BiznetBiznet

Pandemi, COVID-19 ve Uzaktan PCI DSS Denetimleri

Yazar: Surkay Baykara

Dünyayı ve Türkiye’yi sararak birçok kuruluşu uzaktan çalışma modeline zorlayan COVID-19 (Coronavirus) salgını nedeniyle, normal şartlar altında yerinde denetim çalışmalarını norm olarak belirleyen PCI SSC (Konsey), oluşan olağan üstü durumu ve insan sağlığına etkilerini de göz önünde bulundurarak PCI DSS denetimlerinin uzaktan gerçekleştirilmesine onay verdi.

PCI SSC Kıdemli Başkan Yardımcısı Troy Leach, yayınladığı makalede konseyin Coronavirus yayılımından kaynaklı olağandışı durumların farkında olduğunu belirterek PCI yerinde denetimleri ile ilgili yönergelerini açıkladı. Normal şartlar altında denetimlerin yerinde yapılması gerektiğini ancak oluşan olağanüstü durum nedeni ile PCI DSS denetimleri ile ilgili kararlar alırken bireysel sağlık ve güvenlik önlemlerini göz önünde bulundurularak uzaktan denetimlerin PCI SSC’nin yayınladığı yönergeler eşliğinde gerçekleştirilebileceğini belirtti.

Uzaktan gerçekleştirecek denetimler ile ilgili yayınlanan yönergede yer alan ve uzaktan denetimlerimizi gerçekleştirirken önemli bulduğumuz noktaları aşağıda bulabilirsiniz;

  • PCI SSC, Coronavirus salgını nedeniyle denetçilerin seyahat etmesini geçici olarak engelleyen veya kısıtlayan istisnai durumlar olabileceğini kabul ederek yerinde denetimin mümkün olmaması durumunda uzaktan denetimlerin gerçekleştirilebileceğini belirtir.
  • Denetçiler uzaktan gerçekleştirdikleri herhangi bir doğrulamanın veya gereksinim kontrolünün düzgün bir şekilde uygulandığına ve gereksinimlerin karşılandığına dair gerekli güvence düzeyini sağladığından emin olmalıdır.
  • Denetçiler, denetim bütünlüğünün olumsuz etkilenmemesini sağlamak için gerekli tüm önlemleri almalıdır. Örneğin uzaktan denetim gerçekleştirirken görüşülen personelin veya incelenen sistem bileşenlerinin aynı ve denetim kapsamı içerisindeki bileşenler olduğundan emin olmak için yerinde denetimde olduğu gibi özel önlemler alınması gerekebilir.
  • Uzaktan denetimde uygulamaları gözlemlemek veya kanıt toplamak için kullanılan yöntemler yerinde denetimlerde olduğu şekilde aynı veya daha üst seviyede güvence sağlamalıdır.
  • Denetçiler yerinde denetimin neden yapılmadığını ve uzaktan denetimde nasıl eşdeğer bir güvence sağladığını ROC raporunda açıkça belirtmelidir. Denetim ile ilgili tüm kanıtlar olağan şekilde saklanmalıdır.
  • QSA firmaları denetimleri gerçekleştirmek için nitelikli yerel kaynakları kullanmayı düşünebilirler. Örneğin bir PCI DSS denetimi için birincil QSA sağlıkla ilgili endişeler nedeniyle denetimi gerçekleştiremezse, QSA program gereksinimlerine uygun olarak denetimin yerinde gerçekleştirilmesi için onaylanmış başka bir QSA firması ile çalışabilir.
  • Uzaktan denetimin sonuçlarının yerinde denetimlerden elde edilenlerle orantılı ve uyumlu olmasını sağlamak için tüm önlemler alınmalıdır. Bu nedenle denetimin uzaktan yapılması nedeniyle süreç daha uzun sürebilir. Ayrıca bazı test türlerinin sadece yerinde yapılabilmesi nedeniyle gecikmeler kaçınılmaz olabilir.

Biznet olarak önceliğimiz çalışanlarımızın sağlıklı ve güvenli bir şekilde çalışmasını temin ederek, müşterilerimize sunduğumuz hizmetlerin kesintisiz olarak sunulmaya devam etmesini sağlamaktır. Bu kapsamda yaşanan olağan üstü koşullar sona erene kadar denetimlerimizi PCI SSC yönergeleri çerçevesinde uzaktan gerçekleştirerek müşterilerimize sunduğumuz hizmetlerin devamlılığını sağlamayı hedeflediğimizi belirtiriz.

surkay.baykara
Yazar: surkay.baykara