pci dss hizmetler sunumu
TRANSCRIPT
PCI DSS Denetim ve Danışmanlık Hizmeti
BİZNET BİLİŞİM
Ateş Sünbül, CISA, ISO 27001 LA, PCI DSS QSA
BT Güvenlik Uzmanı
DanışmanlıkHizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve BilgiGüvenliği
E-fatura
Denetim Hizmetleri
ÖzgünYenilikçi
Yazılımlar
Sızma Testleri
Kimlik ve Erişim Yönetimi
ISO27001Bilgi Güvenliği
Yönetim Platformu
• Sadece ağ ve bilgi güvenliği üzerineentegrasyon, danışmanlık, test ve denetimhizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelenkurumlarda çok fazla sayıda kimliği yönetenbaşarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıranözgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSAsertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’eçoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerindeçalışanı bulunmaktadır.
2000 yılından bu yana...
AĞGÜVENLİĞİ
MOBİLGÜVENLİK
UYGULAMA GÜVENLİĞİ
ERİŞİM YÖNETİMİ
UYUMLULUK HİZMETİ
KİMLİK YÖNETİMİ
VERİ GÜVENLİĞİ
• Kart hizmetleri sunan firmaların operasyonlarınıgerçekleştirirken uyması gereken uluslararası kurallarmevcuttur. Bu kurallar PCI (Payment Card Industry) adıverilen ve aralarında American Express, MasterCardWorldwide, Visa, Discover Financial Services gibi üyeleribulunan bir konsey tarafından geliştirilmekte veyayımlanmaktadır.
• Bu kapsamda gerek issuer (kart sahibi kuruluş), gerekseacquirer (üye işyeri bulunduran, atm/pos sahibi kuruluş)firmaların uyması gereken PCI-DSS (PCI Data SecurityStandards), PA DSS (Payment Application Data SecurityStandards) ve PIN Transaction Security Standards gibiregülasyonlar mevcuttur.
PCI Güvenlik ve Uyum
Veri Güvenlik
Ödeme Uygulama Güvenlik
Pin Güvenlik
PCI PTSPCI PA-
DSSPCI DSS
PCI DSS denetiminde toplam 12 gereksinim alanı değerlendirilmektedir:
Ağ güvenliği
• Kart bilgisi taşıyan cihazların güvenlik duvarı aracılığıyla korunması
• Standart şifrelerin kullanılmaması ve diğer güvenlik önlemleriKart sahibi verisinin korunması
• Verinin korunması
• Veri iletiminin şifrelenmesiZafiyet yönetim yapısının oluşturulması
• Anti-virüs önleminin alınması ve düzenli güncellenmesi
• Güvenli sistem ve uygulamalar geliştirmekGüçlü erişim kontrollerinin uygulanması
• Kart sahibi bilgilerine erişimin kısıtlanması
• Her kullanıcı için ayrı hesap yaratılması
• Kart sahibi bilgilerini taşıyan cihazlara fiziksel erişim güvenliğinin sağlanmasıAğ yapısının düzenli izlenmesi ve test edilmesi
• Ağ kaynak ve kart verilerine erişimin düzenli izlenmesi ve kontrol edilmesi
• Güvenlik sistem ve süreçlerinin düzenli olarak test edilmesiBilgi güvenliği politikasının sağlanması
• Bilgi güvenliğini adresleyen politikanın hazırlanması
DanışmanlıkDanışmanlık Hizmetikapsamında tespit edileneksikliklere ilişkin iyileştirmeaksiyonları alınır ve çalışmatamamlanır.
Ön Denetim(GAP Analiz)
Yerinde denetime hazırlananşirketlerin tercih ettiğiaksaklıkların tespit edildiği (GapAnalysis) çalışmadır. Çalışmakapsamında gap analiz raporuve önceliklendirme analizdokümanı hazırlanır.
Yerinde DenetimPCI DSS uyumluluğunun tespit edildiği anadenetimdir. Report of Compliance (ROC) veAttestation of Compliance (AOC)düzenlenir. 1 yıl geçerlidir.
Birinci Aşama
Kurum stratejik hedeflerinin
belirlenmesi, standart
hedefleriyle uyum ve kapsam
belirlenmesi
İkinci Aşama
Varolan yapının PCI DSS
kontrolleri esas alınarak
değerlendirilmesi ve
uyumsuzlukların tespit
edilmesi
Üçüncü Aşama
Aksiyon planlarının
belirlenmesi ve proje yol
haritasının hazırlanması
Dördüncü Aşama
Yol haritasının ve
aksaklıkların üst yönetimle
paylaşılması
Yerinde denetim öncesinde son durumun tespit edilmesi önemli !!
Üst Yönetim Beklentileri
Denetim & Risk Yönetimi
Sistem ve Süreç Envanteri Analizi
İş Birimleriyle Görüşmeler
Kontrol Değerlendirme
Bulguların Raporlanması
Aksiyonlar
İyileştirme Aksiyonlarının Teyit Edilmesi
ve ROC Hazırlanası
Varolan ortam değerlendirilir
Süreç sahipleriyle güvenlik ve
ihtiyaç analizi
Risklerin belirlenmesi ve kontrollerin testi
Tespit edilen bulgular raporlanır ve aksiyon planları
belirlenir
Güvenlik Proje planına istinaden alınan
aksiyonlar yönetime düzenli raporlanır ve uyarlamalar yapılır.
PCI DSS Yerinde
Denetim
DenetimPlanı
PCI DSS genel anlatımı ve test adımları
PCI DSS gereksinimlerinin üstünden geçilmesi ve anlatımı
PCI DSS ile ilişkili PA-DSS, PTS DSS ve P2PE standartlarına genel bakış
Denetim kapsam belirleme, eksiklik tespiti, değerlendirme ve giderme planları
Kart endüstrisi ve çeşitli organizasyonların ilişkileri
Kart şirketleri gereksinimleri
PCI donanım ve iletişim altyapısı
PCI raporlama standartları
Standart şablonları
Kompanse kontrol tasarımı ve riskler
Gereksinimlere ilişkin soru cevaplar
KazanımlarEğitim İçeriği
PCI DSS gereksinimlerini esas alarak denetim gerçekleştirmesi
Kart yapısına ilişkin doğru kapsam belirleyebilmesi
Ağ ayrımı konusunda görüş ve öneri sunabilmesi
PCI DSS denetimi gerçekleştirebilmesi ve rapor oluşturabilmesi
Bulgu giderme önerilerini yapabilmesi ve giderme planını oluşturabilmesi
GÜÇLÜ İŞ ORTAKLARI
DİNAMİK YAPI
DENEYİM
BİLGİ GÜVENLİĞİODAKLI YAKLAŞIM
EKİPÜRÜN ve HİZMETPORTFÖYÜ
ÖZGÜN ÜRÜNLER