PCI DSS Nedir?

PCI DSS hassas kredi kartı bilgilerini işleyen, ileten ve saklayan sistemlerinizin güvenli olmasını sağlar. Bu sisteme sahip işyerlerine müşterilerin güvenebileceği anlamı gelmektedir. Düzenli devam eden bir süreç olup firmayı bilgi hırsızlığı ve güvenlik saldırılarına karşı canlı tutar. TSE, Cobit, ISO 27001, vs. gibi diğer standartlara uyumu kolaylaştırır. Kurum bilgi güvenliği için sağlam bir temeli oluşturur. BT altyapısının sürekli iyileştirme fırsatlarını olumlu yönde etkiler.

E-ticaret pazarı milyarlarca dolarlık bir hacme ulaşmıştır. PCI DSS, Ödeme Kartları Sektörü Veri Güvenliği Standardı olarak bilinen, kredi kartlarını kullanan kuruluşlar için gerekli bir bilgi güvenliği standardıdır.

PCI Standardı, kart markaları tarafından zorunlu kılınır ancak Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı Konseyi (2006 yılında MasterCard, Visa, American Express vb. gibi firmalar konsorsiyumu) tarafından yönetilir. Standart, kredi kartı sahtekârlıklarını azaltmak ve müşteriye dair tüm bilgiler etrafındaki kontrolleri artırmak için oluşturulmuştur.

Müşteri ihtiyaç ve alışkanlıklarının değişmesi ile güvenlik standartlarının güncellenmesi gerekir. PCI DSS bir kuruluşun en az yılda bir kez ve bilgi altyapısındaki önemli değişikliklerden sonra bir sızma testi yapmasını gerektirir.

PCI DSS'de Seviyeler

Siber güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilir. Farklı seviyelere göre de uyum doğrulamayı gerektirecek değişik yollar ortaya çıkar.

Visa ve Master card kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:

✓ Seviye 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
✓ Seviye 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
✓ Seviye 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
✓ Seviye 4: Yılda 20 binden az işlem yapılan firmalar.

PCI DSS Sertifikası

PCI DSS Standartları, kart bilgilerini ve kişisel bilgileri korumak amacıyla düzenlenmiştir. İnternetten güvenli alışveriş yapmak için belirlenen standartlar için farklı seviyelere göre sertifikalar vererek e-ticaret firmalarının güvenlik önlemlerini sıkı tutmalarını ve belgelemelerini sağlanmaktadır.

Kredi kartıyla işlem yapan tüm üye iş yerleri ve bankalar için geçerli olan PCI DSS Sertifikası, kriterlerine uymayan firmaların kredi kartı ile satış yapma yetkisini durdurmaya gidebilecek yaptırımları uygulama gücüne de sahiptir.

PCI DSS Danışmanlığı

PCI DSS danışmanlık hizmeti ile internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği konusunda uluslararası standartlara ulaşması mümkündür. Bu sistem ve kurallar bütün ile kart sahiplerinin kişisel verileri ve güvenliklileri koruma altında alınır.

Secromix PCI DSS danışmanlık hizmeti ile ödeme güvenliği konusunda belirlenmiş standartlara ve güvenlik yöntemlerine uyarak güvenli hizmet sunumu desteklenmektedir.

PCI DSS Sertifikası ve Uyumluluğu Neden Önemlidir?

Bu standart sayesinde internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği konusunda uluslararası standartlara ulaşması mümkün olup bu sistem ve kurallar sayesinde kart sahiplerinin kişisel verileri ve güvenliklileri koruma altına alınmış olur. PCI DSS sadece kredi kartı ile ödeme alan işletmeler için değil, kart sahiplerinin bilgilerini depolayan ve iletimini sağlayan işletmeler için de son derece önemlidir.

PCI DSS Zorunluluğu

Günümüzde internet ve teknolojinin devamlı gelişmesine bağlı olarak ortaya çıkan sanal dolandırıcılığın engellenmesi için PCI DSS zorunluluğu oldukça önemli bir hal almıştır. PCI DSS, kredi kartı işlemlerine ilişkin kartın korunması, bilgilerinin iletimi ve işlenmesine ilişkin uyulması gereken kurallar bütününü ifade eder. Müşteri ve itibar kayıplarının önüne geçilmesi.

Depolama alanını ve kritik verilerin süresini en aza indirin.

Bu yayın bağlamında hassas veriler, güvenliği PCI DSS + GDPR gereksinimleri tarafından düzenlenen verilerdir (kart ve kişisel veriler gibi). ‘Bu tür veriler prensipte gerekli midir yoksa anonim hale getirilebilir mi’, ‘Bu ciltte kritik verileri depolamak gerçekten gerekli mi’, ‘Yinelenen veriler önlenebilir mi ve nasıl en aza indirilebilir’ gibi sorulara cevap bulmak lazımdır.

Veri tabanlarındaki kritik verilerin şifrelenmiş biçimde saklanması tavsiye edilir.

Kritik veriler şifrelenmiş olarak saklanmalıdır. Bir veri tabanı (veya dosya sistemi) aracılığıyla şifreleme yeterlidir. Ancak, veri aktarımının bir parçası olarak ek şifreleme kullanmak ve daha sonra veri tabanına şifrelenmiş biçimde yerleştirmek çok daha güvenlidir.

Bu durumda, güçlü bir şifreleme algoritması belirlemek, anahtar değiştirildiğinde verilerin yeniden şifrelenmesi olasılığını sağlamak ve ayrıca bir anahtarı depolamak veya oluşturmak için güvenli bir yöntem sağlamak gerekir.

İstemci ağ veri akışları şifrelenmelidir.

Kritik veriler, şifrelenmiş bir kanal üzerinden iletilmelidir. Kritik ağ verileri, şifrelenmiş bir kanal üzerinden iletilmelidir. Resmi olarak TLS güvenlik protokolünü kullanmak yeterlidir, ancak aktarılan bilgilerin yazılım düzeyinde şifrelenmesini sağlamak daha iyidir. Uygulamanın veritabanlarına şifreli olarak bağlanması tavsiye edilir.

Parola gücü için gereksinimler.

Kaba kuvvet saldırılarına geçit vermeyen şifreler seçilmelidir. Şifrelerin depolanması ve iletilmesi, tehlikeye düşme olasılığını en aza indirecek şekilde (şifre saklama, ayrı saklama vb.) sağlanmalıdır.

Ödeme kartlarının fotoğrafları alınırsa, güvenlik gerekliliklerine uygun olmalıdır.

Doğrulama süreçleri için kullanıcı verilerinin toplanması genellikle, kart verilerinin (PAN, CVV) gösterilebileceği ödeme kartlarını gösteren grafik materyallerin toplanmasını içerir. Basit bir çözüm olarak bu tür verileri sistemlerden silmek ve müşteriden gerekli formatın kendi başına fotoğraf kopyalarını yeniden sağlamasını istemektir. Bir sonraki seçenek, kritik verileri kendiniz silmek ve fotoğrafı onsuz kaydetmektir. Daha da ilginç bir seçenek ise grafik görüntülerde CVV ve kart numaralarını tanımak ve bulanıklaştırmak için kendinizin yazabileceği veya satın alınan hizmetlerdir.

Veri tabanları, uygulama alt ağından ayrı bir alt ağda olmalıdır.

Kritik veri sızıntısı riskini azaltmak için, veritabanları uygulamaların bulunduğu alt ağdan ayrı konumlandırılmalıdır. Her yerde bulunan sanallaştırma göz önüne alındığında, veritabanı ve uygulamaların ek olarak ayrılması olasılığının da göz önünde bulundurulması önerilir.

Çalıştırma sürecinde tüm test parametreleri silinmelidir.

Kimlik bilgileri genellikle entegrasyonun bir parçası olarak kullanılır. Bu da bazı riskleri beraberinde getirir. Üretim ortamına aktarılırken test verilerinin kullanılması tavsiye edilir, bu tür veriler değiştirilmeli veya silinmelidir.

Güvenli teknolojilerin ve güçlü şifreleme algoritmalarının kullanılmasını gerektirir.

Tüm şifreleme algoritmaları güçlü kabul edilmez. Ayrıca, hangi ülkenin bunu veya bu algoritmayı sipariş ettiğini ve algoritmanın kendisinde veya uygulamasında sürprizler olup olmadığını unutmayın.

Kullanıcı şifrelerini saklamak yasaktır (sadece hash formatı müstesna)

Bu işin doğası gereği bu sıradan bir öneri gibi gelebilir. Ancak tam kullanıcı şifrelerine sahip kaynaklarda hala veri sızıntısı olduğu unutulmamalıdır. Bu şifreler karma olarak tutulabilir, ancak yine de bu kesinlikle gerekli bir işlem değildir. Hash’in kendisini sulandırmak daha iyidir.

OWASP TOP 10 için kontrol edilmesi

Çözümü, işleme sokmadan önce büyük güvenlik açıkları için doğrulamak gerektir. Farklı güvenlik açıkları da denenebilir ama başlangıç için en az OWASP TOP 10‘u kontrol etmeniz önerilir.

Dış sistemlere yeniden yönlendirme yeteneği ile eylemleri günlüğe kaydetme.

Sistem, kullanıcı eylemlerini günlüğe kaydetmek ve kart verilerine erişim için bir özellik sağlamalıdır. Günlük kaydı, uygun bir formatta dışa aktarmanın mümkün olacağı şekilde düzenlenmelidir. Daha sonra, günlüklerin bütünlüğünün ve bunların depolanmasının kontrolü ve korelasyon, büyük olasılıkla üçüncü taraf bir sistem kullanılarak uygulanmasını kolaylaştıracaktır. Günlükler kritik veri içermemelidir.

Asgari gerekli haklarla kuvvetler ayrılığı sistemi.

Sistem, yetkilerin tanımlanması için bir sisteme sahip olmalıdır. Böyle bir sistem, rol temelli veya karma erişim modeline dayalı olabilir (matris de kullanılabilir, ancak destek ve önemli sayıda kullanıcı olduğunda çok karmaşıktır). Rollerin ayrılığı, kuvvetler ayrılığı matrisi temelinde inşa edilmelidir.

Güvenli anahtarlarla şifreleme.

Anahtarlar yılda en az bir kez değiştirilmelidir. Anahtar iletimi güvenli kanallar aracılığıyla yapılmalıdır. Anahtar depolama, tehlikeye atılma olasılığını en aza indirecek şekilde sağlanmalıdır (güvenli anahtar depolama çözümleri, paylaşılan anahtar depolama, veriye dayalı anahtar oluşturma süreçleri).