PCI DSS
Odeme Karti Sektoru Veri Guvenligi Standardi, kart sahibi verilerini isleyen, depolayan veya ileten her kuruluşun resmi bir guvenlik farkindaligi programi surdurmesini gerektirir. Roleplays bu gereksinimi olculebilir, ilgi cekici bir egitime donusturur.
PCI DSS nedir?
Odeme Karti Sektoru Veri Guvenligi Standardi (PCI DSS), Visa, Mastercard, American Express, Discover ve JCB tarafindan kurulan PCI Security Standards Council tarafindan gelistirilen kuresel bir bilgi guvenligi standardidir. Su anda 4.0.1 surumunde olan PCI DSS, odeme yasam dongusu boyunca kart sahibi verilerini korumak icin teknik ve operasyonel gereksinimleri tanimlar.
PCI DSS, kredi karti bilgilerini kabul eden, isleyen, depolayan veya ileten her kurulus icin gecerlidir. Buna her boyuttaki uye is yerleri, odeme islemcileri, edinen bankalar, ihrac eden bankalar ve hizmet saglayicilar dahildir. Uygulamada bu, telefonda kart numarasi alan cagri merkezi temsilcilerinin, islemleri yapan perakende calisanlarinin ve odeme altyapisini yoneten BT ekiplerinin tamaminin kapsam icinde oldugu anlamina gelir.
Uyumsuzluk, kart markalarindan ayda 5.000 ABD dolari ile 100.000 ABD dolari arasinda degisen para cezalari, artan islem ucretleri, kart odemelerini isleme kabiliyetinin kaybi ve bir ihlal sonrasi onemli itibar zarariyla sonuclanabilir. Standart istege bagli degildir; uye is yerleri ile edinen bankalari arasindaki sozlesmesel yukumlulukler araciligiyla uygulanir.
Kimler uymali
- Odeme karti verisi isleyen cagri merkezleri
- Perakende ve e-ticaret isletmeleri
- Bankalar, fintech sirketleri ve odeme islemcileri
- Odeme ekosistemindeki SaaS saglayicilari
Uyumsuzlugun sonuclari
- Kart markasi basina ayda 100.000 ABD dolarina kadar para cezasi
- Artan islem isleme ucretleri
- Kart isleme ayricaliklarinin iptali
- Ihlal sonrasi sahte islemlerden sorumluluk
Egitim gereksinimleri
PCI DSS v4.0 Gereksinim 12.6, kart sahibi veri ortamlarina erisimi olan tum personel icin zorunlu guvenlik farkindaligi egitimi belirler.
Gereksinim 12.6, Guvenlik Farkindaligi Programi
Tum personeli kart sahibi veri guvenligi politikasi ve prosedurleri konusunda bilinclendirmek icin resmi bir guvenlik farkindaligi programi uygulanmalidir. Bu basit bir politika belgesinin otesine gecer; kuruluslar calisanlari tehditler, dogru veri isleme ve kart sahibi verilerini korumadaki bireysel sorumluluklari konusunda aktif olarak egitmelidir.
QSA denetcilerinin dogruladigi: Belgelenmis bir programin var oldugu, yonetim tarafindan onaylandigi ve yalnizca BT personeli degil tum personeli kapsadigi. Program mevcut tehditleri ele almali ve kuruluşun belirli kart sahibi veri ortamina uyarlanmis olmalidir.
Gereksinim 12.6.1, Resmi Farkindalik Programi
Guvenlik farkindaligi programi en az 12 ayda bir gozden gecirilmeli ve yeni tehditleri ve zaafiyetleri ele almak icin gerektikce guncellenmelidir. Program, farkindalik iletmek ve personeli egitmek icin birden fazla yontem icermelidir; ornegin posterler, mektuplar, toplantilar, web tabanli egitim veya simule edilmis kimlik avi alistirmalari.
QSA denetcilerinin dogruladigi: Programin son 12 ay icinde gozden gecirildigini ve guncellendigini gosteren, birden fazla iletisim kanalinin kullanildigina dair kanit iceren dokumantasyon.
Gereksinim 12.6.2, Yillik Egitim
Personel en az 12 ayda bir guvenlik farkindaligi egitimi almalidir. Yeni ise alinanlar, ise baslarken egitimi tamamlamalidir. Bu bir asgari sikliktir; daha yuksek riskle karsi karsiya olan veya daha yuksek calisan devir hizi olan kuruluslar daha sik egitim donguleri dusunmelidir.
QSA denetcilerinin dogruladigi: Kapsam icindeki tum personel icin son 12 ay icindeki egitim tamamlama kayitlari, ayrica yeni ise alinanlarin kart sahibi verilerine erisim kazanmadan once egitim aldigina dair kanit.
Gereksinim 12.6.3, Calisan Beyani
Personel, guvenlik farkindaligi politikasini ve prosedurlerini okuyup anladigini en az 12 ayda bir beyan etmelidir. Bu gereksinim, calisanlarin pasif sekilde kaydedilmemesini, icerikle aktif olarak ilgilenmesini saglar. Basit bir onay kutusu yetersizdir; beyan anlamli bir ilgiyi gostermelidir.
QSA denetcilerinin dogruladigi: Son 12 ay icinde tarihlendirilmis, kapsam icindeki tum personelden imzali veya elektronik olarak kaydedilmis beyanlar. Denetciler, beyanin yalnizca bagimsiz bir imza degil, gercek egitim tamamlamasina bagli olduguna dair kanit arar.
Roleplays nasil yardimci olur
Slayt sunumlarini gercek davranisi test eden gercekci simulasyonlarla degistirin, ardindan QSA'nizin ihtiyac duydugu her seyi belgeleyin.
PCI'ya ozgu senaryolar
En yaygin PCI hata modlari icin hazir simulasyonlar: kart numarasi isteyen sosyal muhendislik cagrilari, odeme sistemlerini hedef alan kimlik avi e-postalari, guvenli alanlara izinsiz giris ve uygunsuz kart verisi depolama. Senaryolar, tehdit ortami gelistikce guncellenir ve Gereksinim 12.6.1'in yillik gozden gecirme zorunlulugunu karsilar.
Veri maskeleme egitimi
Temsilcileri tam kart numaralarini asla geri okumamaya, dogru maskeleme tekniklerini kullanmaya (yalnizca son dort haneyi gostererek) ve bir arayanin gerektiginden fazla veri elde etmeye calistigini fark etmeye egitin. Simule edilmis arayanlar, temsilcilerin baski altinda maskeleme protokollerini takip edip etmedigini test eder.
Temsilci davranisi puanlamasi
Cok kriterli yapay zeka degerlendirmesi, her temsilciyi guvenlik farkindaligi, veri isleme uyumlulugu, sosyal muhendislige direnc ve dogru yukseltme prosedurleri konusunda puanlar. Sonuclar belirli PCI DSS gereksinimlerine eslenir; QSA denetcilerinin basit katilim kayitlarinin otesinde bekledigi yetkinlik kanitini saglar.
Uyumluluk dokumantasyonu
Her egitim oturumu; katilimci kimligi, egitim icerigi, sure, degerlendirme puanlari ve tamamlanma durumu dahil zaman damgali kayitlar olusturur. Kapsam icindeki personelin %100'unun 12 aylik pencere icinde egitildigini gosteren uyumluluk raporlarini disa aktarin; tam olarak Gereksinim 12.6.2'nin talep ettigi sey.
Sosyal muhendislik savunmasi
Simule edilmis saldirganlar gercek dunya sosyal muhendislik taktikleri kullanir: BT destegi gibi davranma, aciliyet temelli manipulasyon, yetki taklidi ve cok asamali bahane saldirilari. Temsilciler, uretimde karsilasmadan once guvenli bir ortamda bu taktikleri tanimayi ve onlara direnmeyi ogrenir.
Yerlesik beyan
Bir simulasyonu tamamlamak, beyandir. Pasif onay kutusu formlarinin aksine, tamamlanan her oturum, calisanin guvenlik icerigiyle aktif olarak ilgilendigini kanitlar. Oturum tamamlama kayitlari, kanit olarak tam zaman damgalari ve performans verileriyle birlikte Gereksinim 12.6.3 beyanlari islevi gorur.
Sikca sorulan sorular
Roleplays, yillik egitim icin PCI DSS Gereksinim 12.6.2'yi karsilar mi?
Evet. Platform, her calisan icin egitim tamamlama tarihlerini izler ve kuruluşunuz genelinde uyumluluk durumunu gosteren raporlar olusturur. Yillik veya daha sik egitim dongulerini yapilandirabilir, yaklasan son tarihler icin otomatik hatirlaticilar kurabilir ve tamamlama kanitini QSA denetcilerinin bekledigi formatlarda disa aktarabilirsiniz.
Cagri merkezi ortamimiza ozel senaryolar olusturabilir miyiz?
Kesinlikle. Hazir PCI senaryolarinin otesinde, belirli cagri akislariniz, odeme sureclerinizi ve tehdit ortaminizi yansitan ozel simulasyonlar olusturabilirsiniz. Ornegin, bir arayanin bir temsilciden "dogrulama" icin tam kart numarasini geri okumasini istedigi bir senaryoyu veya birinin BT departmaninizi taklit ettigi bir bahane saldirisini simule edebilirsiniz.
Platform, Gereksinim 12.6.3 beyan gereksinimini nasil ele alir?
Tamamlanan her simulasyon aktif bir beyan islevi gorur. Pasif bir onay kutusunun aksine, bir egitim oturumunu tamamlamak, calisanin guvenlik icerigiyle ilgilendigini, sunulan senaryolari anladigini ve yanitlari araciligiyla yetkinlik gosterdigini kanitlar. Oturum kayitlari zaman damgalari, sure ve performans puanlari icerir; imzali bir formdan cok daha guclu kanit.
Egitim icerigi yeni tehditler ortaya ciktikca guncelleniyor mu?
Evet. PCI DSS Gereksinim 12.6.1, guvenlik farkindaligi programinin en az yillik olarak gozden gecirilmesini ve guncellenmesini gerektirir. Roleplays, senaryo kutuphanesini mevcut tehditleri yansitacak sekilde surekli gunceller: sesli kimlik avi teknikleri, yapay zeka destekli sosyal muhendislik, yeni kimlik avi kaliplari. QSA'niz, egitim iceriginin mevcut tehdit ortamini yansittigini dogrulayabilir.
Roleplays, mevcut guvenlik farkindaligi egitimimizin tamamen yerini alabilir mi?
Roleplays, tum Gereksinim 12.6 alt gereksinimlerini kapsayarak birincil PCI guvenlik farkindaligi egitim aracInız olarak hizmet edebilir. Bircok kurulus onu mevcut LMS'leriyle birlikte kullanir: Roleplays etkilesimli, simulasyon tabanli bileseni yonetirken LMS politika belgesi dagitimini ve takibini yonetir. Platformun API'si cogu ogrenme yonetim sistemiyle entegrasyon saglar.
Daha hizli uyumlu olun.
Yillik slayt sunumlarini guvenlik davranisini gercekten test eden simulasyonlarla degistirin. Her PCI DSS 12.6 alt gereksinimini belgelenmis kanitla karsilayin.