Kartlı Ödeme Sistemlerinde Güvenlik Neden Önemlidir?
Günümüzde tüketici alışkanlıkları, zamanla gelişen ve değişen teknoloji ve süreçler doğrultusunda çeşitlenerek farklılaştı. Özellikle 1950’lerden bugüne uzanan ve tüketiciye ödeme kolaylığı sağlayan kartlı ödeme sistemlerine geçiş ile birlikte, bu sistemlerdeki güvenlik konusu, bilgisayar korsanları (hackerlar) başta olmak üzere pek çok finans kuruluşu ve şirketin odağı haline geldi.
İlk kez 2006 yılında kartlı ödeme sistemlerinde uluslararası standartları oluşturmak, veri güvenliğini sağlamak, bu yapıdaki paydaşları kontrol etmek, yönetmek ve eğitmek amacıyla American Express, Mastercard, VISA, JCB ve Discover gibi uluslararası ödeme markaları tarafından desteklenen Payment Card Industry Security Standards Council (PCI SSC) kuruldu.
Kartlı ödeme sistemlerinde güvenlik neden önemlidir?
Kart sahibi verilerinin güvenliği, tüm ödeme kartı ekosistemini etkiler. Kart sahiplerinin verilerinin çalınması, ihlale uğraması veya kopyalanması, müşterilerin, kartlı ödeme sistemlerini kullanan kurum ve şirketlere olan güvenlerini kaybetmesine sebep olur. Kurum ve şirketlerin güvenilirliklerini kaybetmeleri;
• Müşterilerin diğer rakip kurumlara yönelmelerine
• Kurumların prestij kaybına
• Satışların azalmasına
• Yeni ödeme kartlarının basımı ile birlikte maliyetlerin artmasına
• Dolandırıcılık kayıpları yaşanmasına
• Daha yüksek uyumluluk maliyetleri oluşmasına
• Hukuki masraflara, uzlaşmalar ve kararlar alınmasına
• Yüksek maliyetli cezalar doğurmasına
• Ödeme kartlarını kabul etme yeteneğinin sona ermesine
• Kaybedilen işlere (CISO, CIO, CEO ve bağımlı profesyonel pozisyonlar)
sebebiyet verebilir.
Veri ihlali nasıl olur?
Bilgisayar korsanları veya veri hırsızları, hedefledikleri sistemlere sızarak kart sahibi verilerinizi (Kredi Kartı bilgilerini PAN, Son Kullanma Tarihi, Kart Sahibi İsmi) ve hassas kimlik doğrulama verilerinizi alabilirler. Bu sayede kart sahibinin kimliğine bürünebilir, kartı kullanabilir ve kart sahibinin kimliğini çalabilirler.
Aşağıdaki ödeme kartı şemasında kırmızı okla gösterilen her bilgi, hesap verisi olarak ifade edilir. Bu veriler içerisinde yer alan kredi kartı numarası ve son kullanma tarihi ile birlikte kart sahibinin isim soyadı, kurumların tercihi doğrultusunda sadece güçlü bir şekilde şifrelenmiş (encrypted) olarak saklanabilir. Bunun dışında yer alan verilerin hiçbirisi (PIN, CVC gibi), PCI DSS standardında tanımlanmış istisna durumlar dışında asla saklanmamalıdır.
Hassas kart sahibi verileri süreç içerisinde birçok noktadan çalınabilir. Örneğin;
• Güvenliği ihlal edilmiş kart okuyucudan
• Dosya dolabında saklanan kağıttan
• Bir ödeme sistemi veritabanındaki verilerden
• Kimlik doğrulama verilerinin gizli kamera kaydı girişlerinden
• Mağazaların kablosuz veya kablolu ağına gizli erişimden
Güvenli olması gereken yerler nerelerdir ve neler korunmalıdır?
Kart sahibi verileri, satış noktasında alındığı yerde ve ödeme sistemine akarken güvence altına alınmalıdır. Ödeme altyapısı kapsamındaki her uygulamayı, cihaz ve lokasyon gibi düşünebilirsiniz. Güvenliğe yönelik olarak atabileceğiniz ilk adım, kart sahibi verilerini saklamamaktır. Fakat saklama ihtiyacınız olması durumunda güçlü şifreler ve doğru güvenlik yaklaşımlarıyla saklanması çok önemlidir. Burada belirtmekte fayda gördüğümüz önemli bir nokta; yaygın bir şekilde yanlış olarak bilinen “kredi kartı bilgisini saklamadığınız durumda PCI DSS kapsamına dahil olunmaması” kanısıdır. Kart verisini saklayıp saklamadığınızdan bağımsız olarak, eğer kart verisini işliyor veya iletiyor/taşıyor olmanız, PCI DSS kapsamında olmanız için yeterli bir nedendir.
Kart sahibi verileri saklanıyorsa, aşağıdaki alanlar hassas bir şekilde korunmalıdır;
• Kart okuyucuları
• Satış noktası sistemleri
• Ağlar ve kablosuz erişim yönlendiricilerini
• Ödeme kartı veri depolama ve iletimi
• Kağıt tabanlı kayıtlarda saklanan ödeme kartı verileri
• Çevrimiçi ödeme uygulamaları ve alışveriş sepetleri
Kartlı ödeme sistemleri üzerindeki güvenlik ile ilgili konuşulacak konular bu kadarla sınırlı olmasa da burada bahsettiğimiz konuları göz önünde bulundurarak süreci verimli ve sürdürülebilir bir şekilde yönetmek, önemli ve yararlı olacaktır.