PCI DSS Taraması Nedir?

Alışverişlerde yaygın olarak kullanılan ödeme kartlarına yönelik bazı güvenlik standartları bulunur. Kredi ve banka kartı işlemlerine dair prosedürler, genellikle Visa, Mastercard ve American Express gibi büyük finansal kuruluşların oluşturduğu PCI-SSC konseyi tarafından belirlenir. Bu konseyin belirlediği veri güvenliği kuralları arasında PCI DSS de yer alır. PCI DSS taraması ise ödeme sistemlerinin bu standartlarla uyumunu ölçen testtir. Yazının devamından bu standarda ve teste ilişkin ayrıntıları öğrenebilirsiniz.

Güvenliğe Odaklanan Standart: PCI DSS Nedir?

PCI DSS (Payment Card Industry Data Security Standards), Türkçe’de “Ödeme Kartı Sektörü Veri Güvenliği Standardı” anlamına gelir. 7 Eylül 2006’dan beri uygulanan bu kurallar bütünü, PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından yönetilir. Kredi kartı bilgilerini işleyen, depolayan ya da ileten tüm şirketlerin verileri için güvenli bir ortam oluşturmasını sağlar. Bu uluslararası veri güvenliği standardı sayesinde sistemin bulunduğu sunucunun ve kodlarının belirlenen şartlar çerçevesinde taranması, ardından gerekli gizlilik yapılandırmalarının gerçekleştirilmesi mümkün hâle gelir.

Kimler PCI DSS'e Uymalıdır?

PCI SSC üyeleri, ödeme sistemlerini kullananların PCI DSS’e uymasını zorunlu kılar. Mesela Visa; finans kuruluşları, üye iş yerleri ve hizmet sağlayıcılar dâhil olmak üzere Visa kart sahiplerinin verilerini saklayan, işleyen veya aktaran tüm kuruluşlardan düzenli PCI DSS taraması yapmasını talep eder. Ayrıca tüm katılımcıların PCI DSS uyumluluğunu belirli periyotlarla belgelemesini ister. Özetle ilgili kuruluşlardan hizmet alarak kredi ve banka kartıyla ödeme tahsil eden işletmelerin bu standarda uyması gerektiği söylenebilir.

PCI DSS Sistemi Nasıl Çalışır?

İşletmeler, PCI DSS taramasından geçmek ve uyumluluk kriterlerini karşılamak için bir dizi prosedürü yerine getirir. Bu gereksinimler; güvenlik duvarlarını kurmak, veri aktarımlarını şifrelemek ve anti-virüs yazılımı kullanmak olarak üç temel başlığa ayrılır. Ayrıca şirketler, ağ kaynaklarının erişimini de sürekli takip etmelidir. Sayılan koşulları yerine getirenler, PCI DSS güvenlik taramalarında ve periyodik kontrollerde herhangi bir sorunla karşılaşmaz. Böylece söz konusu standardın sertifikasyonuna sahip olabilir ve kart ödemelerinde güvenlik sağlayabilir.

Farklı PCI DSS Güvenlik Taraması Türleri Nelerdir?

Şirketlerin niteliği ve veri güvenliği durumuna göre uygulanan farklı PCI DSS taraması türleri bulunur. Bu tarama yöntemleri aşağıdaki gibidir.

• Haricî güvenlik açığı taraması: Bu taramada bir organizasyonun halka açık internet altyapısı, otomatik olarak test edilir. Ağdaki güvenlik zafiyetleri tespit edilerek bilgisayar korsanlarının potansiyel saldırı noktaları belirlenir.
• Dâhili güvenlik açığı taraması: Dahili güvenlik açığı taramasında şirketin iç ağı test edilir. Bu kapsamda ağa erişimi olanlar ya da bilgisayar korsanları tarafından yararlanılabilecek güvenlik açıklarına odaklanılır.
• Sızma testi: Sızma testinde hem güvenlik zafiyetlerini belirlemek hem de organizasyonun siber saldırıyı anlama ve cevaplama kabiliyetini değerlendirmek için şirketin ağına ya da sistemlerine yönelik bir atak simüle edilir. 

Uyumluluk değerlendirmesi ise PCI DSS uyumluluğundan emin olmak için firmanın politikalarının, prosedürlerinin ve kontrollerinin manuel yöntemlerle incelenmesidir. Şirketler, PCI DSS kart güvenliğini sağlamak ve müşterilerinin korumak için bu standartları gözetmelidir. Aksi takdirde mevcut ödeme sistemlerinin geçersiz duruma gelmesi ve veri kayıplarından dolayı firma itibarının sarsılması gibi sorunlar açığa çıkabilir.

İşletmeler için PCI DSS Güvenliğinin Sağladığı Avantajları Nelerdir?

Şirketler, PCI DSS taramasından geçerek veri güvenliği konusundaki başarısını kanıtlar. Böylece müşterileriniz, banka ve kredi kartı bilgilerini işletmenizle paylaşma konusunda herhangi bir şüphe duymaz. Ayrıca PCI DSS uyumu, ödeme kartı verilerini korumak için gerekli güvenlik önlemlerini almanızı sağlar. Bu sayede iç ya da dış kaynaklı veri sızıntılarını önleyebilir, işletmenizin maddi ve manevi değerlerini koruyabilirsiniz. 

Hassas Verilerin Korunması

PCI DSS sertifikası, hassas verileri sorunsuz bir şekilde muhafaza etmeye yardımcı olur. İşletmelerin müşterileriyle uzun süreli ve güvene dayalı ilişkiler kurmasını da sağlar. PCI DSS, ödeme kartı verilerinin alındığı, saklandığı ve iletildiği her noktada şifreleme zorunluluğunu gerektirir. Bu gereksinim, kart bilgilerinin izinsiz erişimden korunmasını mümkün kılar. Aynı zamanda yüksek ağ güvenliği de siber saldırılardan kaynaklı veri kayıplarını önler. 

İhlallerin Önlenmesi

Firmalar, PCI DSS taramasından geçerek veri ihlalini önleyebilir. Böylelikle kart sahibinin verilerinin korunması ve kimlik hırsızlığının engellenmesi mümkün olur. Investopedia’da yayımlanan bilgilere göre 2020'nin ilk yarısında veri ihlalleri nedeniyle 36 milyar kayıt kötü niyetli kişilerin eline geçmiştir. Söz konusu ihlallerin %86’sı ise finansal nedenlerden kaynaklanmıştır. Bu nedenle mali kuruluşlar, ödeme kartlarından kaynaklanan veri kayıplarını önlemek için PCI DSS uyumluluk kontrollerini her geçen gün daha katı hâle getirir. 

Güvenli Ortamın Göstergesi

Banka ve kredi kartı kullanıcıları, PCI DSS standartlarını temel güvenlik göstergeleri arasında kabul eder. 2019 yılında Statista’nın Birleşik Krallık’ta yaptığı bir araştırmada PCI DSS sistemi, tedarikçilerin en çok tercih ettiği siber güvenlik standardı olarak belirlenmiştir. Yani şirketler, düzenli olarak PCI taramaları gerçekleştirerek müşterilerine, tedarikçiklerine ve diğer paydaşlara ödeme kartı verilerini işlemek için güvenli bir ortam sağlayabilir.

PCI Taramalarını Kimler Gerçekleştirir?

PCI (Payment Card Industry) taramaları, farklı kişiler ve kuruluşlar tarafından gerçekleştirilebilir. Bunlardan ilki, dâhili BT personelidir. Bazı şirketler, kendi BT (Bilgi Teknolojisi) çalışanlarının kurum içinde güvenlik açığı taraması yapmasını tercih eder. PCI DSS taraması yapanlar arasında şunlar da sayılabilir:

• Yönetilen Hizmet Sağlayıcılar (Managed Service Providers): MSP’ler; müşterilerine altyapılarını, yazılımlarını ve diğer BT süreçlerini yönetme hizmetleri verir. Bu şirketlerden PCI DSS taraması desteği alabilirsiniz.
• Nitelikli Güvenlik Değerlendiricileri (QSA): QSA’lar, bir organizasyonun PCI standartlarına uygunluğunu değerlendirmek üzere PCI Security Standards Council tarafından yetkilendirilmiş bağımsız güvenlik uzmanlarıdır.

Onaylı Tarama Hizmet Sağlayıcısı (Approved Scanning Vendors) ise PCI DSS şartlarını karşılamak için gerekli olan periyodik ağ taramalarını yapar. İlgili kuruluşun ağını ve sistemlerini güvenlik açıkları, zayıf noktalar ya da uyumsuzluklar bakımından test eder. ASV'ler, özel araçları ve yöntemleri aracılığıyla ulaştığı sonuçları raporlayarak tarama prosedürlerini sizin adınıza eksiksiz yerine getirir.

PCI DSS Taramasında İzlenmesi Gereken Adımlar Nelerdir?

PCI DSS ödeme kartı güvenlik standartlarına uyum sağlamak için bazı adımları izlemeniz gerekir. Bu adımların başında PCI DSS taraması gereksinimlerinizi belirlemek yer alır. Örneğin ağ trafiği kontrolünde zafiyetleriniz varsa öncelikle bu alanda iyileştirmeler yapabilirsiniz. Ardından sırasıyla şu aşamaları takip etmelisiniz:

• PCI testlerinizi gerçekleştirmesi için saygın ve nitelikli bir tarama yetkilisi tercih edin.
• Taramada gözden geçirilecek tüm ağ, sistem ve cihazların güncel, ilgili tüm belgelerin de hazır durumda bulunduğundan emin olun. 
• Testler sırasında herhangi bir sorun tespit edilirse bunları hızlıca giderin. 
• PCI uyumluluk durumunuzu ve testlerle belirlenen sorunları kısa sürede çözmek için yapılan tüm işlemleri bizzat takip edin. 

Ayrıca PCI DSS taramasından önce bazı detaylara dikkat etmeniz de önemlidir. Örneğin tarayıcı, farklı sistemlerdeki ve teknolojilerdeki çeşitli güvenlik açıklarını tespit edebilmelidir. XSS (Siteler Arası Komut Dosyası Çalıştırma), CVE (Ortak Güvenlik Açıkları) ve geçersiz dataların işlenmesinden kaynaklanan kod enjeksiyonları gibi alanları içeren geniş bir veri tabanına sahip olmalıdır. Böylece şirketinizin bilişim sistemlerinin kapsamlı ve detaylı bir PCI DSS taramasından geçmesi mümkün hâle gelir.

Farklı PCI DSS Uyumluluk Seviyeleri Nelerdir?

PCI DSS kontrolleri, bazı uyumluluk seviyelerine göre gerçekleştirilir. Bu düzeyler, şirketlerin yıllık kredi ve banka kartı işlemleri sayısına bağlı olarak dörde ayrılır. Aşağıda PCI DSS uyumluluk seviyelerini görebilirsiniz.

PCI DSS Seviyeleri

• 1. Seviye: Yılda 6 milyondan fazla işlem
• 2. Seviye: Yılda 1-6 milyon arası işlem
• 3. Seviye: Yılda 20 bin-1 milyon arası işlem
• 4. Seviye: Yılda 20 binden daha az işlem

Sayılan PCI DSS düzeyleri, kuruluşun uyumluluğu sağlamak ve sürdürmek için ne yapması gerektiğini belirler. Örneğin 1. seviyedeki işletmeler, yılda minimum bir kez iç denetime tabi tutulur. Ayrıca üç ayda bir ASV’ler tarafından yapılan PCI DSS taramasından geçer. Diğer uyumluluk seviyelerinde ise yılda bir defa Öz Değerlendirme Anketi (SAQ) ve üç aylık periyotlarla düzenli PCI taraması gerçekleştirmelidir.

PCI DSS Uyumluluğu Nasıl Sağlanır?

Kuruluşlar, PCI DSS taramasını başarıyla tamamlamak için bazı süreçlerden geçmelidir. Bu süreçler; analiz, iyileştirme ve belgelendirme olmak üzere üç temel başlığa ayrılır. İlk aşamada kart işlemlerinden kaynaklanan tüm veri akışı ve zafiyetleri tespit edilir. Ardından sıra, güvenlik açıklarının giderilmesine gelir. Son olarak, tüm güvenlik prosedürlerinin yerine getirildiğini gösteren PCI DSS uyumluluğu belgesi alınır.

Analiz Süreci ve Öz Değerlendirme

PCI DSS uyumluluğunun ilk adımı, analiz ve öz değerlendirmedir. Taramayı gerçekleştiren, analiz sırasında kart ödemelerine dair verileri detaylıca inceler. Bu kapsamda ödeme kartı verilerinin işlem aşamaları ve farklı sistemler arasındaki geçişleri izler. Böylece hangi bilgilerin kart sahipleriyle ilişkilendirildiği ve bu verilerin nasıl saklandığı belirlenir. Aynı zamanda bilgilerin üçüncü şahısların eline geçme riski de ortaya çıkar. Tüm güvenlik açıkları tespit edildikten sonra iyileştirme adımına geçilir. 

İyileştirme Süreci ve Uyumsuzlukların Değerlendirilmesi

Veri güvenliğine yönelik öz değerlendirme sonuçları, PCI DSS taramasındaki iyileştirme aşamasına bir zemin oluşturur. Bu temel verilerden yola çıkarak sistemlerin ya da yazılımların güncellenmesi, güvenlik yamalarının uygulanması ve eksikliklerin giderilmesi mümkün olur. Ayrıca bu aşamada kart sahibinin bilgilerinin gereksiz yere saklanması önlenir ve bu verilerin yalnızca lazım olduğunda kullanılması sağlanır. 

Uyumluluğun Sağlanması ve Belgelendirme

PCI DSS uyumunun son aşaması, tarama sonucunun somutlaştırılmasıdır. Bu aşamada söz konusu standartlar çerçevesinde denetleme ve belgelendirme işlemleri yapılır. Uyum durumu, belirli periyotlarda gözden geçirilir ve gerektiğinde güncellenir. Kontrol işlemleri, bu hizmeti veren bağımsız kişiler ya da kurumlar ve iç denetim ekipleri tarafından gerçekleştirilir. 

Firmanız için PCI DSS Uyumluluk Sertifikası Sürecinde Neden Profesyonellerden Yardım Almalısınız?

PCI DSS’in avantajlarından yararlanmak için tarama testlerinden geçmeniz ve uyumluluk sertifikası almanız gerekir. Fakat bu aşamaların her biri, uzmanlık ve tecrübe gerektirir. Bu noktada yardımınıza koşan inventiv, Securvent hizmetiyle bilişim altyapınıza yönelik adımlarınızı güçlendirir. TSE onaylı sızma testleri ve OSCP, ECSA, LPT, CEH sertifikasyonlarına sahip ekibi sayesinde güvenlik açıklarını tespit etmenizi ve gidermenizi sağlar. Böylece KVKK, PCI-DSS, ISO27001, TSE-Güven Damgası gibi regülatif gereksinimleri karşılayabilir hem kendi hem de müşteri verilerinizi siber saldırılara karşı koruyabilirsiniz.