Module 1
PCI DSS Fundamentals (Temeller)
- PCI DSS nedir? Kapsamı ve zorunluluk alanları
- Kart Sahibi Verisi (CHD) ve Hassas Doğrulama Verisi (SAD)
- Ödeme ekosistemi: Issuer, Acquirer, PSP, Merchant
- PCI SSC yapısı ve doküman türleri
Modüller & İçerik
Eğitim, 16 modülden oluşan uçtan uca bir PCI DSS uyum yolculuğu sunar. Modüller; PCI DSS’in temelleri, kart verisi tanımları ve ödeme ekosistemi ile başlayarak, kapsam belirleme ve ağ segmentasyonu konularına odaklanır. Devamında PCI DSS v4.0 gereksinimleri doğrultusunda ağ güvenliği, güvenli konfigürasyonlar, kart verisinin korunması, şifreleme, zararlı yazılım önlemleri, güvenli yazılım geliştirme ve erişim yönetimi ele alınır. Eğitim ayrıca kimlik doğrulama, fiziksel güvenlik, loglama ve izleme, güvenlik testleri ve kurumsal politika gereksinimlerini kapsar. Son modüllerde PCI DSS uyum yaşam döngüsü, SAQ türleri, QSA denetim süreçleri ve sürekli uyum yaklaşımı aktarılır. Bu yapı sayesinde katılımcılar, PCI DSS gereksinimlerini hem teknik hem yönetsel açıdan bütüncül şekilde kavrar ve kurumlarında uygulanabilir hale getirir.
Module 2
PCI DSS Scope & Segmentation
- PCI kapsam belirleme süreci
- Network segmentation stratejileri
- In-scope ve out-of-scope sistemlerin ayrıştırılması
- CHD akış şemaları (Data Flow Diagrams)
Module 3
PCI DSS Requirements Overview
- A16 gereksinimin genel yapısı
- Kontrol kategorileri: Teknik, operasyonel, yönetsel
- Yeni PCI DSS v4.0 değişiklikleri
- Mandatory vs customized approach
Module 4
Requirement 1: Network Security Controls
- Ağ güvenlik duvarı politikaları
- Segmentation validation
- Outbound/inbound trafik kuralları
- Güvenli mimari tasarımı
Module 5
Requirement 2: Secure Configurations
- Güvenli konfigürasyon standartları
- Default password yasakları
- System hardening (CIS Benchmarks)
Module 6
Requirement 3: Protect Stored Cardholder Data
- CHD saklama kuralları
- Tokenization, hashing, truncation
- Encryption at rest
- SAD saklama yasakları
Module 7
Requirement 4: Encrypt Transmission
- CHD iletiminde TLS 1.2/1.3 zorunluluğu
- Wireless güvenlik gereklilikleri
- Public network üzerinden veri koruması >
Module 8
Requirement 5: Protect Systems Against Malware
- Antimalware politikaları ve kapsamlar
- EDR/AV kullanımı
- Malware exception gereklilikleri
Module 9
Requirement 6: Secure Systems & Software
- Secure SDLC
- Kod güvenliği testleri
- Vulnerability management
- Security patching policy
Module 10
Requirement 7: Access Control
- İhtiyaç kadar yetkilendirme (Need-to-know)
- Role-based access control
- Privileged access gereklilikleri
Module 11
Requirement 8: Identity Management
- Multi-factor authentication kuralları
- Parola politikaları
- Shared accounts yasakları
Module 12
Requirement 9: Physical Security
- Yetkili personel erişimi
- Kart verisi bulunan alanların fiziksel kontrolü
- Ziyaretçi yönetimi
Module 13
Requirement 10: Logging & Monitoring
- SIEM entegrasyonu
- Log retention politikaları
- Shared accounts yasakları
- PCI uyumlu log içerikleri
- Daily log review
Module 14
Requirement 11: Testing Security Controls
- Penetration testing gereklilikleri
- Web application firewall (WAF)
- Vulnerability scan (ASV Scan)
Module 15
Requirement 12: Information Security Policies
- Security awareness training
- Risk assessment
- Incident response plan zorunlulukları
- Third-party risk management
Module 16
Compliance Lifecycle & QSA Assessment
- Annual PCI DSS uyum döngüsü
- Self-Assessment Questionnaire (SAQ) türleri
- ROC, AOC ve QSA süreçleri
- Continuous compliance yaklaşımı