İçeriğe atla

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS)

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), büyük kart markalarının kredi kartlarını işlemeye yönelik kullanılan bir bilgi güvenliği standardıdır. Bu standart, Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC) tarafından yönetilir ve kart markaları tarafından zorunlu kılınır. PCI DSS, kart sahibi verilerini daha iyi kontrol etmek ve kredi kartı dolandırıcılığını azaltmak amacıyla oluşturulmuştur.[1]

Tarihçe

Öncesinde büyük kart markalarının beş farklı güvenlik programı vardı:

  • Visa'nın Kart Sahibi Bilgi Güvenlik Programı
  • Mastercard'ın Site Veri Koruma Programı
  • American Express'in Veri Güvenliği İşletim Politikası
  • Discover'ın Bilgi Güvenliği ve Uyum Programı
  • JCB'nin Veri Güvenlik Programı

Her programın amacı; tacirlerin kart sahibi verilerini depolarken, işlerken ve iletirken belirli güvenlik seviyelerine uymalarını sağlamak ve kart ihraç edenler için ek bir koruma seviyesi oluşturmaktı. Mevcut standartlar arasındaki uyumluluk sorunlarını ele almak amacıyla, başlıca kredi kartı kuruluşlarının ortak çalışması sonucunda Aralık 2004'te PCI DSS sürüm 1.0 yayınlandı. PCI DSS, dünya çapında uygulanmakta ve takip edilmektedir.

PCI SSC (Ödeme Kartı Sektörü Güvenlik Standartları Konseyi) daha sonra kuruldu ve bu şirketler politikalarını PCI DSS oluşturacak şekilde hizaladı. MasterCard, American Express, Visa, JCB International ve Discover Financial Services, Eylül 2006'da PCI SSC'yi idari ve yönetsel bir varlık olarak kurdular ve PCI DSS'nin evrimini ve gelişimini zorunlu kıldılar. Bağımsız özel kuruluşlar, kayıt olduktan sonra PCI geliştirme sürecine katılabilirler. Her katılımcı kuruluş, bir SIG'ye (Özel İlgi Grubu) katılır ve grup tarafından belirlenen faaliyetlere katkıda bulunur. PCI DSS'nin yayınlanmış sürümleri şunlardır:[2][3]

Sürüm Tarih Notlar
1.0 15 Aralık 2004
1.1 Eylül 2006 Açıklamalar ve küçük revizyonlar yapıldı
1.2 Ekim 2008 Netlik artırıldı, esneklik iyileştirildi ve gelişen riskler ve tehditler ele alındı
1.2.1 Temmuz 2009 Standartlar ve destekleyici belgeler arasında daha fazla netlik ve tutarlılık sağlamak için küçük düzeltmeler yapıldı
2.0 Ekim 2010
3.0 Kasım 2013 1 Ocak 2014'ten, 30 Haziran 2015'e kadar aktif idi
3.1 Nisan 2015 31 Ekim 2016'dan itibaren kullanım dışı olmuştur
3.2 Nisan 2016 31 Aralık 2018'den itibaren kullanım dışı olmuştur
3.2.1 Mayıs 2018 31 Mart 2024'ten itibaren kullanım dışı olmuştur
4.0[4][5]Mart 2022 Güvenlik duvarı terminolojisinin güncellendi, Çok Faktörlü Kimlik Doğrulama (MFA) uygulaması kullanıldı, güvenliği göstermek için esneklik artırıldı ve risk analizleri ile risk maruziyeti belirlendi

Gereksinimler

PCI DSS, altı ilgili grupta düzenlenmiş on iki uyum gereksinimine sahiptir:

  1. Güvenli bir ağ ve sistemler inşa edin ve koruyun
  2. Kart sahibi verilerini koruyun
  3. Bir güvenlik açığı yönetim programı sürdürün
  4. Güçlü erişim kontrol önlemleri uygulayın
  5. Ağları düzenli olarak izleyin ve test edin
  6. Bir bilgi güvenliği politikası sürdürün

Her PCI DSS sürümü, bu altı gereksinim grubunu farklı şekilde parçalara bölümüştür. Ancak on iki gereksinim standardın başlangıcından bu yana değişmemiştir. Her gereksinim ve alt gereksinim üç bölüme ayrılır:

  • PCI DSS gereksinimleri: Gereksinimi tanımlar. Gereksinim uygulandığında PCI DSS onayı yapılır.
  • Test: Uygulamanın doğruluğunu teyit etmek için denetçinin gerçekleştirdiği süreçler ve metodolojiler.
  • Rehberlik: Gereksinimin amacını ve ilgili içeriği açıklar, bu da gereksinimin doğru tanımlanmasına yardımcı olabilir.

Raporlama Seviyeleri

PCI DSS standartlarına tabi olan şirketler, yıllık işlem sayısına ve işlem işleme yöntemine göre PCI uyumlu olmalı ve uyumluluklarını kanıtlamalıdırlar. Bir alıcı veya ödeme markası, takdir yetkisini kullanarak bir kuruluşu bir raporlama seviyesine yerleştirebilir. Tacir seviyeleri şunlardır:[6]

  • Seviye 1 – Yıllık altı milyonun üzerinde işlem
  • Seviye 2 – Yıllık bir ile altı milyon arasında işlem
  • Seviye 3 – 20.000 ile bir milyon arasında işlem ve tüm e-ticaret tacirleri
  • Seviye 4 – Yıllık 20.000'den az işlem

Her kart ihraç eden kuruluş, uyumluluk seviyeleri ve hizmet sağlayıcıları için bir tablo tutar.

Uyum Doğrulaması

Uyum doğrulaması, güvenlik kontrollerinin ve prosedürlerinin PCI DSS'ye uygun olarak uygulanıp uygulanmadığının değerlendirilmesi ve teyit edilmesini içerir. Doğrulama, harici bir varlık tarafından veya kendi kendine değerlendirme ile yıllık olarak gerçekleştirilir.[7]

Uyum Raporu

Bir Uyum Raporu (ROC), PCI Nitelikli Güvenlik Denetçisi (QSA) tarafından gerçekleştirilir ve bir kuruluşun PCI DSS standardına uyumluluğunun bağımsız doğrulamasını sağlamak için tasarlanmıştır. Tamamlanmış bir ROC, iki belgeyle sonuçlanır: Testin detaylı açıklamasıyla doldurulmuş bir ROC Raporlama Şablonu ve ROC'nin tamamlandığını ve genel sonucunu belgeleyen bir Uyumluluk Beyanı (AOC).

Öz Değerlendirme Anketi

PCI DSS Öz Değerlendirme Anketi (SAQ), küçük ve orta ölçekli tacirler ve hizmet sağlayıcıların kendi PCI DSS uyumluluk durumlarını değerlendirmeleri için bir doğrulama aracıdır. Farklı uzunluklarda SAQ türleri vardır ve her biri, varlık türü ve kullanılan ödeme modeli gibi faktörlere göre değişir. Her SAQ sorusunun evet veya hayır cevabı vardır ve herhangi bir "hayır" cevabı, varlığın gelecekteki uygulamasını belirtmesini gerektirir. ROC'larda olduğu gibi, SAQ'ya dayalı bir uyumluluk beyanı (AOC) da tamamlanır.

Güvenlik Denetçileri

PCI Güvenlik Standartları Konseyi, denetim faaliyetlerini yürütmek üzere şirketleri ve bireyleri sertifikalandırmak için bir program sürdürmektedir.

Nitelikli Güvenlik Denetçisi

Nitelikli Güvenlik Denetçisi (QSA), başka bir kuruluşun PCI DSS uyumluluğunu doğrulamak için PCI Güvenlik Standartları Konseyi tarafından sertifikalandırılmış bir kişidir. QSAlar, PCI Güvenlik Standartları Konseyi tarafından da sertifikalandırılmış bir QSA Şirketi tarafından istihdam edilmelidir ve bu şirket tarafından desteklenmelidir.

İç Güvenlik Denetçisi

İç Güvenlik Denetçisi (ISA), sponsorluk yaptığı kuruluş için PCI Güvenlik Standartları Konseyi'nden bir sertifika almış ve kendi kuruluşu için PCI öz değerlendirmelerini yürütebilen bir kişidir. ISA programı, Seviye 2 tacirlerin Mastercard uyumluluk doğrulama gereksinimlerini karşılamalarına yardımcı olmak için tasarlanmıştır. ISA sertifikasyonu, bir bireyin kendi kuruluşunu değerlendirmesini ve PCI DSS uyumluluğu için güvenlik çözümleri ve kontroller önermesini sağlar. ISA'lar, QSAlar ile iş birliği ve katılımda sorumludur.[8]

Uyum ve Uyum Doğrulaması Arasındaki Fark

PCI DSS, kart sahibi verilerini işleyen, depolayan veya ileten tüm varlıklar tarafından uygulanmalıdır; ancak, tüm varlıklar için PCI DSS uyumluluğunun resmi doğrulaması zorunlu değildir. Visa ve Mastercard; tacirler ve hizmet sağlayıcıların PCI DSS'ye göre doğrulanmasını gerektirir. Visa ayrıca nitelikli tacirlerin yıllık PCI DSS doğrulama değerlendirmesini durdurmalarına izin veren bir Teknoloji Yenilik Programı (TIP) sunar. Tacirler, sahtecilik önleme için EMV veya uçtan uca şifreleme gibi alternatif önlemler aldıklarında uygun hale gelirler.

İhraç bankalarının PCI DSS doğrulamasına tabi olmaları gerekmez, ancak hassas verileri PCI DSS uyumlu bir şekilde güvence altına almaları gerekmektedir. Alıcı bankalar, PCI DSS'ye uymalı ve uyumluluklarının bir denetimle doğrulanması gerekmektedir. Bir güvenlik ihlalinde, ihlal anında PCI DSS uyumlu olmayan herhangi bir varlık, kart markalarından veya alıcı bankalardan ek cezalar (örneğin para cezaları) alabilir.[9]

Kaynakça

  1. ^ "PCI Data Security Standard (PCI DSS)". PCI Security Standards Council (İngilizce). 30 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  2. ^ "PCI DSS Versions Over the Years | Version 1.0 - 4.0" (İngilizce). 26 Haziran 2024. Erişim tarihi: 4 Temmuz 2024. 
  3. ^ Inc, Truvantis. "PCI-DSS History and Overview | Truvantis". www.truvantis.com (İngilizce). 10 Aralık 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  4. ^ Goodspeed, Lindsay. "Updated PCI DSS v4.0 Timeline". blog.pcisecuritystandards.org (İngilizce). 26 Mart 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  5. ^ "PCI DSS 4.0 2023'te Neden Gündemimizde Olmalı?". Makale. Beyaznet. 24 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  6. ^ Sistemleri, T.-Soft E.-Ticaret. "PCI DSS Sertifikası Nedir? Nasıl Kullanılır?". Tahsildar Tahsilat Yazılımı. 7 Mayıs 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  7. ^ Ticimax (5 Ağustos 2021). "PCI DSS Nedir? Neden Önemlidir?". www.ticimax.com. 29 Şubat 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  8. ^ "Document Library". PCI Security Standards Council (İngilizce). 30 Haziran 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Temmuz 2024. 
  9. ^ "Difference between PCI compliance and PA-DSS validation". www.ibm.com (İngilizce). Erişim tarihi: 4 Temmuz 2024. 

İlgili Araştırma Makaleleri

Basit Ağ Yönetim Protokolü, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.

<span class="mw-page-title-main">Banknot</span>

Banknot ya da kâğıt para; taşıyana üzerinde yazan miktarın ödenmesi basan kurum tarafından garanti edilen, faiz taşımayan, yasal bir ödeme aracı. İngilizcedeki bank ve note yani banka ve not kavramlarının birleşiminden gelir. Banknotun, altın, gümüş, döviz gibi menkul kıymetlerden teşekkül eden bir karşılığı bulunmayabilir. Eskiyen para tedavülden çekilerek imha edilir.

<span class="mw-page-title-main">Pci-e</span>

PCI Express, resmen PCIe olarak kısaltılmıştır ve kesinlikle PCI-X ile karıştırılmamalıdır. PCI-X, mevcut PCI programlama kavramlarını kullanan bir PCI bağlantı standardıdır fakat bu bağlantıyı full duplex, multi – lane, noktadan noktaya seri fiziksel katman iletişim protokollerini kullanarak çok daha farklı ve süratli bir biçimde gerçekleştirir. PCI Express daha önceleri 3. Jenerasyon I/O için Arapaho veya 3GIO olarak bilinirdi.

<span class="mw-page-title-main">Kamu Sertifikasyon Merkezi</span>

Kamu Sertifikasyon Merkezi, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) bünyesinde 2005 yılında kurulmuştur. Türkiye'nin ikinci elektronik sertifika hizmet sağlayıcısı olan Kamu SM®, 5070 sayılı Elektronik İmza Kanununa uygun olarak kurulmuş ve işletilmektedir.

<span class="mw-page-title-main">Diplomatik Güvenlik Servisi</span> DGS

Diplomatik Güvenlik Servisi,

<span class="mw-page-title-main">Donanımsal güvenlik modülü</span>

Donanımsal Güvenlik Modülleri, güçlü kimlik doğrulama için gerekli sayısal anahtarları koruyup yöneten ve kripto işleme sağlayan fiziksel bir aygıttır. Geleneksel olarak bu modüller takılabilir kart veya bir bilgisayar ya da ağ sunucusuna takılabilen harici bir aygıt şeklindedir.

<span class="mw-page-title-main">Temassız kart</span>

Temassız akıllı kart, temassız 13.56 MHz kimlik bilgisi olan standart kredi kartı boyutundaki bir karttır. Temassız kartlarla, temassız ödeme yapılabilen POS terminal'dan temas olmadan ödeme yapılabilir. Temassız akıllı kartlar, CSN veya UID olarak adlandırılan salt okunur RFID ve yeniden yazılabilir bir akıllı kart mikroçip içerir. MasterCard Contactless, Visa Contactless, ExpressPay, QuickPass, Discover Card, RuPay Contactless

3-D Secure, İnternet'ten yapılan kredi ve banka kartı işlemleri için ek bir güvenlik katmanı olarak tasarlanmış XML tabanlı bir protokoldur. Arcot Systems tarafından geliştirilip, ilk kez Visa tarafından Internet'ten yapılan ödemelerin güvenliğini artırmak amacıyla Verified by Visa adıyla kullanımına başlandı. Protokol üzerindeki servisler Mastercard tarafından MasterCard SecureCode adıyla, JC International tarafından J/Secure adıyla kullanıldı.

Uygulama güvenlik duvarı (İngilizce: Application Firewall), girdi ve çıktıları bir uygulama veya hizmetle denetleyen bir güvenlik duvarı biçimidir . Güvenlik duvarının gerekliliklerini karşılamayan girdi,çıktı ve sistem servis çağrılarını engelleyerek çalışır. OSI Modelindeuygulama katmanı düzeyinde çalışır. OSI katmanı üzerindeki tüm ağ trafiğini uygulama katmanında kontrol etmek için oluşturulmuştur. Belirli bir uygulama olmadan ilgili ağ trafiğini kontrol edemeyen durumlu ağ güvenlik duvarının aksine, uygulamaları veya hizmetleri kontrol edebilir. Uygulama güvenlik duvarları, ağ tabanlı uygulama güvenlik duvarları ve bilgisayar tabanlı uygulama güvenlik duvarları olmak üzere ikiye ayrılır.

Dijital cüzdan bir çevrimiçi cüzdan, çevrimiçi hizmet sağlayıcı veya bilgisayar programıdır. Bir kişinin elektronik işlem yapmasına izin veren bir elektronik cihaz anlamına gelir. Bir tarafın diğer tarafla mal ve hizmetler için dijital para birimi takası yaparak elektronik işlemler yapmasına izin verir. Bir kişinin banka hesabı da dijital cüzdanla bağlantılı olabilir. Ayrıca, sürücü belgesi, sağlık kartı, sadakat kartı ve diğer kimlik belgelerini telefonda saklayabilirler. Kimlik bilgileri, yakın alan iletişimi (NFC) aracılığıyla bir tüccarın terminaline kablosuz olarak aktarılabilir. Giderek, dijital cüzdanlar yalnızca temel finansal işlemler için değil, sahibinin kimlik bilgilerini doğrulamak için de yapılmaktadır. Örneğin, bir dijital cüzdan, potansiyel olarak alkol satın alırken mağazanın yaşını doğrulayabilir. Sistem, dijital cüzdanların "cüzdan mobilleri" olarak bilindiği Japonya'da zaten popülaritesini kazanmıştır.

Bir web uygulama güvenlik duvarı, bir web uygulamasına giden ve uygulamadan gelen tüm HTTP trafiğini filtreler, inceler ve bloklar. Bir WAF ürününün normal bir güvenlik duvarından farkı, sıradan güvenlik duvarları sunucular arasında bir güvenlik geçidi olarak hizmet verirken, WAF ürününün istediği web uygulamasına ait içeriği filtreleyebilmesidir. HTTP trafiğini inceleyerek, SQL Enjeksiyonu, Siteler Arası Betik Çalıştırma (XSS) ve güvenlik yanlış yapılandırmaları gibi güvenlik zafiyetlerinden kaynaklanan saldırıları engelleyebilmektedir.

Veritabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir ve veri tabanlarınının(imkân dahilinde verileri, veritabanı uygulamalarını veya kayıt edilmiş işlevleri, veri tabanı sistemlerini, veritabanı sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel gibi çeşitli türde ve kategoride kontroller veritabanı güvenliği kapsamı içerisine girer. bilgisayar güvenliği, bilgi güvenliği ve risk yönetimi alanları içerisinde, veritabanı güvenliği uzmanlık gerektiren bir konudur.

Ana kart emulatörü (İngilizce: Host card emulation veya HCE), yalnızca çeşitli yazılımları kullanarak çeşitli elektronik kimliğin kartların tam sanal olarak temsil edilmesini sağlayan yazılım mimarisi. HCE mimarisi öncesinde, NFC işlemleri çoğunlukla güvenli öğeler kullanılarak gerçekleştirildi.

<span class="mw-page-title-main">Akıllı kart</span>

Akıllı kart, çipli kart veya tümleşik devre kartı (ICC), entegre devreler içeren herhangi bir mikroçip boyutunda karttır. Akıllı kartlar plastikten, genellikle polivinil klorürden, ancak bazen de polietilen tereftalat bazlı polyesterler, akrilonitril bütadien stiren veya polikarbonattan yapılır. Nisan 2009'dan bu yana, bir Japon şirketi, kâğıttan yapılmış yeniden kullanılabilir finansal akıllı kartlar üretti.

<span class="mw-page-title-main">TROY</span> ödeme şeması

TROY, Bankalararası Kart Merkezi tarafından 2015'te kurulan ve işletilen bir kartlı ödeme sistemidir. Türkiye'nin ilk ve tek yerli ödeme sistemidir. Kredi kartı, banka kartı ve ön ödemeli kart hizmeti sunmaktadır. TROY'un açılımı "Türkiye’nin Ödeme Yöntemi"dir. Bu yerli ödeme sistemi, bankalar ve işletmeler arası para akışını sağlayan elektronik bankacılık yöntemi olarak kullanılır.

<span class="mw-page-title-main">Denetim</span>

Bağımsız denetim, herhangi bir işletmenin finansal bilgilerinin, kitaplarının, menkul kıymet hesaplarının, yasal kayıtlarının, belgelerinin ve kuponlarının sistematik ve bağımsız bir incelemesidir. Bir finansal tablo açıklamasının yanı sıra finansal olmayan açıklamaların doğru ve net bir şekilde ortaya çıktığını tespit eder. Ayrıca, hesap kitaplarının yasaların gerektirdiği bir şekilde muhafaza edilmesini sağlamaya çalışır. Denetim, kamu sektöründe ve her yerde böyle bir fenomen haline geldi. Denetçi inceleme için önlerinde bulunan önerileri algılar ve tanır, kanıtlar alır, aynısını değerlendirir ve denetim raporuyla iletilen kararına dayanarak bir görüş oluşturur.

Bilgisayar güvenliğinde genel erişim denetimi; tanımlama, yetkilendirme, kimlik doğrulama, erişim onayı ve kimlik denetimini içerir. Erişim kontrolünün daha dar bir tanımı, sadece erişim onayını kapsar. Erişim onayı yapısında sistem; nesnenin erişim yetkisine bağlı olarak, zaten kimliği doğrulanmış bir nesneden erişim isteği verme veya erişim isteğini reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir; böylece erişim, başarılı kimlik doğrulamasına veya anonim erişim belirtecine(jetonuna) dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri arasında parolalar, biyometrik taramalar, fiziksel anahtarlar, elektronik anahtarlar ve aygıtlar, gizli yollar, sosyal engeller, insanlar ve otomatik sistemler tarafından izleme bulunur.

<span class="mw-page-title-main">AnkaraKart</span> Toplu taşımada kullanılan akıllı kart

AnkaraKart, Ankara Büyükşehir Belediyesi sınırları içerisinde, toplu taşıma araçlarında kullanılan şehir içi akıllı karttır. Kartlar Mayıs 2024'te yenilenmiştir.

Açık Web Uygulama Güvenliği Projesi (OWASP), web uygulama güvenliği alanında ücretsiz olarak kullanılabilen makaleler, metodolojiler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluktur.

<span class="mw-page-title-main">Yakınlık kartı</span> temassız akıllı kart

Anahtar kartı olarak da bilinen yakınlık kartı kredi kartı ve kontak tipi akıllı kartlar gibi daha önceki manyetik şeritli kart’ların gerektirdiği gibi bir okuyucu cihazına yerleştirilmeden okunabilen temassız akıllı kart’tır. Yakınlık kartları temassız kart teknolojilerinin parçasıdır. Bir süre elektronik okuyucunun yakınında tutularak kodlanmış bir numaranın tanımlanmasına olanak sağlarlar. Okuyucu genellikle kartın okunduğunu belirtmek için bir bip sesi veya başka bir ses çıkarır.