Bu konuyu tek blog yazısında ele alacağım,bu yüzden uzuun bir yazı olacak (tamamlanması da uzun sürebilir,fırsat buldukça yazabiliyorum) ama yazının sonuna gelip de başınızı kaldırdığınızda PCI DSS nedir,ne değildir,kimi bağlar,uyumlu olmak için yapılması gerekenler nelerdir gibi sorularınızın yanıt bulduğunu göreceksiniz.
PCI (Payment Card Industry) aslında Ödeme Kartları Endüstrisi demek ama bu terim genellikle PCI Security Standards Council (PCI SSC) denen ve sektördeki 5 dünya devinin (Visa, MasterCard, American Express, Discover,JCB) üyeliğiyle - "yaw kart sahtekarlıkları aldı başını gidiyor,önüne gelen kredi kartıyla ödeme kabul ediyor sonra canımız ciğerimiz müşterilerimizin bilgileri çalınıyor kartları kopyalanıyor.Böyle giderse kimse kart kullanmaz, müşterilerimizden ve paracıklarımızdan oluruz" gibi kaygılarla - 2006 yılında oluşturulmuş konseyi ifade ediyor.
Konseyin yegane amacı ödeme kartlarıyla yapılan işlemleri güvenli hale getirecek standartları belirlemek. PCI-DSS (Data Security Standard) kartlı ödeme kabul eden,kart dağıtan kuruluşları, PA-DSS (Payment Application Data Security Standard) kartlı ödeme sistemlerinde kullanılan yazılımların geliştiricilerini, PTS (PIN Transaction Security) ise kartlı ödeme sistemlerinde kullanılan POS terminali, HSM, SCR gibi modüllerin üreticilerini ilgilendiren standartlar. Tüm standartların amacı aynı, kart sahibi ve kart bilgilerini korumak.PCI uyumluluğu konusunda hizmet verdiğini iddia eden güzel ülkemin bazı firmaları standardın sadece kredi kartlarını ilgilendirdiğinden bahseder, yanılmayın.
PCI DSS standardında türkçe karşılıklarını bulmakta zorlandığım ve kartlı ödeme sistemlerinin aktörlerini ifade eden bir takım terimler var.Bu terimleri , hazırlamak için epey uğraştığım aşağıdaki şekil üzerinden anlatmaya çalışayım. Şekil en basit haliyle kartlı ödeme akışını gösteriyor.
Kart Sahibi (Card Holder) : Elinde,cebinde ya da cüzdanında en az bir adet debit,kredi kartı ya da nakit kart (prepaid) bulunan ve bu kartı kullanarak alışveriş yapma niyetinde olan kişi
Üye İşyeri (Merchant) : Kasasında dizili envai çeşit POS cihazıyla kartlı müşteriye kartlı ödeme karşılığı birşeyler satma çabasında olan işletme. Mahallenizin bakkalı ya da süper marketi,süpermarketler zinciri,kasabı, lokantası da olabilir.Yeterki kartla ödeme kabul etsin, bu noktadan sonra bu işletme bizim için üye işyeridir.
Üye İşyeri Bankası ( Acquirer ) : "Bak Ahmet bey kardeşim,devir değişti, devir kartla ödeme yapma devri, kimse artık cebinde nakit taşımıyor. Hal böyle olunca da harcamasını kartla ödeme yapabileceği yerlerde yapıyor.Sana bizim bankanın POS terminalini verelim, cırt cırt çekersin kartları satışın artar, hem de cüzi bir komisyonla" şeklinde işletmecinin kanına giren ve işletmeciyi bankanın kartlı ödeme sistemine dahil eden banka ya da finansal kuruluş.Yurtdışında bu rolü bankalardan farklı finans kuruluşları yerine getirebiliyor ama ülkemizde durum farklı, kartı veren de işletmeciyi ağına dahil etmeye çalışan da aynı.
Kart Sahibi Banka ( Issuer ) : Visa-MasterCard gibi markalarca kart basma ve dağıtma yetkisi ile müşterilerine ödeme kartları veren dağıtan bankalar.
Servis Sağlayıcı ve Kartlı Sistem Kuruluşları : Bunlar da telekom gibi altyapı iletişimi dışında kart bilgilerine erişip işleyebilen kuruluşlar. Türkiye'de sadece BKM (Bankalararası Kart Merkezi ) kartlı sistem kuruluşu olarak hizmet veriyor. BKM'nin tanıdığı hizmet sağlayıcılar da var tabi.
Kartlı ödeme sistemlerinin aktörlerini tanıdıktan sonra biraz da akıştan bahsedelim.
Senaryo : Kartla ödemesi yapılan market alışverişi
Alışveriş arabanızı ya da sepetinizi doldurduktan sonra kasaya ilerlediniz (siz kart sahibisiniz) , dıt-dıt sesleri arasında kendinizden geçmek üzereyken sıranın size geldiğini farkettiniz.Kasiyer kızımız aldıklarınızı birer birer kasadan geçirdi (kasiyer kızımız ya da genel olarak market üye işyeri yani merchant) ,bir gözünüz kasanın ekranında.Bir yandan hışımla alınanları poşetlere yerleştirmeye çalışırken diğer yandan da cüzdanınızdan debit ya da kredi kartınızı almaya uğraşıyorsunuz,sırada bekleyen sizden sonrakilerin aceleci bakışları arasında. Kartınızı kasiyere uzattınız,kızımız kartı POS terminaline taktı,tutarı tuşladı,terminal sizden PIN'inizi girmenizi bekliyor.PIN numaranızı tuşladınız Giriş tuşuna bastınız provizyon için bekliyorsunuz. Filmi burada durdurun çünkü burası önemli. Kasiyer kızımızın kartınızı okuttuğu POS terminali ödemeyi yapacağınız kartı veren bankanın ( Kart sahibi banka yani Issuer) ise terminal kart bilgilerinizi direkt olarak bankanıza iletir ve hesabınızın/kartınızın uygunluğuyla ilgili provizyonu da bankanızdan alır. POS terminali ödemeyi yapacağınız kartı veren bankadan farklı bir bankanın (Üye İşyeri Bankası yani Acuirer) POS terminali ise o zaman devreye BKM de girer. BKM kararlaştırılan takas oranını uygulayarak kartınızın farklı bankaların POS terminalleriyle kullanımına imkan tanır ve kart / hesap bilgileri BKM altyapısı üzerinden Üye İşyeri Bankası ( Acquirer) ile Kart Sahibi Bankası (issuer ) arasında gidip gelir. BKM nin tek gelir kapısı farklı banka kartlarıyla yapılan ödeme işlemlerinde uygulunan takas oranıdır. Filme kaldığımız yerden devam edelim. PIN numaranızı tuşladıktan sonra hesap bakiyeniz yeterliyse, kartınız çalıntı değilse, kullanma tarihi geçmediyse yani olumsuz bir durum yoksa harcamanız kartı aldığınız bankanızda hesabınızdan düşer. Siz de elinizde poşetler, mutlu-mesut, marketin kart bilgilerini kendi müşteri sistemlerinde - müşterinin bilgisi ve rızası dışında yasak olmasına rağmen - saklayabileceğinden habersiz evinizin yolunu tutarsınız.
Konuyla ilgili ülkemizde verilebilecek en iyi örnek GİMA örneği.Benim de eski patronum Hüsnü Özyeğin Gima'yı 2005 yılında elden çıkardı, Sabancı grubuna sattı , 2006 yılında ise GİMA müşterilerinin kart bilgilerinin çalındığı haberi patlak verdi. Binlerce kişinin kart bilgileri çalındı ya da kopyalandı ve 200'e yakın kartın çete tarafından kullanıldığı söylendi. Yanlış hatırlamıyorsam inceleme (forensics) için İsrail'den bir ekip getirtilmişti. GİMA bir üye işyeri yani merchant ve müşteri kart bilgilerini her ne sebeple olursa olsun kendi bilgisayar sistemlerinde saklaması yasak ( kart bilgileri işlenebilir ama asla saklanmamalı) olması gerekirken bir çok müşterisini mağdur etti.
Bir standardı okumadan,anlamadan uygulamadan önce standardın neden var olduğunu bilmek lazım,şimdiye kadar anlatılanlar sanıyorum bunun için yeterli.
1.2 versiyondaki belirsizlikleri gidermek ve iyileştirme adına 2010 yılında 2. versiyonu yayınlanan güncel PCI DSS standardı 6 hedef ve bu hedeflere ulaşmada kullanılacak 12 gereksinim sunuyor.
| Hedef | Gereklilik |
| Güvenli bir ağ oluşturma | Kart sahibi bilgilerini korumak ve bilgilere yetkisiz erişimi engellemek için firewall kullanın.Firewall ve router konfigürasyonu için konfigürasyon standartları belirleyin ve kullanın.Kart sahibi verilerine erişimi gösteren şemalar hazırlayın,güncel tutun.En az 6 ayda bir firewall ve router kural setlerini gözden geçirin.İnternet erişimi olan personel bilgisayarlarında da firewall'un kurulu ve etkin olduğundan emin olun. |
| Parola ve güvenlik ayarları olarak üretici tarafından belirlenmiş varsayılan değerleri değiştirin.Tüm sistem bileşenleri için konfigürasyon standartları belirleyin ve uygulayın.Konsol erişimleri dışındaki yönetim arayüzü erişimlerinizi şifrelenmiş bağlantılar üzerinden gerçekleştirin. |
İkinci hedef ve gereksinimlerinden bahsetmeden önce kart sahibi bilgisi/verisi nedir biraz bunlardan bahsedelim. Kart sahibi bilgisi, ödeme kartı üzerine basılı ya da üzerinde ( çipte ya da manyetik şeritte) saklanan Hesap Numarası (Primary Account Number), Kart sahibi Adı-Soyadı, Son kullanma tarihi, PIN numarası (şifreniz), Güvenlik Kodu (CAV2,CVC2,CVV2,CID) bilgileridir. Bu bilgilerden bazıları kart sahibini tanımlanması, bazıları da doğrulanması (Authentication) için kullanılır. Doğrulama için kullanılan bilgiler PCI DSS standardına göre hiçbir surette saklanamaz ( 3.2 Gereksinimi), tanımlama bilgileri ise saklanabilir ancak 3.4 gereksinimi doğrultusunda PAN numarası anlaşılmayacak şekilde şifrelenerek saklanmalıdır, öyle ki bu bilgi yetkisiz kişilerin eline olur da geçerse hiç bir anlam ifade etmesin. (bakınız tablo 2)
Tablo 2
Bu bilgilerden en kritiği PAN yani hesap numarası, PAN bir yerde depolanıyor,iletiliyor ya da işleniyorsa orda PCI DSS gereksinimleri geçerlidir.
| Kart sahibi bilgilerinin korunması | Depolanan kart sahibi bilgilerini koruyun.Hatırlarsanız PCI DSS sadece tanımlayıcı bilgileri saklamaya izin veriyor.Eğer bu bilgileri depoluyorsanız depolama/saklama süresini en aza indirgeyin.İhtiyacınız yoksa bu bilgileri saklamayın,işiniz bittiğinde de güvenli silme yöntemlerini kullanarak bu verilerden kurtulun.Güvensiz iletim ve gösterim ortamlarında PAN numarasının bir kısmını maskeleyin ( ilk 6 rakam ve son 4 rakamdan fazlasını göstermeyin). PAN numarasını şifrelenmiş ya da karmaşıklaştırılmış haliyle loglarınızda, yedekleme birimlerinizde saklayın. Kart bilgilerini şifrelemede kullandığınız anahtarları koruyun ve bu anahtarlara erişimi kısıtlayın.Şifreleme anahtarlarının yönetim ve kullanım süreçlerini dökümante edin. |
| Genele açık ağlarda kart sahibi bilgilerinin iletimini şifreleyin. İnternet, kablosuz ağ, GSM ağları gibi halka açık ve salgırganların yaygınlıkla bulunabileceği ortamlarda kart sahibi bilgilerinin iletimi için SSL/TSL,IPSec,SSH gibi güvenli protokoller kullanın. Kablosuz ağlarda WPA2 güvenlik protokolünü kullanın, 2010 yılı itibariyle WEP kullanımı yasaklandı. PAN numarasını açık haliyle e-mail,chat, posta gibi yollarla asla göndermeyin. Bu bilginin açık haliyle gönderimini politikalarınızla engelleyin. | |
| Zaafiyet yönetim programı oluşturma | Antivirüs uygulamaları kullanın ve düzenli olarak güncelleyin. Özellikle kişisel bilgisayarlara ve sunuculara antivirüs uygulaması kurun. Tüm antivirüs uygulamalarının güncel olarak çalıştığından, düzenli taramalar yaptığından ve denetim izleri oluşturduğundan emin olun. |
| Güvenli sistemler ve uygulamalar geliştirin, uygulayın. Tüm altyapı bileşenlerine en son güvenlik yamalarını uygulayın. Yeni tespit edilen zaafiyetler için risk derecelendirmesi yapın. İç ve dış yazılım geliştirme süreçlerinde güvenli yazılım geliştirme metodolojileri uygulayın. Değişiklik kontrol süreç ve prosedürleri hazırlayın. En az yılda bir kere genele açık web uygulamaların kodlarını gözden geçirin veya bu uygulamalrın önünde WAF (web application firewall - web uygulaması güvenlik duvarı ) konumlandırın. | |
| Güçlü erişim kontrol önlemleri alma | Kart sahibi bilgilerine erişimi iş gereksinimlerine göre kısıtlayın. Kart sahibi bilgilerine ve sistem bileşenlerine erişim iznini sadece işi gereği bu erişime ihtiyacı olana, işine sürdürebilmesi için gerekli en az seviyede bilgiye erişebilecek şekilde verin. |
| Bilgisayar erişimleri için herkese ayrı ve farklı kullanıcı kimlikleri tayın. Sistem bileşenlerine ve kart sahibi bilgilerine erişim izni olan herkese birbirinden farklı, ayırt edici kullanıcı hesapları tanımlayın. Kullanıcı kimliğinin doğrulanması için parola,akıllı kart, parmak izi gibi önlemlerden en az birini kullanın. Sisteme ve bilgilere uzaktan erişimde iki etmenli kimlik doğrulama kullanın. Erişim için kullanılan parolaların şifreli saklandığından ve iletildiğinden emin olun. | |
| Kart sahibi bilgilerine fiziksel erişimi kısıtlayın. Altyapı ve sistem bileşenlerine fiziksel erişimi kısıtlandırın ve gözlemleyin. Kart sahibi bilgilerinin işlendiği veya saklandığı alanlara giren ziyaretçiler ( firma çalışanları veya misafirler ), normal personelden ayırt edilebilmeli ve giriş çıkışları mutlaka yetkilendirilmelidir. Zaman aşımlı kart veya anahtarlarla birlikte giriş çıkışlarını fiziksel olarak da kayıt altına alın. Kart sahibi bilgilerinin bulunduğu depolama ve yedekleme ekipmanların fiziksel güvenliğini sağlayın, bu ekipmanları sınıflandırın. Kullanılmasına veya bulunmasına ihtiyaç olmayan ekipmanları imha edin. | |
| Ağın düzenli olarak izlenmesi ve test edilmesi | Kartlı sistem altyapısını oluşturan ağa ve kart sahibi bilgilerine erişimi takip edin ve izleyin. Her türlü erişimin -erişen kişi,tarih ve saat, erişimin başarılı olup olmadığı ve erişimden etkilenen veri gibi bilgilerle- kayıt altına alınmasını sağlayacak ortak bir saat kaynağına göre senkronize olmuş otomatik denetim izleri oluşturma mekanizmaları kurun. Denetim izlerinin güvenliğini sağlayın. Denetim izlerini en az 1 yıl süreyle saklayın. |
| Güvenlik sistem ve süreçlerini düzenli olarak test edin. Kablosuz erişim noktalarının varlığını en az 3 ayda bir denetleyin. En az 4 ayda bir iç ve dış ağ zaafiyet taramaları ( Approved Scanning Vendor AVS tarafından) yaptırın. En az yılda bir kere iç ve dış sızma testleri yaptırın. IPS ve IDS sistemleri kullanın. Kritik konfigürasyon ve sistem dosyalarının yetki ve bilgi dahili dışında değiştirilmesi halinde personeli bundan haberdar edecek dosya bütünlüğü sağlayıcı çözümler kullanın. | |
| Bilgi Güvenliği Politikası kullanımı | Tüm personel için bilgi güvenliğini belirleyen bir politika oluşturun. PCI DSS gereksinimlerini belirleyen güvenlik politikası ve prosedürleri hazırlayın ve en az yılda bir kere gözden geçirin. Politika ve prosedürlerin tüm personelin bilgi güvenliği sorumluluklarını açık olarak tanımladığından emin olun. Bir ekibe ya da bireye güvenlik bildirilerini izleme, dokümantasyon hazırlama, kullanıcı hesapları yönetimi, erişim kontrolü ve izleme gibi bilgi güvenliği yönetim sorumlulukları atayın. Tüm personelin, kart sahibi bilgilerinin güvenliğinin önemini kavrayabileceği bilgi güvenliği farklındalık programları hazırlayın. |
Görüldüğü üzere standartta yapılması istenen aslında ödeme kartı bilgileri kullansın,kullanmasın,iletsin iletmesin tüm kurumlarda uygulanması gereken önlemler. Kağıt üzerinde standarda uyum zorunlu olarak gösterilse de hem güzel ülkemde, hem de dünya genelinde yönetim ve güvenlik birimlerinin başındaki SiAyEsOou lar için periyodik yapılan güvenlik taramalarından fazlasını ifade etmiyor. Tablolarından birini yazının başında kullandığım VerizonBusiness raporu da gösteriyor ki veri hırsızlığı olayı yaşayan firmaların %85'e yakınının - ki bu firmalar PCI DSS'e tabi firmalar - olay sonrasında yapılan denetimlerde PCI gereksinimlerini karşılamadığı yani an itibariyle PCI DSS uyumlu olmadığı görülmüş. Bu da gösteriyor ki bir firmanın ya da bankanın PCI DSS'e uyumlu olması, daha doğrusu teknolojik önlemlerinin ve süreçlerinin PCI DSS gereksinimlerini karşılaması o kurumun ya da firmanın veri kaçaklarına karşı %100 korunma altında olması anlamına gelmiyor. PCI SSC bu standartla sektörü hizaya getirmeye çalışıyor aslına bakarsanız.
Konseyi oluşturan her kart markasının ayrı bir uyum programı var
- American Express (www.americanexpress.com/datasecurity)
- Discover Financial Services (www.discovernetwork.com/fraudsecurity/disc.html)
- JCB International (www.jcb-global.com/english/pci/index.html)
- MasterCard Worldwide (www.mastercard.com/sdp)
- Visa Europe (www.visaeurope.com/ais)
Her kart markası üye işyerlerinin sınıflandırılması, QSA'lere hangi durumlarda ihtiyaç olacağı gibi konularda kendi gereksinimlerini bu programlarda belirliyor. Üye işyerlerinin sınıflandırılması 1. seviye,2.seviye,3.seviye .. şeklinde yapılıyor ve genel olarak seviyenin belirlenmesinde kartlı işlem sayısı baz alınıyor. Üye işyerinin (merchant) bulunduğu seviyeye göre değerlendirmenin yerinde yapılıp yapılmayacağı, ASV ( Approved Scanning Vendor) ile ne sıklıkta güvenlik taraması yapılacağı belirleniyor. Üye işyeri bulunduğu seviyenin gereklerini karşıladıktan sonra QSA'in raporunu anlaşmalı olduğu bankaya banka da kart markasına gönderiyor. Genellikle yıllık doldurulan SAQ ( Self-Assessment Questionnaire) nin ve 3 ayda bir yapılan network güvenlik tarama raporunun gönderilmesi yeterli.Aşağıdaki tablo Mastercard'ın sitesinden alıntı ve Mastercard'ın üye işyerlerini nasıl seviyelendirdiğini ve her değerlendirme/tarama konusunda her seviyeden beklentisini gösteriyor.
Standard güzel,kısa anlaşılır ve kolay uygulanabilir ancak standarda uygunluğun zorlanması ya da takibi yetersiz. PCI tarafından onaylanmış tarama ürünlerine, değerlendirme yapma yetkisine sahip firmalara, hatta deperlendirmeyi yapan kişinin PCI tarafından onaylanıp onaylanmadığına kadar her türlü bilgiyi PCI Resmi sitesinden öğrenebilirsiniz.
Konu geniş kapsamlı olduğu için yazı biraz aceleye geldi, QSA lerden ASV lerden ayrıntılı bahsedemedim bu nedenle yazıyı zaman zaman güncelleyeceğim.
Standard güzel,kısa anlaşılır ve kolay uygulanabilir ancak standarda uygunluğun zorlanması ya da takibi yetersiz. PCI tarafından onaylanmış tarama ürünlerine, değerlendirme yapma yetkisine sahip firmalara, hatta deperlendirmeyi yapan kişinin PCI tarafından onaylanıp onaylanmadığına kadar her türlü bilgiyi PCI Resmi sitesinden öğrenebilirsiniz.
Konu geniş kapsamlı olduğu için yazı biraz aceleye geldi, QSA lerden ASV lerden ayrıntılı bahsedemedim bu nedenle yazıyı zaman zaman güncelleyeceğim.
İlgili Yazılarım
BGYS - Nass oluyor da oluyor ? ISO/IEC 27001:2005
BGYS - Nass oluyor da oluyor? Politika,prosedür,klavuz,talimat
BDDK - Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi üzerine
Yazi cok guzel ve aydinlatici olmus, Turkiyede ki pazara baktigimizda QSA ve ASV olarak hizmet veren firmalar cok sinirli olarak gozukuyor ( PCI SSC sitesinde approved QSAs / ASVs kismi) Buna tam tezat olarakta 80 milyon nufusumuz ve cok yuksek kartli odeme sistemi kullanilan bir hacmimiz var. Peki bu kadar sirketin yillik denetimleri nasil birkac firma ile yapilabiliyor? Ya da bankalar uye isyerlerine denetim ile ilgili destek mi veriyor?
YanıtlaSilHazirlanan raporlar PCI SSC'ye gittigi icin ingilizce olmasi gerek diye dusunuyorum, Turkce kabul edilebilebiliyor mu? Yoksa raporlar standart Ingilizce mi?
Yazinizi cok begendim ve cok guzel konuyu ozetledigini dusunuyorum. Ama hala Turk pazarina dair kafamda bu konuyu oturtamadigim icin size bu sorulari soruyorum.
Tesekkurler
ilknur
Merhaba raporlar PCI SSC'ye gitmiyor. Merchantlar, acquirer'ca kabul edilebilecek herhangi bir dilde bu raporu gönderebilir.Teoride merchant bankalar,kendi merchant'larının işlem hacimlerince belirlenmiş kriterlere göre uyumluluğunu kart markasına ( visa,mastercard ) bildirmek ya da kart markasının talep etmesi durumunda tebliğ etmek durumunda. Çalıştığım bankalardan müşterisine bu konuda destek verenini görmedim,işin garibi müşterisinden bu tip rapor talep edeni de görmedim :)) tezatlar, kim kimde dumdumalar memleketi. neredeyse kişi başına bir eticaret sitesi düşüyor. Siz 80 milyonluk bu ülkede yeterince firma var mı diye sormuşsunuz, ben de şöyle cevap vereyim; linkedin de yaptığım basit bir arama 1 milyarlık Çin'de güvenlik uzmanı sıfatıyla çalışan insan sayısının 80 milyonluk ülkemdekinden az olduğunu gösteriyor
YanıtlaSilVerdiginiz cevap icin tesekkur ederim. Ust uste gelen ve artik buyuk sirketlerde bile hali alti edilemeyen bilgi hirsizliklarinin sonucu olarak guvenlik uzmanliginin onumuzdeki yillarda onemini arttiracagini dusunuyorum. En azindan BDDK'nin bu konuda calismasi oldugunu biliyorum. Bakalim onumuzdeki surecte bizleri neler bekliyor.
SilIlknur
Güzel bir yazı emeğinize sağlık, teşekkürler
YanıtlaSil