Mastercard'ın Sanal İşyerlerine ilişkin belirlediği güvenlik standartlarını aşağıda bulabilirsiniz. Aşağıdaki kriterlerin tüm sanal işyerleri tarafından gerçekleştirilmeleri gerekmektedir.
Section 1: Security Management Bölüm 1 : Güvenlik Yönetimi
Have you made a formal risk analysis on your e-commerce environment and back office in the past year? Geçen yıl E-ticaret ortamınız ve arka ofis çalışmalarınızla ilgili formal bir risk analizi çalışması yaptınız mı? Evet Hayır
Is there an adequate information security awareness and training program in place for all people using the information systems? Bilgi sistemlerini kullanan kişilere yönelik bilişim güvenliği bilinçlendirmesıne ve eğitimine yönelik programlarınız varmı? Evet Hayır
Is the information security awareness and training program regularly updated? Bu bilişim güvenliği bilinçlendirme ve eğitim programını düzenli olarak güncelliyor musunuz? Evet Hayır
Is a security incident response plan formally documented and disseminated? Oluşabilecek güvenlik sorunlarına karşı dökümante edilmiş ve yayınlanmış acil durum müdahele (durum kotarma; copyright Ali Türker) planınız var mı? Evet Hayır
Has an information security officer been assigned within your company? Şirketinizde bilgi güvenliğinden sorumlu bir yönetici var mıdır? Evet Hayır
Are the roles and responsibilities with regard to information security clearly defined within your company? Şirketinizde bilgi güvenliği konusundaki yetki ve sorumluluklar net olarak tanımlanmış mıdır? Evet Hayır
Do all contracts with third parties having access to sensitive cardholder information contain a clause that specifies cardholder account information must be kept confidential? 3. partilerle yaptığınız anlaşmalarda eğer yapılan çalışma kart sahibi bilgilerini içeriyorsa sözleşmenize bu bilgilerin gizli tutulacağı maddesini ekliyor musunuz? Evet Hayır
Section 2: Access Control Bölüm 2 : Erişim Kontrolü
Are all access control logs regularly reviewed and do they contain both successful and unsuccessful login attempts? Tüm erişim kayıtları düzenli olarak gözden geçiriliyor ve başarılı/başarısız login işlemlerini içeriyor mu? Evet Hayır
Do access control measures for customers at a minimum, include username and password authentication? Müşterilerin erişimleri, en azından kullanıcı adı ve şifre doğrulaması yapılarak kontrol ediliyor mu? Evet Hayır
Are maintenance accounts and remote support access controlled; if they are not required, are they disabled? Bakım amaçlı kullanıcı kodları ve uzaktan destek erişimlerii kontrol ediliyor mu? Gerekmiyorsa engelleniyor mu? Evet Hayır
Is there a password policy that enforces the use of strong passwords for both employees and customers? Çalışanlarınıza ve müşterilerinize güçlü şifre kullanımına teşvik ediyor musunuz? Evet Hayır
Are users required to change their password on a pre-defined regular basis? Kullanıcılarınızın periyodik olarak şifrelerini değiştirmeleri konusunda uyarıyor musunuz? Evet Hayır
Is there an account lockout mechanism that blocks a malicious user from obtaining access to an account by multiple password retries or brute force? Birden fazla şifre ile sisteme girmek isteyen yada brute force saldırısı yapanlara karşı engellemeler yapıyor musunuz? Evet Hayır
When customers, employees, or business partners remotely access systems via the Internet, is encryption such as Secure Socket Layer (SSL) used to protect from eavesdropping? Müşterilerinizin, çalışanlarınızın yada iş ortaklarınızın internet üzerinden yaptıkları işlemlerde, kötü niyetli kişilerin yapılan işlemleri dinlememesi için SSL kullanıyor musunuz? Evet Hayır
Are password protected screen-savers used on systems and consoles that provide access to sensitive information and critical systems? Hassas bilgi ve kritik sistemlere başkalarının erişimini engellemek için şirket içinde şifre korumalı ekran koruyucular kullanıyor musunuz? Evet Hayır
When an employee leaves the company, is the user account and password immediately revoked? Şirketten ayrılan bir kişiye ait kullanıcı adları ve şifreleri hemen kullanıma kapatıyor musunuz? Evet Hayır
Are accounts that are not used for a pre-defined length of time (sleeping accounts) automatically disabled in the system? Belirli bir süre kullanılmayan kullanıcı kodları system tarafından otomatik olarak kapatılıyor mu? Evet Hayır
Section 3: Operational Security Bölüm 3: Operasyonel Güvenlik
Are security incidents reported to the information security officer for investigation? Oluşan güvenlik açıkları yada zararlar güvenlik yöneticisine incelenmesi için raporlanıyor mudur? Evet Hayır
Is there an incident response team ready to be deployed in case of an account data compromise? Olası kullanıcı hesap verilerinin çalınması durumuna soruna yönelik acil durum ekibi var mı? Evet Hayır
Is a security assessment and/or penetration test performed on your environment regularly? Şirket ortamında güvenlik değerlendirmesi ve kaç testleri periyodik olarak yapılmakta mıdır? Evet Hayır
Are media containing sensitive cardholder information protected against unauthorized access? Hassas müşteri bilgilerini içeren medyalara (disket, CDROM, döküman) izinsiz erişimler engellenmekte midir? Evet Hayır
Is sensitive cardholder data encrypted in databases and in backup media? Hassas müşteri bilgileri veritabanında ve yedeklemelerde şifreli olarak tutulmakta mıdır? Evet Hayır
Is sensitive cardholder information sanitized before it is logged in the audit log? Hassas müşteri bilgileri denetim kayıtlarına girmeden önce gözden gerçirilmekte midir? Evet Hayır
Are strong two-factor authentication and secure encrypted communications used for remote administration of production systems and applications? Uzaktan üretim ve uygulama sistemleri yönetimine erişimde 2 faktörlü onaylama ve şifreli iletişim kullanılmakta mıdır? Evet Hayır
Are vendor default security settings changed on production systems before taking the system into production? Tedarikçi firmanın güvenlik ayarları uygulama üretim ortamına aktarılmadan önce değiştiriliyor mudur? Kontrol ediliyor mudur? Evet Hayır
Are all production systems hardened by removing all unnecessary tools installed by the default configuration? Yerleşik konfigürasyon tarafından otomatik olarak kurulan gereksiz araçlar üretinm ortamından çıkarılıyor mudur? Evet Hayır
Are all production systems updated with the latest security related patches released by the vendors of various components? Tüm üretim sistemlerinize en son güncel güvenlik yamaları uygulanıyor mudur? Evet Hayır
Is there a virus scanner installed on all servers and on all workstations? Tüm server’larınızda ve iş istasyonlarınızda virüs tarayıcı yazılımlar yüklü müdür? Evet Hayır
Is the virus scanner regularly updated? Virüs taraması için kullanılan virüs bilgileri düzenli olarak güncellenmekte midir? Evet Hayır
Do all workstations have a personal firewall installed? Tüm kişisel bilgisayarlarda bireysel firewall kullanılmakta mıdır? Evet Hayır
Is all cardholder information printed on paper or received by fax adequately protected against unauthorized access? Kart sahibi bilgileri yazılı olarak yada faks ile izinsiz girişleri engellemek amacıyla alınıyor mudur? Evet Hayır
Are procedures in place to handle secure disposal of backup media and other media containing sensitive cardholder information? Yedeklene yada hassas müşteri bigisi içeren fakat çöp durumunda olan doküamanların saklanması yada yok edilmesi ile ilgili prosedür var mıdır? Evet Hayır
Section 4: Application and System Development Bölüm 4: Başvuru ve Sistem Geliştirme Severity Description Response Is a security assessment and/or penetration test performed on all of your e-commerce applications before they go into production? Tüm eticaret uygulamalarını kullanıma açmadan önce güvenlik testlerinden geçiriyor musunuz? Evet Hayır
If production data is used for testing and development purposes, is sensitive cardholder information sanitized first? Test ve geliştirme aşamalarında hassas müşteri bilgilerini kullanıyorsanız bunları öncelikle dikkate alıyor musunuz? Evet Hayır
Is there a dedicated and separate test environment? Sürekli bir test ortamınız mevcut mudur? Evet Hayır
Are all but the last four digits of the Primary Account Number (PAN) masked when displaying cardholder information? Kart bilgilerini gösterirken tapajlıyor musunuz? Evet Hayır
Is sensitive cardholder data stored in databases encrypted with sufficient strength keys, such as 128-bit triple DES or other strong algorithms based on industry standards? Hassas müşteri bilgilerini veritabanınızda saklarken 128 bit DES yada endüstri standartlarında diğer algoritmalar kullanıyor musunuz? Evet Hayır
Are all input controls implemented at the server side to prevent the bypassing of client side input controls? Client tarafından pas edilerek server tarafına geçilşmesini engelleyici düzenlemeleri server üzerinde uyguluyor musunuz? Evet Hayır
Are controls implemented at the server side to prevent SQL injection? SQL enjeksiyonu önleyici server uygulamalrınız var mıdır? Evet Hayır
When authenticating over the Internet, is the application designed to prevent account harvesting by malicious users trying to determine existing user accounts? Başka kişilerin hesaplarına girmeye çalışan ve deneme yanılma yöntemi kullananlara karşı önlenmleriniz var mıdır? Evet Hayır
Are cookies secured or encrypted? Cookişe’leriniz güvenli ve şifreli midir? Evet Hayır
Section 5: Network Security Bölüm 5: Ağ Güvenliği Severity Description Response Is the router configuration secured? Router konfigürasyonu güvenli midir? Evet Hayır
Are egress and ingress filters installed on all border routers to prevent impersonation with spoofed IP addresses? Network giriş çıkış routerlarında IP Spoofing (sahte IP adresi ile taklit etme) riskine karşı iki yönde de (giriş - çıkış) filtreleri uygulanmakta mı? Evet Hayır
If routers and other network devices are configured remotely, is a secure communication protocol used to protect the communication channel from eavesdropping? Eğer routerlarınızı uzaktan konfigüre ediyorsanız, kötü niyetli kişilerin dinleme riskine karşı güvenli iletim protokolü kullanıyor musunuz (örneğin SSH)? Evet Hayır
Are routers configured to drop any unauthorized packets? Router’larınız onaysız paketlerin atılmasınakarşı konfigüre edilmiş mifir? Evet Hayır
Are the router logs regularly reviewed for unauthorized traffic? Router kayıtları onaysız trafikler açısından düzenli olarak gözden geçirilmekte midir? Evet Hayır
Are routers configured to prevent remote probing? Routerlar uzaktan sistemi karıştırmalara karşı korunma açısından konfigüre edilmiş midir? Evet Hayır
Is a firewall used to protect the network, and to limit traffic to only that required for business? Ağ’ınızı korumak için Firewall kullanılıyor mu ve işinizin gerektirdiği kadar trafiğin gelmesi konusunda sınırlayıcı oluyor mu? Evet Hayır
Do changes to the firewall need authorization, and are the changes logged? Firewall’da değişiklik yapmak için otorizasyon gerekiyor mu, yapılan değişiklikler kaydediliyor mu? Evet Hayır
Are firewall logs regularly reviewed? Firewall kayıtları düzenli olarak gözden geçiriliyor mu? Evet Hayır
Is the network segment containing the servers for the Web presence separated from the network segment containing the internal servers with a firewall? Internete açık serverlarınızla, dahili ortamınızda kullandığınız serverlar firewall’la ayrıştırılmış durumda mı? Evet Hayır
Is the firewall configured to translate the IP addresses used on the internet to different internal IP addresses(for example, using network address translation, NAT)? Firewall’unuzda, internet çıkışlarında dahili adreslerinizi NAT yardımı ile çeviren kurulum yapılmış mı? Evet Hayır
Does the network configuration prevent network mapping from the outside (for example, ping, trace route)? Network konfigürasyonunuz dışarıdan topoloji bilgisinin oluşturulmasını (örneğin ping tracert yarımı ile ) önlüyor mu? Evet Hayır
Are all Internet accessible hosts (for example, firewall, Web server, router, etc.) periodically updated and patched for security vulnerabilities? Internete erişebilen bütün bilgisayarlarınızda güvenlik yamaları periyodik olarak güncelleniyor mu? Evet Hayır
Are transmissions of cardholder data encrypted through the use of SSL or other industry acceptable methods? Kart sahibinin gönderimleri endüstri kabulleri dahilinde SSL ile şifreli olarak gönderilmekte midir? Evet Hayır
If SSL is used for transmission of cardholder data, is it using version 3.0 with 128-bit encryption? Eğer gönderimlerde SSL kullanılıyorsa 3.0 versiyonu ve 128-bit şifreleme kullanılıyor mudur? Evet Hayır
If wireless access is used, is the communication encrypted? Eğer kablosuz erişim kullanılıyorsa şifreli midir? Evet Hayır
If wireless access is used, is network access limited to only know network cards? Eğer kablosuz erişim kullanılıyorsa ağa erişim sadece bilinen ağ kartlarına sınırlandırılmış mıdır? Evet Hayır
Are personal modems configured to only allow dial-out connections? Işisel modemler sadece dış bağlantıalra göre mi konfigüre edilmiştir? Evet Hayır
Section 6: Physical Security Bölüm 6 : Fiziksel Güvenlik Severity Description Respons Are there multiple physical security controls (bades, escorts, mantraps, etc.) in place that would prevent unauthorized individuals from gaining access to the facility? İzinsiz kişilerin binadaki bölümlere erişimlerini önlemek için farklı fiziksel kontrol yöntemleri kullanılıyor mu (yaka kartı, misafirlere eşlik eidlmesi gibi…) ? Evet Hayır Is key storage physically protected? Kilit depo fiziksel olarak korunmakta mıdır? Evet Hayır
Is cardholder information deleted or destroyed before physically being disposed (for example, shredding papers, destroying backup media)? Geçerliliğini yitirmiş kart sahibi bilgileri sdilinmekte ve yok edilmekte midir? (Ör. Kağıt kıyma makinesi, yedekleri yok etme vb.) Evet Hayır
Is sensitive cardholder data physically separated from other data stored in the e-commerce environment? Hassas müşteri bilgileri fiziksel olarak eticaret ortamına ilişkin verilerden ayırılmakta mıdır? Evet Hayır
E-Ticaret ile ilgili daha birçok makaleyi sitemizdeki birçok makalenin kaynağı olan e-ticaret.garanti.com.tr adresinden bulabilirsiniz.
Bu sayfayı e-Mail olarak gönder
