Şirket / Compliance / PCI-DSS
💳

PCI-DSS Uyumluluğu

Ödeme Kartı Sektörü Standardı

TRIAS, satıcıların, hizmet sağlayıcıların ve finans kurumlarının PCI-DSS uyumluluğunu sağlamasını mümkün kılar. Kart sahibi verilerini (CHD) ve hassas kimlik doğrulama verilerini (SAD) koruyun, 12 gereksinim genelinde güvenlik kontrolleri uygulayın ve ayda 5.000 dolardan 100.000 dolara kadar değişen cezalardan kaçının.

PCI Demosu Talep Edin Learn More
•••• •••• •••• 1234
100 bin $
Kaçınılan Aylık Cezalar

Maksimum ceza

12/12
Kapsanan Gereksinimler

Tam uyumluluk

%100
CHD Görünürlüğü

Tüm kart sahibi verileri izlendi

Gerçek Zamanlı
İhlal Tespiti

Anında uyarılar

PCI-DSS Gereksinimleri

6 kontrol hedefi genelinde 12 gereksinim

Ger 1-2: Güvenli Ağ

Güvenlik duvarı yapılandırmasını kurun ve sürdürün. Sistem parolaları ve güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın.

Ger 3-4: Kart Sahibi Verilerini Koruma

Depolanan kart sahibi verilerini koruyun. Açık, genel ağlar üzerinden kart sahibi veri iletimini şifreleyin.

Ger 5-6: Güvenlik Açığı Yönetimi

Sistemleri kötü amaçlı yazılımlara karşı koruyun. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün.

Ger 7-8: Erişim Kontrolü

İş ihtiyacına göre kart sahibi verilerine erişimi kısıtlayın. Sistem bileşenlerine erişimi tanımlayın ve doğrulayın.

Ger 9-10: İzleme ve Test

Kart sahibi verilerine fiziksel erişimi kısıtlayın. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi takip edin ve izleyin.

Ger 11-12: Güvenlik Politikası

Güvenlik sistemlerini düzenli olarak test edin. Tüm personel için bilgi güvenliği politikasını sürdürün.

PCI-DSS Uyumluluğu için TRIAS

Ödeme kartı güvenliği için tam veri koruması

01

Kart Sahibi Veri Keşfi (Ger 3)

Tüm sistemlerde PAN, CVV2, PIN verilerini otomatik olarak keşfedin. Depolama konumlarını, veri akışlarını, şifrelenmemiş kart sahibi verilerini belirleyin.

02

Veri Koruma Kontrolleri (Ger 3-4)

Durağan ve iletim halindeki kart sahibi verilerini şifreleyin. Güçlü kriptografi, anahtar yönetimi uygulayın. Yetkisiz depolamayı önleyin.

03

Erişim Kontrolü (Ger 7-8)

İş ihtiyacına göre erişimi kısıtlayın. Benzersiz kullanıcı kimlikleri, çok faktörlü kimlik doğrulama, rol tabanlı erişim kontrolü.

04

İzleme ve Günlük Kaydı (Ger 10)

Kart sahibi verilerine tüm erişimi takip edin. Kapsamlı denetim izleri, otomatik günlük incelemesi, güvenlik olayı ilişkilendirmesi.

12 PCI-DSS Gereksinimi

TRIAS her gereksinimi nasıl karşılar

Ger 1

Güvenlik Duvarları ve Ağ Güvenliği

Ağ DLP kart sahibi veri akışlarını izler. Ağ sınırları boyunca yetkisiz iletimi tespit edin.

Ger 2

Güvenli Yapılandırmalar

Dosyalardaki varsayılan parolaları izleyin. CHD veya kimlik bilgilerini içeren yapılandırma dosyalarını tespit edin.

Ger 3

Depolanan CHD'yi Koruma

PAN'ı, izleme numaralarını keşfedin ve sınıflandırın. Depolanan kart sahibi verilerini otomatik şifreleyin. Yetkisiz depolamayı önleyin.

Ger 4

İletimleri Şifreleme

Şifrelenmemiş PAN için e-posta, web, dosya transferlerini izleyin. CHD iletimlerini otomatik olarak engelleyin veya şifreleyin.

Ger 5

Kötü Amaçlı Yazılım Önleme

Antivirüs sistemleri ile entegre olun. Kötü amaçlı yazılımların kart sahibi verilerine erişmesini veya sızıntı yapmasını önleyin.

Ger 6

Güvenli Sistemler

CHD'yi açığa çıkaran güvenlik açıklarını izleyin. Ödeme verilerini etkileyen güvensiz kodu, yapılandırma sorunlarını tespit edin.

Ger 7

Erişimi Kısıtlama (Bilme İhtiyacı)

CHD için rol tabanlı erişim kontrolü. Yalnızca iş işlevine dayalı yetkili personele erişim verin.

Ger 8

Benzersiz Kimlikler ve Kimlik Doğrulama

Benzersiz kullanıcı kimliğine göre CHD erişimini takip edin. Ödeme sistemlerine yönetici erişimi için MFA destekleyin.

Ger 9

Fiziksel Erişim

CHD içeren çıkarılabilir medyayı izleyin. Kart sahibi verilerinin USB, yazdırılmasını kontrol edin. Rozet entegrasyonu.

Ger 10

Erişimi Takip ve İzleme

CHD erişiminin kapsamlı denetim günlükleri. Kim, ne, ne zaman, nerede. Otomatik günlük incelemesi ve uyarı.

Ger 11

Güvenlik Sistemlerini Test Etme

Güvenlik açığı taramalarını, sızma testlerini destekleyin. Değerlendirmeler sırasında DLP etkinliğinin kanıtını sağlayın.

Ger 12

Bilgi Güvenliği Politikası

Otomatik uyumluluk raporlaması. Politika uygulama. PCI değerlendiricileri ve QSA'lar için dokümantasyon.

Korunan Kart Sahibi Verileri

PCI-DSS tarafından kapsanan veri öğeleri

Birincil Hesap Numarası (PAN)

13-19 haneli kart numarası. Visa, Mastercard, Amex, Discover. Depolandığında, işlendiğinde, iletildiğinde korunmalıdır.

Kart Sahibi Adı

Kart üzerindeki isim. PAN ile birleştirildiğinde koruma gerektiren kart sahibi verileri (CHD) oluşturur.

Hizmet Kodu

Manyetik şeritteki 3-4 haneli kod. Kart kullanımını, yetkilendirme gereksinimlerini tanımlar.

Son Kullanma Tarihi

Kart son kullanma ayı/yılı. PAN ile birleştirildiğinde PCI koruması gerektirir.

Hassas Kimlik Doğrulama Verileri (SAD)

CVV2/CVC2/CID, PIN, manyetik şerit verileri. Yetkilendirmeden sonra ASLA depolamayın. İletimde şifrelenmelidir.

İzleme Verileri

İzleme 1 veya İzleme 2'den tam manyetik şerit verileri. Yetkilendirmeden sonra ASLA depolanmamalıdır.

PCI-DSS Satıcı Seviyeleri

İşlem hacmine göre uyumluluk gereksinimleri

Seviye 1 Satıcılar

Yılda 6M+ işlem

QSA tarafından yıllık yerinde değerlendirme. ASV tarafından üç aylık ağ taraması. Yıllık Uyumluluk Raporu (ROC).

Seviye 2 Satıcılar

Yılda 1M - 6M işlem

Yıllık Kendi Kendine Değerlendirme Anketi (SAQ). ASV tarafından üç aylık ağ taraması. QSA değerlendirmesi gerekebilir.

Seviye 3 Satıcılar

Yılda 20K - 1M e-ticaret işlemi

Yıllık Kendi Kendine Değerlendirme Anketi (SAQ). ASV tarafından üç aylık ağ taraması.

Seviye 4 Satıcılar

20K'den az e-ticaret veya toplam 1M

Yıllık Kendi Kendine Değerlendirme Anketi (SAQ). Üç aylık ağ taraması önerilir.

PCI Veri Saklama Kuralları

Neyin depolanabileceği ve depolanamayacağı

Depolanmasına İzin Verilen

PAN (şifreli), kart sahibi adı, son kullanma tarihi, hizmet kodu. PAN'ı şifrelemeli, saklamayı sınırlamalı, güvenli depolamalıdır.

ASLA Depolamayın

Tam manyetik şerit verileri, CVV2/CVC2/CID, PIN/PIN Bloğu. Şifreli olsa bile yasaktır. Yetkilendirmeden sonra silin.

Saklama Minimizasyonu

Yalnızca iş, yasal, düzenleyici gereksinimler için gerekeni depolayın. Saklama süresi sona erdiğinde silin.

Güvenli Silme

Silindiğinde CHD'yi kurtarılamaz hale getirin. Güvenli silme, kriptografik silme, medyanın fiziksel imhası.

PCI Uyumsuzluk Cezaları

Finansal sonuçlar ve kısıtlamalar

Aylık Cezalar

Ayda 5.000 - 100.000 dolar

Uyumsuzluk için kart markaları tarafından değerlendirilir. Satıcı seviyesine, ihlal geçmişine, düzeltme ilerlemesine göre değişir.

Artan İşlem Ücretleri

İşlem başına 0.01 - 0.10 dolar

Uyumsuz satıcılar daha yüksek işlem ücretleri öder. Yüksek hacimli satıcılar için önemli maliyetlere ulaşabilir.

Kart Kabul Feshi

Ödeme işleme kaybı

Tekrarlanan uyumsuzluk veya ihlaller büyük kredi kartlarını kabul edememe ile sonuçlanabilir. İşi sonlandıran ceza.

İhlal Sorumluluğu

Milyonlarca dolar tazminat

Kart yenileme maliyetleri (kart başına 5-10 dolar), dolandırıcılık kayıpları, adli soruşturma, hukuki ücretler, marka hasarı, davalar.

PCI-DSS Uyumluluk Kullanım Senaryoları

E-Ticaret Satıcıları

Çevrimiçi ödeme verilerini koruyun, günlüklerde PAN depolanmasını önleyin. Ödeme sırasında müşteri ödeme bilgilerini güvence altına alın.

Perakende Satış Noktası

POS sistemlerini, ödeme terminallerini, fiş verilerini koruyun. Kart sahibi verilerinin güvenli ortamdan çıkmasını önleyin.

Ödeme Hizmeti Sağlayıcıları

Ödeme ağ geçitleri için çok kiracılı uyumluluk. Altyapı genelinde satıcı ve tüketici ödeme verilerini koruyun.

Çağrı Merkezi Operasyonları

Telefon siparişleri sırasında ödeme verilerini koruyun. Ajanların gereksiz CHD'yi depolamasını, e-posta ile göndermesini veya erişmesini önleyin.

PCI-DSS Uyumluluğunu Sağlayın

Tam PCI-DSS uyumluluğu ile ödeme kartı verilerini koruyun ve maliyetli cezalardan kaçının

PCI Demosu Talep Edin Ücretsiz PCI Değerlendirmesi PCI Uyumluluk Rehberi