PCI DSS

Genel Bakış

Kredi Kartı Sektörü Veri Güvenliği Standardı (PCI DSS); American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. tarafından kurulan PCI Güvenlik Standartları Konseyi tarafından yönetilen tescilli bilgi güvenliği standardıdır.

PCI DSS, tüccarlar, işleyiciler, alıcı bankalar, verenler ve hizmet sağlayıcıları da dâhil olmak üzere kart sahibi verilerini (CHD) veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten kuruluşlar için geçerlidir. PCI DSS, kart markaları tarafından zorunlu kılınır ve Kredi Kartı Sektörü Güvenlik Standartları Konseyi tarafından yönetilir.

PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

• AWS, PCI DSS Sertifikalı mıdır?

  Evet, Amazon Web Services (AWS), mevcut en yüksek değerlendirme değeri olan PCI DSS 1. Düzey Hizmet Sağlayıcısı olarak sertifikalıdır. Uyumluluk değerlendirmesi, bağımsız bir Nitelikli Güvenlik Değerlendirici (QSA) olan Coalfire Systems Inc. tarafından gerçekleştirilir. PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.
  

• Hangi AWS hizmetleri PCI DSS uyumludur?

  PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın. Bu hizmetlerin kullanılmasıyla ilgili daha fazla bilgi için bize ulaşın.
  

• Bu, bir PCI DSS satıcısı ve hizmet sağlayıcısı olarak benim için ne anlama geliyor?

  AWS hizmetlerini kart sahibi verilerini depolamak, işlemek veya aktarmak için kullanan bir müşteri olarak kendi PCI DSS uyumluluğu sertifikanızı sürdürmek için AWS teknolojik altyapısına güvenebilirsiniz.

  AWS; hiçbir müşteri kart sahibi verisini (CHD) doğrudan depolamaz, aktarmaz veya işlemez. Ancak, AWS hizmetlerini kullanarak kart sahibi verilerini depolayan, aktaran veya işleyen kendi kart sahibi veri ortamınızı (CDE) oluşturabilirsiniz.
  

• Bunun, PCI DSS dahilinde olmayan tüccar müşteri olarak benim için anlamı nedir?

  PCI DSS müşterisi olmasanız bile PCI DSS uyumluluğunuz, her düzeyde bilgi güvenliğine olan bağlılığımızı kanıtlamaktadır. PCI DSS standardının harici bir bağımsız üçüncü tarafça doğrulanması, güvenlik yönetimi programımızın kapsamlı olduğunu ve önde gelen sektör uygulamalarını takip ettiğini onaylar.
  

• Bir AWS müşterisi olarak, AWS Uyumluluk Beyanı'na (AOC) güvenebilir miyim; yoksa tamamen uyumlu olmak için ilave testler gerekli midir?

  Müşterilerin kendi PCI DSS uyumluluk sertifikasını yönetmesi gerekir. Ortamınızın tüm PCI DSS gereksinimlerini karşıladığından emin olmak için ilave testler gerekli olacaktır. Ancak, PCI kart sahibi veri ortamının (CDE) AWS'de dağıtılan oranı için Nitelikli Güvenli Denetçiniz (QSA), daha fazla teste gerek duymadan AWS Uyumluluk Beyanına (AOC) güvenebilir.
  

• Hangi PCI DSS denetimlerinden sorumlu olduğumu nasıl öğrenebilirim?

  Ayrıntılı bilgi için lütfen AWS uyumluluk raporlarına isteğe bağlı erişim sunan self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulan AWS PCI DSS Uyumluluk Beyanı Paketinden "AWS PCI DSS Sorumluluk Özeti"ne bakın. AWS Yönetim Konsolu'nda AWS Artifact'ta oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin. Müşteriler ayrıca AWS Güvenlik Teminatı Hizmetleri ekibinden denetim ve uyumluluk danışmanlığı hizmetleri talep edebilir.

• AWS PCI Uyumluluk Paketini nasıl edinebilirim?

  AWS PCI Uyumluluk Paketi, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact’te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.
  

• AWS PCI DSS Uyumluluk Paketi neler içerir?

  AWS PCI Uyumluluk Paketine dâhil olanlar:

  • • AWS PCI DSS 3.2.1 Uyumluluk Beyanı (AOC)
  • AWS PCI DSS 3.2.1 Sorumluluk Özeti

• AWS hem Visa Hizmet Sağlayıcılar Küresel Kayıt Defteri hem de MasterCard Uyumlu Hizmet Sağlayıcı Listesi'nde yer alıyor mu?

  Evet. AWS hem Visa Hizmet Sağlayıcılar Küresel Kayıt Defteri hem de MasterCard Uyumlu Hizmet Sağlayıcı Listesi'nde yer alır. Hizmet Sağlayıcı listeleri, AWS'nin başarıyla doğrulanan PCI DSS uyumluluğunu kanıtlar ve geçerli olan tüm Visa ve MasterCard program gereksinimlerini karşılar.
  

• PCI DSS standardına uyumlu olmak için tek kiracılı ortamlar mı gerekir?

  Hayır. AWS ortamı sanallaştırılmış, çok kiracılı bir ortamdır. AWS, etkili ve güvenli bir şekilde her müşterinin kendi korumalı ortamını ayıran güvenlik yönetimi süreçlerini, PCI DSS gereksinimlerini ve diğer telafi edici denetimleri etkili bir şekilde uygulamaktadır. Bu güvenli mimari, bağımsız bir QSA tarafından onaylanmış ve PCI DSS standardının geçerli tüm gerekliliklerine uyumlu bulunmuştur.

  PCI Güvenlik Standartları Konseyi bulut bilişim hizmetlerinin müşterileri, hizmet sağlayıcıları ve denetçileri için PCI DSS Bulut Bilişim Yönergeleri'ni yayınlamıştır. Ayrıca hizmet modellerini ve sağlayıcılar ile müşteriler arasındaki uyumluluk rollerinin ve sorumluluklarının nasıl paylaşılacağını da açıklar.
  

• QSA'lar 1. Düzey alıcı bankalar için AWS veri merkezinde fiziksel bir denetim gerektiriyor mu?

  Hayır. AWS Uyumluluk Beyanı (AOC), AWS veri merkezlerinin kapsamlı fiziksel güvenlik denetimlerinin değerlendirilmesini gösterir. Alıcı bankaya ait bir QSA'nın AWS veri merkezlerinin güvenliğini doğrulamasına gerek yoktur.
  

• AWS adli soruşturmaları destekliyor mu?

  AWS, PCI-DSS kapsamında bir “Paylaşılan Barındırma Sağlayıcısı” sayılmamaktadır. Böylelikle DSS gereksinimi A1.4 uygulanamaz. Paylaşılan Sorumluluk Modeli’miz kapsamında müşterilerimizin AWS’den ek destek ihtiyacı olmadan kendi AWS ortamlarında dijital adli soruşturma yapmalarını mümkün kılarız. Bu mümkün kılma AWS Marketplace aracılığıyla mevcut olan AWS hizmetlerinin hem de üçüncü taraf çözümlerin kullanımıyla sağlanır. Daha fazla bilgi için aşağıdaki kaynaklara bakın:

  • AWS’de Güvenlik Vakası Yanıtı ve Dijital Adli Soruşturma’yı Basitleştirin
  • AWS Güvenlik Vakası Yanıtı Kılavuzu

• Sunucuları bağlarken veya depolanması için öğeleri yüklerken özel bir PCI DSS uyumlu ortam belirtmem gerekiyor mu?

  PCI DSS uyumlu AWS hizmetlerini kullandığınız sürece, kapsam dahilindeki hizmetleri destekleyen tüm altyapı uyumludur ve ayrı bir ortam ya da özel bir API kullanılmasına gerek yoktur. Bu hizmetlere dağıtılan veya hizmetleri kullanan her sunucu veya veri, küresel olarak PCI DSS uyumlu bir ortamdadır. PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın.
  

• AWS uyumluluğu uluslararası olarak geçerli midir?

  Evet. Uyumlu konumların tam listesine ulaşmak için lütfen AWS Artifact’teki en son PCI DSS AOC’ye bakın.
  

• PCI DSS standardı herkese açık mıdır?

  Evet. PCI DSS standardını PCI Güvenlik Standartları Konseyi Belgeler Kitaplığı'ndan indirebilirsiniz.
  

• AWS platformunda PCI DSS sertifikasını alan biri var mı?

  Evet, sayısız AWS müşterisi AWS üzerinde kart sahibi ortamlarının bir kısmını veya tümünü başarıyla dağıtmış ve sertifikasını almıştır. AWS, PCI DSS sertifikası alan müşterilerini ifşa etmez ancak AWS üzerindeki kart sahibi ortamının planlanması, dağıtılması, sertifika alması, 3 aylık taramalar gerçekleştirilmesi konusunda müşteriler ve PCI DSS denetçileriyle düzenli olarak çalışır.
  

• Şirketler PCI DSS standardına nasıl uyum sağlar?

  Şirketlerin PCI DSS uyumluluğunu yıllık düzeyde doğrulamak için sahip olduğu iki temel yaklaşım bulunur. İlk yaklaşım, harici bir Nitelikli Güvenlik Denetçisi'ne (QSA) mevcut ortamınızı denetletmek ve ardından Uyumluluk Raporu (ROC) ile Uyumluluk Beyanı (AOC) oluşturmaktır. Bu yaklaşım, en yaygın olarak büyük işlem hacimlerine sahip olan kuruluşlarda görülür. İkinci yaklaşım ise Kendini Değerlendirme Anketi (SAQ) yapmaktır. Bu yaklaşım ise daha küçük işlem hacimlerine sahip kuruluşlarda görülür.

  Uyumluluğu sağlamanın, PCI konseyinin değil, kart markaları ve alıcı bankaların sorumluluğunda olduğunu unutmamak gerekir.
  

• PCI DSS uyumluluğunun gereksinimleri nelerdir?

  Aşağıda PCI DSS gereksinimlerine üst düzey bir genel bakış sunulmuştur.

  Güvenli Bir Ağ ile Sistemler Oluşturun ve Devamlılığını Sağlayın	1. Ağ Güvenlik Denetimlerini Kurun ve Devamlılığını Sağlayın. 2. Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulayın.
  Hesap Verilerini Koruyun	3. Saklanan Hesap Verilerini Koruyun. 4. Açık, Genel Ağlar Üzerinden İletim Sırasında Kart Sahibi Verilerini Güçlü Kriptografi ile Koruyun.
  Güvenlik Açığı Yönetimi Programının Devamlılığını Sağlayın	5. Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruyun. 6. Güvenli Sistemler ve Yazılımlar Geliştirin ve Devamlılığını Sağlayın.
  Güçlü Erişim Denetimi Önlemleri Uygulayın	7. Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İş İçin Bilmesi Gerekenlerle Sınırlandırın. 8. Kullanıcıları Tanımlayın ve Sistem Bileşenlerine Erişim İçin Kimlik Doğrulaması Yapın. 9. Kart Sahibi Verilerine Fiziksel Erişimi Sınırlandırın.
  Ağları Düzenli Olarak İzleyin ve Test Edin	10. Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimleri Günlüğe Kaydedin ve İzleyin. 11. Sistem ve Ağların Güvenliğini Düzenli Olarak Test Edin
  Bilgi Güvenliği Politikasının Devamlılığını Sağlayın	12. Kurumsal Politikalar ve Programlarla Bilgi Güvenliğini Destekleyin.

• AWS Hizmetlerinin tümü, PCI PIN, PCI P2PE sertifikalı mıdır?

  Evet. AWS CloudHSM, PCI PIN sertifikalıyken, AWS Payment Cryptography, PCI PIN ve P2PE sertifikalıdır. Raporları, AWS Artifact'ta müşterilerin kullanımına sunulmuştur.

• AWS için PCI 3DS onayı mevcut mu?

  Evet. Yıllık PCI 3DS raporlarımız Artifact'ta mevcuttur. AWS, 3DS işlevlerini doğrudan gerçekleştirmese de AWS PCI 3DS uyumluluk onayı, müşterilerin AWS'de çalışan hizmetleri için kendi PCI 3DS uyumluluğunu sağlamalarına yardımcı olabilir.