1. PCI DSS Denetim ve Danışmanlık Hizmeti
BİZNET BİLİŞİM
Ateş Sünbül, CISA, ISO 27001 LA, PCI DSS QSA
BT Güvenlik Uzmanı
ates.sunbul@biznet.com.tr
2. Danışmanlık
Hizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve Bilgi
Güvenliği
E-fatura
Denetim
Hizmetleri
Özgün
Yenilikçi
Yazılımlar
Sızma
Testleri
Kimlik ve Erişim
Yönetimi
ISO27001
Bilgi Güvenliği
Yönetim
Platformu
• Sadece ağ ve bilgi güvenliği üzerine
entegrasyon, danışmanlık, test ve denetim
hizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelen
kurumlarda çok fazla sayıda kimliği yöneten
başarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıran
özgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSA
sertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’e
çoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerinde
çalışanı bulunmaktadır.
2000 yılından bu yana...
5. • Kart hizmetleri sunan firmaların operasyonlarını
gerçekleştirirken uyması gereken uluslararası kurallar
mevcuttur. Bu kurallar PCI (Payment Card Industry) adı
verilen ve aralarında American Express, MasterCard
Worldwide, Visa, Discover Financial Services gibi üyeleri
bulunan bir konsey tarafından geliştirilmekte ve
yayımlanmaktadır.
• Bu kapsamda gerek issuer (kart sahibi kuruluş), gerekse
acquirer (üye işyeri bulunduran, atm/pos sahibi kuruluş)
firmaların uyması gereken PCI-DSS (PCI Data Security
Standards), PA DSS (Payment Application Data Security
Standards) ve PIN Transaction Security Standards gibi
regülasyonlar mevcuttur.
PCI Güvenlik ve Uyum
Veri Güvenlik
Ödeme Uygulama Güvenlik
Pin Güvenlik
PCI PTS
PCI PA-
DSS
PCI DSS
6. PCI DSS denetiminde toplam 12 gereksinim alanı değerlendirilmektedir:
Ağ güvenliği
• Kart bilgisi taşıyan cihazların güvenlik duvarı aracılığıyla korunması
• Standart şifrelerin kullanılmaması ve diğer güvenlik önlemleri
Kart sahibi verisinin korunması
• Verinin korunması
• Veri iletiminin şifrelenmesi
Zafiyet yönetim yapısının oluşturulması
• Anti-virüs önleminin alınması ve düzenli güncellenmesi
• Güvenli sistem ve uygulamalar geliştirmek
Güçlü erişim kontrollerinin uygulanması
• Kart sahibi bilgilerine erişimin kısıtlanması
• Her kullanıcı için ayrı hesap yaratılması
• Kart sahibi bilgilerini taşıyan cihazlara fiziksel erişim güvenliğinin sağlanması
Ağ yapısının düzenli izlenmesi ve test edilmesi
• Ağ kaynak ve kart verilerine erişimin düzenli izlenmesi ve kontrol edilmesi
• Güvenlik sistem ve süreçlerinin düzenli olarak test edilmesi
Bilgi güvenliği politikasının sağlanması
• Bilgi güvenliğini adresleyen politikanın hazırlanması
7. Danışmanlık
Danışmanlık Hizmeti
kapsamında tespit edilen
eksikliklere ilişkin iyileştirme
aksiyonları alınır ve çalışma
tamamlanır.
Ön Denetim
(GAP Analiz)Yerinde denetime hazırlanan
şirketlerin tercih ettiği
aksaklıkların tespit edildiği (Gap
Analysis) çalışmadır. Çalışma
kapsamında gap analiz raporu
ve önceliklendirme analiz
dokümanı hazırlanır.
Yerinde DenetimPCI DSS uyumluluğunun tespit edildiği ana
denetimdir. Report of Compliance (ROC) ve
Attestation of Compliance (AOC)
düzenlenir. 1 yıl geçerlidir.
8.
9. Birinci Aşama
Kurum stratejik hedeflerinin
belirlenmesi, standart
hedefleriyle uyum ve kapsam
belirlenmesi
İkinci Aşama
Varolan yapının PCI DSS
kontrolleri esas alınarak
değerlendirilmesi ve
uyumsuzlukların tespit
edilmesi
Üçüncü Aşama
Aksiyon planlarının
belirlenmesi ve proje yol
haritasının hazırlanması
Dördüncü Aşama
Yol haritasının ve
aksaklıkların üst yönetimle
paylaşılması
Yerinde denetim öncesinde son durumun tespit edilmesi önemli !!
11. Üst Yönetim Beklentileri
Denetim & Risk Yönetimi
Sistem ve Süreç
Envanteri Analizi
İş Birimleriyle
Görüşmeler
Kontrol
Değerlendirme
Bulguların
Raporlanması
Aksiyonlar
İyileştirme
Aksiyonlarının
Teyit Edilmesi
ve ROC
Hazırlanası
Varolan ortam
değerlendirilir
Süreç sahipleriyle
güvenlik ve
ihtiyaç analizi
Risklerin belirlenmesi ve
kontrollerin testi
Tespit edilen
bulgular raporlanır
ve aksiyon planları
belirlenir
Güvenlik Proje planına
istinaden alınan
aksiyonlar yönetime
düzenli raporlanır ve
uyarlamalar yapılır.
PCI DSS Yerinde
Denetim
Denetim
Planı
12. PCI DSS genel anlatımı ve test adımları
PCI DSS gereksinimlerinin üstünden geçilmesi ve
anlatımı
PCI DSS ile ilişkili PA-DSS, PTS DSS ve P2PE
standartlarına genel bakış
Denetim kapsam belirleme, eksiklik tespiti,
değerlendirme ve giderme planları
Kart endüstrisi ve çeşitli organizasyonların ilişkileri
Kart şirketleri gereksinimleri
PCI donanım ve iletişim altyapısı
PCI raporlama standartları
Standart şablonları
Kompanse kontrol tasarımı ve riskler
Gereksinimlere ilişkin soru cevaplar
KazanımlarEğitim İçeriği
PCI DSS gereksinimlerini esas
alarak denetim gerçekleştirmesi
Kart yapısına ilişkin doğru
kapsam belirleyebilmesi
Ağ ayrımı konusunda görüş ve
öneri sunabilmesi
PCI DSS denetimi
gerçekleştirebilmesi ve rapor
oluşturabilmesi
Bulgu giderme önerilerini
yapabilmesi ve giderme planını
oluşturabilmesi