Güvenlik

PCI DSS ve Uyumluluk Süreçleri


Günümüzde kağıt paralarla işlem yapmak giderek azaldı, birçok kişi cebinde nakit para taşımaz hale geldi. Gazete veya ekmek almak gibi basit günlük alışverişler bile kredi kartıyla yapılır oldu. Taksiye bindiğinizde bile ödemenizi kredi kartıyla yapabiliyorsunuz. Internet üzerinden veya telefonla yapılan alışverişler de oldukça yaygınlaştı.


Artık bütün ödemeler, para akışları kredi kartları ve kart hesapları üzerinden gerçekleştirilmeye başladı. Hal böyle olunca eskilerin banka soygunları yerini, kart bilgilerinin çalınmasına bıraktı. Sık sık yüzbinlerce kart bilgisi, müşteri bilgisi hackerlar tarafından çalındı şeklinde haberler okuyoruz. Gerekli güvenlik önlemlerinin alınmadığı sistemler üzerinden çalınan bu kart ve müşteri bilgilerinin sahtecilikte kullanılması sıklıkla karşılaşılan vakalar haline geldi.


Bunun sonucunda, kart sahiplerinin hesap bilgilerinin güvenliği, ödeme kartı hizmeti veren tüm bankalar ve bu kartları kabul eden perakendeciler ve kart kullanıcıları için de ciddi bir endişe kaynağı haline geldi. Bu koşullar altında bilgi güvenliği, kartlı ödeme sistemlerinde dikkate alınması gereken öncelikli konuların başında gelmektedir.


Kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla, American Express, Mastercard Worldwide, Visa Inc., JCB International, Discover Financial Services gibi uluslararası ödeme markaları tarafından desteklenen PCI Güvenlik Standartları Kurulu (PCI Security Standards Council), PCI-DSS olarak bilinen Ödeme Kartı Sektörü Veri Güvenliği Standardını oluşturmuştur.


PCI-DSS; kredi kartıyla işlem yapan tüm üye işyerleri ve bankalar için geçerli olduğu gibi, kart sahibi bilgilerini saklayan veya ileten tüm hizmet sağlayıcılarını da kapsamaktadır. Kredi kartı sahiplerini korumaya yönelik hazırlanan PCI-DSS; standartlara uymayan şirketlerin kredi kartı ile satış yapma yetkisini durdurmaya kadar varan yaptırımlara sahiptir.


image001


Resim 1: PCI uyumluluk süreci


 


PCI uyumluluğu devamlılık gerektiren 3 adımdan oluşan bir süreç olarak tanımlanmaktadır (Resim 1):


ANALİZ AŞAMASI:


Kart ödemelerinin nasıl işleme sokulduğu analiz edilir.


Kart işlemleri sırasındaki tüm veri akışları tespit edilir.


Kart sahiplerinin bilgilerinin güvenli bir şekilde kullanılıp, kullanılmadığı analiz edilir.


Kart sahiplerine ilişkin hangi verilerin tutulduğu tespit edilerek, nasıl saklandığı incelenir.


Kart sahibi bilgilerinin açığa çıkma riskleri ve mevcut açıklıklar analiz edilir.


İYİLEŞTİRME AŞAMASI:


Gerekli iyileştirme faaliyetleri yapılır.


Tespit edilen açıklıklar kapatılır.


Kart sahibi bilgilerinin gerekli olmadıkça saklanmaması sağlanır.


BELGELEME:


PCI-DSS standardı çerçevesindeki uyum doğrulama gereksinimlerinde belirtildiği sıklık ve şekilde denetleme ve belgelendirme çalışmaları yapılır.


Verinin kullanımı, korunması, saklanması, provizyonu ve iletimi ile ilgili olarak geliştirilmiş bir standart olan PCI-DSS; 6 ana kriter altında tanımlanan 12 temel koşuldan oluşmaktadır:


image002


PCI uyumluluk süreci kapsamında kurumlar, PCI komitesi tarafından yetkilendirilmiş QSA (Qualified Security Assessor) ve ASV (Approved Scanning Vendor) firmaları tarafından denetlenmek zorundadır. Kurumlar uymak zorunda oldukları güvenlik programı dahilinde belirli aralıklarla yetkili QSA firmalarından yerinde denetim hizmeti almalıdır. Buna ek olarak, PCI komitesi tarafından yetkilendirilmiş ASV firmalarından 3 ayda bir zaafiyet ve network tarama hizmeti alarak, PCI-DSS uyum doğrulama çalışmaları yapmalıdır.


PCI DSS uyumluluğu kapsamında yerinde denetim hizmeti almak zorunda olmayan kurumlar, PCI uyumluluklarını kanıtlamak için belirli aralıklarla kendilerine uygun olan değerlendirme anketini (Self-Assessment Questionaire “SAQ”) doldurmakla yükümlüdür. SAQ tipleri yapılan işlem tipi ve şekline göre belirlenmiştir ve SAQ-A, SAQ-B, SAQ-C ve SAQ-D olarak adlandırılmışlardır.


Ödeme kartı markaları endüstri standardı olarak oluşturulan ve kabul edilen PCI-DSS’i temel alarak kendi ödeme kartı güvenlik programlarını oluşturmuşlardır. Örneğin, Mastercard “Site Data Protection (SDP)” Programını kullanırken, VISA “Cardholder Information Security Program (CISP)”, VISA Europe “Account Information Security (AIS)” isimleriyle kendi güvenlik programlarını oluşturmuşlardır.


Güvenlik programları temelde PCI-DSS standardı üzerine oturtulmasına rağmen, bazı noktalarda farklılıklar göstermektedir. Ödeme kartı markaları perakendecileri, yaptıkları kart işlem sayısına göre 4 farklı seviyede tanımlayarak, PCI-DSS uyum doğrulama gereklerini bu seviyeler için farklı farklı tanımlamışlardır.


image003


Kaynaklar:


 


PCI COMPLIANCE, Syngress, Tony Bradley, James D. Burton Jr., Dr. Anton Chuvakin, Anatoly Elberg, Brian Freedman, David King,Scott Paladino, Paul Shcooping


PCI Quick Reference Guide, PCI SSC


Summary of Changes from PCI DSS Version 1.1 to 1.2, PCI SSC


Small business data fraud guide, VISA


Members guide, VISA


Compliance validation details for merchants, VISA http://usa.visa.com/merchants/risk_management/cisp_merchants.html


Mercants Levels Defined, Mastercard, http://www.mastercard.com/us/sdp/merchants/merchant_levels.html


http://www.pciassessment.org/merchants.php

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu