Dünyada olduğu gibi ülkemizde de kredi kartlarının yoğun kulanıldığı e-ticaret sektörü siber korsanların iştahını kabartmaya devam ediyor. Siber güvenlik şirketlerinin hem e-ticaret şirketlerine hem de kredi kartı kullanıcılarına sürekli uyarılarda bulunduğu günümüzde kredi kartı bilgilerinin çalınması kapsamında milyonlarca liralık zararlar meydana geliyor. 24,7 milyar TL’lik bir büyüklüğe sahip olan ve geçtiğimiz yıl 306 milyon alışveriş işlemi yapılan Türkiye e-ticaret sektöründe şirketlerin ödeme altyapılarının güvenliğini en üst seviyede sağlamak artık PCI-DSS ile mümkün oluyor.
PCI-DSS ile kredi kartı bilgileri yüksek güvenlikle korunuyor
Üyeleri arasında Visa, Master Card, American Express, Discover ve JCB’nin yer aldığı PCI-SSC (Payment Card Industry Security Standards Council – Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi) tarafından belirlenen ve ödeme sistemleri alanında dünyadaki en yüksek güvenlik standardı olan PCI-DSS (Payment Card Industry Data Security Standard – Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) sertifikasyonu bu alanda büyük önem taşıyor.
PCI-DSS danışmanlığı ve sertifikasyonu konusunda dünyadaki lider şirketlerden olan 24 Solutions’ın Türkiye Ülke Direktörü Emrah Elmas, PCI-DSS’in sadece kredi kartı ile işlem yapan üye işyerleri ve bankalar için geçerli olmakla kalmayıp, kart sahibinin bilgilerini gizleyen ya da ileten tüm hizmet sağlayıcılarını da kapsadığına dikkat çekiyor. Kanunlar, e-ticaret şirketlerinin işlem sayısının büyüklüğüne göre, PCI-DSS sertifikasyonunu zorunluluk haline getiriyor.
PCI-DSS için gerekli kritik 12 hamle nedir?
Kredi kartı ve kişisel verinin kullanımı, korunması, saklanması, provizyonu ve iletimi konuları için geliştirilmiş bir standart olan PCI-DSS; 6 ana kriter altında tanımlanan 12 temel maddeden oluşuyor. Bu kritik 12 hamle ile e-ticaret şirketleri hem müşteri kredi kartı bilgilerini yüksek güvenlikle koruyor hem de hackerlar karşısında kendilerini güvende hissediyor.
Güvenli ve sürekli bir ağ alt yapısı kurmak
1- Kart bilgilerini korumak için güvenlik duvarı konumlandırılması ve yapılandırılması
2- Sistemde yer alan hiçbir yazılım ve donanımda öntanımlı parolanın kullanılmaması
Kart sahibinin bilgilerini korumak
3- Kart bilgilerinin güvenli şekilde saklanması
4- Genel ağlarda kart bilgilerinin şifreli olarak gönderilmesi
Güvenlik açığı yönetimi oluşturmak
5- Düzenli olarak güvenlik yazılımlarının güncellenmesi
6- Güvenli sistem ve uygulama geliştirilmesi. Geliştirmenin süreklilik arz etmesi
Etkin erişim kontrolü uygulamak
7- İşletme tarafında kart bilgilerine erişim kısıtlamasının getirilmesi
8- Her kullanıcının kendine ait bir kullanıcı hesabının olması ve oturumu bu kullanıcı hesabı ile açması
9- Kart bilgilerine erişimin fiziksel olarak engellenmesi.
Düzenli olarak izlemek ve test etmek
10- Kart bilgilerine ve ağa gelen tüm erişimlerin izlenmesi
11- Güvenlik sistemleri ve süreçlerin devamlı olarak test edilmesi
Bilgi güvenliği politikası uygulamak
12- Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politikanın uygulanması.
PCI-DSS standartlarına uyma zorunluluğu olan şirketlerin, PCI komitesi tarafından akredite olmuş ve bünyelerinde yine PCI tarafından sertfikalandırılmış QSA uzmanı (Qualified Security Assessor) bulunduran 24 Solutions gibi QSA firmalarından yerinde denetim, her üç ayda bir zafiyet taraması ve penetrasyon testi hizmetleri alarak PCI-DSS uyum doğrulaması yapma yükümlülüğü bulunuyor.