6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
Güvenlik sistemlerinin ürettiği bilgi ve alarmların tek bir ara birimden takip edilebilmesini sağlar.
Gerek güvenlik yöneticilerinin gerekse CIO’ların ihtiyaç duyduğu bilgileri aynı platform üzerinden sunar.
Bir çok güvenlik ürününü destekler.
Yeni ürünlerin sisteme dahil edilmesi mümkündür.
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
Kişisel Verilerin Korunması Kanunu (KVKK) önemli gereksinimlerinden biri de Verbis sistemine kayıt olmak ve istenen bilgileri girmekten geçiyor. Murat Lostar'ın ISACA-Istanbul'da yaptığı bu sunumda Verbis ve kayıt süreci hakkında bilgiler yer alıyor.
ENGEREK AÇIK KAYNAK KİMLİK YÖNETİM SİSTEMİ
Bugün orta ve üstü büyüklükteki kurumların büyük çoğunluğunda adalar halinde kimlik depoları (Active Directory, LDAP, Portaller, kurumsal web uygulamaları, CRM, ERP, vb.) bulunmaktadır. Bu kimlik depoları birbiri ile senkronize edilmesi mümkün olmazsa, kullanıcıların şifre yönetimi ve uç sistemlerdeki yetkilerinin yönetilmesi oldukça zor bir iş haline gelmektedir.
BlockChain, sadece Bitcoin'in temelinde yer alan bir seferlik bir teknoloji değil. Aynı zamanda, Internet'te bilgi paylaşılmasına benzer bir şekilde değer aktarımı işlemlerinin, ortada güvenilir bir üçüncü taraf olmadan da yapılmasını sağlayacak önemli bir protokol. Bu protokolle ilgili Murat Lostar'ın II. Garanti Bankası Bilgi Güvenliği Günleri'nde yaptığı sunum içeriği.
6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
Güvenlik sistemlerinin ürettiği bilgi ve alarmların tek bir ara birimden takip edilebilmesini sağlar.
Gerek güvenlik yöneticilerinin gerekse CIO’ların ihtiyaç duyduğu bilgileri aynı platform üzerinden sunar.
Bir çok güvenlik ürününü destekler.
Yeni ürünlerin sisteme dahil edilmesi mümkündür.
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
Kişisel Verilerin Korunması Kanunu (KVKK) önemli gereksinimlerinden biri de Verbis sistemine kayıt olmak ve istenen bilgileri girmekten geçiyor. Murat Lostar'ın ISACA-Istanbul'da yaptığı bu sunumda Verbis ve kayıt süreci hakkında bilgiler yer alıyor.
ENGEREK AÇIK KAYNAK KİMLİK YÖNETİM SİSTEMİ
Bugün orta ve üstü büyüklükteki kurumların büyük çoğunluğunda adalar halinde kimlik depoları (Active Directory, LDAP, Portaller, kurumsal web uygulamaları, CRM, ERP, vb.) bulunmaktadır. Bu kimlik depoları birbiri ile senkronize edilmesi mümkün olmazsa, kullanıcıların şifre yönetimi ve uç sistemlerdeki yetkilerinin yönetilmesi oldukça zor bir iş haline gelmektedir.
BlockChain, sadece Bitcoin'in temelinde yer alan bir seferlik bir teknoloji değil. Aynı zamanda, Internet'te bilgi paylaşılmasına benzer bir şekilde değer aktarımı işlemlerinin, ortada güvenilir bir üçüncü taraf olmadan da yapılmasını sağlayacak önemli bir protokol. Bu protokolle ilgili Murat Lostar'ın II. Garanti Bankası Bilgi Güvenliği Günleri'nde yaptığı sunum içeriği.
USTA Platformu dahilinde 2015 yılı içerisinde ulaştığımız tespitler,
gerçekleştirdiğimiz bildirimler ve aldığımız aksiyonları içeren "2015
Faaliyet Raporu" üyelerimiz ile paylaşıldıktan 3 ay sonra genele sunulmuştur.
USTA - Ulusal Siber Tehdit Ağı 2015 Yılı Faaliyet Raporu Koryak Uzan
3 ay önce üyelerimiz ile paylaşmış olduğumuz Ulusal Siber Tehdit Ağı 2015 faaliyet raporu dokümanını paylaşıma açıyoruz. Yalnızca USTA dahilinde yürüttüğümüz süreçler değil, ülkemizdeki siber saldırılar ve dolandırıcılık eylemleri ile ilgili güzel noktalara değindiğimizi düşünüyorum.
Dilediğinizce okuyup paylaşabilirsiniz.
2014-2015 Döneminde gerçekleştirilen Oltalama Saldırılarına ilişkin bulgularımızı temel alan eski tarihli bir rapor. Neredeyse tamamen geçerliliğini koruyor.
Elektrik kesintisinden kredi kartı hırsızlığına, filmlerden dizilere; siber güvenlik başlığı haberler ve magazin gündeminde baş köşelere yerleşmeye başladı. Peki kurumlar ve devlet yönetimleri hangi alanlara odaklanmalı? Ya da bu başlığın tam adı ne olmalı ve kavram karmaşasına nasıl yaklaşmalıyız? Information Security Forum raporları ile son yıllarda Türkiye ve Dünya'daki kurumların gündeminde en ön sıralarda yer alan başlıklardan yola çıkarak hazırlanan bu sunumda, önümüzdeki yıllarda sadece siber güvenlik camiasının değil, kurum ve devlet yönetimlerinin de odaklanması gereken alanlara ışık tutulmaya çalışılacak.
Siber Güvenlik nedir, kavramlar, siber uzay, siber savaş, siber saldırı türleri, saldırılardan korunma yolları vb. birçok konuyu anlatan ayrıntılı bir sunumdur. Faydalı olacağını umuyorum.
GÜVENLİ YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ HİZMETLERİ
Güvenli yazılım geliştirme kavramının önemi günümüzde çok iyi anlaşılmış, bu kavram yazılım geliştirme maliyetini, süresini azaltan ve yazılımın kalitesini arttıran bir unsur olarak kabul görmüştür. Ayrıca yazılım kullanımı sırasında ortaya çıkabilecek pek çok güvenlik olayını da kaynağında engellemenin en etkili yoludur.
Yazılım geliştirme süreçlerinin güvenlik odaklı hale getirilmesi için aşağıda detayları verilen hizmet paketleri Biznet Bilişim tarafından sunulmaktadır.
Dijital olgunluk analizi anlamına gelen DMA (Digital Maturity Assessment), kuruluşların BT altyapısının regülasyon bakış açısı ve teknik incelemelerle değerlendirilmesidir.
Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakKocSistem_
Geleneksel finans dünyasına ait tüm bildiklerimiz yıkıcı inovasyonlar sonucunda yeniden tanımlanıyor. Yeni nesil ödeme sistemleri, dijital para birimleri, dijital cüzdan gibi kavramlar günlük hayatımıza çoktan dahil oldu. KoçSistem olarak tüm bu gelişmeleri radarımıza aldığımız Finans İş Çözümleri grubumuzu 2016 yılı başında oluşturduk ve kendi çözümlerimizi geliştiriyoruz. Bu stratejimizin en önemli örneği Türkiye’nin en büyük leasing kuruluşlarına hizmet sunduğumuz “finaLease” markasıdır.
USTA Platformu dahilinde 2015 yılı içerisinde ulaştığımız tespitler,
gerçekleştirdiğimiz bildirimler ve aldığımız aksiyonları içeren "2015
Faaliyet Raporu" üyelerimiz ile paylaşıldıktan 3 ay sonra genele sunulmuştur.
USTA - Ulusal Siber Tehdit Ağı 2015 Yılı Faaliyet Raporu Koryak Uzan
3 ay önce üyelerimiz ile paylaşmış olduğumuz Ulusal Siber Tehdit Ağı 2015 faaliyet raporu dokümanını paylaşıma açıyoruz. Yalnızca USTA dahilinde yürüttüğümüz süreçler değil, ülkemizdeki siber saldırılar ve dolandırıcılık eylemleri ile ilgili güzel noktalara değindiğimizi düşünüyorum.
Dilediğinizce okuyup paylaşabilirsiniz.
2014-2015 Döneminde gerçekleştirilen Oltalama Saldırılarına ilişkin bulgularımızı temel alan eski tarihli bir rapor. Neredeyse tamamen geçerliliğini koruyor.
Elektrik kesintisinden kredi kartı hırsızlığına, filmlerden dizilere; siber güvenlik başlığı haberler ve magazin gündeminde baş köşelere yerleşmeye başladı. Peki kurumlar ve devlet yönetimleri hangi alanlara odaklanmalı? Ya da bu başlığın tam adı ne olmalı ve kavram karmaşasına nasıl yaklaşmalıyız? Information Security Forum raporları ile son yıllarda Türkiye ve Dünya'daki kurumların gündeminde en ön sıralarda yer alan başlıklardan yola çıkarak hazırlanan bu sunumda, önümüzdeki yıllarda sadece siber güvenlik camiasının değil, kurum ve devlet yönetimlerinin de odaklanması gereken alanlara ışık tutulmaya çalışılacak.
Siber Güvenlik nedir, kavramlar, siber uzay, siber savaş, siber saldırı türleri, saldırılardan korunma yolları vb. birçok konuyu anlatan ayrıntılı bir sunumdur. Faydalı olacağını umuyorum.
GÜVENLİ YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ HİZMETLERİ
Güvenli yazılım geliştirme kavramının önemi günümüzde çok iyi anlaşılmış, bu kavram yazılım geliştirme maliyetini, süresini azaltan ve yazılımın kalitesini arttıran bir unsur olarak kabul görmüştür. Ayrıca yazılım kullanımı sırasında ortaya çıkabilecek pek çok güvenlik olayını da kaynağında engellemenin en etkili yoludur.
Yazılım geliştirme süreçlerinin güvenlik odaklı hale getirilmesi için aşağıda detayları verilen hizmet paketleri Biznet Bilişim tarafından sunulmaktadır.
Dijital olgunluk analizi anlamına gelen DMA (Digital Maturity Assessment), kuruluşların BT altyapısının regülasyon bakış açısı ve teknik incelemelerle değerlendirilmesidir.
Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakKocSistem_
Geleneksel finans dünyasına ait tüm bildiklerimiz yıkıcı inovasyonlar sonucunda yeniden tanımlanıyor. Yeni nesil ödeme sistemleri, dijital para birimleri, dijital cüzdan gibi kavramlar günlük hayatımıza çoktan dahil oldu. KoçSistem olarak tüm bu gelişmeleri radarımıza aldığımız Finans İş Çözümleri grubumuzu 2016 yılı başında oluşturduk ve kendi çözümlerimizi geliştiriyoruz. Bu stratejimizin en önemli örneği Türkiye’nin en büyük leasing kuruluşlarına hizmet sunduğumuz “finaLease” markasıdır.
EREACADEMY danışmanları teorik bilgilerini sektörde deneyimlemiş uzman eğitimci ve danışmanlardır. EREACADEMY bilgi teknolojileri konusunda kurumlara teknik eğitimler ve sertifikasyon konusunda eğitimler verir. Eğitim hizmetlerinin yanısıra kurumlara özel çözümler üretmek üzere uzmanlık alanlarında danışmanlık hizmetler sunar.
Yönetici Denetçi ve Son Kullanıcı Bilişim Akademisialinizam99
Bilişimci olmayan yönetici, denetçi ve son kullanıcılara (IT for Non IT, IT for Manager ) yönelik eğitimin tanıtımı
Fatih Sultan Mehmet Vakıf Üniversitesi
1. PCI DSS Denetim ve Danışmanlık Hizmeti
BİZNET BİLİŞİM
Ateş Sünbül, CISA, ISO 27001 LA, PCI DSS QSA
BT Güvenlik Uzmanı
ates.sunbul@biznet.com.tr
2. Danışmanlık
Hizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve Bilgi
Güvenliği
E-fatura
Denetim
Hizmetleri
Özgün
Yenilikçi
Yazılımlar
Sızma
Testleri
Kimlik ve Erişim
Yönetimi
ISO27001
Bilgi Güvenliği
Yönetim
Platformu
• Sadece ağ ve bilgi güvenliği üzerine
entegrasyon, danışmanlık, test ve denetim
hizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelen
kurumlarda çok fazla sayıda kimliği yöneten
başarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıran
özgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSA
sertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’e
çoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerinde
çalışanı bulunmaktadır.
2000 yılından bu yana...
5. • Kart hizmetleri sunan firmaların operasyonlarını
gerçekleştirirken uyması gereken uluslararası kurallar
mevcuttur. Bu kurallar PCI (Payment Card Industry) adı
verilen ve aralarında American Express, MasterCard
Worldwide, Visa, Discover Financial Services gibi üyeleri
bulunan bir konsey tarafından geliştirilmekte ve
yayımlanmaktadır.
• Bu kapsamda gerek issuer (kart sahibi kuruluş), gerekse
acquirer (üye işyeri bulunduran, atm/pos sahibi kuruluş)
firmaların uyması gereken PCI-DSS (PCI Data Security
Standards), PA DSS (Payment Application Data Security
Standards) ve PIN Transaction Security Standards gibi
regülasyonlar mevcuttur.
PCI Güvenlik ve Uyum
Veri Güvenlik
Ödeme Uygulama Güvenlik
Pin Güvenlik
PCI PTS
PCI PA-
DSS
PCI DSS
6. PCI DSS denetiminde toplam 12 gereksinim alanı değerlendirilmektedir:
Ağ güvenliği
• Kart bilgisi taşıyan cihazların güvenlik duvarı aracılığıyla korunması
• Standart şifrelerin kullanılmaması ve diğer güvenlik önlemleri
Kart sahibi verisinin korunması
• Verinin korunması
• Veri iletiminin şifrelenmesi
Zafiyet yönetim yapısının oluşturulması
• Anti-virüs önleminin alınması ve düzenli güncellenmesi
• Güvenli sistem ve uygulamalar geliştirmek
Güçlü erişim kontrollerinin uygulanması
• Kart sahibi bilgilerine erişimin kısıtlanması
• Her kullanıcı için ayrı hesap yaratılması
• Kart sahibi bilgilerini taşıyan cihazlara fiziksel erişim güvenliğinin sağlanması
Ağ yapısının düzenli izlenmesi ve test edilmesi
• Ağ kaynak ve kart verilerine erişimin düzenli izlenmesi ve kontrol edilmesi
• Güvenlik sistem ve süreçlerinin düzenli olarak test edilmesi
Bilgi güvenliği politikasının sağlanması
• Bilgi güvenliğini adresleyen politikanın hazırlanması
7. Danışmanlık
Danışmanlık Hizmeti
kapsamında tespit edilen
eksikliklere ilişkin iyileştirme
aksiyonları alınır ve çalışma
tamamlanır.
Ön Denetim
(GAP Analiz)Yerinde denetime hazırlanan
şirketlerin tercih ettiği
aksaklıkların tespit edildiği (Gap
Analysis) çalışmadır. Çalışma
kapsamında gap analiz raporu
ve önceliklendirme analiz
dokümanı hazırlanır.
Yerinde DenetimPCI DSS uyumluluğunun tespit edildiği ana
denetimdir. Report of Compliance (ROC) ve
Attestation of Compliance (AOC)
düzenlenir. 1 yıl geçerlidir.
8.
9. Birinci Aşama
Kurum stratejik hedeflerinin
belirlenmesi, standart
hedefleriyle uyum ve kapsam
belirlenmesi
İkinci Aşama
Varolan yapının PCI DSS
kontrolleri esas alınarak
değerlendirilmesi ve
uyumsuzlukların tespit
edilmesi
Üçüncü Aşama
Aksiyon planlarının
belirlenmesi ve proje yol
haritasının hazırlanması
Dördüncü Aşama
Yol haritasının ve
aksaklıkların üst yönetimle
paylaşılması
Yerinde denetim öncesinde son durumun tespit edilmesi önemli !!
11. Üst Yönetim Beklentileri
Denetim & Risk Yönetimi
Sistem ve Süreç
Envanteri Analizi
İş Birimleriyle
Görüşmeler
Kontrol
Değerlendirme
Bulguların
Raporlanması
Aksiyonlar
İyileştirme
Aksiyonlarının
Teyit Edilmesi
ve ROC
Hazırlanası
Varolan ortam
değerlendirilir
Süreç sahipleriyle
güvenlik ve
ihtiyaç analizi
Risklerin belirlenmesi ve
kontrollerin testi
Tespit edilen
bulgular raporlanır
ve aksiyon planları
belirlenir
Güvenlik Proje planına
istinaden alınan
aksiyonlar yönetime
düzenli raporlanır ve
uyarlamalar yapılır.
PCI DSS Yerinde
Denetim
Denetim
Planı
12. PCI DSS genel anlatımı ve test adımları
PCI DSS gereksinimlerinin üstünden geçilmesi ve
anlatımı
PCI DSS ile ilişkili PA-DSS, PTS DSS ve P2PE
standartlarına genel bakış
Denetim kapsam belirleme, eksiklik tespiti,
değerlendirme ve giderme planları
Kart endüstrisi ve çeşitli organizasyonların ilişkileri
Kart şirketleri gereksinimleri
PCI donanım ve iletişim altyapısı
PCI raporlama standartları
Standart şablonları
Kompanse kontrol tasarımı ve riskler
Gereksinimlere ilişkin soru cevaplar
KazanımlarEğitim İçeriği
PCI DSS gereksinimlerini esas
alarak denetim gerçekleştirmesi
Kart yapısına ilişkin doğru
kapsam belirleyebilmesi
Ağ ayrımı konusunda görüş ve
öneri sunabilmesi
PCI DSS denetimi
gerçekleştirebilmesi ve rapor
oluşturabilmesi
Bulgu giderme önerilerini
yapabilmesi ve giderme planını
oluşturabilmesi