GDPR ilk olarak 2016 yılında oluşturulan bir Avrupa Birliği yasasıdır. Tüm amacı veri gizliliğiyle uğraşmaktır. Veri toplayan veya bu verileri işleyen herhangi bir kuruluş (işletme, devlet kurumu gibi) için geçerli bir yönetmeliktir. Bir kuruluş AB içinde olmasa dahi, AB içerisinde iş yapıyorsa veya AB verileri topluyor / işliyorsa, o zaman GDPR devreye girer ve uygulanır. GDPR 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği’ne üye ülkelerde zorunlu hale getirilmiştir. Avrupa Birliği’ne üye tüm ülkelerde kişisel verilerin işlenmesi, saklanması veyahut kullanılmasını sağlarken belirtilen kurallar çerçevesinde güvenliğini sağlamayı konu edinmiştir. Bu noktada amaç veri gizliliği ile uğraşmak olduğu gibi Avrupa Birliği vatandaşların bilgilerini koruma altına almıştır.
GDPR gibi ülkemizde KVKK uygulanmaktadır. Ülkemizde kişisel verilerin korunması, 2000’li yıllardan itibaren gündeme gelmiş ve Kişisel Verilerin Korunması Kanunu olarak 2016 yılında birçok maddesiyle yürürlüğe girmiştir. Bu tarihten günümüze kadar teknolojik gelişmelere ayak uydurarak belirlenen şekillerde uygulanmaya devam etmektedir.
GDPR gibi sektörlere özel, birçok yönetmelik bulunmaktadır. PCI DSS adını verdiğimiz bir diğer yönetmelikte bunlardan biridir. Ödeme Kartı Sektörüne özel olarak geliştirilmiş Veri Güvenliği Standardı (PCI DSS) olarak tanımlanır. Bu yönetmelik VISA ve MasterCard gibi kredi ve banka kartlarının kart sahibi bilgilerini işleyen kuruluşlar için tescilli bir bilgi güvenliği standardı olarak karşımıza gelmektedir.
PCI DSS gerekliliklerine baktığımız zaman; tüm satıcılar, bir güvenlik duvarı ve yönlendirici sistemi kurarak kart sahibi bilgilerini korumalıdır. Güvenlik duvarı sistemi kurmak, bir kuruluşun ağına kimlerin erişebileceği konusunda kontrol sağlar ve yönlendirici, ağları bağlayan bir cihazdır ve bu nedenle PCI uyumludur.
Veri Koruma Yönetmelikleri
Güvenlik duvarı (Firewall) ve yönlendirici standartları şu şekilde tanımlanır.
1. Konfigürasyonlar değiştiğinde test yapın.
2. Kart sahibi bilgilerine yapılan tüm bağlantıları belirleyin.
3. Yapılandırma kurallarını altı ayda bir gözden geçirin.
Güvenlik duvarını, ağlardan ve ana bilgisayarlardan yetkisiz erişimi engellemek ve kart sahibi hakkında herhangi bir bilgiye doğrudan genel erişimi engellemek için yapılandırılmalıdır. Ayrıca, kuruluşun PCI uyumluluk ağına erişen tüm bilgisayarlara güvenlik duvarı yazılımı yüklenmelidir.
Bu noktada tüm varsayılan şifreleri değiştirmeniz gerekmektedir. Yazılımı ilk kez kurarken sağlanan varsayılan şifreler tespit edilir ve bilgisayar korsanları tarafından hassas bilgilere erişmek için kolayca kullanılabilir.
Kart sahibi verileri, kart sahibiyle ilgili, ödeme kartında bulunan ve hiçbir zaman bir satıcı tarafından kaydedilemeyen kişisel bilgilerdir. Buna yetkilendirmeden sonra şifreli kimlik doğrulama verilerinin korunması da dahildir. Satıcılar yalnızca birincil hesap numarasının (PAN) ilk altı ve son dört basamağının maksimum sayısını görüntüleyebilir. Bir satıcı PAN’ı saklıyorsa, verilerin şifreli bir biçimde kaydederek güvenli olmasını sağlamalıdır.
Siber suçluların işlem sırasında kişisel bilgileri çalmasını önlemek için veri, internet gibi genel ağlar üzerinden aktarılırken tüm bilgilerin şifrelenmesi gerekir.
Bilgisayar virüsleri, bilgisayarlara birçok şekilde, ancak esas olarak e-posta ve diğer çevrimiçi etkinlikler yoluyla bulaşabilir. Virüsler, bir satıcının bilgisayarındaki kişisel kart sahibi bilgilerinin güvenliğini tehlikeye atar ve bu nedenle ağda ilişkili tüm bilgisayarlarda virüsten koruma yazılımı bulunmalıdır.
Virüsten koruma yazılımına ek olarak, bilgisayarlar ayrıca yüklü uygulamalarda ve sistemlerde bir ihlale karşı hassastır. Satıcıların, kart sahibi verilerini göstermekten kaçınmak için satıcının sağladığı güvenlik yamalarını yayınlandıktan sonraki bir ay içinde yüklemeleri gerekir. Güvenlik uyarısı programları, tarama hizmetleri veya yazılım, satıcıya savunmasız bilgilerin bildirilmesi için kullanılabilir.
Bir satıcı olarak, kart sahibi bilgilerinin erişilebilirliğini sınırlamanız gerekir. Çalışanların kart sahibi verilerine erişimini sınırlamak için şifreler ve diğer güvenlik ölçümlerini yüklenmelidir. Yalnızca işlerini tamamlamak için bilgilere erişmesi gereken çalışanların bilgilere erişmesine izin verilir.
Hassas bilgilere erişirken çalışanların faaliyetlerini izlemek için her kullanıcıya kart sahibi verilerine erişmek için kullanılan okunamayan bir parola atamalıdır.
Kart sahibi verilerine fiziksel erişimi izlemek gerekir. Yetkisiz kişilerin dijital ve basılı bilgileri güvenceye alarak bilgileri almalarına izin verilmemelidir. Tüm eski kart sahibi bilgilerini yok edilmeli ve bir ziyaretçi günlüğü tutarak ve günlük (log kaydı) en az üç ay saklanmalıdır.
Tüm etkinliği izleyen ve günlük olarak gözden geçiren sistem etkinliği günlükleri tutulmalıdır. Günlüklerde depolanan bilgiler, çalışan faaliyetlerini izlemek ve ihlalin kaynağını bulmak için bir güvenlik ihlali durumunda kullanılır. Kullanıcı, olay, tarih ve saat, başarı veya hata sinyali, etkilenen verilerin kaynağı ve sistem bileşeni gibi bilgileri içermelidir.
Her üç ayda bir, yetkisiz erişimi önlemek amacıyla kablosuz erişim noktalarını kontrol etmek için bir kablosuz analiz cihazı kullanılır. Ayrıca, sistemdeki olası savunmasız alanları tanımlamak için iç ve dış ağları taramalısınız. Yetkisiz personel tarafından yapılacak değişiklikleri tanımak için gerekli uygulamalar yüklenmelidir. Ayrıca, tüm IDS / IPS motorlarının güncel olduğundan emin olunarak çalışma devam eder. Kredi kartlarını işliyorsanız, bu standarda uymanız zorunludur.
Bu ve benzeri standartların amacı, verilerin gizliliğini sağlamak ve korumaktır. Kişisel veriler günümüz internet dünyasındaki en kritik varlıklarımızdır. Kurumlar sahip oldukları bilgiyi işler, derler, paylaşır, satar veyahut benzeri şekillerde gelir elde etmektedirler. Bu durumda vatandaşların haklarını korumak ve bilgiye erişimi düzenlemek zorundayız. Bilgiye erişimi düzenlemek ve bilgiyi korumak için karşımıza gelen bu standartlar kurumların iş verimliliğini artırdığı gibi, vatandaşların haklarını da korumaktadır.