PCI (Payment Card Industry) kart ve kart sahibi bilgilerinin korunması için belirlenmiş operasyonel ve teknik gereksinimleri kapsayan bir standarttır. Bu standarda uyumluluk PCI konseyi (SSC) adı verilen , American Express, Discover Financial Services, JCB International, MasterCard Worldwide, ve Visa Inc. Firmaları tarafından belirlenmiştir.
Bu firmaların kredi kartlarını kullanan bankalar ise, birlikte çalıştıkları firmalardan PCI uyumluluğunu beklemektedirler. Bu yazı dizisinde, "card not present" olarak tabi edilen Kredi Kartının fiziksel olarak kullanılmadığı durumlarla ilgili bilgi verilecektir.
PCI Seviye Belirleme
Kredi Kartı ile işlem yapan firmalar, yıllık toplam işlem adedine göre denetimlere tabi olur. Hangi seviyeye denk geldiği ve bu seviyeye göre alınması gereken aksiyonları aşağıdaki tabloda belirtilmiştir. Yıllık toplam işlem adetleri çalışılan bankadan öğrenilebilir.
(*) ISA Nasıl olunur?: Alınacak eğitim ve sonrasında sınavın ardından ISA olunur. Bunun ardından her sene eğitim alınması gereklidir. ISA sadece o sırada çalışılan firmada geçerlidir, iş değiştirme durumlarında geçerliğini kaybeder.
PCI Kritik Bilgiler Neler, Bunlara Karşı Nasıl Davranılır?
İş gereği kredi kartı bilgileri ile çalışması gerektiği durumlarda, Kredi Kartı bileşenlerini kullanma kuralları vardır. PCI'a göre bu bileşenlerden "Hassas" olarak belirlenenlerin saklanması mümkün değildir:
PCI Domainleri
PCI'da uyulması gereken kurallar 6 Ana domain'e ayrılır:- Güvenli ağ altyapısının kurulumu ve işletimi
- Firewall ile güvenlik sağlanması
- Default sistem şifrelerinin kullanılmaması
- Kart ve Kart Sahibi Datasının korunması
- Saklanılan kart datasının korunması
- Public networklerde kart datasının şifrelenmesi
- Açıklık Yönetimi Programının oluşturulması
- Antivirus programı kullanılması ve güncel tutulması
- Sistem ve uygulamaların güvenli geliştirilmesi ve işletilmesi
- Kontrollü erişim sağlanması
- Kart Datasına erişimin kısıtlanması
- Kullanıcı tekilliğinin sağlanması
- Kart datasına fiziksel erişimin kısıtlanması
- Sistemleri izlenmesi ve test edilmesi
- Kart datasına erişimlerin izlenmesi ve monitör edilmesi
- Sistem ve süreçlerin düzenli gözden geçirilmesi ve test edilmesi
- Bilgi Güvenliği Politikası İşletilmesi
- Tüm Personel için uygulanacak Bilgi Güvenliği politikası işletilmesi
Bu domainlerle ilgili detay bilgileri sonraki hazırlık yazılarında bulabilirsiniz.
0 comments:
Post a Comment