Genel 12 OCAK 2009 / 11:17

PCI DSS Nedir?

BKM Genel Müdürü Sertaç Özinal, kartlı ödeme sistemlerinde PCI DSS'in ne işe yaradığını aktarıyor.

BKM Genel Müdürü Sertaç Özinal, kartlı ödeme sistemlerinde PCI DSS'in ne işe yaradığını aktarıyor.


Ödeme Kartları Endüstrisi Veri Güvenliği Standardı (PCI DSS)
kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla uluslararası kabul görmüş ödeme markaları
olan American Express, Discover Financial Services, JCB International, MasterCard
Worldwide ve Visa Inc. International kurumlarınca oluşturulmuş PCI Komitesi
tarafından geliştirilmiştir.PCI DSS, kartlı ödeme sistemlerinde yer alan kurum ve
kuruluşlarda bilgi güvenliğini sağlamak için bilgi sistemlerinde bilgi
iletimini, bilgi işleyişini ve bilgi depolamayı esas alan 6 temel kriter baz
alınarak oluşturulmuş 12 gereksinim kategorisi ve bu kategoriler altında yer
alan 200 üzerindeki kontrolden oluşmaktadır.PCI DSS kapsamına kimler girer?PCI DSS, kart çıkaran ve kabul eden tüm bankalar, ödeme
kartlarını kabul eden tüm perakendeciler ve kart ve işlem verilerini kendileri
için saklayan veya ileten tüm hizmet sağlayıcıları için geçerlidir.Bunun yanında bankalar, temsil ettiği perakendeciler ve iş
yaptığı tüm üçüncü şahısların bu standarda uyumlu olmalarının sağlanmasında da
sorumlu bulunmaktadırlar.PCI DSS uyumu kontrolleri için gerek banka, gerek
perakendeciler, gerekse hizmet sağlayıcılarla ilgili kriterler VISA ve MasterCard
kuruluşlarının web sitelerinde detaylandırılmıştır.PCI DSS Kriter ve Kategorileri TEMEL KRİTERPCI GEREKSİNİMİ Güvenli bir ağ oluştur ve bakımını üstlen.1. Kart verisini korumak için firewall kur ve çalışırlığını sağla. 2. Üretici tarafından oluşturulmuş varsayılan kullanıcı şifreleri ile sistem parametrelerini kullanma.Kart sahibi verilerini koru.3. Depolanmış kart verisini koru. 4. Açık genel ağlar üzerinde kart verisi iletimini şifrele. Güvenlik açıklarını tespit eden programların çalışırlığını sağla. 5. Antivirüs yazılımı ve programı kullan ve düzenli olarak güncelle. 6. Güvenli sistemler ve programlar geliştir ve bakımını yap. Güçlü erişim kontrol ölçümleri oluştur. 7. Kart bilgisine erişimi yalnızca bilinmesi gereken prensibi ile kısıtla. 8. Bilgisayar erişimi olan herkese tekil erişim kimliği belirle. 9. Kart bilgisine fiziksel erişimi kısıtla. Ağları düzenli olarak gözlemle ve test et.10. Ağ kaynaklarına ve kart verisine erişimi izle ve gözlemle. 11. Güvenlik sistemlerini ve işleyişini düzenli olarak test et. Bilgi güvenliği politikasının işleyişini sağla. 12. Çalışanlar ve sözleşmeliler için bilgi güvenliğini açıklayan bir politika hazırla. PCI DSS yararlarıGünümüz koşullarında bilgi güvenliği her türlü işletmede,
özellikle kartlı ödeme sistemlerinde dikkate alınması gereken hassas bir
konudur. PCI DSS içeriğindeki 12 kategori ile kart bilgisini taşıyan, işleyen
ve saklayan kurum ya da kuruluşların bilgi güvenliğine uyum süreçlerini
yönetmekte ve bu kurum ya da kuruluşlarda bilgi güvenliği disiplininin
oluşmasına katkıda bulunmaktadır.

Kartlı ödeme sistemi içerisinde yer alan kurum ve kuruluşlarda
gerek kart kabul eden, gerek kart çıkaran gerekse kart işlemlerini çalıştıran
tarafların her hangi birinde bilgi güvenliğinin sağlanmadığı durumda kart
bilgilerini açığa çıkma olasılığı nedeniyle bu sistem içerisinde yer alan diğer
kurum ve kuruluşlarda da güvenlik riski oluşmaktadır.

PCI DSS uyumu ile kartlı ödeme sistemleri içinde yer alan
tüm kurum ve kuruluşların veri güvenliği riski en aza inebilecektir.PCI DSS uyumuPCI DSS uyumu kontrolleri, VISA ve MasterCard kuruluşlarınca
belirlenmiş kriterler doğrultusunda PCI DSS uyumu için gerekli PCI Council
tarafından onaylanmış yetkili firmalar (Approved Scanning Vendor - ASV)
tarafından;- Ya uzaktan yapılan güvenlik tarama testleri (Vulnerability
Scan)- Ya da

Hem Vulnerbility Scan hem de standarddaki 12 gereksinim
kategorisi altında yer alan 200’den fazla kontrol için hazırlanmış olan
güvenlik değerlendirme prosedürleri (Security Assessment Procedures) baz
alınarak yapılan yerinde denetimler ile gerçekleştirilmektedir.PCI Council tarafından yetki verilmiş QSV listesi PCI
Council, VISA ve MasterCard kuruluşlarının web sitelerinde yer almaktadır.PCI DSS için Web bilgileriPCI Council ve PCI DSS V1.2 hakkında detaylı bilgi PCI
Council web sitesi;https://www.pcisecuritystandards.org,Türkiye’de kart çıkaran ve kabul eden tüm bankalar, ödeme
kartlarını kabul eden tüm perakendeciler ve kart ve işlem verilerini kendileri
için saklayan veya ileten tüm hizmet sağlayıcıları için PCI DSS ile ilgili;VISA Türkçe metinlerin yer aldığı web adresleri; http://www.visaeurope.com/documents/ais/members_guide_turkish.pdf?d=121207,http://www.visaeurope.com/documents/ais/merchants_guide_turkish.pdf?d=121207.MasterCard web adresi;

http://www.mastercard.com/us/merchant/support/merchant_education.html* Sertaç Özinal Bankalararası Kart Merkezi Genel Müdürü'dür.