Browse Tag

BDDK

POS Cihazlarında Görevimiz Tehlike Modeli

Televizyon tarihinin ünlü dizilerinden “Görevimiz Tehlike”de kullanılan, güvenlik için diskteki bilgilerin imha edilmesine benzer bir yöntem kredi ve banka kartlarında dolandırıcılığı önlemek için uygulamaya geçiriliyor.
 
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), kartların kullanıldığı POS cihazlarında usulsüz kullanıma karşı cihazın kendini devre dışı bırakarak verileri imha etmesini sağlayacak sistemi zorunlu hale getiriyor.
 
BDDK, Banka Kartları ve Kredi Kartları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik Taslağını görüşe açtı. Kartların kullanıldığı POS cihazlarına ilişkin yeni tedbirler getirilen taslağa göre; POS üzerindeki her türlü yazılımın, üye işyeri anlaşması yapan kuruluş veya bunlar tarafından görevlendirilmiş kişi veya taraflar haricinde kişilerce ve yetkisiz olarak değiştirilmeye karşı korumalı olmasını sağlamak için gerekli önlemler alınacak. Söz konusu uygulamalara erişimin, asimetrik şifrelemede kullanılan özel anahtar doğrulamasına dayalı mekanizmalar gibi, aşılması zor ve güçlü kimlik doğrulama mekanizmaları ile gerçekleşmesini zorunlu kılacak.
 
YETKİSİZ FİZİKİ VEYA ELEKTRONİK ERİŞİMDE DURACAK
 
POS, işleme tabi tutulmakta olan kartlara ilişkin hassas verilere veya üzerine yüklenmiş her türlü yazılıma yetkisiz fiziki veya elektronik erişim teşebbüslerinde derhal devre dışı kalarak erişimi engelleyecek ve kartlara ilişkin hassas verileri silerek imha edecek.
 
POS, üzerindeki kriptografik anahtarlar, PIN veya şifreler gibi hassas verilere veya bu verileri işleyen hassas fonksiyonlara erişim kimlik doğrulama kontrolleri ile sağlanacak.
 
POS, şifrelemede veya kimlik doğrulamada kullanılan ve gizli sözcük, gizli şifreleme anahtarı gibi kalması gereken unsurların ele geçirilmesine, değiştirilmesine veya öğrenilmesine olanak tanıyacak herhangi bir mekanizmayı barındırmayacak.
 
Hassas işlevler POS’un sadece korumalı bölgelerinde gerçekleştirilecek, hassas veriler POS’un korumalı bölgelerinde saklanacak. Hassas verilere yetkisiz erişim; verinin tutulduğu bölgenin yetkisiz erişim teşebbüslerine veya tahrif edilmeye karşı dayanıklı hale getirilmesi ve tedbirlerin aşılması durumunda hassas verinin derhal silinmesini sağlayacak mekanizmalarla önlenecek.
 
POS GÜNDE BİR KEZ TESTTEN GEÇECEK
 
POS, ilk açılışta ve günde en az bir kez olmak üzere, üzerinde bulunan bellenim, üye işyeri anlaşması yapan kuruluşlara ait uygulamalar gibi yazılımları, yetkisiz erişim teşebbüslerine karşı tesis edilen güvenlik mekanizmalarını ve POS’un ve üzerindeki verilerin güvenlik durumunu bütünlük ve geçerlilik açılarından test edecek. Bu testlerin olumsuz bir sonucunun ortaya çıkması durumunda POS güvenli bir şekilde devre dışı kalacak.
 
Üye işyeri anlaşması yapan kuruluşlarca, güvenlik altyapısının daha kolay tesisi, operasyonel zorlukların en aza indirilmesi, kaynakların verimli kullanımı gibi hususlar ile kullanılan POS’ların teknolojik olanakları ve kapasiteleri ile kesintisiz hizmet verilmesi kriterleri de göz önünde bulundurularak, aynı POS üzerinde maksimum sayıda üye işyeri anlaşması yapan kuruluş uygulamasının çalışmasını sağlayacak bir düzenek oluşturulacak.
 
İNTERNETTE GÜVENLİK SAĞLANACAK
 
Üye işyeri anlaşması yapan kuruluşlar, harcama ve alacak belgesi düzenleme imkanı olmayan internet ve benzeri ortamlar kullanılarak gerçekleştirilen işlemler için diğer önlemlerin yanında, 3DSecure kimlik doğrulama teknolojisini içerecek şekilde kart kullanım alt yapısı tesis edecekler. (anka)

Kaynak: RADİKAL