PCI-DSS Uyumu: Türkiye Fintech'leri için 12 Gereklilik Rehberi

PCI-DSS (Payment Card Industry Data Security Standard) kart verisini işleyen tüm kurumlar için zorunlu. Seviyeler: 1 (6M+ tx/yıl) - 4 (20K-1M tx/yıl). Türkiye'de KVKK + 6493 SK ile birlikte uygulanır.

Seviyeler

12 PCI-DSS gerekliliği

1. Firewall yapılandırma standartları.
2. Default şifreler ve güvenlik parametreleri kullanmama.
3. Kart sahibi verisini şifreleyerek saklama (AES-256).
4. Açık ağda kart verisi şifreli iletim (TLS 1.2+).
5. Antivirus.
6. Güvenli uygulama geliştirme (SDLC, OWASP top 10).
7. Erişim kontrolü, en az ayrıcalık.
8. Her kullanıcıya benzersiz ID + MFA.
9. Fiziksel erişim kısıtlama.
10. Tüm erişimi ve faaliyeti izleme (SIEM, log retention 1 yıl).
11. Yıllık güvenlik testleri (pen-test, code review).
12. Bilgi güvenliği politikası.

Türkiye'de PCI-DSS denetimi nereden alınır?

QSA (Qualified Security Assessor) firmalarından. Türkiye'de KPMG, EY, Deloitte, PwC, Procoders, Tridom gibi onaylı QSA'lar mevcut. Yıllık on-site denetim 25-100K USD aralığı.

KVKK ile çelişiyor mu?

Çelişmez; tamamlayıcı. PCI-DSS kart verisi odaklı, KVKK tüm kişisel veri için. KVKK m.12 veri güvenliği gereksinimi PCI-DSS uyum sayesinde kolayca karşılanır.

Tokenization yeterli mi?

Tokenization PCI-DSS scope'unu daraltır ama tamamen ortadan kaldırmaz. Token üreten ve mapping tutan altyapı PCI-DSS scope'unda kalır.

İhlal halinde ne olur?

Kart birliği (Visa, MC) cezası: 5K-100K USD/ay; Turkish ödeme entegratörleri sözleşme feshi yapabilir; KVKK m.12/5 ihlal bildirimi 72 saat. Müşteri tazminat davaları uzun.

SAQ vs RoC fark?

SAQ (Self-Assessment Questionnaire): Seviye 2-4. RoC (Report on Compliance): Seviye 1; QSA tarafından düzenlenir.

İlgili mevzuat

• 6493 sayılı Kanun — Ödeme & elektronik para; lisanslama, faaliyet izni.
• BDDK Yönetmelikleri — Ödeme kuruluşu / EPK izin, sermaye, raporlama.
• 5549 SK — MASAK; KYC, STR, düzenli faaliyet.
• KVKK + GDPR — Veri güvenliği, sınır ötesi aktarım.
• PCI-DSS — Kart saklama; PCI seviye 1-4 uyumu.