Fin ve Tech: PCI DSS Nedir? Ödeme Sistemlerinde Güvenlik Standartları
Fin ve Tech serisinin yeni yılın ilk bölümünde, ödeme sistemlerinin güvenliğini ayakta tutan en temel standartlardan birine odaklanıyoruz: PCI DSS.
Kredi kartları, mobil ödemeler ve abonelik sistemleri hayatımızı kolaylaştırırken, bu sistemlerin arka planında çok ciddi bir güvenlik sorumluluğu bulunuyor.
Bu yazıda PCI DSS’in ne olduğunu, kimleri kapsadığını ve kart verisi işleyen sistemlerin uyması gereken temel güvenlik kurallarını sade bir dille inceleyeceğiz.
PCI DSS Nedir?
PCI DSS (Payment Card Industry Data Security Standard), kredi ve banka kartı verilerini işleyen tüm sistemlerin uyması gereken zorunlu güvenlik standartları bütünüdür.
Bu standartlar;
- Visa
- Mastercard
- American Express
- Discover
- JCB
tarafından kurulan PCI Security Standards Council (PCI SSC) tarafından belirlenir.
📌 Önemli bir nokta:
PCI DSS bir yazılım ya da ürün değildir. Bir güvenlik standardıdır.
PCI DSS Kimi Kapsar?
Basit bir soru ile başlayalım:
“Bu sistem kart numarasını görüyor mu?”
Eğer cevap evet ise, PCI DSS kapsamındasınız.
Bu kapsama girenler:
- Bankalar
- Fintech şirketleri
- E-ticaret siteleri
- POS ve ödeme terminali sağlayıcıları
- Ödeme gateway’leri
- Abonelik ve tekrar eden ödeme sistemleri
❗ Yaygın bir yanılgı:
“Biz kart saklamıyoruz, PCI bize gerekmez.”
Yanlış.
Kart verisi sisteminizden geçiyorsa, PCI DSS başlar.
PCI DSS Neden Bu Kadar Önemli?
PCI DSS’in temel amacı şudur:
Kart verisini mümkün olan en kısa süre, en az noktada ve en güvenli şekilde tutmak.
Bunun nedenleri oldukça net:
- Kart verisi sızıntıları milyonlarca dolarlık zararlara yol açar
- Regülasyonlara uyulmaması ağır cezalara neden olur
- Tek bir güvenlik ihlali, marka güvenini tamamen yok edebilir
PCI DSS, bu riskleri standartlaştırılmış güvenlik kurallarıyla minimize etmeyi hedefler.
PCI DSS’in 12 Temel Gereksinimi
PCI DSS, 6 ana güvenlik hedefi altında toplanan 12 temel gereksinimden oluşur.
1. Güvenli Ağ Kurun ve Sürdürün
- Firewall kullanımı zorunludur
- Kart verisi ağı diğer ağlardan izole edilmelidir
2. Varsayılan Şifreleri Kaldırın
- Default kullanıcı adı ve şifreler yasaktır
- Sistemler güvenli konfigürasyonla çalışmalıdır
3. Kart Verisini Koruyun
- Kart numarası (PAN) düz metin olarak saklanamaz
- Masking, hashing ve tokenization kullanılmalıdır
4. Kart Verisini Güvenli İletin
- Kart verisi network üzerinden TLS ile şifrelenmiş şekilde iletilmelidir
5. Zararlı Yazılımlara Karşı Koruma
- Anti-malware çözümleri
- Düzenli tarama ve güncellemeler
6. Güvenli Yazılım Geliştirme
- Secure coding prensipleri
- Güncel bağımlılıklar
- Patch yönetimi
7. Erişimleri Sınırlandırın
- “Need-to-know” prensibi
- Role-based access control (RBAC)
8. Kimlik Doğrulama
- Her kullanıcı için benzersiz ID
- Çok faktörlü kimlik doğrulama (MFA)
9. Fiziksel Güvenlik
- Sunucu ve cihazlara fiziksel erişim kontrolü
- Log ve kamera kayıtları
10. Loglama ve İzleme
- Tüm erişimler loglanmalı
- Şüpheli aktiviteler sürekli izlenmelidir
11. Güvenlik Testleri
- Penetration test
- Vulnerability scan
- Düzenli denetimler
12. Güvenlik Politikaları
- Yazılı güvenlik prosedürleri
- Çalışan farkındalık ve eğitimleri
Tokenization ve PCI DSS İlişkisi
Tokenization, PCI DSS uyumluluğunu kolaylaştırır, ancak tamamen ortadan kaldırmaz.
Sağladıkları:
- Kart verisi sistemde tutulmaz
- PCI scope ciddi şekilde daralır
- Denetim ve operasyon maliyeti azalır
Ama şunu net söyleyelim:
Tokenization ≠ PCI muafiyeti
Paylaşılan sorumluluk modeli geçerlidir.
Sık Yapılan Yanlışlar
❌ “SSL var, yeterli”
✅ PCI DSS çok daha geniş bir çerçevedir
❌ “Gateway kullanıyoruz, sorumluluk bitti”
✅ Sorumluluk paylaşılır
❌ “Kart saklamıyoruz, PCI yok”
✅ Kart verisi geçiyorsa PCI vardır
Sonuç: PCI DSS Bir Yük Değil, Bir Güvence
PCI DSS ilk bakışta karmaşık ve maliyetli görünebilir.
Ancak gerçekte:
- Daha güvenli sistemler
- Daha az fraud
- Daha yüksek kullanıcı güveni
- Daha düşük operasyonel risk
anlamına gelir.
Ödeme sistemlerinde güvenlik opsiyonel değildir.
PCI DSS ise bu güvenliğin temel taşıdır. Her zaman olduğu gibi kaynaklara mutlaka göz atılmasını tavsiye ediyorum.⬇️
Kaynaklar
- PCI Security Standards Council (PCI SSC)
- PCI DSS v4.0 Documentation
- Visa PCI Compliance Guidelines
- Stripe PCI Compliance Guide
- OWASP Secure Coding Practices
