Video: Kıvanç Harputlu - Kurucu Ortak ve CEO, PCI Checklist | Çağrı Sarıgöz Podcast #23 2024
Yasal bir zorunluluk olmamasına rağmen (henüz) Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), güvenlik standartlarını zorunlu kılmak ve uygulamak için bir endüstri inisiyatörünün örneklerinden biridir. PCI DSS, müşterilerle iş yapmak için ödeme kartı (yani kredi kartı) işlemlerini ileten, işleyen veya saklar olan tüm dünyadaki işyerleri için geçerlidir; bu işlem, günde binlerce kredi kartı işlemini veya yılda tek bir işlem gerçekleştirip gerçekleştirmez.
Uygunluk, ödeme kartı markaları (American Express, MasterCard, Visa vb.) Tarafından zorunlu ve zorunlu kılınmakta ve her ödeme kartı markası kendi uyum programını yönetmektedir.
PCI DSS, yasal bir görev olmaktan ziyade bir endüstri standardı olmasına rağmen, birçok devlet, bu devlette faaliyet gösteren kuruluşlar için PCI uyumluluğunu (veya belirli hükümlere en azından uyulmasını) zorunlu kılacak yasal düzenlemeleri uygulamaya başlamıştır.
PCI DSS, kurumların yıllık özdeğerlendirme ve ağ taraması yapmasını veya yerinde PCI veri güvenliği değerlendirmelerini tamamlamasını ve üç ayda bir ağ taramalarını gerektirir. Gerçek şartlar, bir kuruluş tarafından yönetilen ödeme kartı işlemlerinin sayısına ve önceki veri kaybı vakaları gibi diğer faktörlere bağlıdır.
PCI DSS sürüm 3. 0, 12 ekli gereksinim tarafından desteklenen altı ana ilkeden ve uyum için 200'den fazla spesifik prosedürden oluşur. Bunlar
- İlke 1: Güvenli bir ağ kurun ve bakımını yapın:
- Gereksinim 1: Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması kurun ve bakımını yapın.
- Gereksinim 2: Sistem şifreleri ve diğer güvenlik parametreleri için sağlayıcı tarafından sağlanan varsayılan değerleri kullanmayın.
- İlke 2: Kart hamili verilerini koruyun:
- Gereksinim 3: Saklanan kart hamiline ait verileri koruyun.
- İhtiyaç 4: Açık, genel ağlardaki kart hamili verilerini aktarımını şifreleyin.
- İlke 3: Güvenlik açığı yönetimi programını koruyun:
- Gereksinim 5: Antivirüs yazılımını kullanın ve düzenli olarak güncelleyin.
- İhtiyaç 6: Güvenli sistemler ve uygulamalar geliştirin ve muhafaza edin.
- İlke 4: Güçlü erişim kontrolü önlemleri uygulayın:
- İhtiyaç 7: Kart sahibinin verilere erişimi iş tarafından bilinmelidir.
- İhtiyaç 8: Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın.
- İhtiyaç 9: Kart hamili verilerine fiziksel erişimi kısıtlayın.
- İlke 5: Ağları düzenli olarak izleyin ve test edin:
- Gereksinim 10: Ağ kaynaklarına ve kart hamili verilerine olan tüm erişimi takip edin ve izleyin.
- İhtiyaç 11: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.
- İlke 6: Bilgi güvenliği politikası:
- İhtiyaç 12: Bilgi güvenliğini ilgilendiren bir politika izleyiniz.
Uygunsuzluk cezaları ödeme kartı markalarından alınır ve kredi kartı işlemlerine izin verilmemesi, küçük çaplı ihlallerde ayda 25,000 ABD doları para cezası ve ihlaller için 500,000 ABD doları para cezasına kadar olan cezaları içerir. Gerçek kayıp veya çalınan finansal veriler.
