme Sistemlerinde PCI DSS (Payment Card Industry Data Security Standard) Sertifikası ve Finansal Güvenilirlik

    -Yorum yapılmamış5 dk Okuma Süresi
    Ödeme Sistemlerinde PCI DSS (Payment Card Industry Data Security Standard) Sertifikası ve Finansal Güvenilirlik

    Ödeme Kartı Sektörü Veri Güvenliği Standardı ( “PCI DSS” veya “Payment Card Industry Data Security Standard”) olarak kısaltılan PCI DSS, kart sahibi verilerinin güvenliğini sağlamak ve kredi, banka kartı veya diğer ödeme kartları dahil olmak üzere kart sahibi verilerini işleyen, saklayan, ileten banka, finansal kuruluş, altyapı sağlayıcı ve şirketlerin güvenliğini sağlamak için uluslararası kart şemaları firmaları tarafından oluşturulan ve PCI Güvenlik Standartları Konseyi (“PCI SSC”) tarafından yönetilen bir  dizi güvenlik standardıdır. Kapsamı kartlı işlemler çerçevesinde hizmet gösteren tüm banka, hizmet sağlayıcı, finansal kuruluşlar olan PCI DSS; temelde kart sahibi verilerini işlemler sırasında korumayı hedefleyerek veri güvenlik gereksinimleri hususunda standart oluşturur.  

    Yazı İçindekiler
    PCI DSS Seviyeleri
    PCI DSS Sertifikası ve Uyumluluğunun Finansal Güvenilirlik Açısından Değerlendirilmesi

    2004 yılında 5 büyük kart şeması firması olan Visa, Mastercard, JCB International, Discover ve American Express tarafından ortaklaşa oluşturulan PCI DSS standartları prensipleri ana başlıklar olarak kısaca aşağıdaki gibi sıralanabilir:

    • Güvenli Bir Ağ Oluşturulması
    • Kart Sahiplerinin Verilerinin Korunması
    • Güvenlik Açığı Yönetim Programına Sahip Olunması
    • Erişim Kontrolü Önlemleri Uygulanması
    • Ağların Düzenli Olarak İzlenmesi ve Test Edilmesi
    • Bilgi Güvenliği Politikası Oluşturulması

    PCI DSS uyumluluğun sağlanması, gereksinimlerin anlaşılarak eksiklerin ve güvenlik açığı risklerinin tespiti, yazılım ve sistemlerde gerekli güvenlik testleri (ağ taraması, sızma testi vb.) ve güncellemelerin yerine getirilen düzenli izlenmesi ile mümkündür. Bu noktada kartlı işlemler dünyasında hizmet veren tüm e-ticaret platformları, bankalar, elektronik para ve ödeme kuruluşları, sigorta şirketleri, altyapı sağlayıcılar (ödeme geçitleri, bulut servis ve barındırma  sağlayıcıları vb.) PCI DSS’e uyum sağlamak; bağımsız denetim firmaları aracılığı ile yıllık olarak sertifikalarını yenileyecek mekanizmaları kurmakla yükümlüdürler.

    PCI DSS Seviyeleri

    PCI DSS standartlarına tabi olan kuruluşların PCI DSS uyumluluklarını raporlama yöntemleri yıllık işlem sayılarına göre belirlenmektedir. Diğer bir ifade ile PCI DSS seviyeleri, firmaların yıllık olarak işlediği kart işlem sayısına göre düzenlenir. 

    PCI DSS standardına uyumluluk noktasında kart işlem sayısına göre seviyeler aşağıda gibidir:

    • 1. Seviye: Yılda 6 milyon veya daha fazla kartlı işlem gerçekleştirenler.
    • 2. Seviye: Yılda 1 ile 6 milyon arasında kartlı işlem gerçekleştirenler.
    • 3. Seviye: Yılda 20.000 ile 1 milyon arasında kartlı işlem gerçekleştirenler.
    • 4. Seviye: Yılda 20.000’den az kartlı işlem gerçekleştirenler.

    Her seviyede farklı uyumluluk gereksinimleri bulunmaktadır; yüksek seviyelerdeki işletmelerin ekstra denetimden geçmesi gerekirken, daha düşük seviyelerdeki işletmeler için gereksinimler kısmen esnektir. Örneğin,  günümüzün en çok talep edilen hizmetlerinden güvenli kart kaydetme veya güvenli kart saklama hizmeti, uluslararası standartlara göre sadece PCI DSS Level 1 uyumluluk sertifikasına sahip olan veya bu sertifikasyona sahip bir altyapı hizmeti sağlayıcı firmadan hizmet alan firmalarca gerçekleştirilebilmektedir. PCI DSS Level 1 sertifikasına sahip olmak için kuruluşlar, yetkili bağımsız denetim kuruluşlarınca periyodik olarak iç ve dış güvenlik taramalarına tabi tutulmakta, kapsamlı kurallar listesine göre iç sistemlerini ve operasyonlarını yönetmekte, yıllık olarak tüm süreçlerini ve sistemlerini detaylı yerinde denetime (on-site audit) tabi tutmaktadırlar.

    PCI DSS Sertifikası ve Uyumluluğunun Finansal Güvenilirlik Açısından Değerlendirilmesi

    PCI-DSS’in tüm e-ticaret platformları, bankalar, elektronik para ve ödeme kuruluşları, sigorta şirketleri, altyapı sağlayıcılar (ödeme geçitleri, bulut servis ve barındırma  sağlayıcıları vb.) nezdinde müşteri kart bilgilerini korumasını sağlayarak, siber saldırılar, veri hırsızlığı ve dolandırıcılık gibi riskleri azaltması hususunda gerekliliği ve önemi herhangi bir şüpheye mahal vermeyecek şekilde açıktır. Diğer taraftan müşteri güvenini tesis ediyor ve artırıyor olması kuruluşlar için rekabet avantajı sağlamaktadır. PCI-DSS’in finansal güvenilirlik açısından önemi ve katkıları birkaç temel noktada aşağıdaki gibi özetlenebilir:

    • Veri Hırsızlığı, Siber Saldırı ve Dolandırıcılık Riskinin Azalması: Kart sahibi verilerinin güvenliğini sağlamakta, veri hırsızlığı ve dolandırıcılık gibi riskleri azaltmakta; bu da kuruluşların maddi kayıp ve itibar kaybı yaşamalarını önlemektedir. Uyumluluk yönetimi özellikle hassas müşteri verilerini işleyen ve depolayan kuruluşlar için BT altyapısı oluşturulması aşamasında önemli bir husustur. Bu tür kuruluşların güçlü Firewall ve encryption çözümü kullanmaları gerektiğinden ve kart sahibi bilgilerini saklamalarına müsaade edilmediğinden siber suçlar açısından riski minimize edilmiş durumdadır.
    • Endüstri Standartlarına Uyum: Ödeme şemaları ve kartlı sistemler endüstrisinde yerleşik bir standart olan PCI-DSS’e uyum, kuruluşların sektördeki diğer paydaşlar ile uyum içinde olmalarını sağlamaktadır.
    • Güvenilirlik ve Güvenlik Önlemleri: PCI DSS Standartları, kuruluş ve platformların müşterileri için güvenilir bir alışveriş ortamı oluşturarak müşteri güveni/sadakatinin artmasını sağlamakta ve tekrar eden iş potansiyelini yükseltmektedir. Müşteri güveninin oluşturulması açısından; satın alma anında ödeme ekranına girilen kart bilgilerinin işleme koyulacağından emin olunması, güvenli ödemeler için uluslararası standartlara uyumluluğun belgelenmesiyle müşterilere garanti edilir. 
    • Kart Sahiplerinin Bilgilerinin Korunması: PCI-DSS, özellikle kart sahiplerinin kişisel ve finansal verileri ile güvenliklerini koruma altına almakta; kısaca hassas müşteri verilerinin korunmasını sağlamaktadır. Bu sayede müşterinin kart verilerini yetkisiz erişime, hırsızlığa veya kötüye kullanıma karşı korumak için standartlar oluşturmakta; veri şifreleme, erişim kontrolleri ve güvenli bir ağ mimarisi gibi güvenlik önlemlerini içermektedir.
    • Hukuki ve Ticari Zorunluluklar: Birçok ülkede, PCI-DSS uyumlu olmak yasal bir zorunluluktur. Bu standartları takip etmek, kuruluşların yasal gerekliliklere uyumlu faaliyet göstermesini sağlar ve idari yaptırımları / cezaları önler. Bununla birlikte, bir kuruluştan müşteri verilerinin veya kart sahibi bilgilerinin sızması anlamında gelen “veri ihlali”ni de önleme mekanizması sayesinde yasal kaygıların önüne geçebilecek niteliktedir.

    Sonuç itibariyle kartlı sistemler  ve ödemeler ekosistemi sürekli değişmekte; buna paralel olarak da siber güvenlik tehditleri farklı bir boyut almaktadır. Bu noktada yukarıda da bahsedildiği üzere tüm e-ticaret platformları, bankalar, elektronik para ve ödeme kuruluşları, sigorta şirketleri, altyapı sağlayıcılar (ödeme geçitleri, bulut servis ve barındırma  sağlayıcıları vb.) için temel hedef PCI DSS uyumunu sağlamak, düzenli ve sürekli olarak denetim mekanizmaları çerçevesinde gereklilikleri yerine getirmek olmalıdır. PCI DSS gereksinimlerini yerine getirmiş ve uygunluğuna ilişkin belgelendirilmiş kuruluşlar, veri ihlallerinin önlenmesi açısından; ödeme sistemlerine ilişkin güvenlik risklerini en aza indirmiş olacaklardır.

    Kaynakça:

    1. https://www.pcisecuritystandards.org/standards/pci-dss/
    2. https://listings.pcisecuritystandards.org/pdfs/09-07-06.pdf
    3. https://aws.amazon.com/tr/compliance/pci-dss-level-1-faqs/
    4. https://secureframe.com/hub/pci-dss/benefits-of-pci-dss-compliance
    Share.

    Related Posts

    -

    tr_TRTurkish
    tr_TRTurkish