 |
2007 yılı başından bu yana PCI konusunda danışmanlık ve denetim hizmetlerini Türkiye’de yerleşik kuruluşlara sağlıyoruz. |
PCI ile ilgili olarak uyum hazırlıklarını tartışmaya gittiğimiz pek çok büyük üye işyerleri ve bankalar konudan bile haberdar değildi; kredi kartı üreticilerinin de yoğun bir baskısı yoktu. Ne olduysa son iki ay içerisinde oldu. Bilenler bilir, Pro-G olarak 2007 ortasından bu yana PCI uyumu konusunda Türkiye’de Trustwave firmasını temsil ediyoruz. Her ne olduysa birisi düğmeye bastı; son iki ay içerisinde PCI konusunda hazırlık yapmak isteyen, denetim yaptırmak isteyen kuruluş sayısı bir anda arttı. Kart üreticileri ya da BKM bünyesinde alınan bir kararın sonucunda olduğunu tahmin ettiğim bu gelişme ile çok sayıda kuruluş bizden PCI ile ilgili hizmet almaya başladı. Batı Avrupa’dan yaklaşık iki yıl geriden gelse de PCI standardının Türkiye’de de dikkate alınmaya başlamasından bir güvenlikçi olarak mutlu olduğumu da not etmem lazım.
Üye işyerlerinin güvenlik çıtasının yükseltilmesi ile ilgili konuda geç bile kaldığımızı düşünüyorum. Pek çok üye işyeri hala kredi kartı bilgilerini veritabanlarında saklıyor, kredi kartı işlemi yapılan ağlarını yalıtmak için çaba sarfetmiyor, kuruluşa özel yazılımların güvenlik özellikleri neredeyse tümüyle gözardı ediliyor, güvenlik yönetim çerçevesi (politikalar, talimatlar vb.) yok denecek kadar az. En azından benim genel gözlemlerim bu çerçevede; mutlaka daha iyi ve daha kötü durumda üye işyerleri de vardır.
PCI’ın zorunlulukları nedeniyle kuruluşlar Accredited Scan Vendor (ASV)’lerden İnternet zafiyet tarama hizmetleri ve özellikle de Qualified Security Assessor (QSA)’lerden yerinde denetim hizmetleri almaya başladıklarında, en azından ilk seferde, çok fazla problem gözleniyor ve neresinden baksanız 6 ay – 1 yıllık proje takvimleri ile iyileştirme projelerinin düğmesine basılıyor.
Genel olarak regülasyonlar ile gelen güvenlik baskısını sevmem, çok işe yaradığını da düşünmem. Yine de, dediğim gibi, üye işyerlerinin kart altyapısı güvenliği ortalamada o kadar zayıf ki regülasyon ile gelen baskıdan da ciddi katkı beklenebileceğini düşünüyorum.