PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), ödeme kartı endüstrisinin veri güvenliği standardıdır. Başka bir deyişle, bir hizmetin kart numarası, son kullanma tarihi ve CVV kodu gibi bilgileri bir şekilde kontrol etmesi durumunda karşılaması gereken kriterlerin bir listesini içeren dokümantasyondur.
Dünya genelinde oldukça az sayıda ödeme kartı vardır (Visa ve MasterCard’ı herkes bilir) ve bu bir endüstri standardı olduğu için, tüm şirketlerin neyi güvenli olarak düşünecekleri konusunda kendi aralarında anlaşmaları yararlı olacaktır. PCI SSC (Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi) bunun için vardır, en büyük beş ödeme sisteminden oluşan ödeme kartı endüstrisinin güvenlik standartları konseyidir. “Güvenli oyun” kurallarını yaratan bu konseydir ve gıpta ile bakılan “PCI-DSS Sertifikalı” etiketini almak isteyen şirketler tarafından uyulması gereken kuralları belirlerler. Her yıl sertifika yenilemesi gereklidir.
Kontrol Edilen Maddeler Nelerdir?
Aslında, tüm doğrulama kriterlerini açıklamak zor olacaktır ki bunlardan 288 tane vardır. Prosedürün kendisi oldukça uzundur, çünkü bir dizi zor teknik noktanın doğrulanmasını içerir. 12 gruba ayrılmış kriterlerin tam listesi aşağıdaki gibidir:
- Bilgisayar ağı koruması.
- Bilgi altyapısı bileşenlerinin yapılandırılması.
- Depolanan kart sahibi verilerinin korunması.
- Kart sahipleri hakkında iletilen verilerin korunması.
- Bilgi altyapısının anti-virüs koruması.
- Bilgi sistemlerinin geliştirilmesi ve desteklenmesi.
- Kart sahibi verilerine erişimi kontrol etme.
- Kimlik doğrulama mekanizmaları.
- Bilgi altyapısının fiziksel olarak korunması.
- Olayların ve eylemlerin günlüğe kaydedilmesi.
- Bilgi altyapısı güvenlik kontrolü.
- Bilgi güvenliği yönetimi.
Burada hem yazılım kısmından hem de “fiziksel bileşen” den bahsettiğimiz açıkça görülüyor. Başka bir deyişle, her şey kontrol ediliyor. Bu durumda, “kontrol” kelimesi, kontrol edilen şirketin ofisinde bu kontrolü yapan kişinin gerçek varlığı anlamına gelir. QSA (Nitelikli Güvenlik Denetçisi – ve bu tüzük PCI SSC tarafından onaylanmıştır) statüsündeki yetkili bir denetçi, ödeme ağ geçidinin bir çalışanıyla konuşma hakkına sahiptir (bunun için özel bir görüşme prosedürü vardır).
Kütüphanelerin program kodları seçici olarak kontrol edilir, en çok dikkat ödeme kartlarının verilerini doğrudan işleyen çekirdeğe verilirken, bulma ve ortadan kaldırmak için temel gereksinimleri tanımlayan harici güvenlik standardı OWASP ile uyumluluğa ve koddaki güvenlik açıklarına dikkat edilir. Ayrıca, iş geliştirme sürecinde, kodun kendisinin yazılmasına dahil olmayan başka bir geliştirici tarafından ek doğrulamaya tabi tutulan bir Kod İnceleme bağlantısı vardır.
Hizmet sağlayıcılar arasındaki PCI DSS gereksinimleri çerçevesindeki tüm ilişkiler ve sorumluluklar, yani işlem merkezi ile veri merkezi arasında ve ayrıca alıcı bankalar, sözde sorumluluk matrislerine kaydedilir. Hizmet sağlayıcılar arasında imzalanmış sorumluluk matrislerinin varlığı, PCI DSS standardının 3.1 versiyonundan bu yana zorunlu bir gereklilik haline gelmiştir. Elbette diğer şeylerin yanı sıra, veri merkezi, işlem merkezinin işinde kullandığı sanallaştırma, hizmetler, fiziksel ekipman vb. Altyapı bileşenleri için de güncel bir PCI DSS uyumluluk sertifikasına sahip olmalıdır.
