AC
Anasayfa Makaleler Finanzrecht

PCI-DSS-Konformität: Leitfaden mit 12 Anforderungen für türkische Fintechs

TL;DR

PCI-DSS Seviye 1-4 ölçeğinde 12 gereklilik (sınır güvenliği, kart şifreleme, erişim, izleme, politika). Türkiye uygulamasında KVKK + 6493 + ISO entegrasyonu.

15 Şubat 2026 Finanzrecht 2 dk okuma 9 görüntülenme Son güncelleme: 9 Mayıs 2026

PCI-DSS (Payment Card Industry Data Security Standard) ist für alle Institutionen, die Kartendaten verarbeiten, verpflichtend. Stufen: 1 (6 Mio. + tx/Jahr) – 4 (20.000–1 Mio. tx/Jahr). Es wird zusammen mit KVKK + 6493 SK in der Türkei angewendet.

Stufen

StufeJahresrechnungAudit 16M+Jährliche QSA vor Ort 21–6 MonateJährlicher SAQ + ASV-Scan 320.000–1 Mio.Jährlicher SAQ + ASV-Scan 420K-1MJährlicher SAQ (selbst)

12 PCI-DSS-Anforderungen

  • Firewall-Konfigurationsstandards.
  • Es werden keine Standardpasswörter und Sicherheitsparameter verwendet.
  • Speichern von Karteninhaberdaten durch Verschlüsselung (AES-256).
  • Verschlüsselte Übertragung der Kartendaten in einem offenen Netzwerk (TLS 1.2+).
  • Antivirus.
  • Sichere Anwendungsentwicklung (SDLC, OWASP Top 10).
  • Zugriffskontrolle, geringste Berechtigung.
  • Eindeutige ID + MFA für jeden Benutzer.
  • Physische Zugangsbeschränkung.
  • Überwachung aller Zugriffe und Aktivitäten (SIEM, Protokollaufbewahrung 1 Jahr).
  • Jährliche Sicherheitstests (Pentest, Codeüberprüfung).
  • Informationssicherheitsrichtlinie.

    • Wo kann man in der Türkei ein PCI-DSS-Audit erhalten?

    Von QSA-Unternehmen (Qualified Security Assessor). In der Türkei gibt es zugelassene QSAs wie KPMG, EY, Deloitte, PwC, Procoders und Tridom. Das jährliche Audit vor Ort kostet zwischen 25.000 und 100.000 USD.

    Steht ein Konflikt mit KVKK?

    Steht nicht im Widerspruch; ergänzen. PCI-DSS konzentriert sich auf Kartendaten, KVKK auf alle personenbezogenen Daten. Die Datensicherheitsanforderungen von KVKK m.12 werden dank der PCI-DSS-Konformität problemlos erfüllt.

    Ist die Tokenisierung ausreichend?

    Die Tokenisierung schränkt den PCI-DSS-Bereich ein, beseitigt ihn jedoch nicht vollständig. Die Infrastruktur, die Token erstellt und die Zuordnung verwaltet, bleibt im PCI-DSS-Bereich.

    Was passiert im Falle eines Verstoßes?

    Strafe der Kartenvereinigung (Visa, MC): 5.000–100.000 USD/Monat; Türkische Zahlungsintegratoren können den Vertrag kündigen; Benachrichtigung über Verstöße gegen KVKK Artikel 12/5 72 Stunden. Kundenentschädigungsfälle sind langwierig.

    Unterschied zwischen SAQ und RoC?

    SAQ (Selbstbewertungsfragebogen): Level 2-4. RoC (Report on Compliance): Stufe 1; Reguliert durch QSA.

    Einschlägige Gesetzgebung

    • Gesetz Nr. 6493 – Zahlung und elektronisches Geld; Lizenzierung, Betriebserlaubnis.
    • BRSA-Vorschriften – Zahlungsinstitut/EML-Genehmigung, Kapital, Berichterstattung.
    • 5549 SKMASAK; KYC, STR, regelmäßige Aktivität.
    • KVKK + DSGVO – Datensicherheit, grenzüberschreitende Übermittlung.
    • PCI-DSS – Kartenspeicher; Konformität mit PCI Level 1–4.
    Rechtlicher Hinweis: Dieser Artikel dient allgemeinen Informationszwecken; Für einen konkreten Fall ist ein Gespräch mit einem Anwalt erforderlich. Dauer, Tarif und Praxis werden durch die Rechtsprechung geprägt; Informieren Sie sich vor der Antragstellung über die aktuelle Gesetzgebung.

    Kaynaklar ve referanslar

    Kaynaklar

    PCI-DSS Uyumu: Türkiye Fintech'leri için 12 Gereklilik Rehberi içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

    Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

    Hukuki destek arıyorsanız

    Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

    Görüşme Planla