Embed Size (px)
Citation preview
Yeni Ödeme Riskleri ve PCI DSS’de Gelişmeler
Yeni Ödeme Riskleri - PCI DSS’de Gelişmeler ERCÜMENT BÜYÜKŞUMNULU
PCI QSA, DANIŞMAN
Ajanda
1. Güvenlik saldırıları, Sebep ve Sonuç
2. Siber Güvenlik ve Yaşanmış Olaylar
3. Güncel Tehditler - APT
4. PCI DSS – Kısa bir güncelleme
5. Turizm ve Otelcilik Sektöründe Güvenlik Zaafiyetleri
William Sutton – 1901-1980
Soru : Neden Bankaları Soyuyorsun?
Yanıt :
Neden Saldırıya Uğruyoruz?
Zevk
İntikam
Rekabet
Protesto
Para
Hacker olmaya hevesliler
İşten çıkmış eleman
Rakip firma, ülke
Aktivist, Hacktivist gruplar
Dolandırıcılar, çalışanlar
Nasıl Hackleniyoruz?
Konvansiyonel Tehditler
1 Hayalet Uçak = 1 Milyar USD
1 Cruise Füzesi 1 Milyon USD
Siber Saldırı ? $
1 Siber Silah = 10 $ – 50.000 $
Siber Güvenlik’te Neler Oldu? Neiman Marcus- 350.000 Müşterinin kart bilgisi
White Lodging – Otel zinciri – 168 otel
Sally Beauty – 2600 mağaza’dan 280.000 banka kartı
Michaels – Sanat mağazası 2.600.000 kart bilgisi
New York 22.8 Milyon Newyork’lunun kayıtları
PF Changs – 33 restoran
Community Health System – 4.5 milyon hasta bilgisi
Home Depot - 56 milyon e-posta adresi ve kredi/debit kart bilgisi
Banka’lar yine hedefte
Çalınan kart rekorları
Sony - Playstation
Target >> Kolay Hedef
Satılık Kart ve PIN
2014’de yaşadıklarımız
FRAUD RATIOS
BULAŞTIRMA
İLETİM SİLAHLANMA
KEŞİF
BOT KURULUMU VERİ KAÇIRILMASI
Advanced Persistent Threats (APT)
En kapsamlı siber saldırı türü
Advanced - Basit değil. Gelişmiş teknolojiler
Persistent – Sistemler üzerinde uzun süreli kalabilir
Threat – Veri çalma
Özellikler ◦ Sistem kesintisi olmayabilir
◦ Sistemlerin çalışamaz hale gelmesine yol açmaz
◦ Mümkün olduğunca kendini gizleyerek, veri sızdırma hedeflenir
Saldırı Kriteleri
Kaçınılmaz Son
Herkes ve Tüm Kurumlar
Siber Saldırıyı
Tadacaktır.
Amaç
Saldırıları önce ya da olduktan kısa süre içinde farkedebilmek.
Bu saldırıya karşı hızlı ve etkin yanıt verebilmek.
Uluslararası alanda endüstri standardı olan Ödeme Kartları Güvenlik Standardını oluşturan ve yöneten bağımsız bir konsey.
Çok uluslu kart markaları tarafından oluşturulmuştır ◦ American Express
◦ Discover Financial
◦ JCB
◦ MasterCard Worldwide
◦ Visa Inc.
PCI SSC Kimdir?
PCI SSC’nin Amacı
Standardın yeni maddelerini düzenlemek ve
mevcut maddelerdeki değişiklikleri yönetmek Ödeme hesabı güvenliğini geliştirme Standardın farkındalığını ve benimsenmesini
sağlamak Katılımcıları arttırmak ve geri beslemeler almak ASV, QSA ve PED Lab yönetmek QSA, ASV ve PED Sertifikalı cihazların listesini
yönetmek
PCI Standartları
PCI PTS – PIN Güvenliği (PIN, HSM, POI) PA-DSS – Ödeme Uygulamalarının Güvenliği PCI DSS – Kart bilgisi ileten, işleyen ve saklayan sistemlerin ve ağların güvenliği
PCI P2PE – Uçtan uca şifreleme yapan çözümlerin güvenliği
PCI Card Production - Kredi/Banka kartı üretim güvenliği
PCI Standartları
PCI-DSS
Kartlı ödeme sistemlerinde yer alan kurum ve kuruluşlarda bilgi güvenliğini sağlamak için,
Bilgi sistemlerinde kart iletimini, kart işleyişini ve kart depolamayı esas alan,
6 temel kriter baz alınarak oluşturulmuş,
12 gereksinim kategorisi ve bu kategoriler altında yer alan 409 kontrolden, oluşmaktadır.
Bu standardın son versiyonu Haziran 2016 sonunda yürürlüğe giren PCI DSS V3.1.
PCI DSS 12 Ana Başlık
Payment Card Industry (PCI) Data Security Standard, v3.1 Page 5
© 2006-2015 PCI Security Standards Council, LLC. All Rights Reserved. April 2015
Introduction and PCI Data Security Standard Overview
The Payment Card Industry Data Security Standard (PCI DSS) was developed to encourage and enhance cardholder data security and facilitate
the broad adoption of consistent data security measures globally. PCI DSS provides a baseline of technical and operational requirements
designed to protect account data. PCI DSS applies to all entities involved in payment card processing—including merchants, processors,
acquirers, issuers, and service providers. PCI DSS also applies to all other entities that store, process or transmit cardholder data (CHD) and/or
sensitive authentication data (SAD). Below is a high-level overview of the 12 PCI DSS requirements.
PCI Data Security Standard – High Level Overview
Build and Maintain a Secure
Network and Systems
1. Install and maintain a firewall configuration to protect cardholder data
2. Do not use vendor-supplied defaults for system passwords and other security parameters
Protect Cardholder Data 3. Protect stored cardholder data
4. Encrypt transmission of cardholder data across open, public networks
Maintain a Vulnerability
Management Program
5. Protect all systems against malware and regularly update anti-virus software or programs
6. Develop and maintain secure systems and applications
Implement Strong Access
Control Measures
7. Restrict access to cardholder data by business need to know
8. Identify and authenticate access to system components
9. Restrict physical access to cardholder data
Regularly Monitor and Test
Networks
10. Track and monitor all access to network resources and cardholder data
11. Regularly test security systems and processes
Maintain an Information
Security Policy 12. Maintain a policy that addresses information security for all personnel
This document, PCI Data Security Standard Requirements and Security Assessment Procedures, combines the 12 PCI DSS requirements and
corresponding testing procedures into a security assessment tool. It is designed for use during PCI DSS compliance assessments as part of an
entity’s validation process. The following sections provide detailed guidelines and best practices to assist entities prepare for, conduct, and report
the results of a PCI DSS assessment. The PCI DSS Requirements and Testing Procedures begin on page 15.
PCI DSS comprises a minimum set of requirements for protecting account data, and may be enhanced by additional controls and practices to
further mitigate risks, as well as local, regional and sector laws and regulations. Additionally, legislation or regulatory requirements may require
specific protection of personal information or other data elements (for example, cardholder name). PCI DSS does not supersede local or regional
laws, government regulations, or other legal requirements.
Neyin Peşindeler?
Nereden Çalabilirler ?
Güvenli Olması Gerekenler
Korunacak Veri
Saklanabilir
mi?
Koruma gerekli
mi?
Şifreleme yapılmalı
mı?
PCI DSS 3.4
Kart Sahibi Verisi
(Cardholder Data)
Kart Numarası
(Primary Account
Number)
EVET EVET EVET
Kart Sahibi İsmi
(Cardholder Name) EVET EVET HAYIR
Servis Kodu
(Service Code) EVET EVET HAYIR
Son Geçerlilik Tarihi
(Expiration Date) EVET EVET HAYIR
Kritik Doğrulama
Verisi
(Sensitive
Authentication
Data)
Full Magnetic Strip HAYIR NA NA
CVC2/CVV2/CID HAYIR NA NA
PIN / PIN Block
HAYIR NA NA
PCI DSS BT Güvenliğine Katkıları
• Ağ (yerel/internet) ve sistem güvenliği yapılarında disiplin oluşturulması (tasarım, biçimlendirme, donanım, yazılım, izleme ve kontrol yapıları),
• BT Altyapısına güvenli erişim yöntemlerinin oluşturulması (erişim ve parola politikaları, görevlerin ayrılığı, kullanıcı izleme ve kontrolü),
• Ağ ve sistem altyapısını oluşturan birimlerde güncellemelerin disiplin altına alınması (güvenlik ve dönemsel yama, sürüm güncellemelerinde değişim yönetimi ve kontrolü),
• Verilerin iletimi ve saklanması ve için disiplin oluşturulması (şifreleme yöntemleri, yapıları, kontrolü ve izlenmesi),
• Uygulama yazılımlarının güvenirliğinin sağlanması (yazılım geliştirme ve kaynak kod analizi),
• BT Altyapısının zayıf noktalarının düzenli olarak sınanması ve güncellenmesi (periyodik zafiyet ve saldırı testleri ile kontrol),
PCI DSS BT Güvenliğine Katkıları
• BT Altyapısının sürekli kontrol ve denetimi (merkezi izleme yapısı (log) oluşumu),
• BT Altyapısının fiziki güvenlik altında tutulması (kamera kontrol ve izleme yöntemleri, kartlı geçiş/erişim sistemleri),
• Olay ve problem yönetimi mekanizmalarının oluşturulması (güvenlik ihlalleri ve açıkları için müdahale ekibi ve yöntemleri),
• İş sürekliği ve felaket yedeklemesi yapısının oluşturulması (yedekleme yönetimi ve felaket kurtarma merkezi oluşumu),
• Bilgi Güvenliği Politikası ve Bilgi Güvenliği Yönetimi Sistemi oluşturulması (PCI DSS kapsamındaki tüm gereksinimleri karşılayabilecek yazılı politikalar, prosedürler, standartlar, takip ve kontrol yöntemleri, kayıtları).
BDDK Taslak Tebliğ
5. Bölüm Üye İşyerleri
12 /21
kart verisini saklayan kuruluşa iletilmesi halinde kart verisinin kullanılabilmesi sağlanır. Kart
verisini saklayan kuruluş, referans kodu oluşturulması öncesinde ve referans kodu ile kart
verisinin kullanımı sırasında üye iş yerinin kimliğini doğrular ve erişim kontrolleri tesis eder.
(3) Üye işyeri adına kart verisi saklandığı durumlarda, saklanan hassas kart verisi hiçbir
biçimde üye işyerine iletilmez. Saklanan kart verileri, yasalarla açıkça yetkili kılınan merciler
dışındaki taraflarla paylaşılmaz.
(4) Üye işyeri adına saklanan hassas kart verisi iki yıl boyunca ödeme amaçlı
kullanılmazsa iki yıllık sürenin dolduğu tarihi takip eden ayın ilk gününde silinir.
BEŞİNCİ BÖLÜM
Üye İşyerleri
Kartlı işlem altyapısı
MADDE 19 – (1) Üye işyeri, kendi kontrolündeki kartlı işlem altyapısını dinamik kimlik
doğrulama mekanizmasını destekleyecek şekilde tesis eder. CNP işlemlerde, sanal kart ile
ödemeye ve kart verisinin üye işyerine iletilmesini gerektirmeyen diğer ödeme metotlarından en
az bir tanesine destek verir.
(2) Üye işyeri, kartın ve kart hamilinin fiziksel olarak bulunduğu hallerde, sanal POS
veya farklı bir yöntem kullanarak, kartın üzerinde yer alan verilerin manüel olarak girilmesi ile
ödeme işlemini gerçekleştirmez. Üye işyeri, CP işlemlerde, kartın POI haricinde bir cihaz
üzerinden herhangi bir işleme tâbi tutulmamasını sağlayacak altyapıyı tesis eder.
(3) CNP işlemlerde, kart verisinin üye işyeri sistemlerine kadar güvenli akışının
sağlanmasından ve üye işyerinde hassas kart verisi tutulmadan üye işyeri anlaşması yapan
kuruluşa ait olan bir cihaza veya sisteme verilerin aktarılmasından üye işyeri sorumludur. Posta,
e-posta, SMS gibi güvenli şifreleme içermeyen iletişim kanalları üzerinden gerçekleşecek
ödemelerde hassas kart verisi kullanılamaz. Telefon üzerinden gerçekleşecek işlemlerde hassas
kart verisinin gerekmesi halinde, bu veri bir otomatik yanıt sistemine kart hamili tarafından
tuşlanır ve güvenli şifreleme ile şifrelenmesinin ardından veri sistemsel olarak doğrudan üye
işyeri anlaşması yapan kuruluşa aktarılır.
(4) Tekrar eden ödemeler için üye işyeri ilk işlem öncesinde, üye işyeri anlaşması yapan
kuruluşa tutar bilgisi, ödemenin ne sıklıkla gerçekleşeceği ve ne kadar tekrar edeceği bilgilerini
iletir. Sonrasında üye işyeri herhangi bir hassas kart verisi saklamaz ve ödemenin tekrarı için
herhangi bir iletimde bulunmaz.
(5) Üye işyeri, kendi bünyesinde meydana gelen suistimal olaylarını tespit etmesinin
akabinde bu hususa ilişkin genel bilgiyi ve gerçekleştirilen incelemeyi müteakip detaylı bilgiyi,
anlaşması bulunan tüm üye işyeri anlaşması yapan kuruluşlara iletir.
(6) Üye işyeri, kart hamili tarafından PIN’in POI’ye girilmesi esnasında PIN gizliliğinin
zarar görmemesi ve kartın üye işyerinin kontrolüne girmeksizin işlemin kart hamili tarafından
tamamlanabilmesi için gerekli önlemleri alır, masaüstü tipi POI’yi uygun şekilde konumlandırır.
Kart hamiline ve işleme ilişkin bilgilerin güvenliği
MADDE 20 – (1) Üye işyeri, şifrelenmiş bile olsa hiçbir biçimde hassas kart verisi
saklayamaz, hassas kart verisini kâğıt üzerinde veya elektronik ortamda tutan veya işleyen bir
sistem kuramaz. Hassas kart verisinin, üye işyeri anlaşması yapan kuruluşa veya üye işyeri
2 /21
ğ) GİB: Türkiye Cumhuriyeti Gelir İdaresi Başkanlığı’nı,
h) Güvenli şifreleme: Kimlik doğrulama, veri bütünlüğünü sağlama, gizlilik ve
mahremiyeti temin etme veya inkâr edememe amaçlarıyla kullanılabilen, literatürde kabul
görmüş ve güvenilirliğini yitirmemiş güçlü bir algoritma ile yeterli uzunlukta ve güvenliği
kriptografik anahtar yönetimi süreci ile sağlanmış anahtarlar kullanılarak gerçekleştirilen,
anahtar kullanılmaksızın şifrelenmemiş verinin elde edilmesi teorik olarak mümkün olsa bile
pratikte gerektirdiği zaman ve kaynaklar dikkate alındığında uygulanabilir olmayan şifreleme
faaliyetlerini,
ı) Hassas kart verisi: Kart numarasının ilk 6 ve son 4 hanesi haricinde kalan kısmı,
PIN/PIN blokları, kart doğrulama kodu ve kart hamili adına finansal işlem yapılabilmesi için
gerekli diğer veriler ile bu verilerin alt kümesi olan, bu verileri içeren ve herhangi bir işlemden
geçirilmesi durumunda bu verilere ulaşılabilecek her türlü veriyi,
i) Hassas veri: Hassas kart verisi ile hassas kart verisini simetrik şifrelemede kullanılan
anahtarlar, hassas kart verisini asimetrik şifrelemede kullanılan gizli anahtarlar ve hassas kart
verisiyle ilişkili anahtarları şifrelemede kullanılan anahtarlar gibi hassas kart verisinin
güvenliğine ilişkin verileri,
j) İkincil merkez: Kanun ve ilgili alt düzenlemelerinde, kuruluş için tanımlanan tüm
sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği
an erişilmesini sağlayan yedek sistemlerin kullanıma hazır olacak şekilde tesis edildiği, herhangi
bir kesinti durumunda kartlı işlemlere ilişkin faaliyetlerin iş sürekliliği planında belirlenen kabul
edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesine ve personelin çalışmasına
imkân tanıyacak ve kuruluşun faaliyetleri sürdürmede kullandığı asıl sistemlerin tesis edildiği
yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
k) İlkeler Tebliği: 14/9/2007 tarihli ve 26643 sayılı Resmî Gazete’de yayımlanan
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği,
l) Kanun: 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununu,
m) Kart: Kanunda düzenlenen banka kartlarını ve kredi kartlarını,
n) Kart çıkaran kuruluş: Banka kartı veya kredi kartı düzenleme yetkisini haiz bankalar
ile diğer kuruluşları,
o) Kart doğrulama kodu: Kartın üzerinde manyetik, elektronik veya basılı halde yer alan,
verinin bütünlüğünü korumayı, kartın bir kart çıkaran kuruluş tarafından üretilip üretilmediğini
ve kart üzerindeki verinin değiştirilip değiştirilmediğini anlamayı amaçlayan kartın güvenliğine
ilişkin kodu,
ö) Kart hamili bilgisi: Kimliği belirli veya kimliği belirlenebilir kart hamillerine ilişkin,
kart verisi haricinde kalan ve anonim olmayan bütün bilgileri,
p) Kart kuruluşu: Kartlı sistem kuruluşu, kart çıkaran kuruluş ve üye işyeri anlaşması
yapan kuruluşları,
r) Kart verisi: Kartta manyetik, elektronik veya basılı halde yer alan veriler ile bu veriler
kullanılarak üretilmiş verileri,
s) Kartlı sistem kuruluşu: Banka kartı veya kredi kartı sistemi kuran ve bu sisteme göre
kart çıkarma veya üye işyeri anlaşması yapma yetkisi veren kuruluşları,
ş) Korunaklı sistem: Bünyesindeki hassas verilere fiziksel ve yazılımsal olarak erişimi
kısıtlayan, şifreleme anahtarlarının korunmasını ve yönetimini sağlayan, yetkisiz erişimleri fark
eden ve tepki veren, birimlerinin yetkisiz olarak değiştirilmesi ve çıkarılması ile yeni birim
Turizm/Otelcilik Sektörü Riskleri
Turizm şirketlerinde kart bilgisinin güvensiz
ortamlarda bulundurulması
• Kart bilgisinin açık halde ilgili formlara yazılması; • (PAN, Exp. Date, CVV, Ad/Soyad)
• Kart bilgisininin açık halde faks ile iletimi
• Çağrı merkezlerinde kart bilgisinin IVR kullanılmadan işlenmesi, bu bağlamda ses/görüntü kayıtları
• Formların güvensiz ortamlarda iletimi (şubemerkez)
• Formların çoğaltılması (merkezde departmanlar)
• Formların güvensiz ortamlarda saklanması
• Kağıt ortamındaki bilgilerin şifresiz olarak manyetik ortamlarda tutulması
İnternet ortamında kullanılan rezervasyon
uygulamalarının güvenlik zaafiyetleri
• Uygulamaların PCI DSS gereksinimlerine uygun olarak geliştirilmemesi / PA DDS sertifikasyonundan geçmemesi
• Uygulamayı geliştiren yazılımcıların “güvenli kod” geliştirme teknikleri konusunda bilgi eksikliği
• Kaynak kod analiz ve uygulama zaafiyet kontrolü çalışmalarının yapılmaması
• Kart bilgilerinin web ortamında güvenli sertifikalar kullanılmadan alınması ve güvenli iletişim protokolleri kullanılmadan iletimi
• Uygulamaların barındırıldığı ortamların ve çalıştığı altyapıların PCI DSS gereksinimleri ile bağdaşmaması
• Uygun olmayan veri depolama
• Görev ve erişimlerde kontrolsüz
• Firewall ve/veya segmantasyon eksikliği
• Yama geçilmemiş sistemler ve varsayılan konfigürasyonlar
• Kayıt tutmama
• Güvensiz kablosuz ağlar
• Varsayılan şifreler
• Güvenlik taramaları ve saldırı tespit yapısının bulunmaması
• Güvensiz uygulamalar
Turizm ve otelcilik sektöründe BT operasyonu ile ilgili zaafiyetler
Otel işlemlerindeki süreçlerde kart bilgisi
güvenliği ile ilgili zafiyetler
• Müşteriden kartının istenerek, otel uygulamalarına müşteriye ait bilgi olarak kart bilgisinin manuel olarak girilmesi
• Defter/form ortamlarına müşteriye ait kart bilgilerinin açık olarak yazılması
• Firmalarla ilgili faturalandırma süreçlerinde ödeme ile ilgili olarak kart bilgilerinin faks/e-posta gibi ortamlarda açık hale alınması
• Kağıt ve manyetik ortamlarda açık olarak yazılmış kart bilgilerinin güvenlik önlemi alınmadan saklanması
• Bazı durumlarda müşteri kartlarından ödemeler için bloke ön ödeme alınarak daha sonra “chargeback” süreçlerine neden olunması
Ve İnsan Faktörü...
• Eleman sayısı yetersizliği
• Güvenlik konusunda kalifiye eleman bulunamaması/çalıştırılmaması
• Farkındalık seviyesinin düşük olması
• Bilgi Güvenliği Yönetim yapısının oluşturulamaması
• Standartlara uyum süreçlerinin göz ardı edilmesi
--------------------------------------------------------------------------
• Saldırıların %40 iç kaynaktan yapıldığı unutulmamalı
Sıfır Güven !
