AC
Anasayfa Makaleler القانون المالي

الامتثال لـ PCI-DSS: دليل المتطلبات الـ 12 لشركات التكنولوجيا المالية التركية

TL;DR

PCI-DSS Seviye 1-4 ölçeğinde 12 gereklilik (sınır güvenliği, kart şifreleme, erişim, izleme, politika). Türkiye uygulamasında KVKK + 6493 + ISO entegrasyonu.

15 Şubat 2026 القانون المالي 2 dk okuma 8 görüntülenme Son güncelleme: 9 Mayıs 2026

يعد PCI-DSS (معيار أمان بيانات صناعة بطاقات الدفع) إلزاميًا لجميع المؤسسات التي تقوم بمعالجة بيانات البطاقة. المستويات: 1 (6M+ تكساس/سنة) - 4 (20K-1M تكساس/سنة). يتم تطبيقه مع KVKK + 6493 SK في تركيا.

المستويات

<الجدول> المستوىالنص السنويالتدقيق 16 مليون+تقييم الجودة السنوي في الموقع 21M-6Mفحص SAQ السنوي + ASV 320 ألف - 1 مليونفحص SAQ السنوي + ASV 420 ألف - 1 مليونSAQ السنوي (ذاتي)

12 متطلبات PCI-DSS

<يكون>
  • معايير تكوين جدار الحماية.
  • عدم استخدام كلمات المرور الافتراضية ومعلمات الأمان.
  • تخزين بيانات حامل البطاقة من خلال تشفيرها (AES-256).
  • نقل بيانات البطاقة المشفرة في شبكة مفتوحة (TLS 1.2+).
  • مضاد الفيروسات.
  • تطوير آمن للتطبيقات (SDLC، OWASP أعلى 10).
  • التحكم في الوصول، أقل الامتيازات.
  • المعرف الفريد + MFA لكل مستخدم.
  • تقييد الوصول الفعلي.
  • مراقبة جميع عمليات الوصول والأنشطة (SIEM، الاحتفاظ بالسجل لمدة عام واحد).
  • اختبارات الأمان السنوية (اختبار القلم، مراجعة الكود).
  • سياسة أمن المعلومات.

    • أين يمكن الحصول على تدقيق PCI-DSS في تركيا؟

    من شركات QSA (مقيم الأمان المؤهل). هناك وكالات ضمان جودة معتمدة في تركيا مثل KPMG، EY، Deloitte، PwC، Procoders، Tridom. تتراوح قيمة التدقيق السنوي في الموقع من 25 إلى 100 ألف دولار أمريكي.

    هل يتعارض مع KVKK؟

    لا يتعارض؛ إطراء. يركز PCI-DSS على بيانات البطاقة، بينما يركز KVKK على جميع البيانات الشخصية. يتم تلبية متطلبات أمان البيانات KVKK m.12 بسهولة بفضل التوافق مع PCI-DSS.

    هل الترميز كافٍ؟

    يعمل الترميز على تضييق نطاق PCI-DSS، لكنه لا يلغيه تمامًا. تظل البنية التحتية التي تنتج الرموز المميزة وتحافظ على التعيين ضمن نطاق PCI-DSS.

    ماذا يحدث في حالة المخالفة؟

    عقوبة اتحاد البطاقة (Visa, MC): 5 آلاف - 100 ألف دولار أمريكي شهريًا؛ يجوز لشركات تكامل الدفع التركية إنهاء العقد؛ إشعار انتهاك المادة 12/5 من KVKK لمدة 72 ساعة. قضايا تعويض العملاء طويلة.

    الفرق بين SAQ وRoC؟

    SAQ (استبيان التقييم الذاتي): المستوى 2-4. RoC (تقرير عن الامتثال): المستوى 1؛ مرخصة من قبل QSA.

    التشريعات ذات الصلة

    • القانون رقم 6493 — الدفع والنقود الإلكترونية؛ الترخيص، تصريح التشغيل.
    • لوائح BRSA — إذن مؤسسة الدفع / EML، رأس المال، إعداد التقارير.
    • 5549 SK - MASAK؛ KYC، STR، النشاط المنتظم.
    • KVKK + اللائحة العامة لحماية البيانات (GDPR) — أمن البيانات، والنقل عبر الحدود.
    • PCI-DSS — تخزين البطاقة؛ الامتثال لمستوى PCI 1-4.
    إشعار قانوني: هذه المقالة لأغراض المعلومات العامة؛ مطلوب لقاء مع محام لقضية محددة. تتشكل الفترات والمعدلات والممارسات من خلال الفقه. تحقق من التشريع الحالي قبل التقديم.

    Kaynaklar ve referanslar

    Kaynaklar

    PCI-DSS Uyumu: Türkiye Fintech'leri için 12 Gereklilik Rehberi içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

    Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

    Hukuki destek arıyorsanız

    Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

    Görüşme Planla