PCI DSS

Genel Bakış

140940_AWS_Multi-Logo Graphic_600x400_PCI

Kredi Kartı Sektörü Veri Güvenliği Standardı (PCI DSS); American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. tarafından kurulan PCI Güvenlik Standartları Konseyi tarafından yönetilen tescilli bilgi güvenliği standardıdır.

PCI DSS, tüccarlar, işleyiciler, alıcı bankalar, verenler ve hizmet sağlayıcıları da dahil olmak üzere kart sahibi verilerini (CHD) veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten tüm kuruluşlar için geçerlidir. PCI DSS, kart markaları tarafından zorunlu kılınır ve Kredi Kartı Sektörü Güvenlik Standartları Konseyi tarafından yönetilir.

PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

  • AWS PCI DSS Sertifikalı mıdır?

    Evet, Amazon Web Services (AWS), mevcut en yüksek değerlendirme değeri olan PCI DSS 3.2 1. Düzey Hizmet Sağlayıcısı olarak sertifikalıdır. Uyumluluk değerlendirmesi, bağımsız bir Nitelikli Güvenlik Değerlendirici (QSA) olan Coalfire Systems Inc. tarafından gerçekleştirilir. PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

  • Hangi AWS hizmetleri PCI DSS uyumludur?

    PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın. Bu hizmetlerin kullanılmasıyla ilgili daha fazla bilgi için bize ulaşın.

  • Bu, bir PCI DSS satıcısı ve hizmet sağlayıcısı olarak benim için ne anlama geliyor?

    AWS ürünlerini ve hizmetlerini kart sahibi verilerini depolamak, işlemek veya aktarmak için kullanan bir müşteri olarak, kendi PCI DSS uyumluluğu sertifikanızı sürdürmek için AWS teknolojik altyapısına güvenebilirsiniz.

    AWS; hiçbir müşteri kart sahibi verisini (CHD) doğrudan depolamaz, aktarmaz veya işlemez. Ancak, AWS ürünlerini kullanarak kart sahibi verilerini depolayan, aktaran veya işleyen kendi kart sahibi veri ortamınızı (CDE) oluşturabilirsiniz.

  • Bunun, PCI DSS dahilinde olmayan tüccar müşteri olarak benim için anlamı nedir?

    PCI DSS müşterisi olmasanız bile PCI DSS uyumluluğunuz, her düzeyde bilgi güvenliğine olan bağlılığımızı kanıtlamaktadır. PCI DSS standardının harici bir bağımsız üçüncü tarafça doğrulanması, güvenlik yönetimi programımızın kapsamlı olduğunu ve önde gelen sektör uygulamalarını takip ettiğini onaylar.

  • Bir AWS müşterisi olarak, AWS Uyumluluk Beyanı'na (AOC) güvenebilir miyim; yoksa tamamen uyumlu olmak için ilave testler gerekli midir?

    Müşterilerin kendi PCI DSS uyumluluk sertifikasını yönetmesi gerekir. Ortamınızın tüm PCI DSS gereksinimlerini karşıladığından emin olmak için ilave testler gerekli olacaktır. Ancak, PCI kart sahibi veri ortamının (CDE) AWS'de dağıtılan oranı için Nitelikli Güvenli Denetçiniz (QSA), daha fazla teste gerek duymadan AWS Uyumluluk Beyanına (AOC) güvenebilir.

  • Hangi PCI DSS denetimlerinden sorumlu olduğumu nasıl öğrenebilirim?

    Ayrıntılı bilgi için lütfen AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulan AWS PCI DSS Uyumluluk Beyanı Paketinden "AWS 2016 PCI DSS 3.2 Sorumluluk Özeti"ne bakın. AWS Management Console'da AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin.

  • AWS PCI Uyumluluk Paketini nasıl edinebilirim?

    AWS PCI Uyumluluk Paketi, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulur. AWS Management Console'dan AWS Artifact hizmetinde oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin.

  • AWS PCI DSS Uyumluluk Paketi neler içerir?

    AWS PCI Uyumluluk Paketine dahil olanlar:

    • AWS PCI DSS 3.2 Uyumluluk Beyanı (AOC)
    • AWS 2017 PCI DSS 3.2 Sorumluluk Özeti

  • AWS hem Visa Hizmet Sağlayıcılar Küresel Kayıt Defteri hem de MasterCard Uyumlu Hizmet Sağlayıcı Listesi'nde yer alıyor mu?

    Evet, AWS hem Visa Hizmet Sağlayıcılar Küresel Kayıt Defteri hem de MasterCard Uyumlu Hizmet Sağlayıcı Listesi'nde yer alır. Hizmet Sağlayıcı listeleri, AWS'nin başarıyla doğrulanan PCI DSS uyumluluğunu kanıtlar ve geçerli olan tüm Visa ve MasterCard program gereksinimlerini karşılamıştır.

  • PCI DSS standardına uyumlu olmak için tek kiracılı ortamlar mı gerekir?

    Hayır. AWS ortamı sanallaştırılmış, çok kiracılı bir ortamdır. AWS, etkili ve güvenli bir şekilde her müşterinin kendi korumalı ortamını ayıran güvenlik yönetimi süreçlerini, PCI DSS gereksinimlerini ve diğer telafi edici denetimleri etkili bir şekilde uygulamaktadır. Bu güvenli mimari, bağımsız bir QSA tarafından onaylanmış ve Nisan 2016 tarihli 3.2 numaralı PCI DSS standardının tüm gerekliliklerine uyumlu bulunmuştur.

    PCI Güvenlik Standartları Konseyi bulut bilişim hizmetlerinin müşterileri, hizmet sağlayıcıları ve denetçileri için PCI DSS Bulut Bilişim Yönergeleri 2.0'ı yayınlamıştır. Ayrıca hizmet modellerini ve sağlayıcılar ile müşteriler arasındaki uyumluluk rollerinin ve sorumluluklarının nasıl paylaşılacağını da açıklar.

    Ayrıca Üçüncü Taraf Güvenlik Teminatı 2016 standardı, kuruluşların kart sahibi verilerinin paylaşılacağı üçüncü taraf hizmet sağlayıcılarını seçerken, kullanırken ve yönetirken kullanabileceği ek bilgiler sunar.

  • QSA'lar 1. Düzey alıcı bankalar için AWS veri merkezinde fiziksel bir denetim gerektiriyor mu?

    Hayır. AWS Uyumluluk Beyanı (AOC), AWS veri merkezlerinin kapsamlı fiziksel güvenlik denetimlerinin değerlendirilmesini gösterir. Alıcı bankaya ait bir QSA'nın AWS veri merkezlerinin güvenliğini doğrulamasına gerek yoktur.

  • AWS adli soruşturmaları destekliyor mu?

    Evet. AWS, DSS gerekliliği A 1.4'e uygun olarak adli soruşturmalar yönetir. Müşteriler veya atanan Nitelikli Olay Müdahale Denetçileri (QIRA), adli soruşturma yapılması gerekiyorsa AWS ile iletişime geçebilir.

  • Sunucuları bağlarken veya depolanması için öğeleri yüklerken özel bir PCI DSS uyumlu ortam belirtmem gerekiyor mu?

    PCI DSS uyumlu AWS hizmetlerini kullandığınız sürece, kapsam dahilindeki hizmetleri destekleyen tüm altyapı uyumludur ve ayrı bir ortam ya da özel bir API kullanılmasına gerek yoktur. Bu hizmetlere dağıtılan veya hizmetleri kullanan her sunucu veya veri, küresel olarak PCI DSS uyumlu bir ortamdadır. PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın.

  • AWS uyumluluğu uluslararası olarak geçerli midir?

    Evet. Aşağıdaki konumlarda yer alan veri merkezleri PCI DSS standardıyla uyumludur: ABD Doğu (Kuzey Virginia), ABD Doğu (Ohio), ABD Batı (Oregon), ABD Batı (Kuzey California), AWS GovCloud (ABD), Kanada (Orta), Avrupa (İrlanda), Avrupa (Frankfurt), Avrupa (Londra), Asya Pasifik (Singapur), Asya Pasifik (Sidney), Asya Pasifik (Tokyo), Asya Pasifik (Seul), Asya Pasifik (Mumbai) ve Güney Amerika (São Paulo).

  • PCI DSS standardı herkese açık mıdır?

    Evet. PCI DSS standardını PCI Güvenlik Standartları Konseyi Belgeler Kitaplığı'ndan indirebilirsiniz.

  • AWS platformunda PCI DSS sertifikasını alan biri var mı?

    Evet, sayısız AWS müşterisi AWS üzerinde kart sahibi ortamlarının bir kısmını veya tümünü başarıyla dağıtmış ve sertifikasını almıştır. AWS, PCI DSS sertifikası alan müşterilerini ifşa etmez ancak AWS üzerindeki kart sahibi ortamının planlanması, dağıtılması, sertifika alması, 3 aylık taramalar gerçekleştirilmesi konusunda müşteriler ve PCI DSS denetçileriyle düzenli olarak çalışır.

  • Şirketler PCI DSS standardına nasıl uyum sağlar?

    Şirketlerin PCI DSS uyumluluğunu yıllık düzeyde doğrulamak için sahip olduğu iki temel yaklaşım bulunur. İlk yaklaşım, harici bir Nitelikli Güvenlik Denetçisi'ne (QSA) mevcut ortamınızı denetletmek ve ardından Uyumluluk Raporu (ROC) ile Uyumluluk Beyanı (AOC) oluşturmaktır. Bu yaklaşım, en yaygın olarak büyük işlem hacimlerine sahip olan kuruluşlarda görülür. İkinci yaklaşım ise Kendini Değerlendirme Anketi (SAQ) yapmaktır. Bu yaklaşım ise daha küçük işlem hacimlerine sahip kuruluşlarda görülür.

    Uyumluluğu sağlamanın, PCI konseyinin değil, kart markaları ve alıcı bankaların sorumluluğunda olduğunu unutmamak gerekir.

  • PCI DSS uyumluluğunun gereksinimleri nelerdir?

    Aşağıda üst düzey PCI DSS gereksinimlerine genel bakış sunulmuştur.

    Güvenli Bir Ağ ile Sistemler Oluşturun ve Sürdürün

    1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması indirin ve kullanmaya devam edin

    2. Sistem parolalarında ve diğer güvenlik parametrelerinde satıcının sunduğu varsayılanları kullanmayın

    Kart Sahibinin Verilerini Koruyun

    3. Depolanan kart sahibi verilerini koruyun

    4. Açık ve genel ağlarda kart sahibi verilerinin aktarımını şifreleyin

    Güvenlik Açığı Yönetimi Programı Uygulayın

    5. Tüm sistemleri kötü amaçlı yazılımlardan koruyun ve virüs önleyici yazılımları veya programları düzenli olarak güncelleştirin

    6. Güvenli sistemler ile uygulamalar geliştirin ve sürdürün

    Güçlü Erişim Denetimi Önlemleri Uygulayın

    7. Kart sahibi verilerine erişimi iş için bilmesi gerekenlerle sınırlandırın

    8. Sistem bileşenlerine erişimi tanımlayın ve kimlik doğrulaması yapın

    9. Kart sahibi verilerine fiziksel erişimi sınırlandırın

    Ağları Düzenli Olarak İzleyin ve Test Edin

    10. Ağ kaynakları ile kart sahibi verilerine tüm erişimi takip edin ve izleyin

    11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin

    Bilgi Güvenliği Politikasını Devam Ettirin

    12. Tüm personelin bilgi güvenliğini ele alan bir politika uygulayın

  • TLS 1.0 protokolünün sürekli desteklenmesiyle ilgili olarak AWS'nin konumu nedir?

    AWS, bu protokol seçeneğini gerektiren bazı müşteriler (ör. PCI olmayan) nedeniyle tüm hizmetlerinde TLS 1.0'a karşı çıkmıyor; ancak, AWS hizmetleri müşterilerin TLS 1.0'i devre dışı bırakma etkisini ve karşı çıkabileceğini ayrı ayrı değerlendiriyor. 

  • Müşteriler, güvenli TLS için PCI gereksinimine uymak amacıyla AWS altyapısını nasıl yapılandırır?

    PCI kapsamındaki tüm AWS Hizmetleri, TLS 1.1 veya üzerini etkinleştirir; bu hizmetlerden bazıları gerekli olan müşteriler için (PCI olmayan) TLS 1.0'i de destekler. Güvenli TLS'yi, yani TLS 1.1 veya üzerini kullanan AWS ile çalışmaya başlamak için sistemleri yükseltmek müşterinin sorumluluğudur. Müşteriler bir istemci ile örneğin TLS 1.2 kullanılan yük dengeleyici arasındaki şifreleme protokolü mutabakatını sağlayabilen önceden tanımlanmış bir AWS güvenlik politikası seçerek TLS 1.1 veya üzeri ile güvenli iletişim için AWS yük dengeleyicileri (Application Load Balancer'lar veya Classic Load Balancer'lar) kullanıp yapılandırmalıdır. Örneğin AWS Yük Dengeleyici Politikası ELBSecurityPolicy-TLS-1-2-2018-06 yalnızca TLS 1.2'yi destekler.

     

  • Bir müşteri ASV (Onaylı Tarama Satıcısı) taraması bir AWS API uç noktasında TLS 1.0'ı tanımlarsa bu, API'nın TLS 1.0'ın yanı sıra TLS 1.1 veya üzerini desteklemeye devam ettiği anlamına gelir. PCI kapsamındaki bazı AWS Hizmetleri PCI dışı iş yükleri için ihtiyaç duyan müşteriler için TLS 1.0'a olanak vermeye devam edebilir. Müşteri, kullanılan protokolleri tanımlamak için Qualys SSL Labs gibi bir araç kullanarak ASV'ye AWS API uç noktasının TLS 1.1 veya üzerini desteklediğine ilişkin kanıt sunabilir. Müşteri aynı zamanda yalnızca TLS 1.1 veya üzerini destekleyen (ör. ELBSecurityPolicy-TLS-1-2-2017-01 yalnızca v1.2'yi destekler) bir AWS Yük Dengeleyici Güvenlik Politikasıyla yapılandırılan bir AWS Classic veya Application Load Balancer aracılığıyla bağlanarak güvenli bir TLS anlaşması sağladıklarına ilişkin kanıt da sunabilir. ASV, müşterinin bir tarama güvenlik açığı itiraz süreci izlemesini zorunlu tutabilir ve özetlenen kanıtlar uyumluluk kanıtı olarak kullanılabilir. Alternatif olarak, ASV'lerini erken devreye sokmak ve bu kanıtları ASV'ye önceden sağlamak değerlendirmeyi kolaylaştırabilir ve geçer bir ASV taramasını destekleyebilir.

     

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »