PCI DSS Nedir ve Neden Denetim?
Aralık 2004’te Visa, MasterCard, American Express, Discover ve JCB dahil olmak üzere büyük kredi kartı şirketleri, PCI Güvenlik Standartları Konseyi’ni oluşturmak için bir araya gelerek artan sayıdaki veri güvenliği ihlallerine karşı harekete geçti. Bu Konsey, Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) olarak bilinen kredi kartı verilerini işleyen tüccarlar (merchant) için bir güvenlik standardı geliştirdi. PCI DSS, dünya çapında tanınan veri güvenliği önlemleri sağlayarak kart sahibi verilerinin güvenliğini teşvik eden ve geliştiren bir standart haline geldi.
Kredi, banka kartı veya diğer ödeme kartları dahil olmak üzere kart sahibi verilerini depolayan, ileten veya işleyen tüccarların, hizmet sağlayıcıların ve alt hizmet sağlayıcıların, Ödeme Kartı Sektörü Veri Güvenliği Standardına (PCI DSS) uymaları gerekir. PCI denetimi, kuruluşunuzun kart sahibi verilerini korumak için oluşturulmuş 12 teknik ve operasyonel gereksinimle uyumlu olup olmadığını test etmek için tasarlanmıştır.
PCI Denetiminizden Önce Bilmeniz Gerekenler
PCI denetiminize hazırlanmak ve kart sahibi verileri ortamınızı (CDE) güvence altına almak söz konusu olduğunda, tüm hassas varlıklarınızın nerede olduğunu anlamak önemlidir. Depolanan kart sahibi verileriyle tüm konumları belirlemek için bir envanter çıkarmak ve kart sahiplerini belirlemek ve verileri izlemek için tüm sistemlerde kapsamlı bir tarama yapmak PCI denetim hazırlığının kritik bir adımıdır.
CDE’nizin kapsamı, tüm PCI DSS kontrollerinin ne ölçüde yerinde olması gerektiğini belirler. PCI uyumluluğuyla ilgili yaygın sorunlar, kapsam belirleme hatalarının bir sonucudur. Kart sahibi verilerini depolayan, işleyen veya ileten herhangi bir personel, süreç veya teknoloji, CDE’niz içinde ve dolayısıyla PCI denetiminizin kapsamında olarak kabul edilir. Bu varlıklar şunları içerir:
- Güvenlik duvarı, yönlendirici veya yama sunucusu gibi güvenlik/kimlik doğrulama hizmetleri sağlayan tüm cihazlar
- CDE’ye bağlı herhangi bir varlık
- CDE’ye trafiğe izin veren tüm yönlendirme kuralları
- CDE güvenliğini herhangi bir şekilde etkileyebilecek herhangi bir varlık
PCI denetiminizin ve değerlendirmenizin kapsamını azaltmak için ağ bölümlendirmesini sağlamak için mantıksal ve fiziksel kontrolleri kullanabilirsiniz. Segmentasyon, farklı güvenlik ihtiyaçları olan sistemleri ayırmak için ek güvenlik kontrollerinin kullanılması ve uygulanmasıdır. Bu kontroller genellikle, kapsam dışı ağlardan ve CDE’den geçen trafiği, ağ sağlamlaştırma standartlarını ve fiziksel erişim kontrollerini reddetmek için güvenlik duvarı ve yönlendirici yapılandırmalarını içerir.
PCI Denetim Süreci Nasıl Çalışır?
Gerçek denetim sırasında, kuruluşunuz Bilgi Güvenliği Uzmanları ve süreç içerisindeki kişiler ile QSA tüm görüşmeleri ve değerlendirmeleri yapacaktır. QSA, iş akışlarınızı incelemek ve belgeleri gözden geçirmek, personelle görüşmek ve süreçleri gözlemlemek dahil olmak üzere kanıt toplamak için yerinde birkaç gün geçirecektir. Değerlendirme tamamlandığında, Uygunluk Raporu (RoC) tamamlanır ve kuruluşunuz bir Uygunluk Onayı (AoC) alır.
12 PCI DSS Gereksinimi;
Kart sahibi verilerinin korunmasıyla ilgili kontrolleri artırarak kredi kartı sahtekarlığını azaltmak için tasarlanmıştır. Bu, güvenlik olaylarını önleme, algılama ve bunlara tepki verme dahil olmak üzere güçlü bir ödeme kartı veri güvenliği süreci geliştirmek için tüccarlar, hizmet sağlayıcılar ve alt hizmet sağlayıcılar için bir çerçevedir. Kuruluşunuza verilen RoC, aşağıdaki 12 PCI DSS Gereksinimi ile ilgili bulguları içerecektir:
Build and Maintain a Secure Network
Requirement 1: Install and maintain a firewall configuration to protect cardholder data
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
Protect Cardholder Data
Requirement 3: Protect stored cardholder data
Requirement 4: Encrypt transmission of cardholder data across open, public networks
Maintain a Vulnerability Management Program
Requirement 5: Use and regularly update anti-virus software
Requirement 6: Develop and maintain secure systems and applications
Implement Strong Access Control Measures
Requirement 7: Restrict access to cardholder data by business need-to-know
Requirement 8: Assign a unique ID to each person with computer access
Requirement 9: Restrict physical access to cardholder data
Regularly Monitor and Test Networks
Requirement 10: Track and monitor all access to network resources and cardholder data
Requirement 11: Regularly test security systems and processes
Maintain an Information Security Policy
Requirement 12: Maintain a policy that addresses information security
PCI Denetimi Size Nasıl Fayda Sağlar?
Bir müşteri veya satıcı olarak, kuruluşunuzun gerekli güvenlik önlemlerini aldığının bilinmesini istersiniz, ancak kart sahibi verileri söz konusu olduğunda uyumluluk bir seçenek değildir. PCI DSS, bir kuruluşun kayıpları önlemeye ve kart sahibi verilerini korumaya yardımcı olmasını sağlar. Çoğu kuruluş, yalnızca PCI uyumlu işletmelerle çalışacaktır, bu da size daha fazla müşteri kazanmanız için fırsatlar sunar. Alternatif olarak, uyumsuzluk kuruluşunuzun itibarının düşmesine neden olursa müşterileri kaybedebilirsiniz.
PCI DSS ile uyumlu olmadığınız tespit edilirse, bir dizi sonuçla karşı karşıya kalabilirsiniz, net olmamakla birlikte 5.000 ila 500.000 ABD Doları arasında değişen ciddi para cezaları alabilirsiniz. Bu tutara, kartların yeniden basılmasından mağdur kart sahiplerine kadar herhangi bir ek maliyet, kredi izleme, iyileştirme ve soruşturma eylemleri ve bankalar veya işlemciler tarafından uygulanan artan oranlar dahil değildir. Kredi kartı şirketleri, PCI uyumsuzluğundan kaynaklanan herhangi bir eylemin ciddiyetine bağlı olarak, kredi kartı işlemlerini işleme hakkınızı bile iptal edebilir.
İtibarınızı, müşterilerinizi veya kartla ödeme işleme becerilerinizi şansa bırakmayın. Kuruluşunuzun PCI DSS ile uyumlu olması ve iş uygulamalarınız ve kart sahibi verileriniz konusunda içiniz rahat olması için bir PCI denetimi gerçekleştirmeyi göz önünde bulundurun.
Yazan: Şükrü Tarık Kapucu