PCI DSS

PCI DSS nedir? PCI Uyumluluğu nedir?

PCI – DSS nedir? PCI Uyumluluğu ne demektir?

PCI DSS (Payment Card Industry Data Security Standard) , 2004’te 4 büyük kredi kartı firmasının ortak girişimiyle kuruldu. Bunlar ; Visa, MasterCard, Discover ve American Express. Türkçe’de Ödeme Kartları Endüstrisi Veri Güvenliği Standartları olarak geçer. Dünya genelinde kullanılan bu standarlar sayesinde, yapılan tüm kredi kartı işlemlerinin güvenli şekilde yapıldığından, dolandırıcılık ve sahtecilik işlemlerine karşı maksimum koruma sağlandığından emin olunur.

PCI DSS standarlarının temel olarak 6 görevi vardır. Bu standartların ne olduğunu bilmek, bize sanal pos seçimimizi yaparken neden PCI DSS standartlarına uygun olanı seçmemiz gerektiğini gösterecek.

1. Güvenli bir ağ inşa etmek

Bu ağ, alıcı veya satıcıları aşırı rahatsız etmeden etkili olacak kadar sağlam güvenlik duvarlarının kullanılmasını içerir. Kablosuz ağlar için özelleşmiş güvenlik duvarları kolayca kırılabiliyor ve harici dinleme saldırılarına açık hale gelebiliyor. Ayrıca, kişisel olarak atanan veriler (PIN gibi) varsayılan olarak atanmış kalmamalı ve değiştirilmeli. Kullanıcıların bu verileri rahatça değiştirebiliyor ve güncelleyebiliyor olmaları önemli. Düzenli olarak (3-6 aylık periyodlarda) bu şifrelerin değişimi mutlaka yapılmalı.

2. Kredi kartı sahibinin kişisel bilgilerini korumak

Kredi kartı sahibinin bilgileri mutlaka saklandığı yerde iyi korunmalı. Hayati önem taşıyan doğum tarihi, anne kızlık soyadı, TC kimlik numarası, telefon numaraları ve e-posta adresleri gibi verilerin saldırılara karşı en yüksek düzeyde koruma sağlanmalı. Bu bilgiler açık ağlar üzerinde iletilirken güncel teknolojilerle şifrelenmesi gerekir. Aslında dijital şifreleme kredi kartı işlemlerinin tamamında önemli yere sahip olsa da özellikle e-ticaret yapan firmaların mutlaka üzerinde durması gereken bir konu.

3. Sistemler bilgisayar korsanlarına karşı korunmalı

Çalışan bütün sistemler, bilgisayar korsanlarına karşı anti-virüs anti-spyware yazılımları ve diğer kötü amaçlı yazılımlara karşı geliştirilmiş yazılımlar mutlaka güncel tutulmalı ve düzenli olarak update edilmeli. Tüm uygulamalar problemlerden ve açıklardan arındırılmalı. Yazılım ve işletim sisteminin gönderdiği güncel paketler yüklenerek güvenlik açıkları en alt düzeye indirilmeli.

4. Güçlü erişim kontrol mekanizmaları kurmak

Kredi kartı sahipleri işletmeleri gerekmediği sürece kendi bilgilerini vermemeli ve işlem yapmak için zorunlu olarak kullanılan bilgilerin nerede kullanılacağı ile ilgili bilgilendirmelere dikkat etmeli. Sistemin içinde kullanılan her bir kullanıcının kendine ait bir kimliği veya numarası olmalı.  Kredi kartı bilgileri dijital ortamda korunduğu kadar gerçekte de korunmalı. Örneğin gereksiz belgelerin dosya öğütücülerinde öğütülmesi ve yok edilmesi, veya önemli belgelerin saklandığı kasalarda kilit tutmak.

5. Düzenli olarak ağı test etmek ve takip etmek

Ağlar düzenli olarak test edilmeli ve tüm güvenlik ölçümlerinin pozitif sonuç verdiğinden emin olunmalı. Düzgün çalışıyor halde, kontrol edilebilir ve güncel olmaları gerekir. Mesela, anti-virüs / anti-spyware gibi yazılımların son imzalarının en güncel versiyon olduğundan emin olunmalı. Bu yazılımlar, ağdan geçen tüm veriyi kontrol etmeli, tüm uygulamaları kontrol etmeli, RAM ve depolama alanında saklanan verileri kısa aralıklarla kontrol etmeli.

6. Bir bilgi güvenlik protokolü oluşturmak ve güncelliğinden emin olmak.

PCI Uyumluluğu ne demektir?

PCI (Payment Card İndustry) Uyumluluğu, ödeme sistemlerinde kredi kartı bilgilerinin güvenliğini sağlamak üzere geliştirilmiş PCI standartlarına olan uygunlukla ölçülür. Bu uygunluk, operasyonel ve teknik anlamda PCI Güvenlik Standartları Kurulu’nun (PCI Security Standards Council ) geliştirdiği ve denetlediği ölçümlerle yapılır. 

Önemli 2 nokta:

  • PCI-DSS standartlarını takip eden ve kullanan firmalar “PCI Uyumlu” ‘dur.
  • PCI-DSS ‘in altı ana hedefi, 12 anahtar gereksinimi, 78 kök gereksinimi ve 400’den fazla test prosedürü bulunur.

Bir Sun-Tzu Savaş Sanatı öğretisi der ki:

Düşmanı ve kendinizi iyi biliyorsanız, yüzlerce savaşa bile girseniz sonuçtan emin olabilirsiniz.

Özellikle e-ticaret yapan firmaların ödeme sistemlerinden kaynaklanacak problemlerde başlarının derde girme ihtimali yüksek. Bazı savaşları, daha savaş başlamadan kazanmalısınız. Bilgisayar korsanlarına göz açtırmamak için kullanacağınız online ödeme sistemi (sanal pos) tercihinizi yaparken, binlerce yıllık birikim ve tecrübenin bir sonucu olarak söylenmiş bu sözü unutmayın.

NOT : Coronavirüsü yenmek üzereyken herkesin kendini sokaklara atması, salgının süresinin artmasına ve virüsün yayılmasına sebep oluyor. LÜTFEN, dışarıdayken maskelerinizi takın, steril ortamlarda vakit geçirin.

#evdekal