By Caner Aşçıoğlu

PCI SECURE SOFTWARE FRAMEWORK NEDİR?

PCI Secure Software Framework, Güvenli Yazılım Standardı (Secure Software Standard) ve Güvenli Yazılım Yaşam Döngüsü Standardı’ndan (Secure Software Lifecycle (SLC) Standard) oluşmaktadır.

Kurumunuzun geliştirdiği uygulama ve yazılımların PCI Secure Software Framework altındaki standartların kapsamında olunabilmesi için kartlı ödeme yapılmasını sağlayan;

  • Kurumlara satılan ödeme yazılımlarının,
  • Dağıtım yoluyla kullandırılan ödeme yazılımlarının,
  • Lisanslanarak kullandırılan ödeme yazılımlarının,
  • İnternet üzerinden “hizmet olarak (as a service)” dağıtımı sağlanan ödeme yazılımlarının,
  • Kurumların sistemlerine kurulması amaçlanan ödeme yazılımlarının

Kullanılıyor olması gerekir. Bununla birlikte, PCI Secure Software Framework altındaki standartlar, sadece geliştiren kurum tarafından kullanılan ödeme yazılımlarını veya tek bir kurum için geliştirilen ve tek bir kurum tarafından kullanılan ödeme yazılımlarını kapsamamasına rağmen yine de bu standarttaki ilkelerin ve amaçların uygulanması önerilmektedir.

  • Güvenli Yazılım Standardı (Secure Software Standard) ödeme yazılımlarının, ödeme işlemlerinin ve verilerinin gizliliğini ve bütünlüğünü korumasını sağlamaya ilişkin güvenlik gereksinimlerini ve değerlendirme prosedürlerini belirler.
  • Güvenli Yazılım Yaşam Döngüsü (Secure Software Lifecycle (SLC) Standard) yazılım üreticilerinin tüm yazılım yaşam döngüsü boyunca ödeme yazılımlarının güvenliğini nasıl yöneteceklerine ilişkin güvenlik gereksinimlerini ve değerlendirme prosedürlerini belirler.

Güvenli Yazılım Yaşam Döngüsü (SSLC) Standardı 4 adet güvenlik hedefinden ve buna bağlı toplamda 10 adet kontrol hedefinden ve 52 kontrol maddesinden oluşmaktadır:

  • Güvenlik Hedefi: Yazılım Güvenliği Yönetişimi
    • Kontrol Hedefi 1: Güvenlik Sorumlulukları ve Kaynakları
    • Kontrol Hedefi 2: Yazılım Güvenliği Politikası ve Stratejisi
  • Güvenlik Hedefi: Güvenli Yazılım Mühendisliği
    • Kontrol Hedefi 3: Tehditlerin Tanımlanması ve Azaltılması
    • Kontrol Hedefi 4: Zafiyetlerin Tespiti ve Azaltılması
  • Güvenlik Hedefi: Güvenli Yazılım ve Veri Yönetimi
    • Kontrol Hedefi 5: Değişiklik Yönetimi
    • Kontrol Hedefi 6: Yazılım Bütünlüğünün Korunması
    • Kontrol Hedefi 7: Hassas Verinin Korunması
  • Güvenlik Hedefi: Güvenli İletişim
    • Kontrol Hedefi 8: Üçüncü Parti Firma Güvenlik Rehberi
    • Kontrol Hedefi 9: Paydaş İletişimi
    • Kontrol Hedefi 10: Yazılım Güncelleme Bilgileri

Güvenli Yazılım Standardı ise 4 adet güvenlik hedefinden ve buna bağlı toplamda 10 adet kontrol hedefinden ve 150 kontrol maddesinden oluşmaktadır:

  • Güvenlik Hedefi: Saldırı Yüzeyinin Azaltılması
    • Kontrol Hedefi 1: Kritik Varlıkların Tanımlanması
    • Kontrol Hedefi 2: Ön Tanımlı Bilgilerin Güvenli Hale Getirilmesi
    • Kontrol Hedefi 3: Hassas Verilerin Tutulması
  • Güvenlik Hedefi: Yazılım Koruma Mekanizmaları
    • Kontrol Hedefi 4: Kritik Varlıkların Korunması
    • Kontrol Hedefi 5: Kimlik Doğrulama ve Erişim Kontrolü
    • Kontrol Hedefi 6: Hassas Verilerin Korunması
    • Kontrol Hedefi 7: Kriptografi Kullanımı
  • Güvenlik Hedefi: Güvenli Yazılım Operasyonları
    • Kontrol Hedefi 8: Yazılım Aktivitelerinin Takibi
    • Kontrol Hedefi 9: Saldırı Tespiti
  • Güvenlik Hedefi: Güvenli Yazılım Yaşam Döngüsü Yönetimi
    • Kontrol Hedefi 10: Tehdit ve Zafiyet Yönetimi
    • Kontrol Hedefi 11: Güvenli Yazılım Güncellemeleri
    • Kontrol Hedefi 12: Üçüncü Parti Firma Güvenlik Rehberi

Her ne kadar Ocak 2019 itibariyle söz konusu standartlar yayınlanmış olsa da PCI Secure Software Framework’ünün doğrulama programına ilişkin program rehberi, denetçi yeterlilik gereksinimleri, raporlama şablonları gibi dökümanlarının 2019 yıl ortası itibariyle yayınlanması beklenmektedir.

PCI Secure Software Assessor (PCI SSA) sertifikasına sahip denetçiler tarafından yapılacak denetim sürecinin ardından, denetçi ROV (Report on Validation) ve AOV (Attestation on Validation) raporlarını PCI SSC’ye (PCI Güvenlik Standartları Konseyi) gönderecektir. Konsey; denetim kapsamındaki yazılıma ait raporları, kanıtları ve denetçi yorumlarını gözden geçirdikten sonra kendi web sayfasında Onaylanmış Ödeme Yazılımları Listesinde yer almasına onay verecektir.

Mevcutta kullanılan PA-DSS standardı da güvenli yazılıma yönelik bir standart olmakla birlikte, 2022 itibariyle PA-DSS standardı geçerliliğini yitirecek olup güvenli yazılıma yönelik tüm standartlar PCI Secure Software Framework altında toplanmış olacaktır.

Son olarak, PCI güvenlik standartlarından birine uyum sağlanması durumunda diğer bir standarda da uyumlu olunduğu anlamına gelmediği unutulmamalıdır. Yani PCI Secure Software Framework altında yer alan standartlara uyumlu olunması PCI DSS, PCI PTS…vb. standartlara uyum sağlandığı anlamına gelmemekle beraber PCI DSS, PCI PTS…vb. standartlara uyumlu olunması da PCI Secure Software Framework altında yer alan standartlara uyumlu olunduğu anlamına gelmemektedir.