PCI DSS, Payment Card Industry Data Security Standard ifadesinin kısaltması olup, Türkçe’ye Ödeme Kartları Endüstrisi Veri Güvenliği Standartları olarak geçmiştir. Dünya genelinde kullanılan bu standart sayesinde, kart ödemelerinin güvenli bir şekilde yapılması, sahtecilik ve dolandırıcılık işlemlerine karşı etkin bir koruma sağlanmaktadır. Visa, Master Card, American Express ve JCB’nin yer aldığı PCI SSC adı verilen konsey tarafından kurulmuş olan bu sistem teknik ve operasyonel bir sistemdir.
PCI DSS, Ocak 2012 tarihi itibari ile 2.0 versiyonuna geçmiştir. 12 gereksinim ve 6 ana başlık altında aşağıdaki gibi gruplanmaktadır.
Güvenli iletişim ağının oluşturulması ve idamesiyle ilgili gereksinimler
Gereksinim 1
Güvenlik duvarının kurulumu ve idamesi; Kart sahibi ortamların iç ve dış ağlardan ve diğer sistemlerden güvenlik duvarı ve sıkı erişim kuralları ile ayrıştırılması. Güvenlik duvarı ve yönlendiricilerin yönetimi ile ilgili süreçlerin tanımlanarak yazılı hale getirilmesi.
Gereksinim 2
Üretici tarafından belirlenmiş ön tanımlı kullanıcı kodu/parolaların ve güvenlik parametrelerinin kullanılmaması; Tüm sistemlerin kurulum ve yapılandırma süreç ve standartlarının endüstri standartlarına uygun olarak belirlenmesi, uygulanması ve yazılı hale getirilmesi.
Kart sahibi bilgilerinin/verilerinin korunmasıyla ilgili gereksinimler
Gereksinim 3
Depolanan bilginin korunması; kart sahibi bilgilerinin güvenli olarak işlenmesi, saklanması ve yok edilmesiyle ilgili süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Hassas verilerin doğrulama sonrasında hiçbir şekilde sistemlerde saklanmaması. 16 haneli kart numarasının yetkilendirilmiş kişiler dışında tam olarak okunamaması ve okunamaz formatta saklanması. Kart sahibi verilerinin kriptolu olarak saklandığı durumlarda anahtar yönetimi süreçlerinin belirlenerek yazılı hale getirilmesi.
Gereksinim 4
Paylaşılan ve açık ağlarda, kart sahibinin bilgilerinin şifrelenerek gönderilmesi; Kart sahibi verilerinin genel ağlar (internet) üzerinden güvenli şekilde iletilmesi için süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Son kullanıcı mesajlaşma programlarıyla şifresiz kart sahibi verilerinin iletilmesinin engellenmesi.
Zafiyet Yönetimi Programının kurulmasıyla ilgili gereksinimler
Gereksinim 5
Anti-virüs yazılımın kullanılması ve sürekli güncellenmesi; Anti-virüs yazılımlarının kurulabileceği tüm sistemler üzerine kurulması, otomatik güncelleme, ayarlanmış tarama, merkezi yönetim yapılması ve kayıtların bir yıl süreyle saklanması.
Gereksinim 6
Güvenli sistem ve uygulamaların geliştirilmesi ve bakımı; Sistem ve uygulamaların yama yönetim, değişiklik yönetim süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Tüm uygulamalar için geliştirme, test ve değişiklik süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Uygulama ve değişiklikler üzerinde kod analizi yapılması. Web tabanlı uygulamalarda OWASP’a uygun geliştirme ve test süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Internet üzerinden erişilebilen web tabanlı uygulamalara uygulama zafiyet taraması yapılması veya web uygulama firewall ile korunması.
Kuvvetli erişim denetimi önlemlerinin uygulanmasıyla ilgili gereksinimler
Gereksinim 7
Yalnız iş için gerekli olan bilgiye erişim prensibine göre erişimin kısıtlanması (business need-to-know); Kart sahibi bilgisine erişimlerin sadece iş ihtiyacına uygun olarak ve yönetimin imzalı onayıyla verilmesi. Tüm erişimlerin iş gerek ve ihtiyaçları ile sınırlandırılması. Sınırlandırmada otomatik erişim kontrolü yapılması ve özellikle izin verilmeyen tüm erişimlerin yasaklanması.
Gereksinim 8
Her bilgisayar kullanıcısına tek bir kullanıcı ID atanması; Tüm sistemlerdeki kullanıcı hesaplarının yönetim süreçlerinin belirlenmesi, uygulanması ve sorumlulukların yazılı hale getirilmesi. Şifre yönetimi ve erişim yönetimi parametrelerinin uygun şekilde yapılandırılması.
Gereksinim 9
Kart sahibi bilgisine fiziksel erişimin kısıtlanması; Kart sahibi bilgisine fiziksel erişimlerin iş ihtiyaçları ile sınırlandırılması. Kart sahibi bilgisine yapılan fiziksel erişimlerin izlenmesi ve raporlanması. Ziyaretçi yönetim sürecinin belirlenmesi, uygulanması ve yazılı hale getirilmesi.
Düzenli olarak iletişim ağının izlenmesi ve test edilmesiyle ilgili gereksinimler
Gereksinim 10
Ağ kaynaklarına ve kart sahibi bilgisine erişimin takibi ve izlenmesi; Kart sahibi bilgisine yapılan tüm erişim ve sorguların kaydedilmesi. Yapılan erişim ve sorgulardaki kaynak bilgileri ve hangi işlemlerin yapıldığı gibi detayların kaydedilmesi. Sistemler üzerinde gerçekleşen şüpheli işlemleri belirlemek üzere tüm sistem kayıtlarının günlük olarak analiz edilmesi. Tüm kayıtların güvenli ve değiştirilemez olarak 1 yıl süreyle saklanması.
Gereksinim 11
Güvenlik sistemlerin ve süreçlerin düzenli olarak test edilmesi; Tüm sistemlerin ve kablosuz ağların periyodik olarak izlenmesi, test edilmesi ve uygunsuzlukların giderilmesi. Tüm sistemlerdeki zafiyetlerin iç ağ ve dış ağdan her 3 ayda bir taranması. Dış ağ taramalarının Yetkili Tarama Sağlayıcılarına (ASV) yaptırılması. Tarama işlemlerinin önemli bulgular giderilene kadar tekrarlanması. Tüm uygulama ve ağlara, iç ve dış ağdan sızma testi yapılması ve önemli bulgulara karşı önlemlerin alınması.
Bilgi Güvenliği Politikasının işlerliğinin sağlanmasıyla ilgili gereksinim
Gereksinim 12
Bilgi güvenliğini adresleyen bir politikanın bulunması; Risk analizi yapılması. Risk analizi sonucuna göre bilgi güvenliği dokümanlarının hazırlanması ve uygulamaya alınması. Tüm operasyonel süreçlerin yazılı hale getirilmesi ve uygulanması. Servis sağlayıcılardan alınan hizmetlerin güvenlik ve kalitelerinin ölçüm metotlarının belirlenmesi ve raporlanması. Acil durum planlarının oluşturulması ve uygulanması.
