Güvenlik TV Bölüm 8 – Ercüment Büyükşumnulu ile PCI-DSS Standardı
Güvenlik TV’nin 8. bölümü ile karşınızdayız. Bu bölümde yine geçtiğimiz 15 gün süresince bilişim güvenliği alanında neler yaşandı, hangi konular konuşuldu bunları ele almaya çalıştık. Bu bölümde konuk olarak Bankalararası Kart Merkezi’nden Ercüment Büyükşumnulu’yu ağırladık. Konuğumuzla PCI(Payment Card Industry) organizasyonu, PCI DSS (Data Security Standard) veri güvenliği standartı, diğer PCI standartları, PCI DSS uyumluluğu, denetim tipleri, gereksinimler ve yaptırımlar konularını konuştuk.
Bizler hazırlarken büyük keyif aldık, umarız sizler de izlerken keyif alırsınız.
Bölüm 8’nin notlarına buradan ulaşabilirsiniz.
Görüş ve önerileriniz için [email protected] ve [email protected] adreslerine mail atabilirsiniz. Güvenlik TV’yi Twitter’dan takip etmek için @guvenliktv
Merhaba,
Videoyu izledim, emeklerinize sağlık çok güzel olmuş. Bir düzeltma yapmak istiyorum yalnız.
Ercüment Bey videonun 43. dakikasında Halil’in sorusuna Pentest’lerin ASV veya QSA’ler tarafından yapılması zorunluluğu olduğunu söylemiş ancak bu doğru değil. Bu durum standardın 11.3.c maddesinde çok açık belirtilmiştir.
11.3.c Verify that the test was performed by a qualified internal resource or qualified external third party, and if applicable, organizational independence of the tester exists (not required to be a QSA or ASV).
Penetrasyon testi ve PCI denetim testi ayrı ayrı testlerdir. PCI testi ASV’ler taraından 3 ayda bir yapılmalıdır. Pentest “qualified” iç kaynaklar veya üçüncü parti “qualified” firmalarca yapılabilir.
Standardın yazdığı ile 2007 yılından bu yana PCI DSS denetimine tabi olan bir kurumun bireyi olarak söz konusu denetimlerde gelen denetçilerin pen.test sonuçları ile ilgili söyledikleri “comment” lerde edindiğim tecrübeler farklı.