Dijital güvenlik yeni kurallar kazandı ve kart verilerini işleyen şirketlerin uyum sağlaması gerekiyor. PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından oluşturulan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı'nın (PCI DSS) 4.0 sürümünün kullanıma sunulmasıyla birlikte, önemli değişiklikler yaşandı ve müşteri verilerinin korunmasını ve ödeme verilerinin nasıl saklandığını, işlendiğini ve iletildiğini doğrudan etkiledi. Peki gerçekten ne değişiyor?
Temel değişiklik, daha da yüksek bir dijital güvenlik seviyesine duyulan ihtiyaçtır. Şirketler, güçlü şifreleme ve çok faktörlü kimlik doğrulama gibi gelişmiş teknolojilere yatırım yapmak zorunda kalacak. Bu yöntem, sistemlere, uygulamalara veya işlemlere erişim izni vermeden önce kullanıcının kimliğini doğrulamak için en az iki doğrulama faktörü gerektirir ve bu da suçlular parolalara veya kişisel verilere erişse bile, bilgisayar korsanlığını daha da zorlaştırır.
Kullanılan kimlik doğrulama faktörleri arasında şunlar yer almaktadır:
- Kullanıcının bildiği bir şey : şifreler, PIN'ler veya güvenlik sorularının yanıtları.
- Kullanıcının sahip olduğu bir şey : fiziksel belirteçler, doğrulama kodlarını içeren SMS'ler, kimlik doğrulama uygulamaları (Google Authenticator gibi) veya dijital sertifikalar.
- Kullanıcının bir özelliği : dijital, yüz, ses veya iris tanıma biyometrisi.
"Bu koruma katmanları yetkisiz erişimi çok daha zor hale getiriyor ve hassas veriler için daha fazla güvenlik sağlıyor" diye açıklıyor.
"Kısacası, yetkisiz erişimi önlemek için ek önlemler uygulayarak müşteri verilerinin korunmasını güçlendirmemiz gerekiyor," diye açıklıyor uygulama güvenliği çözümleri geliştiricisi Conviso'nun CEO'su Wagner Elias. "Artık mesele 'gerektiğinde uyum sağlamak' değil, önleyici tedbirler almak," diye vurguluyor.
Yeni kurallara göre uygulama iki aşamada gerçekleşecek: 13 yeni şart içeren ilk aşamanın son tarihi Mart 2024. Daha zorlu olan ikinci aşama ise 51 ek şart içeriyor ve 31 Mart 2025'e kadar karşılanması gerekiyor. Başka bir deyişle, hazırlık yapmayanlar ağır cezalarla karşı karşıya kalabilir.
Yeni gereksinimlere uyum sağlamak için atılması gereken temel adımlar arasında şunlar yer alıyor: güvenlik duvarları ve güçlü koruma sistemleri uygulamak; veri iletimi ve depolamada şifreleme kullanmak; şüpheli erişim ve faaliyetleri sürekli olarak izlemek ve takip etmek; güvenlik açıklarını belirlemek için süreçleri ve sistemleri sürekli olarak test etmek; ve sıkı bir bilgi güvenliği politikası oluşturmak ve sürdürmek.
Wagner, pratikte bunun, kartlı ödemeleri işleyen her şirketin tüm dijital güvenlik yapısını gözden geçirmesi gerekeceği anlamına geldiğini vurguluyor. Bu, sistemlerin güncellenmesini, iç politikaların güçlendirilmesini ve riskleri en aza indirmek için ekiplerin eğitilmesini içeriyor. "Örneğin, bir e-ticaret şirketinin müşteri verilerinin uçtan uca şifrelenmesini ve hassas bilgilere yalnızca yetkili kullanıcıların erişebilmesini sağlaması gerekecek. Öte yandan bir perakende zincirinin, olası dolandırıcılık girişimlerini ve veri sızıntılarını sürekli olarak izlemek için mekanizmalar uygulaması gerekecek," diye açıklıyor.
Bankalar ve fintech'lerin de kimlik doğrulama mekanizmalarını güçlendirmeleri, biyometri ve çok faktörlü kimlik doğrulama gibi teknolojilerin kullanımını yaygınlaştırmaları gerekecek. "Amaç, müşteri deneyiminden ödün vermeden işlemleri daha güvenli hale getirmek. Bu, finans sektörünün son yıllarda geliştirdiği bir şey olan koruma ve kullanılabilirlik arasında bir denge gerektiriyor," diye vurguluyor.
Peki bu değişim neden bu kadar önemli? Dijital dolandırıcılığın giderek daha karmaşık hale geldiğini söylemek abartı olmaz. Veri ihlalleri milyonlarca dolarlık kayıplara ve müşteri güveninde telafisi mümkün olmayan hasarlara yol açabilir.
Wagner Elias şu uyarıda bulunuyor: "Birçok şirket hâlâ reaktif bir yaklaşım benimsiyor ve güvenlik konusunda yalnızca bir saldırı gerçekleştikten sonra endişeleniyor. Bu davranış endişe verici, çünkü güvenlik ihlalleri önemli mali kayıplara ve kuruluşun itibarına telafisi mümkün olmayan zararlara yol açabilir; bu da önleyici tedbirlerle önlenebilir."
Bu risklerden kaçınmanın anahtarının, yeni uygulamanın geliştirilmesinin başlangıcından itibaren Uygulama Güvenliği uygulamalarını benimsemek ve yazılım geliştirme döngüsünün her aşamasında koruyucu önlemlerin mevcut olduğundan emin olmak olduğunu vurguluyor. Bu, koruyucu önlemlerin yazılım yaşam döngüsünün tüm aşamalarında uygulanmasını sağlar ve bu da bir olaydan sonra hasarı gidermekten çok daha uygun maliyetlidir.
Bunun dünya çapında büyüyen bir trend olduğunu belirtmekte fayda var. Mordor Intelligence'a göre, 2024 yılında 11,62 milyar dolar değerinde olan uygulama güvenliği pazarının 2029 yılına kadar 25,92 milyar dolara ulaşması bekleniyor.
Wagner, DevOps gibi çözümlerin, penetrasyon testi ve güvenlik açığı azaltma gibi hizmetlere ek olarak, her kod satırının güvenli yöntemlerle geliştirilmesine olanak tanıdığını açıklıyor. "Sürekli güvenlik analizi ve test otomasyonu yürütmek, şirketlerin verimlilikten ödün vermeden düzenlemelere uymasını sağlar," diye vurguluyor.
Ayrıca, şirketlerin yeni PCI DSS 4.0 gerekliliklerine uyum sağlamasına yardımcı olan uzmanlaşmış danışmanlık hizmetleri de bu süreçte önemli. "En çok talep gören hizmetler arasında, suçlular tarafından istismar edilmeden önce güvenlik açıklarının tespit edilip düzeltilmesine yardımcı olan Penetrasyon Testi, Kırmızı Takım ve üçüncü taraf güvenlik değerlendirmeleri yer alıyor." diye açıklıyor.
Dijital dolandırıcılık giderek daha karmaşık hale geldikçe, veri güvenliğini göz ardı etmek artık bir seçenek değil. "Önleyici tedbirlere yatırım yapan şirketler, müşterilerinin korunmasını sağlar ve pazar konumlarını güçlendirir. Yeni yönergelerin uygulanması, her şeyden önce, daha güvenli ve daha güvenilir bir ödeme ortamı oluşturma yolunda önemli bir adımdır," diye sözlerini tamamlıyor.
