Yükleniyor...

Web sitenizdeki mal veya hizmetler için ödeme almayı düşünüyorsanız, Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) düzenlemelerine uymanız gerekir. Bunlar, ödeme kartı verilerini depolayan, işleyen veya ileten şirketlerin karşılaması gereken güvenlik standartlarıdır. Bu yazıda, ne olduklarına daha yakından bakacağız ve neden PCI uyumlu bir sunucuya ihtiyacınız olduğunu açıklayacağız.

PCI uyumluluğu ne gerektirir

Şirketinizin çevrimiçi kart ödemelerini kabul etmesini istiyorsanız, sunucu ortamınız ve e-Ticaret uygulamasının PCI DSS ile uyumlu olması gerekir. Bu, üçüncü taraf bir ödeme işlemcisi kullansanız bile geçerlidir. Buna uyulmaması, devam eden para cezaları veya en kötü senaryoda, ödemeleri almaktan ve böylece şirketinizin ticaret yapamayacağını bulmaktan dolayı önemli bir etkiye sahip olabilir.

PCI uyumluluğu için yerine getirmeniz gereken standartlar ayrıntılı ve titizdir. Güvenli bir ağ oluşturmanızı ve sürdürmenizi, kart sahibi verilerini korumanızı, bir güvenlik açığı yönetim programını sürdürmenizi, güçlü erişim kontrol önlemlerini uygulamanızı, ağları düzenli olarak izlemenizi ve test etmenizi ve bir bilgi güvenliği politikasını sürdürmenizi gerektirir.

Bu standartların karşılandığından emin olmak için, uygun şekilde yapılandırılmış bir güvenlik duvarının kurulumu ve bakımı, güçlü (satıcı tarafından sağlanmayan) sistem şifrelerinin kullanımı, taşıma sırasında kart sahibi verilerinin şifrelenmesi, kart sahibi verilerinin güvenli bir şekilde depolanması ve antivirüs yazılımının kullanımı. Buna ek olarak, uygulamaları güncellemeniz ve yama yapmanız, kart sahibi verilerine hem sistem hem de fiziksel erişimi kısıtlamanız ve bireysel personel için benzersiz kimlikler oluşturmanız gerekir; böylece ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyebilir ve izleyebilirsiniz.

Bundan açıkça anlaşılmaktadır ki, PCI DSS standartları katıdır ve bunların uygulanması ve sürdürülmesinin yanı sıra uyumluluğu kanıtlamanın sorumluluğu, e-Ticaret şirketine ve kullandıkları üçüncü taraf hizmet sağlayıcılarına aittir.

PCI uyumluluğunun zorlukları ve çözümleri

e-Ticaret şirketleri, PCI DSS düzenlemelerine uymaya çalışırken iki büyük zorlukla karşı karşıyadır. Birincisi, standartları karşılayan bir kurum içi sistem inşa etmenin maliyeti ve ikincisi de uyum sağlamak için uzmanlıktan yoksundur. Uyumluluğu elde etmeyi daha kolay ve daha ucuz hale getiren bir çözüm, hem sunucu altyapısını hem de gerekli uzmanlığı sunabilen PCI uyumlu bir barındırma sağlayıcısının hizmetlerini kullanmaktır.

Örneğin, eukhost'ta veri merkezlerimizin, ağlarımızın ve operasyonlarımızın PCI DSS uyumlu olmasını sağlamaya hazırız. Tüm veri merkezlerimizin sağlam fiziksel ve sistem güvenliğini sağlamanın yanı sıra, tüm VPS, bulut sunucularımız ve özel sunucularımız PCI uyumludur. Başka bir deyişle, isteğe bağlı olarak PCI uyumluluğunu karşılamak için gereken tüm yapılandırma değişikliklerini yapabiliriz.

Farklı PCI uyumluluğu düzeyleri vardır ve uygulanan çözümler, işletmenizin ulaşmak zorunda olduğu düzeye bağlıdır. Örneğin, çoğu e-ticaret sitesi SAQ A veya SAQ A-EP seviyelerini karşılamalıdır. Bunlar, ödemeleri Stripe veya PayPal gibi üçüncü taraf bir ödeme ağ geçidi üzerinden işleyen şirketler için gereklidir. Müşteriler bu tür işlemleri gerçekleştirmek için ödeme ağ geçidine aktarıldığından, sunucularımız tarafından hiçbir kart bilgisi depolanmaz veya iletilmez. Sonuç olarak, uyum yükünüz önemli ölçüde azalır.

Uyum sürecini hayata geçirmek

Sunucu PCI uyumlu hale getirmenin tam gereksinimlerini belirlemek için, barındırma satıcınızın kullanacağınız uygulamayı ve karşılamanız gereken PCI uyumluluk düzeyini bilmesi gerekir. Burada eukhost'ta aşağıdakileri standart olarak gerçekleştiriyoruz:

• Bir güvenlik duvarının etkin olduğundan ve sağlam bir güvenlik duvarı politikası uyguladığınızdan emin olun.
• Bir SSL sertifikasının kurulu olduğundan ve doğru siberlerin ayarlandığından emin olun.
• Şifrelemenin tüm hizmetler için zorunlu olduğundan emin olun.
• Hizmet vermesi gerekmeyen yazılımları devre dışı bırakın.
• İzinsiz giriş önleme özelliğini etkinleştirin ve yapılandırın.
• Uygulama güvenlik duvarını etkinleştirme
• Virüsten koruma ve kötü amaçlı yazılımdan koruma hizmetlerini etkinleştirin ve yapılandırın.
• Günlük tutma ve günlük tutma politikalarının geçerli olduğundan emin olun.
• Bir erişim ve şifre politikası uygulayın.
• Bir yedekleme ilkesinin yürürlükte olduğundan ve yedeklemelerin şifreli olduğundan emin olun.

Bu özelliklere ve ayrıca ihtiyacınız olan diğer tüm özelliklere sahip olduktan sonra, bir uyumluluk taraması yapmak için bir PCI uyumluluk değerlendiricisi ayarlayabileceksiniz.

Unutmayın, genel sorumluluk şirkete aittir

PCI DSS uyumlu bir satıcı uymanıza ve daha ekonomik bir şekilde yapmanıza yardımcı olabilirken, nihai sorumluluk şirkete aittir. Benzersiz kullanıcı kimlikleri atamak ve şirket içinde yürütülen bir bilgi güvenliği politikasını sürdürmek gibi standartlara da ulaşılmalıdır. Ayrıca, şirketlerin kullandıkları üçüncü taraf barındırma hizmetlerinin de düzenlemelere uymasını sağlamalıdır.

Sonuç

PCI DSS, bir e-Ticaret şirketinin uyması gereken en önemli düzenlemelerden biridir. Tüketiciyi korumak için tasarlanan bu ürün, zorlu gereksinimlere sahiptir ve titizlikle polisajlanmıştır. Uyumluluğa ulaşmanıza yardımcı olacak en etkili yollardan biri, PCI uyumluluğunda deneyim ve uzmanlığa sahip olan ve gereken uyumlu sunucu ortamını sağlayabilen bir barındırma iş ortağının hizmetlerini kullanmaktır.