E-ticaret için olmazsa olmaz kavramların başında gelen güvenlik, müşterileri alışverişe ikna etme sürecindeki etkisi ve sonrasında yaşanacak problemleri engellemesi nedeniyle oldukça önemlidir. Visa, Mastercard, American Express gibi finans kuruluşlarının bir araya gelerek oluşturdukları PCI DSS Veri Güvenliği Standartları, kart bilgilerini ve kişisel bilgileri korumak amacıyla gerçekleştirilmiştir. İnternetten güvenli alışveriş yapmak için belirlediği standartlar için farklı seviyelere göre sertifikalar vererek e-ticaret firmalarının güvenlik önlemlerini sıkı tutmalarını ve belgelemelerini sağlar.
Kredi kartıyla işlem yapan tüm üye iş yerleri ve bankalar için geçerli olan PCI DSS Sertifikası, kriterlerine uymayan firmaların kredi kartı ile satış yapma yetkisini durdurmaya gidebilecek yaptırımları uygulama gücüne de sahiptir.
PCI DSS Sertifikası Uyumluluk Sürecinde Hangi Adımlar İzlenir?
Dünyanın en itibarlı ve müşterilerin gözünde en önemli güvenlik sertifikası olan PCI DSS Sertifikasını almak için başvuruda bulunan firmalar, belli kriterleri karşılamak zorundadır ve uyumluluk sürecinde izlemesi gereken adımlar kesin çizgilerle ifade edilir. Uyumluluk süreci 3 aşamadan oluşur:
1- Analiz Aşaması
– E-ticaret firmalarının işlem yaparken kart ödemelerini nasıl işleme soktukları analiz edilir.
– Kart işlemleri sırasındaki sağlanan veri akışı tespit edilir.
– Kredi kartı bilgilerinin ve kişisel bilgilerin güvenli bir şekilde kullanılıp kullanılmadığı izlenir.
– Hangi bilgilerin hangi koşullarda saklandığının incelemesi yapılır.
– Kart bilgilerinin kopyalanması için var olan açıklar kontrol edilir.
2- İyileştirme Aşaması
– Gerekli görülen noktalarda iyileştirme çalışmaları yapılır.
– Kart bilgilerinin ve kişisel bilgilerin güvenliğini riske atacak açıklar kapatılır.
– Kart sahibi ile ilgilerin gerekli olmadıkça saklanmaması sağlanır.
3- Belgeleme
Verinin kullanımı, korunması, saklanması ve iletimi ile ilgili olarak geliştirilen PCI DSS, 6 ana kriter başlığı altında 12 temel koşuldan oluşur.
PCI DSS Uyum Sürecinde Siz Hangi Seviyedesiniz?
Güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilirler. Farklı seviyelere göre de uyum doğrulamayı gerektirecek farklı yollar belirlenir.
Visa ve Mastercard kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:
– Level 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
– Level 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
– Level 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
– Level 4: Yılda 20 binden az işlem yapılan firmalar.
PCI DSS Sertifikasını Bir Kere Almak Yeterli Mİ?
PCI DSS, bir kere alınınca yeterli görülen bir sertifika türü değildir. Farklı seviyelere göre farklı metot ve sıklıklarla belli dönemlerde resmi denetim kurumları tarafından incelenerek yeterlilikleri ve uyumlulukları değerlendirilir. PCI komitesi tarafından yetkilendirilmiş QSA (Qualified Security Assessor) ve ASV (Approved Scanning Vendor) firmalarının yaptığı bu denetimler, kriterlerin karşılanıp karşılanmadığını inceler.
Level 1 için resmi kurumlar tarafından yerinde denetim ve yılda 4 kez network taraması zorunluyken Level 2, 3 ve 4 için yılda 4 network taraması ve PCI uyumluluklarını kanıtlamak için SAQ (Self-Assessment Questionaire ) anketini doldurmak zorunludur.
PCI DSS Güvenlik Sertifikasına En Kolay Nasıl Sahip Olabilirsiniz?
Tüm bu kriterleri karşılamak ve değerlendirmelerden geçmek e-ticaret firmaları için önemli olmalarına rağmen oldukça da zahmetlidir. Oysa alternatif sanal POS uygulaması iyzico, üye iş yerlerine doğrudan PCI DSS Sertifikasını sunarak sizi büyük bir zahmetten kurtarır. iyzico’ya entegre olduğunuz andan itibaren otomatik olarak bu sertifikaya sahip olursunuz ve güvenli e-ticaret ile satışlarınızı arttırmak için hazır hale gelirsiniz.
