PCI DSS v4.0.1
PCI DSS (Payment Card Industry Data Security Standard) kartlı ödeme sistemlerinde yer alan kurum ve kuruluşlarda bilgi güvenliğini sağlamak için bilgi sistemlerinde bilgi iletimini, işleyişi ve depolamayı esas alan, 6 temel kriter ve 12 gereksinim kategorisinden oluşuyor.
PCI DSS, sadece bankaları kapsayan bir standart değil, Kredi kartı ile işlem yapılmasını sağlayan veya kart bilgisini saklayan tüm sistemleri de içine alan standartttır.
Mevcut sürüm—PCI DSS v4.0.1 (Haziran 2024'te yayımlandı) ve tüm gereksinimlere tam uyum 31 Mart 2025'ten itibaren zorunlu hale getirildi.
Standart 12 Temel Gereksinim ve 6 Kontrol Noktası:
1. Güvenli bir ağ ve sistemler kurmak ve sürdürmek
Gereksinim 1: Ağ güvenlik kontrollerini için firewall vb. Sistemler kurmak.
Gereksinim 2: Tüm sistem bileşenlerinde güvenli, complex şifreler kullanmak.
2. Kart ve Hesap Verilerini Koruma
Gereksinim 3: Depolanmış hesap ve kart verilerini korumak (depolamayı en aza indirmek, tokenizasyon / maskeleme kullanmak).
Gereksinim 4: Kart sahibi verilerinin açık ağlar üzerinde şifrelenmesi (güçlü kriptografi, TLS vurgusu).
3. Güvenlik Programları Kullanma
Gereksinim 5: Tüm sistemlerde virus vb. Koruyucu yazılımlar kullanmak
Gereksinim 6: Güvenli sistemler ve yazılımlar geliştirilmesi ve sürdürülmesi (güvenli SDLC, zamanında yamalama).
4. Güçlü Erişim Kontrol Önlemleri Uygulayın
Gereksinim 7: Kart sahiplerinin verilerine erişimi kısıtlama.
Gereksinim 8: Kullanıcıların belirlenip, yetki erişimlerinin düzenlenmesi (çoğu erişim için MFA zorunludur).
Gereksinim 9: Kart sahibi verilerine fiziksel erişimin kısıtlanması.
5. Ağları düzenli olarak izleyin ve test edin
Gereksinim 10: Ağ kaynaklarına ve kart sahibi verilerine tüm erişimleri kaydetmek ve izlemek.
Gereksinim 11: Sistemlerin ve ağların güvenliğini düzenli olarak test etmek (zafiyet taramaları, sızma testi).
6. Bilgi Güvenliği Politikası Sürdürün
Gereksinim 12: Kurumsal politikalar, farkındalık eğitimi ve olay müdahalesiyle bilgi güvenliğini destekleyin. Ayrıca aşağıdaki gereksinimlere de dikkat edilmelidir.
a. Anahtar v4.0 Yenilikleri (v4.0.1'e taşındı).
b. Esneklik için özelleştirilmiş ve tanımlanmış yaklaşımlar.
c. Evrensel MFA (Multi-Factor Authentication)
d. Sürekli izleme ve otomatik test.
e. Risk odaklı, ileriye dönük kontroller.
Daha fazla bilgi için PCI Security Standarts bültenlerini buradan takip edebilirsiniz.