PCI DSS: Ödemelerin Zırhı

PCI DSS: Ödemelerin Zırhı

Hassas verilerini koruyarak kullanıcılar arasında güven geliştirmede önemli bir rol oynayan ödeme endüstrisi sürekli olarak büyümektedir. Bu nedenle, aktif bir katılımcı olan her işletmenin, zırh görevi gören birkaç güvenlik standardını karşılaması gerekir.
Bu tür küresel olarak tanınan standartlardan biri (Payment Card Industry Data Security Standart) PCI DSS’dir.

PCI DSS nasıl oluşturuldu?
Her şey, 1990’ların sonlarında, e-ticaretin ilk aşamasının beraberinde getirdiği internet patlaması sırasında başladı. Perakendeciler, tüccarlar, kart ağları ve tüketiciler, ortaya çıkan web tabanlı işlemleri geniş çapta kabul ettiğinde, kredi kartı dolandırıcılıklarında istikrarlı bir artışa tanık oldular. American Express, MasterCard ve Visa gibi kart ağları, ödeme işleme sistemleri için standartlar oluşturmak için konuyu derinlemesine incelemeye başladı.

2001 yılında Visa’nın başı çekmesi ile birlikte “Kart Sahibi Bilgi Güvenliği Programı” standardı hayata geçirilmiş, bunu güvenlik standartlarını uygulayan diğer şirketler izlemiştir. Ancak işyeri ve POS terminallerinin bireysel olarak şirkete özel standartlara uyması gerektiği için beklentilerini karşılamadı. Bu, birden fazla kart ağına yaklaşırken farklı standartlara uymak zorunda oldukları için tüccarlar için büyük zorluklarla sonuçlandı. Böylece American Express, Discover, JCB, Mastercard ve Visa gibi büyük kart ağlarının işbirliği, Aralık 2004’te PCI DSS sürüm 1.0’ı doğurdu.

Daha sonra 2006 yılında, Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC), PCI geliştirme ve politikaların PCI DSS’ye uyumunu yönetmek için MasterCard, American Express, Visa, JCB International ve Discover Financial Services’ın ortak girişimi tarafından kuruldu. PCI SSC, kuruluşların kredi kartı verilerini güvence altına almayı taahhüt etmesini sağlar.

PCI DSS artık, kart ödemelerini kabul eden her üye işyerinin Mart 2022’de yayınlanan en son sürüm olan PCI DSS 4.0’a uyması gereken, dünya çapında tanınan bir yönergedir.

Tüccarların neden PCI DSS’ye uyması gerekiyor?
Piyasada birden fazla kartla işlem yapıldığından, güvenli bir iş ortamı, tüccarların uzun bir yolculuğa çıkmaları için birincil endişe haline gelir. PCI DSS ile uyumlu bir işletme, hassas kart bilgileri için her zaman müşterilerin güvenini kazanır ve satış ile müşteri güvenini artırmaya yardımcı olur. Her işletme ortaklara, satın alanlara veya diğer sektör arkadaşlarına bağlı olduğundan, PCI DSS Uyumlu olmak kişinin itibarını ve stratejilerini iyileştirmeye yardımcı olur.

Veri ihlalleri, ödeme kartı veri hırsızlığı, güvenli bir şekilde saklandığı ve düzenli olarak izlendiği için önlenebilir. Ek olarak, PCI DSS, uyumluluk düzeyleri ve gereksinimleriyle BT altyapı verimliliğinin iyileştirilmesine bile yardımcı olur.

PCI DSS Uyumluluk seviyeleri
Bir işletmenin yürüttüğü yıllık ödeme kartı işlemlerinin sayısına bağlı olarak dört PCI DSS Uyumluluğu düzeyi vardır.

Seviye 1: 6 milyondan fazla işlem sayısı

Seviye 2: 1 ila 6 milyon işlem sayısı

Seviye 3: 20.000 ila 1 milyon işlem sayısı

Seviye 4: 20.000 işlem sayısından az

PCI DSS Uyumluluğu için Gereksinimler
Kart Sahibi Veri Ortamı (CDE) ile ilişkili her sistem varlığı ve bileşeni, PCI DSS yönergesine uymalıdır. Güvenlik yönetimi, politikalar, prosedürler, ağ mimarisi, yazılım tasarımı ve diğer kritik koruyucu önlemler için gereksinimleri içerir.

PCI DSS, PCI Security Standards Council tarafından belirlenen her PCI DSS şikayeti için 12 gereksinim belirler:

1. Güvenlik Duvarı Yapılandırması
Güvenlik duvarları, kart sahiplerinin verilerini herhangi bir kötü amaçlı yazılımdan korumak için kurulur ve yapılandırılır. Bilgisayar korsanlarını özel verilere yetkisiz erişimden etkili bir şekilde korumak için önleme sistemlerine yardımcı olur.

2. Şifre Güvenliği
İşletmeler, yönlendiricilerinde, modemlerinde, satış noktası (POS) sistemlerinde ve diğer üçüncü taraf ürünlerinde sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmamalıdır. Bunun yerine, genel şifrelere ve güvenlik önlemlerine halkın kolayca erişebilmesi için şifre değiştirme gibi temel önlemler ve yapılandırmalar izlenmelidir.

3. Kart Sahibi Verilerinin Korunması
Depolanan kart sahiplerinin verileri, iki kat koruma ve belirli algoritmalarla şifrelenmelidir. Ayrıca, şifrelenmemiş verilerden kaçınmak için birincil hesap numaraları (PAN) düzenli olarak taranmalı ve izlenmelidir.

4. İletilen Verilerin Şifrelenmesi
Kart sahiplerinin verileri, ödeme işlemcileri, yerel mağazalardan ev ofisleri vb. gibi açık, genel ağlar üzerinden iletildiğinde şifrelenmelidir. Hesap numaralarının bilinmeyen konumlarla paylaşılmasından kaçınılmalıdır.

5. Antivirüs Yazılımı
PAN’ı etkileşimde bulunmak, paylaşmak, depolamak için kullanılan tüm sistemler, virüsten koruma yazılımları veya programları düzenli olarak kullanılarak ve güncellenerek kötü amaçlı yazılımlara karşı korunmalıdır. Ayrıca, POS sağlayıcıları, sistemlerin kötü amaçlı yazılımlardan korunması için virüsten koruma önlemleri almalı ve güncel virüsten koruma programları sağlamalıdır.

6. Güvenli Sistemler ve Uygulamalar
Verilere başka bir koruma katmanı eklemek için sağlayıcıların güvenli sistemler ve uygulamalar geliştirmesi ve sürdürmesi gerekir. Etkileşim için verilerin depolanması olarak kullanılan bu sistem ve uygulamalar düzenli olarak güncellenmelidir.

7. Erişim Kısıtlaması
Kart sahiplerinin verilerine erişim, iş dünyasının bilmesi gerekenlerle sınırlıdır ve hassas veriler doğru bir şekilde belgelenmeli ve düzenli olarak güncellenmelidir.

8. Benzersiz Erişim Kimliği
Kart sahiplerinin verilerine bilgisayar erişimi olan her kişiye bireysel kimlik bilgileri ve kimlik atanır. Daha fazla güvenlik açığına ve yavaş yanıt süresine neden olacağı için tek erişim kimliği ve parola kullanılmamalıdır.

9. Fiziksel Erişimin Kısıtlanması
Kart sahiplerinin verileri, herhangi bir fiziksel erişimin kısıtlandığı güvenli bir yerde fiziksel olarak saklanmalıdır. Fiziksel olarak yazılmış, daktilo edilmiş veya dijital olarak saklanan veriler oda içerisinde güvenlik altına alınmalı ve herhangi bir erişim durumunda erişim loglarına eklenmelidir.

10. Erişim Günlüklerini Koruyun
Önceki gereksinimde belirtildiği gibi, ağ kaynaklarına ve kart sahibi verilerine tüm erişim, erişim günlüklerinde izlenmeli ve izlenmelidir. Bu uygun kayıt tutma ve dokümantasyon, hassas verilerle ilgili olduğu için azami doğrulukla muhafaza edilmelidir.

11. Güvenlik Sistemlerinin ve Süreçlerinin Test Edilmesi
Güvenlik sistemlerini ve süreçlerini düzenli olarak test etmek/taramak, birçok dijital veri, yazılım programı/ürün, fiziksel konum vb. içerdiğinden daha az güvenlik açığı ile sonuçlanır.

12. Belge Politikaları
Tüm personel için bilgi güvenliğini ele alan belge politikaları, verilerin depolanmasından POS sonrası iletilmesine/kullanılmasına kadar sürdürülmelidir.

Bu nedenle, bu on iki gereksinimle PCI DSS, ödeme kartı bilgilerini kabul eden, işleyen, ileten veya saklayan üye işyerleri için optimum güvenliği sağlamak için altı hedef içerir.
-güvenli ağ ve sistemler
-verileri korumak
-güvenlik açığı yönetim programı
-kontrol önlemleri
-ağların test edilme sıklığı
-bilgi güvenliği politikası