PCI Uyumluluğu Hakkında Bilmeniz Gereken Her Şey

Çevrimiçi ödeme kabul etmek bazı riskler taşır. Güvensiz ağlardan ödeme bilgilerini çalmaya çalışan dolandırıcılar her zaman olacaktır, bu nedenle PCI uyumluluğu her zamankinden daha önemlidir.

Web siteniz üzerinden ödeme alıyorsanız, PCI uyumluluğunu ve bunun işletmeniz için ne anlama geldiğini anlamanız önemlidir. Bunu ciddiye almazsanız, müşterilerinizi ve işletmenizi gereksiz riske maruz bırakabilirsiniz.

Bir 2017 Verizon Veri İhlali Olay Raporu, o yıl neredeyse 42.068 veri güvenliği olayı olduğunu ortaya koydu. İşletmenizin bunlardan biri olmasına izin vermeyin.

Muhtemelen daha önce PCI uyumluluğunu duymuşsunuzdur, ancak ne olduğunu ve neden ilgili olduğunu bilmiyor olabilirsiniz. Bu yazıda, her şeyi sizin için açıklamak istiyoruz.

PCI DSS Nedir?

PCI DSS, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı anlamına gelir. İşletmelerin kredi kartı ödemelerini nasıl işlediğine ilişkin olarak PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından belirlenen bir dizi standarttır.

PCI SSC, büyük kredi kartı şirketleri tarafından kurulmuştur: Visa, MasterCard, American Express, Discover ve JCB. Başlangıçta, her birinin kendine özgü güvenlik standartları vardı, ancak 2006'da her şeyi standartlaştırmak için bir araya geldiler.

Girişimin amacı, kredi kartı numaraları dahil olmak üzere hassas tüketici bilgilerini korumaktır. Bu, tüketiciler için iyidir çünkü işletmelerin kişisel bilgilerini kötüye kullanma veya bilgisayar korsanları ve dolandırıcıların bunları çalma olasılığını azaltır. Ayrıca ödeme işleme endüstrisi için de iyidir çünkü ters ibraz ve ödenmemiş borç olasılığını azaltır.

PCI uyumluluğu bir yasa olmasa da, bu şirketlerden herhangi biriyle çalışmak istiyorsanız standartlara uymanız gerekecektir (ve kredi kartlarını işlemek istiyorsanız neredeyse zorunludur).

Hassas bilgi olarak ne kabul edilir? Birincil hesap numarası, kart sahibi adı, son kullanma tarihi, hizmet kodu, manyetik şerit verileri, çip, CAV2, CVC2, CVV2, CID, PIN'ler, PIN blokları ve işlem yapmak için kullandığınız diğer her şey.

PCI DSS, kart sahibi verilerini güvenli ve emniyetli bir şekilde kabul etmek, saklamak, işlemek ve iletmek için uymanız gereken 12 gereksinim belirlemiştir. *Tek birini* bile takip etmezseniz, uyumlu olmazsınız. Her gereksinim, bilgi güvenliğinin önemli bir bileşenini ele alır.

1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması kurun ve bakımını yapın.
2. Sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın.
3. Saklanan kart sahibi verilerini koruyun.
4. Kart sahibi verilerinin açık, genel ağlar üzerinden iletimini şifreleyin.
5. Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve antivirüs yazılımlarını veya programlarını düzenli olarak güncelleyin.
6. Güvenli sistemler ve uygulamalar geliştirin ve bakımını yapın.
7. İş ihtiyacına göre kart sahibi verilerine erişimi kısıtlayın.
8. Sistem bileşenlerine erişimi tanımlayın ve kimliklerini doğrulayın.
9. Kart sahibi verilerine fiziksel erişimi kısıtlayın.
10. Ağ kaynaklarına ve kart sahibi verilerine yapılan tüm erişimi izleyin ve takip edin.
11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.
12. Tüm personel için bilgi güvenliğini ele alan bir politika sürdürün.

Herhangi bir finansal işlem yaptığınızda, PCI uyumlu olmaktan sizin sorumluluğunuzdadır. Bu, telefonla kredi kartı kabul etmeyi de içerir.

Ek olarak, size yazılım veya hizmet sağlayan herhangi bir satıcının veya işe aldığınız herhangi bir şirketin veya kişinin de PCI uyumlu olduğundan emin olmak sizin görevinizdir.

Örneğin, kredi kartı ödemelerinizi işlemek için Stripe kullanıyorsanız, hizmetlerinin uyumsuz olduğunun tespit edilmesi halinde sorumlu tutulabilirsiniz. (Neyse ki, bu Stripe ile büyük bir risk değil, bu yüzden onları tavsiye ediyoruz.)

İşletmenizin büyüklüğünden bağımsız olarak, yılda yalnızca bir işlem yapsanız bile PCI uyumlu olmanız beklenir. Aksi takdirde ciddi yaptırımlarla karşı karşıya kalabilirsiniz.

En güncel bilgiler için her zaman PCI SSC web sitesini ziyaret etmek en iyisidir. Standartları düzenli olarak ve işletmenize bağlı olarak değişir, bu nedenle kendinizi güncel tutmak isteyeceksiniz. Satıcılar sayfasındaki içeriğin farkında olun.

PCI Satıcı Seviyeleri

İhtiyacınız olan güvenlik türü, yıllık ödeme sayınıza bağlıdır. Ne kadar çok işlem yaparsanız, bilgisayar korsanları ve kötü niyetli taraflar için o kadar çekici olursunuz, bu nedenle PCI uyumluluğu dört seviyeye ayrılmıştır:

Seviye 1, yıllık altı milyondan fazla işlem yapan satıcılar içindir. Onlar, Onaylı Tarama Satıcısı tarafından üç aylık ağ taramalarına ve Nitelikli Güvenlik Değerlendiricisi tarafından yıllık uyumluluk raporuna tabi tutulmak zorundadır. Ayrıca sızma testlerine de girmeleri gerekir.

Seviye 2, yıllık bir milyon ila altı milyon işlem yapan satıcılar içindir. Yıllık bir Kendi Kendine Değerlendirme Anketi (SAQ), Nitelikli Güvenlik Değerlendiricisi (QSA) tarafından yapılan bir yerinde değerlendirme, üç aylık bir ağ taraması ve sızma testine tabi tutulmaları gerekir.

Seviye 3, yıllık 20.000 ila bir milyon işlem yapan işletmeler içindir. Seviye 4, yıllık 20.000'den az işlem yapan işletmeler içindir. Her ikisinin de yıllık bir Kendi Kendine Değerlendirme Anketi, üç aylık ağ taraması ve birkaç başka gerekliliği yerine getirmesi gerekir. Çoğu işletme en düşük kategori olan dördüncü seviyeye girer.

Bazı durumlarda, PCI SSC belirli satıcıları işletmelerinin türüne (bazıları diğerlerinden daha yüksek risk taşır) veya geçmişte bir veri ihlali yaşamış olmaları durumunda daha üst sıralara yükseltir.

Uyumsuzluğun Cezaları

PCI standartlarına uyumlu değilseniz, veri ihlallerinden zarar görme riskini alırsınız. Kötü niyetli bir kişi müşterilerinizin ödeme bilgilerini ele geçirir ve hatalı ücretler oluşturursa, kredi kartı şirketleri yasa dışı masraflara katlanmak zorunda kalır, bu yüzden uyumsuzluğu çok ciddiye alırlar.

Ödeme markaları (Visa, MasterCard, American Express, Discover ve JCB), kendi takdirlerine bağlı olarak tüccarları, bankaları veya diğer ödeme işleme satıcılarını uyumsuzluk nedeniyle cezalandırabilir. Bu cezalar genellikle ayda 5.000 ila 10.000 ABD Doları arasındadır.

Ayrıca kart değiştirme maliyetlerini (kredi kartı kullanıcılarının hesapları veya kartları tehlikeye girdiğinde değiştirilmesi gerektiğinde) ve işletmeniz için maliyetli adli denetimleri ödemeniz de istenebilir.

Daha da kötüsü, müşterilerinizin dikkatsiz işlem nedeniyle yaşadığı parasal zararlardan hukuki olarak sorumlu tutulabilirsiniz. Bu, uyumluluğunuzdaki eksikliğin kişisel bilgilerini tehlikeye atması durumunda insanların kaybettikleri para için size dava açabileceği anlamına gelir.

Ayrıca, ödeme markalarının işletmeniz için ücretlerini artırma hakları vardır. Sizi çok fazla riskli görürlerse, sizinle iş yapmayı tamamen durdurabilirler. Kredi kartı markaları, ücret atama yöntemlerini kamuoyuyla paylaşmazlar, ancak adaletleri küçük işletmeler için oldukça zarar verici olabilir. Bu nedenle, PCI uyumlu olmanın ne anlama geldiğini ve olup olmadığınızı anlamanız çok önemlidir.

Ödeme Ağ Geçitleri

Çoğu tüccar, işlemleri ödeme ağ geçitleri aracılığıyla işler. Muhtemelen Stripe, PayPal, Authorize.net gibi isimleri tanıyorsunuzdur. Ağ geçitleri, kredi kartı bankalarına bağlanan ön uç platformlardır.

Bu, kredi kartı bankalarıyla bireysel anlaşmalar yapmanız gerekmediği anlamına gelir. Bir ağ geçidiyle çalıştığınızda, onlara verdiğiniz girdileri (müşterilerin ödeme bilgilerini) alırlar ve bu verileri uygun bankaya yönlendirirler. Ayrıca herkesi koruyan bir dizi dolandırıcılık tespiti aracı sağlarlar.

İşte küçük bir iyi haber: Bir ödeme ağ geçidi kullanıyorsanız, büyük olasılıkla zaten PCI uyumlusunuzdur çünkü ağ geçidi sizin uyumlu olmanızı sağlar. Tüm iş modelleri, kredi kartı markalarıyla iyi bir ilişkiye dayanır, bu nedenle *hiçbir* risk almazlar. Örneğin, Stripe, belirli işletmelerin platformlarını kullanmalarını kesinlikle yasaklar çünkü bu işletmeler yüksek risk taşır.

Ayrıca, bir ağ geçidi kullanmak, onların itibarından yararlanabileceğiniz anlamına gelir. Örneğin, doğrudan Mastercard ile bir anlaşma yapmaya çalışsaydınız, bu pahalı olurdu çünkü Mastercard'ın size güvenmek için pek bir nedeni olmazdı.

Ancak Stripe gibi bir ağ geçidi kullanırsanız, Mastercard'ın müşterisi siz olmazsınız. Mastercard'ın müşterisi Stripe'tır ve Mastercard, milyonlarca başarılı işlemi birlikte işledikleri için Stripe'a güvenir. Bu, Stripe'ın sizin asla elde edemeyeceğinizden daha iyi bir oran alması anlamına gelir.

Bir ödeme ağ geçidi kullanmak, PCI uyumluluğunu görmezden gelebileceğiniz anlamına mı geliyor? Kesinlikle hayır.

Ağ geçidiyle ilgisi olmayan birçok şekilde PCI uyumluluğunu ihlal edebilirsiniz. Örneğin, müşterilerinizin kredi kartı bilgilerini bir kağıda yazıp duvara bantlarsanız, PCI standartlarını ihlal etmiş olursunuz, ancak ağ geçidinin sizi korumasının hiçbir yolu yoktur.

PCI Uyumluluk Standartları Değişir

Ne yazık ki veri hırsızları, bilgisayar korsanları ve kötü niyetli taraflar yaratıcı ve sofistike. Kendimizi koruyabildiğimiz kadar hızlı bir şekilde yöntemlerini yeni güvenlik teknolojilerine uyarlıyorlar.

Yani PCI uyumluluğu hakkında bilmeniz gereken son şey şu: Standartlar sürekli değişir. Bugün kabul edilebilir olan yarın işe yaramayabilir. Kendi ödeme işleminizi yönetiyorsanız, kendinizi savunmasız bırakmamak için değişikliklerden haberdar olmanız çok önemlidir.

Bir ödeme işlemcisi (Stripe, PayPal, Authorize.net vb. gibi) kullanıyorsanız, işlemci sizi uyumlu tutacaktır (bu özelliklerinden biriyse), ancak değişen manzarayı anlamak yine de iyidir.