PCI ( Ödeme Kartı Endüstrisi) ve DSS ( Veri Güvenlik Standardı), arasında Visa, Master Card, American Express, Diner Club ve JCB'nin yer aldığı bir konsey aracılığıyla kart ve kart sahibinin bilgilerini muhafaza etmek amacıyla kurulmuş, teknik ve operasyonel bir sistemdir.
PCI-DSS; kredi kartıyla işlem yapan bütün üye işyerleri ve bankalar için geçerli olduğu gibi, kart sahibi bilgilerini gizleyen ya da ileten bütün hizmet sağlayıcılarını da kapsamaktadır. Kredi kartı sahiplerini savunmaya yönelik yapılan PCI-DSS; standartlara uymayan firmaların kredi kartıyla satış yapma yetkisini durdurmaya kadar varan yaptırımlara sahiptir.
PCI uyumluluk süreci
PCI uyumluluğu devamlılık gerektiren 3 adımdan meydana gelen bir süreç olarak tanımlanmaktadır.
ANALİZ AŞAMASI:
Kart ödemelerinin ne türlü işleme sokulduğu analiz edilir.
Kart işlemleri esnasındaki tüm veri akışları saptama yani tespit edilir.
Kart sahiplerinin bilgilerinin emniyetli bir biçimde kullanılıp, kullanılmadığı analiz edilir.
Kart sahiplerine ilişkili olarak hangi bilgilerin tutulduğu belirlenerek, ne türlü saklandığı incelenir.
Kart sahibi bilgilerinin açığa çıkma riskleri ve mevcut açıklıklar analiz edilir.
Kart sahiplerinin bilgilerinin emniyetli bir biçimde kullanılıp, kullanılmadığı analiz edilir.
Kart sahiplerine ilişkili olarak hangi bilgilerin tutulduğu belirlenerek, ne türlü saklandığı incelenir.
Kart sahibi bilgilerinin açığa çıkma riskleri ve mevcut açıklıklar analiz edilir.
İYİLEŞTİRME AŞAMASI:
Gerekli iyileştirme etkinlikleri yapılır.
Tespit edilen açıklıklar kapatılır.
Kart sahibi bilgilerinin gerekli olmadıkça saklanmaması sağlanır.
Kart sahibi bilgilerinin gerekli olmadıkça saklanmaması sağlanır.
BELGELEME:
PCI-DSS standardı çerçevesindeki uyum doğrulama gereksinimlerinde belirtildiği sıklık ve biçimde denetleme ve belgelendirme çalışmaları yapılır.
Verinin kullanımı , korunması, saklanması, provizyonu ve iletimi konusunda olarak geliştirilmiş bir standart olan PCI-DSS; 6 ana kriter altında tanımlanan 12 temel şarttan oluşmaktadır:
PCI Güvenliği Veri Standartları | |
Güvenli bir ağ kurun ve sürdürün
|
1. Verileri korumak için bir kalkan (Firewall) doğrulaması oluşturun ve sürdürün
2. Satıcıların sunduğu hazır sistem şifrelerini ve başka güvenlik öğelerini kullanmayın
|
Kart sahibi verilerini koruyun
|
3. Saklanan verileri koruyun
4. Kamusaş ağlar üzerinden ilettiğiniz kart sahibi verilerini ve hassas bilgileri şifreleyin
|
Zayıf nokta yönetim programı uygulayın
|
5. Anti-virüs programı kullanın ve düzenli güncelleyin
6. Güvenli uygulamalar geliştirin ve sürdürün
|
Güçlü erişim kontrolü önlemleri alın
|
7. Erişimi, ihtiyacı olanlarla sınırlı tutun
8. Bilgisayar erişimi olan herkese ayrı bir kullanıcı kimliği verin
9. Kart sahibi verilerini fiziksel erişimi sınırlayın
|
Ağları düzenli olarak izleyin ve test edin
|
10. Ağ kaynaklarına ve kart sahibi verilerine bütün erişimi saptayın ve izleyin
11. Güvenlik sistem ve süreçlerini düzenli olarak test edin
|
Bilgi güvenliği politikası izleyin
|
12. Bilgi güvenliğine yönelik bir politika izleyin
|
PCI uyumluluk süreci alanında müesseseler , PCI komitesi aracılığıyla yetkilendirilmiş QSA (Qualified Security Assessor) ve ASV (Approved Scanning Vendor) firmaları tarafından denetlenmek zorundadır. Müesseseler uymak zorunda oldukları güvenlik programı dahilinde belirli aralıklarla yetkili QSA firmalarından yerinde araştırma hizmeti almalıdır. Buna ek olarak , PCI komitesi aracılığıyla yetkilendirilmiş ASV firmalarından 3 ayda bir zaafiyet ve network tarama hizmeti alarak, PCI-DSS uyum doğrulama çalışmaları yapmalıdır.
PCI DSS uyumluluğu alanında yerinde araştırma hizmeti almak zorunda olmayan müesseseler, PCI uyumluluklarını ispat etmek için belirli aralıklarla kendilerine uyumlu olan değerlendirme anketini (Self-Assessment Questionaire "SAQ") doldurmakla yükümlüdür. SAQ tipleri yapılmış olan işlem tipi ve şekline göre belirlenmiştir ve SAQ-A, SAQ-B, SAQ-C ve SAQ-D olarak adlandırılmışlardır.
Ödeme kartı markaları endüstri standardı olarak ortaya konulan ve kabul edilen PCI-DSS'i temel alarak kendi ödeme kartı güvenlik programlarını oluşturmuşlardır. Sözgelişi , Mastercard "Site Data Protection (SDP)" Programını kullanırken, VISA "Cardholder Information Security Program (CISP)", VISA Europe "Account Information Security (AIS)" isimleriyle kendi güvenlik programlarını oluşturmuşlardır.
Güvenlik programları temelde PCI-DSS standardı üzerine oturtulmasına rağmen , bir takım noktalarda değişiklikler işaret etmektedir . Ödeme kartı markaları perakendecileri, yaptıkları kart işlem sayısına göre 4 çeşitli düzeyde tanımlayarak, PCI-DSS uyum doğrulama gereklerini bu seviyeler için çeşitli tanımlamışlardır.
Hiç yorum yok:
Yorum Gönder