PCI DSS Seviyeleri ve Öz Değerlendirme Formu (SAQ) Nedir?
PCI DSS (Payment Card Industry Data Security Standard), kuruluşların ödeme verileri ihlallerini ve ödeme kartı sahtekarlığını önlemesine yardımcı olacak bir dizi gereksinim içerir.
Ancak kuruluşunuz için gereksinimlerin düzenli olarak kontrol edildiğinde değişebileceğini biliyor muydunuz? Aslında, kuruluşun her yıl gerçekleştirdiği işlem sayısına göre belirlenen dört PCI uyumluluk düzeyi vardır.
Seviye 1: Yılda 6 milyondan fazla kart işlemi gerçekleştiren tüccarlar (merchants).
Seviye 2: Yılda 1 ila 6 milyon işlem gerçekleştiren tüccarlar.
Seviye 3: Yılda 20.000 ila 1 milyon işlem gerçekleştiren tüccarlar.
Seviye 4: Yılda 20.000'den az işlem gerçekleştiren satıcılar.
Bu seviyelerin PCI DSS uyumluluğuna yaklaşma şeklinizi nasıl etkilediğine bir göz atalım.
PCI DSS uyumluluğuna nasıl ulaşırız?
PCI DSS, büyük kart markaları (American Express, Discover, JCB, Mastercard ve Visa) arasındaki işbirliğinin bir sonucudur ve işlem süreçleri Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC) tarafından yakından izlenmektedir.
Amaç, kart ödemelerinin uygun koruma koşullarına sahip olmasını sağlamaktır — ve bunu başarmanın ilk adımı bir değerlendirmeyi (özellikler seviyenize göre değişir), üç ayda bir ağ taramasını ve Uygunluk Onayı Formunu (AoC) tamamlamaktır.
Seviye 1 kuruluşlar için değerlendirme yada denetim, bir QSA (Nitelikli Güvenlik Denetçisi) tarafından gerçekleştirilen bir dış denetimden oluşmalıdır. Aşağıdaki süreçleri içeren bir kapsamda kuruluşunuzun yerinde denetimini yapacaklardır:
- Denetim kapsamının belirlenmesi ve doğrulanması;
- PCI DSS süreçleri ile ilgili belgeleri ve teknik süreçlerin gözden geçirilmesi;
- PCI DSS gereksinimlerinin karşılanıp karşılanmadığını belirlenmesi;
- Uyum sürecinde destek ve rehberlik sağlamak; ve
- Telafi edici kontrolleri değerlendirmek.
Denetçi daha sonra uygunluğunu göstermek için kuruluşa bir RoC (Uyumluluk Raporu) sunacaktır.
PCI Düzey 2–4'teki kuruluşlar, bir dış denetim yerine bir öz değerlendirme anketi (SAQ) doldurabilir. Seviye 2 kuruluşları da bir RoC tamamlamalıdır.
Öz değerlendirme anketi (SAQ Formu)
Satıcı seviyenize ve ödeme kartı bilgilerini işleme şeklinize bağlı olarak birkaç farklı SAQ türü geçerlidir:
SAQ A: Tüm kart veri işlemlerini doğrulanmış üçüncü taraflara dış kaynak sağlayan satıcılar için. Buna e-ticaret işlemleri ve posta/telefon siparişi veren satıcılar dahildir.
SAQ A-EP: Ödeme işlemlerini dışarıdan temin eden ancak kendisine bağlanan web sitesinin yönetimini sağlamayan e-ticaret tüccarları için.
SAQ B: Kart sahibi verilerini almayan ancak verilerin bir üçüncü taraf ödeme işlemcisine yönlendirilme yöntemini kontrol eden e-ticaret tüccarları için.
SAQ B-IP: Kart sahibi verilerini elektronik biçimde depolamayan ancak IP bağlantılı etkileşim noktası cihazları kullanan üye işyerleri için. Bu tüccarlar, kartlı veya kartsız işlemleri gerçekleştirebilir.
SAQ C-VT: Kart sahibi verilerini bir bilgisayar sistemi yerine sanal bir ödeme terminali aracılığıyla işleyen üye işyerleri için. Bir sanal terminal, sanal terminal ödeme işleme işlevini barındıran üçüncü bir tarafa web tabanlı erişim sağlar.
SAQ C: İnternete bağlı ödeme uygulama sistemlerine sahip üye işyerleri için (elektronik kart sahibi veri deposu yok).
SAQ D: SAQ A–C türlerine dahil olmayan diğer tüm satıcılar için.
SAQ P2PE: Noktadan noktaya şifreleme kullanan satıcılar için. Bu nedenle, e-ticaretle uğraşan kuruluşlar için geçerli değildir.
Doğru SAQ’yu seçmeniz önemlidir çünkü her birinin ödeme kartı verilerinin işlenme şekline dayalı uyumluluk gereksinimleri vardır.
Peki biraz toparlamak gerekirse PCI DSS Seviyeniz “PCI DSS Uyumluluğunu Nasıl Etkiler?”
Kuruluşunuzun dört PCI uyumluluğu seviyesinden hangisinin altına düştüğüne bağlı olarak, uyumluluk yolculuğunuz değişebileceğini unutmayın.
Kuruluşunuz PCI Seviye 1 olarak kabul ediliyorsa, uyumluluğu doğrulamak için yıllık üçüncü taraf denetimlerinden geçmeniz ve onaylı bir tarama sağlayıcısı (ASV) tarafından yıllık ağ taramasından geçmeniz gerekir. PCI Seviye 1 kuruluşları, yıllık Uyumluluk Onayını (AoC) ve Uyumluluk Raporu’nu (RoC) bu denetim sonucunda almalıdır.
Kuruluşunuz bir PCI Seviye 2, 3 veya 4 olarak kabul edilirse, PCI DSS Öz Değerlendirme Anketini (SAQ) doldurmanız ve ayrıca bir ASV ile üç ayda bir ağ taramalarından geçmeniz gerekir. Bu süreç için QSA bir firmadan yada yetkili bir kuruluştan danışmanlık alabilirsiniz yada kuruluş içerisinde bulunan yetkin kaynaklardan (ISA, PCIP) kullanabilirsiniz.
“Kuruluşunuz PCI Seviye 2–3 olarak kabul edilirse ancak kart sahibi bilgilerini etkileyen bir veri ihlaline maruz kalırsa Visa yada diğer kart markaları, sizi PCI Seviye 1 gibi başka bir düzeyin gereksinimlerini karşılamaktan sorumlu kılarak sizi cezalandırmayı seçebilir.”
İşletmenizin 4 PCI uyumluluğu seviyesinden hangisine dahil olursa olsun veya ne tür bir satıcı olursanız olun, PCI uyumluluğunun sürdürülmesi en yüksek öncelik olmalıdır.
