By Caner Aşçıoğlu

BANKALAR ve PCI DSS UYUMLULUĞU

Bankalar PCI DSS Kapsamında Mıdır?

Bankalar; sanal pos, fiziksel pos, issuing, acquiring, raporlama, şube ve dijital bankacılık, resmi yazılar…vb. hizmetler nedeniyle ve Üye İşyerleri (merchant), Servis Sağlayıcılar (service provider), müşteriler ve çeşitli kurumlar tarafından kart bilgilerinin iletildiği, saklandığı ve işlendiği kurumlardır. Bu durum Bankaların yoğun şekilde kartlı işlemler görmesi ile birlikte PCI DSS kapsamına da girmesini sağlamaktadır.

PCI DSS’te Bankalara İlişkin İstisna Maddeleri Bulunmakta Mıdır?

Issuing hizmeti veren kurumlar haricindeki kuruluşlar PCI DSS’e göre CVV ve PIN bilgilerini saklayamazlar. Buna karşın, Bankalar kartlı işlemlerde kendi kartlarına ait CVV ve PIN bilgilerini doğruladıklarından bu bilgileri açık şekilde (clear-text) olmamak kaydıyla saklayabilirler. (CVV doğrulama esnasında geçici olarak da tutulabilir.)

Bu istisna dışında Bankalar, geri kalan tüm kontrolleri sağlamak zorundadırlar. Buna kart numarasının (PAN) açık şekilde saklanmaması da dahildir. (Ancak şifrelenmiş, maskeli, hash’li, tokenize edilmiş şekilde…vb. saklanabilir.)

Bankaların PCI DSS Uyumluluğu ve Uyumluluk Denetimi?

PCI SSC (PCI Konseyi), Mastercard ve Visa bankaların PCI DSS standardına uyumlu olmak zorunda olduğunu ifade etmektedirler. Zaten PCI DSS Standardı içerisinde de bankalara yukarıda bahsedilen istisna dışında başka bir istisna tanımlı durumda değildir.

Bankanın Ayrı Bir Teknoloji Firmasına Sahip Olması PCI DSS Uyumluluğunu Nasıl Etkiler?

İki ayrı tüzel kişi olduğundan bu teknoloji firması, her ne kadar sahibi banka olsa da banka açısından 3.parti firma konumundadır. Ve bu teknoloji firmasının bankaya verdiği hizmetler kapsamında PCI DSS uyumsuz olması aynı zamanda Banka’nın da PCI DSS uyumsuzluğuna yol açacaktır.

Bankaların Ortak Ödeme Sayfaları PCI DSS Kapsamında Mıdır?

Evet PCI DSS kapsamındadır. Son zamanlarda bazı bankalar kendi ortak ödeme sayfalarını geliştirerek Üye İşyerlerine hizmet vermeye başladılar. Bankaların sağladığı Acquiring hizmeti haricinde kalan bu tip hizmetlerde bankalar, hizmeti verdikleri Üye İş Yerleri açısından Service Provider (Hizmet Sağlayıcı) konumunda bulunmaktalar ve ortak ödeme sayfaları üzerinden kart bilgileri geçmekte. Yani bir Üye İşyeri PCI DSS kapsamında denetlenirken anlaşmalı olduğu ve kullandığı bankaların ortak ödeme sayfaları da PCI DSS kapsamında denetlenmek durumundadır, zira ortak ödeme sayfası ile ilgili hizmet veren bankalar anlaşmalı oldukları Üye İşyerlerinin servis sağlayıcısı konumundadır. Bu yüzden bankaların ortak ödeme sayfaları PCI DSS uyumlu değilse, bu sayfayı kullanan Üye İşyerleri de uyumsuz olacaktır.

Bankalar Kurumlara Service Provider Hizmeti Verirse PCI DSS Kapsamında Denetlenir mi?

Bankaların bir Üye İşyerine veya Service Provider’a, kart bilgileri ile ilişkili hizmet vermesi durumunda (kart saklama, ortak ödeme sayfası, veri merkezi, DRC, yazılım geliştirme, altyapı yönetimi, güvenlik yönetimi…vb.) ilgili Üye İşyeri veya Service Provider denetlenirken, banka tarafından PCI DSS kapsamında verilen hizmetler de denetim kapsamına girer ve denetlenir. Bankanın verdiği hizmet kapsamında PCI DSS uyumsuz olması durumunda hizmeti alan kurum da PCI DSS uyumsuz olur.

Bankaların Service Provider Hizmeti Veren İştirakleri PCI DSS Kapsamında Denetlenirken Bankacılık Sistemleri de Denetime Girer mi?

Bazı bankalar kurdukları iştirak firmaları aracılığıyla service provider hizmetleri vermekteler. Eğer verilen hizmet kapsamında kart bilgileri iletiliyorsa, saklanıyorsa veya işleniyorsa bu firmalar PCI DSS kapsamına girer. Ancak, bu hizmetlerin verildiği sistemler ile bankaların sistemleri arasındaki ilişki kritiktir. Çünkü bu sistemler eğer bankacılık sistemleri ile izole durumda değilse bu kez bankacılık sistemleri de PCI DSS kapsamında değerlendirilmek zorunda kalınır.