Finans kuruluşları, üye iş yerleri ve hizmet sağlayıcılar dahil olmak üzere Visa kart sahibi verilerini saklayan, işleyen veya aktaran tüm kuruluşların Ödeme Kartları Sektörü Veri Güvenliği Standardı’na (DSS) uyması zorunludur. Visa’nın programları, tüm katılımcıların PCI Veri Güvenliği Standardı (DSS) uyumunu düzenli olarak belgelemelerini talep eder.
Güvenlik standartları konusunda tüm gelişmeleri takip edin
PCI Veri Güvenliği Standardı (DSS) ile uyum
Tüm sistem katılımcılarına fayda sağlayan güvenlik standartları
-
Visa Kart Sahibi Bilgileri Güvenliği Programı (CISP), müşterilerin, üye işyerlerinin ve hizmet sağlayıcılarının en yüksek bilgi güvenliği standardını uygulamalarını sağlayarak Visa kart sahibi verilerini korumayı amaçlayan bir uyum programıdır.
PCI Güvenlik Standartları Konseyi (SSC) PCI Veri Güvenliği Standardı’nın (DSS) ve tüm destekleyici belgelerin sahibidir ve söz konusu belgelerin muhafaza edilmesinden ve yönetilmesinden sorumludur. Ancak veri güvenliğine uyum standartlarının doğrulanması ve hayata geçirilmesinden sorumlu olan kurum Visa’dır.
-
Kart çıkaran kuruluşlar ve üye iş yerleriyle anlaşmalı bankalar, tüm hizmet sağlayıcılarının, üye iş yerlerinin ve söz konusu iş yerlerinin hizmet sağlayıcılarının PCI Veri Güvenliği Standardı (DSS) gereklilikleri ile uyumunu sağlamaktan sorumludur.
Üye iş yeri uyum doğrulama süreci işlem hacmine ve ödemeler sisteminde oluşturabileceği olası risklere dayanarak önceliklendirilmiştir.
Kart çıkaran kuruluşlar ve üye iş yerleriyle anlaşmalı bankalar, tüm 1. Seviye ve 2. Seviye hizmet sağlayıcılarının Üçüncü Taraf Temsilci (TPA) kaydı sırasında ve sonrasında her 12 ayda bir PCI Veri Güvenliği Standardı (DSS) uyumunu belgelemelerini sağlamak zorundadır.
-
Üye iş yerleriyle anlaşmalı bankalar üye iş yerlerinin yeterli seviyede kimlik doğrulama yaptığından emin olmalı ve bu konudaki standartlara uyduklarını kanıtlayan belgeleri kendilerinden talep etmelidir. Üye iş yeri anlaşmalı bankaları ve üye iş yerleri ayrıca ödemeler sistemindeki diğer kart kuruluşlarının uyum raporlama gerekliliklerini doğrulamalı, gerekli durumlarda uyum validasyon kanıtlarını sunabilmelidir.
Visa’ya doğrudan bağlantılı olmayan 1. Seviye Hizmet Sağlayıcılar, işyerinde PCI veri güvenliği yıllık değerlendirmesini tamamlayarak hem hizmet sağlayıcı hem de nitelikli güvenlik denetçisi (QSA) tarafından imzalanmış bir uyum beyanını (AOC) Visa’ya sunmakla yükümlüdür. 2. Seviye hizmet sağlayıcılar, QSA imzası dahil, imzaladıkları bir öz değerlendirme anketini (SAQ-D) sunmak zorundadır. Bir hizmet sağlayıcının Visa’nın Küresel Hizmet Sağlayıcılar Kayıtları’nda (Kayıtlar) listeye alınmasından önce PCI Veri Güvenliği Standardı (DSS) uyumunun doğrulanması gerekmektedir.
-
Visa Temel Kuralları ile Visa Ürün ve Hizmet Kuralları, müşteri finans kuruluşlarının faaliyetlerini ve dolayısıyla Visa ödeme sistemine katılan üye iş yerleri ile hizmet sağlayıcıların faaliyetlerini düzenler.
Kart çıkaran kuruluşlar ve üye iş yerleriyle anlaşmalı bankalar; hizmet sağlayıcılarının ve üye iş yerleri ve hizmet sağlayıcıları, PCI Veri Güvenliği Standardı (DSS) uyumunu sağlamakla yükümlüdür. Bir hizmet sağlayıcı ve üye iş yerinin her zaman tam uyum sağlaması gerekmektedir. (VCR bölüm ID #0002228 ve #0008031)
Eğer bir hizmet sağlayıcı veya üye iş yeri PCI Veri Güvenliği Standardı (DSS) kurallarına uymaz veya güvenlik sorununu düzeltmekte başarısız olursa, Visa, kart çıkaran kuruluşa veya üye iş yerleriyle anlaşmalı bankaya uyumsuzluk sebebiyle para cezası verebilir. Yapılan değerlendirmelerin tüm masraflarını kart çıkaran kuruluş ya da üye iş yerleriyle anlaşmalı banka üstlenecek; üye iş yeri ya da hizmet sağlayıcısına Visa tarafından bedel uygulanmayacaktır. (VCR bölüm ID #0001054)
Üye iş yerleriyle anlaşmalı bankalar daha fazla bilgi için Visa Risk’e [email protected] adresinden ulaşabilir.
PIN Kodu Güvenliği Programı
Visa, PIN kodu güvenliği uyum doğrulama işlemini tüm bölgelerde basitleştiriyor.
Ödemelerde Uygulama Veri Güvenliği Standardı (PA-DSS)
Visa, ödemelerde uygulama sağlayıcılarının ürünlerinin PA-DSS ile uyumunu sağlamalarını ve doğrulamalarını talep etmektedir. PA-DSS uyumlu uygulamalar,üye iş yerleri ve temsilcilerine gizli kart bilgilerinin saklanmasını engelleyerek, ihlal oranlarının azaltılmasını sağlar ve PCI Veri Güvenliği Standardı (DSS) ile uyumun gerçekleşmesine yardımcı olur. PA-DSS sadece provizyon ya da hesaplaşma sürecinde kart sahibi bilgilerini ileten, işleyen ya da saklayan üçüncü taraf ödeme uygulamaları için geçerlidir. Kurum içi yazılım uygulamaları üye iş yerinin veya temsilcisinin PCI Veri Güvenliği Standardı (DSS) değerlendirmesi kapsamına girer.
PCI Güvenlik Standartları Konseyi’nden daha fazla bilgi alın
-
1 Ocak 2008 tarihinde Visa, bir dizi kural hayata geçirerek Visa ödemeler sisteminden zaafiyet yaratabilecek ödeme uygulamalarının iptal edilmesine karar vermiştir. Bu kurallar çerçevesinde üye iş yerleriyle anlaşmalı bankalar, iş yerlerinin ve temsilcilerinin manyetik şerit verisi, cvv2 ya da PIN kodu gibi gizli kart sahibi bilgilerinin saklanmasını gerektiren ödeme uygulamalarını kullanmalarını engelleyecek, PA DSS standartlarına uyan ödeme uygulamalarını tercih etmelerini talep edecektir.
-
Çoğu ödeme uygulaması geliştiren şirket PA DSS’ye uyumlu uygulamalar geliştirmiş olsa da bilinen zaafiyetlerin engellenmesini sağlayacak şekilde güncellemelerin yapılamadığına dair endişeler artmaktadır. Dahası, müşterilerin internet sitelerinde ödeme yazılımının güvenli bir şekilde uygulanmadığına dair endişeler mevcuttur.
Üye iş yerleri ve temsilcilerinde yaşanan güvenlik ihlalleri, bazı ödeme yazılım şirketlerinin bu uygulama ve sistemleri kurarken kullandıkları yazılım programlarının yetersiz olduğunu, müşterilerin erişim standartlarının zayıf ve başka siteler tarafından da paylaşılan sistemler olması sebebiyle zaafiyet yarattığını ve uzaktan yönetim araçları kullanarak müşterilerinin internet sitelerinin yönetiminde yetersiz kaldıklarını göstermiştir. Sahteciler sistem girişlerindeki bu zaafiyetten faydalanarak kart sahibi bilgilerinin saklandığı alanlara erişim sağlamaktadır.
Visa tarafından geliştirilen en iyi uygulamalar sayesinde ödeme yazılım programları hazırlayan şirketler yazılım geliştirme süreçlerindeki bu kritik sorunları çözüme kavuşturabilir. Üye iş yerleriyle anlaşmalı bankalar, üye iş yerleri ve temsilcileri, gerekli ön değerlendirme sürecini gerçekleştirerek birlikte çalıştıkları ödeme uygulama şirketlerinin yazılım süreçlerinde belli bir yetkinlik seviyesine sahip olduklarından emin olmalıdır.
-
Visa, bazı ödeme uygulamalarının yazılım sağlayıcılar tarafından işlem provizyonu aldıktan sonra gizli kart sahibi bilgilerini saklayacak şekide tasarlandığını tespit etmiştir (ör. tam manyetik şerit verileri, CVV2 veya PIN verileri). Kart sahibi verilerinin saklanması PCI Veri Güvenliği Standardı (DSS) ve Visa kurallarını doğrudan ihlal etmektedir. Sahteciler zaafiyet yaratan ödeme uygulamalarını kullanan üye iş yerleri ve temsilcilerini hedef alarak bu güvenlik açığından faydalanmakta ve kart sahibi bilgilerini çalmaktadır.
Visa üye iş yerleriyle anlaşmalı bankalar da dahil olmak üzere ilgili paydaşlarını uyararak güvenlik ihlallerini azaltmak için gerektiğinde sistemde zaafiyet yaratan ödeme uygulamalarının listesini güncelleyecektir. Sistemde zaafiyet yaratan bir ödeme uygulaması görürseniz, bu uygulamanın sağlayıcısı, sürümü, iletişim bilgileri ve gizli kart bilgilerinin nerede saklandığına dair bilginiz varsa lütfen Visa’ya [email protected] adresi üzerinden e-posta gönderin. Sağlanan tüm bilgiler yazılım sağlayıcı kanalı ile doğrulanacaktır; Visa, hiçbir yazılım sağlayıcıya bilginin kaynağını veya kaynağın kimliğini açığa çıkaracak bilgileri ifşa etmeyecektir.
-
Visa, üye iş yerleri ve temsilcilerin tehlikeyi azaltmalarına, gizli kart sahibi verilerinin saklanmasını önlemelerine (ör. manyetik şerit verileri, CVV2 veya PIN verileri) ve PCI DSS ile genel uyumu desteklemelerine yardımcı olacak ödeme uygulamaları geliştirmeleri için yazılım sağlayıcılarına rehberlik etmesi amacıyla 2005 yılında Ödeme Uygulamaları Alanında Örnek Faaliyetler (PABP) belgesini yayınladı. 2008’de PCI Güvenlik Standartları Konseyi Visa’nın PABP’ını benimseyerek standart olarak PA-DSS adıyla yayınladı. PA-DSS, Visa’nın uyum programı amaçları doğrultusunda PABP’ın yerini almıştır.