PCI-DSS, ödeme kartı (Visa, MasterCard, American Express vb.) ile ilgili kart sahibi verilerini korumak amacıyla oluşturulmuş küresel bir güvenlik standardıdır.
PCI DSS, Payment Card Industry Security Standards Council (PCI SSC) tarafından yönetilir. Bu konseyin üyeleri şunlardır:
Kart sahibi bilgilerinin yetkisiz erişim, hırsızlık ve kötüye kullanım risklerini en aza indirmek.
ISO/IEC 27001, bir kuruluşun bilgi varlıklarını sistematik şekilde yönetmesini sağlayan uluslararası bir bilgi güvenliği standardıdır.
ISO (International Organization for Standardization) ve IEC (International Electrotechnical Commission) iş birliğiyle hazırlanmıştır.
Kuruluşun bilgi güvenliği risklerini yönetebilmesi ve bu risklere karşı uygun kontrolleri uygulaması.
PCI-DSS, özellikle ödeme sistemleri ve kart verisi ile ilgili işlemler için teknik ve operasyonel güvenlik kontrollerini zorunlu kılar.
ISO/IEC 27001 ise tüm bilgi güvenliği süreçlerini kapsayan, kurumsal çapta bir güvenlik yönetim sistemidir.
Kim tarafından hazırlanır?
PCI DSS, Payment Card Industry Security Standards Council (PCI SSC) tarafından yönetilir. Bu konseyin üyeleri şunlardır:- Visa
- MasterCard
- American Express
- Discover
- JCB
Amacı:
Kart sahibi bilgilerinin yetkisiz erişim, hırsızlık ve kötüye kullanım risklerini en aza indirmek.
PCI-DSS Gereklilikleri (12 Temel Madde):
- Güvenli bir ağ oluşturmak (Güvenlik duvarları, router konfigürasyonu)
- Parolaların ve sistem ayarlarının güvenli hale getirilmesi
- Kart sahibi bilgilerini korumak (şifreleme)
- Şifreleme ile veri transferi
- Antivirüs yazılımlarının kullanımı
- Güvenli sistemlerin ve uygulamaların geliştirilmesi
- Erişim kontrolü (Yetkilendirme)
- Her kullanıcı için benzersiz kimlik
- Fiziksel erişimin kısıtlanması
- Ağ erişimlerinin ve aktivitelerin izlenmesi (log)
- Güvenlik sistemlerinin düzenli test edilmesi
- Güvenlik politikası oluşturulması ve sürdürülmesi
Kimler Uymak Zorundadır?
- Kredi kartı işlemi yapan tüm şirketler (POS cihazı olan marketten bankalara kadar)
- E-ticaret siteleri
- Kart saklama ya da işleme yapan yazılım firmaları
2. ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi - BGYS)
Tanım:
ISO/IEC 27001, bir kuruluşun bilgi varlıklarını sistematik şekilde yönetmesini sağlayan uluslararası bir bilgi güvenliği standardıdır. Kim Hazırladı?
ISO (International Organization for Standardization) ve IEC (International Electrotechnical Commission) iş birliğiyle hazırlanmıştır. Amacı:
Kuruluşun bilgi güvenliği risklerini yönetebilmesi ve bu risklere karşı uygun kontrolleri uygulaması. ISO 27001’in Temel Bileşenleri:
- BGYS Politikası: Kurumun bilgi güvenliğine yaklaşımı.
- Risk Değerlendirmesi: Bilgi varlıklarına yönelik tehdit ve açıkların belirlenmesi.
- Risk Tedavi Planı: Tespit edilen risklere karşı alınacak önlemler.
- Kontrollerin Uygulanması: Teknik, idari ve fiziksel önlemler.
- İzleme ve İç Denetim: Süreçlerin sürekli iyileştirilmesi ve kontrolü.
- Yönetim Gözden Geçirmesi: Üst yönetimin sistem üzerindeki denetimi.
Kimler Uygular?
- Bankalar
- Kamu kurumları
- Yazılım firmaları
- Sağlık kuruluşları
- Üniversiteler
- Savunma sanayi şirketleri
ISO 27001 Sertifikası Ne İşe Yarar?
- Kurumsal güvenilirlik sağlar
- Regülasyon uyumluluğu gösterir (özellikle Avrupa ve ABD’de zorunludur)
- Uluslararası iş birliğinde avantaj sunar
- Veri ihlallerine karşı hazırlıklı olunduğunu kanıtlar
PCI-DSS vs ISO 27001 Karşılaştırması
| Özellik | PCI-DSS | ISO/IEC 27001 |
|---|---|---|
| Kapsam | Kart verisi güvenliği | Tüm bilgi varlıklarının güvenliği |
| Yasal Zorunluluk | Ödeme işlemi yapan firmalar için | Gönüllü (bazı sektörlerde zorunlu) |
| Uluslararası Geçerlilik | Yüksek | Çok yüksek |
| Belgelendirme | Dış denetçiler ile yapılır | Akredite kuruluşlar tarafından yapılır |
| Süreç Yönetimi | Odak noktası teknik kontroller | Süreç, yönetim, insan, teknik hepsi |
Sonuç
PCI-DSS, özellikle ödeme sistemleri ve kart verisi ile ilgili işlemler için teknik ve operasyonel güvenlik kontrollerini zorunlu kılar.ISO/IEC 27001 ise tüm bilgi güvenliği süreçlerini kapsayan, kurumsal çapta bir güvenlik yönetim sistemidir.