Ödeme Sistemleri Endüstrisinin (Payment Card Indstry – PCI) ortaya koyduğu veri güvenliği standardı (Data Security Standard – DSS) kredi kartı ile işlem yapan tüm kurumlara, uymaları gereken bazı kurallar getiriyor. Kısaca PCI DSS olarak bilinen bu standartlara uyumluluk bir gecede gerçekleşebilecek kadar kolay değil.
Farklı bölümlerin, farklı çalışma gruplarının üstlenmesi gereken PCI-DSS uyumluluk projelerinin başarılı olması için iyi bir planlama ve koordinasyon gereklidir. Peki, nereden başlamalı? Kredi kartı ve banka kartı kullanımına sorunsuzca devam edebilmek için PCI DSS uyumluluğu nasıl sağlanmalı? Gerekli araçlar ve kaynaklar nereden bulunmalı?
Kurumunuzda PCI DSS uyumluluğunu doğru şekilde gerçekleştirmek için belirlenmiş faaliyetler, önemli adımlar ve çıktıları üç fazda değerlendirebiliriz:
Şimdi gelin, bu üç fazı birlikte inceleyelim:
PCI-DSS uyumluluğu çalışmalarına iyi bir başlangıç yapmak, gap analizi (boşluk analizi,fark analizi, vb olarak da bilinir) yaparak mümkün olur. Gap analizi içinde aşağıdaki konuların ele alınması gereklidir:
PCI-DSS kriterleri ve PCI-DSS’in 12 temel alanı ile ilgili kurumun ne seviyede olduğunun tespit edilmesi ve hazırlık çalışmaları için kapsam analizi yapılması.
Lostar, PCI-DSS Gap Analizi ile ilgili çalışmalarınızı, hem danışmanlık, hem de denetim yaklaşımı ile destekler, bir yandan eksikleri ortaya koyarken, bir yandan da çözüm önerilerini geliştirerek ilerlemenizi ve doğru proje planını oluşturmanızı sağlar.
“PCI DSS Gap Analizi’nin tamamlanmasından sonra, sıra önceki aşamada ortaya konulan eksiklerin, proje plani çerçevesinde hayata geçirilmesine gelir.
Burada dikkat edilmesi gereken konulardan biri kuralların ve iş yapış biçimlerinin yazılı hale getirilmesidir. Bir çok kurumda, işin yapılmasında eksik olmadığı halde, PCI DSS uyumluluğu için hayati önem taşıyan gerekli politikalar ve prosedürler göz ardı edilir ve sorun yaşanır. Bu nedenle, şirket çapında yayınlanan ve tüm ilgili konuları içeren bir “Kurumsal Güvenlik El Kitabı” hazırlanması PCI DSS uyumluluğu için iyi bir yaklaşımdır. Lostar danışmanları, diğer konuların yanı sıra, bu dokümanların geliştirilmesine, şirketinize özel politika ve prosedürlerin oluşturulmasında yardımcı olabilir.
Lostar, politika ve prosedürlere ek olarak, PCI DSS uyumluluğu ile ilgili konularda ya da sorunlarda bir çok farklı konuda size destek olabilir. Ayrıntılar için lütfen bizimle bağlantıya geçin. Bu konuda belli başlı örnekler arasında, uygulama ve ağ katmanı cihazları ile ilgili olarak şartnamelerin (RFP) hazırlanması, ek güvenlik prosedürlerinin geliştirilmesi ve hayata geçirilmesi, kurum çalışanlarına yönelik farkındalık eğitimlerinin verilmesi sayılabilir. Her kurum ve kullanıcının birçok değişkene bağlı değişik ihtiyaçları ve gereksinimlerinin olması, “1.Aşama: PCI DSS Gap Analizi”nin ne kadar önemli olduğunun kanıtıdır.
Yapılan hazırlık aşamalarından sonra, yapılacak değerlendirme, başta planlananlarla, gerçekleştirilenler arasındaki farklılıkları, gözden kaçan, PCI DSS denetimi adına sorun olabilecek noktaların belirlenmesini sağlar. Burada çıkacak aksaklıkların düzeltilmesi ile PCI DSS raporlamasına ve gerekiyorsa denetimine hazır hale gelinir.
PCI DSS uyumluluğu için son onay (belgeleme) aşaması için bir raporlama ortamı ve ihtiyaçlar dahilindeki çıktılar ortaya konur. Uyumluluk PCI-DSS gereksinimleri ve kredi kartı işlem adedine bağlı olarak dış tarama ya da iç değerlendirme (QSA, ASV) ile gerçekleştirilir.
PCI-DSS yolculuğunuzda başarılar diliyoruz. PCI-DSS ile ilgili sorularınız için Lostar danışmanları ile bağlantıya geçebilirsiniz.