Veri ihlalleri, kart ödemelerini işleyen tüccarlar için en büyük tehditlerden birisidir. PCI DSS gereksinimleri, bu tür olayları önlemek ve işletmelere kart sahiplerinin verilerini korumaya yönelik yönergeler sağlamak için oluşturulmuştur.
Şirketlere veri koruma standartlarına uymaları için verilen sürekli uyarılara rağmen, veri sızıntıları hala yaygın. Ayrıca, bilgisayar korsanları, korumasız şirketleri çok daha savunmasız bir durumda bırakabilecek saldırılarının karmaşıklığını artırıyor.
Nakitsiz bir topluma doğru ilerlerken, veri güvenliğinin tehlikeye girmesini önlemek için PCI DSS sertifikası almak özellikle önemli hale geliyor. Müşterilerin alışveriş için çevrimiçi kanallara akın ettiği küresel bir salgın döneminde, kartsız ödemeler arttı ve dolandırıcılık da arttı.
Kart sahibi verilerinin güvenliği artık hem işletmeler hem de müşteriler için birincil endişe kaynağı. Bunun sağlanması zor olan kısımdır.
PCI DSS ve Veri Koruma için 12 Gereksinim
Tüketicilerin kredi ve banka kartı verilerinin güvenliğini garanti altına almak için, büyük ödeme kartı ağları, dünya çapındaki önlemleri tartışmak ve tanımlamak için IBM’in manyetik şeritli ilk kredi kartını yaratmasından 58 yıl sonra 2006’da bir araya geldi. Grup başlangıçta American Express, Discover, JCB International, MasterCard ve Visa Inc. tarafından kuruldu ve Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC) adını aldı.
PCI SSC, kart sahiplerinin verilerini depolamak, işlemek veya iletmekle ilgili herkes tarafından izlenecek bir dizi düzenleme, PCI DSS gereksinimleri oluşturdu. Kart ödemelerini kabul eden bir tüccarsanız, bu bilgilerin güvenli bir şekilde korunmasını sağlamak için PCI DSS gereksinimlerine uymanız gerekir.
On iki PCI DSS gereksinimi altı kontrol hedefine bölünmüştür ve aşağıdaki gibi açıklanabilir:
Güvenli bir ağ oluşturun ve sürdürün
1. Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması kurun ve sürdürün:
Güvenlik duvarları, güvenilir ağlar ve güvenilmeyen ağlar arasında güvenlik bariyeri görevi görür. Harici kullanıcıların ödeme kartı verileri gibi özel bilgilere erişmesini engellerler.
2. Sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın:
Varsayılan parolalara genel halk tarafından erişmek nispeten kolaydır ve deneyimli bilgisayar korsanları için daha da fazladır. Bunları her zaman değiştirmeli ve gereksiz kullanıcı hesaplarını silmeli veya devre dışı bırakmalısınız. İyi bir uygulama olarak, her oturum açma için 2 faktörlü kimlik doğrulamayı etkinleştirmelisiniz.
Kart sahibi verilerini koruyun
3. Saklanan kart sahibi verilerini koruyun:
Kart sahibi verilerini saklamanız gerekiyorsa, bunların şifreli, okunamaz ve kart sahibi işlemleri yerine başkaları için kullanılamaz olduğundan emin olmalısınız. Ayrıca, e-posta veya sohbet gibi güvenli olmayan kanallardan asla iletmemelisiniz.
4. Kart sahibi verilerinin açık, genel ağlar üzerinden iletimini şifreleyin:
İnternet, kablosuz teknolojiler (Bluetooth gibi), uydu iletişimi veya hücresel teknolojiler olsun, gizli bilgileri iletmek için bunları kullanmanız gerektiğinde, güçlü kriptografi ve güvenlik protokollerini uyguladığınızdan emin olun.
Bir güvenlik açığı yönetim programı sürdürün
5. Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve virüsten koruma yazılımlarını veya programlarını düzenli olarak güncelleyin:
Kötü amaçlı yazılım için kısa bir kelime olan kötü amaçlı yazılım, internet kullanımı, depolama aygıtlarını yönetme ve e-posta gönderme gibi basit iş etkinlikleri sırasında ağınıza zarar verebilir. Anti-virüs yazılımları veya programları, bu tehditleri algılamak, kaldırmak ve bunlara karşı koruma sağlamak için çalışır.
6. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün
En güvenli sistemler bile güvenlik açıklarına sahip olabilir. Bu nedenle, bu riskleri periyodik olarak test etmek ve her birini değerlendirmek için risk standartları oluşturmak iyi bir uygulamadır.
Güçlü erişim kontrol önlemleri uygulayın
7. Kart sahibi verilerine erişimin iş gereksinimlerine göre kısıtlanmasının bilinmesi gerekenler:
“Bilinmesi gerekenler”, bir görevi gerçekleştirmek için gerekli olan verileri ifade eder. Sızıntıları önlemek ve yetkisiz personel tarafından erişilemez durumda tutmak için bu verilere erişim izinlerle sınırlandırılmalıdır.
8. Sistem bileşenlerine erişimi tanımlayın ve doğrulayın
Her kullanıcının sistemdeki eylemlerini izleyebilmeniz için her kullanıcıya benzersiz bir kimlik atayın. Benzersiz bir kimlikle, kullanıcılara eylemleri için sorumluluk verebilirsiniz. Ayrıca, gereksiz izinlere izin vermekten kaçının. Finans departmanının muhasebe verilerine erişmesi gerekebilirken, bir teknoloji mühendisinin API anahtarlarına erişmesi gerekir.
9. Kart sahibi verilerine fiziksel erişimi kısıtlayın
Kuruluşunuz, veri merkezleri, sunucu odaları veya diğer tesisler gibi kart sahibi verilerini depolamak için aynı amaç için fiziksel yerler kullanıyorsa, bunların tümü uygun şekilde korunmalıdır. Kısıtlamaların yanı sıra, bu merkezlere fiziksel erişimi izlemek için güvenlik kameraları ve erişim kontrol sistemlerinin kullanımını içeren bazı önlemler bulunmaktadır.
Ağları düzenli olarak izleyin ve test edin
10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin
Ağ kaynaklarını ve kart sahibi verilerini belirlemek ve bunlara erişimi engellemek için önemli bir ölçüt, kullanıcı etkinliğini ve güvenlik bilgilerini yetkili personele bildiren sistem etkinliği günlükleri aracılığıyla yapılan kullanıcı verilerinin takibidir.
11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin
Bazen yeni yazılımlar yeni güvenlik açıklarıyla birlikte gelir. Güvenlik kontrolü için sistemlerinizi ve süreçlerinizi test edin ve maruz kalmaları önlemek için uygun şekilde güncelleyin. Testler, örneğin kablosuz ağ taramaları, ağ erişim kontrolü ve kablosuz IDS/IPS ile gerçekleştirilebilir.
Bir bilgi güvenliği politikası sürdürün
12. Tüm personel için bilgi güvenliğini ele alan bir politika sürdürün
Tüm şirket ve çalışanlar için güvenlik standartları oluşturan politikalar uygulayın. Güvenlik politikalarını düzenli olarak gözden geçirin ve tüm şirket çalışanları ile paylaşın. Kart sahibi verilerini korumanın yanı sıra PCI DSS sertifikası, size pahalı veri ihlallerinden kaçınmanız için mekanizmalar sağlar.
0 yorum