Payment Card Industry (PCI) Veri Güvenliği Standardı Bilgi Teknolojilerinde verinin kullanımı, korunması, saklanması, provizyonu ve iletimi ile ilgili Mastercard ve VISA kredi kartı organizasyonları tarafından belirlenmiş ortak güvenlik standardıdır. Bu güvenlik programı PCI Data Security Standard olarak adlandırılmaktadır. Kredi kartı sistemlerinin bir parçası olan kurumların sistemlerinin güvenliği ile ilgili açıkların belirlenmesi ve bu zayıflıkların giderilmesi hedeflenmiştir. Daha önceki Mastercard (SDP) ve VISA (AIS) hala mevcuttur. Ancak PCI standardı her ikisini de içerdiğinden, ayrı ayrı sertifika almaya gerek kalmamaktadır.

Hemen hemen tüm kredi kartı organizasyonları PCI standardına uygun sertifikalandırmayı kabul etmektedir.

Elektronik ticaret yapan şirketler, VPOS ile kredi kartı işlemi yapan şirketler ve servis sağlayıcıların müşterilerinin kredi kartı bilgilerini saklamaları, işlemeleri ya da üçüncü partilere iletmeleri söz konusu ise akredite bir güvenlik şirketine sistemlerinin güvenlik zafiyetlerini taratmaları, kredi kartı organizasyonları tarafından zorunlu tutulmaktadır.

Oniki (12) adımdan oluşan gereksinimler bulunmaktadır. Yapılması gereken tüm adımlar PCI Security Standard, Entire Manual dokümanında yer almaktadır.

• Güvenlik duvarının kurulumu ve idamesi
• Üretici tarafından belirlenmiş ön tanımlı kullanıcı kodu/şifrelerin ve güvenlik parametrelerinin kullanılmaması

• Depolanan bilginin korunması
• Paylaşılan ağlarda, kart sahibinin bilgilerinin kriptolanarak gönderilmesi

• Anti-virüs yazılımın kullanılması ve sürekli güncellenmesi
• Güvenli sistem ve uygulamaların geliştirilmesi ve bakımı

• Yalnız iş için gerekli olan bilgiye erişim prensibine göre erişimin kısıtlanması
• Her bilgisayar kullanıcısına tek bir kullanıcı ID atanması
• Kart sahibinin verilerine fiziksel erişimin kısıtlanması

• Ağ kaynaklarına ve kart sahibinin verilerine erişimin takibi ve izlenmesi
• Güvenlik sistemlerin ve süreçlerin düzenli olarak test edilmesi

• Bilgi güvenliğini adresleyen bir politikanın bulunması

Evet. Ticari şirketler web sayfalarını ya da dışarıya açık olan IP adreslerini aşağıdaki adımlara uyularak test ettirmelidir :

1. Tüm taramalar Mastercard tarafından onaylanmış güvenlik firmaları tarafından gerçekleştirilmelidir. Söz konusu onaylı firmaların listesine aşağıdaki linkten ulaşılabilmektedir. https://sdp.mastercardintl.com/vendors/vendor_listings.shtml
2. Level 1, Level 2, Level 3 seviyesindeki ticari şirketler ve servis sağlayıcıların yılda 4 kez tarama yaptırması gerekmektedir. Level 4 seviyesindeki ticari şirketler için yılda en az 1 kez tarama yapılması önerilmektedir.
3. Üretim ortamında, iletişim ağına ve uygulamalarda yeni değişikliklerin yapılması durumunda, yeni zafiyetlerin oluşabileceği düşünülerek ek taramaların gerçekleştirilmesi gerekmektedir.
4. Tarama yapılmadan önce şirketler
• Tarama yapacak firmaya dışarıya açık olan IP adreslerin listesini vermelidir.
• Tarayıcı firma bu IP adresleri dışarıdan deneyerek tespit etmeli ve hangilerinin aktif olduğunu ve hangi servislerin çalışmakta olduğunu belirleyebilmelidir.
5. Tarama yapan firma ile sözleşme yapılarak, tüm aktif IP adreslerin ve cihazların periyodik olarak taranması sağlanmalıdır.
6. Filtreleme yapan tüm cihazlar güvenlik duvarı ya da yönlendirici vb. de güvenlik taraması kapsamında olmalıdır.
7. Tüm web sunucular taranmalıdır.
8. Tüm uygulama sunucular taranmalıdır.
9. Özel olarak geliştirilmiş tüm web uygulamaları taranmalıdır.
10. Tüm DNS (Domain Name Server) sunucuları taranmalıdır.
11. Posta (e-mail) sunucuları taranmalıdır.
12. Tüm yük paylaşım cihazları taranmalıdır.
13. Tüm sanal sunucular (Virtual Host) taranmalıdır.
14. Kablosuz erişim noktaları (access point) taranmalıdır.
15. Saldırı tespit ve engelleme cihazları (IDS / IPS) tarama yapan firmanın IP adresine izin verilecek şekilde konfigüre edilmelidir.

Evet Biznet uzman kadrosu ile kurulduğu günden bu yana birçok kamu kuruluşu ve özel sektör şirketlerine güvenlik tarama hizmeti sunmuştur. 2006 yılının başında Mastercard SDP programını başarıyla tamamlamıştır. Biznet Mastercard'ın PCI standardında öngörülen güvenlik tarama hizmetlerini sağlamaya yetkili onaylı güvenlik firmasıdır.