PCI DSS ve GDPR: Temel Farklar, Örtüşmeler ve Güvenlik Uyumluluğu
Çevrimiçi ödemelerin ve e-ticaret işlemlerinin hacmi büyüdükçe, kart verisi güvenliği ile kişisel veri gizliliği kurumlar için birlikte yönetilmesi gereken iki stratejik başlık hâline geldi. Ödeme kartı verilerini işleyen kuruluşlar için PCI DSS, AB vatandaşlarının kişisel verilerini işleyen tüm kurumlar için ise GDPR uyumluluğu kritik bir gereklilik olarak karşımıza çıkıyor.
Çevrimiçi işlemlerin bel kemiği olan kredi / banka kartı verilerini tutan şirketlerin neredeyse %95’inin GDPR kapsamına girdiği, buna karşın tam PCI DSS uyumluluğuna sahip kuruluş oranının hâlâ %50’nin altında seyrettiği görülüyor. Bu tablo, siber saldırı risklerinin ve veri ihlali senaryolarının ne kadar güncel olduğunu açıkça ortaya koyuyor.
Bu rehberde; PCI DSS ve GDPR’nin kapsam, amaç, uyumluluk gereksinimleri açısından temel farklarını, veri güvenliği ve ihlal bildirimi boyutunda nerede örtüştüklerini ve PCI uyumluluğunun GDPR uyumluluğuna nasıl zemin hazırladığını kurumsal bir bakış açısıyla ele alıyoruz.
PCI DSS = Kart Verisi Güvenliği
GDPR = Kişisel Veri ve Gizlilik Hakları
PCI DSS, ödeme kartı ekosistemini güvence altına alan teknik bir sektör standardı iken, GDPR; birey haklarını merkeze alan, geniş kapsamlı bir hukuki veri koruma rejimidir. İki çerçeve birlikte ele alındığında, hem finansal veri hem de kişisel veri güvenliği açısından güçlü bir uyumluluk mimarisi tasarlanabilir.
1. PCI DSS Nedir?
PCI DSS (Payment Card Industry Data Security Standard), yani Ödeme Kartı Sektörü Veri Güvenliği Standardı; kart sahibi verilerinin güvenliğini sağlamak amacıyla önde gelen kredi kartı markaları (Mastercard, Visa, American Express, Discover, JCB vb.) tarafından oluşturulmuş bir dizi güvenlik standardından oluşur.
PCI DSS, kart sahibi verilerini kabul eden, işleyen, saklayan veya ileten tüm kuruluşlar için geçerlidir. Uyumluluk; kart markaları ve edinici bankalar (acquirer) tarafından sözleşmesel hükümlerle uygulanmakta olup; satıcılar ve hizmet sağlayıcılar genellikle yıllık bazda Nitelikli Güvenlik Değerlendiricileri (QSA) veya iç güvenlik değerlendiricileri (ISA) tarafından denetlenir.
1.1 Kapsam ve Uygulanabilirlik
- Fiziksel POS altyapıları, sanal POS ve ödeme geçitleri,
- E-ticaret siteleri ve mobil uygulamalar,
- Ödeme hizmet sağlayıcıları ve üçüncü taraf ödeme işlemcileri,
- Kart sahibi verisini saklayan, işleyen veya ileten her türlü sistem bileşeni
PCI DSS, bu ekosistem içerisinde kart verisiyle temas eden tüm bileşenlerin güvenlik kontrol setine uygun şekilde tasarlanmasını ve işletilmesini zorunlu hâle getirir.
2. PCI Uyumluluğunun Temel Rolleri
PCI DSS, yalnızca teknik bir “checklist”ten ibaret değildir; ödeme ekosistemi için bütüncül bir güvenlik ve risk yönetimi çerçevesi sunar. Kurumlara sağladığı temel değerleri aşağıdaki başlıklarda özetleyebiliriz.
2.1 Veri Güvenliği
PCI uyumluluğu, ödeme kartı verilerini yetkisiz erişim, hırsızlık ve kötüye kullanıma karşı korumak amacıyla net standartlar belirler. Bunlar arasında:
- Veri şifreleme, tokenization ve maskeleme,
- Güvenli ağ mimarisi ve segmentasyon,
- Güçlü erişim kontrolleri ve kimlik doğrulama,
- Loglama, izleme ve olay yönetimi
gibi teknik ve organizasyonel önlemler önemli yer tutar.
2.2 Risk Azaltma
PCI DSS gerekliliklerine uyum sağlayan kuruluşlar; veri ihlali, kart dolandırıcılığı ve hizmet kesintisi gibi riskleri daha yönetilebilir seviyelere çeker. Düzenli zafiyet taramaları, sızma testleri ve konfigürasyon denetimleri, risklerin proaktif şekilde tespit edilmesine yardımcı olur.
2.3 Tüketici Güveni ve Marka İtibarı
Kart verisinin korunması, doğrudan müşteri güveni ve marka itibarı ile ilişkilidir. PCI uyumluluğu; hem B2C hem de B2B tarafta kuruluşun güvenlik olgunluğunu gösteren önemli bir sinyaldir ve müşteri tercihlerini doğrudan etkiler.
2.4 Yasal ve Mevzuata Uygunluk
PCI DSS, doğrudan bir kanun olmasa da, ödeme ekosisteminde yer alan taraflar için sözleşmesel bir yükümlülük niteliğindedir. Uyumsuzluk; ağır faiz ve cezalara, sözleşmelerin sona erdirilmesine, kart kabul yetkisinin kaybına ve ciddi itibar zedelenmesine yol açabilir.
3. GDPR Nedir?
GDPR (General Data Protection Regulation), Avrupa Birliği ve Avrupa Ekonomik Alanı’nda kişisel verilerin korunması ve gizlilik konusunda yürürlükte olan temel düzenlemedir. 2016 yılında kabul edilmiş, 25 Mayıs 2018 itibarıyla uygulanmaya başlanmıştır.
GDPR; yalnızca AB’de yerleşik kuruluşları değil, AB’de yerleşik bireylere mal veya hizmet sunan veya onların davranışlarını izleyen AB dışı kuruluşları da kapsamına alır. Bu nedenle küresel ölçekte faaliyet gösteren birçok şirket için GDPR uyumluluğu fiilen zorunludur.
4. GDPR’nin Önemi
GDPR, klasik anlamda bir “güvenlik standardı”ndan çok daha fazlasını ifade eder; bireylerin temel hak ve özgürlüklerini koruyan kapsamlı bir veri koruma rejimidir.
4.1 Gelişmiş Veri Koruması ve Birey Hakları
- Verilere erişim, düzeltme ve silme (“unutulma hakkı”),
- Veri işleme faaliyetlerine itiraz etme,
- Veri taşınabilirliği talep etme,
- Profil çıkarma ve otomatik karar almaya karşı ek güvenceler
gibi haklar, bireylere verileri üzerinde somut kontrol imkânı sağlar.
4.2 Bölge Dışı Etki
GDPR; AB vatandaşlarının verilerini işleyen tüm şirketler için geçerli olduğundan, veri koruma standartlarının coğrafi sınırları aştığı bir çerçeve sunar. Bu durum, AB’yi küresel anlamda “referans mevzuat” konumuna taşımıştır.
4.3 İzin ve Hukuki Sebep Yönetimi
Şirketlerin verileri işlemek için bireylerden açık, özgür iradeye dayalı ve bilgilendirilmiş onay almaları gerekir. Rıza; önceden işaretlenmiş kutucuklar üzerinden alınamaz, belirli bir amaçla sınırlı olmalı ve istenildiğinde kolaylıkla geri çekilebilir olmalıdır. Ayrıca sözleşme, hukuki yükümlülük, meşru menfaat gibi hukuki sebepler de işleme için temel oluşturabilir.
4.4 Ağır Yaptırımlar ve Veri İhlali Bildirimi
- GDPR’ye aykırı durumlarda para cezaları, global yıllık cironun %4’üne veya 20 milyon Euro’ya kadar çıkabilir (hangisi yüksekse).
- Kuruluşlar, ciddi veri ihlallerini fark ettikten sonraki 72 saat içinde ilgili denetim otoritesine ve gerekli durumlarda veri sahiplerine bildirmekle yükümlüdür.
5. PCI DSS ve GDPR Arasındaki Temel Farklar
PCI DSS ve GDPR çoğu zaman aynı kurumun uyumluluk ve güvenlik gündeminde yan yana konuşlansa da; kapsam, odak, hukuki statü ve uyumluluk metodolojisi açısından ciddi farklılıklar içerir.
5.1 Karşılaştırma Tablosu
| Boyut | PCI DSS | GDPR |
|---|---|---|
| Kapsam ve Uygulanabilirlik | Kredi / banka kartı verilerini kabul eden, işleyen, saklayan veya ileten kuruluşları kapsar. | AB/AEA vatandaşlarının kişisel verilerini işleyen tüm şirketleri, coğrafi konumdan bağımsız olarak kapsar. |
| Odak ve Amaç | Ödeme kartı verilerinin işlemler sırasında güvenliğini sağlamaya odaklanır. | AB bireylerinin gizlilik haklarını ve kişisel verilerini korumaya odaklanır. |
| Uyumluluk Gereksinimleri | Kart sahibi verisi için spesifik güvenlik gereklilikleri, kontrol maddeleri ve teknik önlemler tanımlar. | Kapsamlı bir veri koruma çerçevesi sunar; hukuki sebep, hak yönetimi, kayıt tutma, DPIA gibi süreçleri içerir. |
| Yasal Dayanak | Doğrudan yasa değil; kart şirketleri tarafından oluşturulmuş ve sözleşmelerle uygulanan bir sektörel standarttır. | AB hukukunda yer alan, bağlayıcı nitelikte bir yasal düzenlemedir. |
| Denetim ve Doğrulama | QSA/ISA denetimleri, self-assessment soru listeleri (SAQ), sızma testleri ve taramalarla doğrulanır. | Denetim otoriteleri, DPIA’lar, işleme faaliyetlerine ilişkin kayıtlar ve şikâyet mekanizmaları üzerinden izlenir. |
6. PCI DSS ve GDPR Arasındaki Önemli Örtüşmeler
İki düzenleme farklı kökenlerden gelse de, veri güvenliği, ihlal bildirimi ve üçüncü taraf yönetimi gibi kritik alanlarda ciddi örtüşmeler gösterir.
6.1 Veri Güvenliği
- PCI DSS, kart sahibi verileri için detaylı bir teknik güvenlik kontrol seti tanımlar.
- GDPR, tüm kişisel veriler için “uygun teknik ve organizasyonel tedbirlerin” alınmasını şart koşar.
Şifreleme, erişim kontrolü, loglama, zafiyet yönetimi ve ağ güvenliği gibi unsurlar; hem PCI hem de GDPR bağlamında ortak güvenlik bileşenleridir.
6.2 Veri İhlali Bildirimi
- PCI DSS, kart verisi ihlallerinin kart markalarına, bankalara ve ilgili paydaşlara zamanında raporlanmasını bekler.
- GDPR, ciddi kişisel veri ihlallerinin 72 saat içinde denetim otoritesine ve gerekli hâllerde veri sahiplerine bildirilmesini zorunlu kılar.
Her iki çerçevede de öncelik; şeffaflık, hızlı reaksiyon ve zararın sınırlandırılmasıdır.
6.3 Uyumluluğun Doğrulanması
- PCI uyumluluğu: QSA/ISA denetimleri, yıllık raporlamalar, SAQ’lar ve bağımsız testlerle doğrulanır.
- GDPR uyumluluğu: DPIA’lar, kayıt yükümlülükleri, iç denetimler ve otorite incelemeleriyle izlenir.
6.4 Üçüncü Taraf Sorumlulukları
- PCI DSS, üçüncü taraf ödeme işlemcilerinin ve servis sağlayıcıların güvenliğinden satıcıların da sorumlu olduğunu kabul eder.
- GDPR, veri işleyenlerin (processor) veri sorumlusu (controller) adına işledikleri kişisel verilerden dolayı belirli yükümlülüklere sahip olmasını zorunlu kılar.
Bu nedenle hem PCI hem de GDPR uyum programlarında tedarikçi yönetimi, sözleşmesel hükümler ve denetim hakkı kritik bir yer tutar.
7. PCI Uyumluluğu GDPR Uyumluluğuna Nasıl Katkıda Bulunur?
PCI DSS’nin benimsenmesi; kuruluşların, kullanıcıların finansal ve kişisel bilgilerinin korunmasına verdikleri önemin somut göstergelerinden biridir. Aynı zamanda GDPR’nin güvenlik boyutuna yönelik güçlü bir altyapı sağlar.
7.1 Güvenlik Altyapısı ve Kontroller
PCI DSS protokollerinin ve teknik gerekliliklerinin uygulanması, GDPR’de de aranan “uygun teknik ve organizasyonel tedbirler” için sağlam bir temel oluşturur:
- Veri şifreleme, tokenization ve maskeleme ile veri minimizasyonu,
- Güvenli ağ mimarisi ve segmentasyon ile erişim sınırlandırma,
- Yetki matrisi, asgari yetki ilkesi ve güçlü kimlik doğrulama,
- Loglama, SIEM entegrasyonu ve olay korelasyonu,
- Düzenli sızma testleri ve zafiyet yönetim programı.
7.2 Veri İhlali Yönetimi
Bir kuruluştan müşteri verilerinin veya kart sahibi bilgilerinin sızması, hem PCI DSS hem de GDPR bağlamında veri ihlali olarak değerlendirilir. Bu durumda:
- PCI açısından kart markalarına, bankalara ve ilgili paydaşlara derhal bildirim,
- GDPR açısından 72 saat içinde denetim otoritesine ve gerekirse veri sahiplerine bildirim
gündeme gelir. PCI DSS kapsamında kurulan olay müdahale süreçleri, GDPR ihlal yönetimi için de önemli ölçüde yeniden kullanılabilir ve GDPR uyumluluğuna geçişi hızlandırır.
7.3 PCI Uyumluluğunun Stratejik Katkısı
PCI uyumluluğu, kurumun güvenli teknolojilere yatırım yaptığını ve olgun süreçler kurduğunu gösterir. Bu sayede:
- Güvenlik kontrolleri GDPR’nin teknik gereklilikleriyle doğal olarak hizalanır,
- Veri ihlali riskleri azaltılarak hem PCI hem GDPR kaynaklı cezai yaptırım riski düşer,
- Uyumluluk ve siber güvenlik alanları tek bir kurumsal program altında daha entegre yönetilebilir.
8. Sık Sorulan Sorular
8.1 Sadece PCI DSS uyumlu olmak GDPR için yeterli midir?
Hayır. PCI DSS, kart verisi güvenliği odaklı bir güvenlik standardıdır; GDPR ise çok daha geniş kapsamlı, hukuki bir veri koruma rejimidir. PCI uyumluluğu güvenlik tarafında güçlü bir temel sağlar; ancak hukuki dayanak, aydınlatma, hak yönetimi ve kayıt yükümlülükleri gibi ek gereksinimler ayrıca ele alınmalıdır.
8.2 GDPR’ye uyuyorsam, PCI DSS’e de otomatik olarak uyumlu sayılır mıyım?
Hayır. GDPR, ödeme kartı verisi özelinde detaylı teknik kontrol setleri sunmaz. Kart verisi işliyorsanız, kart markaları ve bankalarla olan sözleşmeleriniz gereği ayrıca PCI DSS uyumluluğu sağlamanız beklenir.
8.3 PCI DSS ve GDPR uyumluluğu birlikte yönetilebilir mi?
Evet. En verimli yaklaşım, ortak güvenlik kontrollerini (şifreleme, erişim yönetimi, loglama, olay yönetimi vb.) tek bir kurumsal güvenlik programı altında toplamak ve bunun üzerine GDPR’ye özgü hukuki ve süreçsel gereklilikleri inşa etmektir. Böylece hem maliyet hem de operasyonel yük optimize edilir.
8.4 Üçüncü taraf ödeme sağlayıcıları kullanıyorsam sorumluluk tamamen onlara mı aittir?
Hayır. PCI DSS’te de GDPR’de de üçüncü taraflar, veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu / satıcı olarak siz; doğru sağlayıcıyı seçmek, sözleşmesel güvence sağlamak ve gerekli ölçüde denetlemekten sorumlusunuz. Tedarikçi yönetimi, uyumluluk stratejisinin kritik bir bileşenidir.
