Kartlı ödeme işleyen her kurum için PCI DSS uyumu bir tercih değil, zorunluluktur. Ancak uyum, tek seferlik bir onay kutusu değil; kart sahibi verilerini korumaya yönelik sürekli bir disiplindir. v4.0.1 ile gelen yeni gereksinimler, daha önce uyumlu olan kurumları bile yeniden değerlendirmeye zorluyor.
SAVKOR’un PCI DSS uyum değerlendirmesi, PCI DSS v4.0.1 gereksinimleri doğrultusunda kartlı ödeme ortamınızı bütünsel olarak inceler. Ağ segmentasyonundan kart verisi korumasına, erişim kontrolünden loglamaya kadar mevcut durumunuzu gereksinimlerle karşılaştırır ve bir boşluk analizi (gap analysis) çıkarır. Amacımız, resmi denetime sürprizsiz ve hazır girmenizi sağlayacak, önceliklendirilmiş net bir yol haritası sunmaktır. (Teknik penetrasyon testi yükümlülüğü için PCI-DSS Sızma Testi hizmetimiz bu değerlendirmeyi tamamlar.)
Test Kapsamı
- Kart sahibi veri ortamı (CDE) kapsamı ve ağ segmentasyonu
- Kart sahibi verisi (CHD) koruması ve şifreleme
- Erişim kontrolü ve kimlik doğrulama
- Güvenli yapılandırma ve sertleştirme
- Loglama, izleme ve zafiyet yönetimi
- Güvenli yazılım geliştirme süreçleri
Metodoloji
- 01
Kapsam Belirleme
CDE sınırları ve değerlendirme kapsamı netleştirilir.
- 02
Mevcut Durum Analizi
Mevcut kontroller PCI DSS v4.0.1 gereksinimleriyle karşılaştırılır.
- 03
Boşluk Analizi (Gap Analysis)
Uyumlu olmayan alanlar ve eksik kontroller belirlenir.
- 04
Önceliklendirme
Boşluklar risk ve uyum etkisine göre önceliklendirilir.
- 05
Yol Haritası & Raporlama
Uyum için aşamalı bir iyileştirme yol haritası hazırlanır ve raporlanır.
Teslimatlar
- Yönetici özeti ve uyum durumu görünümü
- Gereksinim bazında boşluk analizi (gap analysis)
- Kontrol bazlı uyum değerlendirmesi
- Önceliklendirilmiş iyileştirme yol haritası
- Denetime hazırlık önerileri
Sık Sorulan Sorular
Bu bir resmi PCI DSS denetimi mi?
Hayır. Bu bir hazırlık ve boşluk değerlendirmesidir (gap analysis). Resmi uyum belgelendirmesi bir QSA (Qualified Security Assessor) tarafından yapılır. Bizim çalışmamız, o resmi denetime eksiksiz ve hazır girmenizi sağlar; sürprizleri önceden ortaya çıkarır.
Segmentasyon uyum maliyetini nasıl etkiler?
CDE'yi (kart verisi ortamını) ağınızın geri kalanından doğru şekilde ayırmak, PCI DSS kapsamınızı daraltır. Daha küçük kapsam, hem daha az kontrol hem de daha düşük uyum maliyeti demektir. Bu yüzden segmentasyon, akıllı bir uyum stratejisinin merkezindedir.
PCI DSS v4.0.1 ile ne değişti?
v4.0.1, kimlik doğrulama (MFA gereksinimlerinin genişlemesi), özelleştirilmiş uygulama yaklaşımı ve daha sık doğrulama gibi alanlarda güncellemeler getirdi. Değerlendirme, en güncel gereksinimlere göre yapılır; eski sürüme göre uyumlu olan kontroller yeni sürümde boşluk oluşturabilir.