BizNet, Visa Inc., MasterCard Worldwide, American Express, Discover Financial Services ve JCB International uluslararası kart üretici firmalarının oluşturduğu PCI SSC (Payment Card Industry Security Standards Council) tarafından yetkilendirilmiş tek Türk QSA (Qualified Security Assessor) ve ASV (Approved Scanning Vendor) firmasıdır. Bu kapsamda, PCI DSS (Payment Card Industry Data Security Standard) uyumluluğunun ispatlanabilmesi için yerinde denetim ve Internet üzerinden her üç ayda bir yapılan zafiyet tarama hizmetileri yanında ağ ve uygulama penetrasyon testleri, standarda uyumluluk durumunu ölçmek üzere ön denetim, iyileştirme çalışmaları, danışmanlık ve eğitim gibi hizmetleri sağlanmaktadır.

PCI DSS'in temel amacı, kredi kartı ile işlem yapan üye işyerleri, servis sağlayıcı ve finans kurumlarında kart sahibi bilgilerinin güvenli bir şekilde iletilmesini, işlenmesini ve saklanmasını sağlamaktır. Kredi kartı ile işlem yapan üye işyerleri, servis sağlayıcı ve finansal kurumlar PCI Veri Güvenliği Standardına uymak, üye işyerleri ve servis sağlayıcı firmalar ise uygunluklarını kanıtlamak ile mükelleftirler. Servis sağlayıcı ve üye iş yerlerinin, PCI SSC tarafından yetkilendirilmiş bir firma tarafından (ASV) belirli aralıklarla güvenlik denetimine tabi tutulması gerekmektedir. Onaylı Tarama Sağlayıcısı (ASV), e-ticaret yapan üye işyeri ve servis sağlayıcı şirketlere bu hizmeti PCI SSC'nin önerdiği koşullara göre yapmayı garanti eder ve tarama sonuçları PCI SSC tarafından tanındığı için bir güvence sunar.

Üye İş Yerleri (Merchant), PCI DSS seviye belirleme ve uyumluluk kanıtlama tablosu.

* Türkiye için BKM tarafından Level 2 merchantlar için de yerinde denetim zorunluluğu getirmektedir.
** Yerinde Denetim hizmeti PCI SSC tarafından yetkilendirilmiş QSA firmaları, Ağ Zafiyet Tarama ise yine PCI SSC tarafından yetkilendirilmiş ASV firmaları tarafından yapılmalıdır.

PCI DSS uyululuğunu ispatlama yöntemleri üye iş yerlerinin yıllık işlem hacimlerine gore değişse de işlem hacmine bakılmaksınız tüm üye iş yerlerinin bu standarta uyması zorunludur.

PCI DSS getirdiği 12 gereksinim 6 ana başlık altında aşağıdaki gibi gruplanmaktadır.

Bu gereksinimlerin temel amacı kart sahibi bilgisi ve kritik doğrulama bilgisinin güvenliğini sağlamaktır. Standart bu bilgilerinden hangilerinin saklanabileceği ve saklanırken nasıl korunacağına dair kuralları belirlemektedir. Aşağıdaki tabloda saklanmasına izin verilen/verilmeyen ve saklanabilecek veriler için nasıl korumaların gerektiği belirtilmektedir.

*Kiritk Doğrulama Bilgisi onay sonrasında hiç bir şekilde (şifrelense de) saklanamaz.

Üye İş Yerleri ve servis sağlayıcılar için sunulan Biznet servisleri;

Biznet, PCI DSS gereksinimlerin tüm üye iş yerleri ve servis sağlayıcılar taraıfından karşılanabilmesi ve bunun ispat edilebilmesin için üye iş yeri ve servis sağlayıcının ihtiyaçları doğrultusunda aşağıdaki servisleri sunmaktadır.

• PCI DSS Kapsamının Üye İşyeri için belirlenmesi
• İş yerine uygun SAQ’un (Self Assesment Questionary) belirlenmesi
• SAQ’un doldurulması konusunda danışmanlık
• Internet üzerinden zafiyet tarama testleri (External Vulnerability Scan)
• PCI DSS İyileştirme Servisleri
• Ağ ve Uygulama Sızma Testleri (Network & Application Penetration Test)
• Uygulama kodu güvenliği ile ilgili servisler
• Güvenlik politika ve prosedürleri için danışmanlık servisleri
• Ön Denetim Hizmeti – PreCompliance Audit
• On-Site Audit ve Raporlama - RoC (Report on Compliance)