Соответствие PCI-DSS: Руководство по 12 требованиям для турецких финтех-компаний
TL;DR
PCI-DSS Seviye 1-4 ölçeğinde 12 gereklilik (sınır güvenliği, kart şifreleme, erişim, izleme, politika). Türkiye uygulamasında KVKK + 6493 + ISO entegrasyonu.
15 Şubat 2026
Финансовое право
2 dk okuma
7 görüntülenme
Son güncelleme: 9 Mayıs 2026
PCI-DSS (Стандарт безопасности данных индустрии платежных карт) является обязательным для всех учреждений, обрабатывающих данные карт. Уровни: 1 (6M+ транзакций в год) - 4 (20K-1M транзакций в год). Применяется совместно с КВКК+6493 СК в Турции.
Уровни
<таблица>
Уровень
Ежегодная передача
Аудит
1
6 миллионов+
Ежегодное QSA на месте
2
1–6 месяцев
Ежегодный опросный лист + сканирование ASV
3
20 тыс.–1 млн
Ежегодное сканирование SAQ + ASV
4
20 тыс.–1 млн
Ежегодный опросник (самостоятельный)
12 требований PCI-DSS
<быть>
Стандарты конфигурации брандмауэра.
Не использовать пароли и параметры безопасности по умолчанию.
Хранение данных о держателях карт путем их шифрования (AES-256).
Зашифрованная передача данных карты в открытой сети (TLS 1.2+).
Антивирус.
Разработка безопасных приложений (SDLC, топ-10 OWASP).
Контроль доступа, минимальные привилегии.
Уникальный идентификатор + MFA для каждого пользователя.
Ограничение физического доступа.
Отслеживание всего доступа и активности (SIEM, хранение журналов 1 год).
Ежегодные тесты безопасности (пен-тест, проверка кода).
Политика информационной безопасности.
Где пройти аудит PCI-DSS в Турции?
От компаний QSA (Квалифицированный эксперт по безопасности). В Турции действуют утвержденные QSA, такие как KPMG, EY, Deloitte, PwC, Procoders, Tridom. Ежегодный выездной аудит стоит от 25 до 100 тысяч долларов США.
Конфликтует ли это с KVKK?
Не противоречит; дополнение. PCI-DSS ориентирован на карточные данные, КВКК — на все персональные данные. Требование безопасности данных KVKK m.12 легко выполняется благодаря соответствию PCI-DSS.
Достаточно ли токенизации?
Токенизация сужает сферу применения PCI-DSS, но не устраняет ее полностью. Инфраструктура, которая производит токены и поддерживает сопоставление, остается в сфере PCI-DSS.
Что произойдет в случае нарушения?
Страх за ассоциацию карты (Visa, MC): 5-100 тыс. долларов США в месяц; Турецкие платежные интеграторы могут расторгнуть договор; Уведомление о нарушении статьи 12/5 КВКК 72 часа. Дела о компенсации клиентам затягиваются.
Разница SAQ и RoC?
SAQ (опросник для самооценки): уровни 2–4. RoC (Отчет о соответствии): Уровень 1; Регулируется QSA.
Соответствующее законодательство
<ул>
Закон № 6493 — Платежи и электронные деньги; лицензирование, разрешение на эксплуатацию.
Правила BRSA – разрешение платежного учреждения/EML, капитал, отчетность.
5549 SK — МАСАК; KYC, STR, регулярная активность.
KVKK + GDPR — Безопасность данных, трансграничная передача.
PCI-DSS — карточное хранилище; Соответствие PCI уровня 1–4.
Официальное уведомление: Эта статья предназначена для общих информационных целей; Встреча с адвокатом необходима по конкретному делу. Продолжительность, ставки и практика определяются судебной практикой; Перед подачей заявления ознакомьтесь с действующим законодательством.
Kaynaklar ve referanslar
Kaynaklar
PCI-DSS Uyumu: Türkiye Fintech'leri için 12 Gereklilik Rehberi içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.
Telif bildirimi
Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.
Hukuki destek arıyorsanız
Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.
Bu site deneyiminizi iyileştirmek için çerez kullanır. Devam ederek kabul etmiş sayılırsınız.
Siteyi kullanmaya devam etmeniz halinde, kişisel verilerinizin KVKK aydınlatma metni kapsamında işlendiğini kabul etmiş sayılırsınız.