PCI uyumluluğu, kredi kartı ödemelerini kabul eden tüm işletmeler için gerekli olan Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) yönergelerine sıkı sıkıya bağlılıktır. Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi, bu uygunluktan işletmeleri sorumlu tutan organdır. PCI konseyi, işletmeler için farklı eğitim oturumları ve kursların yanı sıra, uyumluluk düzeylerini test etmek için alabilecekleri basit sınavlar sunar.
PCI ayrıca, işletmeleri PCI uyumluluğu açısından inceleyen değerlendiricilere (genellikle üçüncü taraf güvenlik kuruluşları) erişim sağlar. PCI Güvenlik Standartları Konseyi ayrıca, Kalifiye Güvenlik Değerlendiricilerinin, kendilerinin de yüksek bir uyumluluk standardına sahip olmaları için düzenli olarak onaylanmasını ve onaylanmasını sağlar.
PCI ayrıca kart işlemlerinin gerçekleştiği donanım olan PTS (PIN İşlem Güvenliği) cihazları için standartlar sağlar. PCI Güvenlik Standartları web sitesinde, güvenlik politikalarına da sahip olan PCI onaylı PTS cihazlarının bir listesi vardır. Bir işletme bunları kullanacaksa, bu cihazların süresi dolmamalıdır.
PCI uyumluluğu için on iki gereksinim
Güvenlik Standartları Konseyi, her kart kabul eden işletmenin uyması gereken on iki standart koymuştur:
- Şirket ağında güvenlik duvarları uygulamak
- Yalnızca minimum veya varsayılan şifreleri değil, iyi şifreler için en iyi alışkanlıkları uygulamak
- Hem kredi kartı bilgilerini hem de şifreleme anahtarlarını şifreleme
- Verileri hareket halindeyken şifreleme (genel ağları geçerken)
- Güncel antivirüs çözümlerinden yararlanma
- Yazılım / uygulamalar dahil tüm ağın güvenliğini sağlamak
- Çalışanların yalnızca kesinlikle gerekli olması durumunda kart bilgilerine erişmesine izin vermek
- Her çalışana kendi bilgisayar / sistem erişim kodunu, kullanıcı adını ve / veya şifresini vermek
- Kart verilerinin tutulduğu donanıma veya diğer ekipmanlara erişimi kısıtlama
- Bir çalışanın kart bilgilerine her eriştiğinde kayıtların tutulması dahil olmak üzere sistem erişimini izleme
- Güvenlik protokollerini sık sık test etme
- Yalnızca çalışanlara değil, üçüncü şahıslara da bir güvenlik politikası sağlamak ve kart verilerinin depolanması, iletimi ve erişimini belgelemek. Bu belgeler ve günlükler hakkında bir diğer önemli not: GDPR ve CCPA gibi diğer yasal standartlar da büyük olasılıkla kuruluşların tüm hassas veri kullanımını ve aktarımını belgelemesini gerektirecektir, bu nedenle ayrıntılı kayıtlar tutmak iki kat daha önemlidir.
PCI uyumsuzluğunun olası sonuçları
Bu katı gereksinimlere uyulmaması, veri ihlali riskini artırır. Aynı zamanda itibar ve müşteri güvenini kaybetme şansını da artırır. Öte yandan verileri şifrelemek ve ona erişimi kısıtlamak, bir işletmeye daha fazla güvenlik sağlar. PCI standartlarına sıkı sıkıya uyulması, bir şirketin saldırılara ve ihlallere karşı bağışık olduğu anlamına gelmese de, bu onların para cezaları ve herhangi bir yasal işlemin muhtemelen azaltılacağı anlamına gelir.
Kredi kartı veri hırsızlığı dahil olmak üzere siber suçlar, suçluların işlemesi çok daha kolay hale geliyor. PCI standartlarına uymak, yasal olarak faaliyet göstermek ve memnun bir müşteri tabanını korumak isteyen bir işletme için en iyi uygulamadır.