PCI (Payment Card Industry) DSS (Data Security Standard), diğer bilinen adıyla Ödeme Kartları Endüstrisi Veri Güvenlik Standardı, kredi kartı bilgilerinin işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. Visa, Master Card, American Express, Diner Club ve JCB’nin yer aldığı Payment Card Industry Security Standards Council (PCI SSC) adı verilen konsey tarafından kurulmuş olan bu sistem teknik ve operasyonel işlemler için sahip olunması gereken bir standarttır.
Verinin kullanımı, korunması, saklanması, provizyonu ve iletimi konuları için geliştirilmiş bir standart olan PCI-DSS; 6 ana kriter altında tanımlanan 12 temel maddeden oluşmaktadır:
A. Güvenli ve sürekli bir ağ alt yapısı kurmak
1- Kart bilgilerini korumak için güvenlik duvarı konumlandırılması ve yapılandırılması
2- Sistemde yer alan hiçbir yazılım ve donanımda ön tanımlı parolanın kullanılmaması
B. Kart sahibinin bilgilerini korumak
3- Kart bilgilerinin güvenli şekilde saklanması
4- Genel ağlarda kart bilgilerinin şifreli olarak gönderilmesi
C. Güvenlik açığı yönetimi oluşturmak
5- Düzenli olarak güvenlik yazılımlarının güncellenmesi
6- Güvenli sistem ve uygulama geliştirilmesi. Geliştirmenin süreklilik arz etmesi
D. Etkin erişim kontrolü uygulamak
7- İşletme tarafında kart bilgilerine erişim kısıtlamasının getirilmesi
8- Her kullanıcının kendine ait bir kullanıcı hesabının olması ve oturumu bu kullanıcı hesabı ile açması
9- Kart bilgilerine erişimin fiziksel olarak engellenmesi.
E. Düzenli olarak izlemek ve test etmek
10- Kart bilgilerine ve ağa gelen tüm erişimlerin izlenmesi
11- Güvenlik sistemleri ve süreçlerin devamlı olarak test edilmesi
F. Bilgi güvenliği politikası uygulamak
12- Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politikanın uygulanması.
Certby olarak, PCI DSS standardı çerçevesinde, uyum doğrulama gereksinimlerinde belirtilen periyotlarda, standartlara uygun biçimde denetleme ve PCI konseyi tarafından yetkilendirilmiş QSA’ler (Qualified Security Assessor) tarafından denetlenme belgelendirme işlemleri öncesi danışmanlık hizmetini veriyoruz.