PCI Uyumluluğunun Temelleri: Bilmeniz Gerekenler
Yayınlanan: 2023-04-14Kredi kartı bilgileri, siber suçlular için en değerli veri türüdür çünkü bu veri kümeleri karaborsada milyonlarca dolar değerindedir.
Günümüzde her büyüklükteki şirket, müşterilerinin kredi ve banka kartı bilgilerini işleyerek kredi kartı ödemelerini almaktadır. Finansal verileri işleyen, depolayan ve ileten her şirket, kötü niyetli aktörlerin radarı altındadır ve en yüksek siber saldırı riskleriyle karşı karşıyadır.
Bu nedenlerden dolayı, büyük kredi kartı şirketleri, şirketlerin müşterilerinin finansal verilerini güvence altına almaları için güvenlik yönergeleri sağlamak amacıyla PCI standardını oluşturmuştur. Bu yazımızda PCI uyumluluğunun temellerini inceleyeceğiz.
PCI DSS uyumluluğunu daha fazla açıklamaya başlayalım.
PCI DSS Uyumluluğu Nedir?
Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), kredi kartı sahiplerinin verilerini korumak için teknik ve operasyonel bir dizi güvenlik özelliğidir.
PCI uyumluluğu Visa, Mastercard, American Express, Discover Financial Services ve JCB Express gibi büyük kredi kartı şirketleri tarafından kurulmuştur. PCI, müşterilerin finansal verilerinin güvenliğini sağlamak için uluslararası bir çerçeve sağlamayı amaçlamaktadır.
Toplayan, depolayan ve ileten tüm şirketler, PCI DSS uyumluluğuna tabidir ve güvenlik yönergelerine ve gereksinimlerine uymakla yükümlüdürler.
PCI DSS'nin dört uyumluluk düzeyi vardır (1,2,3,4). Şirketlerin PCI uyumluluk seviyeleri, bir yıl içindeki işlem hacmine göre belirlenir. 4. seviyeye giren şirketler yılda 20.000'den az işlem gerçekleştirir.
Seviye 3, yılda 20.000-1 milyon arasında işlem yapan tüccarlar için geçerlidir. Seviye 2, yılda 1-6 milyon arası işlem yapan şirketler için geçerlidir. Yılda 6'dan fazla işlem gerçekleştiren şirketler seviye 1'e girer.
Seviye 4'ten 1'e çıktıkça PCI gereksinimleri daha katı hale gelir. Ancak uyumluluk düzeyi ne olursa olsun, tüm şirketler tüm PCI gereksinimlerini bir ölçüde karşılamakla yükümlüdür.
Güvenli kart sahibi veri işleme çerçevesi, PCI uyumluluğuna göre altı kategoride oluşturulmuştur. PCI gereksinim kategorileri, kart sahibi verilerinin korunması, güvenlik açığı yönetimi planı, ağ izleme, güvenli ağ ve sistem yönetimi, erişim kontrolü kısıtlamaları ve bilgi güvenliği politikasından oluşur.
Bu kategorilerin içeriği, toplam on iki gereksinim adımı oluşturur. PCI gereksinimleri, kart sahibi verilerinin işlenmesinin güvenliğini sağlar. İşte PCI uyumluluğu için bir kontrol listesi.
PCI Gereksinimleri
1- Kart sahibi verilerinin korunması için bir güvenlik duvarı kurun ve sürdürün
Güvenlik duvarları ağın ilk savunma mekanizması olduğundan, kart sahibi verilerini güvende tutmak için bir güvenlik duvarını doğru şekilde yapılandırmak ve sürdürmek çok önemlidir. Güvenlik duvarları, ağ trafiğini kısıtladıkları ve onaylanmamış erişimi engelledikleri için siber tehditlere karşı hassas verilerin korunması için oldukça etkili araçlardır. Bu nedenle güvenlik duvarı kurulumu ilk gereksinimdir.
02. Uygun parola korumasına sahip olun
Ağ hizmetlerinin, satış noktası (POS) sistemlerinin ve üçüncü taraf ürünlerinin çoğu varsayılan ayarlarla yapılandırılmıştır.
Varsayılan parolalar ve kullanıcı adları yaygın olarak bilindiği için kuruluşlar bu fabrika ayarlarını yeniden yapılandırmazlarsa siber suçlular ağlara ve hassas verilere kolayca erişebilir.
Kuruluşlar, parola ayarlarını değiştirmenin yanı sıra parola gerektiren tüm cihaz ve yazılımların parolalarını düzenli olarak değiştirmelidir.
03. Saklanan kart sahibi verilerini koruyun
Depolanan tüm kart sahibi verileri şifrelenmelidir. Satıcılar, bu hassas verilerin kriptografik anahtarlar ve algoritmalar aracılığıyla korunmasını sağlamalı ve düzenli taramalar gerçekleştirmelidir.
04. Kart sahiplerinin iletilen verilerini şifreleyin
Kart sahibi verilerinin güvenliğini sağlamak, PCI uyumluluğunun en önemli gereksinimidir. Bu nedenle, tüccarlar, genel ağlar üzerinden kart sahibi veri iletimini de şifrelemeli ve güvence altına almalıdır.
05. Virüsten koruma yazılımı kullanın
Virüsten koruma yazılımına sahip olmak, kötü amaçlı yazılımlara karşı veri koruması için bir zorunluluktur. Bu nedenle kuruluşlar, kötü amaçlı yazılımları tespit etmek ve ortadan kaldırmak için tüm cihazlarda virüsten koruma yazılımlarını kullanmalı ve sık sık güncellemelidir.
06. Yazılım ve sistem bakımı
Güvenlik açıklarını yamalamak için tüm yazılım ve sistemler düzenli olarak güncellenmelidir. Veritabanları, virüsten koruma yazılımları ve güvenlik duvarları gibi bazı yazılımların daha sık güncelleme gerektirdiğini unutmayın.
07. Veri erişimini kısıtlayın
Gerektiğinde kart hamillerinin verilerine yalnızca yetkili personele erişim izni verilmelidir. Üçüncü şahıslar ve personel üyeleri hassas bilgilere erişememelidir.
08. Kullanıcı erişimi için benzersiz tanımlama
Kart sahibi verilerine erişimi olan her yetkili kullanıcıya benzersiz bir kullanıcı adı ve şifre seti verilmelidir. Kullanıcı erişim kimlik bilgileri hesap verebilirliği sağlar ve yanıt süresini azaltır.
09. Fiziksel erişimi kısıtlayın
Hassas verileri korumak için dijital erişim kadar fiziksel erişim de kısıtlanmalıdır. Kuruluşlar, kart sahiplerinin verilerini fiziksel olarak güvenli bir yerde saklamalı ve katı kontroller ve yetkilendirmeler uygulamalıdır.
10- Ağ erişimini izleyin ve izleyin
Kart sahibi verileri ve birincil hesap numaraları söz konusu olduğunda tüm ağ erişimi ve trafiği izlenmeli ve izlenmelidir. Kart sahibi verilerini içeren erişim günlükleri tutulmalı ve sürekli olarak gözden geçirilmelidir.
11- Düzenli güvenlik sistemleri değerlendirmesi
Güvenlik açıklarını belirlemek ve yamalamak için düzenli güvenlik sistemi değerlendirmeleri ve sızma testleri yapılmalıdır. Bu prosedür, güvenlik sistemlerinin mevcut durumunun belirlenmesini ve buna göre iyileştirilmesini sağlar.
12- Bir siber güvenlik politikası sürdürün
Tüm PCI gereksinimleri bir siber güvenlik politikasıyla ele alınmalı ve belgelenmelidir. Kuruluşlar, bir siber güvenlik politikası sürdürerek ağlarının uyumluluğunu ve güvenliğini sağlayabilir.
PCI DSS'ye Uyulmamasının Sonuçları
PCI DSS'ye uymamak yüksek para cezaları getirebilir. İhlallerin ciddiyetine ve süresine göre, PCI yetkilileri ayda 5000$ ile 100.000$ arasında para cezası uygulayabilir.
İhlalin süresi uzadıkça para cezaları aylık olarak artabilir. Ayrıca, veri ihlali olaylarından sonra şirketler, tüm yeniden düzenleme ve düzeltme maliyetlerini karşılamakla yükümlü olabilir.
Bunların dışında PCI'ye uyulmaması, işlem ücretlerinin artması, kredi kartı ödeme iş yerlerinin bir süreliğine veya kalıcı olarak kaybedilmesi gibi ek cezalara neden olabilir. PCI gereksinimlerini karşılamak, cezalardan kaçınmak ve müşterilerin gizli mali verilerini güvence altına almak için hayati önem taşır.
Son sözler
Müşterilerin finansal verileri her zaman siber saldırılara karşı korunmalıdır.
Ödeme Kartı Endüstrisi Veri Güvenliği Standardına (PCI DSS) uymak, şirketlerin işlenen, depolanan ve iletilen finansal veri kümelerini güvence altına almasına yardımcı olabilir.
Siber risklerin, uyumluluk cezalarının ve cezaların bu kadar yüksek olduğu bir çağda, PCI'ye maruz kalan her şirketin gereksinimlerini karşılaması ve PCI uyumlu hale gelmesi gerekiyor.