PCI DSS Güvenlik Taraması Nedir?

Teknolojinin gelişmesiyle birlikte artık çoğu ihtiyacımızı internet alışverişiyle karışılıyoruz. Bundan birkaç sene önce internetten alışveriş yaparken şüphe taşıyan çok sayıda kullanıcı olsa da, artık neredeyse herkes internetten rahatlıkla alışveriş yapıyor. Tüketicilerin artık internet alışverişine daha sıcak bakmasını sağlayan birkaç etken var. Bunlardan en bariz olanı elbette geçirdiğimiz pandemi süreci. İhtiyaçlarımızı internetten karşılamak zorunda kaldığımız bu dönemde internet alışverişine güvenimiz büyük ölçüde arttı.

İnternet alışverişinin yaygınlaşmasında önemli rol oynayan diğer bir etken ise Z kuşağı. Teknolojiyle ve internetle büyüyen yeni nesil, internetten alışverişe güvenmeye ve ihtiyaçlarını internetten gidermeye bir önceki nesle kıyasla daha meyilli. Online alışverişi daha da yaygınlaştıran unsurlardan belki de en öne çıkanı ise alışveriş sistemlerinin gerçekten de zamanla daha güvenli hale gelmesi oluyor. Ödeme sistemlerini eskiye kıyasla daha güvenli yapan kurumlardan birisi de Ödeme Kartları Sektörü Veri Güvenliği Standartları olarak Türkçeleştirilen PCI DSS olarak biliniyor. 

PCI DSS Nedir?

2006 yılında dünyanın en büyük finans kuruluşlarından olan Master Card, Visa, American Express, JCB ve Diner Club bir araya gelerek PCI DSS Konseyi’ni kurduktan sonra ödeme sistemlerinin güvenliği fark edilir ölçüde arttı. Bu uluslararası konsorsiyumun hedefi; PCI DSS Veri Güvenliği Standartları’nın tüm dünyada uygulanmasını sağlayarak ödeme sistemlerinin güvenliğini sağlamak.

PCI DSS Konseyi 2006’dan bu yana hala araştırmalarına devam ediyor. Koşullar değiştikçe bu koşullara uyum sağlayan ödeme sistemlerinin geliştirilmesi sürecine ışık tutan kurum, fraud, sahtecilik, dolandırıcılık gibi suçlara karşı tüketicinin yanında bulunuyor. Yeni nesil dolandırıcılık, hırsızlık gibi yöntemlere karşı da kullanıcıların güvenliğini sağlamayı kendine amaç edinen PCI DSS, bünyesindeki sistemleri sık sık denetleyerek standartlara uygun olduklarından emin oluyor.

PCI DSS Konseyi’nin çalışmaları sadece kredi kartlarını kapsamıyor. Maaş kartlarına da, banka kartlarına da yönelik çalışmaları olan konsey ödeme işleminin farklı aşamalarında yer alan taraflarla çalışıyor. Diğer bir deyişle, sadece ödemeyi alan taraf değil, varsa aracılık eden kurumlar da PCI DSS Konseyi standartlarının kapsama alanında. Böylece, kart bilgilerini saklayan, işleyen ve yönlendiren tüm kurum ve kuruluşlar belirli güvenlik standartlarını takip ediyorlar. Güvenlikte standartlarını sağlamayan kurumlar bu sistemin dışında tutularak çalışmalarını sadece nakit parayla yürütmek durumunda kalabiliyor.

PCI DSS Güvenlik Taraması Nedir? 

Ödeme sisteminin PCI DSS Konseyi’nin belirlediği güvenlik standartlarına uyup uymadığını belirlemek için yapılan çalışmalara PCI DSS güvenlik taraması adı veriliyor. Ortalama olarak yılda 4 kere yapılan bu taramalardan geçmek ödeme sistemi kullanan işletmeler için önem taşıyor. İşletmenin kartla işlemler yapabilmesine devam edebilmesi için mutlaka PCI DSS güvenlik taraması yapması ve taramadan olumlu sonuç alması gerekiyor.

Veri güvenliği sağlayan PCI DSS güvenlik taramaları birden çok aşamadan oluşuyor. Yüksek teknik bilgi ve beceri isteyen bu taramaları yapacak kişilerin alanlarında deneyimli ve yetkin olmaları son derece önemlidir. Natro da uzman ekibiyle yıllardır PCI DSS güvenlik taraması yapan firmalardan birisi. Gerekli raporlamaları yapan ve isteğe bağlı olarak danışmanlık sağlayan Natro, PCI DSS uyumlu sistem kullanmak isteyen işletmelerin yanında yer alıyor. 

PCI DSS güvenlik taraması hakkında daha fazla bilgiye ulaşmak için burayı ziyaret edebilirsiniz.

PCI DSS Uyumluluğu Nasıl Sağlanır?

Ödeme sisteminin PCI DSS politikalarıyla uyumlu olduğundan emin olmak için 3 aşamalı bir uyumluluk süreci bulunuyor. Bu süreçteki incelemeleri başarıyla geçen sistemler, PCI DSS uyum sertifikası almaya hak kazanıyor. Kart bilgileri son derece önemli olduğundan kurumların işi uyum sertifikası aldıklarında bitmiyor. Sertifikayı alan kurumlar, periyodik aralıklarla taramaları gerçekleştirip hala koşulları sağladıklarını raporlamak zorundalar. 

İlk aşamada sistemin PCI DSS uyumunu sağlamak için şu aşamaları takip etmek gerekiyor:

  1.  Analiz aşaması: Bu aşamada kart işlemleri sırasında yaşanan veri akışı inceleniyor, verilerin nerede depolandığına bakılıyor.
  2. İyileştirme aşaması: İlk aşamada eğer bir açık ya da kusur bulunmuşsa bu aşamada giderilmesi bekleniyor. Depolanan verilerin depolanmasının gerçekten gerekip gerekmediği bu aşama için önemli olan unsurlardan birisi. Depolanması elzem olmayan verilerden kurtulmak ve gelecekte de depolamamak gerekiyor.
  3. Belgeleme aşaması: Teknik açıdan ilk iki aşama kadar zor olan bu aşamada 6 ana kritere ve 12 alt başlılığa uyum belgelenmelidir.

Kart ile işlem yapan kurumlar, işlem yapma sıklıklarına göre kendi içlerinde ayrılıyor. 4 ayrı seviyeden oluşan bu sınıflandırmada yer alan kurumlar ortalama olarak 3 ayda bir tarama yapmak ve bulgularını PCI DSS Konseyi’ne bildirmek zorundadır. Bulguları inceleyen PCI DSS, kurumun kart ile işlem yapma yetkinliğinin devam edip etmediğine karar veriyor. Bu kategoriler arasında yer alan en yüksek seviyede yılda 6 milyondan fazla kartla işlem yapan işletmeler yer alıyor. Diğer seviyelerde kartla işlem sayısı daha az olan işletmeler yer alırken, bu seviyelerden beklenen güvenlik önlemleri de çeşitlilik gösteriyor.

Taramaların sıklığı genelde 3 aylık süreçler olsa da daha sık tarama yapmak gerekli olabiliyor. Yılda 4 defadan fazla tarama yapan işletmeler güvenlik açıklarına karşı her zaman tedbirli ve hazırlıklı oluyorlar. Tedbirli olmanın yanı sıra güvenlikten sorumlu ekipler taramada ortaya çıkabilecek güvenlik açıklarını ne kadar erken fark ederlerse olası zararı engellemeleri o kadar kolay oluyor.

PCI DSS Taramasının Başarısız Olma Sebepleri Nelerdir? 

PCI DSS taramasının sonucu başarısız olan bir işletme, en kısa sürede ödeme sistemindeki sorunları gidermekle yükümlü oluyor. Bu sorunları gidermenin ilk aşaması da elbette sorunların ne olduğunun farkına varmaktır. PCI DSS taramalarının başarısız geçme sebebi olabilecek durumlar şöyle sıralanabilir:

  1. Güvenlik Açığı Olan Protokol Kullanımı: Bağlantılarda herhangi bir şifreleme yöntemi kullanmayan sistemlerin bilgilerinin çalınması son derece kolaydır. İnternete ya da ağdaki diğer bir sisteme bağlanırken verilerini açık bir biçimde gönderen cihazlar PCI DSS taramalarından başarısız sonuç alıyorlar. Bu durumun önüne bir şifreleme sistemi kullanmaya başlayarak geçilebiliyor.
  2. Eski Güvenlik Protokolü Kullanımı: Bilgisayar biliminde sık bilinen kurallardan birisi de bir sistem ne kadar eskiyse sistemi hacklemenin o kadar kolay olduğudur. Eski güvenlik protokolleri şimdiye dek defalarca aşılabildiği için bu tür protokoller kullanan sistemlerin PCI DSS taramasını başarılı olarak geçmesi bir hayli zor. Yeni güvenlik protokolleri kullanmak PCI DSS taramasını sorunsuz geçmenizi sağlayan etkenlerden birisidir. 
  3. Erişim Engelleri: Çoğu virüs programı ya da başka türden güvenlik yazılımı PCI DSS taramasını bir saldırı olarak nitelendiriyor ve engelliyor. Taramayı düzgün biçimde yapamayan yazılım da olumsuz sonuç vererek sistemin PCI DSS taramasından geçmesini engelliyor. Güvenlik yazılımında PCI DSS testini güvenilir olarak işaretlemek, bu sorunu yaşamanızın önüne geçerek taramadan olumlu sonuç almanıza yol açabiliyor. 
  4. Algoritma Açıkları: Ödeme sisteminde kullanılan eski veya ucuz algoritmalar kolayca hacklenebileceklerinden dolayı, PCI DSS taramasının olumlu sonuç vermemesine yol açıyor. Daha yeni veya daha az bilinen algoritmalara ve şifreleme sistemlerine yönelmek sisteminizin güvenliğini artırarak taramadan geçmenizi sağlıyor. 
  5. Özensiz Üçüncü Parti Yazılımlar: Çoğu işletme ödeme sistemlerinde üçüncü parti yazılımlardan faydalanıyor. Dolayısıyla, kullandıkları üçüncü parti yazılım PCI DSS gerekliliklerini yerine getirmiyorsa, işletme de bundan olumsuz olarak etkileniyor. Böyle bir durumda yapılabilecek tek şey başka bir ödeme sistemine yönelmek. 
  6. Zayıf Doğrulama Sistemleri: İnternet alışverişinde kullanılan doğrulama sistemlerinden en yaygın olanı SMS doğrulama sistemi olsa da birden çok doğrulama sistemi bulunuyor. Bu doğrulama sistemlerinde yer alabilecek açıklar üzerinden sisteme sızılarak doğrulama yapmak mümkün oluyor. Bu duruma yol açabilecek sistemlere sahip işletmelerin PCI DSS güvenlik taraması raporları olumsuz sonuç verebiliyor. 

PCI DSS Sertifikası Neden Önemlidir? 

Kurumun ödeme sisteminde hatalı bir durum tespit edildiğinde kurumdan bu durumu en kısa sürede çözmesi bekleniyor. Gereklilikleri sağlamayan ve bu konuda iyileştirici adımlar atmayan işletmelerin sertifikası iptal edilme tehlikesiyle karşı karşıya kalıyor. Sertifikası iptal edilen kurumlar sistem dışında kalıyor, böylece kartla işlem yapamaz hale geliyorlar. Günümüzde kartla işlem yapmayan bir e-ticaret işletmesinin hayatta kalması neredeyse imkansıza yakındır. Dolayısıyla, PCI DSS uyumluluğu sağlamak internet alışverişi ekosisteminde yer almak isteyen kurumların olmazsa olmazları arasında yer alıyor. 

PCI DSS sertifikasını önemli yapan diğer bir unsur ise veri güvenliğidir. Veri güvenliğini sağlayan tüm adımlar PCI DSS kriterlerinde de yer aldığı için bu kriterlerin karşılanmaması bir yerde veri güvenliği açığı olduğu anlamına gelebilir. Bu veri güvenliği açıkları kullanıcıları zor durumda bırakabilir. Aynı zamanda Kişisel Verilerin Korunması Kanunu (KVKK) bakımından da sıkıntı oluşturabilecek veri güvenliği açıkları, itibarını korumak isteyen işletmelerin kaçınması gereken durumlar arasında yer alıyor. 

0 Shares:
Benzer İçerikler