Kartlı Ödeme Sistemlerinde Güvenlik — 2
PCI DSS ile Güvenliğinizi Nasıl Sağlarsınız?
Kart sahibi verilerinin güvenliğini en üst düzeye çıkarmanın en iyi yolu, PCI Veri Güvenliği Standardında belirtilen kontrollerin kullanımını sürekli olarak izlemek ve uygulamaktır.
Birçok kuruluş uyumluluğu tek seferlik, yıllık bir olay olarak ele alır. Ancak yalnızca yıllık uyumluluk değerlendirmesine odaklanmak yanlış bir güvenlik duygusu yaratabilir.
Siber güvenlik yada bilgi güvenliği, kart sahibi verilerini çalmayı hedefleyen saldırılara karşı yeterli düzeyde hazırlanabilmesi ancak uyumluluğun sağlanması ve sürdürülmesiyle mümkündür.
PCI Veri Güvenliği Standardına uygunluğun doğrulanması, bireysel ödeme markaları tarafından belirlenir. Hepsi, veri güvenliği uyum programlarının her biri için teknik gereksinimlerin bir parçası olarak PCI Veri Güvenliği Standardını dahil etmiştir.
“Konsey, uyumu zorlamaz; bu, bireysel ödeme markaları veya bankalar tarafından yapılır.”
3 Adımda PCI DSS!
- Belirlemek; Kart sahibi verilerini belirleme, ödeme kartı işleme için BT varlıklarının ve iş süreçlerinin envanterini çıkarma ve bunları güvenlik açıkları için analiz etmek.
- Düzeltmek; Güvenlik açıklarını düzeltmek ve kesinlikle gerekli olmadıkça kart sahibi verilerinin depolanmasını ortadan kaldırmak.
- Raporlamak; Banka ve kart markalarına gerekli raporların derlenmesi ve sunulması.
Kart Markaları
Uyumluluk doğrulama seviyeleri ve doğrulamak için yapmanız gerekenler hakkında özel sorular, satın aldığınız finans kurumuna veya ödeme kartı markanıza yönlendirilmelidir.
Kapsam Belirleme
PCI Veri Güvenliği Standardının uygulanması kapsam belirleme ile başlar. Bu süreç, kart sahibi verileri ortamında bulunan veya bu ortama bağlı olan tüm sistem bileşenlerinin tanımlanmasını içerir (böyle bir ortam, kart sahibi verilerini veya hassas kimlik doğrulama verilerini işleyen kişilerden, işlemlerden ve teknolojiden oluşur).
Kapsam belirleme yıllık bir süreçtir ve yıllık değerlendirmeden önce yapılmalıdır. Satıcılar ve diğer kuruluşlar, tüm geçerli sistem bileşenlerinin PCI Veri Güvenliği Standardı kapsamına dahil edilmesini sağlamak için kart sahibi verilerinin tüm konumlarını ve akışlarını belirlemelidir.
Değerlendirme/Denetim
Nitelikli Güvenlik Değerlendiricisi(QSA), PCI Konseyi tarafından yerinde PCI Veri Güvenliği Standardı değerlendirmeleri yapmak üzere yetkilendirilmiş bir veri güvenliği firmasıdır.
Değerlendirici(QSA):
- Satıcı veya hizmet sağlayıcı tarafından verilen tüm teknik bilgileri doğrular
- Standardın karşılandığını doğrulamak için bağımsız yargı kullanması gerekir
- Uyumluluk süreci boyunca destek ve rehberlik sağlar
- Gerektiği gibi değerlendirme süresi boyunca yerinde olmayı amaçlar
- PCI Veri Güvenliği Standardı Değerlendirme Prosedürlerine uyar
- Değerlendirmenin kapsamını doğrular
- Telafi edici kontrolleri değerlendirir
- Nihai Uygunluk Raporunu hazırlar
Raporlama
Raporlar, tüccarların(merchants) ve diğer kuruluşların PCI Veri Güvenliği Standardı ile uyumluluk durumlarını ilgili edinen finansal kuruluşlara veya ödeme kartı markasına bildirdikleri resmi yöntemdir.
Ağ taraması için üç ayda bir rapor sunulması da gerekebilir. Bireysel ödeme kartı markaları başka belgelerin sunulmasını gerektirebilir; daha fazla bilgi için web sitelerine bakın.
Ödeme kartı markası gereksinimlerine bağlı olarak, tüccarların ve hizmet sağlayıcıların öz değerlendirmeler için bir Öz Değerlendirme Anketi(SAQ) veya yerinde değerlendirmeler için bir Uygunluk Raporu göndermeleri gerekebilir.
