Bir süredir detaylarını merak ettiğim ancak araştırmaya fırsat bulmadığım bir konuya göz atma fırsatım oldu bugün, PCI DSS (Payment Card Industry Data Security Standart). PCI DSS kredi kartı ile alışveriş imkanı sunan tüm e-ticeret portallarını, bankaları, kısaca kredi kart bilgisi tutan, tüm kurumları ilgilendiren bir konu aslında. Kredi kartı ile işlem yapılmasına izin veriyorsanız veya kart datası içeriği barındırıyorsanız PCI DSS gereksinimlerini yerine getiriyor olmanız gerekir.
Peki nedir bu PCI DSS gereksinimleri diye bakacak olursa, kısaca şunları söyleyebiliriz.
PCI DSS 6 konu başlığı altında toplanmış 12 gereksinim ve bu gereksinimlere baglı 200 alt gereksinimden oluşan standarttır.
Peki bu 6 konu ve 12 gereksinim nelerdir, bunlara kısaca bir göz atalım.
A- Güvenli ve sürekli bir network alt yapısı oluşturmak.
1- Kart bilgilerini korumak için firewall konumlandırılması ve yapılandırılması
2- Hiç bir üründe default password kullanılmaması
B-Kart bilgilerinin korumak
3- Kart bilgilerinin güvenli şekilde saklanması
4- Public networklerde kart bilgilerinin şifreli olarak gönderilmesi.
C- Güvenlik açığı yönetimi programı kullanmak
5- Düzenli olarak anti virüs uygulamalarının update edilmesi
6- Güvenli sistem ve uygulamalar geliştirilmesi ve devam ettirilmesi
D- Erişim kontrolü uygulanması
7- İşletme tarafında kart bilgilerine erişim kısıtlaması getirmek gerekir.
8- Her kullanıcının kendine ait bir userı olmalı ve bununla oturum açmalıdır.
9- Kart bilgilerine erişim fiziksel olarak engellenmelidir.
E- Düzenli olarak izleme ve test etme
10- Kart bilgilerine ve networke gelen tüm erişimleri izlenmelidir.
11- Güvenlik sistemleri ve süreçler sürekli test edilmeli
F- Bilgi güvenliği politikası
12- Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politika uygulanmalıdır.
Kısaca PCI DSS değinmek istedim, faydalı olabilmesi temennisi ile..
