PCI Güvenlik Standartları Konseyinin Görev ve Sorumlulukları
Kartlı ödeme sistemlerinde çalışan ya da bu sistemlere destek veren kişilerin PCI DSS’i (Payment Card Industry Data Security Standard) hep duyduğunu biliyorum fakat PCI SSC ‘yi (Payment Card Industry Security Standards Council) pek duymadığını, duysa da PCI SSC’nin görev ve sorumluluklarını eksik ya da bilmediğini biliyorum. Bununla birlikte kart markalarının da görev ve sorumlulukları hakkında bilgi eksikliği olduğunu biliyorum. Aşağıdaki yazımda bu konuları ele alıp, PCI SSC ve Kart Markalarının görev ve sorumluluklarını size anlatacağım.
PCI Konseyi’nin pek çok sorumluluğu vardır. Öncelikle Konsey, birbirinden farklı PCI güvenlik standartlarını ve bunları destekleyen belgeleri tutar. Yetkili Güvenlik Denetçileri (QSA), Ödeme Uygulaması Yetkili Güvenlik Denetçileri (PA-QSA), Onaylı Tarama Sağlayıcıları (ASV) ve İç Güvenlik Denetçileri (ISA) için gerekli olan gereksinimleri tanımlar.
PCI DSS, şirketlere ve çalışanlarına, PCI DSS değerlendirmeleri, Ödeme Uygulaması değerlendirmeleri ve dış zafiyet taraması yapmaları için de onay verir. Bunun yanı sıra Konsey, QSA, PA-QSA şirketlerinin, Onaylı Tarama Sağlayıcıların ve yayınlamış olduğu diğer standartların denetçilerinin ve şirketlerinin listesini kendi web sitesinde yayınlar.
Konsey ayrıca, onaylı ödeme uygulamaları listesi, onaylı PTS cihazları listesi, ve doğrulanmış P2PE çözümleri listesini de tutar.
Konseyin en başta gelen sorumluluklarından biri, belirli raporları kalite güvencesi kapsamında incelemektir. QSA yetkilileri tarafından oluşturulan Uyum Raporları, PA-QSA yetkilileri tarafından yazılan Doğrulama Raporları ve ASV ’ler tarafından yaratılan dış zafiyet tarama raporları, bu raporlar arasına girer. Konsey, QSA, PA-QSA, ASV, ISA, QIR, PCIP yetkilileri ve daha geniş çaplı topluluklara eğitim verir.
Konsey ayrıca, bilgi ekleri ve bilgi özetleri gibi ek rehberlik de sağlar. Bu belgeler Konsey’in web sitesinde mevcuttur.
Son olarak Konsey, PCI güvenliğini küresel çapta teşvik eder ve duyurur.
Akılda kalıcı olması adına kısaca konseyin görevlerini özetleyecek olursak:
· PCI DSS, PA-DSS, PTS, P2PE, Kart Üretimi, PIN Güvenlik Standartları ve bunlara ilişkin destekleyici belgeleri sağlamak
· QSA, PA-QSA, ASV ve ISA yetkilileri için Doğrulama Gereksinimlerini Tanımlamak ve Uygulamak
· Şirketlere ve çalışanlarına, PCI DSS değerlendirmeleri, Ödeme Uygulaması değerlendirmeleri ve ASV taraması yapmaları için onay vermek
· QSA, PA-QSA ve ASV şirketlerinin listesini web sitesinde yayınlamak
· Doğrulanmış ödeme uygulamalarının listesini, onaylı PIN İşlemi Güvenliği (PTS) cihazlarının listesini ve doğrulanmış P2PE çözümlerinin listesini tutmak
· Kalite güvencesi kapsamında, belirlenmiş raporları (ROC, ROV, P-ROV ve ASV tarama raporları) incelemek
· QSA, PA-QSA, ASV, ISA, QIR ve PCIP yetkilileri için eğitim önerisinde bulunmak ve toplumda PCI farkındalığı yaratmak amacıyla genel eğitimler vermek
· İhtiyaç duyulduğunda, belirli teknolojilerle ilgili olarak fazladan rehberlik yapmak
Ödeme Kartı Markalarının Görev ve Sorumluluklar
Şimdi de ödeme markalarının görev ve sorumluluklarına bir göz atalım. Ödeme markaları, uyum programlarını geliştirmek ve yürürlüğe koymaktan, ayrıca uyumsuzluk durumlarında gündeme gelen ceza uygulamalarından sorumludur.
QSA, PA-QSA ve ASV şirket kalifikasyon kriterlerini belirler ve tasdik eder, bu şirketlerden ve çalışanlarından doğrulama belgesi kabul eder ve bu şirketlerin performanslarıyla ilgili olarak Konsey’e geribildirimde bulunurlar. Şirketlerin kart hamili hesap bilgileriyle ilgili bir ihlal durumu olduğunda ise, adli araştırma yapmaları gerekir.
Kısaca özetleyecek olursak;
· Ödeme Markaları — PCI SSC üyeleridir (American Express, Discover, JCB, MasterCard, Visa)
· Uyum programlarını geliştirmek ve yürürlüğe koymak
· Uyumsuzluk durumlarında ceza uygulamaları
· QSA, PA-QSA ve ASV şirket kalifikasyon kriterlerini tasdik etmek
· Onaylı QSA, PA-QSA ve ASV şirketlerinden ve çalışanlarından doğrulama belgesi kabul etmek ve QSA, PA-QSA ve ASV performanslarıyla ilgili olarak Konseye geribildirimde bulunmak
· Hesap verilerinin ihlali durumda adli araştırma yapmak
