Nisan ayında yürürlüğe giren Ödeme Kartı Endüstrisi Veri Güvenliği Standardı’nın (PCI DSS) 4.0.1 sürümü, teknolojilerin, tehdit ortamının ve ödeme süreçlerinin nasıl değiştiğini ele alarak, onu modern dijital dünyaya uygun hale getirmek için birkaç önemli değişiklik içeriyor.
Örneğin, güvenlik kontrollerinin daha esnek ve kişiye özel uygulanmasına yönelik yeni bir özelleştirilmiş yaklaşımdan, güvenlik açığı yönetimi ve kimlik doğrulamaya yeni bir odaklanmaya kadar her şeyi kapsıyor.
Ancak, bazı gereksinimler kuruluşları önemli değişiklikler yapmaya zorlayacaktır. Karmaşıklıkları, maliyetleri ve potansiyel etkileri nedeniyle, bu gereksinimlere genişletilmiş bir uygulama takvimi verilmiştir. Birçoğu özel uzmanlık ve potansiyel olarak önemli teknolojik yatırımlar gerektirir.
Toplamda 64 gereklilik bulunuyor: 13 tanesi şu anda yürürlükte ve zorunlu, ancak geri kalan (51) tanesi 1 Nisan 2025’e kadar yürürlüğe girmeyecek. O zamana kadar en iyi uygulama gereklilikleri olarak sınıflandırılıyorlar.
Aşağıda, kuruluşların dikkatle değerlendirmesi ve planlama yapması gereken bu karmaşık geleceğe yönelik gereksinimlerin bazı önemli örneklerini ele alıyoruz.
Şifreleme ve MFA
Önemli bir değişiklik, disk düzeyinde veya bölüm düzeyinde şifrelemenin başka bir koruma mekanizmasıyla değiştirilmesi gerekliliğidir (3.5.1.2).
Bu, bu şifreleme yöntemlerinin yalnızca Birincil Hesap Numarasını (PAN) çıkarılabilir elektronik ortamlarda okunamaz hale getirmek için kullanılması gerektiğini veya çıkarılamaz elektronik ortamlarda kullanılması durumunda PAN’ın da Gereksinim 3.5.1’i karşılayan bir mekanizma aracılığıyla okunamaz hale getirilmesi gerektiğini belirtir.
Bu gereklilik, dosya, sütun veya alan düzeyindeki veritabanı şifrelemesinin aksine, disk düzeyinde veya bölüm düzeyinde şifrelemenin yalnızca sistemler kapalıyken PAN’ı şifrelemek için etkili bir yol olması gerçeğinden kaynaklanmaktadır. Sistem çalışırken, diskteki veriler sistem düzeyinde erişime sahip herkes tarafından erişilebilir olduğundan, PCI DSS’nin ayrıntılı, bilinmesi gereken veya varsayılan olarak tümünü reddetme ilkelerinin gerekliliklerini karşılamaz. Bu, şifrelemenin bu bağlamlarda uygulanma biçiminde önemli değişiklikler yapılmasını gerektirecektir.
Bir diğer yeni gereklilik ise çok faktörlü kimlik doğrulamanın (MFA sistemleri (8.5.1)) güvenli bir şekilde uygulanmasıdır. PCI DSS sürüm 3.2.1 kapsamında, MFA yalnızca seçici olarak, örneğin ağın dışından uzak ağ erişimi veya kart sahibi ortamına konsol dışı yönetimsel erişim (CDE) için kullanılıyordu.
Ancak, 4.0 sürümü bunu değiştirir ve MFA’yı çok sayıda başka bağlamda uygulanabilir hale getirir. CDE’ye tüm erişimi (sadece yöneticiler tarafından değil) güvence altına almak için kullanılmalıdır ve birden fazla kez gerekebilir, örneğin, bir VPN aracılığıyla uzaktan kuruluşun ağına bağlanmak için bir kez ve ardından CDE’ye veya CDE sistemlerine ve uygulamalarına tekrar bağlanmak için bir kez gerekebilir ve bu da MFA’nın en az iki kez kullanılmasını gerektirir.
Bu ayrıca MFA’nın bulut, şirket içi, güvenlik cihazları ve uç noktalar gibi daha fazla yerde ve ayrıca kuruluşun CDE’sine doğrudan erişim sağlamayı amaçlayan herhangi bir mekanizmada (ağ bileşenleri, sistemler ve uygulamalar dahil ancak bunlarla sınırlı olmamak üzere) uygulanması gerekeceği anlamına gelir. Sonuç olarak, MFA’nın uygulanması muhtemelen birçok kuruluş için külfetli olacaktır.
Algılama ve yanıtın otomatikleştirilmesi
Otomatik denetim günlüğü incelemelerinin uygulanması (10.4.1.1), kuruluşun şüpheli veya kötü amaçlı olaylar için denetim günlüklerini incelemesine olanak sağlamayı amaçlayan bir diğer yeni gerekliliktir. Uyum sağlamak için kuruluşların günlük yönetimi ve analizi ile uyarıların oluşturulması ve bunlara yanıt verilmesi açısından mevcut yeteneklerine bakmaları gerekecektir. SIEM gibi bir günlük çözümü halihazırda mevcut olsa da, kuruluşun örneğin daha yüksek günlük hacimlerini işlemek için yeteneklerini genişletmesi gerekebilir ve bu da daha fazla araç ve teknoloji eklenmesini veya bu işlevin dış kaynak kullanımını gerektirebilir.
Kritik güvenlik kontrol sistemlerindeki arızaları tespit etme, uyarma ve bunlara derhal yanıt verme yeteneği (10.7.2), otomatik tespit ve yanıt mekanizmalarının uygulanmasını da gerektirecektir.
Kritik güvenlik kontrol sistemleri, ağ güvenlik kontrollerini (kasıtlı olarak “güvenlik duvarları”ndan çok daha geniş bir terim), IDS/IPS’yi, değişiklik algılama mekanizmalarını, kötü amaçlı yazılımlara karşı çözümleri, fiziksel erişim kontrollerini, mantıksal erişim kontrollerini, denetim günlüğü mekanizmalarını, segmentasyon kontrollerini, denetim günlüğü inceleme mekanizmalarını ve otomatik güvenlik test araçlarını ifade eden kapsamlı bir terimdir. Sadece v3.2.1 altındaki servis sağlayıcılar için geçerli olan bu terim, önümüzdeki Nisan ayından itibaren tüccarlar için de geçerli olacak ve onları ilk kez kapsama dahil edecek.
Başka bir yeni gereklilik, kimliği doğrulanmış dahili güvenlik açığı taramaları (11.3.1.2) gerçekleştirmektir. Kimliği doğrulanmış tarama, taramanın hesap kimlik bilgilerini kullanarak sistemlere giriş yapmasını sağlayarak taramanın dahili kaynaklara erişmesini ve bunlardaki güvenlik açıklarını tespit etmesini sağlar.
Kimliği doğrulanmamış taramanın aksine, portların açık olmasına dayanmaz ve yalnızca ağı taramakla sınırlı değildir. Bu nedenle çok daha kapsamlıdır ancak kuruluşlar tespit ettikleri güvenlik açıklarının sayısının ve düzeltme ihtiyacının artmasını bekleyebilir ve bu da kaynaklar üzerinde baskı yaratır. Tarama için kimlik bilgilerini kabul edemeyen sistemlerin de belgelenmesi gerekecektir.
Web tabanlı tarama sorununun ele alınması
E-ticaret dolandırıcılığının önlenmesi açısından belki de en önemli değişikliklerden biri, tüketici tarayıcısı tarafından alınan HTTP başlıklarında ve ödeme sayfalarının içeriklerinde yetkisiz değişiklikler yapılması durumunda uyarı vermek üzere değişiklik ve kurcalama tespit mekanizmalarının devreye alınması gerekliliğidir (11.6.1).
E-ticaretle ilgili kart sahibi verisi (CHD) hırsızlığının çoğu, çevrimiçi mağazalarda kullanılan JavaScript’in kötüye kullanımından kaynaklanır (diğer adıyla web tabanlı kopyalama). Son araştırmalar, çoğu web sitesi ödeme sayfasının 100 farklı betiği olduğunu, bunlardan bazılarının tüccarın kendisinden, bazılarının da üçüncü taraflardan geldiğini ve bu betiklerden herhangi birinin potansiyel olarak kart sahibi verilerini toplamak için değiştirilebileceğini göstermiştir. Aynı şekilde, bu, bir tüccarın yönlendirdiği bir ödeme hizmeti sağlayıcısının (PSP) ödeme sayfası olabilir veya PSP tarafından oluşturulan satır içi bir çerçeve (iframe) kullanabilir ve bu da PSP’ler için de önemli bir sorun haline gelir.
İdeal senaryo, kullanımda olan, yetkilendirilmiş ve değiştirilmemiş olan şeyleri bilerek bu riski azaltmaktır; bu da 6.4.3 gereksiniminin temel amacıdır. Bu, betiklerin envanterini, yetkilendirmelerini, gerekli olduklarına ve doğrulandıklarına dair kanıtları zorunlu kılar. Ancak o zaman bile, betikleri ödeme hizmeti sağlayıcısının iframe’ine yönlendiren veya onu çağıran tüccar ödeme sayfaları, yetkilendirilmiş bir betik yasa dışı olarak değiştirildiğinde tehlikeye girebilir; işte 11.6.1’in devreye girdiği yer burasıdır.
Yeni gereklilik, ödeme formunu bir iframe’e taşımak veya PSP’ye yönlendirmek için bir ödeme hizmeti sağlayıcısı kullanarak sorunu devretmenin artık mümkün olmadığı anlamına geliyor. Sorunu devretmek başarısız oluyor çünkü iframe’i veya yönlendirme komut dosyalarını çağıran tüccarın ödeme sayfalarını tehlikeye atarak, tüccar tarafından uyumlu ve doğrulanmış bir PSP kullanılsa bile suçlular CHD’yi toplayabilir.
iframe kaplaması ve iframe ele geçirme gibi sorunlar, bu yaklaşımın ardındaki sorunu ortaya çıkarmış ve bir saldırganın ödeme hesabı bilgilerini sızdırmasına etkili bir şekilde izin vermiştir. Bu nedenle, 11.6.1 uyarınca, gereksinim, güvenliği etkileyen HTTP başlıklarına ve tüketici tarayıcısı tarafından alınan ödeme sayfalarının betik içeriklerine yetkisiz değişiklik (tehdit, değişiklik, ekleme ve silme göstergeleri dahil) konusunda personeli uyarmak için bir değişiklik ve kurcalama tespit mekanizmasının konuşlandırılmasını gerektirir.
Mekanizma, alınan HTTP başlıklarını ve ödeme sayfası scriptlerini (sadece üçüncü taraflara ait değil, aynı zamanda şirket içinde oluşturulan scriptler de) değerlendirecek şekilde yapılandırılmalı ve bu işlevler periyodik olarak, ancak en az yedi günde bir gerçekleştirilmelidir.
Karmaşıklığı azaltmaya nereden başlamalı?
Bu gerekliliklerin her biri kurum üzerinde önemli taleplerde bulunacak ve insanlar, süreçler ve teknolojiler açısından önemli değişiklikler yapılmasını gerektirecektir.
Bu kontrolleri değerlendirmek ve dağıtmak zaman alacaktır, bu da kuruluşların 1 Nisan 2025 son tarihine yaklaşana kadar gecikmemesi gerektiği anlamına gelir. Nereden başlamalılar? Bazıları PCI DSS 4.0.1’in 3.2.1 sürümüne göre bir boşluk analizi yapmayı önerebilir, ancak bu aslında işletmenin atması gereken son aşamalardan biridir. Çok daha etkili bir yaklaşım önce bir kapsam analizi yapmaktır.
Kapsam analizi ve incelemesi, mevcut kapsamın doğru bir şekilde belgelendirilip belgelendirilmediğini ve daha fazla optimize edilip azaltılamayacağını doğrulamak için kuruluş içindeki çevreyi kontrol etmek amacıyla kullanılmalıdır.
Sorulması gereken sorular şunlardır:
- Özellikle tüm yeni gereklilikleri göz önünde bulundurarak PCI DSS kapsamımı daha da daraltabilir miyim?
- İşlediğim, ilettiğim veya sakladığım tüm kart sahibi verilerine gerçekten ihtiyacım var mı?
- Kapsamdaki insanları, süreçleri ve teknolojiyi azaltacak şekilde CDE’mi yeniden tasarlayabilir miyim?
- Kapsamımı daraltmak için tokenleştirme, karma, noktadan noktaya şifreleme vb. teknolojilerden yararlanabilir miyim?
- Temel iş süreçleri dışındaki iş süreçlerini, faaliyetleri ve teknolojileri uzmanlaşmış hizmet sağlayıcılara dış kaynak olarak vermek mantıklı mıdır?
Ayrıca, kurumun halihazırda uyduğu ISO 27001, DORA ve GDPR gibi örtüşen gerekliliklere sahip standartlarla ortak bir zemin olan PCI DSS 4.0 paylaşımlarına da bakılması önerilir.
Birden fazla standardın gerekliliklerini karşılayan güvenlik kontrolleri, örneğin erişim kontrolü, şifreleme, günlük kaydı ve izleme, bu çerçeveler genelinde ortak gerekliliklerdir. Bu örtüşen alanları hizalayarak, çabaları tekrarlamaktan kaçınmak ve uyumluluk için gereken kaynakları azaltmak mümkündür. Süreçleri basitleştirmek ve yedekliliği azaltmak, insan gücü, teknoloji yatırımı ve denetim hazırlığı açısından maliyet tasarruflarına da yol açabilir.
Mümkün olduğunda, birden fazla çerçeveyi aynı anda kapsayacak şekilde denetimleri ve değerlendirmeleri koordine etmek önerilir. Bunu kolaylaştırmak için teknoloji çözümlerini entegre edin ve yatırım yapmayı düşündüğünüzde teknoloji çözümlerinin birden fazla standarda uyumu nasıl destekleyeceğini düşünün. İnsan perspektifinden, tüm geçerli standartların temel unsurlarını kapsayan tek bir eğitim ve farkındalık programı geliştirin.
Ancak bundan sonra kuruluş bir boşluk analizi yapmalı ve ardından bu bulgulara dayanarak düzeltme yapmalıdır. Belirtildiği gibi, zaman çok önemlidir, bu nedenle boşluk değerlendirmesinin denetimden önce yeterli sürede yapılması önemlidir.
Uyumluluğa giden doğru yolu seçmek
PCI DSS 4.0.1 kapsamındaki yeni gereksinimler, kimlik doğrulamalı taramalar, otomatik günlük incelemeleri ve SAD şifrelemesi gibi, talepleri ve karmaşıklıkları açısından kuruluştan kuruluşa değişecektir, ayrıca gereken zaman ve kaynaklar da değişecektir. Bir şirket ilk kez sertifikasyon sürecinden geçiyor olsun veya standardın önceki bir sürümü kapsamında zaten sertifikalı olsun, herhangi bir sürprizle karşılaşmamak için Nisan 2025 son tarihinden çok önce standardı karşılamaya çalışmalıdır.
Kuruluşlar, bu teknik güvenlik gereksinimlerinin temel iş faaliyetleri ve iç yetenekleriyle uyumlu olup olmadığını eleştirel bir şekilde değerlendirmelidir. Birçok, özellikle daha küçük veya teknoloji odaklı olmayan kuruluşlar için, bu karmaşık güvenlik önlemlerini uzmanlaşmış hizmet sağlayıcılara dış kaynak olarak vermek daha verimli ve etkili bir yaklaşım olabilir.
Böyle bir karar, dahili uzmanlık, bütçe kısıtlamaları ve organizasyonun genel risk yönetimi stratejisi gibi faktörleri göz önünde bulundurarak, dışarıdan kaynak sağlanacak faaliyetler, süreçler ve gereksinimler ile şirket içinde tutulacak olanlar arasında bir denge sağlamayı amaçlamalıdır. Daha sonra kuruluş, gereksinimleri sürekli olarak karşılayabilmesini sağlayan işletme için doğru seçimi yapabilir.