Üye İşyerleri, kart ve kart hamili verilerinin güvenliğini sağlamakla yükümlüdür. Kart verilerinin üye işyerlerinden çalınması, sızması, kopyalanması gibi durumlarda, kart kuruluşları tarafından bir takım cezai yaptırımlar uygulanmaktadır. Üye işyerleri, sabit parasal cezaların yanı sıra, kart hamili bankalarının uğradıkları zararı tazmin etmek zorunda kalmakta, kart kabul yetkileri kısmen ya da tamamen kısıtlanabilmekte ve bunun sonucunda, büyük ölçüde para ve itibar kaybına uğrayabilmektedirler.
Müşteri verilerinin güvenliğinin sağlanması, verilerin sızması ve veri çalınması riskinin azaltılması amacıyla uluslararası kartlı ödeme sistemleri kuruluşları tarafından, Kartlı Ödeme Sektörü Veri Güvenlik Standartları (PCI DSS) geliştirilmiştir. Bu düzenlemenin temel amacı kart hamili bilgisi (kart numarası, kart hamili ismi, servis kodu, son kullanım tarihi) ve kritik doğrulama bilgisinin (manyetik şerit bilgileri, çip bilgileri, güvenlik kodu ve şifre) güvenliğini sağlamaktır.
On iki koşuldan oluşan Veri Güvenlik Standartları, temelde bu bilgilerden hangilerinin saklanabileceği ve saklanırken nasıl korunacağına dair kuralları içermektedir:
- Kart hamili verilerini korumak için bir güvenlik duvarının(firewall) kurulması
- Tedarikçilerden alınan ilk şifre ve diğer güvenlik parametrelerinin değiştirilmeden kullanılmaması
- Kaydedilen kritik kart hamili verilerinin korunması
- Kamusal ağlar üzerinden iletilen kart hamili verilerinin ve hassas bilgilerin şifrelenmesi
- Anti-virüs yazılımı kullanılması ve yazılımın düzenli olarak güncellenmesi
- Güvenlik sistemleri ve uygulamaları geliştirilmesi ve devamlılığının sağlanması
- İş tanımı gereği ihtiyaç duymayan firma çalışanlarının kart hamili verilerine erişiminin sınırlanması
- Bilgisayar erişimi olan her bir kişi için ayrı bir kullanıcı kimliği ve şifre tanımlanması
- Kart hamili verilerine fiziksel erişimin sınırlandırılması
- Ağ kaynaklarına ve kart hamili verilerine erişimin izlenmesi
- Güvenlik sistemlerinin ve süreçlerinin düzenli olarak sınanması
- Bilgi güvenliğine yönelik bir politika belirlenmesi
Veri Güvenliği Standartlarına tüm bankaların, üye işyerlerinin ve hizmet sağlayıcıların uyması zorunludur.
Bununla birlikte, işlem hacimlerinin büyüklüğüne göre bazı üye işyerlerinin ve servis sağlayıcıların Yıllık Saha Denetimi (On-site Audit), Üç Aylık Network Taraması (Quarterly Network Scan) yaptırması ve Yıllık Öz Değerlendirme Formu (SAQ) doldurması gerekmektedir. İşyerlerine, üye işyeri anlaşması yaptıkları bankalar tarafından hangi denetim seviyesinde oldukları ve hangi denetimleri yapmaları gerektiği bilgisi verilir.
İşlem adetleri, kart kuruluşları tarafından belirlenmiş olan eşiklerin altında olmasına rağmen, daha önce Veri Güvenliği Standartlarını ihlal etmiş olmaları nedeniyle cezai yaptırıma uğrayan işyerleri için de Yıllık Saha Denetimi, Üç Aylık Network Taraması yaptırma ve Yıllık Öz Değerlendirme Formu doldurma zorunluluğu getirilebilir.
Yıllık Saha Denetimi, kart kuruluşları tarafından yetki verilmiş Kalifiye Güvenlik Eksperi(QSA) veya sertifika verilmiş şirket personeli tarafından Veri Güvenliği Standartlarına uygun olarak yapılmalıdır.
Üç Aylık Network Taraması üye işyeri sistemlerinin (korsanlık veya kötü niyetli virüsler gibi) dış tehditlere karşı korunup korunmadığını inceler. Tarama, kart kuruluşları tarafından yetki verilmiş Onaylı Tarama Sağlayıcı (ASV) şirketlerden biri tarafından yapılmalıdır.
Yıllık Öz Değerlendirme Formu ise üye işyeri ya da kart kuruluşları tarafından yetki verilmiş firmalar tarafından doldurulur ve üye işyerinin Veri Güvenliği Standartlarına uyumluluğunu ölçmek için kullanılır.
Üye işyerlerinin yapılan yıllık saha denetimi, üç aylık network taraması ve yıllık öz değerlendirme anketi sonucunda Veri Güvenliği Standartlarına uyumlu olması, işyeri ile anlaşmalı olan bankanın da işyerinin uyumluluk durumunu ilgili kart kuruluşlarına raporlaması zorunludur. Üye işyeri, uyumluluğunu bankasına kanıtlamakla yükümlüdür.
Üye işyeri kart verisini işleyen dış kaynaklı yazılımlarının da veri güvenliği standartlarına uygun olduğunu (PA DSS) belgelemek zorundadır.
Veri güvenliği standartlarının herhangi birine uyumsuzluğu durumunda, işyerinin uyumluluğu sağlayıcı önlemleri bir an önce alması, izleyeceği yöntem ve uyumluluğu sağlayacağı tarihi bankasına bildirmesi zorunludur.
Kart Kuruluşları üye işyerlerinin Veri Güvenliği Standartlarına uyumsuzluğu halinde üye işyeri bankasına uyarı ve parasal ceza uygulayabilmektedirler. Bu durumda parasal cezaların üye işyeri sözleşmesi hükümleri kapsamında üye işyerine yansıtılması söz konusu olacaktır. Ayrıca işyeri bankası tarafından işyeri fesih kararı da alınabilmektedir.
İşlem adetleri, kart kuruluşları tarafından belirlenmiş olan eşiklerin altında olmasına rağmen, daha önce Veri Güvenliği Standartlarını ihlal etmiş olmaları nedeniyle cezai yaptırıma uğrayan işyerleri için de Yıllık Saha Denetimi, Üç Aylık Network Taraması yaptırma ve Yıllık Öz Değerlendirme Formu doldurma zorunluluğu getirilebilir.
Yıllık Saha Denetimi, kart kuruluşları tarafından yetki verilmiş Kalifiye Güvenlik Eksperi(QSA) veya sertifika verilmiş şirket personeli tarafından Veri Güvenliği Standartlarına uygun olarak yapılmalıdır.
Üç Aylık Network Taraması üye işyeri sistemlerinin (korsanlık veya kötü niyetli virüsler gibi) dış tehditlere karşı korunup korunmadığını inceler. Tarama, kart kuruluşları tarafından yetki verilmiş Onaylı Tarama Sağlayıcı (ASV) şirketlerden biri tarafından yapılmalıdır.
Yıllık Öz Değerlendirme Formu ise üye işyeri ya da kart kuruluşları tarafından yetki verilmiş firmalar tarafından doldurulur ve üye işyerinin Veri Güvenliği Standartlarına uyumluluğunu ölçmek için kullanılır.
Üye işyerlerinin yapılan yıllık saha denetimi, üç aylık network taraması ve yıllık öz değerlendirme anketi sonucunda Veri Güvenliği Standartlarına uyumlu olması, işyeri ile anlaşmalı olan bankanın da işyerinin uyumluluk durumunu ilgili kart kuruluşlarına raporlaması zorunludur. Üye işyeri, uyumluluğunu bankasına kanıtlamakla yükümlüdür.
Üye işyeri kart verisini işleyen dış kaynaklı yazılımlarının da veri güvenliği standartlarına uygun olduğunu (PA DSS) belgelemek zorundadır.
Veri güvenliği standartlarının herhangi birine uyumsuzluğu durumunda, işyerinin uyumluluğu sağlayıcı önlemleri bir an önce alması, izleyeceği yöntem ve uyumluluğu sağlayacağı tarihi bankasına bildirmesi zorunludur.
Kart Kuruluşları üye işyerlerinin Veri Güvenliği Standartlarına uyumsuzluğu halinde üye işyeri bankasına uyarı ve parasal ceza uygulayabilmektedirler. Bu durumda parasal cezaların üye işyeri sözleşmesi hükümleri kapsamında üye işyerine yansıtılması söz konusu olacaktır. Ayrıca işyeri bankası tarafından işyeri fesih kararı da alınabilmektedir.