Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), büyük kart markalarının kredi kartlarını işlemeye yönelik kullanılan bir bilgi güvenliği standardıdır. Bu standart, Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC) tarafından yönetilir ve kart markaları tarafından zorunlu kılınır. PCI DSS, kart sahibi verilerini daha iyi kontrol etmek ve kredi kartı dolandırıcılığını azaltmak amacıyla oluşturulmuştur.
Tarihçe
Öncesinde büyük kart markalarının beş farklı güvenlik programı vardı:
- Visa'nın Kart Sahibi Bilgi Güvenlik Programı
- Mastercard'ın Site Veri Koruma Programı
- American Express'in Veri Güvenliği İşletim Politikası
- 'ın Bilgi Güvenliği ve Uyum Programı
- 'nin Veri Güvenlik Programı
Her programın amacı; tacirlerin kart sahibi verilerini depolarken, işlerken ve iletirken belirli güvenlik seviyelerine uymalarını sağlamak ve kart ihraç edenler için ek bir koruma seviyesi oluşturmaktı. Mevcut standartlar arasındaki uyumluluk sorunlarını ele almak amacıyla, başlıca kredi kartı kuruluşlarının ortak çalışması sonucunda Aralık 2004'te PCI DSS sürüm 1.0 yayınlandı. PCI DSS, dünya çapında uygulanmakta ve takip edilmektedir.
PCI SSC (Ödeme Kartı Sektörü Güvenlik Standartları Konseyi) daha sonra kuruldu ve bu şirketler politikalarını PCI DSS oluşturacak şekilde hizaladı. MasterCard, American Express, Visa, JCB International ve Discover Financial Services, Eylül 2006'da PCI SSC'yi idari ve yönetsel bir varlık olarak kurdular ve PCI DSS'nin evrimini ve gelişimini zorunlu kıldılar. Bağımsız özel kuruluşlar, kayıt olduktan sonra PCI geliştirme sürecine katılabilirler. Her katılımcı kuruluş, bir SIG'ye (Özel İlgi Grubu) katılır ve grup tarafından belirlenen faaliyetlere katkıda bulunur. PCI DSS'nin yayınlanmış sürümleri şunlardır:
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1.0 | 15 Aralık 2004 | |
| 1.1 | Eylül 2006 | Açıklamalar ve küçük revizyonlar yapıldı |
| 1.2 | Ekim 2008 | Netlik artırıldı, esneklik iyileştirildi ve gelişen riskler ve tehditler ele alındı |
| 1.2.1 | Temmuz 2009 | Standartlar ve destekleyici belgeler arasında daha fazla netlik ve tutarlılık sağlamak için küçük düzeltmeler yapıldı |
| 2.0 | Ekim 2010 | |
| 3.0 | Kasım 2013 | 1 Ocak 2014'ten, 30 Haziran 2015'e kadar aktif idi |
| 3.1 | Nisan 2015 | 31 Ekim 2016'dan itibaren kullanım dışı olmuştur |
| 3.2 | Nisan 2016 | 31 Aralık 2018'den itibaren kullanım dışı olmuştur |
| 3.2.1 | Mayıs 2018 | 31 Mart 2024'ten itibaren kullanım dışı olmuştur |
| 4.0 | Mart 2022 | Güvenlik duvarı terminolojisinin güncellendi, Çok Faktörlü Kimlik Doğrulama (MFA) uygulaması kullanıldı, güvenliği göstermek için esneklik artırıldı ve risk analizleri ile risk maruziyeti belirlendi |
Gereksinimler
PCI DSS, altı ilgili grupta düzenlenmiş on iki uyum gereksinimine sahiptir:
- Güvenli bir ağ ve sistemler inşa edin ve koruyun
- Kart sahibi verilerini koruyun
- Bir güvenlik açığı yönetim programı sürdürün
- Güçlü erişim kontrol önlemleri uygulayın
- Ağları düzenli olarak izleyin ve test edin
- Bir bilgi güvenliği politikası sürdürün
Her PCI DSS sürümü, bu altı gereksinim grubunu farklı şekilde parçalara bölümüştür. Ancak on iki gereksinim standardın başlangıcından bu yana değişmemiştir. Her gereksinim ve alt gereksinim üç bölüme ayrılır:
- PCI DSS gereksinimleri: Gereksinimi tanımlar. Gereksinim uygulandığında PCI DSS onayı yapılır.
- Test: Uygulamanın doğruluğunu teyit etmek için denetçinin gerçekleştirdiği süreçler ve metodolojiler.
- Rehberlik: Gereksinimin amacını ve ilgili içeriği açıklar, bu da gereksinimin doğru tanımlanmasına yardımcı olabilir.
Raporlama Seviyeleri
PCI DSS standartlarına tabi olan şirketler, yıllık işlem sayısına ve işlem işleme yöntemine göre PCI uyumlu olmalı ve uyumluluklarını kanıtlamalıdırlar. Bir alıcı veya ödeme markası, takdir yetkisini kullanarak bir kuruluşu bir raporlama seviyesine yerleştirebilir. Tacir seviyeleri şunlardır:
- Seviye 1 – Yıllık altı milyonun üzerinde işlem
- Seviye 2 – Yıllık bir ile altı milyon arasında işlem
- Seviye 3 – 20.000 ile bir milyon arasında işlem ve tüm e-ticaret tacirleri
- Seviye 4 – Yıllık 20.000'den az işlem
Her kart ihraç eden kuruluş, uyumluluk seviyeleri ve hizmet sağlayıcıları için bir tablo tutar.
Uyum Doğrulaması
Uyum doğrulaması, güvenlik kontrollerinin ve prosedürlerinin PCI DSS'ye uygun olarak uygulanıp uygulanmadığının değerlendirilmesi ve teyit edilmesini içerir. Doğrulama, harici bir varlık tarafından veya kendi kendine değerlendirme ile yıllık olarak gerçekleştirilir.
Uyum Raporu
Bir Uyum Raporu (ROC), PCI Nitelikli Güvenlik Denetçisi (QSA) tarafından gerçekleştirilir ve bir kuruluşun PCI DSS standardına uyumluluğunun bağımsız doğrulamasını sağlamak için tasarlanmıştır. Tamamlanmış bir ROC, iki belgeyle sonuçlanır: Testin detaylı açıklamasıyla doldurulmuş bir ROC Raporlama Şablonu ve ROC'nin tamamlandığını ve genel sonucunu belgeleyen bir Uyumluluk Beyanı (AOC).
Öz Değerlendirme Anketi
PCI DSS Öz Değerlendirme Anketi (SAQ), küçük ve orta ölçekli tacirler ve hizmet sağlayıcıların kendi PCI DSS uyumluluk durumlarını değerlendirmeleri için bir doğrulama aracıdır. Farklı uzunluklarda SAQ türleri vardır ve her biri, varlık türü ve kullanılan ödeme modeli gibi faktörlere göre değişir. Her SAQ sorusunun evet veya hayır cevabı vardır ve herhangi bir "hayır" cevabı, varlığın gelecekteki uygulamasını belirtmesini gerektirir. ROC'larda olduğu gibi, SAQ'ya dayalı bir uyumluluk beyanı (AOC) da tamamlanır.
Güvenlik Denetçileri
PCI Güvenlik Standartları Konseyi, denetim faaliyetlerini yürütmek üzere şirketleri ve bireyleri sertifikalandırmak için bir program sürdürmektedir.
Nitelikli Güvenlik Denetçisi
Nitelikli Güvenlik Denetçisi (QSA), başka bir kuruluşun PCI DSS uyumluluğunu doğrulamak için PCI Güvenlik Standartları Konseyi tarafından sertifikalandırılmış bir kişidir. QSAlar, PCI Güvenlik Standartları Konseyi tarafından da sertifikalandırılmış bir QSA Şirketi tarafından istihdam edilmelidir ve bu şirket tarafından desteklenmelidir.
İç Güvenlik Denetçisi
İç Güvenlik Denetçisi (ISA), sponsorluk yaptığı kuruluş için PCI Güvenlik Standartları Konseyi'nden bir sertifika almış ve kendi kuruluşu için PCI öz değerlendirmelerini yürütebilen bir kişidir. ISA programı, Seviye 2 tacirlerin Mastercard uyumluluk doğrulama gereksinimlerini karşılamalarına yardımcı olmak için tasarlanmıştır. ISA sertifikasyonu, bir bireyin kendi kuruluşunu değerlendirmesini ve PCI DSS uyumluluğu için güvenlik çözümleri ve kontroller önermesini sağlar. ISA'lar, QSAlar ile iş birliği ve katılımda sorumludur.
Uyum ve Uyum Doğrulaması Arasındaki Fark
PCI DSS, kart sahibi verilerini işleyen, depolayan veya ileten tüm varlıklar tarafından uygulanmalıdır; ancak, tüm varlıklar için PCI DSS uyumluluğunun resmi doğrulaması zorunlu değildir. Visa ve Mastercard; tacirler ve hizmet sağlayıcıların PCI DSS'ye göre doğrulanmasını gerektirir. Visa ayrıca nitelikli tacirlerin yıllık PCI DSS doğrulama değerlendirmesini durdurmalarına izin veren bir Teknoloji Yenilik Programı (TIP) sunar. Tacirler, sahtecilik önleme için EMV veya uçtan uca şifreleme gibi alternatif önlemler aldıklarında uygun hale gelirler.
İhraç bankalarının PCI DSS doğrulamasına tabi olmaları gerekmez, ancak hassas verileri PCI DSS uyumlu bir şekilde güvence altına almaları gerekmektedir. Alıcı bankalar, PCI DSS'ye uymalı ve uyumluluklarının bir denetimle doğrulanması gerekmektedir. Bir güvenlik ihlalinde, ihlal anında PCI DSS uyumlu olmayan herhangi bir varlık, kart markalarından veya alıcı bankalardan ek cezalar (örneğin para cezaları) alabilir.
Kaynakça
- ^ "PCI Data Security Standard (PCI DSS)". PCI Security Standards Council (İngilizce). 30 Mayıs 2024 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ "PCI DSS Versions Over the Years | Version 1.0 - 4.0" (İngilizce). 26 Haziran 2024. Erişim tarihi: 4 Temmuz 2024.
- ^ Inc, Truvantis. "PCI-DSS History and Overview | Truvantis". www.truvantis.com (İngilizce). 10 Aralık 2023 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ Goodspeed, Lindsay. "Updated PCI DSS v4.0 Timeline". blog.pcisecuritystandards.org (İngilizce). 26 Mart 2024 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ "PCI DSS 4.0 2023'te Neden Gündemimizde Olmalı?". Makale. Beyaznet. 24 Şubat 2024 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ Sistemleri, T.-Soft E.-Ticaret. "PCI DSS Sertifikası Nedir? Nasıl Kullanılır?". Tahsildar Tahsilat Yazılımı. 7 Mayıs 2024 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ Ticimax (5 Ağustos 2021). "PCI DSS Nedir? Neden Önemlidir?". www.ticimax.com. 29 Şubat 2024 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ "Document Library". PCI Security Standards Council (İngilizce). 30 Haziran 2024 tarihinde kaynağından . Erişim tarihi: 4 Temmuz 2024.
- ^ "Difference between PCI compliance and PA-DSS validation". www.ibm.com (İngilizce). Erişim tarihi: 4 Temmuz 2024.
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Odeme Karti Sektoru Veri Guvenligi Standardi PCI DSS buyuk kart markalarinin kredi kartlarini islemeye yonelik kullanilan bir bilgi guvenligi standardidir Bu standart Odeme Karti Sektoru Guvenlik Standartlari Konseyi PCI SSC tarafindan yonetilir ve kart markalari tarafindan zorunlu kilinir PCI DSS kart sahibi verilerini daha iyi kontrol etmek ve kredi karti dolandiriciligini azaltmak amaciyla olusturulmustur TarihceOncesinde buyuk kart markalarinin bes farkli guvenlik programi vardi Visa nin Kart Sahibi Bilgi Guvenlik Programi Mastercard in Site Veri Koruma Programi American Express in Veri Guvenligi Isletim Politikasi in Bilgi Guvenligi ve Uyum Programi nin Veri Guvenlik Programi Her programin amaci tacirlerin kart sahibi verilerini depolarken islerken ve iletirken belirli guvenlik seviyelerine uymalarini saglamak ve kart ihrac edenler icin ek bir koruma seviyesi olusturmakti Mevcut standartlar arasindaki uyumluluk sorunlarini ele almak amaciyla baslica kredi karti kuruluslarinin ortak calismasi sonucunda Aralik 2004 te PCI DSS surum 1 0 yayinlandi PCI DSS dunya capinda uygulanmakta ve takip edilmektedir PCI SSC Odeme Karti Sektoru Guvenlik Standartlari Konseyi daha sonra kuruldu ve bu sirketler politikalarini PCI DSS olusturacak sekilde hizaladi MasterCard American Express Visa JCB International ve Discover Financial Services Eylul 2006 da PCI SSC yi idari ve yonetsel bir varlik olarak kurdular ve PCI DSS nin evrimini ve gelisimini zorunlu kildilar Bagimsiz ozel kuruluslar kayit olduktan sonra PCI gelistirme surecine katilabilirler Her katilimci kurulus bir SIG ye Ozel Ilgi Grubu katilir ve grup tarafindan belirlenen faaliyetlere katkida bulunur PCI DSS nin yayinlanmis surumleri sunlardir Surum Tarih Notlar1 0 15 Aralik 20041 1 Eylul 2006 Aciklamalar ve kucuk revizyonlar yapildi1 2 Ekim 2008 Netlik artirildi esneklik iyilestirildi ve gelisen riskler ve tehditler ele alindi1 2 1 Temmuz 2009 Standartlar ve destekleyici belgeler arasinda daha fazla netlik ve tutarlilik saglamak icin kucuk duzeltmeler yapildi2 0 Ekim 20103 0 Kasim 2013 1 Ocak 2014 ten 30 Haziran 2015 e kadar aktif idi3 1 Nisan 2015 31 Ekim 2016 dan itibaren kullanim disi olmustur3 2 Nisan 2016 31 Aralik 2018 den itibaren kullanim disi olmustur3 2 1 Mayis 2018 31 Mart 2024 ten itibaren kullanim disi olmustur4 0 Mart 2022 Guvenlik duvari terminolojisinin guncellendi Cok Faktorlu Kimlik Dogrulama MFA uygulamasi kullanildi guvenligi gostermek icin esneklik artirildi ve risk analizleri ile risk maruziyeti belirlendiGereksinimlerPCI DSS alti ilgili grupta duzenlenmis on iki uyum gereksinimine sahiptir Guvenli bir ag ve sistemler insa edin ve koruyun Kart sahibi verilerini koruyun Bir guvenlik acigi yonetim programi surdurun Guclu erisim kontrol onlemleri uygulayin Aglari duzenli olarak izleyin ve test edin Bir bilgi guvenligi politikasi surdurun Her PCI DSS surumu bu alti gereksinim grubunu farkli sekilde parcalara bolumustur Ancak on iki gereksinim standardin baslangicindan bu yana degismemistir Her gereksinim ve alt gereksinim uc bolume ayrilir PCI DSS gereksinimleri Gereksinimi tanimlar Gereksinim uygulandiginda PCI DSS onayi yapilir Test Uygulamanin dogrulugunu teyit etmek icin denetcinin gerceklestirdigi surecler ve metodolojiler Rehberlik Gereksinimin amacini ve ilgili icerigi aciklar bu da gereksinimin dogru tanimlanmasina yardimci olabilir Raporlama SeviyeleriPCI DSS standartlarina tabi olan sirketler yillik islem sayisina ve islem isleme yontemine gore PCI uyumlu olmali ve uyumluluklarini kanitlamalidirlar Bir alici veya odeme markasi takdir yetkisini kullanarak bir kurulusu bir raporlama seviyesine yerlestirebilir Tacir seviyeleri sunlardir Seviye 1 Yillik alti milyonun uzerinde islem Seviye 2 Yillik bir ile alti milyon arasinda islem Seviye 3 20 000 ile bir milyon arasinda islem ve tum e ticaret tacirleri Seviye 4 Yillik 20 000 den az islem Her kart ihrac eden kurulus uyumluluk seviyeleri ve hizmet saglayicilari icin bir tablo tutar Uyum DogrulamasiUyum dogrulamasi guvenlik kontrollerinin ve prosedurlerinin PCI DSS ye uygun olarak uygulanip uygulanmadiginin degerlendirilmesi ve teyit edilmesini icerir Dogrulama harici bir varlik tarafindan veya kendi kendine degerlendirme ile yillik olarak gerceklestirilir Uyum Raporu Bir Uyum Raporu ROC PCI Nitelikli Guvenlik Denetcisi QSA tarafindan gerceklestirilir ve bir kurulusun PCI DSS standardina uyumlulugunun bagimsiz dogrulamasini saglamak icin tasarlanmistir Tamamlanmis bir ROC iki belgeyle sonuclanir Testin detayli aciklamasiyla doldurulmus bir ROC Raporlama Sablonu ve ROC nin tamamlandigini ve genel sonucunu belgeleyen bir Uyumluluk Beyani AOC Oz Degerlendirme Anketi PCI DSS Oz Degerlendirme Anketi SAQ kucuk ve orta olcekli tacirler ve hizmet saglayicilarin kendi PCI DSS uyumluluk durumlarini degerlendirmeleri icin bir dogrulama aracidir Farkli uzunluklarda SAQ turleri vardir ve her biri varlik turu ve kullanilan odeme modeli gibi faktorlere gore degisir Her SAQ sorusunun evet veya hayir cevabi vardir ve herhangi bir hayir cevabi varligin gelecekteki uygulamasini belirtmesini gerektirir ROC larda oldugu gibi SAQ ya dayali bir uyumluluk beyani AOC da tamamlanir Guvenlik Denetcileri PCI Guvenlik Standartlari Konseyi denetim faaliyetlerini yurutmek uzere sirketleri ve bireyleri sertifikalandirmak icin bir program surdurmektedir Nitelikli Guvenlik Denetcisi Nitelikli Guvenlik Denetcisi QSA baska bir kurulusun PCI DSS uyumlulugunu dogrulamak icin PCI Guvenlik Standartlari Konseyi tarafindan sertifikalandirilmis bir kisidir QSAlar PCI Guvenlik Standartlari Konseyi tarafindan da sertifikalandirilmis bir QSA Sirketi tarafindan istihdam edilmelidir ve bu sirket tarafindan desteklenmelidir Ic Guvenlik Denetcisi Ic Guvenlik Denetcisi ISA sponsorluk yaptigi kurulus icin PCI Guvenlik Standartlari Konseyi nden bir sertifika almis ve kendi kurulusu icin PCI oz degerlendirmelerini yurutebilen bir kisidir ISA programi Seviye 2 tacirlerin Mastercard uyumluluk dogrulama gereksinimlerini karsilamalarina yardimci olmak icin tasarlanmistir ISA sertifikasyonu bir bireyin kendi kurulusunu degerlendirmesini ve PCI DSS uyumlulugu icin guvenlik cozumleri ve kontroller onermesini saglar ISA lar QSAlar ile is birligi ve katilimda sorumludur Uyum ve Uyum Dogrulamasi Arasindaki FarkPCI DSS kart sahibi verilerini isleyen depolayan veya ileten tum varliklar tarafindan uygulanmalidir ancak tum varliklar icin PCI DSS uyumlulugunun resmi dogrulamasi zorunlu degildir Visa ve Mastercard tacirler ve hizmet saglayicilarin PCI DSS ye gore dogrulanmasini gerektirir Visa ayrica nitelikli tacirlerin yillik PCI DSS dogrulama degerlendirmesini durdurmalarina izin veren bir Teknoloji Yenilik Programi TIP sunar Tacirler sahtecilik onleme icin EMV veya uctan uca sifreleme gibi alternatif onlemler aldiklarinda uygun hale gelirler Ihrac bankalarinin PCI DSS dogrulamasina tabi olmalari gerekmez ancak hassas verileri PCI DSS uyumlu bir sekilde guvence altina almalari gerekmektedir Alici bankalar PCI DSS ye uymali ve uyumluluklarinin bir denetimle dogrulanmasi gerekmektedir Bir guvenlik ihlalinde ihlal aninda PCI DSS uyumlu olmayan herhangi bir varlik kart markalarindan veya alici bankalardan ek cezalar ornegin para cezalari alabilir Kaynakca PCI Data Security Standard PCI DSS PCI Security Standards Council Ingilizce 30 Mayis 2024 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 PCI DSS Versions Over the Years Version 1 0 4 0 Ingilizce 26 Haziran 2024 Erisim tarihi 4 Temmuz 2024 Arsivlenmesi gereken baglantiya sahip kaynak sablonu iceren maddeler link Inc Truvantis PCI DSS History and Overview Truvantis www truvantis com Ingilizce 10 Aralik 2023 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 Goodspeed Lindsay Updated PCI DSS v4 0 Timeline blog pcisecuritystandards org Ingilizce 26 Mart 2024 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 PCI DSS 4 0 2023 te Neden Gundemimizde Olmali Makale Beyaznet 24 Subat 2024 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 Sistemleri T Soft E Ticaret PCI DSS Sertifikasi Nedir Nasil Kullanilir Tahsildar Tahsilat Yazilimi 7 Mayis 2024 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 Ticimax 5 Agustos 2021 PCI DSS Nedir Neden Onemlidir www ticimax com 29 Subat 2024 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 Document Library PCI Security Standards Council Ingilizce 30 Haziran 2024 tarihinde kaynagindan Erisim tarihi 4 Temmuz 2024 Difference between PCI compliance and PA DSS validation www ibm com Ingilizce Erisim tarihi 4 Temmuz 2024 Arsivlenmesi gereken baglantiya sahip kaynak sablonu iceren maddeler link