Pos cihazlarına yeni güvenlik önlemleri
POS cihazının, sahip olduğu güvenlik mekanizmaları ile asgari olarak yerine getireceği fonksiyonlar yeniden belirlendi. Buna göre POS cihazlarında uygulanan yazılıma yetkisiz olarak erişilmeye karşı korumalı olmasını sağlamak için gerekli önlemleri üzerinde bulunduracak.
cumhuriyet.com.trBanka Kartları ve Kredi Kartları Hakkında Yönetmelik yeniden düzenlendi. Bankacılık Düzenleme ve Denetleme Kurumu'nun ''Banka Kartları ve Kredi Kartları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliği'' Resmi Gazete'nin bugünkü sayısında yayımlandı.
Değişiklikle yönetmelikte yer alan tanımlara, ''3D Secure: internet ortamında banka kartı veya kredi kartı ile gerçekleştirilen işlemlerde ek güvenlik katmanı getiren, kartlı sistem kuruluşları tarafından onaylı protokol'', ''Bellenim: güncellenebilir yazılım'' gibi yeni ifadeler eklendi.
Değişikliklere göre, üye işyeri anlaşması yapan kuruluşlar, kartlı ödeme işlemlerinde kullanılacak elektronik cihaz olan POS'un, asgari olarak Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi tarafından yayımlanan ''POS PIN Giriş Cihazı Güvenlik Gereksinimleri Standardı''nın güncel versiyonunun gereklerini, kartlı sistem kuruluşlarının tanımlamış oldukları süre çerçevesinde yerine getirmesini sağlayacak. Bu hüküm, 1 Ocak 2009'dan itibaren yürürlüğe girecek.
POS cihazının, sahip olduğu güvenlik mekanizmaları ile asgari olarak yerine getireceği fonksiyonlar da yeniden belirlendi. Buna göre POS cihazları, üzerinde yer alan güncellenebilir yazılımın ve üye işyeri anlaşması yapan kuruluşlara ait uygulamalar gibi her türlü yazılımın, üye işyeri anlaşması yapan kuruluş veya bunlar tarafından görevlendirilmiş kişi veya taraflar haricinde kişilerce ve yetkisiz olarak erişilmeye karşı korumalı olmasını sağlamak için gerekli önlemleri üzerinde bulunduracak.
Bu önlemler, POS'a uzaktan yazılım yükleme ve yazılım güncelleme faaliyetlerini de kapsayacak. POS, kaynağını veya bütünlüğünü onaylamadığı yazılımları işleme almadan silecek. POS üzerindeki kriptografik anahtarlara ve bu anahtarları işleyen hassas fonksiyonlara erişim kimlik doğrulama kontrolleriyle sağlanacak. POS, işleme tabi tutulmakta olan kartlara ilişkin hassas verilere yetkisiz fiziki veya elektronik erişimi engelleyecek. Bu hükümler 1 Ocak 2014 tarihinden itibaren yürürlüğe girecek.
Üye işyeri anlaşması yapan kuruluşlar, belirleyecekleri periyod çerçevesinde, kullanımdaki POS'lar üzerinde koşmakta olan yazılımlarını, amaca uygun olmak kaydıyla kendilerinin belirleyeceği bütünlük ve geçerlilik testine tabi tutacaklar. Bu hüküm de 1 Ocak 2011 yılından itibaren yürürlüğe girecek.
Üye işyeri anlaşması yapan kuruluşlar POS üzerindeki kendilerine ait yazılımların yüklenmesine ve güncellenebilmesine ilişkin yazılı ve denetlenebilir bir süreç oluşturacak, sürecin işleyişine ilişkin gerekli detayda dokümantasyon tutacak, kendilerine ait yazılımlarda gizlenmiş, yetkilendirilmemiş veya yazılı olarak kayda alınmamış fonksiyonların POS'ta barındırılmadığına ilişkin güvence oluşturacak düzeyde belgelendirme yapacak. POS üzerinde yer alan ve işletim sistemi, güncellenebilir yazılım gibi POS'un temel işlevlerini yerine getiren yazılımlar için benzer yapının kurulması sorumluluğu, POS'un bir üye işyeri anlaşması yapan kuruluşa ait olması durumunda söz konusu kuruluşa, aksi durumlarda ise POS sahibi merci tarafından belirlenecek üye işyeri anlaşması yapan kuruluşa ait olacak. Bu hüküm 1 Ocak 2010 yılından itibaren yürürlüğe girecek.
Üye iş yerleri, banka kartları veya kredi kartlarının fiziksel olarak doğrudan kart hamili tarafından bir cihaz üzerinde kullanıldığı durumlar ve Kanunda belirlenen işlemler hariç olmak üzere, kartın POS veya POS kullanımının mümkün olmadığı durumlarda harcama veya nakit ödeme belgesi düzenleyen mekanik cihazlar haricinde bir cihaz üzerinden herhangi bir işleme tabi tutulmamasını sağlayacak alt yapıyı tesis edecek.
Üye işyerleri, POS'un üye işyeri anlaşması yapan kuruluş sistemleri ile bağlantısını sağlayan alt yapı üzerinde, kartlara ilişkin hassas veriyi tutan, işleyen veya kaydeden bir sistem kuramayacak. Üye işyeri anlaşması yapan kuruluşlar, POS'un kendi sistemleri ile veri iletişiminde asgari seviyede Ödeme Kartı Endüstrisi Veri Güvenliği Standardının şifrelemeye ilişkin hükümlerini dikkate alacak. Üye işyeri anlaşması yapan kuruluşlar, bu fıkra hükümlerinin üye işyerleriyle yapacakları sözleşmelerde yer almasını ve uygulanmasını gözetmekle yükümlü olacaklar. Bu hüküm de 1 Ocak 2010 tarihinden itibaren yürürlüğe girecek.
POS üzerinde işleme tabi tutulan banka kartı veya kredi kartından okutulan verilerden, üye işyerinin ihtiyaç duyacağı minimum veri setine karşılık gelen bölümü, bu veri setinin yetkisiz kişilerce ele geçirilmesi durumunda gizlilik ihlaline veya haksız menfaat sağlanmasına sebebiyet verilmemesi hususları da göz önünde bulundurulmak kaydıyla, POS;un dış bağlantı ara yüzleri üzerinden aktarılacak. Aktarma işlemi, üye işyeri anlaşması yapan kuruluşların POS üzerinde yer alan yazılımları tarafından, taraflar arasında belirlenecek formatta ve şekilde yapılacak. Bu hüküm 1 Ocak 2010 tarihinden itibaren yürürlüğe girecek.
İnternetten alışverişte güvenlik
Üye işyeri anlaşması yapan kuruluşlar ve üye işyerleri, harcama ve alacak belgesi düzenleme imkanı olmayan, kart hamili tarafından başlatılan ve internet kullanılarak gerçekleştirilen işlemler için diğer önlemlerle birlikte internet ortamında banka kartı veya kredi kartı ile gerçekleştirilen işlemlerde ek güvenlik katmanı getiren, kartlı sistem kuruluşları tarafından onaylı protokol olan (3DSecure) kart hamili doğrulama teknolojisini içerecek şekilde kart kullanım alt yapısı tesis edecek.
Bu fıkra kapsamında gerçekleştirilecek işlemlerde söz konusu altyapının kullanımının zorunlu tutulması, üye işyeri anlaşması yapan kuruluşların ve üye işyerlerinin tercihlerine bağlı olacak ve zorunlu tutulmadığı durumlarda kullanım kart hamilinin tercihine bağlı olacak.
Kart hamili dışında kalan Kanun kapsamındaki taraflar, bu fıkra ile getirilen yöntem hakkında kart hamillerini bilgilendirecekler. Bu fıkra 1 Ocak 2011 yılından itibaren yürürlüğe girecek.
Üye işyeri anlaşması yapan kuruluşlarca, güvenlik alt yapısının daha kolay tesisi, operasyonel zorlukların en aza indirilmesi, kaynakların verimli kullanımı gibi hususlar yanında, kullanılan POS'ların teknolojik olanakları, kapasiteleri ve kesintisiz hizmet verilmesi kriterlerine göre, taraflar arasında yapılacak sözleşme hükümleri saklı kalmak kaydıyla, aynı POS üzerinde maksimum sayıda üye işyeri anlaşması yapan kuruluş uygulamasının çalışmasını sağlayacak bir yapı oluşturulacak. Bu hüküm 1 Ocak 2010 tarihinden itibaren yürürlüğe girecek.