PCI ( Payment Card Industry) DSS (Data Security Standard) SAQ A (Self-Assessment Questionnaire A) Gereksinimleri ve Güvenlik Değerlendirme Prosedürleri belgesinde tanımlandığı gibi PCI DSS gereksinimlerine ve test prosedürleri kapsamında PCI DSS SAQ A Uyum Danışmanlığı hizmeti verdiğimizi duyurmaktan mutluluk duyarız.
Satıcının sistemlerinde veya tesislerinde herhangi bir kart sahibi verisinin elektronik olarak depolanması, işlenmesi veya iletilmesi yasaktır. SAQ A, kart sahibi verilerine sahip üye işyerleri için geçerli gereksinimleri karşılamak üzere geliştirilmiştir. PCI uyumlu olmak için bankanın bir öz değerlendirme anketi doldurmasına izin verebilir, ancak farklı işletme türleri için farklı anket türleri bulunmaktadır. Bu farklılıklar, işletmenin ne tür kart verilerini aldığını, ödemeleri nasıl ele aldığını ve kart verilerini nasıl depolayıp ilettiğini içerebilir.
SAQ A’yı Kimler Kullanmalıdır?
SAQ A, kart verilerinin işlenmesini doğrulanmış üçüncü taraflara yaptıran tüccarlar içindir. Bu kategori, e-ticaret veya posta, telefon siparişi veren tüccarları içerebilir.
PCI DSS, SAQ A tüccarları için geçerli olan gereksinimlerin bir listesini aşağıdaki gibi özetlemektedir:
- Şirketin sadece kartsız (e-ticaret veya posta/telefonla sipariş) işlemleri kabul etmesi.
- Kart sahibi verilerinin işlenmesinin, tamamen PCI DSS tarafından doğrulanmış üçüncü taraf hizmet sağlayıcılarına dış kaynaklı olması.
- Sistemlerde veya tesislerde herhangi bir kart sahibi verisinin elektronik olarak saklanmaması, işlenmemesi veya iletilmemesi, ancak tüm bu işlevleri yerine getirmek için tamamen üçüncü bir tarafa/kişilere güvenilmesi.
- Şirketin, kart sahibi verilerinin depolanmasını, işlenmesini ve/veya iletimini gerçekleştiren tüm üçüncü şahısların PCI DSS uyumlu olduğunu onaylaması.
- Şirketin elinde tuttuğu kart sahibi verileri kağıt üzerindedir (örneğin, basılı raporlar veya makbuzlar) ve bu belgeler elektronik olarak alınamaz.
SAQ A, daha kısa SAQ’lardan birisidir, çünkü geçerli işletmeler herhangi bir kart verisiyle aktif olarak ilgilenmezler ve tüm kart sahibi verileri işlevlerini üçüncü taraflara yaptırırlar. Ancak, kart sahibi verilerini içeren raporlara ve makbuzlara erişimleri olduğundan, yine de güvenli olduklarından ve geçerli PCI DSS uyumlu politika ve prosedürleri izlediğinden emin olmaları gerekir.
PCI DSS SAQ A Tavsiyeleri
Servis Sağlayıcılarla Güvenlik Politikalarının Güncellenmesi: Kart verilerini doğrudan kullanımı olmasa bile, hizmet sağlayıcılarınızın PCI uyumlu olması önemlidir. Güvenlikle ilgili olarak onlarla yapılan anlaşmaların düzenli olarak güncellendiğinden emin olunması gerekir.
Çalışanların Farkındalığının Arttırılması: Çalışanların onları takip etmiyorsa, politikalar iyi değildir. Çalışanların aylık olmasa bile en az üç ayda bir eğitilmesi farkındalığın arttırılması kapsamında gereklidir.
QSA/Güvenlik Uzmanları İle Çalışılması: PCI DSS uyumluluğu konusunda size yardımcı olacak bir uzmana sahip olmak çok fazla zaman ve enerji tasarrufu sağlar.
Danışmanlık hizmetlerimiz hakkıda daha ayrıntılı bilgi için bizimle iletişime geçebilirsiniz.
Ayrıca bakınız; KVKK Uyum Projesine Başalamak
Kaynakça: PCI Security Standard
