PCI-DSS Güvenlik Sertifikası
Teknoloji ve dijital alandaki gelişmeler online ticaret alanında sınırsız imkanlar sunmuş ve e-ticaret işi bu çerçevede son 10 yıldır her sene katlanarak büyümüştür. Kendi evinde açtığı firma ile pazar yerinden satış yapanlardan tutun da günde yüzbinlerce sipariş alan firmalara kadar birçok oluşum meydana gelmiştir.
Çeşitliliğin artması ile tüketiciler için de online sitelerden ürün almak hiç bu kadar kolay hızlı ve çeşitli olmamıştı.
Bu kadar çok müşterinin alışveriş yaptığı e-ticaret sektöründe kredi kartı ile yapılan ödemeler önemli bir yer tutmaktadır. Kredi kartlarının sitelerde kullanılması ve alışveriş ödemelerinin sitelerin kendi yazılımlarından gerçekleştirilmesi de veri açıkları ve kart bilgilerinin sızması gibi tehlikeler meydana getirmektedir.
2017 yılında yapılan bir çalışmaya göre ele geçirilen her kredi kartı bilgisinin, işletmeye ortalama 172 USD maliyet oluştuğu hesaplanmıştır.
PCI DSS (Payment Card Industry – Data Security Standard) yani Ödeme Kartları Sektörü Veri Güvenliği Standartları, kredi kartları ile ilgili işlemleri güvenliği ve kart bilgileri saklama standartlarını düzenleyen bir kurumdur.
Size bu makalede Türkiye’de ilk defa Projesoft’un aldığı PCI DSS Sertifikası ile ilgili aşağıdaki konularla ilgili bilgileri aktaracağız:
- PCI DSS için temel gereksinimler
- PCI Uyumlu bir e-ticaret sitesinin size olan katkısı
- PCI DSS uyumsuz olan sitelerin karşı karşıya kaldıkları riskler
- PCI DSS uyumluluk seviyeleri ve ne anlama geldikleri
- Karşılaştırmalı PCI DSS kontrol listeleri
PCI DSS Uyumluluğu Nedir?
PCI DSS kredi kartı işlemleri yapan, kart bilgilerini kaydeden veya banka / ödeme kuruluşlarına bu bilgileri transfer eden firmaların uyması gereken kurallar bütünüdür. PCI DSS en etkin olarak kullanıldığı alan e-ticaret siteleridir. Burada Amaç siteden alışveriş yapacak kullanıcılar için ve site sahibi işletmeler için güvenli ortamları oluşturmaktır.
PCI Güvenlik standartları kurulu 2006 yılında Visa, Master, JCB International, Discover ve American Express tarafından e-ticaret PCI uyumluluğunu denetlemek için kurulmuştur.
PCI uyumluluğu da e-ticaret yapan her firma için zorunlu olarak belirlenmiştir. Doğrudan yukarıdaki marka sahipleri ile değil fakat entegratörler (Türkiye’de İyzico, PayTR, ipara vb.) ile işlem yapan, kısacası kredi kartı ile işlem yapan her firma için zorunludur.
E-Ticaret için PCI Uyumluluğunun Önemi nedir?
E-Ticaret sektörü kolay ve hızlı kazanç peşinde olan bilgisayar korsanlarının (hacker) kredi kartları gibi hassas bilgileri ele geçirmek için en çok saldırdığı sektördür. Trustwave tarafından yapılan araştırmada e-ticaret sitelerinin trafiğinin %4’ü korsanlar tarafından oluşturulan ve güvenlik açıklarını tarayan trafik olduğu gözlemlenmiştir. Ayrıca aynı firma tarafından yapılan araştırmada bu veri kayıplarınının %90’ının KOBİ’lerin başına geldiği görülmüştür (%45 Perakende, %24 Gıda ve Restoran). Meydana gelen veri kaybı sonucu ortalama olarak firmalar işi çözene kadar 36000 USD zarar etmektedirler.
Ponemon tarafından yapılan araştırma göstermiştir ki, düşük güvenlikli sitelerden alışveriş yapan firma müşterilerinin %57’si firmaya olan güvenini kaybetmektedir, %31’i bir daha o firmadan hiç alışveriş yapmamaktadır ve veri kaybına uğrayan firmaların %75’i bu olaydan ciddi zararla çıkmaktadır.
Internet saldırılarının ve saldırı çeşitlerinin her geçen gün çoğaldığı günümüzde, PCI uyumlu bir sitenin önemi artmaktadır. Experian tarafından yapılan araştırmalar göstermiştir ki yeterli güvenlik önlemi olmayan siteler ödeme sayfasında %27 müşteri kaybına uğramaktadır.
Günümüzdeki saldırı çeşitleri ve sıklıkları:
Temel olarak bakıldığında korsanlar ya direkt olarak sitenize girilen kredi kartı bilgilerini almakta yada müşterinin kredi kartı girmesi için onları başka sitelere yönlendirerek oraya girilen bilgileri almaktadır. Bu da özellikle KOBİ’ler tarafından kurulan sitelerin neden daha çok risk altında olduğunu daha iyi göstermektedir.
PCI uyumlu bir siteden yapılan alışverişte ise e-ticaret siteleri endüstrinin belirlediği son standartları kullandıkları için müşteri bilgileri çok daha güvenli standartlarda alınmakta, tutulmakta ve diğer entegratör firmalara gönderilmektedir.
PCI DSS Uyumsuz Olmanın Riskleri ve Cezaları
İnternet vasıtasıyla ödeme alan her firma ve kuruluşun PCI kurallarına uyması bir zorunluluktur.
Uyumsuz olan firmaların karşı karşıya kaldıkları riskler ise :
- Forensic soruşturma yapma zorunluluğu
- Maddi cezalar
- Kredi kartı ile satış yapma yasağı
- Müşterilere bilgi verme zorunluluğu
- Yeterlilik için yeniden değerlendirilme
- Kart sahiplerinin zararlarının tazmin edilmesi
- Hukuksal yaptırımlar
PCI DSS Uyumluluk Seviyeleri
PCI DSS uyumluluk seviyeleri 4 ayrı seviyeden oluşmaktadır. En üst seviye olan Level 1 seviyesi en gelişmiş PCI DSS sertifikalandırma seviyesidir ve yerinde denetim, dokümantasyon ve sürekli iyileştirmeyi gerektirir.
PCI DSS Uyumluluk Adımları
E-Ticaret siteleri için PCI DSS süreci karmaşık işlemler gerektirir ve 12 ayrı adımdan oluşmaktadır.
Bu 12 karmaşık adım ise PCI DSS için gerekli olan aşağıdaki temel 6 şartın sağlanması için oluşturulmuştur:
- Güvenli bir bilgisayar ağ yapısı kurup bunun bakımını yapmak
- Kredi kartı bilgilerinin muhafaza edilmesi
- Sistem açıklarını gözleme yapısı oluşturmak ve bunu düzenli olarak yapmak
- Erişim yetkilerinin düzenlenmesi ve güçlü kurallara bağlanması
- Regülasyonların takip edilmesi ve bilgisayar ağlarının test edilmesi
- Güvenlik bilgi politikalarının oluşturulması
Sonuç
Kısaca değinmeye çalıştığımız PCI DSS süreci görüldüğü gibi her gün kendin geliştirilen ve yenileyen bir kurallar bütününden meydana gelmektedir. E-Ticaretin her gün büyüdüğü bir ortamda burada geçen kredi kartı bilgileri için de bilgisayar korsanları yeni yöntemler bulacaklardır. PCI DSS kuralları ile burada amaç ; oluşabilecek veri kayıplarını en az kayıp ile atlatmaktır. PCI DSS bir sonuç değil bir süreçtir ve bu sürecin takip edilmesi ve yönetilmesi de e-ticaret site sahiplerine ve bu sitelerden alışveriş yapan firmalara etkin, güncel ve takip edilebilir bir yönetim sağlamaktadır.
