Genel Bakış

Kredi Kartı Sektörü Veri Güvenliği Standardı (PCI DSS); American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. tarafından kurulan PCI Güvenlik Standartları Konseyi tarafından yönetilen tescilli bilgi güvenliği standardıdır.

PCI DSS, tüccarlar, işleyiciler, alıcı bankalar, verenler ve hizmet sağlayıcıları da dâhil olmak üzere kart sahibi verilerini (CHD) veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten kuruluşlar için geçerlidir. PCI DSS, kart markaları tarafından zorunlu kılınır ve Kredi Kartı Sektörü Güvenlik Standartları Konseyi tarafından yönetilir.

PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'ndaki AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin.

PCI logosu

Sayfa konuları

Genel SSS
3
PCI DSS üzerinde AWS
17

Genel SSS

Tümünü aç

Evet. PCI DSS standardını PCI Güvenlik Standartları Konseyi Belgeler Kitaplığı'ndan indirebilirsiniz.

Şirketlerin PCI DSS uyumluluğunu yıllık düzeyde doğrulamak için sahip olduğu iki temel yaklaşım bulunur. İlk yaklaşım, harici bir Nitelikli Güvenlik Denetçisi'ne (QSA) mevcut ortamınızı denetletmek ve ardından Uyumluluk Raporu (ROC) ile Uyumluluk Beyanı (AOC) oluşturmaktır. Bu yaklaşım, en yaygın olarak büyük işlem hacimlerine sahip olan kuruluşlarda görülür. İkinci yaklaşım ise Kendini Değerlendirme Anketi (SAQ) yapmaktır. Bu yaklaşım ise daha küçük işlem hacimlerine sahip kuruluşlarda görülür.

Uyumluluğu sağlamanın, PCI konseyinin değil, kart markaları ve alıcı bankaların sorumluluğunda olduğunu unutmamak gerekir.

Aşağıda PCI DSS gereksinimlerine üst düzey bir genel bakış sunulmuştur.

Güvenli bir ağ ile sistemler oluşturma ve devamlılığını sağlama

  • Ağ Güvenlik Denetimlerini Kurun ve Devamlılığını Sağlayın.
  • Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulayın.

Hesap Verilerini Koruma

  • Saklanan Hesap Verilerini Koruyun.
  • Açık, Genel Ağlar Üzerinden İletim Sırasında Kart Sahibi Verilerini Güçlü Kriptografi ile Koruyun.

Güvenlik Açığı Yönetim Programını Koruma

  • Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruyun.
  • Güvenli Sistemler ve Yazılımlar Geliştirin ve Devamlılığını Sağlayın.

Güçlü Erişim Denetimi Önlemleri Uygulama

  • Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İş İçin Bilmesi Gerekenlerle Sınırlandırın.
  • Kullanıcıları Tanımlayın ve Sistem Bileşenlerine Erişim İçin Kimlik Doğrulaması Yapın.
  • Kart Sahibi Verilerine Fiziksel Erişimi Sınırlandırın.

Ağları Düzenli Olarak İzleme ve Test Etme

  • Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimleri Günlüğe Kaydedin ve İzleyin.
  • Sistem ve Ağların Güvenliğini Düzenli Olarak Test Edin.

Bilgi Güvenliği Politikasının Devamlılığını Sağlama

  • Kurumsal Politikalar ve Programlarla Bilgi Güvenliğini Destekleyin.

PCI DSS üzerinde AWS

Tümünü aç

Evet, Amazon Web Services (AWS), mevcut en yüksek değerlendirme değeri olan PCI DSS 1. Düzey Hizmet Sağlayıcısı olarak sertifikalıdır. Uyumluluk değerlendirmesi, bağımsız bir Nitelikli Güvenlik Değerlendirici (QSA) olan Coalfire Systems Inc. tarafından gerçekleştirilir. PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'ndaki AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünde daha fazla bilgi edinin.

PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın. Bu hizmetlerin kullanılmasıyla ilgili daha fazla bilgi için bize ulaşın.

AWS hizmetlerini kart sahibi verilerini depolamak, işlemek veya aktarmak için kullanan bir müşteri olarak kendi PCI DSS uyumluluğu sertifikanızı sürdürmek için AWS teknolojik altyapısına güvenebilirsiniz.

AWS; hiçbir müşteri kart sahibi verisini (CHD) doğrudan depolamaz, aktarmaz veya işlemez. Ancak, AWS hizmetlerini kullanarak kart sahibi verilerini depolayan, aktaran veya işleyen kendi kart sahibi veri ortamınızı (CDE) oluşturabilirsiniz.

PCI DSS müşterisi olmasanız bile PCI DSS uyumluluğunuz, her düzeyde bilgi güvenliğine olan bağlılığımızı kanıtlamaktadır. PCI DSS standardının harici bir bağımsız üçüncü tarafça doğrulanması, güvenlik yönetimi programımızın kapsamlı olduğunu ve önde gelen sektör uygulamalarını takip ettiğini onaylar.

Müşterilerin kendi PCI DSS uyumluluk sertifikasını yönetmesi gerekir. Ortamınızın tüm PCI DSS gereksinimlerini karşıladığından emin olmak için ilave testler gerekli olacaktır. Ancak, PCI kart sahibi veri ortamının (CDE) AWS'de dağıtılan oranı için Nitelikli Güvenli Denetçiniz (QSA), daha fazla teste gerek duymadan AWS Uyumluluk Beyanına (AOC) güvenebilir.

Ayrıntılı bilgi için lütfen AWS uyumluluk raporlarına isteğe bağlı erişim sunan self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulan AWS PCI DSS Uyumluluk Beyanı Paketinden "AWS PCI DSS Sorumluluk Özeti"ne bakın. AWS Yönetim Konsolu'ndaki AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin. Müşteriler ayrıca AWS Güvenlik Teminatı Hizmetleri ekibinden denetim ve uyumluluk danışmanlığı hizmetleri talep edebilir.

AWS PCI Uyumluluk Paketi, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'ndaki AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin.

AWS PCI Uyumluluk Paketine dâhil olanlar:

  • • AWS PCI DSS 3.2.1 Uyumluluk Beyanı (AOC)
  • AWS PCI DSS 3.2.1 Sorumluluk Özeti

Evet. AWS hem Visa Hizmet Sağlayıcılar Küresel Kayıt Defteri hem de MasterCard Uyumlu Hizmet Sağlayıcı Listesi'nde yer alır. Hizmet Sağlayıcı listeleri, AWS'nin başarıyla doğrulanan PCI DSS uyumluluğunu kanıtlar ve geçerli olan tüm Visa ve MasterCard program gereksinimlerini karşılar.

Hayır. AWS ortamı sanallaştırılmış, çok kiracılı bir ortamdır. AWS, etkili ve güvenli bir şekilde her müşterinin kendi korumalı ortamını ayıran güvenlik yönetimi süreçlerini, PCI DSS gereksinimlerini ve diğer telafi edici denetimleri etkili bir şekilde uygulamaktadır. Bu güvenli mimari, bağımsız bir QSA tarafından onaylanmış ve PCI DSS standardının geçerli tüm gerekliliklerine uyumlu bulunmuştur.

PCI Güvenlik Standartları Konseyi bulut bilişim hizmetlerinin müşterileri, hizmet sağlayıcıları ve denetçileri için PCI DSS Bulut Bilgi İşlem Yönergeleri'ni yayınlamıştır. Ayrıca hizmet modellerini ve sağlayıcılar ile müşteriler arasındaki uyumluluk rollerinin ve sorumluluklarının nasıl paylaşılacağını da açıklar.

Hayır. AWS Uyumluluk Beyanı (AOC), AWS veri merkezlerinin kapsamlı fiziksel güvenlik denetimlerinin değerlendirilmesini gösterir. Alıcı bankaya ait bir QSA'nın AWS veri merkezlerinin güvenliğini doğrulamasına gerek yoktur.

AWS, PCI-DSS kapsamında bir “Paylaşılan Barındırma Sağlayıcısı” sayılmamaktadır. Böylelikle DSS gereksinimi A1.4 uygulanamaz. Paylaşılan Sorumluluk Modeli’miz kapsamında müşterilerimizin AWS’den ek destek ihtiyacı olmadan kendi AWS ortamlarında dijital adli soruşturma yapmalarını mümkün kılarız. Bu mümkün kılma AWS Marketplace aracılığıyla mevcut olan AWS hizmetlerinin hem de üçüncü taraf çözümlerin kullanımıyla sağlanır. Daha fazla bilgi için aşağıdaki kaynaklara bakın:

PCI DSS uyumlu AWS hizmetlerini kullandığınız sürece, kapsam dahilindeki hizmetleri destekleyen tüm altyapı uyumludur ve ayrı bir ortam ya da özel bir API kullanılmasına gerek yoktur. Bu hizmetlere dağıtılan veya hizmetleri kullanan her sunucu veya veri, küresel olarak PCI DSS uyumlu bir ortamdadır. PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın.

Evet. Uyumlu konumların tam listesine ulaşmak için lütfen AWS Artifact’teki en son PCI DSS AOC’ye bakın.

Evet, sayısız AWS müşterisi AWS üzerinde kart sahibi ortamlarının bir kısmını veya tümünü başarıyla dağıtmış ve sertifikasını almıştır. AWS, PCI DSS sertifikası alan müşterilerini ifşa etmez ancak AWS üzerindeki kart sahibi ortamının planlanması, dağıtılması, sertifika alması, 3 aylık taramalar gerçekleştirilmesi konusunda müşteriler ve PCI DSS denetçileriyle düzenli olarak çalışır.

Evet. AWS CloudHSM, PCI PIN sertifikalı, ve AWS Payment Cryptography, PCI PIN ve P2PE sertifikalıdır. Raporları, AWS Artifact'ta müşterilerin kullanımına sunulmuştur.

Evet. Yıllık PCI 3DS raporlarımız Artifact'ta mevcuttur. AWS, 3DS işlevlerini doğrudan gerçekleştirmese de AWS PCI 3DS uyumluluk onayı, müşterilerin AWS'de çalışan hizmetleri için kendi PCI 3DS uyumluluğunu sağlamalarına yardımcı olabilir.

PCI DSS

Genel Bakış

Kredi Kartı Sektörü Veri Güvenliği Standardı (PCI DSS); American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. tarafından kurulan PCI Güvenlik Standartları Konseyi tarafından yönetilen tescilli bilgi güvenliği standardıdır.

PCI DSS, tüccarlar, işleyiciler, alıcı bankalar, verenler ve hizmet sağlayıcıları da dâhil olmak üzere kart sahibi verilerini (CHD) veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten kuruluşlar için geçerlidir. PCI DSS, kart markaları tarafından zorunlu kılınır ve Kredi Kartı Sektörü Güvenlik Standartları Konseyi tarafından yönetilir.

PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »