BiznetBiznet

By Caner Aşçıoğlu

BANKALAR ve PCI DSS UYUMLULUĞU

Bankalar PCI DSS Kapsamında Mıdır?

Bankalar; sanal pos, fiziksel pos, issuing, acquiring, raporlama, şube ve dijital bankacılık, resmi yazılar…vb. hizmetler nedeniyle ve Üye İşyerleri (merchant), Servis Sağlayıcılar (service provider), müşteriler ve çeşitli kurumlar tarafından kart bilgilerinin iletildiği, saklandığı ve işlendiği kurumlardır. Bu durum Bankaların yoğun şekilde kartlı işlemler görmesi ile birlikte PCI DSS kapsamına da girmesini sağlamaktadır.

PCI DSS’te Bankalara İlişkin İstisna Maddeleri Bulunmakta Mıdır?

Issuing hizmeti veren kurumlar haricindeki kuruluşlar PCI DSS’e göre CVV ve PIN bilgilerini saklayamazlar. Buna karşın, Bankalar kartlı işlemlerde kendi kartlarına ait CVV ve PIN bilgilerini doğruladıklarından bu bilgileri açık şekilde (clear-text) olmamak kaydıyla saklayabilirler. (CVV doğrulama esnasında geçici olarak da tutulabilir.)

Bu istisna dışında Bankalar, geri kalan tüm kontrolleri sağlamak zorundadırlar. Buna kart numarasının (PAN) açık şekilde saklanmaması da dahildir. (Ancak şifrelenmiş, maskeli, hash’li, tokenize edilmiş şekilde…vb. saklanabilir.)

Bankaların PCI DSS Uyumluluğu ve Uyumluluk Denetimi?

PCI SSC (PCI Konseyi), Mastercard ve Visa bankaların PCI DSS standardına uyumlu olmak zorunda olduğunu ifade etmektedirler. Zaten PCI DSS Standardı içerisinde de bankalara yukarıda bahsedilen istisna dışında başka bir istisna tanımlı durumda değildir.

Bankanın Ayrı Bir Teknoloji Firmasına Sahip Olması PCI DSS Uyumluluğunu Nasıl Etkiler?

İki ayrı tüzel kişi olduğundan bu teknoloji firması, her ne kadar sahibi banka olsa da banka açısından 3.parti firma konumundadır. Ve bu teknoloji firmasının bankaya verdiği hizmetler kapsamında PCI DSS uyumsuz olması aynı zamanda Banka’nın da PCI DSS uyumsuzluğuna yol açacaktır.

Bankaların Ortak Ödeme Sayfaları PCI DSS Kapsamında Mıdır?

Evet PCI DSS kapsamındadır. Son zamanlarda bazı bankalar kendi ortak ödeme sayfalarını geliştirerek Üye İşyerlerine hizmet vermeye başladılar. Bankaların sağladığı Acquiring hizmeti haricinde kalan bu tip hizmetlerde bankalar, hizmeti verdikleri Üye İş Yerleri açısından Service Provider (Hizmet Sağlayıcı) konumunda bulunmaktalar ve ortak ödeme sayfaları üzerinden kart bilgileri geçmekte. Yani bir Üye İşyeri PCI DSS kapsamında denetlenirken anlaşmalı olduğu ve kullandığı bankaların ortak ödeme sayfaları da PCI DSS kapsamında denetlenmek durumundadır, zira ortak ödeme sayfası ile ilgili hizmet veren bankalar anlaşmalı oldukları Üye İşyerlerinin servis sağlayıcısı konumundadır. Bu yüzden bankaların ortak ödeme sayfaları PCI DSS uyumlu değilse, bu sayfayı kullanan Üye İşyerleri de uyumsuz olacaktır.

Bankalar Kurumlara Service Provider Hizmeti Verirse PCI DSS Kapsamında Denetlenir mi?

Bankaların bir Üye İşyerine veya Service Provider’a, kart bilgileri ile ilişkili hizmet vermesi durumunda (kart saklama, ortak ödeme sayfası, veri merkezi, DRC, yazılım geliştirme, altyapı yönetimi, güvenlik yönetimi…vb.) ilgili Üye İşyeri veya Service Provider denetlenirken, banka tarafından PCI DSS kapsamında verilen hizmetler de denetim kapsamına girer ve denetlenir. Bankanın verdiği hizmet kapsamında PCI DSS uyumsuz olması durumunda hizmeti alan kurum da PCI DSS uyumsuz olur.

Bankaların Service Provider Hizmeti Veren İştirakleri PCI DSS Kapsamında Denetlenirken Bankacılık Sistemleri de Denetime Girer mi?

Bazı bankalar kurdukları iştirak firmaları aracılığıyla service provider hizmetleri vermekteler. Eğer verilen hizmet kapsamında kart bilgileri iletiliyorsa, saklanıyorsa veya işleniyorsa bu firmalar PCI DSS kapsamına girer. Ancak, bu hizmetlerin verildiği sistemler ile bankaların sistemleri arasındaki ilişki kritiktir. Çünkü bu sistemler eğer bankacılık sistemleri ile izole durumda değilse bu kez bankacılık sistemleri de PCI DSS kapsamında değerlendirilmek zorunda kalınır.

By Caner Aşçıoğlu

PCI SECURE SOFTWARE FRAMEWORK NEDİR?

PCI Secure Software Framework, Güvenli Yazılım Standardı (Secure Software Standard) ve Güvenli Yazılım Yaşam Döngüsü Standardı’ndan (Secure Software Lifecycle (SLC) Standard) oluşmaktadır.

Kurumunuzun geliştirdiği uygulama ve yazılımların PCI Secure Software Framework altındaki standartların kapsamında olunabilmesi için kartlı ödeme yapılmasını sağlayan;

  • Kurumlara satılan ödeme yazılımlarının,
  • Dağıtım yoluyla kullandırılan ödeme yazılımlarının,
  • Lisanslanarak kullandırılan ödeme yazılımlarının,
  • İnternet üzerinden “hizmet olarak (as a service)” dağıtımı sağlanan ödeme yazılımlarının,
  • Kurumların sistemlerine kurulması amaçlanan ödeme yazılımlarının

Kullanılıyor olması gerekir. Bununla birlikte, PCI Secure Software Framework altındaki standartlar, sadece geliştiren kurum tarafından kullanılan ödeme yazılımlarını veya tek bir kurum için geliştirilen ve tek bir kurum tarafından kullanılan ödeme yazılımlarını kapsamamasına rağmen yine de bu standarttaki ilkelerin ve amaçların uygulanması önerilmektedir.

  • Güvenli Yazılım Standardı (Secure Software Standard) ödeme yazılımlarının, ödeme işlemlerinin ve verilerinin gizliliğini ve bütünlüğünü korumasını sağlamaya ilişkin güvenlik gereksinimlerini ve değerlendirme prosedürlerini belirler.
  • Güvenli Yazılım Yaşam Döngüsü (Secure Software Lifecycle (SLC) Standard) yazılım üreticilerinin tüm yazılım yaşam döngüsü boyunca ödeme yazılımlarının güvenliğini nasıl yöneteceklerine ilişkin güvenlik gereksinimlerini ve değerlendirme prosedürlerini belirler.

Güvenli Yazılım Yaşam Döngüsü (SSLC) Standardı 4 adet güvenlik hedefinden ve buna bağlı toplamda 10 adet kontrol hedefinden ve 52 kontrol maddesinden oluşmaktadır:

  • Güvenlik Hedefi: Yazılım Güvenliği Yönetişimi
    • Kontrol Hedefi 1: Güvenlik Sorumlulukları ve Kaynakları
    • Kontrol Hedefi 2: Yazılım Güvenliği Politikası ve Stratejisi
  • Güvenlik Hedefi: Güvenli Yazılım Mühendisliği
    • Kontrol Hedefi 3: Tehditlerin Tanımlanması ve Azaltılması
    • Kontrol Hedefi 4: Zafiyetlerin Tespiti ve Azaltılması
  • Güvenlik Hedefi: Güvenli Yazılım ve Veri Yönetimi
    • Kontrol Hedefi 5: Değişiklik Yönetimi
    • Kontrol Hedefi 6: Yazılım Bütünlüğünün Korunması
    • Kontrol Hedefi 7: Hassas Verinin Korunması
  • Güvenlik Hedefi: Güvenli İletişim
    • Kontrol Hedefi 8: Üçüncü Parti Firma Güvenlik Rehberi
    • Kontrol Hedefi 9: Paydaş İletişimi
    • Kontrol Hedefi 10: Yazılım Güncelleme Bilgileri

Güvenli Yazılım Standardı ise 4 adet güvenlik hedefinden ve buna bağlı toplamda 10 adet kontrol hedefinden ve 150 kontrol maddesinden oluşmaktadır:

  • Güvenlik Hedefi: Saldırı Yüzeyinin Azaltılması
    • Kontrol Hedefi 1: Kritik Varlıkların Tanımlanması
    • Kontrol Hedefi 2: Ön Tanımlı Bilgilerin Güvenli Hale Getirilmesi
    • Kontrol Hedefi 3: Hassas Verilerin Tutulması
  • Güvenlik Hedefi: Yazılım Koruma Mekanizmaları
    • Kontrol Hedefi 4: Kritik Varlıkların Korunması
    • Kontrol Hedefi 5: Kimlik Doğrulama ve Erişim Kontrolü
    • Kontrol Hedefi 6: Hassas Verilerin Korunması
    • Kontrol Hedefi 7: Kriptografi Kullanımı
  • Güvenlik Hedefi: Güvenli Yazılım Operasyonları
    • Kontrol Hedefi 8: Yazılım Aktivitelerinin Takibi
    • Kontrol Hedefi 9: Saldırı Tespiti
  • Güvenlik Hedefi: Güvenli Yazılım Yaşam Döngüsü Yönetimi
    • Kontrol Hedefi 10: Tehdit ve Zafiyet Yönetimi
    • Kontrol Hedefi 11: Güvenli Yazılım Güncellemeleri
    • Kontrol Hedefi 12: Üçüncü Parti Firma Güvenlik Rehberi

Her ne kadar Ocak 2019 itibariyle söz konusu standartlar yayınlanmış olsa da PCI Secure Software Framework’ünün doğrulama programına ilişkin program rehberi, denetçi yeterlilik gereksinimleri, raporlama şablonları gibi dökümanlarının 2019 yıl ortası itibariyle yayınlanması beklenmektedir.

PCI Secure Software Assessor (PCI SSA) sertifikasına sahip denetçiler tarafından yapılacak denetim sürecinin ardından, denetçi ROV (Report on Validation) ve AOV (Attestation on Validation) raporlarını PCI SSC’ye (PCI Güvenlik Standartları Konseyi) gönderecektir. Konsey; denetim kapsamındaki yazılıma ait raporları, kanıtları ve denetçi yorumlarını gözden geçirdikten sonra kendi web sayfasında Onaylanmış Ödeme Yazılımları Listesinde yer almasına onay verecektir.

Mevcutta kullanılan PA-DSS standardı da güvenli yazılıma yönelik bir standart olmakla birlikte, 2022 itibariyle PA-DSS standardı geçerliliğini yitirecek olup güvenli yazılıma yönelik tüm standartlar PCI Secure Software Framework altında toplanmış olacaktır.

Son olarak, PCI güvenlik standartlarından birine uyum sağlanması durumunda diğer bir standarda da uyumlu olunduğu anlamına gelmediği unutulmamalıdır. Yani PCI Secure Software Framework altında yer alan standartlara uyumlu olunması PCI DSS, PCI PTS…vb. standartlara uyum sağlandığı anlamına gelmemekle beraber PCI DSS, PCI PTS…vb. standartlara uyumlu olunması da PCI Secure Software Framework altında yer alan standartlara uyumlu olunduğu anlamına gelmemektedir.

By Caner Aşçıoğlu

DevOps ve Güvenlik

Organizasyonel yapılanmalarda sorumlulukların, yetkilerin ve süreçlerin bölüm bazında ayrıştırılmasıyla, yazılım geliştiricilerinin ve sistem yöneticilerinin birbirlerinin alanlarına yakınlıkları ve hakimiyetleri zayıflayabilmekte, birbirlerine bağımlılıkları artabilmekte ve aralarındaki işbirliği, entegrasyon ve iletişim kesintiye uğrayabilmektedir.

Bunun yanında, yazılım geliştirme ve yönetimi sürecinin otomasyonunun maksimize edilmemesi yazılım ve sistem takımları arasındaki bağımlılıkların artmasına, canlı ortama (production) aktarım (deploy/release) sürecinin uzamasına, operasyonel ve tekrarlı işlerinin artmasına, test ortamında gözlemlenmeyen hataların canlı ortamda oluşmasına ve canlı ortamlarına aktarımın problemli olmasına neden olabilmektedir. Ek olarak operasyonel süreçlerin ve işlerin artması; tespit edilen hata (bug) düzeltmelerinin ve kapsamlı değişiklikleri içeren projelerin, sık ve hızla hayata geçirilmesi yerine seyrek ve düşük hızda ilerlemesine ve kurumların değişikliklere yavaş tepki vermesine yol açmaktadır.   Read more

By Caner Aşçıoğlu

Güvenli Yazılım Geliştirme Sürecine PCI DSS Bakışı

PCI DSS gereksinim ve güvenlik değerlendirme prosedürüne göre, kurum içinde kullanılan veya kurum dışına açık olan uygulamalardan kart verilerini işleyen, saklayan, ileten veya etkileyen uygulamalar PCI DSS kapsamındadır. Söz konusu uygulamaların geliştirilmesi aşamasında gereksinim analizi, tasarım, kod geliştirme, test, canlı ortama geçiş ve bakım aşamalarında sürecin güvenliğini sağlama adına PCI DSS gereksinimleri ortaya konulmuştur.   Read more