PCI DSS FAALİYETLERİMİZİ UZAKTAN YÜRÜTÜYORUZ!

Innovera olarak bizim en önemli önceliğimiz çalışanlarımız ve müşterilerimizin sağlıklı ve güvenli bir şekilde çalışmaya devam etmelerini ve hizmetlerimizin kesintisiz bir şekilde çalışmasını sağlamak. Tüm dünyayı olumsuz etkileyen bu olağandışı koşullar sona erene kadar denetimlerimizi PCI SSC rehberliği ışığında uzaktan gerçekleştirerek müşterilerimize sunduğumuz hizmetlerimizin sürekliliğini sağlıyoruz.

Çin’in Wuhan şehrinde başlayıp tüm dünyaya yayılan ve son dönemde ülkemizde de etkilerini göstermeye başlayan koronavirüs (COVID-19) salgını birçok kuruluşu uzaktan çalışma modeline geçişe zorladı. Tüm dünyayı etkileyen bu salgın nedeniyle, normal koşullar altında yerinde denetim çalışmalarını bir norm olarak belirleyen Payment Card Industry Security Standarts Council -PCI SSC- (Ödeme Kartı Sektörü Güvenlik Standartları Konseyi), meydana gelen bu olağanüstü durumu ve insan sağlığına olan etkilerini göz önünde bulundurarak PCI DSS (PCI Veri Güvenliği Standartları) denetimlerinin uzaktan gerçekleştirilmesine onay verdi.

Koronavirüsün tüm dünyaya yayılmasıyla gelinen küresel durum ve bu duruma karşı uluslararası çabalar göz önüne alındığında uzaktan denetimler konusunda denetçi firmalar ve denetime tabi olan kuruluşlar tarafından birçok soru gündeme geldi. PCI SSC Kıdemli Başkan Yardımcısı Troy Leach, son koronavirüs salgını sonrasında PCI DSS denetim süreçlerinin nasıl yapılacağı ve sürdürüleceği konusunda bazı önemli açıklamalarda bulundu.

PCI QSA firması olarak yapılan açıklamalar ışığında, bu olağanüstü durumda denetim ve ilgili süreçlerin nasıl değerlendirileceği ve ilerleteceği hakkında PCI SSC tarafından belirlenen kriterlere yönelik bir bilgilendirme hazırladık. Bu süreçte Innovera olarak bizim en önemli önceliğimiz çalışanlarımız ve müşterilerimizin sağlıklı ve güvenli bir şekilde çalışmaya devam etmelerini ve hizmetlerimizin kesintisiz bir şekilde çalışmasını sağlamak. Tüm dünyayı olumsuz etkileyen bu olağandışı koşullar sona erene kadar denetimlerimizi PCI SSC rehberliği ışığında uzaktan gerçekleştirerek müşterilerimize sunduğumuz hizmetlerimizin sürekliliğini sağlıyoruz.

Seyahat gerektiren tüm faaliyetleri etkiliyor

PCI SSC, koronavirüs ile ilişkili olabilecek olağandışı koşulların sadece toplantılar ve konferanslara katılan büyük grupların toplanmasıyla sınırlı olmadığını, aynı zamanda PCI DSS denetimi gibi ülke içi veya yurtdışı seyahat gerektiren diğer faaliyetleri de etkileyebileceğini kabul etti. Yerinde denetimler, PCI DSS sürecinin zorunlu bir gereksinimi olmakla birlikte, bu öngörülemeyen benzersiz durumda yerinde denetimlerle ilgili kararlar alınırken bireysel sağlık ve güvenliğin de göz önünde bulundurulması gündeme geldi.

Denetimlerin yerinde olması gerekiyor mu?

PCI SSC, koronavirüs ile ilgili belirlenmiş olan kısıtlamalar doğrultusunda, bir denetçinin yerinde denetim nedeniyle bir yere seyahat etmesini geçici olarak engelleyen istisnai durumlar olabileceğini kabul ediyor. Bu tür koşullar nedeniyle, şu anda yerinde bir denetimin mümkün olmaması durumunda denetçilerin PCI SSC tarafından belirlenen kriterlere uymaları gerekiyor. Ancak denetçilerin, uzaktan denetim faaliyetini yürütürken uzaktan yaptıkları herhangi bir doğrulamanın (validation), bir gereksinimin “yerinde” olduğunu ve gerekliliklerle ilgili raporu tamamlayıp imzalamadan önce şartların tam olarak yerine getirildiğinden emin olmak üzere gerekli güvence düzeyinin sağladığından emin olmaları gerekiyor.

Denetimlerin Bütünlüğünün Korunması

Denetçilerin, denetimin bütünlüğünün “uzaktan denetimden” olumsuz etkilenmemesini sağlamak için gerekli tüm adımları atmaları gerekiyor. Örneğin, uzaktan denetim yapılırken görüşülen personelin ve incelenen sistem bileşenlerinin aynı olduğundan emin olmak için özel önlemler almaları gerekebilir. Tüm bu süreçler, denetim yerinde yapılıyormuş gibi yürütülmelidir. Ayrıca, uygulamaları incelemek ve kanıt toplamak için kullanılan yöntemler, yerinden denetimde kullanılan yöntemlerle en az aynı seviyede güvence ile sağlanmalıdır.

Denetçiler ayrıca “Yerinde Denetimin” neden yapılmadığını ve uzaktan denetimin nasıl eşdeğer bir güvence sağladığını “Uygunluk Raporunda” açıkça belgelemekle yükümlüdür.  Bu nedenle bu yükümlülüğü gerçekleştirebilmek için denetime tabi kuruluşlarında gerekli özen ve düzeni göstermesi gereklidir. Denetim veya başka bir talep durumunda, ilgili tüm kanıtlar değerlendirmeyle ilgili hazırlanan belgelerin bir parçası olarak saklanmalıdır.

Uzaktan denetimlerde, denetim sonuçlarının yerinde denetimlerde elde edilenlerle orantılı olmasını sağlamak üzere tüm önlemler alınmalıdır. Bu nedenle denetimin uzaktan yapılması daha uzun sürebilir. Ayrıca bazı test, değerlendirme ve denetim türleri sadece bizzat yerinde yapılabilir ve tamamlanma gecikmeleri kaçınılmaz olabilir.