Selamlar, Hala 3D secure olmadan / zorlamayı bırakın seçeneği olmadan alışveriş yaptığımız siteler var. Puan kısmı bu sitelerin büyüklüğü, bilinirliği ve kullanım sıklığı yanında düşük bir risk gibi geldi.. PCI DSS in bu konuda da tüm bankaları dolayısıyla da tüm perakendecileri zorlaması gerekiyor bence. Bankalar irili ufaklı tüm kuruluşlara sanal pos veriyor birşekilde… Sadece transaction limitine bağlı kalmak, sadece belirli ürün ve markalar üzerinden pentest kabul etmek, sadece pentesti kabul etmek de son derece yetersiz… Ruhumuz duymadan kart bilgilerimizin saklandığı, beyana dayalı bankalardan onay alınabildiği, güvenli olduğunu varsaydığımız sanal alışveriş ortamında yaşıyoruz.
Tuğba Öztürk Bilgi Güvenliği ve Risk Müdür Yardımcısı [Açıklama: Açıklama: cid:[email protected]] Teknosa İç ve Dış Tic. A.Ş. From: Liste [mailto:[email protected]] On Behalf Of Umit GULER Sent: Wednesday, October 26, 2016 10:58 PM To: [email protected] Subject: [NetsecTR] Garip bir sanal kart alışverişi Merhaba, Bugüne kadar internet üzerinden bir çok kez alışveriş yaptım ve hepsinde güvenlik nedeniyle sanal kart kullandım. Sanal kart ta yapacağım alışveriş kadar limit tanımlayıp alışverişimi tamamlıyordum. Sanırım listeye üye olan herkes de bu şekilde sanal kart ile alışveriş yapıyordur. Bugün yaptığım bir alışveriş tecrübesi aslında sanal kartlarda kapatılması gereken bir güvenlik zaafiyeti olduğunu gösterdi. Sanal kartımda hiç limit tanımlamadan, sıfır limitle alışveriş gerçekleştirdim. Ödeme sayfasında sanal kart numaramı, son kullanım tarihini ve güvenlik kodunu girdim. Hemen sanal kartımın bağlı olduğu ana karttaki birikmiş puanlarımı getirdi. Puanla ödemeyi seçtim ve ödeme başarıyla gerçekleşti. Birçok kişi belki zaten kartımda puan çok az bir güvenlik zaafiyeti değildir diyebilir ama kartında yüklü miktarda puan olan birisi için (seyahat puanları biriktirenler gibi) bir güvenlik zaafiyeti olarak görünüyor. Açıklaması ne olursa olsun bence bu durum önlem alınması gereken bir zaafiyettir. Geçici önlem; Bankadan iki ayrı kredi kartı çıkartılır, Biriken puanlar tek bir karta aktarılır, Puan olmayan ana karta bağlı sanal kart ile güvenle(!) alışveriş yapılır Not: Bu durum sadece puan ile alışveriş kabul eden siteler için geçerli -- Umit GULER
