PCI DSS Uyum Değerlendirmesi

Kartlı ödeme sistemlerinizi ve ilgili BT altyapınızı PCI DSS v4.0.1 gereksinimleri doğrultusunda değerlendirerek uyum seviyenizi analiz ediyor ve iyileştirme yol haritanızı çıkarıyoruz.

PCI DSS v4.0.1

Kartlı ödeme işleyen her kurum için PCI DSS uyumu bir tercih değil, zorunluluktur. Ancak uyum, tek seferlik bir onay kutusu değil; kart sahibi verilerini korumaya yönelik sürekli bir disiplindir. v4.0.1 ile gelen yeni gereksinimler, daha önce uyumlu olan kurumları bile yeniden değerlendirmeye zorluyor.

SAVKOR’un PCI DSS uyum değerlendirmesi, PCI DSS v4.0.1 gereksinimleri doğrultusunda kartlı ödeme ortamınızı bütünsel olarak inceler. Ağ segmentasyonundan kart verisi korumasına, erişim kontrolünden loglamaya kadar mevcut durumunuzu gereksinimlerle karşılaştırır ve bir boşluk analizi (gap analysis) çıkarır. Amacımız, resmi denetime sürprizsiz ve hazır girmenizi sağlayacak, önceliklendirilmiş net bir yol haritası sunmaktır. (Teknik penetrasyon testi yükümlülüğü için PCI-DSS Sızma Testi hizmetimiz bu değerlendirmeyi tamamlar.)

Test Kapsamı

  • Kart sahibi veri ortamı (CDE) kapsamı ve ağ segmentasyonu
  • Kart sahibi verisi (CHD) koruması ve şifreleme
  • Erişim kontrolü ve kimlik doğrulama
  • Güvenli yapılandırma ve sertleştirme
  • Loglama, izleme ve zafiyet yönetimi
  • Güvenli yazılım geliştirme süreçleri

Metodoloji

  1. 01

    Kapsam Belirleme

    CDE sınırları ve değerlendirme kapsamı netleştirilir.

  2. 02

    Mevcut Durum Analizi

    Mevcut kontroller PCI DSS v4.0.1 gereksinimleriyle karşılaştırılır.

  3. 03

    Boşluk Analizi (Gap Analysis)

    Uyumlu olmayan alanlar ve eksik kontroller belirlenir.

  4. 04

    Önceliklendirme

    Boşluklar risk ve uyum etkisine göre önceliklendirilir.

  5. 05

    Yol Haritası & Raporlama

    Uyum için aşamalı bir iyileştirme yol haritası hazırlanır ve raporlanır.

Teslimatlar

  • Yönetici özeti ve uyum durumu görünümü
  • Gereksinim bazında boşluk analizi (gap analysis)
  • Kontrol bazlı uyum değerlendirmesi
  • Önceliklendirilmiş iyileştirme yol haritası
  • Denetime hazırlık önerileri

Sık Sorulan Sorular

Bu bir resmi PCI DSS denetimi mi?

Hayır. Bu bir hazırlık ve boşluk değerlendirmesidir (gap analysis). Resmi uyum belgelendirmesi bir QSA (Qualified Security Assessor) tarafından yapılır. Bizim çalışmamız, o resmi denetime eksiksiz ve hazır girmenizi sağlar; sürprizleri önceden ortaya çıkarır.

Segmentasyon uyum maliyetini nasıl etkiler?

CDE'yi (kart verisi ortamını) ağınızın geri kalanından doğru şekilde ayırmak, PCI DSS kapsamınızı daraltır. Daha küçük kapsam, hem daha az kontrol hem de daha düşük uyum maliyeti demektir. Bu yüzden segmentasyon, akıllı bir uyum stratejisinin merkezindedir.

PCI DSS v4.0.1 ile ne değişti?

v4.0.1, kimlik doğrulama (MFA gereksinimlerinin genişlemesi), özelleştirilmiş uygulama yaklaşımı ve daha sık doğrulama gibi alanlarda güncellemeler getirdi. Değerlendirme, en güncel gereksinimlere göre yapılır; eski sürüme göre uyumlu olan kontroller yeni sürümde boşluk oluşturabilir.

Güvenlik açıklarınızı saldırganlardan önce keşfedin.

Ücretsiz ön değerlendirme