PCI DSS FAALİYETLERİMİZİ UZAKTAN YÜRÜTÜYORUZ!

Innovera olarak bizim en önemli önceliğimiz çalışanlarımız ve müşterilerimizin sağlıklı ve güvenli bir şekilde çalışmaya devam etmelerini ve hizmetlerimizin kesintisiz bir şekilde çalışmasını sağlamak. Tüm dünyayı olumsuz etkileyen bu olağandışı koşullar sona erene kadar denetimlerimizi PCI SSC rehberliği ışığında uzaktan gerçekleştirerek müşterilerimize sunduğumuz hizmetlerimizin sürekliliğini sağlıyoruz.

Çin’in Wuhan şehrinde başlayıp tüm dünyaya yayılan ve son dönemde ülkemizde de etkilerini göstermeye başlayan koronavirüs (COVID-19) salgını birçok kuruluşu uzaktan çalışma modeline geçişe zorladı. Tüm dünyayı etkileyen bu salgın nedeniyle, normal koşullar altında yerinde denetim çalışmalarını bir norm olarak belirleyen Payment Card Industry Security Standarts Council -PCI SSC- (Ödeme Kartı Sektörü Güvenlik Standartları Konseyi), meydana gelen bu olağanüstü durumu ve insan sağlığına olan etkilerini göz önünde bulundurarak PCI DSS (PCI Veri Güvenliği Standartları) denetimlerinin uzaktan gerçekleştirilmesine onay verdi.

Koronavirüsün tüm dünyaya yayılmasıyla gelinen küresel durum ve bu duruma karşı uluslararası çabalar göz önüne alındığında uzaktan denetimler konusunda denetçi firmalar ve denetime tabi olan kuruluşlar tarafından birçok soru gündeme geldi. PCI SSC Kıdemli Başkan Yardımcısı Troy Leach, son koronavirüs salgını sonrasında PCI DSS denetim süreçlerinin nasıl yapılacağı ve sürdürüleceği konusunda bazı önemli açıklamalarda bulundu.

PCI QSA firması olarak yapılan açıklamalar ışığında, bu olağanüstü durumda denetim ve ilgili süreçlerin nasıl değerlendirileceği ve ilerleteceği hakkında PCI SSC tarafından belirlenen kriterlere yönelik bir bilgilendirme hazırladık. Bu süreçte Innovera olarak bizim en önemli önceliğimiz çalışanlarımız ve müşterilerimizin sağlıklı ve güvenli bir şekilde çalışmaya devam etmelerini ve hizmetlerimizin kesintisiz bir şekilde çalışmasını sağlamak. Tüm dünyayı olumsuz etkileyen bu olağandışı koşullar sona erene kadar denetimlerimizi PCI SSC rehberliği ışığında uzaktan gerçekleştirerek müşterilerimize sunduğumuz hizmetlerimizin sürekliliğini sağlıyoruz.

Seyahat gerektiren tüm faaliyetleri etkiliyor

PCI SSC, koronavirüs ile ilişkili olabilecek olağandışı koşulların sadece toplantılar ve konferanslara katılan büyük grupların toplanmasıyla sınırlı olmadığını, aynı zamanda PCI DSS denetimi gibi ülke içi veya yurtdışı seyahat gerektiren diğer faaliyetleri de etkileyebileceğini kabul etti. Yerinde denetimler, PCI DSS sürecinin zorunlu bir gereksinimi olmakla birlikte, bu öngörülemeyen benzersiz durumda yerinde denetimlerle ilgili kararlar alınırken bireysel sağlık ve güvenliğin de göz önünde bulundurulması gündeme geldi.

Denetimlerin yerinde olması gerekiyor mu?

PCI SSC, koronavirüs ile ilgili belirlenmiş olan kısıtlamalar doğrultusunda, bir denetçinin yerinde denetim nedeniyle bir yere seyahat etmesini geçici olarak engelleyen istisnai durumlar olabileceğini kabul ediyor. Bu tür koşullar nedeniyle, şu anda yerinde bir denetimin mümkün olmaması durumunda denetçilerin PCI SSC tarafından belirlenen kriterlere uymaları gerekiyor. Ancak denetçilerin, uzaktan denetim faaliyetini yürütürken uzaktan yaptıkları herhangi bir doğrulamanın (validation), bir gereksinimin “yerinde” olduğunu ve gerekliliklerle ilgili raporu tamamlayıp imzalamadan önce şartların tam olarak yerine getirildiğinden emin olmak üzere gerekli güvence düzeyinin sağladığından emin olmaları gerekiyor.

Denetimlerin Bütünlüğünün Korunması

Denetçilerin, denetimin bütünlüğünün “uzaktan denetimden” olumsuz etkilenmemesini sağlamak için gerekli tüm adımları atmaları gerekiyor. Örneğin, uzaktan denetim yapılırken görüşülen personelin ve incelenen sistem bileşenlerinin aynı olduğundan emin olmak için özel önlemler almaları gerekebilir. Tüm bu süreçler, denetim yerinde yapılıyormuş gibi yürütülmelidir. Ayrıca, uygulamaları incelemek ve kanıt toplamak için kullanılan yöntemler, yerinden denetimde kullanılan yöntemlerle en az aynı seviyede güvence ile sağlanmalıdır.

Denetçiler ayrıca “Yerinde Denetimin” neden yapılmadığını ve uzaktan denetimin nasıl eşdeğer bir güvence sağladığını “Uygunluk Raporunda” açıkça belgelemekle yükümlüdür.  Bu nedenle bu yükümlülüğü gerçekleştirebilmek için denetime tabi kuruluşlarında gerekli özen ve düzeni göstermesi gereklidir. Denetim veya başka bir talep durumunda, ilgili tüm kanıtlar değerlendirmeyle ilgili hazırlanan belgelerin bir parçası olarak saklanmalıdır.

Uzaktan denetimlerde, denetim sonuçlarının yerinde denetimlerde elde edilenlerle orantılı olmasını sağlamak üzere tüm önlemler alınmalıdır. Bu nedenle denetimin uzaktan yapılması daha uzun sürebilir. Ayrıca bazı test, değerlendirme ve denetim türleri sadece bizzat yerinde yapılabilir ve tamamlanma gecikmeleri kaçınılmaz olabilir.

Facebook yeni bir skandalla karşı karşıya!

419 milyon Facebook kullanıcısının telefon bilgileri, yaşadıkları bölge, cinsiyet ve yaşlarını da içeren kişisel bilgiler internete sızdı. Herkesin kullanabileceği bir veri tabanı aracılığıyla yaşanan sızıntıyı Facebook yetkilileri de doğruladı ancak rakamı yaklaşık 200 milyon olarak açıkladı.

Devamını Oku

VERBİS için son tarih yaklaşırken uzmanlar uyarıyor: KVKK uzun soluklu bir maraton!

Innovera’nın veri güvenliği uzmanları, VERBİS’e kayıt yaptıracak şirketlerin KVKK konusunu hem yasal hem teknolojik açıdan uzun vadeli düşünmesi gerektiği konusunda uyardı. VERBİS’e kayıt zorunluluğuna uymayanları ise 1 milyon TL’ye kadar para cezası bekliyor!

Devamını Oku

ANKARA’DA SHIELDTECH 2018: SOME TEKNOLOJİLERİ GÜNCEL GELİŞMELER ETKİNLİĞİ GERÇEKLEŞTİ!

9 Mayıs Çarşamba günü Ankara Anadolu Hotels Downtown’da 20’den fazla kamu kuruluşuna SOME teknolojileri kapsamında:

Devamını Oku