Payment Card Industry Data Security Standard PCI DSS V3.2.1 Eğitimi

EĞİTİMİN AMACI 

2 günlük Payment Card Industry Data Security Standard (PCI DSS) eğitimi; kurumun denetim kapsamı ve kart sahibi bilgisinin bulunduğu ortamları belirlenmesi, V3.2.1 gereksinimleri ve bu gereksinimlerin yerine getirilmesi için uygulanabilecek kontrollerin genel olarak incelenmesini içermektedir.  

Payment Card Industry Data Security Standard (PCI DSS) eğitimi; kurumun denetim kapsamı ve kart sahibi bilgisinin bulunduğu ortamları belirlenmesi, V3.2.1 gereksinimleri ve bu gereksinimlerin yerine getirilmesi için uygulanabilecek kontrollerin genel olarak incelenmesini içermektedir. Bu eğitime katılarak PCI DSS standardının kontrol maddelerini ve denetim süreçlerini öğrenebilirsiniz.  

KİMLER KATILABİLİR 

• Kuruluşunuzun Bilgi Teknolojileri (IT) denetimlerini gerçekleştiren – İç Denetçiler 
• PCI DSS denetimine eşlik edecek, proje yöneticisi, denetçi personel 
• PCI DSS uyumluğu ile ilgili birimlerde (güvenlik, ağ, sistem yönetimi, yazılım geliştirme vb.) çalışan uzmanlar 
• Kuruluşunuzun Risk ve Uyum departmanında çalışan teknik personel 

EĞİTİMİN İÇERİĞİ 

PCI DSS’e Giriş 

• PCI Güvenlik Standardı Konseyi ve PCI Veri Güvenlik Standardına Genel Bakış  
• PCI Terminolojileri ve Kart Markaları ile İlişkiler 

Kart Markaları Uyumluluk Programı, Gereksinimler ve Süreçler o Visa CISP/AIS programı ve gereksinimleri 

• MasterCard SDP programı ve gereksinimleri 
• AmericanExpress DSP programı ve gereksinimleri  
• SAQ (Self-Assessment Questionnaire) formları 
• ASV (Approved Scanning Vendor) taramaları 

PCI DSS v3.2.1 Eğitimi 

• ÖnceliklendirmeFormu 
• YerindeDenetim 
• RoC (Report on Compliance) 
• AoC (Attestation of Compliance) 

Güvenlik İhlalleri ve Zafiyetler  

• Güvenlik ihlalleri ve maliyetler 
• Hedef alının kaynaklar 
• Örnekler 
• İhlal durumunda yapılması gerekenler 

Hassas Veri 

• Track Data 
• Primary Account Number(PAN) 
• Luhn Formülü 

• Güvenlik Kodu(CAV2/CID/CVC2/CVV2) 

Uyumluluk ve Uyumluluğu Doğrulama Süreci 

• Kapsam 
• Ağ Ayrımı 

• Örnekleme 
• Hizmet Alınan Servis Sağlayıcıların uyumluluğa etkisi  
• Uyum ve Günlük İş Süreçleri 
• Denetim ve Raporlama

PCI DSS Gereksinimleri 

• Güvenli Ağ Oluşturma ve Yönetme 

• Güvenlik duvarı ve ağ yönlendirici kontrolleri 
• Kart sahibi ortamlarının sistem kurulum ve konfigürasyon kontrolleri  

• Kart Sahibi Verisini Koruma 

• Kart sahibi verilerinin saklama, şifreleme, gösterim ve elden çıkartma süreç kontrolleri 
• Açık ağlar üzerinden şifreleri kart sahibi bilgisi aktarım kontrolleri  

• Zafiyet Yönetim Programı Yönetimi 

• Anti-virüs sistem kontrolleri 
• Sistemlerin güncelleme, uygulama geliştirme, test, değişiklik ve güvenlik kontrolleri 

• Güçlü Erişim Kontrolü Uygulama 

• Kart sahibi erişim kontrolleri 
• Uzaktan erişim sistemleri, işletim sistemleri, uygulama ve veri tabanı kullanıcı hesapları yönetim kontrolleri 
• Fiziksel erişim, güvenlik ve medya saklama, dağıtım ve elden çıkartma kontrolleri 

• Ağların Düzenli İzlenmesi ve Testi 

• Güvenlik sistemleri, işletim sistemleri, uygulama ve veri tabanı sistemleri ve kart sahibi verisine erişim kayıtları tutma, inceleme ve saklama kontrolleri 
• Güvenlik denetim ve izleme kontrolleri 

• Bilgi Güvenliği Politikalarının Sürdürülmesi 

• Bilgi güvenliği yönetim alt yapısı, yetki ve sorumluluklar, risk yönetimi, dokümantasyon yönetimi kontrolleri 

Dengeleyici (Telafi Edici) Kontroller  

• Uygulama alanı ve yöntemi 
• Gereksinimler 

Servis Saplayıcılar ve Ek Kontroller 

• Paylaşımlı Hosting Hizmet Sağlayıcılar 
• Servis Sağlayıcıları uyması gereken ek gereksinimler 

Daha fazla bilgi için bizlere training@cfecert.co.uk adresinden ulaşabilirsiniz.