POS terminallerinin, işlemlerin ve uygulamaların güvenliğini sağlama - İlk kısım
Iki PAX güvenlik uzmanı, işlem güvenliği etrafındaki artan karmaşıklığı ve neden - Android SmartPOS çözümlerinin yükselişiyle birlikte - teknoloji, insanlar ve süreçlerin her zamankinden daha önemli olduğunu inceliyor.
Güvenlikle ilgili iki bölümlük bir blog serisinin ilki
Ödeme sistemlerini hedeflemiş dolandırıcılar, sistemdeki bulabilecekleri her açığı kullanmak adına ellerinden geleni yapmaktalar. Global olarak konuyu incelediğimizde, ödeme sistemlerindeki dolandırıcılık kayıpları (her türden) 2012'den bu yana üç kattan fazla artarak 34 milyar dolara ulaştı ve bu miktarın 2027'ye kadar 40 milyar doları aşması bekleniyor. Bu kayıplar, finans kurumlarını, üye işyerlerini, tüketicileri ve genel olarak toplumu tümüyle etkiliyor. Bu dolandırıcılığı; uyuşturucu kaçakçılığı, kara para aklama, terörün finansmanı gibi konularda fonlamak ve savunmasız kişileri sömürmek için kullanmaları sebebiyle güvenlik, ödeme sistemleri sektöründeki herkes için bir numaralı öncelik olarak ortaya çıkmaktadır.
PAX Teknoloji, bunun öneminin farkında olup güvenliği, yapılan her çalışmanın merkezine yerleştiriyor. Müşterilerimizi ve son kullanıcılarını korumak için son derece güvenli ürünler tasarlayarak, müşteriye ait hassas verilerin erişilemez olmasını sağlıyoruz. PAX olarak, uluslararası güvenlik yönetimi onayları (security management approvals) arasında en yaygın olarak kabul gören ISO/IEC 27001 sertifikasını almış bulunmaktayız. Kuruluşumuzun temelinde, doğrudan yönetim kuruluna rapor veren bir Bilgi Güvenliği Yönetim Komitesi tarafından denetlenen ve çeşitli güvenlik seviyelerini barından bir güvenlik yönetimi yapısı yaratmış olup sistemimizi bu şekilde yürütmekteyiz. Tüm departmanların temsil edildiği bir Bilgi Güvenliği grubuna ürün geliştirme ve üretmenin tüm aşamalarında, iç süreçlerde ve insan kaynakları alanında güvenlik konularıyla ilgilenmeleri için yetki sağlamış olmakla beraber, PAX Teknoloji'nin dünya üzerindeki her bir satış bölgesinde (EMEA, LACIS vb.), Ürün Güvenliği ve Uyumluluk gibi rollerde üst düzey yöneticiler olarak atanan en az bir kişi bulunmaktadır. Bu sayede, düzenli olarak güvenlikle ilgili hem iç hem de dış denetimler gerçekleştirip, PAX müşterilerine en güvenli hizmeti sunuyoruz.
Güvenlik; Teknoloji, Operasyon ve İnsan Kaynağına Bağlıdır.
Ödeme sistemlerinin güvenliği, sadece güvenli donanım geliştirmekten ibaret değildir, güvenliğin tam olarak var olabilmesi için yazılım geliştirmeleri de büyük önem arz eder. Güvenliği sağlamak, doğru teknolojiye, etkili prosedürlere ve kalifiye işgücüne dayanır. Bu üç koldan herhangi birinin tehlikeye girmesi durumunda, durumu anlamak için kararlılığının (stabilite) yok olduğu üç ayaklı bir tabure analojisini düşünmek faydalı olacaktır. Dolandırıcılar, her zaman en zayıf halkadan yararlanmaya ve saldırı profillerini dolandırıcılık yapmak için sürekli olarak uyarlamaya çalışırlar. Dolayısıyla PAX Teknoloji, üstüne düşen sorumluluğun farkında olup, bu sebeple ürünlerinin ve hizmetlerinin en yüksek düzeyde güvenlik sunmasını sağlamak için daha fazla yatırım yapmaya kararlıdır.
PAX Teknolojinin güvenlikteki 5 ana noktası
Ürün yelpazesi yeni çözüm kategorilerine genişledikçe, daha inovatif ve çeşitli ürünler geliştirdikçe, güvenlik ihtiyaçları da buna paralel olarak artış gösterdi. Bu bağlamda; güvenliği PAX açısından beş ayrı konu başlığına ayırdık ve bu iki bölümden oluşan blog serisinde bunların her birini tartışacağız.
- Terminal Güvenliği (Yazılım ve donanım olarak) – POS terminalleri, üye işyerleri ve internet tabanlı diğer aygıtlar
- Katma değerli hizmetlerde güvenlik
- Terminal yönetim sistemleri ve pazaryeri güvenliği
- Güvenlik açığı yönetimi
- Gizliliğin korunması ve güvenliği
Üçüncü, dördüncü ve beşinci maddelere, bu güvenlik blogu serisinin ikinci bölümünde bakacağız.
Terminal güvenliği
POS terminallerinin, Payments Card Industry (PCI) Güvenlik Standartları Konseyi (PCI SSC) olarak adlandırılan ve EMVCo (6 uluslararası kart şemasına ait) himayesinde birlikte çalışan, uluslararası ödeme sistemleri ağları tarafından belirlenen çok sayıda ve oldukça katı sektör standartlarına uyması gerekmektedir. Ayrıca bu standartlarla sınırlı olmamak üzere bölgesel kuruluşlar ve acquirer’ların ihtiyaç ve standartlarına da uyum sağlamak adına çalışmalar yapmaktadır. Bu güvenlik değerlendirmeleri tüm ödeme sistemleri ekosistemini (fiziksel ürün veya sanal hizmetler olması fark etmeksizin) kapsar, çünkü tam olarak güvenli bir sistem kurmak için sistemin tüm partnerlerinin yüksek düzeyde güvenlik standartlarına uyum sağlaması, bir tercihten öte gerekliliktir.
PCI PIN İşlem Güvenliği (PCI PTS) Etkileşim Noktası (POI) güvenlik gereksinimleri, bizim için en önemli global güvenlik gerekliliklerini ifade etmektedir. Bu kapsamlı güvenlik kuralları, kullanıcı kart şifresinin korunması ve bankacılık işleminin her aşamasının sorunsuz gerçekleşmesi için gerekli korumayı sağlamaktadır. Günümüze kadar terminallerimiz için elde ettiğimiz 86 sertifikadan 17’si, en güncel güvenlik standardı olan PCI PTS 6.x’e sahip olup, PAX’ın güvenlik konusundaki bu yatırımı ve en güncel güvenlik standartlarını en erken benimseyen olma çabası, PAX’ı güvenlik alanında lider marka olarak konumlandırmaktadır.
Ürünlerimiz, yetkisiz müdahaleye dayanıklı güvenlik modülleri içerir ve özel güvenlik işlemcileri kullanır. Bu alanda otorite görevi gören PCI onaylı QSA'lar (3rd party Qualified Security Assessors), PCI özelliklerine uygunluğu doğrulamak için ayrıntılı değerlendirmeler yapmaktadır.
Buna ek olarak PAX; Birleşik Krallık, Almanya gibi giderek artan sayıdaki ülkelerde gerekli olan Güvenlik Değerlendirme ve Sertifikasyon Ortak Konsorsiyumu (Common.SECC) tarafından oluşturulan ek bir uluslararası güvenlik standardına göre, en çok satan A920Pro da dahil olmak üzere 14 terminalini sertifikalandırmıştır.
POS terminallerimiz, ayrıca temaslı-temassız çipli kartların güvenli olarak kabulü için EMVCo Level 1 ve 2 standartlarına göre sertifikalandırılmıştır (PAX Teknoloji olarak, bu tür güvenlik sertifikalarını başarıyla ve hızla geçme konusunda bir üne sahip olduğumuzu da belirtmek isteriz.). Ayrıca PAX, Mastercard’ın Ecos (Enhanced Contactless) olarak adlandırılan sertifikası uluslararası markalarla ilk tanıştırıldığında, (A35 Android Smart PINPad gibi) son teknoloji ürünlerinin hızlı bir şekilde sertifakalandırılmasını sağladı. Çip & PIN teknolojisi ve EMV standartları gibi bu tür güvenlik önemlerinin global olarak ürünlerimizde uygulanması, yüz yüze bir ortamda gerçekleşebilecek dolandırıcılık riskini önemli ve güçlü ölçüde azaltarak, dolandırıcıların daha kolay hedefler aramasına ve bu sebeple dikkatlerini e-ticarete kaydırmasına neden oldu.
Uzun yıllar boyunca ürünlerimizim, POS terminali donanımının genel güvenliğine ve performansına bakan Mastercard Terminal Kalite Yönetimi (TQM) standardına göre doğrulanmasını ve sertifikalandırılmasını da sağladık.
PAX Teknoloji, ürünleri için ayrıca ödeme işlemlerinin her zaman güvenli bir şekilde işlenmesini sağlamaya yardımcı olmak adına dünya çapındaki acquirer’lar ve çeşitli kuruluşlar ile kapsamlı akreditasyonlar ve sertifikalar üzerine çalışmalar gerçekleştirmektedir. Başlıca Finansal Kuruluşlar (FI'lar), ürünlerimiz ve hizmetlerimizle ilgili ayrıntılı risk değerlendirmelerini tamamlamıştır ve bu derinlemesine incelemeler, PAX çözümlerinin sağladığı üst düzey güvenlik seviyelerini doğrulamaktadır.
Sonuç olarak bakıldığında, aslında müşterilerimiz PCI Veri Güvenliği Standardı (PCI DSS) uyumluluğundan kendileri sorumlulardır, ancak buna rağmen PAX Teknoloji olarak yüksek güvenlik özellikleri içeren ve güvenli bir şekilde çalıştırılabilen donanım ve yazılım ürünleri sunarak onlara yardımcı olmaktayız. Konuya dair örnek vermek gerekirse, kart sahibi hesap verilerinin (PIN olmayan) kabul noktasında güvenli bir şekilde kabül edilmesini ve üst düzey şifreleme kullanılarak korunmasını sağlayan PCI sertifikalı uçtan uca şifreleme (P2PE) Güvenli Okuma ve Veri Değişimi (SRED) bileşenimizdir. Artan sayıda müşterimiz için PAX Teknoloji'nin SRED modülü, kart sahibi verilerinin şifrelenmesini sağlamak için P2PE'yi benimsiyor ve onlar için güvenli bir P2PE altyapısı oluşturmak adına temel katman görevi görmektedir.
Üye işyeri ve IoT Cihazlar
PAX ürün gelişiminin, mağaza operasyonlarını ve ödemelerini hepsi bir arada (all-in-one) bir çözümde entegre eden PC POS benzeri ürünlere genişletilmesiyle birlikte, artık üye işyeri veri güvenliğine odaklanan yeni güvenlik yükümlülükleri de ortaya çıkmış bulunmaktadır. Bu yükümlülüklerden bahsedecek olursak, satış işlemlerini, siparişi, stok yönetimini, sadakat programı verilerini, çıktı almayı ve güvenli iletişim gibi konularda önlem almayı ve güvenliği sağlamayı sayabiliriz. Bu, alışılagelmiş düzende ödeme işlemi süreçlerinden ayrı olarak ele alınsa da, PAX Teknoloji olarak buna eşit derecede ciddiyetle yaklaşmaktayız. Ek olarak yeni nesil Unattended, PayPhone ve PayTablet gibi ürünlerimize de en yüksek düzeyde güvenlik önlemlerinin dahil edilmesini sağlayıp, dokunduğumuz her alanda en güvenilir çözümler yaratmaya yönelik adımlar atarak müşterilerimize güvenli hizmet almalarında kolaylık sağlıyoruz.
Nesnelerin İnterneti'ne (IoT) ve buna bağlantılı olan ticaret dünyasına girişimiz eşit derecede güvenlik talep eden bir alan olması sebebiyle, güvenli bulut ve IoT yönetiminde bu ürünlere sürecin en başından itibaren üst düzey güvenlik özellikleri tasarlıyoruz. Bu özelliklerden bahsedecek olursak, cihaz kimlik doğrulaması, güvenli entegrasyon ve cihazlar arasında iletişim gibi noktaları örnek verebiliriz.
Yazılım güvenliği en önemli nokta
Güvenlikle ilgili hususlar, güvenli yazılım geliştirme süreçlerimizin (S-SDLC) yedi adımının her birinde ele alınmaktadır. Bu hususlar, ilk tasarım planı, ihtiyaç analizi, yazılım geliştirme süreci, test etme, demo sürüm ve devamındaki analiz-bakım aşamaları olarak sıralanabilir. Bunlar, PCI sertifika sürecinin bir parçası olarak 3. taraf QSA'lar (3rd party Qualified Security Assessors) tarafından incelenir. Geliştirilen yazılımlar için yayılım prosedürleri, hem Kalite Güvencesi (Quality Assurance) hem de Geliştirme Ekipleri tarafından güvenlik açısından kod incelemelerine tabi tutulur. Herhangi bir yazılımın yayınlanıp son kullanıcıya açılması için her iki ekibin de uygulamaları denetlemiş olması ve dijital olarak imzalaması gerekir. Dolayısıyla bu kritik dizayn ve güvenlik belgelerine erişim, belirli prosedürlerden geçerek seçilmiş yetkili kişiler tarafından sıkı bir şekilde kontrol edilir, yazılım geliştirme ekipleri bu ekiplerden fiziksel olarak farklı ortamda tutularak ayrı oturur ve yeni işe alınanlar güvenlik incelemelerinden geçerler. Bu prosedürler sayesinde müşterilerimize ve ekosisteme en güvenli şekilde hizmet verilmesi sağlanır ve böylelikle her adım detaylıca kontrol edilir.
Yeni nesil SmartPOS terminallerimiz, özel olarak geliştirilmiş olan PayDroid adını verdiğimiz bir Android sürümü ile çalışmaktadırlar. Bu işletim sistemi sürümünün amacı, kart okuyucuları, tuşlar, kamera ve mikrofon gibi özelliklere erişimi kısıtlama ve dolayısıyla güvenlik açığı oluşturabilecek tüm ihtimalleri önlemeye yöneliktir. Ayrıca hassas veriler içeren ödeme ve kart sahibi verilerinin aynı cihazda çalıştırılan ve ödeme dışında kullanılan çeşitli uygulamalarla paylaşılmasını da engeller. Bu sayede ödeme özelliği taşımayan ve aynı global güvenlik prosedürlerinden geçmeyen diğer uygulamaların bu verilere erişmesini önler. PayDroid OS'un yeni sürümleri, yıl boyunca düzenli olarak yayınlanır ve yeni güvenlik geliştirmeleri en az üç ayda bir uygulanmaktadır.
Şifreleme ve Key (Anahtar) Yönetimi
PAX, kritik bilgileri korumak için ürünlerimizde bir dizi simetrik ve asimetrik şifrelemeyi kullanmaktadır. Bu şifreleme yöntemlerine örnek verecek olursak, DES, RSA, AES ve ECC gibi şifreleme yöntemlerini sıralayabiliriz. Ayrıca TDES/AES Master key/Session key ve TDES/AES DUKPT gibi farklı anahtar yönetim süreçlerini yönetmekteyiz.
Güvenlik Yaşam Döngüsü
PAX, birçok güvenlik standardı gerektiren uluslararası tanınmış olan ISO9001 Kalite Yönetim Sistemi gibi standartlarla donatılmıştır. Yaklaşımımız, PAX ürünlerinin tasarımına başlanmasından üretilmesine, yazılım geliştirilmesinden üye işyeri kullanımına, akla gelebilecek tüm kullanım süreçlerinde güvenliği maksimum düzeyde sağlamaya yöneliktir.
Katma Değerli Servislerin Güvenliği
Müşterilerimizin terminallerini en güvenli şekilde kullanabilmesi adına, VAS (Katma değerli servisler) olarak adlandırdığımız bir yelpaze sunuyoruz. Örneğin Key Injection (anahtar yükleme) hizmeti ile her cihaza benzersiz bir key yükleyerek, yazılımı kimin yükleyebileceği, hangi uygulamaların çalıştırılabileceği gibi konularda tam kontrol ve yetki sağlıyoruz. VAS’lardan biri olan PaxRhino, yani güvenli şekilde key injection (anahtar yükleme) hizmeti, bölgelerine göre İtalya’da, ABD’de ve Çin’de olmak üzere 3 noktadan gerçekleştirmekte ve yönetmekteyiz. Bu 3 merkezde de çok yüksek düzeyde güvenlik önlemleri alınmış olup, bunları sıralayacak olursak; özel bina tasarımı, elektronik ve yetki sınıflandırmalı kartlarla erişim kontrolleri, hareket algılama ve takip özelliğiyle donatılmış CCTV Sistemleri, gözlem olasılıklarının önlenmesi ve çeşitli yüksek güvenlikli donanım modüllerinin kullanılmasını sayabiliriz. RKI (Uzaktan Anahtar yükleme), lokal olarak yapılan yüklemeye göre daha güvenli ve daha uygun maliyetli bir alternatif olarak hizmet sunmaktadır. Ek olarak RKI hizmeti, kurumsal üye işyerlerine mülkiyetinde bulunan terminallere özel cihaz kullanımını kontrol etme seçeneği de sağlayabilir.
Daha da önemlisi, PAX, PAXSTORE platformu ve platformu destekleyici nitelikte olan VAS için Şubat 2022'de PCI DSS sertifikası aldı. Bu sertifika gösteriyorki PAX, hassas-kritik öneme sahip bilgi ve verilerin alınması, transfer edilmesi, saklanması gibi işlemler sırasında doğru bir şekilde işlenmesini ve veri sızıntısının önlenmesini için gerekli koşulları sağladığını teyit etmiştir. Bahsi geçen sertifika alınırken 300’den fazla öğe denetlenmiş olup, kart sahibi verilerini, bilgi güvenliği yönetim süreçlerini, ağ güvenliğinin dizaynını ve güvenlik açığı yönetimi gibi alanları yönetmek için ihtiyaç duyulan tüm şartlar sağlanmıştır.
Güvenlik Konusuna PAX’ın Bakış Açısı
Güvenlikle alakalı bu blogun ilk serisinde, PAX'in güvenliğe verdiği önemi ve bunun ürünlerimiz, süreçlerimiz ve çalışanlarımız için neyi ifade ettiğini ve konuya dair gösterilen kuvvetli özeni vurguladık. PAX olarak güvenliğe yönelik en yüksek düzeyde hassasiyet göstererek, sunduğumuz ürün ve hizmetlerin her aşamasında bu hassasiyeti gözetmekteyiz. Tüm POS terminallerimizi güvenlik standartlarına uygun olarak üretmekte ve ilgili kuruluşlar tarafından onay almaktayız. Yaklaşımımız, spesifikasyonları en güncel haliyle proaktif ve hızlı bir şekilde benimsemek, ortaya çıkan güvenlik risklerini ve endişelerini en hızlı şekilde ele alarak değerlendirmektir.
Android işletim sistemini güvenli hale getiren sürümümüz PayDroid ile, kritik verilere erişimi kısıtlayabiliyor ve tüm ödeme işlemlerini ödeme dışı uygulamalardan ayrı tutarak denetleyebiliyoruz. Şunu da belirtmek isteriz ki güvenlik onaylarımız sadece donanımsal ürünlerimizle sınırlı kalmayıp, hem RKI (Remote Key Injection) hem de katma değerli servislerimiz PCI gerekliliklerine göre sertifikalandırılmıştır.
Bu yazının ikinci bölümünde, PAX'in uygulama ve uygulama marketi güvenliğini, güvenlik açığı yönetimini ve gizliliği nasıl ele aldığını açıklayacağız.
PAX olarak bugüne kadar, dünya çapında PAX ürünlerini kullanan müşteriler tarafından hiçbir ödeme işleminde güvenlik sorunu tespit edilmedi, hiçbir ödeme verisinin güvenliği ihlal edilmedi, PAX Teknoloji'nin sertifikalarının hiçbiri geri alınmadı veya ağ trafiği etkinliğinde kötü niyetli trafik veya olaylar tespit edilmedi.
PAX Teknoloji, bu konudaki gayretini koruyarak, güvenli ve yenilikçi ödeme sistemleri yaratmaya ve bu alanda lider olmaya devam edecektir.