PCI-DSS Uyum Danışmanlık Hizmeti

Kredi kartı bilgisinin güvenliğine yönelik olarak hazırlanmış olan PCI-Veri Güvenliği Standardı, kart bilgisinin saklanması, işlenmesi ve transfer edilmesi aşamalarını düzenleyici kuralları ve standartları tanımlar.

Yıllık kredi kartı işlem adedine göre farklı yol haritaları ve denetim aşamaları olan PCI-DSS süreçlerinin şirketinize uygulaması için deneyimli uzmanlarımızla denetim ve danışmalık hizmetleri vermekteyiz.

Hizmet kapsamında GAP analizi çalışması ile yaparak standart maddelerine uyumsuz olan temel konular belirlenir.Kurumların PCI-DSS sertifikasyon denetimine girmeden yapması gereken yatırım ve çalışmaları daha net görebilmeleri için yol haritasını çıkartılarak, standart maddelerine uyum için gereken çalışmaların planlaması yapılır.

PCI-DSS Sertifikasyon süreci 3 aşamalı olarak

1. Analiz Aşaması

Kurumum kart işlemleri hangi kanallardan yaptığı,

Kart bilgisi verilerinin nasıl alındığı

Kart bilgilerinim nasıl işlendiği, saklandığı

Kart bilgilerinin korunmasına yönelik güvenlik tedbirlerinin analiz edilmesi

Standart maddelerine uyumsuzlukların raporlanması

2- Uygulama Aşaması

Eksik, işletilmeyen süreçlerin devreye alınması

Rapordaki uyumsuzluk maddelerinin iyileştirilmesi

Kart bilgilerinin azaltılması, tutulmasına gerek olmayan verilerin silinmesi

Güvenlik açıklıklarının kapatılması.

3- Belgelendirme Aşaması

PCI DSS standardı çerçevesinde, yıllık işlem sayılarına göre belgelendirme esasları uygulanır. Yıllık işlem sayısı standartlarda belirtilen limitlerin üzerinde olan firmalar için yerinde denetleme ve belgelendirme süreçleri uygulanır.

PCI-DSS 6 ana başlık altında toplanmış 12 temel kriterden oluşur.

I. Güvenli bir ağ alt yapısı kurmak

1- Kart bilgilerini korumak için güvenlik duvarı konumlandırılması ve yapılandırılması
2- Sistemde yer alan hiçbir yazılım ve donanımda ön tanımlı parolanın kullanılmaması

II. Kart sahibi verileri korumak

3- Kart bilgilerinin güvenli şekilde saklanması
4- Genel ağlarda kart bilgilerinin şifreli olarak gönderilmesi

III. Güvenlik açıklıklarını tespit ve yönetim süreci oluşturmak

5- Düzenli olarak güvenlik yazılımlarının güncellenmesi
6- Güvenli sistem ve uygulama geliştirilmesi. Geliştirmenin süreklilik arz etmesi

IV. Etkin erişim kontrolleri uygulamak

7- İşletme tarafında kart bilgilerine erişim kısıtlamasının getirilmesi
8- Her kullanıcının kendine ait bir kullanıcı hesabının olması ve oturumu bu kullanıcı hesabı ile açması
9- Kart bilgilerine erişimin fiziksel olarak engellenmesi.

V. Düzenli olarak ağ güvenliğini izlemek ve test etmek

10- Kart bilgilerine ve ağa gelen tüm erişimlerin izlenmesi
11- Güvenlik sistemleri ve süreçlerin devamlı olarak test edilmesi

VI. Bilgi güvenliği politikası hazırlamak ve uygulamak

12- Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politikanın uygulanması.