26 Ağustos 2012 Pazar

PCI (Payment Card Industry)

Merhaba Arkadaşlar,

Bu yazımızda da kısaca pci kavramına değinelim. Genel resmi görmeniz açısından, hızlı ve kısa bir tanımını yapmak gerekirse, pci, güvenlik standartları bütünüdür. İfadede kart terimi geçse de, salt karttan ibaret olmadığını birazdan anlatacağım. Ancak takdir edersiniz ki, ana konusu kartlar. Kredi kartlarıyla çalışan tüm firmalar genel anlamda bu sorumluluğun altına girerler. KK şifreleri tutan, kart sahipliği bilgisi saklayan kuruluşlar da öyledir.

Bu bağlamda, kk(kredi kartı) işlemlerinin uçtan uca takibi yapılır denetmenler tarafından. Bu süreçte hangi veriler nerede, ne şekilde tutulur... Güvenlik açıkları nelerdir vs hepsi incelenir. Eğer uygun şartlar sağlanıyorsa, size bir puan verilir ve pci sertifikası alırsınız.

Güvenlik amaçlı istediklerini kısaca listelemek gerekirse:
  1. KK bilgilerini korumak için firewall mevcut olmalı. Genelde DMZ ile şirketler garantiye alma yoluna gidiyorlar artık.
  2. User ve password bilgilerini default haliyle bırakmayın.(Db'lerdeki sa kullanıcısı gibi)
  3. KK bilgisinin korunması gerekliliği.
  4. KK bilgisi madem tutuyoruz, o halde şifreli gidip gelmeli. Bunun için de HSM adlı makinalar revaçta(private key sorunsalından mütevellit).
  5. Antivirüsler olmalı ve güncel halde bulunmalı.
  6. Güvenli sistem ve uygulama geliştirilip yönetilmeli.
  7. KK ile ilgili bir işlem yapılacaksa, rol ve sorumlulukları uygun kişiler tarafından yapılmalıdır. Aksi takdirde uygunsuz kişinin yöneticisi sorgulanır, neden yetki verildiği konusunda.
  8. Her kullanıcıya ayrı bir user verilmeli, generic olmamalı. Örneğin gürkan diye bir user'ın vardır ve sadece sen kullanabilirsin. Ancak test_ekibi diye bir user uygunsuz olur. Kişi bazlı izlenemez bu(aslında os user'dan bile çekilir de neyse:) ).
  9. Son olarak en az bilinen ve en çok hata yapılan maddeden bahsedeyim, normalde maddeler burda bitmiyor, ben sonlandırıyorum. Fiziksel güvenlik konusu. KK bilgilerine fiizksel erişimden bahsetMİyorum. O da bir madde aslında. Benim burda bahsettiğim, içeri girişlerdeki güvenlik kartınızın mevcudiyeti, kartınızı unuttuğunuzdaki prosedür, dışarıdan gelen ziyaretçi kartı ve bunun nasıl geri alındığı, takibi... 

Kısaca özetlemek gerekirse, kk bilgilerini hiç tutmamanız tercih sebebidir. Ancak tutacaksanız da, bunu kurallarına uygun yapmalısınız. Daha uzun bir konu ama temel olarak bunları bilmeniz, kafanızda bir resim oluşturmuştur diye düşünüyorum.

Sonra görüşürüz.
Gönderen zaman:
Etiketler: , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)