İş e-postalarında kart sahibi verilerini güvenli hale getirmek için bir PCI uyumluluk kılavuzu

Kredi kartı veya diğer ödeme kartı işlemlerini gerçekleştiren her işletme için PCI uyumluluğunu anlamak; yalnızca müşterilerinizi değil, tüm operasyonunuzu koruyan güvenli bir ortamı sürdürmek için esastır.

Kısacası PCI uyumluluğu, işletmelerin teknik ve operasyonel güvenlik önlemlerinden oluşan bir kontrol listesini takip ederek kart hamili verilerini korumasını gerektirir. İster işletmeniz halihazırda kurulmuş ister yeni başlıyor olsun, temel PCI uyumluluğu düşündüğünüz kadar karmaşık değildir.

Takip etmesi kolay bu kılavuz; PCI uyumluluğuna, kimlerin uyması gerektiğine ve kart sahibi verilerini içeren e-posta iletişimlerinizi nasıl güvenli hale getireceğinize dair bir genel bakış sunacaktır.

PCI uyumluluğu nedir?

PCI, Ödeme Kartı Endüstrisi (Payment Card Industry) anlamına gelir ve PCI DSS ise Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (Payment Card Industry Data Security Standard) anlamına gelir.

PCI DSS; kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten tüm şirketlerin bu bilgileri güvende tutmasını sağlamak için oluşturulmuş küresel güvenlik standartları koleksiyonudur.

Bu standartlar; American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. tarafından kurulan bir grup olan PCI Güvenlik Standartları Konseyi tarafından yönetilmektedir.

PCI uyumluluğu bir yasa olmasa da büyük kredi kartı şirketlerinin üye iş yerleriyle yaptıkları sözleşmelerde uyguladıkları zorunlu bir gerekliliktir.

PCI uyumluluğu neden önemlidir?

PCI uyumluluğu, işletmenizi ve müşterilerinizi veri ihlallerinden ve dolandırıcılıktan korumak için kritik öneme sahiptir. Uyulmaması durumunda ağır cezalar, yasal yaptırımlar ve müşteri güveni kaybı yaşanabilir.

PCI DSS gereksinimlerini karşıladığınızdan emin olmak, hassas verilerin korunmasına yardımcı olur ve güvenilir bir kuruluş olarak itibarınızı artırır.

Kimlerin PCI uyumlu olması gerekir?

Dünya çapında ödeme kartı işlemlerini gerçekleştiren her işletmenin PCI uyumlu olması gerekir. Buna çevrim içi perakendeciler, fiziksel mağazalar ve kredi kartı ödemelerini işleyen tüm kuruluşlar dahildir. İşletmeniz herhangi bir kart sahibi verisini kabul ediyor, iletiyor veya saklıyorsa PCI DSS gereksinimlerine(yeni pencere) uymanız gerekir.

Küçük işletmelerin, Stripe gibi bir ödeme işlemcisi kullansalar bile kendilerinin PCI uyumlu olmaları gerekir. PCI uyumlu bir ödeme işlemcisi kullanmak bazı gereksinimlerin karşılanmasına yardımcı olsa da işletmeler kendi sistemlerinin ve uygulamalarının PCI DSS standartlarına uygunluğunu sağlamaktan hala sorumludur.

PCI uyumluluk kontrol listesi

PCI uyumlu hale gelmek için işletmeler, PCI DS(yeni pencere)S(yeni pencere) tarafından ana hatları çizilen 12 gereksinimi takip etmelidir.

1. Kart sahibi verilerini korumak için bir güvenlik duvarı kurun ve sürdürün.
2. Sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılan değerleri kullanmayın.
3. Kaydedilmiş kart sahibi verilerini şifreleme ve güvenli depolama yöntemleriyle koruyun.
4. Kart sahibi verilerinin açık, halka açık ağlar üzerinden iletimini şifreleyin.
5. Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve antivirüs yazılımlarını veya programlarını düzenli olarak güncelleyin.
6. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün.
7. Kart sahibi verilerine erişimi, işle ilgili bilmesi gerekenler temelinde kısıtlayın.
8. Sistem bileşenlerine erişimi tanımlayın ve kimlik doğrulaması yapın.
9. Kart sahibi verilerine fiziksel erişimi kısıtlayın.
10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve denetleyin.
11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin.
12. Tüm personel için bilgi güvenliğini ele alan bir ilke sürdürün. 

Ancak, bu gereksinimlerin her birinin çeşitli alt gereksinimlere daha da ayrıldığını unutmamak önemlidir. Bunların her birine uyum sağlamak esastır.

E-posta güvenliğinden açıkça bahsedilmese de standart, e-posta da dahil olmak üzere genel ağlar üzerinden iletim sırasında kart sahibi verilerinin şifrelenmesini gerektirir.

Güvenli bir e-posta, PCI uyumluluğu için kritik öneme sahiptir

PCI uyumluluğunun kritik bir yönü, müşteri kredi kartı verilerini içeren e-posta iletişimlerinin uygun şekilde şifrelenmesini ve korunmasını sağlamaktır. Bu değerli bilgilerin güvenliğinin sağlanamaması, veri ihlallerine yol açabilir; bu da yalnızca işletmenizin itibarına zarar vermekle kalmaz, aynı zamanda yıkıcı mali kayıplara da neden olabilir.

E-posta iletişimlerinizin güvenli olmasını sağlamak için atabileceğiniz bazı adımlar şunlardır:

Uçtan uca şifreleme kullanın

Uçtan uca şifreleme, verilerin göndericinin aygıtında şifrelenmesini ve yalnızca alıcının aygıtında şifresinin çözülmesini sağlar. Örneğin Proton Mail, Proton’un bile e-postalarınızın içeriğine erişememesini sağlayarak bu düzeyde bir güvenlik sunar.

Çok faktörlü kimlik doğrulama kullanın

Aşağıdaki gibi çok faktörlü kimlik doğrulama iki adımlı doğrulama (2FA), yalnızca parolaların ötesinde ek bir güvenlik katmanı ekler ve yetkisiz erişime karşı savunmanızı önemli ölçüde artırabilir. Bir Proton for Business tarifesi ile, güvenliği pekiştirmek ve sağlamak için kuruluşunuzun 2FA kullanmasını zorunlu tutabilirsiniz.

Düzenli güvenlik denetimleri

E-posta iletişimlerinizin ve diğer sistemlerinizin PCI DSS gereksinimleriyle uyumlu olduğundan emin olmak için düzenli güvenlik denetimleri gerçekleştirin. Bu denetimler, güncel olmayan güvenlik duvarı yapılandırmalarındaki ve hatalı erişim kontrollerindeki güvenlik açıklarını ortaya çıkarabilir. Bu, olası güvenlik açıklarının kötüye kullanılmadan önce belirlenmesine ve giderilmesine yardımcı olur.

Proton ile PCI uyumluluğunu sürdürün

Proton kullandığınızda, işletme verilerinizi hiç kimsenin, hatta Proton’un bile erişemeyeceği şekilde korursunuz. En değerli bilgilerinizin anahtarları her zaman sizin elinizde kalır. Gizlilik ve güvenliğe olan bu bağlılık, Proton’u PCI uyumluluğuna ulaşmaya ve bunu sürdürmeye çalışan işletmeler için ideal bir çözüm haline getirir.

Proton, CERN’de (Avrupa Nükleer Araştırma Merkezi) tanışan bilim insanları tarafından yönetilen bir proje olarak başladı. Amacımız, verilerin kontrolünü bireylerin ve kuruluşların eline vermek için interneti yeniden şekillendirmektir.

Tüm kuruluşunuzun e-postalarını, kişilerini ve takvimlerini, ekibiniz için herhangi bir eğitim gerekmeden diğer hizmetlerden sorunsuz bir şekilde taşımanıza olanak tanıyan Easy Switch özelliğimizle Proton Mail’e geçmek basittir. Destek ekibimiz de ek yardıma ihtiyaç duymanız durumunda canlı destek sağlamak için 7/24 hizmetinizdedir. Uçtan uca şifrelenmiş e-postamız Proton Mail ve uçtan uca şifrelenmiş bulut depolama alanı hizmetimiz Proton Drive, veri koruma ve gizlilik gereksinimlerini karşılamayı kolaylaştırır.

Proton for Business kullanmak aşağıdakiler dâhil ek avantajlar sunar:

• Proton Mail: İş yazışmalarınızı uçtan uca şifrelenmiş e-posta ile koruyun; iletilerinizi yalnızca sizin ve hedeflenen alıcıların okuyabileceğinden emin olun.
• Proton VPN: İnternet bağlantınızı güvence altına alın ve yüksek hızlı VPN erişimiyle çevrim içi etkinliklerinizi koruyun.
• Proton Calendar: İş etkinliklerinizi gizli tutan şifrelenmiş bir takvimle programınızı yönetin.
• Proton Pass: Şifrelenmiş parola yöneticimizle parolalarınızı güvenli bir şekilde saklayın ve yönetin.
• Proton Drive: Verilerinizin güvenli ve korumalı kalmasını sağlayarak, uçtan uca şifreleme ile dosyaları güvenli bir şekilde depolayın ve paylaşın.

Proton for Business için hesap açarak Proton’un kuruluşunuz için uyumluluğu nasıl basit hale getirebileceğini keşfedin veya daha özel çözümler için Satış ekibimizle iletişime geçin.

İşletmenizi Proton ekosistemine taşıdığınızda, aynı zamanda kendinizi ve müşterilerinizin verilerini korur, uyumlu kalır ve gizliliğin varsayılan olduğu bir geleceğin inşasına yardımcı olursunuz.