MasterCard, Visa ve American Express gibi büyük kuruluşların üyesi olduğu bir konsey tarafından geliştirilen PCI DSS, internetten kredi kartı ile alışveriş yaparken güvenlik standartlarını belirler. 12 kategori altında 200’den fazla değerlendirme ile sahip olunması gereken özellikleri belirleyen konsey, güvenli alışverişi sağlamak için güvenlik zafiyetini tamamen ortadan kaldırmayı hedefler.
Nisan 2016’da yayınlanan ve çeşitli değişiklikler getiren PCI DSS 3.2, 1 Kasım 2016 itibariyle zorunlu hale geldi. Kart sahiplerinin güvenliğini sağlayan PCI DSS uyumluluğu, e-ticaret firmalarının da güvenli internet alışverişi kavramını gerçek manada karşılamalarını ve bu sayede müşteri ilişkilerinde avantajlı konuma geçmelerini beraberinde getirir.
PCI DSS 3.2 ile Gelen Değişiklikler
1 Şubat 2018 tarihinde zorunlu olacak PCI DSS 3.2 versiyonunda üye iş yerlerinin uyması gereken zorunluluklar ve tüm kullanıcıların etkileneceği değişiklikleri şöyle sıralamak mümkün:
– Bilgisayar aygıtları arasında iletişim kurmak için kullanılan bir aygıt olan PAN bilgisinin ilk 6 ve son 4 hanesinden fazlası, PCI DSS 3.2 ile görülebilecek. Bu esnekliğin sınırı net bir şekilde çizilmemiş olsa da ilgili personelin ihtiyaç duyması durumunda daha fazla PAN bilgisi görüntülenebilecek.
– 1 Şubat 2018 itibarıyla aktif olacak PCI DSS 3.2’ye göre sistemde önemli bir değişiklik yapıldıysa tüm değişikliklerin network’lere de uygulanması gerekir. Son 1 yıl içerisinde bu tarz önemli değişiklikler yapıldıysa değişiklik kayıtları ve dokümanlar incelenerek kontrol edilecek.
– Tüm üye iş yerleri, önceki TLS/SSL protokolünün kullanımını durdurmak ve bu protokolün güvenli versiyonlarına geçmek zorunda. 1 Temmuz 2018’e kadar bu versiyonlara geçmek zorunlu olduğu gibi geçiş tamamlanana kadar kullanılan eski versiyonlarla ilgili risk azaltma planı da sunulmalıdır.
– Kart veri envanterine (CDE) uzaktan erişim sağlanması için şifre ya da parola, akıllı kart ya da token cihazı ve biometrik doğrulama metotlarından en az 2 tanesinin kullanılması zorunlu olacak. Multi-factor olarak da adlandırılan bu çoklu doğrulama, 1 Şubat 2018 itibarıyla zorunlu hale gelecek.
Servis Sağlayıcılara Getirilen Ek Yükümlülükler
– Servis sağlayıcılarda gizlilik, kimlik denetimi gibi bilgi güvenliği kavramlarını karşılayan kriptografik mimari ayrıntılarını içeren onaylı bir doküman bulunmalıdır.
– Güvenlik sızma testleri yılda 2 kere yapılmalıdır.
– Her çeyrek dönemde personelin güvenlik kurallarına uyduğunu teyit etmelidir.