8 Haneli BIN Geçişi PCI DSS Uyumluluk Etkileri
Ödeme kartlarında ihraççı nezdinde kartın hamilini tanımlayan numaranın yani kart numarasının başlangıç rakamları ISO tanımlaması ile IIN (Issuer Identification Number), sektör standardı olarak BIN (Bank Identification Number) 1989'da bu yana 6 hane olarak tahsis edilmekteydi. 1989 öncesinde 4 hane olarak kullanıldığı bilgisi ISO dokümanlarında mevcut.
Artan kart kullanımı, ortaya çıkan farklı teknolojilerin bir kart hesabı için birden fazla BIN ve kart numarası kullanılmasını gerekli kılması, kart ihraç eden kurum sayısında meydana gelen artış nedeniyle sabit uzunlukta ve sınırlı sayıda bir parametre olan BIN’in yakın zamanda tükenmesi riski ortaya çıktı. ISO bu riski bertaraf etmek için BIN uzunluğunu 6'dan 8'e çıkarma kararı alarak havuzda bekleyen BIN sayısını 100 ile çarpmış oldu. Bir anlamda tehlikeyi biraz daha öteledi denilebilir.
Bu kararı alan ISO/IEC JTC1 komitesi; konuyla ilgili alternatif olarak masada yer alan ;
- Alfanumerik BIN kullanımı
- HEX BIN kullanımı (kısmi alfa karakterler)
- Değişken uzunlukta BIN kullanımı
- Mevcut kuralın (6 Hane) korunması fakat BIN talebini azaltacak katı kurallar uygulanması
seçeneklerini elemiş oldu.
Bu karar alınırken BIN havuzundaki adedi artırmak, pazara hızlı uygulamak, basitlik ve birlikte çalışabilirlik açısından değerlendirmeler yapılarak numerik BIN yapısının korunarak 2 basamak artırılması kararı alındı.
Karar ISO açısından 2017 yılında devreye girdi. Uluslararası kart işi yapan bütün ihraççılar yeni BIN blokları (veya münferit BIN) talep ettikleri taktirde ISO tarafından 8 haneli BIN bloğu tahsis edilmeye başlandı.
Konunun yapılan kartlı işlemler seviyesinde etkisi ise ISO tarafından tahsis edilen BIN’leri sahada kullanılmak üzere kart ihraç eden kurumlara lisanslayan kartlı ödeme kuruluşlarının kararları ile şekilleniyor.
Her bir kartlı ödeme kuruluşu bu tür konularla ilgili politikalarını üyeleri ile çeşitli yöntemler ile paylaşıyor. 8 haneli BIN yapısına geçiş konusunda da çeşitli istisnalar olmakla birlikte genel olarak 2022 Nisan ayı hedef tarih olarak tayin edilmiş durumda.
Konunun pekçok açıdan etkisi söz konusu. Bu yazıda PCI uyumluluğu açısından etkisi olduğu düşünülen 2 konuya değineceğim.
Yürürlükte olan PCI DSS V3.2.1 standardında yer alan kart numarasının gösterimi ve veritabanlarında saklanması aşamalarında yapılacak maskeleme ve okunamaz hale getirme kuralları açısından 8 hane BIN geçişinin etkisini değerlendirmeye çalışacağım.
PCI DSS Madde 3.3 Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed), such that only personnel with a legitimate business need can see more than the first six/last four digits of the PAN.
3.3 maddesi mümkün olan en az sayıda kart numarası bilgisinin dokümanlara basılması, ekranlarda gösterilmesini temin etmeye çalışıyor. Örneğin sadece son 4 hanenin görüntülenmesi ihtiyacı karşılıyor ise son 4 hane dışında bir gösterim yapılmasına müsaade edilmiyor. Kurum yapılan iş gereği ilk 6 ve son 4 haricinde daha fazla numara gösterimine ihtiyaç duyduğunu gerekçelendirebiliyor ve belgeleyebiliyor ise daha fazla gösterime müsaade ediliyor. Bu durum 8 hane BIN için de geçerli. Geçiş sonrası ilk 8 son 4 gösterimi yapılabilmesi için bunun gerekli olduğuna dair işsel bir kanıt sunmak gerekecektir.
PCI DSS Madde 3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
- One-way hashes based on strong cryptography, (hash must be of the entire PAN)
- Truncation (hashing cannot be used to replace the truncated segment of PAN)
- Index tokens and pads (pads must be securely stored)
- Strong cryptography with associated key-management processes and procedures.
3.4 maddesi, kart numarasının çeşitli ortamlarda saklanması durumunda alınması gereken tedbirleri tarif ediyor.
Bu maddeye göre kurumların bir kısmını kırpmak (truncate) suretiyle saklayabileceği kart verisi ilk 6 ve son 4 ile sınırlı. 8 haneli BIN yapısına geçiş bu kuralda herhangi bir değişiklik yaratmıyor. İlk 6 ve son 4 haricinde bir verinin saklanması (ilk 8 ve son 4 örneğin) ihtiyacı var ise kırpma haricide kabul edilen güvenlik yöntemlerinden birinin daha uygulanması gerekiyor :
- Encryption
- Hashing
- Tokenization
PCI DSS kurallarının kartlı ödeme kuruluşları tarafından farklı yorumları ve uygulamalarının olması mümkündür. Bu konuda nihai karar için ilgili kart markası tarafından yayınlanan kurallara başvurulması ve/veya lisanslı bir Qualified Security Assesor ile görüşülmesi yerinde olacaktır.
Kaynaklar:
