PCI DSS Nedir? Ödeme Kartı Güvenliği Standardı Rehberi

PCI DSS Nedir?

PCI DSS (Payment Card Industry Data Security Standard), Visa, Mastercard, American Express, Discover ve JCB tarafından kurulan Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC) tarafından yayımlanan güvenlik standardıdır. Kart sahibi verilerini (CHD — Cardholder Data) işleyen, saklayan veya ileten tüm kuruluşlar için uyumluluk zorunludur.

2022 yılında yayımlanan PCI DSS v4.0, sıfır güven mimarisi ve bulut ortamlarına yönelik güncellemeler içermektedir.

Kapsam: Hangi Veriler Korunmalı?

• PAN (Primary Account Number): Kart üzerindeki 16 haneli numara — en kritik veri.
• Kart Sahibi Adı, Son Kullanma Tarihi, Hizmet Kodu: PAN ile birlikte saklandığında kapsam dahilinde.
• CAV2/CVV2/CVC2/CID: Kartın arka yüzündeki güvenlik kodu — kesinlikle saklanamaz.
• PIN ve PIN Bloğu: Kesinlikle şifresiz saklanamaz.

12 PCI DSS Gereksinimi

• 1. Ağ güvenlik kontrollerinin kurulması ve sürdürülmesi (firewall, segmentasyon)
• 2. Satıcı varsayılan şifrelerin değiştirilmesi ve gereksiz servislerin kapatılması
• 3. Saklanan kart sahibi verilerinin korunması (şifreleme, maskeleme, token)
• 4. Açık ağlarda iletilen verilerin şifrelenmesi (TLS 1.2+)
• 5. Tüm sistemlerin zararlı yazılıma karşı korunması
• 6. Güvenli sistem ve yazılımların geliştirilmesi ve sürdürülmesi
• 7. Kart sahibi verilerine erişimin iş gereksinimine göre kısıtlanması
• 8. Kullanıcı tanımlama ve kimlik doğrulamanın yönetimi (MFA zorunluluğu)
• 9. Kart sahibi verilerine fiziksel erişimin kısıtlanması
• 10. Ağ kaynaklarına ve kart sahibi verilerine erişimin log kaydı ve izlenmesi
• 11. Güvenlik sistemlerinin ve süreçlerinin düzenli test edilmesi (sızma testi, zafiyet taraması)
• 12. Bilgi güvenliği politikasının tüm personel için sürdürülmesi

Uyumluluk Seviyeleri (SAQ vs ROC)

Uyumluluk seviyesi, yıllık işlem hacmine göre belirlenir:

• Level 1: Yılda 6 milyondan fazla kart işlemi. Akredite QSA (Qualified Security Assessor) tarafından yıllık ROC (Report on Compliance) denetimi zorunludur.
• Level 2: 1–6 milyon işlem. Yıllık öz değerlendirme (SAQ) ve üç ayda bir zafiyet taraması.
• Level 3: 20.000–1 milyon e-ticaret işlemi. Yıllık SAQ ve üç aylık tarama.
• Level 4: Yılda 20.000'den az e-ticaret işlemi. Yıllık SAQ önerilir.

Sızma Testi Zorunluluğu

PCI DSS, yılda en az bir kez ve önemli altyapı değişikliklerinin ardından sızma testi yapılmasını zorunlu kılar:

• Uygulama katmanı (web, mobil) ve ağ katmanı sızma testi ayrı ayrı yapılmalıdır.
• Test kapsamı, kart sahibi veri ortamını (CDE) ve ona bağlı sistemleri içermelidir.
• Segmentasyon kontrolleri (CDE'yi izole eden sistemler) de test edilmelidir.

Tokenizasyon ve Şifreleme

PCI DSS kapsamını daraltmanın en etkili yolu, kart verisiyle temas noktalarını azaltmaktır:

• Tokenizasyon: Gerçek kart numarası yerine anlamsız bir token saklanır; token çalınsa dahi kullanılamaz.
• P2PE (Point-to-Point Encryption): Kart verisini okuma noktasından itibaren şifreleyerek yalnızca ödeme işlemcisine açık tutar. PCI onaylı P2PE çözümü uyumluluk kapsamını dramatik biçimde daraltır.

Sonuç

PCI DSS uyumu, ödeme kartı verilerini işleyen her kuruluş için yasal değil ama sözleşmeden doğan zorunluluktur; uyumsuzluk halinde kart markaları tarafından ağır para cezası uygulanabilir. Lider Network, PCI DSS gap analizi, ağ segmentasyonu ve sızma testi süreçlerinde danışmanlık hizmeti sunmaktadır.