Ülkemizde kredi kartı kullanımı, finansal kuruluşların kart pazarına olan ilgisi ve bu alandaki ürün ve hizmet çeşitliliği giderek artmaktadır. Genç ve teknolojik gelişmelere yatkın nüfusun çokluğu ve ülke ekonomisinin gelişim göstermesi bu alanda çok sayıda yeniliklerin sunulacağının göstergesi niteliğindedir.

Kart hizmetleri sunan firmaların operasyonlarını gerçekleştirirken uyması gereken uluslararası kurallar mevcuttur. Bu kurallar PCI (Payment Card Industry) adı verilen ve  aralarında American Express, MasterCard Worldwide, Visa, Discover Financial Services gibi üyeleri bulunan bir konsey tarafından geliştirilmekte ve yayımlanmaktadır. Bu kapsamda gerek issuer (kart sahibi kuruluş), gerekse acquirer (üye işyeri bulunduran, atm/pos sahibi kuruluş) firmaların uyması gereken PCI-DSS (PCI Data Security Standards), PA DSS (Payment Application Data Security Standards) ve PIN Transaction Security Standards gibi regülasyonlar mevcuttur. Her ne kadar bu kuralları birbirinden bağımsız ve ayrı düşünmek mümkün değilse de bu makalede daha çok PCI’ın PIN Transaction Security gereksinimleri üzerinde durulacaktır.

Öncelikle KEY ve PIN’in ne olduklarını tanımlamamız gerekmektedir. KEY; kart operasyonlarında verinin gizliliğini ve bütünlüğünü sağlamak için gereksinim duyulan encryption, decryption ve hashing algoritmalarına sağlanan anahtar değerdir. Kart operasyonları için Local Master Key’in (LMK)  en tepede bulunduğu ve çok sayıda KEY içeren bir KEY hiyerarşisinden faydalanılmaktadır. Tüm bu keyler LMK altında encrypt edilmiş şekilde veritabanında tutulmaktadır. Yalnızca LMK HSM’in kendi üstünde bulunmaktadır. PIN ise en basit haliyle ATM kartı da denilen debit kart veya kredi kartı için girmiş olduğumuz genellikle 4 haneden oluşan şifrelerimizdir.

Key ve pin güvenliği için dikkat edilmesi gereken noktaları temel olarak aşağıdaki dört başlık altında inceleyebiliriz.

• Tamper-proof/respondent cihazların temini

• Keylerin üretilmesi ve saklanması

• Keylerin işlenmesi, paylaşılması ve kullanım dışına alınması

• Pin güvenliği

Tamper-proof/respondent Cihazların Temini

HSM, ESM, ATM, ve POS gibi cihazların temini PIN ve KEY güvenliği sağlanması çabalarının ilk adımı sayılabilir. Firmalar üretim ortamında kullanacakları cihazların yazılım ve donanım bazında herhangi bir illegal müdahaleye maruz kalmadığından emin olmaları gerekmektedir. Bunun için de satın alma, stok takibi ve kurulum gibi süreçlerini bu prensibe göre dizayn etmelidir. Örneğin yeni bir ATM alımında firmaya ulaşan ATM ile fatura üstünde belirtilen PIN-PAD seri numalaraları karşılaştırılmalı, ATM ambalajının taşıma aşamasında açılıp açılmadığı kontrol edilmeli ve ATM en az iki kişi ile sürekli izlenen depolama alanına kaldırılmalıdır. ATM’in depodan sahaya çıkarılıp kurulması adımlarında da aynı hassasiyet gösterilmelidir. Kısacası bu tür cihazlara illegal müdahale olmadığını kanıtlayabilmek adına delil zinciri oluşturulmalıdır.

Keylerin Üretilmesi ve Saklanması 

Key üretimi için HSM ve ESM denilen tamper-proof cihazlar kullanılmaktadır. Tamper-proof/respondent özelliğe sahip bu cihazlar üzerlerinde bulunan armed kontrollerinin aktif tutulması ile herhangi bir fiziksel zorlamaya karşı üzerlerindeki bilgileri yok eder (zeroization) ve kendilerini kullanılamaz (unable) konumuna alırlar. Keylerin güvenliği için bu cihazlar üzerindeki armed kontrolünün aktif halde olduğundan emin olmak gerekmektedir. HSM’in ön panelinde security veya armed ledleri yanıyorsa tamper prof/respondent kontrolü aktif demektir. Bu özellik kullanılan HSM’in markası ve modeline göre değişiklik gösterebilmektedir. Detaylı bilgi için cihazın kullanıcı kitabına başvurulmalıdır.

HSM ve ESM’ler her zaman herkesin ulaşabileceği noktalarda bulunmamalı, sistem odaları gibi fiziksel güvenliği sağlanmış alanlarda ve çift anahtarlı kabinler içinde muhafaza edilmelidir. Bu cihazlara erişimin kuralları prosedürlerle tanımlanmış olmalıdır.

HSM ve ESM’ler sadece monitör amaçlı ‘akılsız’ (dumb) bir terminale bağlı olmalı ve bu terminal ile işlem yapılmalıdır. Üzerinde bilgi saklayabilecek ya da ağ’ın diğer bilgisayarlarına bilgi transferi yapabilecek akıllı terminaller kesinlikle bu cihazlara bağlanmamalıdır. HSM ve ESM’lerde yapılan işlemleri kaydeden fakat konsolu direk görmeyen kamera sistemi mutlaka ilgili bölümde bulundurulmalı ve kamera kayıtları minimum 90 gün süreyle muhafaza edilmelidir.

HSM cihazlarının FIPS-140-2 level3 veya level4 garanti seviyesine uygun olması PCI uyumluluğu için gereklidir.

HSM üstünde keyler belli bir seremoni ile üretilmelidir. Üretim aşamasında keyler HSM’e random ürettirilmelidir. Kullanılan key uzunlukları ve algoritma bilgisi <vr> (versiyon) komutu ile HSM üstünden kontrol edilebilir. Oluşturulacak keyler ideali 3 parça olmasına rağmen minimum 2 parçadan türetilmeli ve her parçanın sorumluluğu farklı kişilere atanmalıdır. Key üretiminde gerek konsol vasıtasıyla HSM’e değer girilmesi gerekse komponentlerin kâğıda aktarılması gerektiği durumlarda Visa tarafından gönderilen ZCMK (Clear Zone Master Key ) gibi keylerin clear halleri PCI kuraları gereği yazılım yoluyla HSM’e aktarılamamakta ve bu işlem için konsol kullanılması gerekmektedir. HSM’in başında tek kişi olması sağlanmalı, bir kişinin birden fazla key parçasını görmesi engellenmelidir. 

Key üretiminden sonra keylerin integrity kontrolünün yapılmasına imkân sağlayan KCV (Key Check Value) denilen key kontrol değerleri de kayıt edilmelidir.

Üretim ve test ortamları için kesinlikle farklı keyler üretilmeli ve üretim ortamı için oluşturulmuş bir key hiçbir şekilde test ortamlarında kullanılmamalıdır.

HSM/ESM üstünde oluşturulan veya girişi yapılan her bir key için işlem tutanaklarının hazırlanması ve muhafaza edilmesi key güvenliğinin sağlanması ve denetimler için önem arz etmektedir.

Key yüklenmesi veya üretiminden sonra HSM’ler un-authorized moda alınmalı ve bu modda provizyon işlemlerine cevap vermelidir. Pin&Key fiziksel basımı için kullanılan HSM’lerin authorized modda çalışması konusu net olmamakla birlikte PCI’ın “sessiz onay” verdiği bir konudur.

HSM/ESM üstünde üretilen ve iş sürekliliği kapsamında saklanması gereken keylerin  fiziksel güvenliği büyük önem taşımaktadır. Akıllıkart veya kağıt üstünde bulunan keylerin veya key parçalarının güvenliğinin sorumluluğu key parça sahiplerine aittir. Bu sebeple key parça sahiplerine eğitim imkânı sağlanarak bu konuda yeterli farkındalığa ulaşmaları sağlanmalıdır.

Akıllıkartlar ve/veya kâğıt üstünde bulunan key ve/veya key parçalarını muhafaza etmenin en iyi yolu bunları çift anahtarlı veya şifresi en az iki parçadan oluşan kasalarda saklamaktır. Burada önemli bir nokta akıllıkartlar ve akıllıkartlara ait şifrelerin ayrı ayrı muhafaza edilmesi ve akıllıkartların üstüne şifrelerinin yazılmamasıdır.

Keylerin İşlenmesi, Paylaşılması ve Kullanım Dışına Alınması 

Üretilen keylerin clear halleri hiçbir şekilde HSM, ESM, POS ve ATM gibi TRSM (Tamper Respondent Security Module) cihazlarının dışında bulundurulmamalıdır.

ATM ve/veya POS’lar için Terminal Master Key (TMK)’ler manuel olak üretiliyorsa bu keyler iki parça halinde üretilmeli, farklı kanallardan yükleme işlemini yapacak key sorumlularına iletilmeldir. TMK keylerinin yüklenmesi en az iki farklı kişi tarafından yapılmalı ve bu keyler belli periyot ve/veya işlem adedi sonrasında değiştirilmelidir. Bu keylerin yüklendikten sonra imha edilmesi (kağıtlar için cross-cutter, schredder cihazları kullanılması veya yakılarak imha edilmesi ) veya muhafazasının yine key saklama prosedürüne uygun şekilde yapılması gerekmektedir. POS’lar için üretilen IMK’ların (Initial Master Key) her bir terninal için farklı olması ve bir modelin tüm terminalleri için aynı IMK’nın kullanılmaması en ideal yöntemlerdendir.

Issuer veya acquirer firmalar embossment, kişiselleştirme ve ekstre basımı gibi bazı hizmetleri 3.parti firmalardan tedarik edebilmektedirler. Bu işlemler için gereken kart datasını ve bazı keyleri 3.partiler ile paylaşmaları gerekmektedir. Burada önemli olan 3. partilere key’lerin güvenli şekilde (kendi personeliniz tarafından ya da parçalar halinde farklı kuryeler/kanallar tarafından) iletilmesi ve 3.parti lokasyonundaki HSM/ESM cihazlarına keylerin key sahipliği yapısı altında enjekte edilmesi, bir kişinin key’in bütün haline sahip olmamasının sağlanmasıdır. Bir diğer önemli nokta da eğer birden fazla 3. parti ile çalışılıyorsa her bir firma için farklı keylerin kullanılmasıdır. Gerektiğinde bu tür bir kontrol key check value’larının karşılaştırılması ile sağlanabilir. 3.partiler ile paylaşılan keyler belli periyotlarla (örn: iki yılda bir) değiştirilmelidir.

Aynı şekilde Issuer ve Acquirer firmalar VISA, MCI, BKM gibi kuruşlarla da key paylaşımı yapmaktadır. Buralarda önemli olan ZMK/ZCMK gibi unecrypted paylaşılan keylerin muhafaza edilmemesi ve sisteme girildikten sonra imha edilmesidir.

Kasalarda saklanan key’ler de belli periyotlarla (örn: yılda 2 kere) gözden geçirilmeli, ihtiyaç duyulmayacak keyler uygun imha yöntemleriyle imha edilmelidir. Bu işlem tüm kasalar için yapılmalıdır.

Atıl duruma düşen veya tamir amaçlı üretim ortamı dışına alınan HSM/ESM, ve ATM gibi TRSM cihazlarının üzerinde bulunan key’ler yok edilmelidir. Çalışan (bozulmamış) HSM’ler için yok etme işlemi <LK> gibi komutlarla gerçekleştirilebilir. Çalışmayan (açılmayan) HSM’ler üstündeki keyleri yok etmenin uygulamadaki en kolay yöntemlerinden birisi bu cihazlar üstünde bulunan bataryaların yuvalarından çıkartılıp bir süre beklenilmesidir. Bataryaları çıkarılan cihaz hafızasını temizlemektedir. En garantili yol olarak bu cihazlar üstündeki EEPROM’ların schredder ile fiziksel imhası ya da ilgili parçaların yakılması tercih edilebilir.

Bir diğer önemli nokta da kart operasyonlarını yürüten firmaların key change, emergency key change gibi prosedürlerinin bulunması, herhangi bir key’in açığa çıkması durumunda ya da gizliliğinden şüphe edildiğinde bu key’in ve hiyerarşide bu key altında encrypt edilmiş diğer keylerin değişiminin sağlanmasıdır. Bu operasyonu yaparken dikkat edilecek nokta değiştirilecek key’i tamamen yok etmeden önce bir yedeğinin alınmasıdır. Bunun sebebi geçmişte bu key ile encrypt ettiğimiz ve arşivlerimizde sakladığımız datanın olabilme ihtimalidir. Herhangi bir sebepten dolayı bu dataya ihtiyaç duyulursa bu key’e ihtiyacımız olacaktır.

Pin Güvenliği 

Pin’in tek sahibi adına kart tahsis edilmiş kişidir. Banka veya kartı çıkaran kuruluş pin’in sahibi olmayıp muhafazası konumundadır. Bu sebeple pin’in açık halini kart sahibi dışında kart operasyonlarını gerçekleştiren firmalar ve diğer kuruluşlar da dahil olmak üzere kimsenin bilmiyor olması gerekmektedir.

Pin güvenliğini sağlamak adına PCI’ın getirdiği önemli kurallar bulunmaktadır. Bunlardan en önemlisi clear pinlerin hiçbir şekilde muhafaza edilmemesidir. Kullanıcı tarafından Pin-Ped’lere (ATM/POS klavyesi, Pos-Ped gibi) girilen pinler kart no, pin uzunluğu, ve pin’in kendisi gibi bileşenler kullanılarak pin-block formatlarına çevrilmekte ve bu aşamadan sonra yapılan tüm işlemler pin-block yapısı üstünden gerçekleştirilmektedir. Pin-Ped ve TRSM cihazı arasındaki iletişim pin-block formatında ve uygun encryption yapısı ile sağlanır. Online pin doğrulama adımında da pin-block formatındaki pin HSM vasıtasıyla LMK altında encrypted şekilde saklanan pin-block formatındaki pin ile karşılaştırılır.

Yukarıda bahsedilen işlemin güvenliği için pin girişi yapılan cihazların PCI- Pin-Ped uyumlu (EPP uyumlu) cihazlar olması gerekmektedir. Cihazların uyumlu olup olmadığı PCI’ın sayfasından kontrol edilebilmektedir.

Bir diğer önemli husus da HSM’ler üstünde bulunan clear-pin gibi provizyon HSM’lerinin ihtiyaç duymadığı fonksiyonların disable modunda olduğundan emin olmaktır. Clear-pin fonksiyonu debit ve kredi kartı şifrelerinin clear hallerinin encrypt veya decrypt edilmesini sağlayan bir fonksiyondur. Bu fonksiyonun enabled modda olması clear şifrelerin doğru komutlar verildiği takdirde HSM’den elde edilebileceği anlamına gelir ki oldukça tehlikeli bir durumdur.

Pin güvenliği kapsamında bir diğer önemli husus da not-on-us işlemlerde veya switching hizmeti veriliyorsa bu kapsamda yapılan işlemlerde transaction bilgisi ile birlikte gelen pin bilgisinin (pin-block bilgisi) hiçbir şekilde kaydedilmemesi ve gerekli conversionlar (TPK’ların AWK’lara dönüşümü gibi) yapıldıktan sonra ilgili yerlere iletilmesidir.

Ayrıca issuer/acquirer firmaların her sene pin-security-self-assessment formu, attestation of compliance formu ve uyumsuz durumlar var ise bunlar için self-audit exception formunu doldurup VISA’ya göndermesi  zorunludur.

Pin güvenliği ile ilgili olarak yeni model HSM’lerde ek bir özellik bulunmaktadır. Bu özellik sayesinde HSM’ler üstüne zayıf-pin tabloları (1900 -2000 arası gibi) yüklenebilmekkte ve HSM’ler pin üretirken bu tablodaki pinleri üretmemektedir. Bu kontrol ile kart sahibinin zayıf pinleri oluşturması engellenememekte, sadece HSM’in pin oluştururken (pin generation) zayıf pinleri üretmemesi sağlanmaktadır.

Kısaltma ve Açıklamalar:

HSM: Host Security Module

ESM: Enterprise Security Module, Encyrpted kart basım datası bu cihaz ile hazırlanmaktadır. Ayrıca, yeni BIN’ler için RSA key’ler bu cihaz vasıtasıyla oluşturulmaktadır.

PIN: Personal Identification Number

FIPS: Federal Information Processing Standards

ZCMK: Clear Zone Master Key, Issuer/acquirer keylerin encrypt edilerek paylaşılması için kullanılan encyption key

KCV: Key Check Value

POS: Point of Sale cihazları

ATM: Automated Teller Machine

TMK: Terminal Master Key, ATM terminalleri için kullanılır. Terminalin ana key’idir. Terminal ile host arasında key encyption için kullanılır.

Embossment: Debit veya kredi kartı üstüne bilgilerin fiziki olarak yazılması

Kişiselleştirme: Kart manyetiğine veya chip üstüne kişeye ait bilgilerin aktarılması

MCI: Master Card International

BKM: Bankalar Arası Kart Merkezi

EEPROM: Electrically Erasable Programmable Read Only Memory

EPP: Pin Entry Point

Not-On-Us İşlemler: Başka kuruluşa ait kart ile bize ait ATM/POS cihazı üstünden yapılan işlemler

Switching: Not-on-us işlemlerde BKM veya Visa/MCI’a yapılan işlem datası aktarımı ile BIN kiralama durumlarında işlem datasının kart operasyonlarını gerçekleştiren kuruma aktarılması işlemi

TPK: Terminal Pin Key

AWK: Acquirer Working Key

PED: Pin Entry Device

KAYNAKLAR:

[1] https://www.pcisecuritystandards.org/

• PCI_PIN_Security_Rqmts_final_v2_2008[1].pdf

• PIN-Sec-Rem-Key-Auditor-Guide-2.pdf

[2] http://itl.nist.gov/fipspubs/

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.