PCI-DSS Danışmanlık

PCI-DSS Danışmanlık

Güvenlik konusu, ödeme piyasası katılımcıları için esastır. Ve PCI DSS Veri Güvenliği Standardı burada çok önemli bir rol oynar. Uluslararası ödeme sistemleri Mastercard, Visa, American Express, JCB ve Discover tarafından geliştirilen 12 üst düzey gereksinim, bankaların, işlem merkezlerinin ve kart sahibi verilerinin depolanması, işlenmesi ve iletilmesiyle ilgili diğer şirketlerin çalışmalarının temelidir. Yerleşik kurallar, ödeme verilerinin güvenliğini sağlar ve uygun bir güvenlik düzeyini sürdürmek için dünyanın en iyi uygulamalarının çoğunu içerir. Büyük bir Ukraynalı ödeme hizmeti sağlayıcısı olarak buna kesinlikle ihtiyacımız var. Bugün PCI DSS uygulamasının karmaşıklığını ve düzeyinin neden şirket düzeyini düşündüğünüzden daha fazla anlattığını açıklamak istiyoruz.

Standardı karşılamak için başka kim gereklidir?

Bankalar ve işlem yapan şirketlerin yanı sıra kart sahibi verilerinin güvenliğini bir şekilde etkileyen tüm şirketlerin de standardın gerekliliklerine uyması gerekiyor. Bu, örneğin oyun hizmetleriyle ilgilidir. Oyun endüstrisinin inanılmaz derecede hızlı büyüdüğü ve milyarlarca dolar kazandığı bir sır değil. Günümüzde oyunlarda, sanal para birimi veya oyun içi öğeleri gerçek parayla satın alma dahil olmak üzere çeşitli işlevler bulunmaktadır. Buna göre, tek tıklamayla ödemeler için kart sahibi verilerini depolayan tüm video oyunu dijital dağıtım hizmetleri bu sertifikaya sahiptir. Bu, kart sahibi verilerinin işlenmesiyle doğrudan ilgili olmasalar da veri merkezlerini de ilgilendirmektedir. Ancak müşterileri, sırayla güvenilir ortaklarla işbirliği yapacak olan doğrudan ödeme piyasası katılımcıları olabilir. En büyük veri merkezleri PCI DSS sertifikalıdır.

 

PCI DSS seviyeleri

Ödeme piyasası katılımcıları, yılda gerçekleştirilen işlem sayısına bağlı olarak Visa ve Mastercard tarafından belirlenen kriterlere göre üye işyeri ve hizmet sağlayıcı seviyelerine ayrılmaktadır. Buna göre, farklı seviyelerdeki katılımcılar için gereksinimler de farklıdır. PCI DSS sertifikası, 4 üye işyeri düzeyi ve 2 hizmet sağlayıcı düzeyi (ödeme sistemleri, veri merkezleri, barındırma sağlayıcıları, vb.) tanımlar. Kuruluş türüne ve işlem sayısına göre sınıflandırmaya göre, PCI DSS uyumluluğu üç tür denetimle gösterilir. :

  • Bir QSA (Nitelikli Güvenlik Değerlendiricisi) denetimi, PCI SSC Konseyi tarafından yetkilendirilmiş bir dış denetim kuruluşu tarafından gerçekleştirilir.
  • Bir ISA (Dahili Güvenlik Değerlendiricisi), özel PCI DSS eğitimi almış ve PCI SSC tarafından atanmış uygun bir iç güvenlik denetim uzmanları tarafından hazırlanır.
  • Bir SAQ (Öz Değerlendirme Anketi), PCI DSS öz değerlendirmesinin sonuçlarını bildiren bir şirket yetkilisi tarafından imzalanır.

Satıcı Seviyeleri

Seviye 1

Yılda 6 milyondan fazla işlem gerçekleştiren veya verileri daha önce ele geçirilmiş satıcılar için uygundur. Bu şirketler, bir ASV tarafından üç ayda bir taramaya ve yıllık bir harici QSA veya bir ISA dahili denetimine ihtiyaç duyar.

Seviye 2

Yılda 1 milyon ila 6 milyon işlem gerçekleştiren tüccarlar içindir. Bu şirketler için bir ASV tarafından üç ayda bir taramanın yanı sıra bir şirket yetkilisi tarafından imzalanan yıllık bir SAQ (Visa gereksinimleri) veya yıllık bir harici QSA veya bir dahili ISA (Mastercard’ın gerektirdiği şekilde) gerekir.

Seviye 3

yılda 20.000 ila 1 milyon işlem gerçekleştiren tüccarlar için tasarlanmıştır. Üç ayda bir ASV taramasına ve her yıl bir SAQ öz değerlendirmesine ihtiyaçları var.

Seviye 4

Yılda 20.000’den az işlem gerçekleştiren satıcılar veya diğer tüm satıcılar için uygundur. Bir ASV tarafından üç ayda bir tarama ve yılda bir SAQ öz değerlendirmesi için gereklidirler.

Servis Sağlayıcı Seviyeleri

Bu durumda, hizmet sağlayıcı doğrulama kriterleri ve gereksinimleri belirli bir ödeme sistemine bağlı değildir.

Seviye 1

Yılda 300.000’den fazla işlemi işleyen, ileten ve/veya depolayan tüm işlem merkezleri ve hizmet sağlayıcıları için geçerlidir. Bu tür şirketlerin üç ayda bir güvenlik açığı taraması ASV ve yıllık bir QSA denetimi yapması gerekir.

Seviye 2

Yılda 300.000’den az işlemden daha az veri işleyen, ileten ve/veya depolayan hizmet sağlayıcılar için tasarlanmıştır. Üç ayda bir ASV taramasına ve yıllık SAQ güvenlik öz değerlendirmesine ihtiyaçları var.

Sipertek PCI DSS için kurumunuzu A’dan Z’ye hazırlar ve sizi denetime hazır hale getirir.