PCI DSS

Genel Bakış

Kredi Kartı Sektörü Veri Güvenliği Standardı (PCI DSS); American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. tarafından kurulan PCI Güvenlik Standartları Konseyi tarafından yönetilen tescilli bilgi güvenliği standardıdır.

PCI DSS, tüccarlar, işleyiciler, alıcı bankalar, verenler ve hizmet sağlayıcıları da dâhil olmak üzere kart sahibi verilerini (CHD) veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten kuruluşlar için geçerlidir. PCI DSS, kart markaları tarafından zorunlu kılınır ve Kredi Kartı Sektörü Güvenlik Standartları Konseyi tarafından yönetilir.

PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

  • Evet, Amazon Web Services (AWS), mevcut en yüksek değerlendirme değeri olan PCI DSS 1. Düzey Hizmet Sağlayıcısı olarak sertifikalıdır. Uyumluluk değerlendirmesi, bağımsız bir Nitelikli Güvenlik Değerlendirici (QSA) olan Coalfire Systems Inc. tarafından gerçekleştirilir. PCI DSS Uyumluluk Beyanı (AOC) ve Sorumluluk Özeti, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

  • PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın. Bu hizmetlerin kullanılmasıyla ilgili daha fazla bilgi için bize ulaşın.

  • AWS hizmetlerini kart sahibi verilerini depolamak, işlemek veya aktarmak için kullanan bir müşteri olarak kendi PCI DSS uyumluluğu sertifikanızı sürdürmek için AWS teknolojik altyapısına güvenebilirsiniz.

    AWS; hiçbir müşteri kart sahibi verisini (CHD) doğrudan depolamaz, aktarmaz veya işlemez. Ancak, AWS hizmetlerini kullanarak kart sahibi verilerini depolayan, aktaran veya işleyen kendi kart sahibi veri ortamınızı (CDE) oluşturabilirsiniz.

  • PCI DSS müşterisi olmasanız bile PCI DSS uyumluluğunuz, her düzeyde bilgi güvenliğine olan bağlılığımızı kanıtlamaktadır. PCI DSS standardının harici bir bağımsız üçüncü tarafça doğrulanması, güvenlik yönetimi programımızın kapsamlı olduğunu ve önde gelen sektör uygulamalarını takip ettiğini onaylar.

  • Müşterilerin kendi PCI DSS uyumluluk sertifikasını yönetmesi gerekir. Ortamınızın tüm PCI DSS gereksinimlerini karşıladığından emin olmak için ilave testler gerekli olacaktır. Ancak, PCI kart sahibi veri ortamının (CDE) AWS'de dağıtılan oranı için Nitelikli Güvenli Denetçiniz (QSA), daha fazla teste gerek duymadan AWS Uyumluluk Beyanına (AOC) güvenebilir.

  • Ayrıntılı bilgi için lütfen AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulan AWS PCI DSS Uyumluluk Beyanı Paketinden "AWS PCI DSS Sorumluluk Özeti"ne bakın. AWS Yönetim Konsolu’nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

  • AWS PCI Uyumluluk Paketi, AWS uyumluluk raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact aracılığıyla müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact’te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

  • AWS PCI Uyumluluk Paketine dâhil olanlar:

    • • AWS PCI DSS 3.2.1 Uyumluluk Beyanı (AOC)
    • AWS PCI DSS 3.2.1 Sorumluluk Özeti

  • Evet, AWS hem Visa Hizmet Sağlayıcılar Küresel Kayıt Defteri hem de MasterCard Uyumlu Hizmet Sağlayıcı Listesi'nde yer alır. Hizmet Sağlayıcı listeleri, AWS'nin başarıyla doğrulanan PCI DSS uyumluluğunu kanıtlar ve geçerli olan tüm Visa ve MasterCard program gereksinimlerini karşılar.

  • Hayır. AWS ortamı sanallaştırılmış, çok kiracılı bir ortamdır. AWS, etkili ve güvenli bir şekilde her müşterinin kendi korumalı ortamını ayıran güvenlik yönetimi süreçlerini, PCI DSS gereksinimlerini ve diğer telafi edici denetimleri etkili bir şekilde uygulamaktadır. Bu güvenli mimari, bağımsız bir QSA tarafından onaylanmış ve PCI DSS standardının geçerli tüm gerekliliklerine uyumlu bulunmuştur.

    PCI Güvenlik Standartları Konseyi bulut bilişim hizmetlerinin müşterileri, hizmet sağlayıcıları ve denetçileri için PCI DSS Bulut Bilişim Yönergeleri'ni yayınlamıştır. Ayrıca hizmet modellerini ve sağlayıcılar ile müşteriler arasındaki uyumluluk rollerinin ve sorumluluklarının nasıl paylaşılacağını da açıklar.

  • Hayır. AWS Uyumluluk Beyanı (AOC), AWS veri merkezlerinin kapsamlı fiziksel güvenlik denetimlerinin değerlendirilmesini gösterir. Alıcı bankaya ait bir QSA'nın AWS veri merkezlerinin güvenliğini doğrulamasına gerek yoktur.

  • AWS, PCI-DSS kapsamında bir “Paylaşılan Barındırma Sağlayıcısı” sayılmamaktadır. Böylelikle DSS gereksinimi A1.4 uygulanamaz. Paylaşılan Sorumluluk Modeli’miz kapsamında müşterilerimizin AWS’den ek destek ihtiyacı olmadan kendi AWS ortamlarında dijital adli soruşturma yapmalarını mümkün kılarız. Bu mümkün kılma AWS Marketplace aracılığıyla mevcut olan AWS hizmetlerinin hem de üçüncü taraf çözümlerin kullanımıyla sağlanır. Daha fazla bilgi için aşağıdaki kaynaklara bakın:

  • PCI DSS uyumlu AWS hizmetlerini kullandığınız sürece, kapsam dahilindeki hizmetleri destekleyen tüm altyapı uyumludur ve ayrı bir ortam ya da özel bir API kullanılmasına gerek yoktur. Bu hizmetlere dağıtılan veya hizmetleri kullanan her sunucu veya veri, küresel olarak PCI DSS uyumlu bir ortamdadır. PCI DSS uyumlu olan AWS hizmetlerinin bir listesi için Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunan PCI sekmesine bakın.

  • Evet. Uyumlu konumların tam listesine ulaşmak için lütfen AWS Artifact’teki en son PCI DSS AOC’ye bakın.

  • Evet. PCI DSS standardını PCI Güvenlik Standartları Konseyi Belgeler Kitaplığı'ndan indirebilirsiniz.

  • Evet, sayısız AWS müşterisi AWS üzerinde kart sahibi ortamlarının bir kısmını veya tümünü başarıyla dağıtmış ve sertifikasını almıştır. AWS, PCI DSS sertifikası alan müşterilerini ifşa etmez ancak AWS üzerindeki kart sahibi ortamının planlanması, dağıtılması, sertifika alması, 3 aylık taramalar gerçekleştirilmesi konusunda müşteriler ve PCI DSS denetçileriyle düzenli olarak çalışır.

  • Şirketlerin PCI DSS uyumluluğunu yıllık düzeyde doğrulamak için sahip olduğu iki temel yaklaşım bulunur. İlk yaklaşım, harici bir Nitelikli Güvenlik Denetçisi'ne (QSA) mevcut ortamınızı denetletmek ve ardından Uyumluluk Raporu (ROC) ile Uyumluluk Beyanı (AOC) oluşturmaktır. Bu yaklaşım, en yaygın olarak büyük işlem hacimlerine sahip olan kuruluşlarda görülür. İkinci yaklaşım ise Kendini Değerlendirme Anketi (SAQ) yapmaktır. Bu yaklaşım ise daha küçük işlem hacimlerine sahip kuruluşlarda görülür.

    Uyumluluğu sağlamanın, PCI konseyinin değil, kart markaları ve alıcı bankaların sorumluluğunda olduğunu unutmamak gerekir.

  • Aşağıda üst düzey PCI DSS gereksinimlerine genel bakış sunulmuştur.

    Güvenli Bir Ağ ile Sistemler Oluşturun ve Sürdürün

    1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması indirin ve kullanmaya devam edin

    2. Sistem parolalarında ve diğer güvenlik parametrelerinde satıcının sunduğu varsayılanları kullanmayın
    Kart Sahibinin Verilerini Koruyun

    3. Depolanan kart sahibi verilerini koruyun

    4. Açık ve genel ağlarda kart sahibi verilerinin aktarımını şifreleyin
    Güvenlik Açığı Yönetimi Programı Uygulayın

    5. Tüm sistemleri kötü amaçlı yazılımlardan koruyun ve virüs önleyici yazılımları veya programları düzenli olarak güncelleştirin

    6. Güvenli sistemler ile uygulamalar geliştirin ve sürdürün
    Güçlü Erişim Denetimi Önlemleri Uygulayın

    7. Kart sahibi verilerine erişimi iş için bilmesi gerekenlerle sınırlandırın

    8. Sistem bileşenlerine erişimi tanımlayın ve kimlik doğrulaması yapın

    9. Kart sahibi verilerine fiziksel erişimi sınırlandırın
    Ağları Düzenli Olarak İzleyin ve Test Edin

    10. Ağ kaynakları ile kart sahibi verilerine tüm erişimi takip edin ve izleyin

    11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin
    Bilgi Güvenliği Politikasını Devam Ettirin

    12. Tüm personelin bilgi güvenliğini ele alan bir politika uygulayın

  • AWS, bu protokol seçeneğini gerektiren bazı müşteriler (ör. PCI olmayan) nedeniyle tüm hizmetlerinde TLS 1.0'a karşı çıkmıyor; ancak, AWS hizmetleri, TLS 1.0'i devre dışı bırakmanın müşteri etkisini ayrı olarak değerlendiriyor ve sonuç olarak bunu kullanımdan kaldırmayı tercih edebilir. Aynı zamanda müşteriler, güçlü kriptografi kullanımlarını sağlamalarına yardımcı olmak için FIPS uç noktalarını kullanabilir. AWS, tüm FIPS uç noktalarını minimum TLS 1.2 sürümüne güncelleyecektir. Daha fazla ayrıntı için lütfen bu blog gönderisine bakın.

  • PCI kapsamındaki tüm AWS Hizmetleri, TLS 1.1 veya üzerini etkinleştirir; bu hizmetlerden bazıları gerekli olan müşteriler için (PCI olmayan) TLS 1.0'i de destekler. Güvenli TLS'yi, yani TLS 1.1 veya üzerini kullanan AWS ile çalışmaya başlamak için sistemleri yükseltmek müşterinin sorumluluğudur. Müşteriler bir istemci ile örneğin TLS 1.2 kullanılan yük dengeleyici arasındaki şifreleme protokolü mutabakatını sağlayabilen önceden tanımlanmış bir AWS güvenlik politikası seçerek TLS 1.1 veya üzeri ile güvenli iletişim için AWS yük dengeleyicileri (Application Load Balancer'lar veya Classic Load Balancer'lar) kullanıp yapılandırmalıdır. Örneğin AWS Yük Dengeleyici Politikası ELBSecurityPolicy-TLS-1-2-2018-06 yalnızca TLS 1.2'yi destekler.

  • Bir müşteri ASV (Onaylı Tarama Satıcısı) taraması bir AWS API uç noktasında TLS 1.0'ı tanımlarsa bu, API'nın TLS 1.0'ın yanı sıra TLS 1.1 veya üzerini desteklemeye devam ettiği anlamına gelir. PCI kapsamındaki bazı AWS Hizmetleri PCI dışı iş yükleri için ihtiyaç duyan müşteriler için TLS 1.0'a olanak vermeye devam edebilir. Müşteri, kullanılan protokolleri tanımlamak için Qualys SSL Labs gibi bir araç kullanarak ASV'ye AWS API uç noktasının TLS 1.1 veya üzerini desteklediğine ilişkin kanıt sunabilir. Müşteri aynı zamanda yalnızca TLS 1.1 veya üzerini destekleyen (ör. ELBSecurityPolicy-TLS-1-2-2017-01 yalnızca v1.2'yi destekler) uygun bir Güvenlik Politikasıyla yapılandırılan bir AWS Elastic Load Balancer aracılığıyla bağlanarak güvenli bir TLS anlaşması sağladıklarına ilişkin kanıt da sunabilir. ASV, müşterinin bir tarama güvenlik açığı itiraz süreci izlemesini zorunlu tutabilir ve özetlenen kanıtlar uyumluluk kanıtı olarak kullanılabilir. Alternatif olarak, ASV'lerini erken devreye sokmak ve bu kanıtları ASV'ye önceden sağlamak değerlendirmeyi kolaylaştırabilir ve geçer bir ASV taramasını destekleyebilir.

PCI DSS Kaynakları

Uyumluluk Kılavuzu: AWS’de PCI DSS 3.2.1
AWS PCI 3DS Teknik İncelemesi
PCI DSS Sanallaştırma Yönergeleri
PCI DSS Bulut Bilişim Yönergeleri
Amazon GuardDuty Güvenlik İncelemesi: PCI DSS Uyumluluğu
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »