PCI DSS Denetim ve Danışmanlık Hizmeti

BİZNET BİLİŞİM

Ateş Sünbül, CISA, ISO 27001 LA, PCI DSS QSA

BT Güvenlik Uzmanı

ates.sunbul@biznet.com.tr

DanışmanlıkHizmetleri

E-imza

PCI-DSS

Entegrasyon

KEP

Ağ ve BilgiGüvenliği

E-fatura

Denetim Hizmetleri

ÖzgünYenilikçi

Yazılımlar

Sızma Testleri

Kimlik ve Erişim Yönetimi

ISO27001Bilgi Güvenliği

Yönetim Platformu

• Sadece ağ ve bilgi güvenliği üzerineentegrasyon, danışmanlık, test ve denetimhizmetleri sunmaktadır.

• Kimlik ve Erişim Yönetimi alanında önde gelenkurumlarda çok fazla sayıda kimliği yönetenbaşarılı projelere imza atmıştır.

• Hizmetlerini zenginleştiren ve farklılaştıranözgün yazılımlar geliştirir.

• PCI Komitesi tarafından PCI ASV ve QSAsertifikasyonuna sahip tek yerel firmadır.

• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’eçoğunluk hissedar olarak ortak olmuştur.

• Ankara ve Istanbul’da toplam 50’nin üzerindeçalışanı bulunmaktadır.

2000 yılından bu yana...

AĞGÜVENLİĞİ

MOBİLGÜVENLİK

UYGULAMA GÜVENLİĞİ

ERİŞİM YÖNETİMİ

UYUMLULUK HİZMETİ

KİMLİK YÖNETİMİ

VERİ GÜVENLİĞİ

UYUMLULUK HİZMETİ

• Kart hizmetleri sunan firmaların operasyonlarınıgerçekleştirirken uyması gereken uluslararası kurallarmevcuttur. Bu kurallar PCI (Payment Card Industry) adıverilen ve aralarında American Express, MasterCardWorldwide, Visa, Discover Financial Services gibi üyeleribulunan bir konsey tarafından geliştirilmekte veyayımlanmaktadır.

• Bu kapsamda gerek issuer (kart sahibi kuruluş), gerekseacquirer (üye işyeri bulunduran, atm/pos sahibi kuruluş)firmaların uyması gereken PCI-DSS (PCI Data SecurityStandards), PA DSS (Payment Application Data SecurityStandards) ve PIN Transaction Security Standards gibiregülasyonlar mevcuttur.

PCI Güvenlik ve Uyum

Veri Güvenlik

Ödeme Uygulama Güvenlik

Pin Güvenlik

PCI PTSPCI PA-

DSSPCI DSS

PCI DSS denetiminde toplam 12 gereksinim alanı değerlendirilmektedir:

Ağ güvenliği

• Kart bilgisi taşıyan cihazların güvenlik duvarı aracılığıyla korunması

• Standart şifrelerin kullanılmaması ve diğer güvenlik önlemleriKart sahibi verisinin korunması

• Verinin korunması

• Veri iletiminin şifrelenmesiZafiyet yönetim yapısının oluşturulması

• Anti-virüs önleminin alınması ve düzenli güncellenmesi

• Güvenli sistem ve uygulamalar geliştirmekGüçlü erişim kontrollerinin uygulanması

• Kart sahibi bilgilerine erişimin kısıtlanması

• Her kullanıcı için ayrı hesap yaratılması

• Kart sahibi bilgilerini taşıyan cihazlara fiziksel erişim güvenliğinin sağlanmasıAğ yapısının düzenli izlenmesi ve test edilmesi

• Ağ kaynak ve kart verilerine erişimin düzenli izlenmesi ve kontrol edilmesi

• Güvenlik sistem ve süreçlerinin düzenli olarak test edilmesiBilgi güvenliği politikasının sağlanması

• Bilgi güvenliğini adresleyen politikanın hazırlanması

DanışmanlıkDanışmanlık Hizmetikapsamında tespit edileneksikliklere ilişkin iyileştirmeaksiyonları alınır ve çalışmatamamlanır.

Ön Denetim(GAP Analiz)

Yerinde denetime hazırlananşirketlerin tercih ettiğiaksaklıkların tespit edildiği (GapAnalysis) çalışmadır. Çalışmakapsamında gap analiz raporuve önceliklendirme analizdokümanı hazırlanır.

Yerinde DenetimPCI DSS uyumluluğunun tespit edildiği anadenetimdir. Report of Compliance (ROC) veAttestation of Compliance (AOC)düzenlenir. 1 yıl geçerlidir.

Birinci Aşama

Kurum stratejik hedeflerinin

belirlenmesi, standart

hedefleriyle uyum ve kapsam

belirlenmesi

İkinci Aşama

Varolan yapının PCI DSS

kontrolleri esas alınarak

değerlendirilmesi ve

uyumsuzlukların tespit

edilmesi

Üçüncü Aşama

Aksiyon planlarının

belirlenmesi ve proje yol

haritasının hazırlanması

Dördüncü Aşama

Yol haritasının ve

aksaklıkların üst yönetimle

paylaşılması

Yerinde denetim öncesinde son durumun tespit edilmesi önemli !!

Büyük zekalar, birlikte düşünür.

Malcolm X

Üst Yönetim Beklentileri

Denetim & Risk Yönetimi

Sistem ve Süreç Envanteri Analizi

İş Birimleriyle Görüşmeler

Kontrol Değerlendirme

Bulguların Raporlanması

Aksiyonlar

İyileştirme Aksiyonlarının Teyit Edilmesi

ve ROC Hazırlanası

Varolan ortam değerlendirilir

Süreç sahipleriyle güvenlik ve

ihtiyaç analizi

Risklerin belirlenmesi ve kontrollerin testi

Tespit edilen bulgular raporlanır ve aksiyon planları

belirlenir

Güvenlik Proje planına istinaden alınan

aksiyonlar yönetime düzenli raporlanır ve uyarlamalar yapılır.

PCI DSS Yerinde

Denetim

DenetimPlanı

PCI DSS genel anlatımı ve test adımları

PCI DSS gereksinimlerinin üstünden geçilmesi ve anlatımı

PCI DSS ile ilişkili PA-DSS, PTS DSS ve P2PE standartlarına genel bakış

Denetim kapsam belirleme, eksiklik tespiti, değerlendirme ve giderme planları

Kart endüstrisi ve çeşitli organizasyonların ilişkileri

Kart şirketleri gereksinimleri

PCI donanım ve iletişim altyapısı

PCI raporlama standartları

Standart şablonları

Kompanse kontrol tasarımı ve riskler

Gereksinimlere ilişkin soru cevaplar

KazanımlarEğitim İçeriği

PCI DSS gereksinimlerini esas alarak denetim gerçekleştirmesi

Kart yapısına ilişkin doğru kapsam belirleyebilmesi

Ağ ayrımı konusunda görüş ve öneri sunabilmesi

PCI DSS denetimi gerçekleştirebilmesi ve rapor oluşturabilmesi

Bulgu giderme önerilerini yapabilmesi ve giderme planını oluşturabilmesi

GÜÇLÜ İŞ ORTAKLARI

DİNAMİK YAPI

DENEYİM

BİLGİ GÜVENLİĞİODAKLI YAKLAŞIM

EKİPÜRÜN ve HİZMETPORTFÖYÜ

ÖZGÜN ÜRÜNLER