Hassas Bilgilerin Güvenli İletimi

PCI-DSS gereği ödeme sistemlerinde hassas verilerin güvenli iletimi çok önemlidir. Bu veriler; açık kart numarası, CVV, son kullanma tarihi ve PIN'dir. Payantis Platform'da kurumdan gelen ve kuruma gönderilen bu tür bilgiler şifrelenerek iletilir.

Kurumun Açık Kart Numarasını Şifrelemesi

Kurum, bazı durumlarda açık kart numarası ile işlem yapmak isteyebilir. Bu durumda açık kart numarasının Payantis'e gönderilmeden önce şifrelenmesi gerekmektedir. Bunun için:

Payantis 2048 bit uzunluğunda bir RSA anahtar çifti üretir.

Kurum, üretilen anahtarın public kısmını Get Payantis Public Key API'si alır.

Kurum, bu API'den dönen public anahtarla veriyi şifreler ve Payantis'e iletir.

Payantis, gelen veriyi kendi private anahtarıyla çözüp işleme alır.

Şifreleme İşleminin Uygulanması
Açık kart numarası aşağıdaki EncryptCardNo methodu ile şifrelenir. Bu methodda payantisPublicKeyInBase64 parametresi Get Payantis Public Key API'sinden gelmektedir.

Kurumun Şifreli Bilgileri Açması

Payantis, kart numarası gibi hassas verileri açık bir şekilde saklamaz ve kurumlar ile açık şekilde paylaşmaz. Öte yandan, iş gereksinimlerine göre (örneğin sanal kart bilgilerini göstermek gibi), bu veriler kuruma şifrelenerek gönderilir. Bu şifreleme işlemi için :

Kurum 2048 bit uzunluğunda bir RSA anahtar çifti üretir ve public kısmını Payantis’e iletir.

Payantis bu anahtarı kendi sisteminde saklar ve hassas verileri iletirken bu anahtar ile şifreler.

Kurum Payantis'ten gelen şifreli veriyi kendi private anahtarıyla çözer.

Veri Çözme İşleminin Uygulanması

Payantis'ten gelen hassas ve şifreli veri aşağıdaki DecryptData methodu kullanılarak kurum tarafından çözülebilir. Bu methodda veriyi çözme için kullanılacak anahtar olan tenantPrivateKeyInBase64 kurum tarafından daha önce üretilmiştir.

Fiziksel Kart Şifresinin Güvenli Şekilde İletilmesi

Kart hamili, kurumun kanalları üzerinden (Çağrı Merkezi, Mobil Uygulama vb.) fiziksel kart şifresini değiştirmek istediğinde, şifre bilgisinin Payantis’e güvenli şekilde iletilmesi gerekir. Benzer şekilde, ilk kart şifresinin müşteriye SMS ile iletilmesi gereken durumlarda da şifre bilgisinin Payantis’ten kuruma güvenli şekilde aktarılması gerekir. Bu iletimlerin güvenliğini sağlamak amacıyla taraflar arasında bir anahtar seremonisi gerçekleştirilir.

Seremoni Kapsamındaki Anahtarlar

ZMK (Zone Master Key): Anahtar transferlerinde kullanılan ana anahtardır ve Key Encryption Key (KEK) olarak görev yapar. Diğer anahtarların güvenli şekilde paylaşılmasını sağlar.

ZPK (Zone PIN Key): Kart şifrelerinin (PIN) şifrelenmesi ve çözülmesi için kullanılan anahtardır. Bu anahtar, güvenlik sebebiyle ZMK altında şifrelenmiş şekilde paylaşılır. Kurum, ZPK’yı kullanmadan önce kendi güvenlik politikalarına uygun şekilde ZMK ile çözerek (clear hale getirerek) güvenli ortamda saklamalı ve Payantis ile iletişiminde bu anahtarı kullanmalıdır.

Anahtar Seramonisi

Anahtar seramonisinde sıra ile şu adımlar uygulanır:

Payantis, anahtar transferinde kullanılmak üzere kuruma özel bir ZMK üretir. Bu anahtar, güvenlik amacıyla 3 ayrı bileşen halinde kuruma iletilir. Ayrıca, bileşenlerin ve anahtarın doğruluğunun teyit edilebilmesi için KCV değerleri paylaşılır. Bu paylaşım, kurum tarafından belirtilen adreslere posta yolu ile yapılır.

Payantis, kart şifrelerinin şifrelenmesinde kullanılmak üzere bir ZPK üretir ve bu anahtarı ZMK altında şifreleyerek kuruma e-posta ile iletir.

Kurum, kendisine iletilen ZMK bileşenlerini birleştirerek ZMK’yı oluşturur ve KCV ile doğrular. Ardından, ZPK’yı ZMK kullanarak çözer (ZMK altından çıkararak clear hale getirir) ve güvenli şekilde saklar. Bu ZMK, sonraki ZPK paylaşımlarında da kullanılmaktadır.

Kart Şifrelerinin İletimi

Kurum, kart şifresini Payantis’e iletmek istediğinde, bu şifre bilgisini ZPK kullanarak PIN block formatında şifreler ve Payantis’e gönderir. Payantis, ilgili şifre bilgisini çözerek kart şifresi güncelleme işlemini gerçekleştirir.

Kurum, müşteriye ilk kart şifresini iletmek üzere Payantis’ten şifre bilgisini talep ettiğinde, Payantis bu bilgiyi ZPK altında şifreleyerek kuruma iletir. Kurum, bu veriyi ZPK ile çözerek kendi güvenli süreçleri üzerinden müşteriye SMS ile iletir.

Örnek Uygulama

Aşağıdaki örnek uygulamada kart şifresini şifreleme (Pin Block altına alma) ve şifreli kart şifresini çözme fonksiyonları bulunmaktadır. Uygulamada anahtarlar statik olarak verilmiştir, bu anahtarlar güvenli bir ortamda saklanmalı ve uygulamada bu güvenli ortamdan alınarak kullanılmalıdır. Uygulamadaki başlıca methodlar şöyledir:

GenerateZmkFromComponents: ZMK bileşenlerinden ZMK'yı elde eder.

DecryptZpkUnderZmk: ZMK altında gönderilen ZPK anahtarının açık halini elde eder.

GenerateEncryptedPinBlock: Açık haldeki kart şifresinden Pin Block oluşturur ve bu Pin Block'u ZPK anahtarı ile şifreler. Bu sayede pin bilgisi güvenli şekilde iletilebilir hale gelir.

DecryptEncryptedPinBlock: Şifreli haldeki kart şifresinin açık halini elde eder.

Hassas Bilgilerin Güvenli İletimi

Kurumun Açık Kart Numarasını Şifrelemesi#

Kurumun Şifreli Bilgileri Açması#

Fiziksel Kart Şifresinin Güvenli Şekilde İletilmesi#

Seremoni Kapsamındaki Anahtarlar#

Anahtar Seramonisi#

Kart Şifrelerinin İletimi#