PCI/DSS
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi kartı bilgilerini kabul eden, işleyen, depolayan veya ileten tüm şirketlerin güvenli bir ortam sağlamasını sağlamak için tasarlanmış bir dizi güvenlik standardıdır.
Bu Veri Güvenliği Standartları, Visa, MasterCard, American Express ve Discover gibi kurumsal üyelerin yer aldığı Güvenlik Standartları Konseyi tarafından, veri ihlallerini, kimlik hırsızlıklarını ve diğer dolandırıcılıklarla birlikte suç aktivitelerini azaltmak için belirlenmiştir. Bu standartlara tüm boyutlardaki şirketlerin uyması zorunludur.
Bu nedenle PCI DSS günümüzde çok yaygın şekilde devam eden sanal dolandırıcılığın engellenmesi için oldukça önemli bir yere sahiptir. Bu kurallar internet üzerinden yapılacak alışverişlerde tüketicilerin ve firmaların güvenliğini sağlamayı amaçlamaktadır. PCI DSS Sertifikası, güvenli alışveriş için standartları belirleyen ve farklı seviyelerde derecelendirilen bir yapıdır.
PCI DSS sertifikası ve uyumluluğu neden önemlidir?
PCI DSS danışmanlığı ile internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği alanında uluslararası standartlara ulaşması mümkündür. Yukarıda bahsettiğimiz bu sistem ve kurallar sayesinde kart sahiplerinin kişisel verileri ve güvenliklileri koruma altında tutulur. Ödeme güvenliği konusunda belirlenmiş standartlara ve güvenliğe uymayan işletmelerin güvenli hizmet sunmadıkları gerekçesiyle faaliyetlerinin durdurulmasına dair çalışmalar da yürütülmektedir. PCI DSS sadece kredi kartı ile ödeme alan işletmeleri için değil, kart sahiplerinin bilgilerini depolayan ve ileten işletmeler için de son derece önemlidir.
PCI DSS uyumluluk süreci?
Dünyada müşterilerin gözünde en itibarlı ve en önemli güvenlik sertifikası olan PCI DSS Sertifikasını almak için başvuruda bulunan firmalar, belli kriterleri karşılamak zorundadır ve uyumluluk sürecinde izlemesi gereken önemli aşamalar vardır. Uyumluluk süreci 12 gereksinimden oluşur, bu gereksinimler;
- GÜVENLİK DUVARLARI KULLANILMASI
Güvenlik duvarları, özel verilere erişmeye çalışan yabancı veya bilinmeyen varlıkların erişimini esasen engeller. Bu önleme sistemleri genellikle bilgisayar korsanlarına (kötü niyetli veya başka türlü) karşı ilk savunma hattıdır. Yetkisiz erişimi engellemedeki etkinlikleri nedeniyle PCI DSS uyumluluğu için güvenlik duvarları gereklidir.
- UYGUN PAROLA KORUMALARI
Yönlendiriciler, modemler, satış noktası (POS) sistemleri ve diğer üçüncü taraf ürünleri genellikle genel parolalar ve halkın kolayca erişebileceği güvenlik önlemleri ile birlikte gelir. Çoğu zaman, işletmeler bu güvenlik açıklarını güvence altına almakta başarısız olur. Bu alanda uyumluluğun sağlanması, bir şifre (veya erişmek için başka bir güvenlik) gerektiren tüm cihazların ve yazılımların bir listesini tutmayı içerir. Bir cihaz / şifre envanterine ek olarak, temel önlemler ve yapılandırmalar da (örn. Şifrenin değiştirilmesi) uygulanmalıdır.
- KART SAHİBİ VERİLERİNİN KORUNMASI
PCI DSS uyumluluğunun üçüncü gereksinimi, kart sahibi verilerinin iki kat korunmasıdır. Kart verileri belirli algoritmalarla şifrelenmelidir. Bu şifrelemeler, uyumluluk için şifrelenmeleri de gereken şifreleme anahtarlarıyla yerine konur. Şifrelenmemiş verilerin bulunmadığından emin olmak için birincil hesap numaralarının (PAN) düzenli olarak bakımı ve taranması gerekir.
- İLETİLEN VERİLERİN ŞİFRELENMESİ
Kart sahibi verileri birden çok sıradan kanal üzerinden gönderilir (örn. Ödeme işlemcileri, yerel mağazalardan ev ofisi, vb.). Bu veriler, bu bilinen yerlere gönderildiğinde şifrelenmelidir. Hesap numaraları da bilinmeyen yerlere asla gönderilmemelidir.
- ANTI-VIRÜS KULLANILMASI
Virüsten koruma yazılımı yüklemek, PCI DSS uyumluluğu dışında iyi bir uygulamadır. Ancak, PAN ile etkileşime giren ve / veya depolayan tüm cihazlar için virüsten koruma yazılımı gereklidir. Bu yazılıma düzenli olarak yama uygulanmalı ve güncellenmelidir. POS sağlayıcınız ayrıca, doğrudan yüklenemeyen antivirüs önlemleri almalıdır.
- DÜZGÜN GÜNCELLENEN YAZILIMLAR
Güvenlik duvarları ve anti-virüs yazılımları sık sık güncelleme gerektirecektir. Bir işletmedeki her yazılım parçasını güncellemek de iyi bir fikirdir. Çoğu yazılım ürünü, güncellemelerinde yeni keşfedilen güvenlik açıklarını gidermek için yamalar gibi güvenlik önlemlerini içerecek ve bu da başka bir koruma düzeyi ekleyecektir. Bu güncellemeler özellikle kart sahibi verileriyle etkileşimde bulunan veya bu verileri depolayan cihazlardaki tüm yazılımlar için gereklidir.
- VERİ ERIŞİMİNİN KISITLANMASI
Kart sahibi verilerinin kesinlikle “bilmesi gereken” olması gerekir. Bu verilere erişmesi gerekmeyen tüm personel, yöneticiler ve üçüncü şahıslar bu verilere sahip olmamalıdır. Hassas verilere ihtiyaç duyan roller, PCI DSS’nin gerektirdiği şekilde iyi belgelenmeli ve düzenli olarak güncellenmelidir.
- ERİŞİM IÇIN BENZERSİZ KİMLİKLER
Kart sahibi verilerine erişimi olan kişiler, erişim için bireysel kimlik bilgilerine ve kimliğe sahip olmalıdır. Örneğin, birden fazla çalışanın kullanıcı adı ve parolayı bilmesi ile şifrelenmiş verilere tek bir giriş yapılmamalıdır. Benzersiz kimlikler daha az güvenlik açığı yaratır ve olay verilerinin tehlikeye atılması durumunda daha hızlı yanıt süresi sağlar.
- FİZİKSEL ERİŞİMİN KISITLANMASI
Tüm kart sahibi verileri fiziksel olarak güvenli bir yerde tutulmalıdır. Hem fiziksel olarak yazılmış veya yazılmış veriler hem de dijital olarak tutulan veriler (örneğin, bir sabit sürücüde) güvenli bir odada, çekmecede veya dolapta kilitlenmelidir. Yalnızca erişim sınırlandırılmamalı, aynı zamanda hassas verilere her erişildiğinde, uyumlu kalması için bir günlükte tutulmalıdır.
- ERİŞİM GÜNLÜKLERİNİN OLUŞTURULMASI
Kart sahibi verileri ve birincil hesap numaraları (PAN) ile ilgili tüm faaliyetler bir günlük girişi gerektirir. Belki de en yaygın uyumsuzluk sorunu, hassas verilere erişim söz konusu olduğunda uygun kayıt tutma ve dokümantasyon eksikliğidir. Uyumluluk, verilerin kuruluşunuza nasıl aktığını ve erişimin kaç kez gerekli olduğunu belgelemeyi gerektirir. Doğruluğu sağlamak için erişimi kaydetmek için yazılım ürünleri de gereklidir.
- GÜVENLIK AÇIKLARININ DÜZENLİ OLARAK TEST EDİLMESİ
Önceki uyum standartlarının on tanesi çeşitli yazılım ürünlerini, fiziksel konumları ve muhtemelen birkaç çalışanı içerir. Arızalanabilecek, güncelliğini yitirebilecek veya insan hatasından muzdarip olabilecek pek çok şey vardır. Bu tehditler, düzenli taramalar ve güvenlik açığı testleri için PCI DSS gereksinimi karşılanarak sınırlandırılabilir.
- BELGE POLİTİKALARI
Erişimi olan ekipman, yazılım ve çalışanların envanterinin uyum için belgelenmesi gerekecektir. Kart sahibi verilerine erişim günlükleri de dokümantasyon gerektirecektir. Bilginin şirketinize nasıl aktığı, nerede saklandığı ve satış noktasından sonra nasıl kullanıldığı da belgelendirilmelidir.
PCI UYUMLULUĞUNUN AVANTAJLARI
- PCI Uyumluluğu, sistemlerinizin güvenli olduğu ve müşterilerinizin hassas ödeme kartı bilgileriyle size güvenebileceği anlamına gelmektedir. Bunun sonucunda ise karşılıklı güven ortamı oluşmaktadır.
- PCI Uyumluluğu, şu anda ve gelecekte güvenlik ihlallerini ve ödeme kartı veri hırsızlığını önlemeye yardımcı olan sürekli bir süreçtir. PCI uyumluluğu, küresel bir ödeme kartı veri güvenliği çözümüne katkıda bulunduğunuz anlamına gelmekteddir.
- PCI Uyumluluğu, kurumsal güvenlik stratejilerine katkıda bulunur (yalnızca bir başlangıç noktası olsa bile).
- PCI Uyumluluğu, muhtemelen BT altyapısı verimliliğinin artmasına yol açar.
PCI UYUMSUZLUĞUNUN YOL AÇTIĞI SIKINTILAR
PCI Uyumluluğu ile müşterilerinizi müşteriniz olmaya devam edebilmeleri için korursunuz. Ancak PCI Uyumsuzluğunun sonuçları ise şunları içermektedir:
- Tüketicileri, tüccarları ve finans kurumlarını olumsuz yönde etkileyen güvenliği ihlal edilmiş veriler.
- İtibarınıza ve işinizi şu anda ve gelecekte etkili bir şekilde yürütebilmenize ciddi şekilde zararlar verilebilir.
- Olası bir kullanıcı ya da şirket hesaplarının veri kaybı sonucunda hisse fiyatları düşer.
- Bu veri kaybıyla birlikte aynı zamanda kurum için çok büyük maddi ve manevi cezalarla karşılaşılabilmektedir.
PCI DSS Uyum Süreci Seviyeleri
E-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilmektedirler. Farklı seviyelere göre de uyum doğrulamayı gerektirecek farklı yollar belirlenmektedir.
Visa ve Mastercard kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:
– Level 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
– Level 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
– Level 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
– Level 4: Yılda 20 binden az işlem yapılan firmalar.