PCI uyumluluğu nedir ve PCI uyumlu olmam gerekir mi?

PCI Uyumluluğu: Nedir?

Kredi kartı işletmeleri, finansal sistemdeki kredi kartı işlemlerinin güvenliğini korumaya yardımcı olmak için PCI uyumluluğuna bağlı kalmalıdır. Ödeme kartı endüstrisi uyumluluğu, firmaların kart işleme operasyonları sırasında sağlanan kart sahibi verilerini korumaya ve muhafaza etmeye yönelik teknik ve operasyonel gerekliliklerini ifade eder. PCI Security Standards Council, PCI uyumluluk standartlarını geliştirir ve yönetir.

PCI Uyumluluğunu Anlama

Kredi kartı işlemleri, tüketici koruma ve düzenlemesi kapsamına girdiğinden Federal Ticaret Komisyonu (FTC) tarafından düzenlenmektedir. PCI uyumluluğu için herhangi bir yasal zorunluluk bulunmamakla birlikte, mahkeme içtihatları uyarınca gerekli görülmektedir.

PCI uyumluluğu, genel olarak, her kredi kartı şirketinin güvenlik sürecinin kritik bir bileşenidir. Kredi kartı firmaları genellikle buna ihtiyaç duyar ve kredi kartı ağı anlaşmalarında belirtilir.

PCI Gereksinimleri Konseyi, PCI uyumluluk standartlarının geliştirilmesinden sorumludur. Bu standartlar satıcı işlemleri için geçerlidir ve şifreli İnternet işlemleri için gereksinimleri içerecek şekilde geliştirilmiştir. Kredi kartı endüstrisinin standart belirleme sürecine dahil olan diğer önemli kurumlar, Card Association Network ve National Automated Clearing House'dur (NACHA).

PCI uyumlu değilsem ne olur?

PCI uyumluluğu zorunlu olsa da, bazı şirket sahipleri standartlardan kaçıp kaçamayacaklarını sorguluyor - bu etik olmayan ve muhtemelen felakete yol açan bir fikir. PCI uyumlu değilseniz, tüketicilerinizin ve şirketinizin güvenliğini riske atıyorsunuz. PCI uyumluluğu tarafından sağlanan korumalar olmadan, firmanız pahalı saldırılara ve veri ihlallerine maruz kalabilir.

Bir veri ihlali meydana gelirse ve kuruluşunuz PCI uyumlu değilse, 5.000 ABD Doları ile 500.000 ABD Doları arasında değişen cezalara ve para cezalarına tabi olabilirsiniz. Ancak cezalar, uymamanın yol açtığı zararın sadece başlangıcıdır. PCI uyumlu değilseniz, ticari hesabınızı kaybetme riskiniz vardır, bu da kredi kartı ödemelerini tamamen kabul etmenizi engeller. Ek olarak, firmanız Yüksek Riskli Tüccarları Kontrol Etmek için Üye Uyarısı (MATCH) Listesine dahil edilebilir ve bu da sizi uzun yıllar boyunca yeni bir tüccar hesabı açmaya uygun hale getirmez.

Ek olarak, bir veri ihlali binlerce dolarlık zarara, tüketici saygısının ve güveninin kaybolmasına ve markanızın kaybolmasına neden olabilir. PCI dışı uyumlulukla ilişkili cezaların çeşitliliği nedeniyle, maliyetli para cezalarından ve diğer zararlardan kaçınmak için mümkün olduğunca tam uyumlu olmak her zaman akıllıca olacaktır.

PCI DSS uyumluluğu için 12 gereklilik nedir?

Güvenlik Duvarlarını Kurun ve Bakımını Yapın

Güvenlik duvarları, harici veya bilinmeyen kuruluşların özel verilere erişimini etkin bir şekilde engeller. Bu önlemler genellikle bilgisayar korsanlarına (kötü amaçlı veya başka türlü) karşı ilk koruma hattıdır. Yetkisiz erişimi önleme yetenekleri nedeniyle, PCI DSS uyumluluğu için güvenlik duvarları gereklidir.

Etkili Parola Koruması

Yönlendiriciler, modemler, satış noktası (POS) sistemleri ve diğer üçüncü taraf ürünleri genellikle genel halk tarafından kolayca erişilebilen genel parolalar ve güvenlik mekanizmaları içerir. İşletmeler genellikle bu güvenlik açıklarını korumada başarısız olurlar. Bu alanda uyumluluğu sürdürmek, parola korumalı tüm aygıtların ve uygulamaların (veya erişim için diğer güvenliklerin) bir listesinin tutulmasını içerir. Bir cihaz/şifre envanteri ile gerekli koruma ve kurulumlar uygulanmalıdır (örneğin, şifrenin değiştirilmesi).

Kart Sahibinin Verilerini Koruyun

Üçüncü PCI DSS uyumluluk yükümlülüğü, kart sahibi verilerini iki şekilde güvence altına almaktır. Kart sahibi verileri, belirli bir algoritma kullanılarak şifrelenmelidir. Bu şifrelemeler, aynı şekilde uyumluluk amacıyla şifrelenmesi gereken şifreleme anahtarları kullanılarak uygulanır. Şifrelenmemiş veri bulunmadığını doğrulamak için birincil hesap numaralarının (PAN) düzenli olarak tutulması ve taranması gerekir.

İletilen Verileri Şifrele

Kart sahibi verileri çeşitli geleneksel yollarla gönderilir (ör. ödeme işlemcileri, yerel mağazalardan ev ofisleri vb.). Bu veriler bu bilinen hedeflere aktarıldığında şifrelenmelidir. Ayrıca bilinmeyen sitelere kesinlikle hesap numaraları verilmemelidir.

Anti-Virüs Kullanın ve Bakımını Yapın

PCI DSS uyumluluğu dışında, virüsten koruma yazılımı kullanmak akıllı bir uygulamadır. Bununla birlikte, PAN ile etkileşime giren ve depolayan tüm cihazlarda anti-virüs yazılımı yüklü olmalıdır. Bu yazılım düzenli olarak yamalanmalı ve güncellenmelidir. Ek olarak, satış noktası tedarikçiniz, doğrudan dağıtılamadığı alanlarda anti-virüs koruması kullanmalıdır.

Güncellenmiş Yazılım

Güvenlik duvarlarının ve anti-virüs yazılımlarının düzenli olarak güncellenmesi gerekecektir. Ek olarak, bir kurumdaki tüm yazılımları güncel tutmak akıllıca olacaktır. Yazılım programlarının çoğu, güncellemelerinin bir parçası olarak yeni tanımlanan güvenlik açıklarını gidermek için yamalar gibi güvenlik önlemleri alarak ek bir koruma katmanı sağlar. Bu yükseltmeler, kart sahibi verileriyle etkileşime giren veya bunları depolayan cihazlarda çalışan tüm yazılımlar için önemlidir.

Verilere Erişimi Kısıtla

Kart sahibi bilgileri kesinlikle "bilinmesi gerekenler" olmalıdır. Bu bilgilere ihtiyaç duymayan tüm çalışanlar, yöneticiler ve üçüncü şahısların erişimi engellenmelidir. Hassas verilere ihtiyaç duyan sorumluluklar, PCI DSS'nin gerektirdiği şekilde iyi belgelenmeli ve düzenli olarak güncellenmelidir.

Benzersiz Erişim Kodları

Kart sahibi verilerine erişimi olan çalışanlar tanımlanmalı ve her birinin ayrı kimlik bilgileri olmalıdır. Örneğin, şifrelenmiş verilere, kullanıcı adını ve şifreyi bilen birkaç çalışanla tek bir oturum açma yoluyla erişilmemelidir. Benzersiz tanımlayıcılar, duyarlılığı azaltır ve verilerin tehlikeye girmesi durumunda daha hızlı tepki süresi sağlar.

Fiziksel Düzeyde Erişimi Sınırlayın

Kart sahipleriyle ilgili tüm veriler fiziksel olarak güvenli bir alanda saklanmalıdır. Dijital olarak (örneğin bir sabit sürücüde) saklanan fiziksel olarak yazılmış veya daktilo edilmiş veriler ve veriler güvenli bir oda, çekmece veya dolapta güvence altına alınmalıdır. Sadece erişim kısıtlanmamalı, aynı zamanda hassas verilere her erişildiğinde, uygunluğu sağlamak için bir kayıt tutulmalıdır.

Erişim Günlüklerini Yönetin

Kart sahibi verilerini ve birincil hesap numaralarını (PAN) içeren tüm işlemler kaydedilmelidir. Belki de en yaygın uyumsuzluk endişesi, hassas veri erişimi için yeterli kayıt tutma ve belgeleme eksikliğidir. Uyumluluk, şirketinize giren veri akışının ve erişimin gerekli olduğu sıklığın izlenmesini gerektirir. Ek olarak, doğruluğu sağlamak için erişimi izleyen yazılım araçları gereklidir.

Güvenlik Açıkları Tarama ve Test Etme

Önceki on uyumluluk kriterinin her biri, birçok yazılım ürününün, fiziksel lokasyonun ve personelin kullanılmasını gerektirir. Çok sayıda öğe düzgün çalışmayabilir, modası geçmiş olabilir veya insan hatalarına maruz kalabilir. Düzenli taramalar ve güvenlik açığı testleri için PCI DSS kriterlerine bağlı kalarak bu riskleri azaltabiliriz.

Belgelere İlişkin Politikalar

Uyumluluk, erişime sahip ekipman, yazılım ve çalışanların belgelerine ihtiyaç duyacaktır. Ek olarak, kart sahibi verilerine erişim kayıtları dokümantasyon gerektirecektir. Bilgilerin işletmenize nasıl girdiğini, nerede tutulduğunu ve satış noktasının ötesinde kullanıldığını da kaydetmeniz gerekecektir.

PCI Uyumluluğunun Avantajları

Uyumluluk avantajları arasında veri ihlali riskinin azalması, kart sahibi verilerinin korunması ve kimlik hırsızlığından kaçınma yer alır. Uyum, işletmeler için en iyi uygulamadır çünkü veri ihlalleriyle ilgili cezaları en aza indirir, bir firmanın marka itibarına fayda sağlar ve tüketicilerin sorumlu bir şirketle iş yaptıklarından memnun olmalarını ve marka sadakati ile sonuçlandığından emin olmalarını sağlar.

Kredi kartı bilgilerini kabul eden tüm işletmeler, kart işleme anlaşmaları uyarınca PCI uyumluluğunu sürdürmekle yükümlüdür. PCI uyumluluğu endüstri standardıdır ve buna uymayan işletmeler, sözleşme ihlalleri ve dikkatsizlik nedeniyle önemli cezalara maruz kalma riskiyle karşı karşıyadır. PCI uyumlu olmayan şirketler de hırsızlık, dolandırıcılık ve veri ihlallerine çok açıktır.

Sabit.net'te kart verilerine asla dokunmamanızı şiddetle tavsiye ederiz. Bu, kart verilerinin belirtilmiş olduğu Stripe veya Braintree gibi bir sağlayıcı kullanmak anlamına gelir. Kart verileri sizin tarafınızdan saklanmaz ve sizin tarafınızdan görülmez bile. Müşteri, ödeme sağlayıcı web sitesindeki yerleşik bir pencere öğesi kullanarak ayrıntıları girer.

PCI Uyumluluğu ve WordPress

WordPress açık kaynaklı bir yazılımdır ve yerleşik bir ödeme sistemine sahip değildir. Bunun yerine ödeme sistemleri WooCommerce gibi eklentilerle birlikte gelir. Bu eklentiler genellikle Stripe gibi üçüncü taraf ağ geçitlerini ilişkilendirme yeteneğine sahiptir. Kart verilerine dokunmadığınız bir ağ geçidi seçerseniz, PCI Uyumlu olmanıza gerek yoktur.

PCI Uyumluluğu ve WooCommerce

WooCommerce, bir dizi paketlenmiş ödeme seçeneğiyle birlikte gelir ve bunu üçüncü taraf eklentilerle genişletebilirsiniz. Bu blogdaki diğer çeşitli kılavuzlarda ödeme seçeneklerine giriyoruz. Ancak Sabit abonelerin büyük çoğunluğu Stripe ve PayPal'ın bir kombinasyonunu kullanma eğilimindedir.