E-ticaretin endüstrisi için en önemli kavramlardan birisi güvenliktir. Kullanıcılar bir web sitesini ziyaret ettiğinde ilk olarak site güvenilir mi, kart bilgilerimi veya kişisel bilgilerimi vermem sorun olur mu vb. durumları düşünürler. İşte bu noktada American Express, Discover, JCB International, MasterCard ve Visa tarafından 2006 yılında PCI Security Standards Council (PCI Güvenlik Standartları Konseyi) kuruldu. Bu kuruluş tarafından firmalara PCI DSS (Payment Card Industry Data Security Standard) sertifikası verilir. Bu sertifikaya sahip firmaların güvenlik önlemlerini yüksek tutmaları ve belgelemeleri istenir.
PCI DSS (Payment Card Industry Data Security Standard) Nedir?
PCI DSS, Payment Card Industry Data Security Standard ifadesinin kısaltması olup, Türkçe karşılığı Ödeme Kartları Endüstrisi Veri Güvenliği Standartları ‘dır.
PCI DSS Sertifikasına Sahip Olmak İçin Hangi Şartlar Aranır?
PCI Security Standards Konseyi’nin web sitesi üzerinde belirtilen aşağıdaki şartları sağlamanız halinde PCI DSS başvurusu yapabilirsiniz.
PCI DSS Hedefler ve Şartlar / Gereksinimler
HEDEFLER | PCI DSS Gereksinimleri |
Güvenli Bir Ağ (Network) Oluşturun ve Bunu Sürdürün | 1- Kart verilerini korumak için bir firewall konfigürasyonu yükleyin ve bunu sürdürün. 2- Sistem şifreleri ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın. |
Kart Verilerini Koruyun | 3- Depolanan kart verilerini koruyun. 4- Kart verilerinin iletimini açık, genel ağlar karşısında şifreleyin. |
Bir Güvenlik Açığı Yönetim Programı Sağlayın | 5- Anti-virus yazılımı ve programları kullanın ve düzenli olarak güncelleyin. 6- Güvenli sistemler ve uygulamalar geliştirin ve bunu sürdürün. |
Güçlü Erişim Kontrolü Tedbirleri Uygulayın | 7- İşin ihtiyacı kadar bilinmesi gerekenler ile kart verilerine erişimi kısıtlayın. 8- Bilgisayar ile erişen her bir kullanıcıya benzersiz bir ID atayın. 9- Kart verilerine fiziksel erişimi kısıtlayın. |
Düzenli Olarak Ağlarınızı İzleyin ve Test Edin | 10- Ağ kaynaklarına ve kart verilerine olan tüm erişimi takip edin ve izleyin. 11- Düzenli olarak güvenlik sistemlerini ve işlemleri test edin. |
Bir Bilgi Güvenliği Politikası Sürdürün | 12- Çalışanlar ve anlaşmalı taraflar için bilgi güvenliğini ele alan bir politika sürdürün. |