PCI Uyumluluk Kontrol Listesi: Her E-Ticaret İşletmesinin Bilmesi Gerekenler

Görünüşe göre her gün yeni bir veri ihlali duyuyoruz. Yalnızca 2020'de J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon ve Staples gibi büyük şirketlerin tümü büyük miktarda paraya mal olan ve müşteri güvenini zedeleyen veri ihlalleri yaşadı.

“Bu sadece büyük adamların başına gelir” diye düşünmek kolay ama gerçek şu ki, ihlallerin %90'ı küçük işletmeleri etkiliyor. Bu nedenle, kredi veya banka kartı ödemelerini çevrimiçi olarak işleyen e-ticaret perakendecileri - yani, hemen hemen hepsi! – PCI uyumlu olmalıdır. Peki PCI uyumluluğu nedir ve işinize nasıl yardımcı olabilir? Hadi dalalım!

PCI Uyumluluğu nedir?

PCI, “Payment Card Industry”nin kısaltmasıdır. Bunu, “Payment Card Industry Data Security Standard” anlamına gelen PCI DSS olarak da görebilirsiniz. Her iki durumda da, PCI uyumluluk tanımı "kredi kartı bilgilerini işleyen, depolayan veya ileten tüm şirketlerin güvenli bir ortam sürdürmesini sağlamaya yönelik bir dizi gereksinimdir".

PCI uyumluluğu, Visa, MasterCard, American Express, Discover ve JCB'den ödeme kartı endüstri liderlerinden oluşan bağımsız bir kuruluş olan PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından 2006 yılında geliştirilmiştir (bu nedenle bazen “kredi olarak da adlandırılır) kart uyumluluğu”). Amaçları, ödeme ağları, işlemciler, finans kurumları, müşteriler ve işletmeler dahil olmak üzere ödeme işlemlerinde yer alan tüm tarafları korumaktır.

PCI Uyumluluğu Neden Önemlidir?

PCI uyumluluğu yasal bir gereklilik değildir. Bununla birlikte, PCI protokollerini takip etmemek, e-ticaret perakendecilerini yasal soruna sokabilir. Nasıl? İşletmeniz bir veri ihlaline maruz kalırsa ve bunun sonucunda yapılan araştırmalar süreçlerinizin PCI uyumlu olmadığını ortaya çıkarırsa, devlet ve ödeme kartı düzenleyicilerinden binlerce dolar para cezasına ve ücretine maruz kalabilirsiniz ve başarısız olduğunuz için aleyhinize davalar ve sigorta talepleri açılabilir. PCI standartlarına uymak için. Ayrıca, müşteri güvenini, değerli çalışanları, ödeme kartlarını kabul etme kabiliyetini (çevrimiçi perakendeciler için ölüm çanı) kaybedebilir ve daha yüksek uyumluluk maliyetlerine maruz kalabilirsiniz.

Bu nedenle, yalnızca PCI uyumlu olmadığı için cezalandırılamazken, uyumlu değilseniz meydana gelen herhangi bir ihlalden sorumlu tutulabilirsiniz. Ve daha önce de belirtildiği gibi, ihlallerin %90'ı küçük işletmeleri etkiler, bu nedenle üzgün olmaktansa güvende olmak daha iyidir.

Siber suçluların neden küçük işletmelerin peşine düşmek isteyebileceğini merak ediyor olabilirsiniz; sonuçta, kızartılacak çok daha büyük balıklar var! Siber suçlular küçük işletmeleri kolay av olarak görüyor. Çoğu büyük perakendecinin PCI uyumlu olacağını ve dolayısıyla daha az savunmasız olacağını biliyorlar. Ancak, birçok küçük işletmenin PCI uyumlu olmak için gerekli adımları atmadığına ve bu da onları kolay bir işaret haline getirdiğine bahse giriyorlar.

6 Tip Güvenlik İhlali PCI Uyumluluğu Karşı Koruma Sağlar

Siber suçlular korumalara rağmen her zaman bir yol arayacak olsa da (yaptıkları tam da budur), PCI uyumluluğu aşağıdaki altı tür güvenlik felaketine karşı koruma sağlamak için çok şey yapabilir.

1. Kötü amaçlı yazılım. Suçlular, bir bilgisayar sistemine sızmak ve ödeme verilerini çalmak için kötü amaçlı yazılımlar kullanır. Bir bilgisayar korsanının Bitcoin'de para karşılığında verileri "rehin" tuttuğu fidye yazılımı, en hızlı büyüyen kötü amaçlı yazılım biçimlerinden biridir.
2. E-dolandırıcılık. Kötü amaçlı yazılımlar için yaygın bir dağıtım aracı, kimlik avı e-postaları (fatura veya C-suite'den bilgi talebi gibi), insanları onları açmaya ikna etmek için meşru görünüyor. Ancak, bir bilgisayara ve tüm sisteme bulaşabilecek kötü amaçlı bağlantılar veya ekler içerirler.
3. Uzaktan erişim. Örneğin ödeme terminali sağlayıcılarınız tarafından kullanılanlar gibi zayıf uzaktan erişim kontrolleri, siber suçluların ödeme verilerini depolayan, işleyen veya ileten sistemlerinize erişmesine izin verir.
4. Zayıf Şifreler . Bugün parolaların farklı harf, sayı ve özel simgeler istemesinin bir nedeni var: Veri ihlallerinin %80'inden fazlası çalıntı/veya zayıf parolalar içeriyor.
5. Eski Yazılım. Eski yazılımlardaki kusurlar genellikle "yama yapılmaz" ve bu da siber suçluların sızmasını kolaylaştırır.
6. kaymak. Bu yalnızca fiziksel mağaza konumları için geçerli olsa da, gözden geçirme, suçluların, ödeme kartlarını kullandıklarında müşteri ödeme verilerini çalan kart okuyucularına küçük donanım "gözden geçirme cihazları" takmalarıdır. Ardından, yasa dışı alışverişler yapmak için sahte kartlar oluşturulabilir.

4 PCI Uyumluluk Düzeyi

Küçük işletmenizin Amazon gibi milyarlarca dolarlık bir şirketle aynı PCI standartlarına sahip olmasının adil olmadığını mı düşünüyorsunuz? İyi haber şu ki, öyle değil! Bir işletmenin her yıl gerçekleştirdiği işlem sayısına göre belirlenen dört PCI uyumluluk düzeyi vardır.

• Seviye 1: Yılda 6 milyondan fazla kart işlemi gerçekleştiren tüccarlar.
• Seviye 2: Yılda 1 ila 6 milyon işlem gerçekleştiren tüccarlar.
• Seviye 3: Yılda 20.000 ila 1 milyon işlem gerçekleştiren tüccarlar.
• Seviye 4: Yılda 20.000'den az işlem gerçekleştiren satıcılar.

PCI SSC ayrıca web sitelerinde hangi PCI Veri Güvenliği Standardı gereksinimlerinin işiniz için geçerli olduğunu belirlemenize yardımcı olacak basit bir öz değerlendirme anketi sunar.

Startup'lar ve Küçük E-Ticaret İşletmeleri Bu PCI Uyumluluk Kontrol Listesini Kullanarak Nasıl Hazırlanabilir?

Aşağıda, işinizi ve müşterilerinizi korumak için PCI uyumluluk seviyelerinizi yükseltmenin yolları bulunmaktadır. Bunu “PCI Uyumluluk Kontrol Listeniz” olarak düşünün. 12 PCI uyumluluk gereksiniminin tümü bir ilkeyle ilgilidir ve bu ilkeler şunlardır:

• Güvenli bir ağ oluşturun ve sürdürün
• Kart sahibi verilerini koruyun
• Bir güvenlik açığı yönetim programı sürdürün
• Güçlü erişim kontrol önlemleri uygulayın
• Ağları düzenli olarak izleyin ve test edin
• Bir bilgi güvenliği politikası sürdürün

1. Güvenlik Duvarlarını Kullanın ve Bakımını Yapın

Bir siber suçlu veya başka bir bilinmeyen aktör, kötü niyetli veya başka bir şekilde sisteminizdeki özel verilere erişmeye çalıştığında, bir güvenlik duvarı esasen bunların girmesini engeller. Tabii ki, güvenlik duvarları aşılmaz değildir ve güvenlik açıkları bulunabilir (bu nedenle güncellemeler yoluyla bunları korumak önemlidir), ancak bunlar iyi bir ilk savunma hattıdır.

2. Uygun Parola Korumaları Kullanın

Üçüncü taraf yazılım ve donanımları genellikle genel parolalar ve siber suçlular tarafından kolayca erişilebilen varsayılan güvenlik önlemleriyle birlikte gelir. PCI uyumlu olmak için, bu parolaları değiştirmeniz ve temel yapılandırmaları ayarlamanız ve ayrıca parola veya başka erişim araçları gerektiren her aygıtın bir listesini tutmanız gerekir.

3. Saklanan Kart Sahibi Verilerini Koruyun

Kart sahibi verileri, yasal, düzenleyici veya ticari ihtiyaçlar için gerekmedikçe, bir işlemin tamamlanması için gereken sürenin ötesinde hiçbir zaman saklanmamalıdır. Depolama gerekliyse, işletmeler depolama ve saklama süresini minimumda sınırlamalı ve en az üç ayda bir verileri temizlemelidir. PCI uyumluluğu ayrıca birincil hesap numaralarının (PAN) nasıl gösterilmesi gerektiğini de ele alır, örneğin yalnızca ilk altı ve son dört hanenin gösterilmesi.

4. İletilen Verileri Şifreleyin

Kart sahibi verileri halka açık ağlar üzerinden iletildiğinde, bu siber suçluların verileri ele geçirmesi için büyük bir fırsattır. Bu PCI gereksinimi, kart sahibi verilerinin bu bilinen konumlara gönderildiğinde şifrelenmesi gerektiğini ve asla bilinmeyen konumlara gönderilmemesi gerektiğini belirtir.

5. Antivirüs Yazılımını Kullanın ve Bakımını Yapın

PAN ile etkileşime giren veya PAN'ı depolayan herhangi bir cihaz için McAfee veya Norton gibi bir virüsten koruma yazılımı gereklidir. Güvenlik duvarınız gibi, bu yazılımın da güvenlik açıklarının yamalanabilmesi için düzenli olarak güncellenmesi gerekir. PC'nin 2021 için en iyi antivirüs yazılımı listesine göz atın.

6. Güvenli Sistemlerin ve Uygulamaların Bakımını Yapın

E-ticaret işletmeleri, güvenlik yamalarının güncel, kolayca erişilebilir ve yürütülebilir olmasını sağlamak için yazılım satıcılarıyla birlikte çalışarak yazılımları güvende tutmalıdır. İşletmelerin, kritik yamaları zamanında dağıtmanın yanı sıra, yeni güvenlik açıklarını keşfetmek ve bunları sıralamak için bir süreç oluşturması gerekir. Bu güncellemeler, kart sahibi verileriyle etkileşime giren veya bunları saklayan cihazlarda bulunan tüm yazılımlar için özellikle önemlidir.

7. Kart Sahibi Veri Erişimini Kısıtlayın

Kart sahibi verileri çok hassas bilgilerdir ve yalnızca kesinlikle bilmesi gereken temsilciler tarafından görüntülenmelidir. Personelinizin ve üçüncü şahısların çoğunluğunun bu bilgilere erişmesi gerekmeyecektir, bu nedenle sınırlandırılmalıdır. Bu verilere erişmesi gereken roller yüksek düzeyde belgelenmeli ve düzenli olarak güncellenmelidir.

8. Erişim için Benzersiz Kimlikler Atayın

Kart sahibi verileri için tek bir oturum açma kullanıcı adı ve parolası yerine, erişime ihtiyacı olan kişilerin bireysel kimlik bilgilerine ve kimlik bilgilerine sahip olması gerekir. Bu, biri kart sahibi verilerine eriştiğinde, bu etkinliğin bilinen bir kullanıcıya kadar izlenebilmesini veya en azından yetkisiz erişim olarak hemen tanınmasını sağlar. Uzaktan erişim için, ekstra bir güvenlik katmanı sağlayan iki faktörlü yetkilendirme gereklidir.

9. Verilere Fiziksel Erişimi Kısıtlayın

Tüm yerinde kart sahibi verileri fiziksel olarak güvenli bir yerde tutulmalı, izlenmeli ve günlükler gerektirmelidir. Ait olmayan kişileri hızlı bir şekilde belirlemek için prosedürler oluşturulmalıdır. Yedeklemeler ayrıca güvenli bir ikincil sitede muhafaza edilmelidir. Son olarak, iş artık verilere ihtiyaç duymadığında imha edilmelidir.

10. Ağları Düzenli Olarak Denetleyin

PCI uyumluluğu, e-Ticaret işletmelerinin fiziksel veya kablosuz güvenlik açıkları olmadığından emin olmak için ağlarını düzenli olarak izlemesini ve test etmesini gerektirir. Bir ihlal meydana geldiğinde olayları yeniden yapılandırma yeteneğinin yanı sıra otomatik denetim izlerine ihtiyaç vardır. Denetim verileri en az bir yıl süreyle güvence altına alınmalı ve muhafaza edilmelidir.

11. Güvenlik Açıklarını Tara ve Test Et

Güvenlik açıkları, siber suç faaliyetleri, arızalar, insan hatası ve yeni kodun tanıtılması nedeniyle ortaya çıkar. Bu, güvenliğin korunmasını sağlamak için tüm dahili ve harici sistem ve süreçlerin üç ayda bir test edilmesi gerektiği anlamına gelir. Devam eden diğer PCI DSS gereksinimleri, sızma testinin yanı sıra izinsiz giriş algılama ve önleme sistemlerinin kullanımını içerir. Ek olarak, bir kullanıcı içeriği, yapılandırmayı veya bir sistem dosyasını yetkisiz bir şekilde değiştirdiğinde uyarıların verilmesi için PCI uyumluluğu için dosya izleme gereklidir.

12. Belge Güvenlik Politikaları

Verilere erişimi olan ekipman, yazılım ve çalışanların envanterinin uyumluluk için belgelenmesi gerekecektir. Kart sahibi verilerine erişim günlükleri ve bilgilerin şirketinize nasıl aktığı, nerede saklandığı ve satış sonrası nasıl kullanıldığı da belgelenmelidir. Ek olarak, dahili veri ihlallerini önlemek için güvenlik bilinci girişimleri oluşturmak ve işe alım sürecinin bir parçası olarak olası çalışanları, yüklenicileri vb. taramak için bir kişi veya ekibin atanması gerekir.

PCI Uyumluluğu için Bütçeleme

PCI uyumluluğunun 12 adımını elde etmek ve sürdürmek kuşkusuz paraya mal olacaktır. Tabii ki, ne kadar para, işinizin hangi uyumluluk düzeyine düştüğüne, kuruluşunuzun büyüklüğüne, şirketinizin güvenlik kültürüne, kullandığınız teknolojinin türüne ve özel bir BT/PCI uzmanına bütçenizin yetip yetmediğine bağlı olacaktır.

Bununla birlikte, bir veri ihlali meydana geldiğinde uyumsuzluğun maliyeti çok yüksek olabileceğinden (ve dürüst olmak gerekirse, olup olmadığı değil, ne zaman olduğu meselesidir), başka bir yerde masrafları kısmak veya artırmak anlamına gelse bile bunun için bütçeyi bulmaya değer. para toplamak için geçici olarak belirli ürünlerde fiyatlandırma. Sonunda, siz ve müşterileriniz için güvenli bir e-ticaret işine ve gönül rahatlığına sahip olacaksınız.

Yerine Getirme Laboratuvarı ile Veri Güvenliği Endişelerini Azaltın

Teknoloji, e-ticaret perakendecilerine envanteri izlemekten gönderileri izlemeye, ödeme işlemeden müşteri veri güvenliğine kadar birçok avantaj sağlar. Tabii ki, bu sistemleri edinmek büyük bir finansal yatırım gerektirir ve her zaman bir öğrenme eğrisi vardır!

14 uluslararası tesisiyle e-ticaret pazarlamasında lider olan The Fulfillment Lab'e sipariş karşılama yükünü yüklediğinizde, nakliye yükünü elinizden alın. Ayrıca, son teknoloji Global Fulfillment System (GFS) yazılımımıza erişim kazanacağınız için, PCI uyumluluk endişelerinizin çoğunu da azaltacaksınız. Bu güvenli sistem, envanteri izlemenize, gönderileri takip etmenize, paketlemeyi özelleştirmenize ve ödemeleri işlemenize olanak tanır. Daha fazla bilgi için E-Ticaret Gönderiminiz İçin Bir Gönderim Merkezi Kullanmak için 10 Neden adlı blogumuza göz atmayı unutmayın ve daha fazla bilgi edinmek için bizimle iletişime geçmekten çekinmeyin.