E-ticaret sektörü için ödeme sistemlerinin güvenli bir şekilde gerçekleşmesi oldukça önemlidir. Ödeme sistemlerinin küresel çapta sorunsuz işlemesine ve küresel çapta veri güvenliğine katkı sunan PCI DSS (Ödeme Kartları Sektörü Veri Güvenliği Standartları) e-ticarette tüketici ödeme veri güvenliği açısından oldukça önemlidir.
PCI DSS Nedir?
Ödemeleri kartlar ve diğer elektronik araçlarla işleyenlerin güvenlik önlemlerini daha güçlü şekilde alması gerekmektedir. Sahtecilik, dolandırıcılık, siber saldırı gibi riskleri azaltmak için Ödeme Kartı Endüstrisi ve Güvenlik Standartları Konseyi; şirketleri ve tüketicileri güvende tutmak için küresel güvenlik standartlarına kontrol mekanizmaları kurmuştur. PCI DSS de bu oluşumun adıdır.
PCI DSS açılımı dediğimizde Payment Card Industry Data Security Standard şeklindedir. Ödeme Kartı Sektörü Veri Güvenliği Standardı anlamına gelen PCI DSS nedir dediğimizde ise özetle; kredi, banka ve nakit kartı işlemlerinin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanımına karşı korumayı amaçlayan bir dizi politika ve prosedürdür.
PCI DSS 2004 yılında MasterCard, Visa, American Express, Discover ve JCB International tarafından ortaklaşa kurulmuştur. İşletmelerin PCI DSS sertifikası alması ise tüketiciye güven vermesi ve ödeme işlemlerini koruma altına alması açısından gereklidir.
PCI DSS Güvenli Ödeme Sistemi Nasıl İşler?
PCI DSS, sistemi yukarıda belirttiğimiz bankaların işbirliği ile hazırlanan konsey tarafından yakından izlenmektedir. Burada amaç, kart ödemelerinin belirlenen düzeye uygun korumalara tabi olmasını sağlamaktır. Sisteme dahil olmak PCI DSS sertifikası adı verilen uygunluk onay formu doldurulmalıdır. Bu form uyarınca sisteme dahil olmak isteyen işyeri ya da e- ticaret şirketi sahipleri üç aylık periyotlarla gerçekleştirilen bir ağ taramasına tabi tutulmaktadır.
PCI DSS sertifikası almak için başvurduğunuz uygunluk onay formu değerlendirmesi şirketinizin özelliklerine değişiklik göstermektedir. Her şirketin,e- ticaret firmasının aynı değerlendirmeye tabi tutulmasındaki belirleyici unsur, işlem hacmi yani para girdisidir. PCI DSS level 1 olarak geçen, seviye bir kapsamındaki kuruluşlar için QSA ya da ISA değerlendirmesi yapılır. QSA (Qualified Security Assessor) Nitelikli Güvenlik Derecesi olarak adlandırılırken, ISA (Internal Security Assessor) Dahili güvenlik derecesi anlamına gelir. Yapılan derecelendirmeler, bir dış denetim mekanizması oluşturarak, güvenlik seviyenizin tarafsız bir biçimde değerlendirilmesi için uygulanmaktadır.
İlgili İçerik; Ödeme Sistemi Entegrasyonları
İlgili İçerik; Sanal Pos Hakkındaki En Kilit 5 Başlık
PCI DSS Güvenlik Politikalarının Kapsamı Nedir?
Günümüzde gelişen e-ticaret sektöründe online ödeme sistemlerinin küresel çapta korunmaya alınmasını sağlayan Ödeme Kartları Sektörü Veri Güvenliği Standartları ödemelerin güvenle yapılmasını sağladığı gibi kart bilgilerinin de güvenle saklanmasını sağlayan çeşitli prosedürler içermektedir.
PCI DSS’nin hangi amaçlar etrafında toplandığında ilişkin bazı başlıkları aşağıda açıkladık.
Sağlam güvenlik duvarlarıyla sahteciliğin önlenmesi: PCI DSS güvenli bir ağ sistemi için şirketlerin güvenlik duvarı oluşturmaları konusunda destekler. Şirketler güçlü güvenlik duvarları sayesinde sahtecilik, dolandırıcılık gibi güvenlik tehditlerinin önüne geçmektedir.
Kart sahibi bilgilerinin korunması: Dijital şifreleme, tüm kredi kartı işlemlerinde özellikle de e-ticaretin kilit noktasıdır. PCI DSS kart sahiplerinin; şifreler, doğum tarihi, anne kızlık soyadı, telefon numaraları ve posta adresleri gibi kişisel bilgilerin güvenle saklanması için yol haritası sunmaktadır. Böylece PCI DSS uyumlu şirketler kötü niyetli kişilerin eline geçmesi korunurken güvenlik açıklarının da önüne geçmektedir.
Güvenlik süreçlerinin ve güncellemelerinin sorunsuz yürütülmesi: Tüm güvenlik önlemlerinin ve süreçlerinin yerinde olduğundan, düzgün çalıştığından ve güncel tutulduğundan emin olmak için ağlar sürekli olarak izlenmeli ve düzenli olarak test edilmelidir. Örneğin, virüsten koruma ve kötü niyetli yazılımdan koruma programları en güncel programlarla sağlanmalıdır.
Güvenlik politikasının tüm uyumlu kuruluşlar tarafından uygulanması: PCI DSS uyumlu kuruluşlar resmi bilgi güvenliği politikası ve prosedürlerini uygulamalıdır.
İlgili İçerik; Firewall (Güvenlik Duvarı) Nedir, Nasıl Çalışır ve Neden Önemlidir?
PCI DSS Denetimleri Nelerdir?
PCI DSS uyumlu şirketlerin tam donanımlı bir koruma için yapması gereken bazı düzenlemeler mevcuttur. Yukarıda kapsamından bahsettiğimiz PCI DSS güvenlik politikaları kapsamında şirketlerden beklentileri mevcuttur. Aşağıda birkaçını maddeler halinde açıkladık.
- Güvenli ağları ve sistemleri korumak, kart sahibi verilerini korumak için güvenlik duvarlarının kurulması.
- Varsayılan veya satıcı tarafından sağlanan cihaz güvenlik yapılandırmalarını değiştirilmesi
- Ödeme kartı ve kart sahibi verilerini korunması
- Saklanan kart sahibi verilerinin de şirket sunucularında korunmasının sağlanması
- Kart sahibi verilerini korumak için virüsten koruma yazılımlarının güncellenmesi
- Tüm uygulamalarda güvenli protokoller ve davranışlar geliştirilmesi
- Kimlik ve erişim yönetiminin korunması
- Kart sahibi verilerine tüm erişimin kimliği doğrulanmış kullanıcılarla sınırlanması
- Ağ trafiğinin ve etkinliğinin düzenli olarak kontrol edilmesi
- Ağ kaynaklarına, özellikle kart sahibi verilerine erişimin izlenmesi Mevcut güvenlik sistemlerinin ve süreçlerinin etkinliğinin düzenli olarak değerlendirilmesi Güvenlik politikasına uyulması ve sürdürülmesi
İlgili İçerik; E-ticaret Ödeme Sistemleri Hakkında 3 Önemli Başlık
PCI DSS Uyumluluğu Nedir?
PCI DSS uyumluluğu olan kuruluşlar e-ticarette güvenli ödemeyi garanti eden hem işletme hem de tüketici güvenliğini sağlayan bir süreç olarak karşımıza çıkmaktadır. PCI DSS uyumluluğu olan kuruluşların e-ticarette sunduğu güvencelerden birkaçını şöyle sıralayabiliriz;
Ödeme Güvenliği: Ödeme hizmetleri ve çözümleri sunan kuruluşlar PCI DSS uyumlu altyapısı sayesinde online ödeme hizmetlerinde, kart ve kişisel verilerin korumasını büyük bir titizlikle sağlamaktadır.
Sahteciliğin önüne geçme: Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumlu olan kuruluşlar online ödemelerde dolandırıcılığın ve sahteciliğinin maksimum düzeyde önüne geçmektedirler. Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumlu teknik altyapısı olan ödeme kuruluşları çok sayıda filtreleme özelliği ile güvenliği en üst seviyede tutmaktadır.
Kart güvenliğini sağlama: SSL sertifikalı ödeme sayfaları PCI DSS uyumluluğu ile birlikte 7/24 güvenli bir ortamda kartlı ödemelerle online olarak ödemelerini gerçekleştirmektedir.
PCI DSS Sertifikası Nasıl Alınır?
PCI DSS politikası standartlarının hazırlandığı bankalar tarafından yakından takip edilmektedir. İlgili prosedür ve politikalara uyup uyulmadığı sürece kontrole tabi tutulmaktadır. Böylece her daim hem yerel hem de küresel çapta kartlı online ödemelerde güvenli bir ödeme ortamı oluşturulmaktadır.
PCI DSS uyumluluğuna sahip olmak için PCI DSS sertifikası adı altında bir uyumluluk sertifikası alınmalıdır. Öncelikle uygunluk onay formu doldurulmalıdır. Doldurulan formdan sonra başvurunuz değerlendirmeye alınmaktadır. Bu form uyarınca sisteme dahil olmak isteyen işyeri ya da e- ticaret şirketi sahipleri üç aylık periyotlarla gerçekleştirilen bir ağ taramasına tabi tutulmaktadır.
İşletme özelliklerine göre PCI DSS başvuru değerlendirme segmentleri değişiklik göstermektedir. Sertifikalara bakıldığında; PCI DSS level 1, QSA (Qualified Security Assessor), ISA (Internal Security Assessor) gibi değerlendirmeler yapılmaktadır.
İlgili İçerik; SSL Sertifikası Nedir, Ne İşe Yarar?
PCI DSS Sertifikası E-ticaret Siteleri için Neden Önemlidir?
Ödeme Kartları Sektörü Veri Güvenliği Standartları uyumluluğu olan işletmeler, online ödeme yapan tüketicilere güvenli bir ortamda alışveriş yapma imkanı sağlamaktadır. PCI-DSS politikası küresel alanda güvenli sistemler sunduğundan işletmelere e-ticaret ve e-ihracat konusunda dönüşümlerini ve büyümelerini artırmada katkılar sunmaktadır.
İlgili İçerik; Sanal Pos Nasıl Alınır?
PCI-DSS Sertifikalı Ticimax ile Ödemeleriniz Güvende!
Ticimax, tüketicilerin online ödeme verilerini her durumda ve koşulda korumayı garanti etmektedir. Gelişmiş yazılım altyapısı ve e-ticaret çözümleri sunan Ticimax, uluslararası standartlardaki PCI DSS Level 1,ISO 22301:2019, ISO/IEC 27001:2013 ve ISO/IEC 20000-1 :2011 sertifikalarına sahiptir.
Aralarında; American Express, MasterCard Worldwide, Visa, Discover Financial Services gibi üyeleri bulunan bir konsey tarafından geliştirilen Ödeme Kartı Sektörü Veri Güvenliği Standardı ile uyumlu olan Ticimax, hizmet verdiği işletmelerin ödeme işlemlerini koruma altına almasını sağlamaktadır.
Ticimax ile çalışmak istiyorsanız demo talep formunu doldurabilir ve 15 günlük deneme süresinin ardından e-ticarette doğru adımlar atabilirsiniz. Ticimax ile ilgili daha fazla haber almak için Ticimax’ı Youtube, Instagram, Facebook ve Twitter üzerinden takip edebilirsiniz. Ayrıca 15 gün ücretsiz inceleme yapabilmek için e-ticaret demo formunu doldurabilirsiniz.
Bu İnternet Sitesi içeriğinde yer alan tüm eserler (yazı, resim, görüntü, fotoğraf, video, müzik vb.) TİCİMAX BİLİŞİM TEKNOLOJİLERİ A.Ş.’ye ait olup, 5846 sayılı Fikir ve Sanat Eserleri Kanunu ve 5237 sayılı Türk Ceza Kanunu kapsamında korunmaktadır.
