Summary
Payment
Card Industry Security Standards Council (PCI SSC), an open, global
forum for the development of PCI security standards, published new
PCI Data Security Standard (DSS) and Payment Application DSS. This
article summarizes organizational structure of PCI SSC, life cycle
processing and high level overview of standards.
Ödeme Kartları
Endüstrisi (Payment Card Industry, PCI) Güvenlik Standartları
Konseyi (Security Standards Council) PCI standartının yeni sürümünü
yayınladı. Ödeme kartları endüstrisi, banka kartları, kredi
kartları ve sanal kartlarla işlemler yapan kuruluşların
oluşturduğu sektörü ifade eder. Visa, Master Card, American
Express başta olmak üzere 2006 yılına kadar kendi özgün
güvenlik sistemlerini kullanıyorlardı. 2006 yılında ortak
güvenlik standartları oluşturmak üzere bağımsız bir konsey
oluşturdular. Bu konsey PCI DSS (Data Security Standards)
standartları yayınlamaya başladı.
Konsey, PCI DSS
standartı ile uyumlu olan kuruluşları web sitesinde yayınlıyor. Ürün, hizmet ve kuruluşların bu standarta uyumluluğunu
onaylayan yetkili güvenlik eksper firmalar (Qualified Security
Assessor, QSA) belirliyorlar. QSA firmalar da web sitesinde
yayınlanıyor. Değerlendirme ve belgelendirme her yıl yenileniyor.
PCI DSS standardı üç
yıl için belirleniyor. Önceki standart bir yıl daha geçerliliğini
koruyor. İkinci yıl geri beslemeler alınıyor ve gözden
geçiriliyor. Üçüncü yıl bunların ışığında PCI DSS
standardı yeni sürümü hazırlanıyor. 2014 yılbaşından
itibaren üçüncü sürüm geçerli oldu. İkinci sürümün
geçerliliği 2014 yılı sonuna kadar uzatıldı.
PCI DSS yanında bir de
PA DSS standardı var. Bu standart ödeme uygulamasının (Payment
Application) uyumluluk özelliklerini tanımlıyor. PA DSS
standardına uyumlu olmak, PCI DSS standardına otomatik uyumluluğu
öngörmüyor.
PCI DSS gereksinimleri
güvenlik sistemleri (Örneğin güvenlik duvarı), sanallaştırma
bileşenleri, ağ bileşenleri, sunucu sistemleri ve uygulamaların
niteliklerini belirliyor. Kart bilgilerinin dolaştığı ağ
yapısının kısıtlanması (segmentation) PCI DSS için bir ön
koşul değil ama sertifikasyon kapsamını, maliyetini ve riskleri
azaltan önemli bir unsur. Kablosuz ağları da önemli bir risk
unsuru olarak gören konsey, kablosuz iletişimin kritik bilgilerin
taşınması için uygun olmadığını belirtiyor.
PCI DSS standardı 6
başlık altında 12 gereksinim tanımlıyor. Ana başlıklar:
- Güvenli bir ağ ve güvenli sistemler kur,
- Kart bilgilerini koru,
- Güvenlik açıklarını yönetecek bir program oluştur,
- Güçlü erişim denetimi önlemleri oluştur,
- Ağları düzenli olarak izle ve test et,
- Bilgi güvenliği politikası oluştur.
Gereksinimler:
- Kart bilgilerini korumak için bir güvenlik duvarı yapısı oluştur,
- Sistemlerin kurulum şifrelerini ve güvenlik parametrelerini kullanma, değiştir,
- Depolanmış kart bilgilerini koru,
- Genel ve kamuya açık ağlarda gönderilen kart sahibi bilgilerini şifrele,
- Tüm sistemleri kötü amaçlı yazılımlara karşı koru ve anti-virus yazılım veya programlarını düzenli olarak güncelleştir,
- Güvenli sistemler ve yazılımlar geliştir ve sürdür,
- Kart sahibi bilgilerine erişimi, bilmesi gerekenlerle kısıtla,
- Sistem bileşenlerine erişimi belirle ve sağla,
- Kart sahibi bilgilerine fiziksel erişimi kısıtla,
- Ağ kaynaklarına ve kart sahibi bilgilerine tüm erişimi izle ve denetle,
- Güvenlik sistemleri ve süreçlerini düzenli olarak test et,
- Tüm personeli kapsayacak bilgi güvenliği politikaları oluştur ve uygula
Artık ödeme
sistemleri zincirindeki tüm aktörlerin uyumluluğunun aranacağı
bir döneme giriliyor. Yalnız ödeme hizmet sağlayıcı değil, iş
yerlerinin, bankaların ve bulundurma hizmet sağlayıcılarının
PCI DSS uyumlu olması gerekiyor.
İlginç bir örnek
olarak 2009 yılından itibaren Nevada eyaleti standardı eyalet
yasası haline getirmiş. Eyaletteki tüm ticari kuruluşlar güncel
PCI DSS standardına uyumlulukla mükellef kılınmış. Bunun
karşılığında da müşteri şikayetleri karşısında sorumlu
tutulmuyorlarmış. Daha sonra başka eyaletler de standardı kısmen
veya tümüyle yasal çerçevelerine oturtmuşlar.
Önümüzdeki dönemde
PCI DSS ve PA DSS standartlarının tüm sektörlerde kapsamlarının
genişlemesini, daha kapsayıcı (siz kısıtlayıcı olarak okuyun)
olmalarını, bilişim güvenliği ve kurumsal yönetişim, risk ve
uyumluluk (Enterprise Governance, Risk and Compliance - EGRC)
disiplinleri ile daha bütünleşik olmalarını bekliyoruz.
Hiç yorum yok:
Yorum Gönder
Not: Yalnızca bu blogun üyesi yorum gönderebilir.