‘Daha güvenli olma yolculuğu’ hiç bitmeyecek
Türkiye pazarında yerini alan 24 Solutions’ta öncelik; ilgili tüm kurumları PCI-DSS ile uyumlu hale getirmek, veri sızıntısı ve diğer risklerin önüne geçerek daha güvenli hizmet sunumu sağlamak.
Türkiye’de e-ticaret pazarı istikrarlı bir büyüme sergiliyor ve en fazla tercih edilen ödeme sistemi de kredi kartı. Ama dijital ödeme ve online kredi kartı işlemlerinin dolandırıcılık oranlarını da artırması e-ticaret şirketleri, bankalar ve FinTech şirketlerini güvenlik konusunda en güncel ve etkin çözümlere yönlendiriyor. 15 yılı aşkın zamandır İsveç’teki ana merkezi dışında stratejik pazarlardaki yerel ofisleriyle küresel çalışmaları yürüten, ödeme sistemleri güvenliğinde en yüksek standart olan PCI-DSS alanında hem danışmanlık hem denetim ve sertifikasyon hizmetini birlikte sunan 24 Solutions da İstanbul’da açtığı ofisle geçtiğimiz aylarda Türkiye pazarına girdi. 24 Solutions Türkiye Ülke Direktörü Emrah Elmas’a göre, sadece Türkiye’de değil, küresel bazda da nakitsiz toplum yolunda adımlar atılırken, kapsamlı ve bütünsel güvenlik de şart. Örnek yine İsveç’ten gelirken, Emrah Elmas, “İsveç’te nakit parayla yapılan ödemeler tüm alışverişlerin sadece yüzde 2’sini oluşturuyor ve yüzde 98’i dijital ödeme ile yapılıyor. Ama tüm ödemelerini dijital yöntemlerle gerçekleştiren bir ülke, siber saldırılara ve elektronik sahtekarlıklara da daha açık hale geliyor” gerçeğini paylaştı. “Hedefimiz; bilgi ve deneyimimizi Türkiye pazarındaki firmalarla paylaşarak, ilgili tüm kurumları PCI-DSS ile uyumlu hale getirmek, veri sızıntısı ve diğer risklerin önüne geçerek daha güvenli hizmet sunabilmelerini sağlamak” diyen Emrah Elmas ile nakitsiz toplumun önündeki engeller ve çözümlerini konuştuk:
Türkiye pazarına giriş kararı hangi kriterler paralelinde alındı?
Dünya çapında Türkiye; Hindistan’dan sonra e-ticarette en hızlı büyüyen ikinci ülke ve artan internet kullanımı, internet üzerinden yapılan alışveriş oranının artmasına destek olurken, en fazla tercih edilen ödeme sistemi ise kredi kartı. Bunun paralelinde, artan dijital ödeme ve online kredi kartı işlemlerinin dolandırıcılık oranlarını da artırması, e-ticaret şirketleri, bankalar ve FinTech şirketlerini güvenlik konusunda küresel standartlara uygun, en güncel ve etkin çözümlere yönlendiriyor. Bu bağlamda, PCI-SSC (Payment Card Industry Security Standards Council – Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi) tarafından belirlenen ve ödeme sistemleri alanında dünyadaki en yüksek güvenlik standardı olan PCI-DSS (Payment Card Industry Data Security Standard – Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) sertifikasyonu büyük önem taşıyor. Dünyada bu alanda uzman az sayıdaki şirketten biri de 24 Solutions. Dolayısıyla Türkiye’de bu sertifikasyonu alarak, müşterilerine dünya standartlarında güvenli ödeme olanakları sağlamak isteyen şirketlerin çözüm ortağı olmak üzere Türkiye ofisimizi açtık.
Türkiye pazarı, dijital ödemede nasıl bir potansiyele sahip? Gerek bilgilendirme gerekse düzenlemeler gibi hangi başlıklarda eksiklikler söz konusu?
Türkiye, 176 milyon adete ulaşan kart sayısıyla Avrupa liginde ilk sıraya yerleşmiş durumda. Avrupa’nın tamamına baktığımızda, kredi kartı penetrasyonu yüzde 50’nin altındayken, Türkiye’de bu oran yüzde 60’larda. Kartlı ödemelerin hanehalkı harcamaları içindeki payı son 5-6 yılda yüzde 28’den yüzde 40’a çıktı. Bunun en büyük destekleyicisi ise kartlı ödeme sistemleri. Geçtiğimiz yıl internetten kartlı ödeme tutarı yüzde 23 artıp 68,4 milyar TL’ye ulaşırken, bunun yüzde 51’ini mobil alışveriş oluşturdu, her beş kredi kartından ikisi internet ödemelerinde kullanıldı. Dijital ödeme sistemlerinin tercih edilmesi anlamında doygunluğa ulaşılmasına daha çok var ve artışın devam edeceğini öngörüyoruz. Ancak atılması gereken en büyük adımların yasalar ve regülasyonlar alanında olduğunu görüyoruz. İsveç, kişisel veriler konusunda öncü. İsveç “Kişisel Korunma Yasası”nı, kullanılan her yerde kişisel verilerin korunması amacıyla 1995 yılında hayata geçirdi. Bu yasa, verinin kullanıldığı her alanı kapsadığı için BT de yasa kapsamında. Günümüzde bu yasa artık yerini, Avrupa Birliği (AB) tarafından çıkan GDPR (General Data Protection Regulation – Genel Veri Koruma Yönetmeliği) mevzuatına bıraktı. İlk yürürlüğe giren kanunda kişisel veri tanımı, GDPR’da olduğu kadar net ve kapsamlı değildi. Bu belirsizlik, bilginin her noktada herkes tarafından toplanarak “büyük veri” birikimlerinin oluşmasına neden oldu. İsveç örneğinde olduğu gibi özellikle AB üyesi ülkelerde kişisel verilerle ilgili yasalar belli bir süredir yürürlükte ve bu bilgilerin korunması gerekliliği doğal olarak beklenir. Türkiye'de dijital ödeme konusunun daha da yaygın hale gelebilmesi ve insanların güveninin artması için kanun ve regülasyonların küresel standartlar ve örnekler doğrultusunda tasarlanıp yürürlüğe sokulması gerek. Deneyimlerimiz bize yasaların teknik anlamda ihtiyaç duyulanın ötesinde ‘detaylandırılmaması’ gerektiğini gösteriyor. Aksi takdirde, teknolojik gelişmelerle birlikte uygulamada açık noktalar oluşabiliyor. Dolayısıyla yasaların da bilgi güvenliğinin özünü kapsayacak şekilde tasarlanması önemli. Diğer yandan, şirketler de bunu yasalara uyumluluk zorunluluğu olarak değil, işlerine değer katmak için fırsat olarak görmeli.
Güvenlik başlığında sağladığınız çözümler Türkiye pazarı özelinde finans kurumlarının, e-ticaret şirketlerinin ve bireylerin güvenlik önlemleri ile nasıl bir entegrasyon sağlıyor?
Küresel bazda kullanılan PCI DSS standartları sayesinde kart ödemelerinizin güvenli yapılmasının yanı sıra, sahtecilik ve dolandırıcılık işlemlerine karşı etkin koruma sağlamak da mümkün. Dünyada hem PCI DSS uyumluluk danışmanlığı sunan hem sertifika verme yetkisi bulunan az sayıdaki şirketten biri olarak, Türkiye’deki şirket ve kurumlara tüm süreçlerde yüksek güvenlik sunmayı amaçlıyoruz. BT güvenliği konusunda sağladığımız uyum ve danışmanlık gibi tüm hizmetlerimiz her ne kadar kurumlara yönelik hizmetler olsa da, nihai amaç kurum müşterilerini, yani bireylerin kişisel verileri ve davranışlarını korumak ve kötü niyetli kişilerin eline geçmemesini sağlamak. Yani, sağladığımız hizmetler kurumlara yönelik olsa da, bireyler olarak bizlerin güvenliğini sağlamak ve kişisel bilgilerimizin gizliliğini sürdürebilmek adına da yüksek öneme sahip. PCI DSS uyumluluğuyla birlikte “Ethical Hacking”, “Secure Code Review”, penetrasyon testi, zafiyet taraması (ASV) gibi birçok siber güvenlik hizmeti ve danışmanlığını sunuyoruz. Ayrıca “Simgeleştirme Hizmeti”ne de değinmek isterim. Bu hizmet, işinizin bir parçası olarak kredi kartı verilerini saklamanız gerektiğinde, ama bu verileri kendi BT sisteminizde depolama riskini almak istemediğinizde önem kazanan bir çözüm. Son kullanıcı deneyimini karmaşıklaştırmadan, hassas bilgilerinizin sorumluluğunu üstleniyoruz. Kullanıcılar kartlarını okutur veya kart bilgilerini girer ve süreç 24 Solutions’ın kontrolünde sonuca ulaşır. Güvenlik tehdidi oluşturan verilerin sorumluluğunu bu kapsamda şirketler veya kurumlar üstlenmemiş oluyor. Yüksek güvenlik, maliyet avantajı ve teknoloji ile şirketlerin tüm hassas verileri 24 Solutions’ın PCI DSS sertifikalı altyapısında saklanıyor.
Finans sektörüne, perakende alanına ve bireysel tüketicilere çözümlerinizi anlatmak ve tanıtmakta nasıl bir strateji ile ilerliyorsunuz?
Ana faaliyet konumuz olan “Bilgi Teknolojileri Güvenliği ve Uyum” alanında ilgili otorite olan PCI-SSC tarafından akredite bir şirket olarak hizmet sağlıyoruz. Kurumlar PCI uyumluluğu kapsamında bize PCI-SSC’nin bilgi ve yönlendirmesi sonucunda ulaşarak hizmet talep ediyor. Bunun yanı sıra, güvenlik ve uyum konularında yapılan çalıştaylar, etkinlikler ve devlet kurumlarının bu konuda farkındalık ve bilinci artırmak için yaptığı çalışmalara da firma olarak uzmanlarımızla birlikte destek sağlıyoruz.
Kurumsal itibarınızın temelinde güvenlik var
“PCI uyumluluk raporuna göre, 2012 yılından bu yana PCI DSS uyumlu kuruluş sayısı yüzde 167 arttı. Buna rağmen, uyumlu olması gereken her 5 organizasyondan 4’ü gerekli güvenlik koşullarını sağlayamadığı için uyumlu değil. 10 yıldır uzmanlar tarafından yapılan araştırmalar doğrultusunda siber atak sonucu veri sızdırılmasına maruz kalmış firmaların hiçbiri atak zamanında PCI DSS sertifikası ve uyumluluğuna sahip değil. Böyle bir atak sonucu oluşan veri sızıntısının ortalama maliyeti de son yıllarda yüzde 29 artış gösterdi. Tüketicilerin de yüzde 69’u, veri sızıntısına maruz kalmış bir firma ile çalışmayı tercih etmiyor. Güvenlik çözümlerini maliyet nedeniyle önceliklendirmeyen kurumların PCI DSS uyumluluğuna kayıtsız kalması, yıllarca sürecek müşteri ve itibar kaybına yol açabilir. Bu paralelde, dünyada ve dolayısıyla Türkiye’de bu konudaki farkındalık hızla artıyor. Hedefimiz; küresel bir firma olarak dünya çapında birçok farklı ülkede ve sektörde faaliyet gösteren, farklı BT altyapılarına sahip müşterilerimizle edindiğimiz bilgi ve deneyimimizi Türkiye pazarındaki firmalarla paylaşmak, ilgili tüm kurumları uyumlu hale getirmek, veri sızıntısı ve diğer risklerin önüne geçerek daha güvenli hizmet sunabilmelerini sağlamak.”
