Mastercard’ın Sanal İşyerlerine ilişkin belirlediği güvenlik
standartlarını aşağıda bulabilirsiniz. Aşağıdaki kriterlerin tüm sanal
işyerleri tarafından gerçekleştirilmeleri gerekmektedir.
Bölüm 1 : Güvenlik Yönetimi
Geçen yıl E-ticaret ortamınız ve arka ofis çalışmalarınızla
ilgili formal bir risk analizi çalışması yaptınız mı?
Bilgi sistemlerini kullanan kişilere yönelik bilişim
güvenliği bilinçlendirmesine ve eğitimine yönelik programlarınız var mı?
Bu bilişim güvenliği bilinçlendirme ve eğitim programını
düzenli olarak güncelliyor musunuz?
Oluşabilecek güvenlik sorunlarına karşı dokümante edilmiş ve
yayınlanmış acil durum müdahale (durum kotarma) planınız var mı?
Şirketinizde bilgi güvenliğinden sorumlu bir yönetici var
mıdır?
Şirketinizde bilgi güvenliği konusundaki yetki ve
sorumluluklar net olarak tanımlanmış mıdır?
3. partilerle yaptığınız anlaşmalarda eğer yapılan çalışma
kart sahibi bilgilerini içeriyorsa sözleşmenize bu bilgilerin gizli tutulacağı
maddesini ekliyor musunuz?
Bölüm 2 : Erişim Kontrolü
Tüm erişim kayıtları düzenli olarak gözden geçiriliyor ve
başarılı/başarısız login işlemlerini içeriyor mu?
Müşterilerin erişimleri, en azından kullanıcı adı ve şifre
doğrulaması yapılarak kontrol ediliyor mu?
Bakım amaçlı kullanıcı kodları ve uzaktan destek erişimlerii
kontrol ediliyor mu? Gerekmiyorsa engelleniyor mu?
Çalışanlarınıza ve müşterilerinize güçlü şifre kullanımına
teşvik ediyor musunuz?
Kullanıcılarınızın periyodik olarak şifrelerini
değiştirmeleri konusunda uyarıyor musunuz?
Birden fazla şifre ile sisteme girmek isteyen ya da brute
force saldırısı yapanlara karşı engellemeler yapıyor musunuz?
Müşterilerinizin, çalışanlarınızın ya da iş ortaklarınızın
İnternet üzerinden yaptıkları işlemlerde, kötü niyetli kişilerin yapılan
işlemleri dinlememesi için SSL kullanıyor musunuz?
Evet Hayır
Hassas bilgi ve kritik sistemlere başkalarının erişimini
engellemek için şirket içinde şifre korumalı ekran koruyucular kullanıyor
musunuz?
Şirketten ayrılan bir kişiye ait kullanıcı adları ve
şifreleri hemen kullanıma kapatıyor musunuz?
Belirli bir süre kullanılmayan kullanıcı kodları sistem
tarafından otomatik olarak kapatılıyor mu?
Bölüm 3: Operasyonel Güvenlik
Oluşan güvenlik açıkları yada zararlar güvenlik yöneticisine
incelenmesi için raporlanıyor mudur?
Olası kullanıcı hesap verilerinin çalınması durumuna soruna
yönelik acil durum ekibi var mı?
Şirket ortamında güvenlik değerlendirmesi ve kaç testleri
periyodik olarak yapılmakta mıdır?
Hassas müşteri bilgilerini içeren medyalara (disket, CDROM,
döküman) izinsiz erişimler engellenmekte midir?
Hassas müşteri bilgileri veritabanında ve yedeklemelerde
şifreli olarak tutulmakta mıdır?
Hassas müşteri bilgileri denetim kayıtlarına girmeden önce
gözden gerçirilmekte midir?
Uzaktan üretim ve uygulama sistemleri yönetimine erişimde 2
faktörlü onaylama ve şifreli iletişim kullanılmakta mıdır?
Tedarikçi firmanın güvenlik ayarları uygulama üretim ortamına
aktarılmadan önce değiştiriliyor mudur? Kontrol ediliyor mudur?
Yerleşik konfigürasyon tarafından otomatik olarak kurulan
gereksiz araçlar üretinm ortamından çıkarılıyor mudur?
Tüm üretim sistemlerinize en son güncel güvenlik yamaları
uygulanıyor mudur?
Tüm sunucularınızda ve iş istasyonlarınızda virüs tarayıcı
yazılımlar yüklü müdür?
Virüs taraması için kullanılan virüs bilgileri düzenli
olarak güncellenmekte midir?
Tüm kişisel bilgisayarlarda bireysel ateş duvarı yazılımı
kullanılmakta mıdır?
Kart sahibi bilgileri yazılı olarak yada faks ile izinsiz
girişleri engellemek amacıyla alınıyor mudur?
Yedekleme yada hassas müşteri bilgisi içeren fakat çöp
durumunda olan dokümanların saklanması yada yok edilmesi ile ilgili prosedür
var mıdır?
Bölüm 4: Başvuru ve Sistem Geliştirme
Tüm eticaret uygulamalarını kullanıma açmadan önce güvenlik
testlerinden geçiriyor musunuz?
Test ve geliştirme aşamalarında hassas müşteri bilgilerini
kullanıyorsanız bunları öncelikle dikkate alıyor musunuz?
Sürekli bir test ortamınız mevcut mudur?
Kart bilgilerini gösterirken tapajlıyor musunuz?
Hassas müşteri bilgilerini veritabanınızda saklarken 128 bit
DES yada endüstri standartlarında diğer algoritmalar kullanıyor musunuz?
Kullanıcı tarafından pas edilerek sunucu tarafına
geçilmesini engelleyici düzenlemeleri sunucu üzerinde uyguluyor musunuz?
SQL enjeksiyonu önleyici sunucu uygulamalarınız var mıdır?
Başka kişilerin hesaplarına girmeye çalışan ve deneme
yanılma yöntemi kullananlara karşı önlemleriniz var mıdır?
Çerezleriniz güvenli ve şifreli midir?
Bölüm 5: Ağ Güvenliği
Router konfigürasyonu güvenli midir?
Network giriş çıkış routerlarında IP Spoofing (sahte IP
adresi ile taklit etme) riskine karşı iki yönde de (giriş - çıkış) filtreleri
uygulanmakta mı?
Eğer routerlarınızı uzaktan konfigüre ediyorsanız, kötü
niyetli kişilerin dinleme riskine karşı güvenli iletim protokolü kullanıyor
musunuz (örneğin SSH)?
Router’larınız onaysız paketlerin atılmasınakarşı konfigüre
edilmiş mifir?
Router kayıtları onaysız trafikler açısından düzenli olarak
gözden geçirilmekte midir?
Routerlar uzaktan sistemi karıştırmalara karşı korunma
açısından konfigüre edilmiş midir?
Ağ’ınızı korumak için Firewall kullanılıyor mu ve işinizin
gerektirdiği kadar trafiğin gelmesi konusunda sınırlayıcı oluyor mu?
Ateş duvarı yazılımınızda değişiklik yapmak için otorizasyon
gerekiyor mu, yapılan değişiklikler kaydediliyor mu?
Ateş duvarı yazılım kayıtları düzenli olarak gözden
geçiriliyor mu?
İnternete açık sunucularınızla, dahili ortamınızda
kullandığınız sunucular ateş duvarı yazılımı ile ayrıştırılmış durumda mı?
Ateş duvarı yazılımınızda İnternet çıkışlarında dahili
adreslerinizi NAT yardımı ile çeviren kurulum yapılmış mı?
Ağ konfigürasyonunuz dışarıdan topoloji bilgisinin
oluşturulmasını (örneğin ping tracert yarımı ile ) önlüyor mu?
İnternete erişebilen bütün bilgisayarlarınızda güvenlik
yamaları periyodik olarak güncelleniyor mu?
Kart sahibinin gönderimleri endüstri kabulleri dahilinde SSL
ile şifreli olarak gönderilmekte midir?
Eğer gönderimlerde SSL kullanılıyorsa 3.0 versiyonu ve
128-bit şifreleme kullanılıyor mudur?
Eğer kablosuz erişim kullanılıyorsa şifreli midir?
Eğer kablosuz erişim kullanılıyorsa ağa erişim sadece
bilinen ağ kartlarına sınırlandırılmış mıdır?
Kişisel modemler sadece dış bağlantılara göre mi konfigüre
edilmiştir?
Bölüm 6 : Fiziksel Güvenlik
İzinsiz kişilerin binadaki bölümlere erişimlerini önlemek
için farklı fiziksel kontrol yöntemleri kullanılıyor mu (yaka kartı,
misafirlere eşlik edilmesi gibi…) ?
Kilit depo fiziksel olarak korunmakta mıdır?
Geçerliliğini yitirmiş kart sahibi bilgileri silinmekte ve
yok edilmekte midir? (Ör. Kağıt kıyma makinesi, yedekleri yok etme vb.)
Hassas müşteri bilgileri fiziksel olarak eticaret ortamına
ilişkin verilerden ayırılmakta mıdır?