PCI Security Standards Council (PCI SSC) ödeme yapılabilen kartların güvenliğini sağlamak için oluşturulmuş, açık ve dünya çapında bir kuruluştur.
15 Ağustos itibari ile Kasım 2013 de çıkacak olan PCI Data Security Standard (PCI DSS) ve Payment Application Data Security Standard (PA-DSS)’ in sürüm 3.0 ile beraber gelecek olan öne çıkan yeniliklerini yayımladı.
Değişiklikler ile ilgili dokümanı https://www.pcisecuritystandards.org/security_standards/documents.php linkinden elde edebilirsiniz.
Dokümanın çıkış amacı Eylül ve Ekim aylarında yapılacak olan topluluk etkinlikleri öncesi katılımcıların görüşüne sunmak ve yeni versiyonun gelişimi ile ilgili gerekli bildirimleri alıp standardı en iyi şekilde hayata geçirmektir.
Bu doküman PCI SSC topluluğu tarafından katılımcılarından ve sektör ihtiyaçlarına göre oluşturulmuş geri bildirim ve araştırmalar sonucu hazırlanır. Geri bildirimler ile ilgili hazırlanmış özet raporu aşağıdaki linkten edinebilirsiniz.
https://www.pcisecuritystandards.org/documents/pci_dss_pa_dss_Feedback_Summary.pdf
PCI DSS ve PA DSS standartları günümüzde finans sektörleri ve ödeme sistemleri için kabul görmüş bir güvenlik standardıdır. Online, Offline veya POST gibi sistemlerden ödeme alan veya yapan tüm kurum ve müşterilerin kart güvenliği, müşteri bilgileri güvenliği ve kurum güvenliği için oluşturulmuş uluslararası bir standarttır.
Dokümanı incelediğimiz zaman son zamanlarda güvenlik sektörünün en önemli sorunlarından biri olan güvenlik farkındalığı burada da karşımıza çıkıyor. Yeni versiyon da değişiklik yapılacak olan 5 ana madde gözümüze çarpıyor.
- Eğitim eksikliği ve farkındalık
- Zayıf şifreler ve kimlik doğrulama yöntemleri
- Üçüncü partilerden kaynaklanan güvenlik zafiyetleri
- Güvenlik zafiyetlerinin önceden tespit edilmesi
- Denetim veya Testlerdeki tutarsızlıklar.
Yukarıda da görüldüğü gibi ilk iki madde güvenlik konusunda kullanıcı farkındalığını öne çıkarıyor. Güvenlik sektörü ne kadar iyi olursa olsun Bilgi güvenliğinden farkındalık oluşturulmadan yapılan güvenlik prosedür ve teknolojik uygulamaları maalesef sektörde yeterli olmuyor. Dokümanda vurgulanan bir başka unsur ise güvenliğin herkesin sorumluluğu altında olması ve tam anlamıyla bir güvenlik sağlanması için mutlaka ve mutlaka hizmet noktalarında bulunan hizmet sağlayıcı veya hizmet kullanıcıları gibi tüm birimlerin ortak farkındalık içerisinde olmasıdır.
Bir diğer sorun ise günümüzde bulut hizmetleri ile beraber daha da fazla artmaya başlayan farklı hizmet sağlayıcıların güvenlik sorunları. Örnek vermek gerekirse siz Banka olarak veya kullanıcı olarak şifrelerini kuvvetli yapmışsınız veya kartlarını güvenli bir şekilde kullanıyorsunuz. Fakat oyun oynamak için kullandığınız bir platform güvenlik zafiyeti barındırdığı zaman bu firmanın verilerini ele geçiren hacker lar sizin veya bankanın önemli verilerini de ele geçirmiş oluyor. Günümüzde kullandığımı birçok hizmet için ödeme yapacağımız kart bilgilerimiz kullandığımız hizmet sağlayıcıların veri tabanlarında bulunuyor.
Standartla ilgili geri bildirimler ağırlıklı olarak test veya denetçiler tarafından yapıldığı için hem sınama yapan hem de sınan kurumlar için bazı yenilikler de mevcut. Dokumanda bazı ön gereksinimler veya denetimler için yeni versiyonda daha net bilgilerin bulunacağı ve güvenlik tanımlarının daha net yapılacağından bahsediliyor.
Dokümandaki veriler henüz tam netlik kazanmamış olmak ile beraber genel hatları belirtmektedir. PCI DSS ve PA DSS standartlarının yeni versiyonu 3.0 Kasım ayında topluluk tarafından yayımlanacak topluluk değişiklikler ile ilgili amaçlarını webinar serileri ile açıklıyor olacaklar. Webinarlara erişmek için aşağıdaki linki kullanabilirsiniz. https://www.pcisecuritystandards.org/training/webinars.php
Dokümanda PCI DSS ve PA DSS 2.0 versiyonunun 31 Aralık 2014 tarihine kadar geçerli olmaya devam edeceği bildiriliyor.
PCI ile ilgili daha detaylı bilgileri https://www.pcisecuritystandards.org adresinden elde edebilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar