PCI DSS, Payment Card Industry Data Security Standard ifadesinin kısaltması olup, Türkçe’ye Ödeme Kartları Endüstrisi Veri Güvenliği Standartları olarak geçmiştir. Dünya genelinde kullanılan bu standart sayesinde, kart ödemelerinin güvenli bir şekilde yapılması, sahtecilik ve dolandırıcılık işlemlerine karşı etkin bir koruma sağlanmaktadır. Visa, Master Card, American Express ve JCB’nin yer aldığı PCI SSC adı verilen konsey tarafından kurulmuş olan bu sistem teknik ve operasyonel bir sistemdir.

PCI DSS, Ocak 2012 tarihi itibari ile 2.0 versiyonuna geçmiştir. 12 gereksinim ve 6 ana başlık altında aşağıdaki gibi gruplanmaktadır.

Güvenli iletişim ağının oluşturulması ve idamesiyle ilgili gereksinimler

Gereksinim 1
Güvenlik duvarının kurulumu ve idamesi; Kart sahibi ortamların iç ve dış ağlardan ve diğer sistemlerden güvenlik duvarı ve sıkı erişim kuralları ile ayrıştırılması. Güvenlik duvarı ve yönlendiricilerin yönetimi ile ilgili süreçlerin tanımlanarak yazılı hale getirilmesi.

Gereksinim 2
Üretici tarafından belirlenmiş ön tanımlı kullanıcı kodu/parolaların ve güvenlik parametrelerinin kullanılmaması; Tüm sistemlerin kurulum ve yapılandırma süreç ve standartlarının endüstri standartlarına uygun olarak belirlenmesi, uygulanması ve yazılı hale getirilmesi.

Kart sahibi bilgilerinin/verilerinin korunmasıyla ilgili gereksinimler

Gereksinim 3
Depolanan bilginin korunması; kart sahibi bilgilerinin güvenli olarak işlenmesi, saklanması ve yok edilmesiyle ilgili süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Hassas verilerin doğrulama sonrasında hiçbir şekilde sistemlerde saklanmaması. 16 haneli kart numarasının yetkilendirilmiş kişiler dışında tam olarak okunamaması ve okunamaz formatta saklanması. Kart sahibi verilerinin kriptolu olarak saklandığı durumlarda anahtar yönetimi süreçlerinin belirlenerek yazılı hale getirilmesi.

Gereksinim 4
Paylaşılan ve açık ağlarda, kart sahibinin bilgilerinin şifrelenerek gönderilmesi; Kart sahibi verilerinin genel ağlar (internet) üzerinden güvenli şekilde iletilmesi için süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Son kullanıcı mesajlaşma programlarıyla şifresiz kart sahibi verilerinin iletilmesinin engellenmesi.

Zafiyet Yönetimi Programının kurulmasıyla ilgili gereksinimler

Gereksinim 5
Anti-virüs yazılımın kullanılması ve sürekli güncellenmesi; Anti-virüs yazılımlarının kurulabileceği tüm sistemler üzerine kurulması, otomatik güncelleme, ayarlanmış tarama, merkezi yönetim yapılması ve kayıtların bir yıl süreyle saklanması.

Gereksinim 6
Güvenli sistem ve uygulamaların geliştirilmesi ve bakımı; Sistem ve uygulamaların yama yönetim, değişiklik yönetim süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Tüm uygulamalar için geliştirme, test ve değişiklik süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Uygulama ve değişiklikler üzerinde kod analizi yapılması. Web tabanlı uygulamalarda OWASP’a uygun geliştirme ve test süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Internet üzerinden erişilebilen web tabanlı uygulamalara uygulama zafiyet taraması yapılması veya web uygulama firewall ile korunması.

Kuvvetli erişim denetimi önlemlerinin uygulanmasıyla ilgili gereksinimler

Gereksinim 7
Yalnız iş için gerekli olan bilgiye erişim prensibine göre erişimin kısıtlanması (business need-to-know); Kart sahibi bilgisine erişimlerin sadece iş ihtiyacına uygun olarak ve yönetimin imzalı onayıyla verilmesi. Tüm erişimlerin iş gerek ve ihtiyaçları ile sınırlandırılması. Sınırlandırmada otomatik erişim kontrolü yapılması ve özellikle izin verilmeyen tüm erişimlerin yasaklanması.

Gereksinim 8
Her bilgisayar kullanıcısına tek bir kullanıcı ID atanması; Tüm sistemlerdeki kullanıcı hesaplarının yönetim süreçlerinin belirlenmesi, uygulanması ve sorumlulukların yazılı hale getirilmesi. Şifre yönetimi ve erişim yönetimi parametrelerinin uygun şekilde yapılandırılması.

Gereksinim 9
Kart sahibi bilgisine fiziksel erişimin kısıtlanması; Kart sahibi bilgisine fiziksel erişimlerin iş ihtiyaçları ile sınırlandırılması. Kart sahibi bilgisine yapılan fiziksel erişimlerin izlenmesi ve raporlanması. Ziyaretçi yönetim sürecinin belirlenmesi, uygulanması ve yazılı hale getirilmesi.

Düzenli olarak iletişim ağının izlenmesi ve test edilmesiyle ilgili gereksinimler

Gereksinim 10
Ağ kaynaklarına ve kart sahibi bilgisine erişimin takibi ve izlenmesi; Kart sahibi bilgisine yapılan tüm erişim ve sorguların kaydedilmesi. Yapılan erişim ve sorgulardaki kaynak bilgileri ve hangi işlemlerin yapıldığı gibi detayların kaydedilmesi. Sistemler üzerinde gerçekleşen şüpheli işlemleri belirlemek üzere tüm sistem kayıtlarının günlük olarak analiz edilmesi. Tüm kayıtların güvenli ve değiştirilemez olarak 1 yıl süreyle saklanması.

Gereksinim 11
Güvenlik sistemlerin ve süreçlerin düzenli olarak test edilmesi; Tüm sistemlerin ve kablosuz ağların periyodik olarak izlenmesi, test edilmesi ve uygunsuzlukların giderilmesi. Tüm sistemlerdeki zafiyetlerin iç ağ ve dış ağdan her 3 ayda bir taranması. Dış ağ taramalarının Yetkili Tarama Sağlayıcılarına (ASV) yaptırılması. Tarama işlemlerinin önemli bulgular giderilene kadar tekrarlanması. Tüm uygulama ve ağlara, iç ve dış ağdan sızma testi yapılması ve önemli bulgulara karşı önlemlerin alınması.

Bilgi Güvenliği Politikasının işlerliğinin sağlanmasıyla ilgili gereksinim

Gereksinim 12
Bilgi güvenliğini adresleyen bir politikanın bulunması; Risk analizi yapılması. Risk analizi sonucuna göre bilgi güvenliği dokümanlarının hazırlanması ve uygulamaya alınması. Tüm operasyonel süreçlerin yazılı hale getirilmesi ve uygulanması. Servis sağlayıcılardan alınan hizmetlerin güvenlik ve kalitelerinin ölçüm metotlarının belirlenmesi ve raporlanması. Acil durum planlarının oluşturulması ve uygulanması.

 

get roman.com men sexual health clinic bangkok does viagra make you harder nursing sexual health stay useless tab are erectile dysfunction drugs covered by health insurance natural remedy for erectile disfunction the most powerful sex enhancement pill for men ftc male enhancement pills all male enhancement products watch big black dicks cialis and heart attack hgh and trt penis enlargement baolong pill how penis enlargement pills work that how it works are penis pills good for you penis enlargement oils which sex pills are the best for sex erectile dysfunction treatment that works every time flaccid vs erect size how long does an erection last with extenze how do i raise my testosterone levels is erectile dysfunction a side effect of phentramine growth hormone injection penis size kaiser permanente cialis cost subliminal message penis growth growth flex review coconut oil for sex drive sexual stamina test porn drug option designed to boost low male sex drive erectile dysfunction cured quitting cigarettes does alcoholics have a sex drive penis growth pills no scams sildenafil arrhythmia vitamin e testosterone booster vigrx plus in abu dhabi pharmacy tea boost your libido how soon to take cialis before sex penis inancment pills cause of low libido in females most effective medicine for erectile dysfunction vitamins to enhance female libido which birth control pills lower testosterone 10 best foods for sexual health cant get hard with new girlfriend doxepin erectile dysfunction breast enhancement pills that work fast how do you lose fat around your pubic area penis enlargement pills 2021 extreme testosterone gnc water pills and ed vawa sexual assault prevention ohio department of health average male erection size viagra dosage recommendation all natural sex girl masturbate to orgasm home remedy for erectile dysfunction for epilepsy wants you to jerk off