{"id":33965,"date":"2022-09-28T15:21:06","date_gmt":"2022-09-28T12:21:06","guid":{"rendered":"https:\/\/www.natro.com\/blog\/?p=33965"},"modified":"2022-09-28T15:26:31","modified_gmt":"2022-09-28T12:26:31","slug":"pci-dss-guvenlik-taramasi-nedir","status":"publish","type":"post","link":"https:\/\/www.natro.com\/blog\/pci-dss-guvenlik-taramasi-nedir\/","title":{"rendered":"PCI DSS G\u00fcvenlik Taramas\u0131 Nedir?"},"content":{"rendered":"\n

Teknolojinin geli\u015fmesiyle birlikte art\u0131k \u00e7o\u011fu ihtiyac\u0131m\u0131z\u0131 internet al\u0131\u015fveri\u015fiyle kar\u0131\u015f\u0131l\u0131yoruz. Bundan birka\u00e7 sene \u00f6nce internetten al\u0131\u015fveri\u015f yaparken \u015f\u00fcphe ta\u015f\u0131yan \u00e7ok say\u0131da kullan\u0131c\u0131 olsa da, art\u0131k neredeyse herkes internetten rahatl\u0131kla al\u0131\u015fveri\u015f yap\u0131yor. T\u00fcketicilerin art\u0131k internet al\u0131\u015fveri\u015fine daha s\u0131cak bakmas\u0131n\u0131 sa\u011flayan birka\u00e7 etken var. Bunlardan en bariz olan\u0131 elbette ge\u00e7irdi\u011fimiz pandemi s\u00fcreci. \u0130htiya\u00e7lar\u0131m\u0131z\u0131 internetten kar\u015f\u0131lamak zorunda kald\u0131\u011f\u0131m\u0131z bu d\u00f6nemde internet al\u0131\u015fveri\u015fine g\u00fcvenimiz b\u00fcy\u00fck \u00f6l\u00e7\u00fcde artt\u0131.<\/p>\n\n\n\n

\u0130nternet al\u0131\u015fveri\u015finin yayg\u0131nla\u015fmas\u0131nda \u00f6nemli rol oynayan di\u011fer bir etken ise Z ku\u015fa\u011f\u0131. Teknolojiyle ve internetle b\u00fcy\u00fcyen yeni nesil, internetten al\u0131\u015fveri\u015fe g\u00fcvenmeye ve ihtiya\u00e7lar\u0131n\u0131 internetten gidermeye bir \u00f6nceki nesle k\u0131yasla daha meyilli. Online al\u0131\u015fveri\u015fi daha da yayg\u0131nla\u015ft\u0131ran unsurlardan belki de en \u00f6ne \u00e7\u0131kan\u0131 ise al\u0131\u015fveri\u015f sistemlerinin ger\u00e7ekten de zamanla daha g\u00fcvenli hale gelmesi oluyor. \u00d6deme sistemlerini eskiye k\u0131yasla daha g\u00fcvenli yapan kurumlardan birisi de \u00d6deme Kartlar\u0131 Sekt\u00f6r\u00fc Veri G\u00fcvenli\u011fi Standartlar\u0131<\/strong> olarak T\u00fcrk\u00e7ele\u015ftirilen PCI DSS<\/strong> olarak biliniyor.\u00a0<\/p>\n\n\n\n

PCI DSS Nedir?<\/span><\/h2>\n\n\n\n

2006 y\u0131l\u0131nda d\u00fcnyan\u0131n en b\u00fcy\u00fck finans kurulu\u015flar\u0131ndan olan Master Card, Visa, American Express, JCB ve Diner Club bir araya gelerek PCI DSS Konseyi\u2019ni kurduktan sonra \u00f6deme sistemlerinin g\u00fcvenli\u011fi fark edilir \u00f6l\u00e7\u00fcde artt\u0131. Bu uluslararas\u0131 konsorsiyumun hedefi; PCI DSS Veri G\u00fcvenli\u011fi Standartlar\u0131\u2019n\u0131n t\u00fcm d\u00fcnyada uygulanmas\u0131n\u0131 sa\u011flayarak \u00f6deme sistemlerinin g\u00fcvenli\u011fini sa\u011flamak.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

PCI DSS Konseyi 2006\u2019dan bu yana hala ara\u015ft\u0131rmalar\u0131na devam ediyor. Ko\u015fullar de\u011fi\u015ftik\u00e7e bu ko\u015fullara uyum sa\u011flayan \u00f6deme sistemlerinin geli\u015ftirilmesi s\u00fcrecine \u0131\u015f\u0131k tutan kurum, fraud, sahtecilik, doland\u0131r\u0131c\u0131l\u0131k gibi su\u00e7lara kar\u015f\u0131 t\u00fcketicinin yan\u0131nda bulunuyor. Yeni nesil doland\u0131r\u0131c\u0131l\u0131k, h\u0131rs\u0131zl\u0131k gibi y\u00f6ntemlere kar\u015f\u0131 da kullan\u0131c\u0131lar\u0131n g\u00fcvenli\u011fini sa\u011flamay\u0131 kendine ama\u00e7 edinen PCI DSS, b\u00fcnyesindeki sistemleri s\u0131k s\u0131k denetleyerek standartlara uygun olduklar\u0131ndan emin oluyor.<\/p>\n\n\n\n

PCI DSS Konseyi\u2019nin \u00e7al\u0131\u015fmalar\u0131 sadece kredi kartlar\u0131n\u0131 kapsam\u0131yor. Maa\u015f kartlar\u0131na da, banka kartlar\u0131na da y\u00f6nelik \u00e7al\u0131\u015fmalar\u0131 olan konsey \u00f6deme i\u015fleminin farkl\u0131 a\u015famalar\u0131nda yer alan taraflarla \u00e7al\u0131\u015f\u0131yor. Di\u011fer bir deyi\u015fle, sadece \u00f6demeyi alan taraf de\u011fil, varsa arac\u0131l\u0131k eden kurumlar da PCI DSS Konseyi standartlar\u0131n\u0131n kapsama alan\u0131nda. B\u00f6ylece, kart bilgilerini saklayan, i\u015fleyen ve y\u00f6nlendiren t\u00fcm kurum ve kurulu\u015flar belirli g\u00fcvenlik standartlar\u0131n\u0131 takip ediyorlar. G\u00fcvenlikte standartlar\u0131n\u0131 sa\u011flamayan kurumlar bu sistemin d\u0131\u015f\u0131nda tutularak \u00e7al\u0131\u015fmalar\u0131n\u0131 sadece nakit parayla y\u00fcr\u00fctmek durumunda kalabiliyor.<\/p>\n\n\n\n

PCI DSS G\u00fcvenlik Taramas\u0131 Nedir?\u00a0<\/h2>\n\n\n\n

\u00d6deme sisteminin PCI DSS Konseyi\u2019nin belirledi\u011fi g\u00fcvenlik standartlar\u0131na uyup uymad\u0131\u011f\u0131n\u0131 belirlemek i\u00e7in yap\u0131lan \u00e7al\u0131\u015fmalara PCI DSS g\u00fcvenlik taramas\u0131 ad\u0131 veriliyor. Ortalama olarak y\u0131lda 4 kere yap\u0131lan bu taramalardan ge\u00e7mek \u00f6deme sistemi kullanan i\u015fletmeler i\u00e7in \u00f6nem ta\u015f\u0131yor. \u0130\u015fletmenin kartla i\u015flemler yapabilmesine devam edebilmesi i\u00e7in mutlaka PCI DSS g\u00fcvenlik taramas\u0131 yapmas\u0131 ve taramadan olumlu sonu\u00e7 almas\u0131 gerekiyor.<\/p>\n\n\n\n

Veri g\u00fcvenli\u011fi sa\u011flayan PCI DSS g\u00fcvenlik taramalar\u0131 birden \u00e7ok a\u015famadan olu\u015fuyor. Y\u00fcksek teknik bilgi ve beceri isteyen bu taramalar\u0131 yapacak ki\u015filerin alanlar\u0131nda deneyimli ve yetkin olmalar\u0131 son derece \u00f6nemlidir. Natro da uzman ekibiyle y\u0131llard\u0131r PCI DSS g\u00fcvenlik taramas\u0131 yapan firmalardan birisi. Gerekli raporlamalar\u0131 yapan ve iste\u011fe ba\u011fl\u0131 olarak dan\u0131\u015fmanl\u0131k sa\u011flayan Natro, PCI DSS uyumlu sistem kullanmak isteyen i\u015fletmelerin yan\u0131nda yer al\u0131yor.\u00a0<\/p>\n\n\n\n

PCI DSS g\u00fcvenlik taramas\u0131 hakk\u0131nda daha fazla bilgiye ula\u015fmak i\u00e7in buray\u0131<\/a> ziyaret edebilirsiniz.<\/p><\/blockquote>\n\n\n\n

\"\"<\/figure>\n\n\n\n

PCI DSS Uyumlulu\u011fu Nas\u0131l Sa\u011flan\u0131r?<\/h2>\n\n\n\n

\u00d6deme sisteminin PCI DSS politikalar\u0131yla uyumlu oldu\u011fundan emin olmak i\u00e7in 3 a\u015famal\u0131 bir uyumluluk s\u00fcreci bulunuyor. Bu s\u00fcre\u00e7teki incelemeleri ba\u015far\u0131yla ge\u00e7en sistemler, PCI DSS uyum sertifikas\u0131 almaya hak kazan\u0131yor. Kart bilgileri son derece \u00f6nemli oldu\u011fundan kurumlar\u0131n i\u015fi uyum sertifikas\u0131 ald\u0131klar\u0131nda bitmiyor. Sertifikay\u0131 alan kurumlar, periyodik aral\u0131klarla taramalar\u0131 ger\u00e7ekle\u015ftirip hala ko\u015fullar\u0131 sa\u011flad\u0131klar\u0131n\u0131 raporlamak zorundalar.\u00a0<\/p>\n\n\n\n

\u0130lk a\u015famada sistemin PCI DSS uyumunu sa\u011flamak i\u00e7in \u015fu a\u015famalar\u0131 takip etmek gerekiyor:<\/p>\n\n\n\n

  1. \u00a0Analiz a\u015famas\u0131:<\/strong> Bu a\u015famada kart i\u015flemleri s\u0131ras\u0131nda ya\u015fanan veri ak\u0131\u015f\u0131 inceleniyor, verilerin nerede depoland\u0131\u011f\u0131na bak\u0131l\u0131yor.<\/li>
  2. \u0130yile\u015ftirme a\u015famas\u0131: <\/strong>\u0130lk a\u015famada e\u011fer bir a\u00e7\u0131k ya da kusur bulunmu\u015fsa bu a\u015famada giderilmesi bekleniyor. Depolanan verilerin depolanmas\u0131n\u0131n ger\u00e7ekten gerekip gerekmedi\u011fi bu a\u015fama i\u00e7in \u00f6nemli olan unsurlardan birisi. Depolanmas\u0131 elzem olmayan verilerden kurtulmak ve gelecekte de depolamamak gerekiyor.<\/li>
  3. Belgeleme a\u015famas\u0131:<\/strong> Teknik a\u00e7\u0131dan ilk iki a\u015fama kadar zor olan bu a\u015famada 6 ana kritere ve 12 alt ba\u015fl\u0131l\u0131\u011fa uyum belgelenmelidir.<\/li><\/ol>\n\n\n\n

    Kart ile i\u015flem yapan kurumlar, i\u015flem yapma s\u0131kl\u0131klar\u0131na g\u00f6re kendi i\u00e7lerinde ayr\u0131l\u0131yor. 4 ayr\u0131 seviyeden olu\u015fan bu s\u0131n\u0131fland\u0131rmada yer alan kurumlar ortalama olarak 3 ayda bir tarama yapmak ve bulgular\u0131n\u0131 PCI DSS Konseyi\u2019ne bildirmek zorundad\u0131r. Bulgular\u0131 inceleyen PCI DSS, kurumun kart ile i\u015flem yapma yetkinli\u011finin devam edip etmedi\u011fine karar veriyor. Bu kategoriler aras\u0131nda yer alan en y\u00fcksek seviyede y\u0131lda 6 milyondan fazla kartla i\u015flem yapan i\u015fletmeler yer al\u0131yor. Di\u011fer seviyelerde kartla i\u015flem say\u0131s\u0131 daha az olan i\u015fletmeler yer al\u0131rken, bu seviyelerden beklenen g\u00fcvenlik \u00f6nlemleri de \u00e7e\u015fitlilik g\u00f6steriyor.<\/p>\n\n\n\n

    Taramalar\u0131n s\u0131kl\u0131\u011f\u0131 genelde 3 ayl\u0131k s\u00fcre\u00e7ler olsa da daha s\u0131k tarama yapmak gerekli olabiliyor. Y\u0131lda 4 defadan fazla tarama yapan i\u015fletmeler g\u00fcvenlik a\u00e7\u0131klar\u0131na kar\u015f\u0131 her zaman tedbirli ve haz\u0131rl\u0131kl\u0131 oluyorlar. Tedbirli olman\u0131n yan\u0131 s\u0131ra g\u00fcvenlikten sorumlu ekipler taramada ortaya \u00e7\u0131kabilecek g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 ne kadar erken fark ederlerse olas\u0131 zarar\u0131 engellemeleri o kadar kolay oluyor.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    PCI DSS Taramas\u0131n\u0131n Ba\u015far\u0131s\u0131z Olma Sebepleri Nelerdir?\u00a0<\/h2>\n\n\n\n

    PCI DSS taramas\u0131n\u0131n sonucu ba\u015far\u0131s\u0131z olan bir i\u015fletme, en k\u0131sa s\u00fcrede \u00f6deme sistemindeki sorunlar\u0131 gidermekle y\u00fck\u00fcml\u00fc oluyor. Bu sorunlar\u0131 gidermenin ilk a\u015famas\u0131 da elbette sorunlar\u0131n ne oldu\u011funun fark\u0131na varmakt\u0131r. PCI DSS taramalar\u0131n\u0131n ba\u015far\u0131s\u0131z ge\u00e7me sebebi olabilecek durumlar \u015f\u00f6yle s\u0131ralanabilir:<\/p>\n\n\n\n

    1. G\u00fcvenlik A\u00e7\u0131\u011f\u0131 Olan Protokol Kullan\u0131m\u0131:<\/strong> Ba\u011flant\u0131larda herhangi bir \u015fifreleme y\u00f6ntemi kullanmayan sistemlerin bilgilerinin \u00e7al\u0131nmas\u0131 son derece kolayd\u0131r. \u0130nternete ya da a\u011fdaki di\u011fer bir sisteme ba\u011flan\u0131rken verilerini a\u00e7\u0131k bir bi\u00e7imde g\u00f6nderen cihazlar PCI DSS taramalar\u0131ndan ba\u015far\u0131s\u0131z sonu\u00e7 al\u0131yorlar. Bu durumun \u00f6n\u00fcne bir \u015fifreleme sistemi kullanmaya ba\u015flayarak ge\u00e7ilebiliyor.<\/li>
    2. Eski G\u00fcvenlik Protokol\u00fc Kullan\u0131m\u0131:<\/strong> Bilgisayar biliminde s\u0131k bilinen kurallardan birisi de bir sistem ne kadar eskiyse sistemi hacklemenin o kadar kolay oldu\u011fudur. Eski g\u00fcvenlik protokolleri \u015fimdiye dek defalarca a\u015f\u0131labildi\u011fi i\u00e7in bu t\u00fcr protokoller kullanan sistemlerin PCI DSS taramas\u0131n\u0131 ba\u015far\u0131l\u0131 olarak ge\u00e7mesi bir hayli zor. Yeni g\u00fcvenlik protokolleri kullanmak PCI DSS taramas\u0131n\u0131 sorunsuz ge\u00e7menizi sa\u011flayan etkenlerden birisidir.\u00a0<\/li>
    3. Eri\u015fim Engelleri: <\/strong>\u00c7o\u011fu vir\u00fcs program\u0131 ya da ba\u015fka t\u00fcrden g\u00fcvenlik yaz\u0131l\u0131m\u0131 PCI DSS taramas\u0131n\u0131 bir sald\u0131r\u0131 olarak nitelendiriyor ve engelliyor. Taramay\u0131 d\u00fczg\u00fcn bi\u00e7imde yapamayan yaz\u0131l\u0131m da olumsuz sonu\u00e7 vererek sistemin PCI DSS taramas\u0131ndan ge\u00e7mesini engelliyor. G\u00fcvenlik yaz\u0131l\u0131m\u0131nda PCI DSS testini g\u00fcvenilir olarak i\u015faretlemek, bu sorunu ya\u015faman\u0131z\u0131n \u00f6n\u00fcne ge\u00e7erek taramadan olumlu sonu\u00e7 alman\u0131za yol a\u00e7abiliyor.\u00a0<\/li>
    4. Algoritma A\u00e7\u0131klar\u0131:<\/strong> \u00d6deme sisteminde kullan\u0131lan eski veya ucuz algoritmalar kolayca hacklenebileceklerinden dolay\u0131, PCI DSS taramas\u0131n\u0131n olumlu sonu\u00e7 vermemesine yol a\u00e7\u0131yor. Daha yeni veya daha az bilinen algoritmalara ve \u015fifreleme sistemlerine y\u00f6nelmek sisteminizin g\u00fcvenli\u011fini art\u0131rarak taramadan ge\u00e7menizi sa\u011fl\u0131yor.\u00a0<\/li>
    5. \u00d6zensiz \u00dc\u00e7\u00fcnc\u00fc Parti Yaz\u0131l\u0131mlar:<\/strong> \u00c7o\u011fu i\u015fletme \u00f6deme sistemlerinde \u00fc\u00e7\u00fcnc\u00fc parti yaz\u0131l\u0131mlardan faydalan\u0131yor. Dolay\u0131s\u0131yla, kulland\u0131klar\u0131 \u00fc\u00e7\u00fcnc\u00fc parti yaz\u0131l\u0131m PCI DSS gerekliliklerini yerine getirmiyorsa, i\u015fletme de bundan olumsuz olarak etkileniyor. B\u00f6yle bir durumda yap\u0131labilecek tek \u015fey ba\u015fka bir \u00f6deme sistemine y\u00f6nelmek.\u00a0<\/li>
    6. Zay\u0131f Do\u011frulama Sistemleri:<\/strong> \u0130nternet al\u0131\u015fveri\u015finde kullan\u0131lan do\u011frulama sistemlerinden en yayg\u0131n olan\u0131 SMS do\u011frulama sistemi olsa da birden \u00e7ok do\u011frulama sistemi bulunuyor. Bu do\u011frulama sistemlerinde yer alabilecek a\u00e7\u0131klar \u00fczerinden sisteme s\u0131z\u0131larak do\u011frulama yapmak m\u00fcmk\u00fcn oluyor. Bu duruma yol a\u00e7abilecek sistemlere sahip i\u015fletmelerin PCI DSS g\u00fcvenlik taramas\u0131 raporlar\u0131 olumsuz sonu\u00e7 verebiliyor.\u00a0<\/li><\/ol>\n\n\n\n
      \"\"<\/figure>\n\n\n\n

      PCI DSS Sertifikas\u0131 Neden \u00d6nemlidir?\u00a0<\/h2>\n\n\n\n

      Kurumun \u00f6deme sisteminde hatal\u0131 bir durum tespit edildi\u011finde kurumdan bu durumu en k\u0131sa s\u00fcrede \u00e7\u00f6zmesi bekleniyor. Gereklilikleri sa\u011flamayan ve bu konuda iyile\u015ftirici ad\u0131mlar atmayan i\u015fletmelerin sertifikas\u0131 iptal edilme tehlikesiyle kar\u015f\u0131 kar\u015f\u0131ya kal\u0131yor. Sertifikas\u0131 iptal edilen kurumlar sistem d\u0131\u015f\u0131nda kal\u0131yor, b\u00f6ylece kartla i\u015flem yapamaz hale geliyorlar. G\u00fcn\u00fcm\u00fczde kartla i\u015flem yapmayan bir e-ticaret i\u015fletmesinin hayatta kalmas\u0131 neredeyse imkans\u0131za yak\u0131nd\u0131r. Dolay\u0131s\u0131yla, PCI DSS uyumlulu\u011fu sa\u011flamak internet al\u0131\u015fveri\u015fi ekosisteminde yer almak isteyen kurumlar\u0131n olmazsa olmazlar\u0131 aras\u0131nda yer al\u0131yor.\u00a0<\/p>\n\n\n\n

      PCI DSS sertifikas\u0131n\u0131 \u00f6nemli yapan di\u011fer bir unsur ise veri g\u00fcvenli\u011fidir. Veri g\u00fcvenli\u011fini sa\u011flayan t\u00fcm ad\u0131mlar PCI DSS kriterlerinde de yer ald\u0131\u011f\u0131 i\u00e7in bu kriterlerin kar\u015f\u0131lanmamas\u0131 bir yerde veri g\u00fcvenli\u011fi a\u00e7\u0131\u011f\u0131 oldu\u011fu anlam\u0131na gelebilir. Bu veri g\u00fcvenli\u011fi a\u00e7\u0131klar\u0131 kullan\u0131c\u0131lar\u0131 zor durumda b\u0131rakabilir. Ayn\u0131 zamanda Ki\u015fisel Verilerin Korunmas\u0131 Kanunu (KVKK) bak\u0131m\u0131ndan da s\u0131k\u0131nt\u0131 olu\u015fturabilecek veri g\u00fcvenli\u011fi a\u00e7\u0131klar\u0131, itibar\u0131n\u0131 korumak isteyen i\u015fletmelerin ka\u00e7\u0131nmas\u0131 gereken durumlar aras\u0131nda yer al\u0131yor.\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"Teknolojinin geli\u015fmesiyle birlikte art\u0131k \u00e7o\u011fu ihtiyac\u0131m\u0131z\u0131 internet al\u0131\u015fveri\u015fiyle kar\u0131\u015f\u0131l\u0131yoruz. Bundan birka\u00e7 sene \u00f6nce internetten al\u0131\u015fveri\u015f yaparken \u015f\u00fcphe ta\u015f\u0131yan…\n","protected":false},"author":7,"featured_media":33967,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[53],"tags":[],"class_list":{"0":"post-33965","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guvenlik"},"_links":{"self":[{"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/posts\/33965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/comments?post=33965"}],"version-history":[{"count":2,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/posts\/33965\/revisions"}],"predecessor-version":[{"id":33972,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/posts\/33965\/revisions\/33972"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/media\/33967"}],"wp:attachment":[{"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/media?parent=33965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/categories?post=33965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.natro.com\/blog\/wp-json\/wp\/v2\/tags?post=33965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}