Kredi kartı güvenliğinde çeşitli enstrümanlar kullanılıyor. Bunların en günceli ve en çok suistimal edileni POS PIN Pad veya şifre giriş cihazları. PIN Pad’lerin kullanılması 5464 Banka Kartları ve Kredi Kartları Kanunu 27. maddesinde açıkca belirtilmiş. Fakat çoğunlukla işyerlerinde kullanılmadığını görebilirsiniz.
PIN Pad Kullanılmasının Amacı: Girilen PIN’ler kart no, PIN uzunluğu, ve PIN’in kendisi gibi bileşenler kullanılarak pin-block formatlarına çevrilmekte ve bu aşamadan sonra yapılan tüm işlemler pin-block yapısı üstünden gerçekleştirilmektedir. Bir nevi şifreleniyor.
Kredi kartları işlemleri finansal işlemler olduğu için güvenlik üst düzeyde sağlanmış olması gerekir. Kim kartından izinsiz 1000 TL işlem yapılmasını ister ? 
Sanırım hiç kimse…
Bu kapsamda gerek issuer (kart sahibi kuruluş), gerekse acquirer (üye işyeri bulunduran, atm/pos sahibi kuruluş) firmaların uyması gereken PCI-DSS (PCI Data Security Standards), PA DSS (Payment Application Data Security Standards) ve PIN Transaction Security Standards gibi regülasyonlar mevcut.
Temel olarak güvenlikde baz alınan PCI’ın PIN Transaction Security gereksinimlerinden kısaca bahsedersem;
-Tamper-proof/respondent cihazların temini
-Keylerin üretilmesi ve saklanması
-Keylerin işlenmesi, paylaşılması ve kullanım dışına alınması
-Pin güvenliği
Tamper-Proof/Respondent Cihazların Temini: HSM, ESM, ATM, ve POS gibi cihazların temini PIN ve KEY güvenliği sağlanması çabalarının ilk adımı sayılabilir. Firmalar üretim ortamında kullanacakları cihazların yazılım ve donanım bazında herhangi bir illegal müdahaleye maruz kalmadığından emin olmaları gerekmektedir. Bunun için de satın alma, stok takibi ve kurulum gibi süreçler bu prensibe göre dizayn ediliyor. Örneğin yeni bir ATM alımında firmaya ulaşan ATM ile fatura üstünde belirtilen PIN-PAD seri numalaraları karşılaştırılmalı, ATM ambalajının taşıma aşamasında açılıp açılmadığı kontrol edilmeli ve ATM en az iki kişi ile sürekli izlenen depolama alanına kaldırılmalıdır. ATM’in depodan sahaya çıkarılıp kurulması adımlarında da aynı hassasiyet gösterilmelidir. Kısacası bu tür cihazlara illegal müdahale olmadığını kanıtlayabilmek adına delil zinciri oluşturulmalıdır.
Key üretimi için HSM ve ESM denilen tamper-proof cihazlar kullanılmaktadır. Tamper-proof/respondent özelliğe sahip bu cihazlar üzerlerinde bulunan armed kontrollerinin aktif tutulması ile herhangi bir fiziksel zorlamaya karşı üzerlerindeki bilgileri yok eder ve kendilerini kullanılamaz konumuna alırlar. Keylerin güvenliği için bu cihazlar üzerindeki armed kontrolünün aktif halde olduğundan emin olmak gerekmektedir. HSM’in ön panelinde security veya armed ledleri yanıyorsa tamper prof/respondent kontrolü aktif demektir.
Konu biraz uzun olduğu için HSM key tipleri v.b. diğer konuları başka bir konuda yine anlatırım…
Kayıtlar
0 comments :
Yorum Gönder