PCI (Payment Card Industry) Data Security Standart

Kart ve kart sahibi verisini saklayan, işleyen veya aktaran tüm kurumlar Visa ve MasterCard tarafından oluşturulmuş ve AMEX ve Diners gibi diğer ödeme sistemleri tarafından da kabul gören; PCI Güvenlik Standartları Komisyonu (The PCI Security Standards Council) tarafından hazırlanan, Ödeme Kartları Sektörü Veri Güvenlik Standardı (Payment Card Industry Data Security Standard)- PCI DSS düzenlemesine uymak zorundadır. Her ne kadar finans sektöründe geçerliliği olan bir standart olsa da, bu standart bilgi güvenliği için tüm kurumlar tarafından da faydalanılabilecek bilgileri içermektedir.

Standart, veri işleme ve saklama sürecinde kullanılan sunucuları, ağ bileşenlerinin, uygulamaları ve veritabanlarını da içeren tüm BT bileşenlerini içermektedir. Ayrıca etkili bir güvenlik ve suiistimal yönetim sisteminin entegre parçası olan manüel süreç ve prosedürler de standardın kapsamı içindedir.

Standartta 6 temel başlıkta 12 gereklilik altında dikkat edilmesi gereken hususlar belirtilmiştir.

Güvenli Ağlar Oluşturma ve Yönetme (Build and Maintain a Secure Network): Aşağıdaki iki gereklilik başlığı altında ağ katmanında güvenliğin sağlanması için dikkat edilmesi gereken hususlar belirtilmiştir.

• Gereklilik1: Kart sahibi bilgisinin korunması için, dışarı açık olan sistemlerin

güvenlik duvarı tarafından korunması ve uygun bir şekilde konfigüre edilmesi gerekmektedir. Bu kısımda güvenlik duvarı yapılandırmasının ne şekilde olması gerektiği ve yönetim işlemi için dikkat edilmesi gereken hususlar belirtilmiştir.

• Gereklilik 2: Ürün satıcıları tarafından kurulumla birlikte gelen sistem şifreleri ve diğer güvenlik parametrelerinin değiştirilmesi ve kullanılmaması gerekmektedir. Özellikle kötü niyetli kişiler tarafından kullanılarak sistemin

ele geçirilmesine sebep olabilecek kurulumla gelen bu şifrelerin ve ayarların değiştirilmesinin önemli olduğu vurgulanmaktadır.

Kart sahibi verisinin korunması: Sistemler üzerinde bulunan kritik bilgilerin korunmasına yönelik olarak aşağıdaki iki gereklilik başlığı altında dikkate dilmesi gereken hususlar belirtilmiştir.

• Gereklilik 3: Depolanmış kart sahibi verisinin korunması için şifreleme,

maskeleme gibi koruma yöntemlerinin yapılacak risk analizi ile belirlenmesi ve uygulanması gerekmektedir. Bu kısımda kritik bilgilerin çok gerekmediği sürece farklı sistemlerde depolanmaması önerilmektedir. Ağ güvenlik sistemlerinin atlatılarak bilgiye erişilmesi durumunda ise ek kontrollerle (şifreleme gibi) bilginin korunması gerektiği vurgulanmaktadır.

• Gereklilik 4:Kart sahibi bilgisinin dışa açık ağlarda transfer edilirken şifreli

transfer edilmesi gerektiği belirtilmektedir. Kritik bilgilerin yetkisiz kişilerce dinlenerek ele geçirilmesi riskinden hareketle, bu bilgilerin veri iletişim ağında transfer edilirken şifreli olarak iletilmesi gerektiği vurgulanmaktadır.

Zafiyet Yönetim Programının Uygulanması: Bilgi sistemlerinde güvenlik zafiyetlerinin bulunması ve sistemlere yönelik saldırıların olması söz konusudur. Bu sebeple sistemlerde güvenlik ürünlerinin kullanılması, sistemlerdeki zafiyetlerin düzenli taramalarla belirlenmesi ve kapatılmasına yönelik gereklilikler bu başlıkta detaylandırılmıştır.

• Gereklilik 5: Virüs koruma uygulamalarının kullanılması ve düzenli

güncellenmesi gerekmektedir. Zararlı kodların (virüsler, kurtçuklar, truva atları vb.) sistemlere çeşitli şekillerde bulaşabileceği bu sebeple sistemlerde virüs koruma yazılımının kullanılması gerektiği belirtilirken, değişen tehditlere yönelik olarak da bu ürünlerin düzenli olarak güncellemelerinin yapılması gerektiğinin önemi vurgulanmıştır.

• Gereklilik 6: Güvenli sistem ve uygulamaların geliştirilmesi ve bakımında dikkat edilmesi gereken hususlar vurgulanmıştır. Sistemlere yetkisiz erişim için güvenlik zafiyetleri kullanılmaktadır. Kritik tüm sistemlerde uygulama üreticisinin yayınladığı ve zafiyetlerin kapatılmasına yönelik güvenlik yamalarının uygulanması, sistemlere zararlı kodların bulaşması veya yetkisiz kişiler tarafından bu zafiyetlerin kullanılarak sistemin ele geçirilmesi riskini azaltacaktır. Yine uygulama geliştirirken dikkat edilmesi gereken hususlarda bu başlıkta verilmiştir. Web uygulamalarının güvenli olarak geliştirilmesi için OWASP (Open Web Application Security Project Guide) dokümanının kullanılması önerilmektedir.

Güçlü Erişim Kontrol Önlemlerinin Hayat Geçirilmesi: Sistemlerdeki bilgiye erişim için dikkat edilmesi gereken hususlar bu başlıkta detaylandırılmıştır.

• Gereklilik 7: Kart sahibi bilgisine erişim sadece işi gereği bilmesi gereken

kişilerle sınırlandırılmalıdır. Bunun için erişim kontrol mekanizmalarının kullanılması ve belirlenen dışındakileri reddet mantığı ile bir yetkilendirme yapılması gerektiği vurgulanmaktadır.

• Gereklilik 8: Bilgisayara erişim için ayrıt edici tanımlayıcıların kullanılması

gerekmektedir. Her kullanıcının kendine has ve eşsiz olan bir kullanıcı adı ile sisteme giriş yapmasının önemi vurgulanmaktadır. Böylelikle kullanıcının sistem üzerinde gerçekleştirdiği işlemlerden sadece kendisinin sorumlu olması sağlanabilecektir. Bu kısımda kullanıcı şifrelerinin 90 günde bir değiştirilmesi gerektiği, minimum şifre uzunluğunun 7 karakter olması ve şifrenin hem nümerik hem de alfabetik karakterlerden oluşması gerektiği, şifre seçiminde önceki 4 şifrenin seçilememesi ve 6 başarısız şifre denemesinden sonra

şifrenin kilitlenmesi özelliğinin kullanılması gibi maddeler de bulunmaktadır.

• Gereklilik 9: Kart sahibi bilgisine fiziksel erişimlerin sınırlandırılması

gerekmektedir. Sistemlerde saklanan elektronik bilgi güvenliğinin yanı sıra fiziksel olarak bu bilgilerin bulunduğu ortamlara yetkisiz erişim riskinin de dikkate alınarak uygun kontrollerin hayata geçirilmesi gerekmektedir.

Bilgilerin yedeklendiği kartuş vb. manyetik ortamların fiziksel güvenliğinin sağlanması gerekliliği yanı sıra kritik sistemlerin bulunduğu alanlara da fiziksel erişimi sınırlandıran kontroller uygulanmalıdır.

Ağların Düzenli olarak izlenmesi ve Test Edilmesi: Kullanılan sistemlerin izlenmesi, yetkisiz erişim denemeleri gibi ihlal olaylarının tespiti açısından önemlidir. Aşağıdaki iki gereklilikte bu konuda dikkat edilmesi gereken hususlar detaylandırılmıştır.

• Gereklilik 10: Ağ kaynakları ve kart sahibi bilgisine erişimlerin sistemler

üzerinde loglarının (iz kayıtlarının) tutulması ve izlenmesi gerekmektedir. Sistemler üzerinde otomatik kayıt tutma özelliği kullanımının hem gerçekleşen, hem de olası yetkisiz erişimlerin tespit edilmesinde önemlidir. Sistem kayıtlarının tutarlı olması için tüm sistem saatlerinin senkronize edilmesinin önemi de vurgulanmaktadır. Sistemler üzerinde tutulan bu kayıtların, sistem yöneticileri tarafından da düzenli olarak takip edilmesi gerekliliği bulunmaktadır.

• Gereklilik 11: Güvenlik sistemleri ve süreçlerle ilgili düzenli testler yapılması gerekmektedir. Bu testler sistem ve süreçlerdeki zafiyetlerin tespit edilmesi ve düzeltilmesi için son derece önemlidir. En az senede bir kez veya sistemlerde büyük bir değişiklik yapıldıktan sonra, hem ağ sızma testleri hem de uygulama sızma testlerinin yapılması gerektiği belirtilmiştir.

Bilgi Güvenlik Politikasının Sürdürülmesi: Bu kısımda özellikle bilgi güvenliğinin sağlanması için, personel ve hizmet anlaşması yapılan sözleşmeli firmaların bilgi güvenliği sorumluluklarının belirlenmesi ve bu kişilere ve firmalara duyurulması gerekliliği aktarılmıştır.

• Gereklilik 12: Kurum tarafından hazırlanan ve bilgi güvenliğini adresleyen

politikanın uygulanması ve güncelliğinin sağlanması gerekliliği belirtilmiştir. Kurum çalışanlarının bilgi güvenliği konusunda kurumun kendilerinden ne beklediği ve bilgi güvenliğini sağlamak için yapmaları gerekenler konusunda net bilgiye sahip olması gerekmektedir. Bunu sağlamak için kurumda bilgi

güvenliği hakkında dokümanlar hazırlanması, bilgi sistemleri kullanım kurallarının ve sorumlulukların net olarak dokümante edilmesi, bunların yönetim tarafından onaylanarak duyurulması ve farkındalığı artırmak için seminer vb. eğitimlerin verilmesi gerektiği vurgulanmaktadır.