Finansal işlemlerde kullanılan kredi kartı verilerinin güvenliğini sağlamak amacıyla oluşturulmuş PCI DSS standardının 3.2.1 versiyonu 31 Mart 2024 tarihinde sona ererek yerini 4.0 versiyonuna bıraktı. PCI DSS versiyonundaki değişim; mağazalar, işletmeler, e-ticaret siteleri gibi ödeme kartları ile ödeme kabul eden tüm sektörleri kapsamaktadır. Yeni versiyon ile birlikte 3.2.1 versiyonunun denetimleri 31 Mart itibariyle sona ermiştir ancak bu tarihten önce gerçekleştirilmiş olan denetimlerin geçerliliği hala devam etmektedir. Versiyon 4.0 değişen tehditlere adapte olmuş metotların kullanımı, güvenliği sürekli bir işlem haline getirmesi ve kuruluşların güvenlik hedeflerine ulaşabilmeleri için daha fazla esneklik sağlamaktadır. Bu yazımızda PCI DSS standardına göre uygulanması gereken denetimlere değiniyoruz.
Satıcı vs Hizmet Sağlayıcı
PCI DSS’nin amaçları doğrultusunda Satıcı, PCI SSC’nin beş üyesinden (American Express, Discover, JCB, MasterCard veya Visa) herhangi birinin logosunu taşıyan ödeme kartlarını mallar ve/veya hizmetler için ödeme maksadıyla kabul eden herhangi bir kuruluş olarak tanımlanır. Satılan hizmetlerin diğer satıcılar veya hizmet sağlayıcılar adına kart sahibi verilerinin saklanması, işlenmesi veya iletilmesiyle sonuçlanması durumunda, mallar ve/veya hizmetler için ödeme olarak ödeme kartlarını kabul eden bir satıcının da bir hizmet sağlayıcı olabileceğini unutmamak gerekir. Örneğin, bir İSS, aylık faturalandırma için ödeme kartlarını kabul eden bir satıcıdır, ancak aynı zamanda müşteri olarak satıcılara ev sahipliği desteği yapıyorsa bir hizmet sağlayıcıdır.
Hizmet Sağlayıcı ise ödeme markası olmayan, başka bir kuruluş adına kart sahibi verilerinin işlenmesi, saklanması veya iletilmesiyle doğrudan ilgilenen ticari kuruluştur. Buna, kart sahibi verilerinin güvenliğini kontrol eden veya etkileyebilecek hizmetler sağlayan şirketler de dahildir. Örnekler arasında, yönetilen güvenlik duvarları, IDS ve diğer hizmetleri sağlayan yönetilen hizmet sağlayıcıların (MSSP) yanı sıra barındırma sağlayıcıları ve diğer varlıklar yer alır. Bir işletmenin yalnızca kamuya açık ağ erişiminin sağlanmasını içeren bir hizmet sağlaması durumunda (örneğin, yalnızca iletişim bağlantısını sağlayan bir telekomünikasyon şirketi), diğer hizmetler için hizmet sağlayıcısı olarak kabul edilebilmesine rağmen, söz konusu kuruluş PCI DSS kapsamında hizmet sağlayıcı olarak kabul edilmeyecektir.
Satıcılar genellikle hizmet/çözüm sağlayıcının uyumluluktan sorumlu olduğunu düşünseler de ödeme kartlarını kabul eden herhangi bir satıcı, en azından hizmet sağlayıcılarının gereksinim 12.8’e uygunluğunu ve sorumluluklarını takip etmekten ve gereksinim 12.10.1’e uygun olarak bir olay müdahale planına sahip olmaktan sorumludur. Satıcı, tüm kart işlemlerini tamamen bir üçüncü tarafa devretmediği sürece, uygulaması gereken geçerli PCI DSS gereklilikleri olacaktır.
İşletme Seviyeleri
Seviye 1 üye işyerleri tüm kanallarda yılda 6 milyondan fazla işlem gerçekleştirmektedir.
Seviye 2 üye işyerleri tüm kanallarda yılda 1 milyon ile 6 milyon arasında işlem gerçekleştirir.
Seviye 3 işletmeler yılda 20.000 ile 1 milyon arasında çevrimiçi işlem gerçekleştirir.
Seviye 4 üye işyerleri yılda 20.000’den az çevrimiçi işlem gerçekleştirir veya toplamda yılda 1 milyondan az işlem gerçekleştirir.
Denetim Türleri
Kart sahibi verilerini işleyen, saklayan veya ileten her işletmenin çerçeveye uyması ve uyumluluğunu doğrulamak için yıllık bir PCI DSS değerlendirmesinden geçmesi gerekir.
Değerlendirmenin niteliği, Öz Değerlendirme (SAQ) den, Nitelikli Güvenlik Denetçisi (QSA- Qualified Security Assessor) tarafından yerinde gerçekleştirilen tam PCI DSS denetimine kadar uzanır.
Bir PCI DSS değerlendirmesinin üç ana bölümü vardır:
- Öz Değerlendirme Anketi (PCI SAQ- Self-Assessment Questionnaire)
- Uyumluluk Onayı (PCI AoC- Attestation of Compliance)
- Uyumluluk Raporu (PCI RoC- Report on Compliance)
İşletme Seviyesi | SAQ | AoC | RoC |
1 | Not typically required | Required (accompanies RoC) | Required (Annual on-site assessment by a QSA. |
2 | Required (Annually) | Required (With SAQ) | Not usually required |
3 | Required (Annually) | Required (With SAQ) | Not usually required |
4 | Required (Annually, type varies based on payment environment) | Required (With SAQ) | Not usually required |
SAQ TÜRLERİ
A | Kart sahibi verilerinin işlenmesini tamamen üçüncü bir tarafa yaptıran şirketler içindir. Bunlara e-ticaret mağazaları, telefonla satışlar ve postayla sipariş şirketleri dahildir. SAQ A yalnızca bir şirketin kart sahibi verilerini kendi sistemlerinde veya tesislerinde saklamaması, işlememesi veya iletmemesi durumunda kullanılabilir. Yüz yüze kanallar için geçerli değildir. |
A-EP |
E-ticaret işletmesi, kart sahibi verilerini sistemlerinde saklamaz, işlemez veya iletmez. SAQ A-EP yüzeysel olarak SAQ A’ya benzer; her ikisi de ödeme sürecini dış kaynak kullanan e-ticaret işletmeleri için geçerlidir. Kritik fark, kart sahibi verilerinin satıcıdan ödeme işlemcisine akışı ve bu verileri kimin topladığıdır. Kart sahibi verilerinin ödeme işlemcisi tarafından toplanması durumunda SAQ A uygun olabilir. Örneğin siteniz, müşterileri bilgi girmeleri için ödeme sağlayıcısının sitesindeki bir sayfaya yönlendirir veya sağlayıcının sayfasını bir iframe’de görüntüler. Buna karşılık, mağazanız kart sahibi verilerini yerinde bir form aracılığıyla toplar ve ardından bunu JavaScript kodu veya başka bir araç aracılığıyla ödeme işlemcisine gönderiyorsa SAQ A-EP uygun olabilir. |
B | SAQ B, kredi kartı verilerini toplamak için pos cihazlarını veya terminallerini kullanan satıcılar içindir. Satıcı, kart sahibi verilerini saklamaz veya işlemez. SAQ B, e-ticaret kanalları için geçerli değildir ve yalnızca web üzerinden gerçekleştirilen diğer kredi kartı işlemlerinin çoğuyla ilgili değildir. |
B-IP | SAQ B-IP, ödeme sağlayıcısıyla IP bağlantısı olan PTS onaylı terminalleri kullanan satıcılar için geçerli olan SAQ B’nin bir varyasyonudur. SAQ B-IP, web üzerinden elektronik işlem yapan çoğu işletme için geçerli değildir. |
C | Telefon veya posta yoluyla kartsız kredi kartı ödemeleri ve satış noktası terminalleri aracılığıyla kartlı ödemeleri kullanan satıcılar için geçerlidir. Satıcı, kart sahibi verilerini elektronik olarak saklamaz ancak kâğıt üzerinde kayıtları olabilir. E-ticaret işletmeleri ile alakalı değildir. SAQ C, işletmenin kart sahibi verilerini elektronik olarak saklamaması, ancak bu verileri, diğer sistemlerine bağlı olmayan aynı cihaz veya LAN üzerindeki bir ödeme uygulama sistemi ve internet bağlantısı aracılığıyla bir ödeme işlemcisine iletmesi durumunda geçerlidir. |
C-VT | PCI DSS onaylı bir üçüncü taraf hizmet sağlayıcı tarafından sağlanan ve barındırılan İnternet tabanlı ve yalnızca kredi kartı işlemleri için kullanılan bir cihazda sanal terminal çözümüne arayüz (klavye) aracılığıyla tek seferde tek bir işlemi manuel olarak giren işletmeler içindir. Elektronik kart sahibi verileri depolanmaz. E-ticaret kanalları için geçerli değildir. |
P2PE-HW | Yalnızca doğrulanmış, PCI SSC onaylı P2PE (noktadan noktaya şifreleme) donanım ödeme terminali kullanan, bu çözüm aracılığıyla yönetilen, elektronik kart sahibi veri depolaması olmayan donanım ödeme terminallerini kullanan işletmeler içindir. E-ticaret kanalları için geçerli değildir. |
D | Satıcılar için SAQ D: Yukarıdaki SAQ türlerine ilişkin açıklamalara dahil olmayan tüm satıcılar. Hizmet Sağlayıcılar için SAQ D: Bir ödeme markası tarafından SAQ’yu doldurmaya uygun olarak tanımlanan tüm hizmet sağlayıcılar. Kapsamı daraltılmış SAQ’ları yalnızca Satıcılar kullanabilirken Hizmet Sağlayıcılar, kapsamı daraltılmış SAQ’ya ilişkin diğer tüm kriterleri karşılasalar bile, her zaman SAQ D’nin özel hizmet sağlayıcı sürümünü kullanmalıdır. |
PCI SAQ SPOC Nedir?
PCI DSS 4.0 geçiş son tarihi 01 Nisan 2024 geldi ve buna eşlik eden yeni bir tür azaltılmış kapsamlı öz değerlendirme anketi SAQ SPoC artık gündeme gelmiş bulunmaktadır. İşletmeler akıllı telefona veya tablete bağlı bir cihaz aracılığıyla ödeme kartlarını kabul ediyorsa bu durumda bu SAQ’nun kullanılması gerekmektedir.
SPoC, Software-based PIN entry on COTS kelimelerinin kısaltmasıdır. COTS’ta rafta hazır ticari ürünler aracılığıyla yazılım tabanlı PIN girişi anlamına geliyor. Bu, ticari kullanıma hazır (COTS) cihazlara bağlanan Güvenli Kart Okuyucu-PIN (SCRP) cihazlarını, yani tablet veya akıllı telefon gibi bir cihazla kullanılan özel türde kart okuma cihazlarını ifade etmektedir. SPoC cihazlarını kullanan satıcılar için çok az gereksinim vardır ancak bunların yine de karşılanması gerekir.
Çoklu ödeme kanalları için, bir satıcının her ödeme kanalı için farklı bir SAQ’yu doldurması veya tüm kanalların birleştirilmiş tüm gereksinimlerine hitap eden tek bir SAQ’nun (D) kullanılması mümkün olabilir. Farklı SAQ’lar kullanılırsa, her kanalın ilgili SAQ’ya yönelik uygunluk kriterlerini karşılaması ve farklı kanalları izole etmek için yeterli ağ bölümlendirmesinin mevcut olması gerekir. Birden fazla ödeme kanalı olan satıcılar, SPoC çözümüne sahip olsalar bile SAQ D’yi kullanmalıdır. Tüm SAQ’lardan elde edilen bulgular daha sonra SAQ D’lerinde birleştirilebilir.
SAQ P2PE, kartla yapılan işlemlerin kapsamını en aza indirmeye yönelik standart olmakla birlikte SAQ SPoC’de SAQ P2PE’de olmayan tek bir ek gereksinim vardır ve bu, COTS cihazındaki şifrelerle ilgilidir. Hem SAQ SPoC hem de SAQ P2PE’de kalan gereksinimler, cihazların kurcalamaya yönelik izlenmesi, üçüncü taraf hizmet sağlayıcıların izlenmesi ve yönetimi, Olay Müdahalesi ve (çoğu satıcının sahip olmadığı) kâğıt kayıtların işlenmesiyle ilgilidir.
Bir satıcının SAQ SPoC kullanmasına yönelik yeterlilik kriterleri şunlardır:
- Tüm ödeme işlemleri yalnızca kartın mevcut olduğu bir ödeme kanalı aracılığıyla gerçekleştirilir.
- Tüm kart sahibi verileri girişi, PCI SSC tarafından onaylanan ve listelenen doğrulanmış bir SPoC çözümünün parçası olan bir SCRP aracılığıyla yapılır;
- Satıcının SPoC ortamında hesap verilerini depolayan, işleyen veya ileten tek sistemler, PCI SSC tarafından onaylanan ve listelenen doğrulanmış bir SPoC çözümünün bir parçası olarak kullanılan sistemlerdir;
- Satıcı, hesap verilerini elektronik olarak almaz, iletmez veya saklamaz;
- Bu ödeme kanalı üye iş yeri ortamındaki başka hiçbir sisteme/ağa bağlı değildir;
- Satıcının elinde tutabileceği her türlü hesap verisi kâğıt üzerindedir (örneğin basılı raporlar veya makbuzlar) ve bu belgeler elektronik olarak alınmaz;
- Satıcı, SPoC Çözüm Sağlayıcısı tarafından sağlanan SPoC kullanıcı kılavuzundaki tüm kontrolleri uygulamıştır.
PCI AOC Nedir?
PCI Uyumluluk Onayı (AoC), bir kuruluşun PCI DSS standartlarına bağlılığının belgelenmiş bir onayıdır. Bir Öz Değerlendirme Anketini tamamladıktan sonra kuruluş, öz değerlendirmenin doğruluğunu ve uyumluluk durumunu doğrulamak için AoC’nin ilgili versiyonunu doldurur.
SAQ gibi AoC’nin birden fazla sürümü vardır. Kuruluşlar tamamladıkları belirli SAQ’ya karşılık gelen AoC’yi tamamlar.
Seviye 2-4 üye işyerleri kendi AoC’lerini tamamlayabilirken, bunun deneyimli bir PCI DSS uzmanı tarafından doğrulanmasını veya yönlendirilmesini seçebilirler. Seviye 1 satıcılar için genellikle bir QSA uyumlulukları doğrular ve Uyumluluk Raporunu hazırlar.
PCI RoC Nedir?
PCI Uyumluluk Raporu (RoC), bir kuruluşun sistemlerini, güvenlik önlemlerini ve kart sahibi verilerinin korunmasını değerlendiren bir QSA tarafından hazırlanan kapsamlı bir belgedir. Seviye 1 satıcılar için gereklidir.
QSA, kapsamlı bir yerinde inceleme aracılığıyla kontrolleri inceler ve belgelendirir. Değerlendirme, özetlenmiş bir bulgu raporu ve nihai RoC ile sonuçlanır.
Her RoC, PCI SSC’nin RoC Raporlama Şablonu ile uyumlu olmalıdır.
Sonuç olarak;
PCI DSS 4.0 versiyonu ile birlikte gelen yeni güvenlik önlemleri değişen ve gelişen tehditlere karşı ödeme kartı bilgilerinin güvenliğini korumak için güncellenmiş ve daha kapsamlı bir standarttır. Kurum ve kuruluşların, yeni standarda uymak için gerekli adımları atmaları ve uyumluluklarını korumak için sürekli çaba göstermeleri önemlidir.
PCI DSS V4.0’ın getirmiş olduğu bazı önemli faydalar vardır. Daha güçlü kimlik doğrulama ve veri güvenliği kontrolleri sağlar, kart sahibi verilerinin korunmasına yardımcı olur. Aynı zamanda risk odaklı yaklaşımıyla birlikte, kuruluşların en kritik varlıklarını korumaya odaklanmalarına yardımcı olur. Bunlarla birlikte daha fazla esneklik sağlar. Farklı uyumluluk yöntemleri önerir, kuruluşların kendi ihtiyaçlarına en uygun çözümü seçmelerine olanak tanır.
Bu belgede, PCI DSS 4.0’ın temel unsurları ve işletmeleri etkileyen değişiklikler hakkında genel bir bilgi verilmiştir. Daha detaylı bilgi için aşağıdaki kaynaklara başvurabilirsiniz:
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.