PCI DSS nedir?
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kart sahibi verisi saklayan, işleyen veya ileten kuruluşlar için PCI Security Standards Council (PCI SSC) — Visa, Mastercard, American Express, Discover ve JCB tarafından kurulan — tarafından yönetilen küresel bilgi güvenliği standardıdır. Mevcut versiyon PCI DSS v4.0‘dır (Mart 2022); v3.2.1, 31 Mart 2024’te emekli oldu ve v4.0 gelecek-tarihli gereksinimleri 31 Mart 2025’te yürürlüğe girdi.
12 üst düzey gereksinim
- Güvenli ağlar kurun: güvenlik duvarları (G1), vendor varsayılan değerleri yok (G2).
- Kart sahibi verisini koruyun: depodan şifreleme (G3), iletimde şifreleme (G4).
- Zafiyet yönetimi: antivirüs (G5), güvenli geliştirme (G6).
- Erişim kontrolü: bilme-ihtiyacı (G7), benzersiz kimlikler (G8), fiziksel erişim (G9).
- İzleme: tüm erişimi logla (G10), düzenli test (G11).
- Bilgi güvenliği politikası: belgelenmiş program (G12).
Uyum seviyeleri
- Seviye 1: >6M işlem/yıl — QSA tarafından Report on Compliance (ROC).
- Seviye 2-4: kademeli Öz Değerlendirme Anketi (SAQ).
- Üç aylık ASV taramaları tüm internet-erişimli sistemler için.
v4.0 temel değişiklikler
- Özelleştirilmiş Yaklaşım: tanımlanmış kontrollere alternatif, hedeflenmiş risk analizi gerektirir.
- Oltalama-dayanıklı MFA: kart sahibi verisi ortamına tüm erişim için zorunlu.
- Hedeflenmiş Risk Analizleri: frekans-bazlı gereksinimler için belgelenmiş temel.
- Hizmet sağlayıcıları ve paylaşılan altyapı için artan üçüncü taraf denetimi.
Türk uygulamasında
Türk bankaları ve ödeme kuruluşları PCI DSS’i BDDK ve BKM (Bankalararası Kart Merkezi) gereksinimleriyle birlikte uygular. BDDK Bilgi Sistemleri Yönetimi Tebliği PCI DSS uyumunu örtük olarak şart koşar. Türk e-ticaret/SaaS şirketleri kart verisi işliyorsa PCI DSS gereksinimleri vendor (Stripe, Iyzico, Craftgate) seçimini büyük ölçüde belirler — vendor uyumu out-of-scope yapısı tercih edilir.
Yapın: kapsamı en aza indirmek için tokenizasyon ve üçüncü taraf PCI-uyumlu işleyiciler kullanın; yıllık SAQ/ROC’yi tamamlayın; v4.0 son tarihlerinden önce oltalama-dayanıklı MFA uygulayın.
Yapmayın: kesinlikle gerekli olmadıkça tam PAN saklamayın — maskeleme ve tokenizasyon kapsamı ve riski azaltır.