Güvenliği sağlayamayan kart bilgisini saklamasın

GİMA’da yaşanan bilgisayar korsanları saldırısı ve kredi kartı bilgilerinin kopyalanması olayı, güvenlik konusunda bazı endişeleri de gündeme getirdi. Gima’da olay tespit edilip, müşteri mağduriyeti yaratmayacak şekilde kartlar yenilenirken, uzmanlar her ne amaçla olsun kredi kartı ve güvenlik numaralarının bankalar dışında saklanmaması gerektiği uyarısında bulundu. Bu tür bilgilerin içerden ya da dışardan pek çok suistimale açık olduğuna dikkat çeken uzmanlar, güvenliği tam olarak sağlayamayan hiçbir kuruluşun veri tabanlarında bu tür bilgileri tutmamaları gerektiğini vurguladı.

NEDEN SAKLANIYOR: Bugüne kadar kredi kartlarıyla ilgili yurtiçinde ve yurtdışında pek çok olay yaşanmış olsa da, alışverişin yapıldığı mağaza üzerinden müşteri bilgilerinin elde edilmesi olayı Türkiye’de çok rastlanılan bir durum değil. Ancak müşterilere ait kredi kartı ve güvenlik numarasının mağaza veri bankalarında saklanması bildik bir durum. Bir ödeme aracı olan kredi kartı banka ile kullanıcı arasındaki bir araç gibi görünse de, sahip olduğu bilgiler açısından mağazalar için de önemli bir veri tabanı. Pek çok mağaza, CRM (Customer Relationship Management) denilen Müşteri İlişkileri Yönetimi açısından bu tip bilgilere ihtiyaç duyuyor. Müşterinin hangi bankanın kartıyla, ne sıklıkta, ne kadarlık alışveriş yaptığı gibi bilgilere sahip olmak isteyen mağazalar, kredi kartlarıyla yapılan işlemleri bu nedenle saklıyor.

NUMARA GEREKLİ Mİ: Bu noktada işlemlerle ilgili bilgi saklanırken, "kredi kartı ve güvenlik numaralarının da saklanması gerekli mi" sorusu akıllara geliyor. Uzmanların bu soruya verdiği yanıt, "hayır". Banka yazılımcıları CRM uygulamaları için yazılım yapan firmaları ve mağazaların buna dikkat etmesi gerektiğini vurgularken, şu noktalara dikkat çekiyor: "Kimse bizim başımıza gelmez diye düşünmemeli. Bugün Gima’nın başına gelen olay, yarın bir başkasında yaşanabilir. Burada önemli olan en yüksek düzeyde güvenliğin sağlanması ve banka standartlarının mağazalarda da oturtulması. İsterse bunu kendi bilgisayar ağında saklayabiliyor. Kredi kartı numarası saklandığı noktada risk artıyor. Bu bilgilerin korunmasında güvenliği sağlanması bir numaralı sorun haline geliyor."

SUİSTİMALE AÇIK: Kredi kartı bilgilerinin tüm dünyada bilgisayar korsanlarının iştahını kabartan bilgiler olduğuna dikkat çeken uzmanlar, üye işyerlerine şu uyarıları yaptı: "Bu bilgilerin güvenliği için bankalar pekçok yatırım yapıyor. Ancak bu yeterli değil, benzer bir yatırımı tüm üye işyerleri de yapmalı. Tehlikeli olabilecek bilgileri saklamamalı, CRM yazılımlarını buna göre düzenlemeli. Kredi kartı numarasını saklayan eski tip yazılımlar yerine, yeni geliştirilmiş yatırımları tercih etmeli. Çünkü bu tip bilgiler, içerden ve dışardan pek çok suistimale açık. Hiç bir şey yapılmasa, bu bilgilerle internet üzerinden alışveriş yapılabilir. Bütün bunlar gözönünde bulundurulmalı."

Kart POS’tan başka bir cihazdan geçirilmemeli

KREDİ kartı ile ödeme yapılırken, bankaların da mağaza standartlarına uymaları gerektiği belirtiliyor. Ancak, mağaza yazılımlarına ilişkin bazı güvenlik sertifikaları, banka denetimleri söz konusu olsa da, böyle bir standart oluştuğundan söz etmek mümkün değil. Bazı işyerleri kredi kartı ödemelerinde zaten POS kullanıldığı halde, bazı verileri oluşturabilmek için yazarkasanın yanında bulunan bir okuyucudan da kartı geçiriyor. Bu yazılımların bazıları, müşterinin adı ve soyadının yanı sıra kredi kartının numarasını, güvenlik no’sunu da kaydediyor. Bu durumda ortaya atılan bir görüş, "Kart sahibi, kartının POS dışında başka bir cihazdan daha geçirilmesine karşı çıkılabilir" şeklinde. Bankalar da dahil olmak üzere kimse yüksek sesle dile getirmese de, 5464 nolu Bankla Kartları ve Kredi Kartları Kanunu da bu görüşü destekliyor. Kanunun 23’üncü maddesinde bu konuya açıklık getiriliyor. Buna göre, üye işyerlerinin, kartın kullanımı sonucu edindikleri bilgileri kart hamilinin "yazılı rızası" olmadan kullanması, paylaşması mümkün değil.

Yazılım maliyeti 50 ile 150 bin dolar arasında

GİMA yönetiminin, korsan saldırının gerçekleştiği sistemi tamamen kullanıma kapatarak ve yeni bir sisteme geçerek bu olayın önüne geçmesi, kullanılan CRM (Müşteri İlişkileri Yönetimi) yazılımın da önemine dikkatleri çekiyor. Yazılım sektörü yetkililerinden aldığımız bilgiye göre, bu tip yazılımların maliyeti 50 bin ile 150 bin dolar arasında değişiyor. Bu rakamlara ilişkin değerlendirme ise şöyle: "Tek başına düşünüldüğünde maliyet yüksek gibi düşünülebilir ama milyon dolarların döndüğü bir sistemin içinde bu rakam o kadar yüksek değil. Güvenliğini sağlayamayacağınız bir bilgi çok daha büyük sorunlara neden olabilir."

Şifrenizi kullanın

CHIP&Pin uygulamasının bu konunun ortaya çıkmasında yol gösterici olduğunu söyleyen BKM Genel Müdürü Sertaç Özinal, şöyle konuştu: "31 Mart 2006 tarihinde ülke çapında başlatılmış olan chip&pin uygulamasının yaygınlaşması ile birlikte bu tür olayların da önüne daha da rahat geçilebilecek. Çünkü chip&pin uygulaması ile gerçekleşen kredi kartı işlemlerinde, çip üzerindeki bilgilerin alınarak sahte bir kart üretilme imkanı bulunmuyor. Gima’da kart bilgilerinin alınması konusunda, kartların çipli ya da çipsiz olmalarından bağımsız, manyetik şerit ile işlem yapılan kart bilgilerinin alınması durumu söz konusu olmuştur. İşlemlerin çip ile şifre girilerek yapılması durumunda bu tip bir sahtekarlık söz konusu olmayacaktır."