14 Şubat 2014 Cuma

Ödeme Sistemlerinde Güvenlik ve PCI DSS ile PA DSS Standartları


Summary
Payment Card Industry Security Standards Council (PCI SSC), an open, global forum for the development of PCI security standards, published new PCI Data Security Standard (DSS) and Payment Application DSS. This article summarizes organizational structure of PCI SSC, life cycle processing and high level overview of standards.
PCI DSS - Ödeme Kartları Endüstrisi Veri Güvenliği Standartı
Ödeme Kartları Endüstrisi (Payment Card Industry, PCI) Güvenlik Standartları Konseyi (Security Standards Council) PCI standartının yeni sürümünü yayınladı. Ödeme kartları endüstrisi, banka kartları, kredi kartları ve sanal kartlarla işlemler yapan kuruluşların oluşturduğu sektörü ifade eder. Visa, Master Card, American Express başta olmak üzere 2006 yılına kadar kendi özgün güvenlik sistemlerini kullanıyorlardı. 2006 yılında ortak güvenlik standartları oluşturmak üzere bağımsız bir konsey oluşturdular. Bu konsey PCI DSS (Data Security Standards) standartları yayınlamaya başladı.
PCI DSS - Ödeme Kartları Endüstrisi Veri Güvenliği Standartı
Konsey, PCI DSS standartı ile uyumlu olan kuruluşları web sitesinde yayınlıyor. Ürün, hizmet ve kuruluşların bu standarta uyumluluğunu onaylayan yetkili güvenlik eksper firmalar (Qualified Security Assessor, QSA) belirliyorlar. QSA firmalar da web sitesinde yayınlanıyor. Değerlendirme ve belgelendirme her yıl yenileniyor.
PCI DSS standardı üç yıl için belirleniyor. Önceki standart bir yıl daha geçerliliğini koruyor. İkinci yıl geri beslemeler alınıyor ve gözden geçiriliyor. Üçüncü yıl bunların ışığında PCI DSS standardı yeni sürümü hazırlanıyor. 2014 yılbaşından itibaren üçüncü sürüm geçerli oldu. İkinci sürümün geçerliliği 2014 yılı sonuna kadar uzatıldı.
PCI DSS yanında bir de PA DSS standardı var. Bu standart ödeme uygulamasının (Payment Application) uyumluluk özelliklerini tanımlıyor. PA DSS standardına uyumlu olmak, PCI DSS standardına otomatik uyumluluğu öngörmüyor.
PCI DSS gereksinimleri güvenlik sistemleri (Örneğin güvenlik duvarı), sanallaştırma bileşenleri, ağ bileşenleri, sunucu sistemleri ve uygulamaların niteliklerini belirliyor. Kart bilgilerinin dolaştığı ağ yapısının kısıtlanması (segmentation) PCI DSS için bir ön koşul değil ama sertifikasyon kapsamını, maliyetini ve riskleri azaltan önemli bir unsur. Kablosuz ağları da önemli bir risk unsuru olarak gören konsey, kablosuz iletişimin kritik bilgilerin taşınması için uygun olmadığını belirtiyor.
PCI DSS standardı 6 başlık altında 12 gereksinim tanımlıyor. Ana başlıklar: 
  1. Güvenli bir ağ ve güvenli sistemler kur, 
  2. Kart bilgilerini koru, 
  3. Güvenlik açıklarını yönetecek bir program oluştur,
  4.  Güçlü erişim denetimi önlemleri oluştur, 
  5. Ağları düzenli olarak izle ve test et, 
  6. Bilgi güvenliği politikası oluştur.
Gereksinimler: 
  1. Kart bilgilerini korumak için bir güvenlik duvarı yapısı oluştur, 
  2. Sistemlerin kurulum şifrelerini ve güvenlik parametrelerini kullanma, değiştir, 
  3. Depolanmış kart bilgilerini koru, 
  4. Genel ve kamuya açık ağlarda gönderilen kart sahibi bilgilerini şifrele, 
  5. Tüm sistemleri kötü amaçlı yazılımlara karşı koru ve anti-virus yazılım veya programlarını düzenli olarak güncelleştir, 
  6. Güvenli sistemler ve yazılımlar geliştir ve sürdür, 
  7. Kart sahibi bilgilerine erişimi, bilmesi gerekenlerle kısıtla, 
  8. Sistem bileşenlerine erişimi belirle ve sağla, 
  9. Kart sahibi bilgilerine fiziksel erişimi kısıtla, 
  10. Ağ kaynaklarına ve kart sahibi bilgilerine tüm erişimi izle ve denetle,
  11. Güvenlik sistemleri ve süreçlerini düzenli olarak test et, 
  12. Tüm personeli kapsayacak bilgi güvenliği politikaları oluştur ve uygula
PCI DSS - Ödeme Kartları Endüstrisi Veri Güvenliği StandartıArtık ödeme sistemleri zincirindeki tüm aktörlerin uyumluluğunun aranacağı bir döneme giriliyor. Yalnız ödeme hizmet sağlayıcı değil, iş yerlerinin, bankaların ve bulundurma hizmet sağlayıcılarının PCI DSS uyumlu olması gerekiyor.
İlginç bir örnek olarak 2009 yılından itibaren Nevada eyaleti standardı eyalet yasası haline getirmiş. Eyaletteki tüm ticari kuruluşlar güncel PCI DSS standardına uyumlulukla mükellef kılınmış. Bunun karşılığında da müşteri şikayetleri karşısında sorumlu tutulmuyorlarmış. Daha sonra başka eyaletler de standardı kısmen veya tümüyle yasal çerçevelerine oturtmuşlar.
Önümüzdeki dönemde PCI DSS ve PA DSS standartlarının tüm sektörlerde kapsamlarının genişlemesini, daha kapsayıcı (siz kısıtlayıcı olarak okuyun) olmalarını, bilişim güvenliği ve kurumsal yönetişim, risk ve uyumluluk (Enterprise Governance, Risk and Compliance - EGRC) disiplinleri ile daha bütünleşik olmalarını bekliyoruz.

Hiç yorum yok:

Yorum Gönder

Not: Yalnızca bu blogun üyesi yorum gönderebilir.