PCI DSS Nedir? Ödeme Kartı Veri Güvenliği Standardı
Online alışverişin ve kartlı ödemenin günlük hayatın merkezine yerleştiği bir dönemde, kart verilerinin korunması hem tüketiciler hem de işletmeler için kritik bir güvenlik konusu haline gelmiştir. Bir ödeme veritabanının sızması, sadece finansal kayba değil, ciddi itibar hasarına ve yasal yaptırımlara da yol açabilir. İşte tam bu noktada PCI DSS devreye girer.
PCI DSS (Payment Card Industry Data Security Standard), kredi ve banka kartı (ödeme kartı) verilerini işleyen, saklayan veya ileten tüm kuruluşlar için geliştirilmiş bir veri güvenliği standardıdır. Amacı, kart sahibi verilerini yetkisiz erişime, dolandırıcılığa ve veri ihlallerine karşı korumak için ortak ve ölçülebilir bir güvenlik çerçevesi sunmaktır.
Özetle:
- Ne işe yarar: Ödeme kartı verilerini sistematik olarak korur ve veri ihlali riskini azaltır
- Güncel sürüm: PCI DSS v4.0.1 (Haziran 2024)
- Yapı: 6 hedef (control objective) altında 12 temel gereksinim
- Kim yönetir: PCI SSC (PCI Security Standards Council)
- Kimler için: Kart verisi işleyen, saklayan veya ileten tüm üye iş yerleri ve hizmet sağlayıcılar
- Uyum yöntemi: SAQ (öz değerlendirme) veya QSA denetimi
PCI DSS Ne Demek?
PCI DSS, açılımı "Payment Card Industry Data Security Standard" yani "Ödeme Kartı Endüstrisi Veri Güvenliği Standardı" olan uluslararası bir güvenlik çerçevesidir. Kart sahibinin adı, kart numarası (PAN), son kullanma tarihi ve kart doğrulama değeri gibi hassas ödeme verilerinin güvenli bir şekilde işlenmesini sağlamayı hedefler.
Bu standart, bir devlet düzenlemesi veya yasa değil; ödeme kartı sektörünün kendi içinde belirlediği sözleşmesel bir gerekliliktir. Ancak kart şemalarıyla (Visa, Mastercard vb.) çalışan kuruluşlar için pratikte zorunlu kabul edilir; uyumsuzluk para cezalarına, artırılmış işlem ücretlerine ve hatta kart kabul yetkisinin kaybına yol açabilir.
PCI DSS'i Kim Yönetir? PCI SSC
PCI DSS, PCI SSC (PCI Security Standards Council) adı verilen bağımsız bir kuruluş tarafından geliştirilir, yayımlanır ve güncellenir. Bu konsey, dünyanın önde gelen kart şemaları tarafından kurulmuştur:
| Kurucu Kart Şeması | Açıklama |
|---|---|
| Visa | Küresel ödeme ağı |
| Mastercard | Küresel ödeme ağı |
| American Express | Ödeme ve kart hizmetleri |
| Discover | Ödeme ağı |
| JCB | Japonya merkezli uluslararası kart şeması |
PCI SSC, standardı belirler ve günceller; ancak uyum gerekliliklerinin denetlenmesi ve uygulanması (örneğin ceza kesilmesi) tek tek kart şemalarının ve bankaların sorumluluğundadır.
Güncel Sürüm: PCI DSS v4.0.1
PCI DSS sürekli gelişen siber tehdit ortamına uyum sağlamak için düzenli olarak güncellenir. Güncel sürüm PCI DSS v4.0.1 olup, Haziran 2024'te yayımlanmıştır. Bu sürüm, v4.0'ın küçük (minor) bir güncellemesidir ve yeni gereksinimler eklemek yerine mevcut metindeki açıklamaları ve dilbilgisini netleştirmeye odaklanır.
Geçiş takvimi açısından önemli bir kilometre taşı şudur: v4.0 ile gelen ve "geleceğe yönelik" (future-dated) olarak işaretlenen gereksinimler, 31 Mart 2025 itibarıyla tam olarak zorunlu hale gelmiştir. Yani bu tarihten sonra ilgili tüm kontroller artık "iyi olur" değil, denetimlerde aranan birer gereklilik olarak değerlendirilir.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
PCI DSS'in 6 Hedefi ve 12 Gereksinimi
PCI DSS'in çatısı, 6 üst düzey güvenlik hedefi (control objective) ve bu hedeflerin altında yer alan 12 temel gereksinimden oluşur. Aşağıdaki tabloda bu yapı özetlenmiştir:
| Hedef (Control Objective) | İlgili Gereksinimler |
|---|---|
| 1. Güvenli ağ ve sistemler kurmak ve sürdürmek | 1. Ağ güvenlik kontrolleri kurmak ve sürdürmek 2. Tüm sistem bileşenlerine güvenli yapılandırmalar uygulamak |
| 2. Kart sahibi verisini korumak | 3. Saklanan kart sahibi verisini korumak 4. Açık, halka açık ağlar üzerinden iletim sırasında kart verisini şifrelemek |
| 3. Zafiyet yönetimi programı yürütmek | 5. Tüm sistemleri kötü amaçlı yazılımlara karşı korumak 6. Güvenli sistemler ve yazılımlar geliştirmek ve sürdürmek |
| 4. Güçlü erişim kontrol önlemleri uygulamak | 7. Kart verisine erişimi iş gereksinimine göre kısıtlamak 8. Kullanıcıları tanımlamak ve erişimi doğrulamak (kimlik doğrulama) 9. Kart verisine fiziksel erişimi kısıtlamak |
| 5. Ağları düzenli izlemek ve test etmek | 10. Sistem bileşenlerine ve kart verisine erişimi kaydetmek ve izlemek 11. Sistemlerin ve ağların güvenliğini düzenli test etmek |
| 6. Bilgi güvenliği politikasını sürdürmek | 12. Kurumsal politikalar ve programlarla bilgi güvenliğini desteklemek |
Bu 12 gereksinim birlikte ele alındığında; ağ güvenliğinden veri şifrelemeye, erişim kontrolünden sürekli izlemeye kadar kart verisinin yaşam döngüsünün her aşamasını kapsayan bütünsel bir koruma katmanı oluşturur.
Üye İş Yeri (Merchant) Seviyeleri
PCI DSS uyumunun nasıl doğrulanacağı, kuruluşun yıllık işlediği kart işlem hacmine göre değişir. Üye iş yerleri (merchant) genellikle dört seviyeye ayrılır. Daha yüksek işlem hacmi, daha sıkı doğrulama gereklilikleri anlamına gelir.
| Seviye | Tipik Profil | Olağan Doğrulama Yöntemi |
|---|---|---|
| Level 1 | En yüksek işlem hacmine sahip büyük kuruluşlar | QSA tarafından yıllık yerinde denetim (ROC) |
| Level 2 | Orta-yüksek hacimli iş yerleri | Genellikle SAQ, gerektiğinde QSA desteği |
| Level 3 | Orta hacimli (özellikle e-ticaret) iş yerleri | SAQ ve zafiyet taramaları |
| Level 4 | Düşük hacimli, küçük iş yerleri | SAQ ve zafiyet taramaları |
Not: Seviyelerin kesin işlem hacmi eşikleri ve gereklilikleri, her kart şemasına (Visa, Mastercard vb.) göre farklılık gösterebilir. Kuruluşların kendi bankaları (acquirer) ile doğrulama yapması önerilir.
Uyum Nasıl Doğrulanır? SAQ ve QSA
PCI DSS uyumu iki temel mekanizma üzerinden doğrulanır:
- SAQ (Self-Assessment Questionnaire): Öz değerlendirme anketidir. Genellikle daha düşük işlem hacmine sahip iş yerlerinin, kendi ödeme ortamlarına uygun bir anket türünü doldurarak uyumlarını kendilerinin beyan etmesini sağlar.
- QSA (Qualified Security Assessor): PCI SSC tarafından yetkilendirilmiş bağımsız denetçidir. Özellikle yüksek işlem hacmine sahip kuruluşlarda yerinde denetim gerçekleştirerek bir Uyum Raporu (Report on Compliance - ROC) hazırlar.
Hangi yöntemin kullanılacağı, büyük ölçüde kuruluşun merchant seviyesine ve ilgili kart şemasının gerekliliklerine bağlıdır.
PCI DSS Uyumunun Faydaları
| Fayda | Açıklama |
|---|---|
| Veri ihlali riskinin azalması | Kart verisi katmanlı kontrollerle korunur, saldırı yüzeyi daralır |
| Müşteri güveni | Tüketiciler ödeme verilerinin güvende olduğunu bilerek işlem yapar |
| Yasal ve sözleşmesel uyum | Kart şemalarıyla yapılan sözleşmesel gereklilikler karşılanır |
| Ceza ve yaptırım riskinin azalması | Uyumsuzluk kaynaklı para cezaları ve artırılmış ücretler önlenir |
| Operasyonel olgunluk | Güvenlik süreçleri standartlaşır ve sürdürülebilir hale gelir |
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
PCI DSS, "Payment Card Industry Data Security Standard" yani Ödeme Kartı Endüstrisi Veri Güvenliği Standardı'nın kısaltmasıdır. Kredi ve banka kartı verilerini işleyen, saklayan veya ileten tüm kuruluşların kart sahibi verilerini koruması için tasarlanmış bir güvenlik standardıdır.
PCI DSS, 6 üst düzey güvenlik hedefi altında toplanan 12 temel gereksinimden oluşur. Bu gereksinimler; güvenli ağ kurma, kart sahibi verisini koruma, zafiyet yönetimi, güçlü erişim kontrolü, ağları düzenli izleme ve test etme ile bilgi güvenliği politikasını sürdürme başlıklarını kapsar.
Ödeme kartı verilerini işleyen, saklayan veya ileten tüm kuruluşlar PCI DSS'e uymak durumundadır. Bu kapsama hem üye iş yerleri (merchant) hem de ödeme işlemlerinde rol alan hizmet sağlayıcılar girer; işletmenin büyüklüğüne bakılmaksızın kart verisine dokunan her taraf sorumludur.
PCI DSS v4.0 ile gelen ve "geleceğe yönelik" (future-dated) olarak işaretlenen gereksinimler, 31 Mart 2025 itibarıyla tam olarak zorunlu hale gelmiştir. Güncel sürüm ise Haziran 2024'te yayımlanan ve v4.0'ın küçük bir güncellemesi olan PCI DSS v4.0.1'dir.
SAQ (Self-Assessment Questionnaire), öz değerlendirme anketidir. Genellikle daha düşük işlem hacmine sahip iş yerlerinin, kendi ödeme ortamına uygun anket türünü doldurarak PCI DSS uyumlarını kendilerinin beyan etmesine olanak tanıyan bir doğrulama yöntemidir. Daha yüksek hacimli kuruluşlarda ise QSA denetimi tercih edilir.
