Ödeme Sistemleri Endüstrisinin (Payment Card Indstry – PCI) ortaya koyduğu veri güvenliği standardı (Data Security Standard – DSS) kredi kartı ile işlem yapan tüm kurumlara, uymaları gereken bazı kurallar getiriyor. Kısaca PCI DSS olarak bilinen bu standartlara uyumluluk bir gecede gerçekleşebilecek kadar kolay değil.
Farklı bölümlerin, farklı çalışma gruplarının üstlenmesi gereken PCI-DSS uyumluluk projelerinin başarılı olması için iyi bir planlama ve koordinasyon gereklidir. Peki, nereden başlamalı? Kredi kartı ve banka kartı kullanımına sorunsuzca devam edebilmek için PCI DSS uyumluluğu nasıl sağlanmalı? Gerekli araçlar ve kaynaklar nereden bulunmalı?
Kurumunuzda PCI DSS uyumluluğunu doğru şekilde gerçekleştirmek için belirlenmiş faaliyetler, önemli adımlar ve çıktıları üç fazda değerlendirebiliriz:
- 1.Aşama: PCI DSS Gap (Boşluk) Analizi
- 2.Aşama: PCI DSS Hayata Geçirilmesi ve İyileştirmesi
- 3.Aşama: PCI DSS Değerlendirme ve Raporlama
Şimdi gelin, bu üç fazı birlikte inceleyelim:
1.Aşama: PCI-DSS Gap (Boşluk) Analizi
PCI-DSS uyumluluğu çalışmalarına iyi bir başlangıç yapmak, gap analizi (boşluk analizi,fark analizi, vb olarak da bilinir) yaparak mümkün olur. Gap analizi içinde aşağıdaki konuların ele alınması gereklidir:
PCI-DSS kriterleri ve PCI-DSS’in 12 temel alanı ile ilgili kurumun ne seviyede olduğunun tespit edilmesi ve hazırlık çalışmaları için kapsam analizi yapılması.
- Geçerli politika, prosedürlerin gözden geçirilmesi, analiz edilmesi ve PCI-DSS uyumluluğu için gerekli değişiklikler ile yeni yazılması gereken dokümanların belirlenmesi
- Üretim ortamındaki kredilendirme/iade gibi kart işlemlerinin (transaction) incelenmesi.
- Donanım/yazılım sistemlerinin, bileşenlerinin ve bütün diğer ilgili uygulama ve ağ katmanı cihazlarının incelenmesi.
- PCI-DSS ile ilgili konularda çalışan önemli tüm üçüncü taraf hizmet sağlayıcıların ve servis sağlayıcıların belirlenmesi ve analizi.
- Organizasyonunuz içindeki mevcut personelin iç değerlendirilmesi.
- Gap analiz raporunun tamamlanması ve PCI-DSS’in hayata geçirilmesi için yapılacakların belirlenmesi.
- Proje planının son haline getirilmesi ve onaylanması.
Lostar, PCI-DSS Gap Analizi ile ilgili çalışmalarınızı, hem danışmanlık, hem de denetim yaklaşımı ile destekler, bir yandan eksikleri ortaya koyarken, bir yandan da çözüm önerilerini geliştirerek ilerlemenizi ve doğru proje planını oluşturmanızı sağlar.
2.Aşama: PCI DSS Hayata Geçirilmesi ve İyileştirilmesi
“PCI DSS Gap Analizi’nin tamamlanmasından sonra, sıra önceki aşamada ortaya konulan eksiklerin, proje plani çerçevesinde hayata geçirilmesine gelir.
Burada dikkat edilmesi gereken konulardan biri kuralların ve iş yapış biçimlerinin yazılı hale getirilmesidir. Bir çok kurumda, işin yapılmasında eksik olmadığı halde, PCI DSS uyumluluğu için hayati önem taşıyan gerekli politikalar ve prosedürler göz ardı edilir ve sorun yaşanır. Bu nedenle, şirket çapında yayınlanan ve tüm ilgili konuları içeren bir “Kurumsal Güvenlik El Kitabı” hazırlanması PCI DSS uyumluluğu için iyi bir yaklaşımdır. Lostar danışmanları, diğer konuların yanı sıra, bu dokümanların geliştirilmesine, şirketinize özel politika ve prosedürlerin oluşturulmasında yardımcı olabilir.
Lostar, politika ve prosedürlere ek olarak, PCI DSS uyumluluğu ile ilgili konularda ya da sorunlarda bir çok farklı konuda size destek olabilir. Ayrıntılar için lütfen bizimle bağlantıya geçin. Bu konuda belli başlı örnekler arasında, uygulama ve ağ katmanı cihazları ile ilgili olarak şartnamelerin (RFP) hazırlanması, ek güvenlik prosedürlerinin geliştirilmesi ve hayata geçirilmesi, kurum çalışanlarına yönelik farkındalık eğitimlerinin verilmesi sayılabilir. Her kurum ve kullanıcının birçok değişkene bağlı değişik ihtiyaçları ve gereksinimlerinin olması, “1.Aşama: PCI DSS Gap Analizi”nin ne kadar önemli olduğunun kanıtıdır.
3.Aşama: PCI DSS’İN Değerlendirilme ve Raporlama
Yapılan hazırlık aşamalarından sonra, yapılacak değerlendirme, başta planlananlarla, gerçekleştirilenler arasındaki farklılıkları, gözden kaçan, PCI DSS denetimi adına sorun olabilecek noktaların belirlenmesini sağlar. Burada çıkacak aksaklıkların düzeltilmesi ile PCI DSS raporlamasına ve gerekiyorsa denetimine hazır hale gelinir.
PCI DSS uyumluluğu için son onay (belgeleme) aşaması için bir raporlama ortamı ve ihtiyaçlar dahilindeki çıktılar ortaya konur. Uyumluluk PCI-DSS gereksinimleri ve kredi kartı işlem adedine bağlı olarak dış tarama ya da iç değerlendirme (QSA, ASV) ile gerçekleştirilir.
PCI-DSS yolculuğunuzda başarılar diliyoruz. PCI-DSS ile ilgili sorularınız için Lostar danışmanları ile bağlantıya geçebilirsiniz.