Bankalararası Kart Merkezi (BKM)’nin, Türkiye’deki elektronik ticaret rakamlarını açıkladığı bir sayfası var. Bu yazı yazıldığında Aralık 2012 rakamları daha açıklanmamış ama, 2012 için tahminler işlem hacminin 25 milyar TL’ye çıkacağı yönündeydi, ama şimdiki sonuçlar bile bu rakamları sollamış görünüyor. BKM’nin raporuna göre 2012′nin ilk 11 ayında 27 Milyar TL’yi geçen e-ticaret işlemi gerçekleştirildi (ki bu rakamlara Yılbaşı Hediyeleri dahil değil
). Yolculuk biletinden, sevgililer günü hediyesine, kontörden, bitkisel katkılı ürünlere kadar binlerce kategoride ürün, e-ticaret sayesinde hiçbir zahmet yaratmaksızın son kullanıcılara ulaşıyor. Bu tablo ile bakışta göze güzel görünse de, bu kadar büyük hacimli e-ticaretin bir şekilde parçası olan kullanıcısından tedarikçisine herkesin gözden kaçırmaması gereken çok önemli bir husus var: Güvenlik!
BKM, internet kullanıcılarını, e-ticaret sitelerine girerken uyarıyor: Antivirüs yazılımı kullanın, SSL sertifikası kullanan websitelerinden alışveriş yapın, internet kafeler gibi herkesin kullanımında olan bilgisayarlar yerine kontrolü kendinizde olan bilgisayarlardan girmeyi tercih edin diye. BKM, kullanıcıları haklı olarak uyarıyor, ama burada üye işyeri ve bankalara da bir takım ödevler düşüyor. E-ticaret sitelerinin güvenliğini sağlamak ve bunu sürdürülebilir bir hale getirmek gerekiyor. Türkiye’de maalesef herhangi bir yasal zorunluluk olmadığı için, üye işyerleri güvenliği ikinci plana atıp, kullanıcının rahatlığı konusunda daha fazla çalışma yapıyorlar.
Burada devreye uluslararası alanda kabul gören bir standart olan PCI Veri Güvenlik Standardı (Payment Card Industry Data Security Standard) giriyor. Visa, Mastercard, American Express gibi kart üreticilerinin, e-ticarette güvenliği sağlamak için bankalara ve dolayısıyla üye işyerlerine “uyum programları” adı altında koyduğu bir takım gereksinimler var. Her kart üreticisinin farklı ve çeşitli gereksinimleri olduğu için, bütün bu gereksinimlerin sürdürülebilirliğini sağlayabilecek ortak bir konsey (Payment Card Industry Security Standards Council) kuruluyor ve bu konsey, kart sahibi bilgisini korumak amacıyla, PCI Veri Güvenlik Standardı’nı (PCI DSS – Payment Card Industry Data Security Standard) oluşturuyor.
Bu standartta üye işyerlerinin, kart bilgisini korumak amacıyla ne tür güvenlik önlemleri almaları gerektiği detayları ile yazıyor. PCI DSS’in gereksinimlerinden daha önceki yazımda bahsetmiştim. Üye işyerleri, sistemlerinde yönetilebilir bir güvenlik duvarı bulundurmaları, sunucularında antivirüs yazılımı kullanmaları, parolaları öntanımlı bırakmamaları gibi gereksinimlerin yanı sıra, 3 ayda bir konsey’in her sene akredite ettiği bir Yetkili Tarama Sağlayıcı (ASV – Approved Scanning Vendor) tarafından, zafiyetlere karşı dışarıdan taratılması gerekmekte. Biznet Bilişim, uzun yıllardır, bu konuda hizmet veren Türkiye’deki tek yerel ASV.
Deneyimlerimden yola çıkarak söyleyebilirim ki, üye işyerlerinin maalesef güvenlik konularında karneleri pek de iyi sayılmaz. Yeni müşterilerimizin neredeyse hiçbiri, ilk taramalarında PCI DSS’e uyumlu değiller. Özellikle, hazır paket program kullanan üye işyerlerinde, SQL Injection, Cross-site scripting gibi çok önemli zafiyetler tespit edebiliyoruz. Ayrıca güvenlik açıkları olduğu bilinen SSLv2 kullanan pek çok müşterimiz oldu. En son karşılaştığımız durum da, PCI DSS taramasını yaptırmamış bir üye işyerinin, yüksek sayıda kredi kartı bilgisi çaldırması ve davalık olması oldu. Öğrenebildiğimiz kadarıyla, sitelerinde bulunan bir SQL Injection nedeniyle, zararlı kullanıcılar, kolaylıkla bu bilgilere ulaşabilmişler. Söz konusu üye işyeri, PCI DSS Dış Zafiyet Denetiminden geçseydi, ilgili açık bulunacak, siteleri daha güvenli hale gelecekti. Şu anda ilgili sitenin hem prestij kaybı oldu, hem de, Visa, Mastercard’ın cezaları, kart masraflarını üye işyerine kesmesi sonucu maddi kaybı oldu. Ayrıca, eğer bankası talep ederse, Visa’nın onayladığı bir forensic ekibinin de masraflarını da karşılamak zorunda. E-ticarete ilginin artığı bir ortamda, ufak bir güvenlik maliyetini düşünmedikleri için, maalesef şu anda sitelerini kapamak zorunda kalma noktasına geldiler.
BKM’nin son raporu, Türkiye’de internet üzerinden bir hayli ticaret yapldığı gerçeğini ortaya koydu. Her gün mantar gibi yeni e-ticaret siteleri çıkıyor. Hepsi görünürde kullanıcıların rahatlığını düşünüyor ancak rahatlıktan daha elzem bir konu olan güvenlik ikinci planda kalıyor. Oysa ki, yapacakları ufak bir masraf ile, bilinen güvenlik açıklarından etkilenip etkilenmediklerini öğrenmeleri, kendilerini PCI DSS standartlarına uyumlu hale getirmeleri ve dolayısı ile daha büyük zararlara karşı sadece müşterilerini değil, kendi yatırımlarını da koruma altına almaları çok kolay.
BKM, internet kullanıcılarını, e-ticaret sitelerine girerken uyarıyor: Antivirüs yazılımı kullanın, SSL sertifikası kullanan websitelerinden alışveriş yapın, internet kafeler gibi herkesin kullanımında olan bilgisayarlar yerine kontrolü kendinizde olan bilgisayarlardan girmeyi tercih edin diye. BKM, kullanıcıları haklı olarak uyarıyor, ama burada üye işyeri ve bankalara da bir takım ödevler düşüyor. E-ticaret sitelerinin güvenliğini sağlamak ve bunu sürdürülebilir bir hale getirmek gerekiyor. Türkiye’de maalesef herhangi bir yasal zorunluluk olmadığı için, üye işyerleri güvenliği ikinci plana atıp, kullanıcının rahatlığı konusunda daha fazla çalışma yapıyorlar.
Burada devreye uluslararası alanda kabul gören bir standart olan PCI Veri Güvenlik Standardı (Payment Card Industry Data Security Standard) giriyor. Visa, Mastercard, American Express gibi kart üreticilerinin, e-ticarette güvenliği sağlamak için bankalara ve dolayısıyla üye işyerlerine “uyum programları” adı altında koyduğu bir takım gereksinimler var. Her kart üreticisinin farklı ve çeşitli gereksinimleri olduğu için, bütün bu gereksinimlerin sürdürülebilirliğini sağlayabilecek ortak bir konsey (Payment Card Industry Security Standards Council) kuruluyor ve bu konsey, kart sahibi bilgisini korumak amacıyla, PCI Veri Güvenlik Standardı’nı (PCI DSS – Payment Card Industry Data Security Standard) oluşturuyor.
Bu standartta üye işyerlerinin, kart bilgisini korumak amacıyla ne tür güvenlik önlemleri almaları gerektiği detayları ile yazıyor. PCI DSS’in gereksinimlerinden daha önceki yazımda bahsetmiştim. Üye işyerleri, sistemlerinde yönetilebilir bir güvenlik duvarı bulundurmaları, sunucularında antivirüs yazılımı kullanmaları, parolaları öntanımlı bırakmamaları gibi gereksinimlerin yanı sıra, 3 ayda bir konsey’in her sene akredite ettiği bir Yetkili Tarama Sağlayıcı (ASV – Approved Scanning Vendor) tarafından, zafiyetlere karşı dışarıdan taratılması gerekmekte. Biznet Bilişim, uzun yıllardır, bu konuda hizmet veren Türkiye’deki tek yerel ASV.
Deneyimlerimden yola çıkarak söyleyebilirim ki, üye işyerlerinin maalesef güvenlik konularında karneleri pek de iyi sayılmaz. Yeni müşterilerimizin neredeyse hiçbiri, ilk taramalarında PCI DSS’e uyumlu değiller. Özellikle, hazır paket program kullanan üye işyerlerinde, SQL Injection, Cross-site scripting gibi çok önemli zafiyetler tespit edebiliyoruz. Ayrıca güvenlik açıkları olduğu bilinen SSLv2 kullanan pek çok müşterimiz oldu. En son karşılaştığımız durum da, PCI DSS taramasını yaptırmamış bir üye işyerinin, yüksek sayıda kredi kartı bilgisi çaldırması ve davalık olması oldu. Öğrenebildiğimiz kadarıyla, sitelerinde bulunan bir SQL Injection nedeniyle, zararlı kullanıcılar, kolaylıkla bu bilgilere ulaşabilmişler. Söz konusu üye işyeri, PCI DSS Dış Zafiyet Denetiminden geçseydi, ilgili açık bulunacak, siteleri daha güvenli hale gelecekti. Şu anda ilgili sitenin hem prestij kaybı oldu, hem de, Visa, Mastercard’ın cezaları, kart masraflarını üye işyerine kesmesi sonucu maddi kaybı oldu. Ayrıca, eğer bankası talep ederse, Visa’nın onayladığı bir forensic ekibinin de masraflarını da karşılamak zorunda. E-ticarete ilginin artığı bir ortamda, ufak bir güvenlik maliyetini düşünmedikleri için, maalesef şu anda sitelerini kapamak zorunda kalma noktasına geldiler.
BKM’nin son raporu, Türkiye’de internet üzerinden bir hayli ticaret yapldığı gerçeğini ortaya koydu. Her gün mantar gibi yeni e-ticaret siteleri çıkıyor. Hepsi görünürde kullanıcıların rahatlığını düşünüyor ancak rahatlıktan daha elzem bir konu olan güvenlik ikinci planda kalıyor. Oysa ki, yapacakları ufak bir masraf ile, bilinen güvenlik açıklarından etkilenip etkilenmediklerini öğrenmeleri, kendilerini PCI DSS standartlarına uyumlu hale getirmeleri ve dolayısı ile daha büyük zararlara karşı sadece müşterilerini değil, kendi yatırımlarını da koruma altına almaları çok kolay.
