Investor's wiki

PCI Uyumluluğu

PCI Uyumluluğu

PCI Uyumluluğu Nedir?

ödeme endüstrisinde kredi kartı işlemlerinin güvenliğini sağlamaya yardımcı olmak için kredi kartı şirketleri tarafından zorunludur . Ödeme kartı endüstrisi uyumluluğu, işletmelerin kart sahipleri tarafından sağlanan ve kart işleme işlemleri yoluyla iletilen kredi kartı verilerini güvence altına almak ve korumak için izlediği teknik ve operasyonel standartları ifade eder. Uyumluluk için PCI standartları, PCI Güvenlik Standartları Konseyi tarafından geliştirilir ve yönetilir.

PCI Uyumluluğunu Anlama

Federal Ticaret Komisyonu (FTC),. tüketici koruma ve gözetim ihtiyacına girdiği için kredi kartı işlemlerinin gözetiminden sorumludur. PCI uyumluluğu için mutlaka düzenleyici bir yetki bulunmamakla birlikte, mahkeme emsalleri aracılığıyla zorunlu olarak kabul edilir.

Genel olarak, PCI uyumluluğu, herhangi bir kredi kartı şirketinin güvenlik protokolünün temel bir bileşenidir. Genellikle kredi kartı şirketleri tarafından zorunlu kılınır ve kredi kartı ağı anlaşmalarında tartışılır.

PCI Standards Council, PCI uyumluluğu için standartların geliştirilmesinden sorumludur. Bu standartlar, satıcı işlemleri için geçerlidir ve ayrıca şifreli İnternet işlemleri için gereksinimleri ana hatlarıyla belirtmek üzere genişletilmiştir . Kredi kartı endüstrisinde standart belirleme ile de ilişkili olan diğer önemli kuruluşlar arasında The Card Association Network ve National Automated Clearing House (NACHA) bulunmaktadır.

PCI Uyumluluğu için Gereksinimler

PCI uyumluluk standartları, tüccarların ve diğer işletmelerin, kart sahiplerinin hassas finansal hesap bilgilerinin çalınması olasılığını azaltmaya yardımcı olacak şekilde kredi kartı bilgilerini güvenli bir şekilde kullanmasını gerektirir. Tüccarlar kredi kartı bilgilerini PCI Standartlarına göre işlemezlerse, kart bilgileri saldırıya uğrayabilir ve çok sayıda dolandırıcılık eylemi için kullanılabilir. Ek olarak, kart sahibiyle ilgili hassas bilgiler kimlik sahtekarlığında kullanılabilir.

PCI uyumlu olmak, PCI Standards Council tarafından belirlenen bir dizi yönergeye tutarlı bir şekilde bağlı kalmak anlamına gelir. PCI uyumluluğu, kredi kartlarının güvenliğini yönetmek amacıyla 2006 yılında kurulan bir kuruluş olan PCI Standards Council tarafından yönetilir.

Konsey tarafından geliştirilen gereksinimler, Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS) olarak bilinir. PCI DSS'nin 12 temel gereksinimi, 78 temel gereksinimi ve 400'ün üzerinde test prosedürü vardır. Yönergeler ayrıca en iyi güvenlik uygulamaları olarak kabul edilir. 12 ana gereksinimi aşağıdakileri içerir:

  1. Verileri korumak için güvenlik duvarları uygulayın

  2. Uygun parola koruması

  3. Kart sahibi verilerini koruyun

  4. İletilen kart sahibi verilerinin şifrelenmesi

  5. Virüsten koruma yazılımı kullanın

  6. Yazılımı güncelleyin ve güvenlik sistemlerini koruyun

  7. Kart sahibi verilerine erişimi kısıtlayın

  8. Verilere erişimi olanlara atanan benzersiz kimlikler

  9. Verilere fiziksel erişimi kısıtlayın

  10. Erişim günlüklerini oluşturun ve izleyin

  11. Güvenlik sistemlerini düzenli olarak test edin

  12. Belgelenmiş ve takip edilebilir bir politika oluşturun

PCI DSS'nin en son sürümü Mayıs 2018'de yayınlandı ve sürüm 3.2.1 olarak anılıyor. Genel olarak, altı hedef ve 12 gereklilik, kredi kartı işlemcilerinin sürekli olarak izlemesi gereken bir dizi adımı özetlemektedir. Şirketlerden öncelikle bilgi teknolojisi altyapısını, iş süreçlerini ve kredi kartı işleme prosedürlerini içeren ağlarını ve sistemlerini değerlendirmeleri istenir.

PCI Uyumluluğunun Avantajları

Güvenlikteki boşlukların sürekli bakımı ve değerlendirilmesi, mümkün olduğunda sosyal güvenlik ve ehliyet numaraları gibi hassas kart sahibi bilgilerinin çalınmasını önlemek için de çok önemlidir.

Şirketlerin, kart işleme sözleşmelerinin bir parçası olarak düzenli olarak uyum raporları sağlamaları gerekmektedir. Ödeme Kartı Sektörü Veri Güvenliği Standartlarının izlenmesi, değerlendirilmesi ve denetlenmesi,. bir şirketin güvenlik departmanının önemli bir parçasıdır.

Kredi kartı bilgilerini işleyen tüm şirketlerin, kart işleme sözleşmelerinde belirtildiği şekilde PCI uyumluluğunu sürdürmeleri gerekir. PCI uyumluluğu endüstri standardıdır ve bu olmadan yapılan iş, anlaşma ihlalleri ve ihmal nedeniyle önemli para cezalarına neden olabilir. PCI uyumluluğu olmadan şirketler hırsızlık, dolandırıcılık ve veri ihlallerine karşı da oldukça savunmasızdır.

95%

İnsan hatasından kaynaklanan siber güvenlik ihlallerinin yüzdesi .

Uyumluluğun faydaları arasında veri ihlali riskinin azaltılması, kart sahibi verilerinin korunması ve böylece kimlik hırsızlığı olasılığının önlenmesi yer alır. Veri ihlalleriyle ilgili cezaları azalttığı, bir şirketin marka itibarına yardımcı olduğu, müşterilerin sorumlu bir şirketle iş yaptıklarından emin ve mutlu olmasını sağlayarak marka bağlılığına yol açtığı için şirketlerin uyumlu olması iyi bir uygulamadır .

2020'nin ilk yarısında, veri ihlalleri nedeniyle 36 milyar kayıt açığa çıktı. İhlallerin yüzde seksen altısı finansal olarak motive edildi ve küresel bilgi güvenliği pazarının 2020'de 170 milyar dolara ulaşması bekleniyor, finansal risk daha da yüksek. Kart sahibi verilerini korumak sadece iş için değil, aynı zamanda insanların olumsuz bir şekilde zarar görmemesini veya herhangi bir mali kayıp yaşamamasını sağlamak için yapılacak doğru şeydir.

PCI Uyumluluğu ve Veri İhlalleri

PCI uyumluluğu, dolandırıcılık faaliyetlerini önlemeye yardımcı olur ve veri ihlallerini azaltır. Verizon, "Verizon Payment Security Report"ta ödeme güvenliğine ilişkin yıllık bir değerlendirme sunar. 2019 Raporu, PCI DSS'ye "PCI DSS uyumluluğunun durumu, 2019: Ve 12 temel gereksinim" adlı bir bölümün tamamını ayırıyor. "Verizon 2019 Ödeme Güvenliği Raporu"ndan öne çıkan bazı PCI DSS'ler şunları içerir:

  • Kuruluşların %36,7'si 2018'de aktif olarak PCI DSS programlarını sürdürüyordu.

  • Asya-Pasifik bölgesi Amerika, Avrupa, Orta Doğu ve Afrika'dan daha iyi performans gösterdi.

  • Endüstri açısından bakıldığında, misafirperverlik diğer sektörlerin biraz gerisinde kalıyor.

PCI Uyumluluğu SSS

PCI uyumlu ne anlama geliyor?

PCI uyumluluğu, kart sahiplerinin özel verilerini kabul eden, ileten veya saklayan herhangi bir şirket veya kuruluşun, verilerin güvenli ve gizli tutulmasını sağlamak için PCI Security Standard Council tarafından belirtilen çeşitli güvenlik önlemleriyle uyumlu olduğu anlamına gelir.

PCI uyumluluğu yasalarca gerekli midir?

PCI uyumluluğu gerektiren bir düzenleyici görev yoktur, ancak mahkeme emsalleri aracılığıyla zorunlu olarak kabul edilir.

PCI uyumluluğunu nasıl edinebilirim?

PCI uyumlu olmak için öncelikle uyumlu olmak için hangi öz değerlendirme anketini izlemeniz gerektiğini belirlemelisiniz. Anketi bitirdikten sonra, PCI SSC Onaylı Tarama Satıcısı ile geçen bir güvenlik açığı taramasının kanıtını tamamlamanız ve elinizde tutmanız gerekir. Tarama yalnızca bazı satıcılar için geçerlidir. Daha sonra uygunluk Beyanını tamamlamanız gerekecektir. Son adım, yukarıdaki tüm bilgileri göndermek olacaktır.

Kimler PCI uyumlu olmalıdır?

Kart sahiplerinin özel verilerini kabul eden, ileten veya saklayan herhangi bir şirket veya kuruluş.

Alt çizgi

PCI uyumluluğu, kuruluşların uygulaması ve sürdürmesi gereken PCI Güvenlik Standartları Konseyi tarafından belirlenen teknik ve operasyonel standartları ifade eder. PCI uyumlu olmanın amacı, kart sahibi verilerini korumaktır ve bu verileri kabul eden, ileten veya depolayan tüm kuruluşlar için geçerlidir. PCI uyumlu olmak, tüketici verilerinin güvenliğini ilk sıraya koyması ve aynı zamanda olumlu bir marka itibarı aracılığıyla bir kuruluşa fayda sağlaması bakımından iyi bir iş uygulamasıdır.

##Öne çıkanlar

  • Ödeme Kartı Sektörü Veri Güvenliği Standartlarını (PCI DSS) takip eden ve bunlara ulaşan şirketler PCI uyumlu olarak kabul edilir.

  • PCI uyumluluğu veri ihlallerini azaltır, kart sahiplerinin verilerini korur, cezaları önler ve marka itibarını artırır.

  • PCI DSS, kuruluşların PCI uyumlu olmasını sağlamak için 12 temel gereksinime, 78 temel gereksinime ve 400 test prosedürüne sahiptir.

  • PCI Güvenlik Standartları Konseyi, PCI DSS'nin geliştirilmesinden sorumludur.

  • PCI uyumluluğu kanunen gerekli değildir, ancak mahkeme içtihatları yoluyla zorunlu olarak kabul edilir.