İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR
EN

PCI DSS Nedir?


PCI DSS (Payment Card Industry Data Security Standard) Ödeme Kartı Sektörü Veri Güvenliği Standardı, ana kart programlarından markalı ödeme kartlarını kullanan kuruluşlar için bir bilgi güvenliği standardıdır. Bu standart sayesinde, kart ile yapılan ödeme işlemlerinin güvenli bir şekilde yapılması, dolandırıcılık işlemlerine karşı etkin bir koruma sağlanmak üzere kurallar oluşturulmaktadır. Bu kurallar PCI (Payment Card Industry) adı verilen ve aralarında American Express, MasterCard Worldwide, Visa, Discover Financial Services gibi üyeleri bulunan bir konsey tarafından geliştirilmekte ve yayımlanmaktadır.

PCI DSS sadece kredi kartı ile işlem yapan üye işyerleri ve bankalar için geçerli olmakla kalmayıp, kart sahibinin bilgilerini gizleyen ya da ileten tüm hizmet sağlayıcılarını da kapsamaktadır. Bir başka deyişle, kredi kartı sahiplerinin bilgilerini güven altında tutmak için oluşturulmuş PCI DSS standartlarına uymayan firmalar, kredi kartı ile satış yapamazlar. Bu standartlara uymayan firmaların, bir an evvel gerekli güncellemeleri gerçekleştirmesi gerekmektedir. Aksi halde yetkinin durdurulmasına kadar varan yaptırımlarla karşılaşılabilmektedir.

PCI DSS standarlarının temel olarak 6 görevi vardır. Bu standartların ne olduğunu bilmek, bize sanal pos seçimimizi yaparken neden PCI DSS standartlarına uygun olanı seçmemiz gerektiğini gösterecek.

1. Güvenli bir ağ inşa etmek

Bu ağ, alıcı veya satıcıları aşırı rahatsız etmeden etkili olacak kadar sağlam güvenlik duvarlarının kullanılmasını içerir. Kablosuz ağlar için özelleşmiş güvenlik duvarları kolayca kırılabiliyor ve harici dinleme saldırılarına açık hale gelebiliyor. Ayrıca, kişisel olarak atanan veriler (PIN gibi) varsayılan olarak atanmış kalmamalı ve değiştirilmeli. Kullanıcıların bu verileri rahatça değiştirebiliyor ve güncelleyebiliyor olmaları önemli. Düzenli olarak (3-6 aylık periyodlarda) bu şifrelerin değişimi mutlaka yapılmalı.

2. Kredi kartı sahibinin kişisel bilgilerini korumak

Kredi kartı sahibinin bilgileri mutlaka saklandığı yerde iyi korunmalı. Hayati önem taşıyan doğum tarihi, anne kızlık soyadı, TC kimlik numarası, telefon numaraları ve e-posta adresleri gibi verilerin saldırılara karşı en yüksek düzeyde koruma sağlanmalı. Bu bilgiler açık ağlar üzerinde iletilirken güncel teknolojilerle şifrelenmesi gerekir. Aslında dijital şifreleme kredi kartı işlemlerinin tamamında önemli yere sahip olsa da özellikle e-ticaret yapan firmaların mutlaka üzerinde durması gereken bir konu.

3. Sistemler bilgisayar korsanlarına karşı korunmalı

Çalışan bütün sistemler, bilgisayar korsanlarına karşı anti-virüs anti-spyware yazılımları ve diğer kötü amaçlı yazılımlara karşı geliştirilmiş yazılımlar mutlaka güncel tutulmalı ve düzenli olarak update edilmeli. Tüm uygulamalar problemlerden ve açıklardan arındırılmalı. Yazılım ve işletim sisteminin gönderdiği güncel paketler yüklenerek güvenlik açıkları en alt düzeye indirilmeli.

4. Güçlü erişim kontrol mekanizmaları kurmak

Kredi kartı sahipleri işletmeleri gerekmediği sürece kendi bilgilerini vermemeli ve işlem yapmak için zorunlu olarak kullanılan bilgilerin nerede kullanılacağı ile ilgili bilgilendirmelere dikkat etmeli. Sistemin içinde kullanılan her bir kullanıcının kendine ait bir kimliği veya numarası olmalı.  Kredi kartı bilgileri dijital ortamda korunduğu kadar gerçekte de korunmalı. Örneğin gereksiz belgelerin dosya öğütücülerinde öğütülmesi ve yok edilmesi, veya önemli belgelerin saklandığı kasalarda kilit tutmak.

5. Düzenli olarak ağı test etmek ve takip etmek

Ağlar düzenli olarak test edilmeli ve tüm güvenlik ölçümlerinin pozitif sonuç verdiğinden emin olunmalı. Düzgün çalışıyor halde, kontrol edilebilir ve güncel olmaları gerekir. Mesela, anti-virüs / anti-spyware gibi yazılımların son imzalarının en güncel versiyon olduğundan emin olunmalı. Bu yazılımlar, ağdan geçen tüm veriyi kontrol etmeli, tüm uygulamaları kontrol etmeli, RAM ve depolama alanında saklanan verileri kısa aralıklarla kontrol etmeli.

6. Bir bilgi güvenlik protokolü oluşturmak ve güncelliğinden emin olmak.

PCI DSS Faydaları Nelerdir?

Ödeme işleminin ve onay sisteminin PCI veri güvenliği standartları ile uyumlu olması, risklerin azaltılması, güven zafiyetinin tespit edilmesi ve ortadan kaldırılması ile kart sahibinin bilgilerinin işlenmesi, iletilmesi saklanması aşamalarında korunması sağlanır. Bu sayede müşteriye dair tüm bilgiler (kart bilgileri başta olmak üzere) en yeni teknolojiler ve yaklaşımlarla korunur.

PCI DSS uyumluluğu yalnızca tek sefere mahsus yapılan bir işlem değildir. Sürekliliğin sağlanması ve güncellenmesi gereken bu sistem farklı başlıkların birlikte uygulanması ile etkin olabilmektedir.

PCI DSS Standardına Kimler Sahip Olmalıdır?

Günümüzde bir dijital ödemenin güvenirliliğinden bahsetmek için ödemenin tüm aşamalarında rol alan kuruluşların PCI Veri Güvenliği Standartları (DSS) ile uyum sertifikasına sahip olmaları gereklidir. Yalnızca ödeme hizmeti sağlayan şirketler değil, finans kuruluşları, üye iş yerleri, kart bilgileri saklayan, işleyen ve aktaran tüm kurumların-kuruluşların Ödeme Kartları Sektörü Veri Güvenliği Standartları’na (DSS) uyması bir zorunluluktur.

PCI Uyumluluğu ne demektir?

PCI (Payment Card İndustry) Uyumluluğu, ödeme sistemlerinde kredi kartı bilgilerinin güvenliğini sağlamak üzere geliştirilmiş PCI standartlarına olan uygunlukla ölçülür. Bu uygunluk, operasyonel ve teknik anlamda PCI Güvenlik Standartları Kurulu’nun (PCI Security Standards Council ) geliştirdiği ve denetlediği ölçümlerle yapılır. 

Önemli 2 nokta:

- PCI-DSS standartlarını takip eden ve kullanan firmalar “PCI Uyumlu” ‘dur.
- PCI-DSS ‘in altı ana hedefi, 12 anahtar gereksinimi, 78 kök gereksinimi ve 400’den fazla test prosedürü bulunur.

Bir Sun-Tzu Savaş Sanatı öğretisi der ki:

Düşmanı ve kendinizi iyi biliyorsanız, yüzlerce savaşa bile girseniz sonuçtan emin olabilirsiniz.

Özellikle e-ticaret yapan firmaların ödeme sistemlerinden kaynaklanacak problemlerde başlarının derde girme ihtimali yüksek. Bazı savaşları, daha savaş başlamadan kazanmalısınız. Bilgisayar korsanlarına göz açtırmamak için kullanacağınız online ödeme sistemi (sanal pos) tercihinizi yaparken, binlerce yıllık birikim ve tecrübenin bir sonucu olarak söylenmiş bu sözü unutmayın.

PCI DSS uyumluluğu nasıl sağlanır?

PCI DSS uyumluluğunun sağlanabilmesi için üç temel süreçten geçmek gerekmektedir:

Analiz süreci

- Kart ödemelerinin işleme nasıl sokulduğunun analizi yapılır.
- Kart işlemleri esnasındaki tüm veri akışlarının tespit işlemi gerçekleştirilir.
- Kart sahiplerinin hassas bilgilerinin güvenli bir şekilde kullanılıp kullanılmadığı tespit edilir.
- Kart sahiplerine ilişkili olarak hangi bilgilerin tutulduğu belirlenir ve bu bilgilerin ne şekilde saklandığı belirlenir.
- Kart sahibi bilgilerinin üçüncü şahısların eline geçme riskleri araştırılır ve mevcut güvenlik açıklarının taraması yapılır.

İyileştirme süreci

- Gerekli iyileştirme faaliyetleri gerçekleştirilir.
- Zafiyet taramasının ardından, tespit edilen güvenlik açıkları kapatılır.
- Kart sahibi bilgilerinin gerekli haller dışında kullanılmaması sağlanır.

Belgelendirme

PCI DSS standardı çerçevesinde, uyum doğrulama gereksinimlerinde belirtilen periyotlarda, standartlara uygun biçimde denetleme ve belgelendirme işlemleri yapılır.

PCI DSS Uyum Sürecinde Siz Hangi Seviyedesiniz?

Güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilirler. Farklı seviyelere göre de uyum doğrulamayı gerektirecek farklı yollar belirlenir.

Visa ve Mastercard kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:

– Level 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
– Level 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
– Level 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
– Level 4: Yılda 20 binden az işlem yapılan firmalar.

PCI DSS Sertifikasını Bir Kere Almak Yeterli Mİ?

PCI DSS, bir kere alınınca yeterli görülen bir sertifika türü değildir. Farklı seviyelere göre farklı metot ve sıklıklarla belli dönemlerde resmi denetim kurumları tarafından incelenerek yeterlilikleri ve uyumlulukları değerlendirilir. PCI komitesi tarafından yetkilendirilmiş QSA (Qualified Security Assessor) ve ASV (Approved Scanning Vendor) firmalarının yaptığı bu denetimler, kriterlerin karşılanıp karşılanmadığını inceler.

Level 1 için resmi kurumlar tarafından yerinde denetim ve yılda 4 kez network taraması zorunluyken Level 2, 3 ve 4 için yılda 4 network taraması ve PCI uyumluluklarını kanıtlamak için SAQ (Self-Assessment Questionaire ) anketini doldurmak zorunludur.

Ödeme Kartları, yaygın olarak iki çeşittir ve bunlardan ilk aklımıza gelen neredeyse bugün herkesin cüzdanında olan Kredi Kartlarıdır (hatta birden fazla bankadan ve neredeyse koleksiyoner olabileceğimiz kadar fazla bile diyebiliriz). Bunun yanında “Debit Card” olarak isimlendirilen ülkemizde para kart, tele kart, maaş kartı gibi isimlerle adlandırdığımız, bankadaki vadesiz hesaplarımıza erişimimizi sağlayan kartlardır.

Her ikisi de plastik bir kart üzerine basılmış;

- fiziksel (adımız, kart no, banka adı, görseller vb),
- manyetik (adımız, kart no, banka hesap no, müşteri no, CVV vb) ve
- şifreli chip (adımız, kart no, müşteri no, hesap no, pin, CVV vb)

gibi bilgileri ve alanları barındıran, kişi, kurum ve banka arasındaki güvenliğin Kimlik Doğrulama (Authentication) ve Yetki (Authorization) adımlarını kolaylaştırarak, sahibine esnek, konforlu bir kullanım ve ödeme aracı olmak için tasarlanmış bir üründür.

Veri Güvenliği, aslında genel bir tanım ve özetle; Verinin Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability) (C.I.A Triad) tasarımı ile korunmasını amaçlayan prensiptir.

Standart kelimesi de genel bir tanımdır, amacımıza ulaşmak için önceden tanımlanmış yol veya yöntemlerdir. Buradaki rolü de kendisinden önce gelen ve beş kelime ile amaçlanan (Ödeme Kartları Endüstrisi Veri Güvenliği) hedefine ulaşmak için yapılan tasarımdır. Standardın diğer faydaları da, ölçülebilir olması ve herkes için ortak bir dil oluşturmasıdır.

Küreselleşme, internetin yaygınlaşması, dijitalleşme ve bilgi toplumu olma dönüşümleri beraberinde bazı yan etkiler de doğurmuştur. Teknoloji çok hızlı ilerlemiş, günümüzün hızlı yaşam temposunda bunun nimetlerinden faydalanmak çoğu insan için can simidi olmuş, kolaylaştırma ve eğlence vadeden ürün ve hizmetler beraberlerinde birçok güvenlik riskini de beraberinde getirmiştir. Olgunluk seviyemiz teknolojinin hızına yetişememiş, maalesef birçok tecrübe denenerek ve yanılarak edinilmiş, birçok devlet, kurum, ticari şirket ve birey bu süreçte olumsuz etkilenmişlerdir.

1980’lerde Fortune 500 içinde olan birçok kurum dijital dönüşüme ayak uyduramadığı için rakipleri tarafından ezilip geçilmiş, tarihte birer kayıt olarak kalmış, listede kalanlar da yeni dijital dünyadaki risk ve tehditler ile mücadele etmek, savunmalarını güçlendirmek için yöntemler geliştirmeye başlamışlardır. Bilgi Güvenliği Riskleri, yaşanan bilgi güvenliği ihlal olayları neticesinde günümüzde kurumların risk listesinde kendisine sağlam bir yer edinmeyi başarmıştır.

Ödeme Kartları Güvenliği konusunda ilk inisiyatif alan kurum Visa’dır, 2000 yılında CISP (Cardholder Information Security Program) isimli programı Amerika’da başlatmıştır, 2001 yılında ise tüm ticari kurumlarına zorunluluk olarak getirmiştir. 2004 yılında Master Card ve Visa tarafından PCI DSS v1.0 ilk sürüm olarak yayınlanmış, 2006 yılında ise PCI SSC (Security Standard Council) Güvenlik Standartları Konseyi kurularak standardın bağımsız sektör profesyonelleri tarafından olgunlaştırılması için adım atılmıştır. PCI SSC tarafından standart günümüze kadar getirilmiş ve geliştirilmeye de devam etmektedir.

Resim: PCI DSS Tarihçesi

PCI DSS Tarama Nedir?

PCI DSS tarama ise uyumluluk için aranan standartların var olup olmadığının belli aralıklarla incelenmesidir. Kart ile ödeme alan kuruluşlar, kart işlem sayılarına göre 4 farklı seviyeye ayrılır ve her seviyenin PCI DSS tarama süresiyle şekli farklılık gösterir. Ortalama olarak her 3 ayda bir olmak üzere yılda 4 defa tarama yapılması ve sonuçların iletilmesi zorunludur. Bu sonuçları inceleyen PCI DSS, kredi kartı ile ödeme alınabilmesi yetkisinin devam edip etmeyeceğini belirler.

PCI DSS Comodo HackerGuardian

Sanal POS sağlayıcılarının mutlaka uygulaması gereken PCI DSS taramasını yapmanız için mükemmel bir araç olan Comodo HackerGuardian ile tek bir noktadan kolaylıkla tüm işlemleri gerçekleştirmek mümkün.

Comodo HackerGuardian PCI DSS Tarama, taramanın aynı gün içinde başlayıp bitmesine ve sonuçlara kolaylıkla erişilebilmesine imkan tanır. Ayrıca aynı günde birden fazla tarama, sonuçları tekrar tarama, günlük otomatik tarama, özel yönetici raporu, subnet desteği, güncel veritabanı ve güvenlik açığı raporu gibi özellikler de Comodo HackerGuardian ile elde edilir.

Kontrol Edilen Maddeler Nelerdir?

Aslında, tüm doğrulama kriterlerini açıklamak zor olacaktır ki bunlardan 288 tane vardır. Prosedürün kendisi oldukça uzundur, çünkü bir dizi zor teknik noktanın doğrulanmasını içerir. 12 gruba ayrılmış kriterlerin tam listesi aşağıdaki gibidir:

1. Bilgisayar ağı koruması.
2. Bilgi altyapısı bileşenlerinin yapılandırılması.
3. Depolanan kart sahibi verilerinin korunması.
4. Kart sahipleri hakkında iletilen verilerin korunması.
5. Bilgi altyapısının anti-virüs koruması.
6. Bilgi sistemlerinin geliştirilmesi ve desteklenmesi.
7. Kart sahibi verilerine erişimi kontrol etme.
8. Kimlik doğrulama mekanizmaları.
9. Bilgi altyapısının fiziksel olarak korunması.
10. Olayların ve eylemlerin günlüğe kaydedilmesi.
11. Bilgi altyapısı güvenlik kontrolü.
12. Bilgi güvenliği yönetimi.

Burada hem yazılım kısmından hem de “fiziksel bileşen” den bahsettiğimiz açıkça görülüyor. Başka bir deyişle, her şey kontrol ediliyor. Bu durumda, “kontrol” kelimesi, kontrol edilen şirketin ofisinde bu kontrolü yapan kişinin gerçek varlığı anlamına gelir. QSA (Nitelikli Güvenlik Denetçisi – ve bu tüzük PCI SSC tarafından onaylanmıştır) statüsündeki yetkili bir denetçi, ödeme ağ geçidinin bir çalışanıyla konuşma hakkına sahiptir (bunun için özel bir görüşme prosedürü vardır).

Kütüphanelerin program kodları seçici olarak kontrol edilir, en çok dikkat ödeme kartlarının verilerini doğrudan işleyen çekirdeğe verilirken, bulma ve ortadan kaldırmak için temel gereksinimleri tanımlayan harici güvenlik standardı OWASP ile uyumluluğa ve koddaki güvenlik açıklarına dikkat edilir. Ayrıca, iş geliştirme sürecinde, kodun kendisinin yazılmasına dahil olmayan başka bir geliştirici tarafından ek doğrulamaya tabi tutulan bir Kod İnceleme bağlantısı vardır.

Hizmet sağlayıcılar arasındaki PCI DSS gereksinimleri çerçevesindeki tüm ilişkiler ve sorumluluklar, yani işlem merkezi ile veri merkezi arasında ve ayrıca alıcı bankalar, sözde sorumluluk matrislerine kaydedilir. Hizmet sağlayıcılar arasında imzalanmış sorumluluk matrislerinin varlığı, PCI DSS standardının 3.1 versiyonundan bu yana zorunlu bir gereklilik haline gelmiştir. Elbette diğer şeylerin yanı sıra, veri merkezi, işlem merkezinin işinde kullandığı sanallaştırma, hizmetler, fiziksel ekipman vb. Altyapı bileşenleri için de güncel bir PCI DSS uyumluluk sertifikasına sahip olmalıdır.

PCI DSS Uyumsuz Olmanın Riskleri ve Cezaları

İnternet vasıtasıyla ödeme alan her firma ve kuruluşun  PCI kurallarına uyması bir zorunluluktur.

Uyumsuz olan firmaların karşı karşıya kaldıkları riskler ise :

- Forensic soruşturma yapma zorunluluğu
- Maddi cezalar
- Kredi kartı ile satış yapma yasağı
- Müşterilere bilgi verme zorunluluğu
- Yeterlilik için yeniden değerlendirilme
- Kart sahiplerinin zararlarının tazmin edilmesi
- Hukuksal yaptırımlar