PCI DSS ve GDPR: Temel Farkındalıklar ve Örtüşmeler

PCI DSS ve GDPR: Temel farkındalıklar ve örtüşmeler güvenlik uyumluluğu hizmetleri, çevrimiçi ödemelerin güvenli bir biçimde gerçekleşmesine yardımcı olur. Çevrimiçi işlemlerin ana kaynağı olan borç ya da kredi kartı ile ilişkin finansal verileri içeren şirketlerin neredeyse %95’i GDPR uyumluluğuyla yüzleşmelidir. AB (Amerika Birliği) vatandaşlarının verilerini kullanan veya işleyen kurumlar, konumlarına bakılmaksızın GDPR uyumluluğuna ihtiyaç duyar. PCI DSS, finansal verileri ve işlemleri korur; ancak araştırmalara göre, 2020’de şirketlerin neredeyse %43,4’ü tam PCI DSS uyumluluğuna sahiptir, bu da siber saldırı tehditlerinin ve veri ihlali riskinin hala yüksek olduğunu gösterir. Çevrimiçi sistemlerin ve satın almaların artan kullanımı, güvenlik kaygılarını önemli ölçüde artırdı. GDPR ise AB’nin e-ticaretin parçası haline gelen vatandaşlarının güvenliği için geliştirdiği mevzuattır. GDPR’ye uyulmaması büyük para cezalarına ve diğer cezalara yol açabilir. PCI ve GDPR uyumluluğu bir araya gelerek web sitenizin çevrimiçi ödemesini daha güvenli hale getirebilir. İki düzenleme arasındaki farklara ve benzerliklere bir göz atalım.

PCI DSS Nedir?

PCI DSS, Ödeme Kartı Sektörü Veri Güvenliği Standardı’nın kısaltmasıdır. Kart sahibi verilerinin güvenliğini sağlamak ve kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten şirketlerin güvenliğini sağlamak için önde gelen kredi kartı markaları (Mastercard, Visa, Discover, American Express ve JCB) tarafından oluşturulan bir dizi güvenlik standardıdır. PCI DSS, kart sahibi verilerini saklayan, işleyen veya ileten tüm kuruluşlar için geçerlidir ve uyumluluk, ödeme kartı markaları ve alıcı bankalar tarafından uygulanır. Satıcılar ve hizmet sağlayıcılar, yıllık olarak doğrulanan uyumluluğu sağlamak için nitelikli bir güvenlik değerlendiricisi tarafından değerlendirilmelidir.

PCI Uyumluluğunun Temel Rolleri

1. Veri Güvenliği: PCI uyumluluğu, ödeme kartı verilerini yetkisiz erişime, hırsızlığa veya kötüye kullanıma karşı korumak için standartlar oluşturur. Veri şifreleme, erişim kontrolleri ve güvenli bir ağ mimarisi gibi güvenlik önlemlerini içerir.
2. Risk Azaltma: PCI DSS gereksinimlerine uyan kuruluşlar, veri ihlalleri ve dolandırıcılık olayları riskini azaltır. Uyumluluk, güvenlik açıklarının belirlenmesine ve potansiyel risklerin azaltılmasına yardımcı olur.
3. Tüketici Güveni: PCI uyumluluğu, müşterilerin işletmelere olan güvenini artırır ve veri güvenliği konusundaki farkındalığı arttırır.
4. Yasal ve Mevzuata Uygunluk: PCI DSS’ye uymak, kuruluşların ödeme kartı verilerini korumaya yönelik yasal ve düzenleyici gereksinimleri karşılamasını sağlar. Uyumsuzluk ciddi mali cezalara ve itibar kaybına neden olabilir.

GDPR Nedir?

GDPR, Genel Veri Koruma Yönetmeliği’nin kısaltmasıdır ve Avrupa Birliği ve Avrupa Ekonomik Alanı’nda veri koruma ve gizlilik konusunda AB hukukunda yer alan bir düzenlemedir. 2016 yılında kabul edildi ve 25 Mayıs 2018’den itibaren uygulanabilir hale geldi. GDPR, AB’de yerleşik kuruluşlar ve AB’de yerleşik bireylere mal veya hizmet sunan AB dışı kuruluşlar için geçerlidir.

GDPR’nin Önemi

1. Gelişmiş Veri Koruması: GDPR, bireylere verileri üzerinde daha fazla kontrol vererek veri koruma önlemlerini güçlendirir. Bireylere, verilerine erişme, düzeltme ve silme, veri işlemeye itiraz etme ve veri taşınabilirliğini talep etme hakları verir.
2. Bölge Dışı Erişim: GDPR, AB vatandaşlarının verilerini işleyen tüm şirketler için geçerlidir, bu da AB veri koruma yasalarının kapsamını genişletir.
3. Daha Sıkı İzin Gereksinimleri: Şirketlerin verileri işlemek için bireylerden açık ve olumlu onay almaları gerekir. Rıza özgürce verilmeli, bilgilendirilmeli ve açık olmalıdır.
4. Daha Sert Cezalar: GDPR, protokollerinin dikkate alınmaması nedeniyle ağır para cezaları tanımlamıştır. Cezalar, küresel yıllık cironun %4’üne veya 20 milyon Euro’ya kadar çıkabilir.
5. Veri İhlali Bildirimi: GDPR, kuruluşlara, ihlalden haberdar olduktan sonraki 72 saat içinde veri ihlallerini ilgili denetim makamına ve etkilenen kişilere bildirme zorunluluğu getirir.

PCI ve GDPR Arasındaki Temel Farklar

1. Kapsam ve Uygulanabilirlik:
   • PCI DSS: Kredi kartı işlemlerine dahil olan kuruluşlar için geçerlidir.
   • GDPR: AB vatandaşlarının kişisel verilerini işleyen tüm şirketleri kapsar.
2. Odaklanma ve Amaç:
   • PCI DSS: Kart sahibi verilerini işlemler sırasında korumaya odaklanır.
   • GDPR: AB bireylerinin gizlilik haklarını ve verilerini korumaya odaklanır.
3. Uyumluluk Gereksinimleri:
   • PCI DSS: Kart sahibi verileri için güvenlik gereksinimlerini belirtir.
   • GDPR: Kapsamlı veri koruma çerçevesini kapsar.
4. Yasal Dayanak:
   • PCI DSS: Yasal bir düzenleme değil; ödeme kartı şirketleri tarafından oluşturulan bir dizi güvenlik standardıdır.
   • GDPR: Yasal bir düzenlemedir ve AB vatandaşlarının kişisel verilerini işleyen kuruluşları hukuki olarak bağlar.

PCI ve GDPR Arasındaki Önemli Örtüşmeler

1. Veri Güvenliği:
   • Hem PCI DSS hem de GDPR, veri güvenliğinin önemini vurgular. PCI DSS, ödeme kartı veri güvenliğine odaklanırken, GDPR, kişisel verileri korumak için uygun teknik ve organizasyonel önlemleri uygulamayı gerektirir.
2. Veri İhlali Bildirimi:
   • Her iki düzenleme de, kuruluşların veri ihlali durumunda ilgili makamları ve etkilenen kişileri uyarmasını gerektirir. PCI DSS, ödeme kartı markalarına ve kart sahiplerine anında raporlama yapılmasını zorunlu kılar. GDPR ise ihlalin farkına varılmasından itibaren 72 saat içinde ilgili denetim makamına ve etkilenen veri sahiplerine bildirimde bulunulmasını şart koşar.
3. Uyumluluk Doğrulaması:
   • Kuruluşların hem PCI DSS hem de GDPR ile uyumluluklarını doğrulamaları gerekir. PCI DSS uyumluluğu genellikle Nitelikli Güvenlik Değerlendiricileri (QSA’lar) veya Dahili Güvenlik Değerlendiricileri (ISA’lar) tarafından yapılan yıllık değerlendirmeler ve denetimlerle doğrulanır. GDPR uyumluluğu ise düzenli veri koruma etki değerlendirmeleri (DPIA’lar) ve veri işleme etkinliklerinin kayıtlarını tutmayı içerir.
4. Üçüncü Taraf Sorumlulukları:
   • Her iki düzenleme de üçüncü taraf hizmet sağlayıcıların sorumluluklarını kabul etmelerini gerektirir. PCI DSS, satıcıların üçüncü taraf ödeme işlemcilerinin güvenliğini sağlamasını zorunlu kılar. GDPR ise veri işleyicilerinin, kişisel verileri veri denetleyicileri adına işlerken belirli veri koruma gerekliliklerine uymalarını zorunlu kılar.

PCI Uyumluluğu GDPR Uyumluluğuna Nasıl Katkıda Bulunur?

PCI DSS’nin benimsenmesiyle kuruluşlar, kullanıcıların kişisel ve finansal bilgilerinin korunmasına verdikleri ortak önem nedeniyle aynı anda GDPR gerekliliklerini de benimser. Kuruluşlar, PCI DSS protokollerini ve tekniklerini uygulayarak, GDPR güvenlik standartlarını karşılamak için gerekli altyapıyı oluşturur. Sonuç olarak, GDPR uyumluluğunun sağlanmasına yönelik bir temel oluşturulmuş olur. Bir kuruluşun PCI uyumluluğuna ulaşması, güvenli teknolojilere ve sağlam güvenlik prosedürlerinin oluşturulmasına yatırım yapıldığı anlamına gelir. PCI DSS yoluyla GDPR uyumluluğuna ulaşılmasına katkıda bulunan temel faktörler şunlardır:

1. Veri İhlali:
   • Bir kuruluştan müşteri verilerinin veya kart sahibi bilgilerinin sızması, veri ihlali olarak kabul edilir. Hem GDPR hem de PCI DSS, veri ihlallerini ciddiyetle ele alır ve sorumlu kuruluşları her iki standart kapsamında da sorumlu tutar. Bu nedenle, PCI DSS uyumluluğu, bir veri ihlali durumunda GDPR uyumluluk gereksinimlerini geniş ölçüde ele alarak, zaten PCI DSS ile uyumlu kuruluşlar için GDPR uyumluluğuna ulaşma sürecini basitleştirir.