22.12.2008 ANKA

POS cihazının sahip olduğu güvenlik sistemiyle asgari olarak yerine getireceği görevler yeniden belirlendi. POS, kaynağını veya bütünlüğünü onaylamadığı yazılımları işleme almadan silecek. Ayrıca işleme tabi tutulmakta olan kartlara ilişkin hassas verilere yetkisiz fiziki veya elektronik erişimi engelleyecek. Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) "Banka Kartları ve Kredi Kartları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik" Resmi Gazete'nin dünkü sayısında yayımlandı. Üye işyeri anlaşması yapan kuruluşlar, belirleyecekleri bir periyot çerçevesinde, kullanımdaki POS'lar üzerinde koşmakta olan yazılımlarını, amaca uygun olmak kaydıyla kendilerinin belirleyeceği bütünlük ve geçerlilik testine tabi tutacak.
Üye işyeri anlaşması yapan kuruluşlar POS üzerindeki kendilerine ait yazılımların yüklenmesine ve güncellenebilmesine ilişkin yazılı ve denetlenebilir bir süreç oluşturacak, sürecin işleyişine ilişkin gerekli detayda dokümantasyon tutacak, kendilerine ait yazılımlarda gizlenmiş, yetkilendirilmemiş veya yazılı olarak kayda alınmamış fonksiyonların POS'ta barındırılmadığına ilişkin güvence oluşturacak düzeyde belgelendirme yapacak.

Hassas veri kaydedilmeyecek
Üye işyerleri, banka kartları veya kredi kartlarının fiziksel olarak doğrudan kart hamili tarafından bir cihaz üzerinde kullanıldığı durumlar da kartın POS veya POS kullanımının mümkün olmadığı durumlarda harcama veya nakit ödeme belgesi düzenleyen mekanik cihazlar haricinde bir cihaz üzerinden herhangi bir işleme tabi tutulmamasını sağlayacak alt yapıyı tesis edecek. Üye işyerleri, POS'un üye işyeri anlaşması yapan kuruluş sistemleri ile bağlantısını sağlayan alt yapı üzerinde, kartlara ilişkin hassas veriyi tutan, işleyen veya kaydeden bir sistem kuramayacak. Üye işyeri anlaşması yapan kuruluşlar, POS'un kendi sistemleri ile veri iletişiminde asgari seviyede Ödeme Kartı Endüstrisi Veri Güvenliği Standardının şifrelemeye ilişkin hükümlerini dikkate alacak.

Alt yapı tesis edilecek
Üye işyeri anlaşması yapan kuruluşlar ve üye işyerleri, harcama ve alacak belgesi düzenleme imkanı olmayan, kart hamili tarafından başlatılan ve internet kullanılarak gerçekleştirilen işlemler için diğer önlemlerle birlikte 3DSecure kart hamili doğrulama teknolojisini içerecek şekilde kart kullanım alt yapısı tesis edecekler. Gerçekleştirilecek işlemlerde söz konusu altyapının kullanımının zorunlu tutulması, üye işyeri anlaşması yapan kuruluşların ve üye işyerlerinin tercihlerine bağlı olacak, zorunlu tutulmadığı durumlarda kullanım kart hamilinin tercihine bağlı olacak.