Son zamanlardaki veri ihlalleri, yüksek miktarda para kayıplarına sebep olan bilgisayar korsanlığı olayları ve yetersiz siber güvenlik raporları, ödeme ve para kuruluşlarının müşterilerinde güvensizlik oluşturmaya başladı. Veritabanlarında ve bulutlarda depolanan kişisel veriler müşteriler için önemli bir risk haline geldi.
Müşterilerin kişisel verilerinin gizliliğini riske atmadan kolayca ödeme işlemlerini yapmalarını sağlayan güvenli ödeme ağları oluşturmak, finansal veri güvenliğinin kritik bir parçası.
PCI DSS, tam da bu noktada, banka ve kredi kartı bilgilerini korumaya yönelik kurallar getirerek bu endişeleri gidermek için tasarlandı.
2006 yılında en büyük beş ödeme sistemleri markasının (Visa, MasterCard, American Express, Discover ve JCB) ortak girişimi olarak Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) oluşturuldu. Kredi kartı, nakit kart ve banka bilgilerinin işlenmesi, iletilmesi ve saklanması amacıyla tüm kişisel verilerin ve bilgilerin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanımına karşı korumayı amaçlayan bir dizi politika ve prosedür sunuldu. Bağımsız bir kurum olan Güvenlik Standartları Konseyi (PCI SSC) tarafından oluşturulan ve denetlenen PCI DSS’in amacı, tüketici bilgilerini korumak için açık bir standartlar seti oluşturmak, ödeme kartı işlemlerinin güvenliğini artırmak ve kredi kartı sahtekarlığını azaltmaktır.
Büyüklüğünden ve sektörden bağımsız olarak kredi, banka veya nakit kartı bilgileriyle ilgilenen tüm kuruluşlar için geçerlidir.
Müşterilerin kişisel bilgilerini ortaya çıkaran bir veri ihlalinin, bir kuruluş üzerinde ciddi yansımaları olur. Yaşanan bir ihlal, kuruluşların yüklü miktarda para cezasına maruz kalmasına, yıllar süren ve itibar zedeleyen davalara, azalan satışlara ve ve en önemlisi ciddi şekilde zarar gören bir imaja sebep olur.
Bir ihlal yaşadıktan sonra, bir işletmenin kredi kartı işlemlerini durdurmasına veya güvenlik uyumluluğunun ilk maliyetinden daha yüksek bedeller ödemesine zorlanır.
PCI SSC, kart sahibi verilerini işlemek ve güvenli bir ağ sürdürmek için 12 gereksinim belirlemektedir. 6 ana hedef ve alt başlıklar ile bir işletmenin uyumlu hale gelmesi için gerekli olan prosedürleri tanımlamaktadır.
Network Configuration Manager operasyonel verimliliği artırmak için güvenlik duvarı etkinliklerini otomatikleştirmenize olanak tanır. Güvenlik bağlamlarını keşfedin, yapılandırma dosyalarını yedekleyin ve geri yükleyin, Erişim Kontrol Listelerini (ACL’ler) keşfedin, görselleştirin ve denetleyin. Firmware upgrade işlemlerini kolayca yönetin.
Kart sahibinin hassas verileri ve kimlik doğrulama bilgileri, açık, genel ağlar üzerinden aktarım sırasında şifrelenmelidir.
SolarWinds Server Configuration Monitor, sunucu ve uygulamalar üzerinde yapılan değişiklikleri takip eder, kimlerin hangi değişiklikleri gerçekleştirdiğini loglar ve raporlar.
Tüm veri ve sistemlere fiziksel olarak erişim kısıtlanmalıdır.
SolarWinds, ağınızı izlemek ve olası siber güvenlik olaylarına karşı korunmaya yardımcı olmak için hem bulut (SolarWinds Threat Monitor) hem de şirket içi (SolarWinds Log & Event Manager) SIEM araçları sunar. Her ikisi de neredeyse gerçek zamanlı olay korelasyonu, otomatik tehdit iyileştirmeleri ve gelişmiş arama ve adli analiz içerir.
Güçlü bir PCI DSS uyumlu güvenlik ilkesi, PCI DSS kapsamındaki altyapınızın güvenliğini sağlamaya yardımcı olur ve çalışanlarınızdan beklenenler için bir standart belirler.
Her çalışanın hassas müşteri verilerinin güvenliği konusunda kendilerinden ne beklendiğini anlamasını sağlamak çok önemlidir. Tüm personel, verilerin hassasiyetinin ve korunmasına yönelik bireysel ve grup sorumluluklarının farkında olmalıdır.