Akamai, kuruluşların PCI DSS 4.0 JavaScript güvenlik gereksinimleri 6.4.3 ve 11.6.1 ile uyumluluğu sağlamasına yardımcı olmak için tasarlanan İstemci Tarafı Koruma ve Uyumluluk ürününe yeni yetenekler ekledi.
Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), ödeme kartı veri güvenliğini teşvik etmek ve geliştirmek, ayrıca tutarlı veri güvenliği önlemlerinin dünya çapında geniş çapta benimsenmesini kolaylaştırmak için geliştirilmiştir.
PCI DSS’nin en son güncellemesi (sürüm 4.0) 2022’de yayımlandı. Standart, Mart 2024’te yürürlüğe girecek ve gereksinimlerin tamamı Mart 2025’te uygulanacaktır. Mevcut tehditlere ve teknolojilere yönelik çeşitli yeni güvenlik gereksinimleri ve güncellenmiş kılavuzlar içermektedir. Ödeme kartı bilgilerini çevrimiçi olarak işleyen, saklayan veya ileten tüm kuruluşların bu kurallara uyması gerekir.
Yeni PCI DSS 4.0 gereklilikleri 6.4.3 ve 11.6.1, işletmelerin, JavaScript tedarik zinciri açıklarından yararlanarak tarayıcının içinden hassas son kullanıcı verilerini çalan zararlı istemci tarafı web tarama saldırılarına karşı koruma ihtiyacını özetlemektedir. Magecart gibi bu saldırılar karmaşıklık kazanmaya ve dijital ticareti etkilemeye devam ediyor.
Yeni standarda uymak için kuruluşların artık web sitelerinin ödeme sayfalarında hangi komut dosyalarının yüklendiğini ve çalıştırıldığını, bu komut dosyalarının hangi eylemleri gerçekleştirdiğini ve bu komut dosyalarının ne zaman değiştiğini bilmesi gerekiyor.
Akamai İstemci Tarafı Koruma ve Uyumluluk (eski adıyla Sayfa Bütünlüğü Yöneticisi), son kullanıcı verilerinin sızmasına karşı koruma sağlamak için istemci tarafı saldırı yüzeyine kapsamlı görünürlük sağlar ve web sitelerini JavaScript tehditlerine karşı korur.
Kötü amaçlı komut dosyası davranışını gerçek zamanlı olarak algılar ve eyleme geçirilebilir uyarılar sağlayarak güvenlik ekiplerinin zararlı etkinlikleri hızlı bir şekilde azaltabilmesini sağlar. Amaca yönelik yeni PCI DSS v4.0 uyumluluk yetenekleriyle İstemci Tarafı Koruma ve Uyumluluk, güvenlik ekiplerinin uyumluluk iş akışlarını kolaylaştırmasına ve en yeni JavaScript güvenlik gereksinimlerini karşılamasına yardımcı olur.
Yeni PCI DSS 4.0 uyumluluk özellikleri şunları içerir:
Komut dosyası envanter yönetimi (PCI DSS v4.0 gereksinimi 6.4.3’ü karşılar) — Korumalı ödeme sayfalarına yüklenen ve yürütülen tüm JavaScript’lerin bir envanterini sağlar. Kullanıcılar, gözlemlenen her komut dosyası için yazılı gerekçeleri kolayca kaydedebilir. Çözüm, önceden tanımlanmış gerekçeler ve kurallar aracılığıyla gerekçelendirme ayarının mümkün olduğunca çoğunu otomatikleştirerek uyumluluk çabalarını önemli ölçüde azaltır.
PCI DSS 4.0 kontrol paneli (PCI DSS v4.0 gereksinimleri 6.4.3 ve 11.6.1’i karşılar) — Tek tıklamayla uyumlulukla ilgili bilgiler edinin. Kapsamlı bir kontrol paneli, 6.4.3 ve 11.6.1 gereksinimlerinin her bir bileşenini doğrudan ürün içerisinde ele alır. Güvenlik ekipleri, komut dosyası yetkilendirmesini ve davranışsal bütünlüğü sağlayabilir, ödeme sayfasının tahrif edilmesine karşı koruma sağlayabilir ve denetim sürecini kolaylaştırmak için tek bir görünümle komut dosyası envanter yönetimiyle güncel bilgileri koruyabilir.
Özel PCI uyarıları (PCI DSS v4.0 gereksinimleri 6.4.3 ve 11.6.1’i karşılar) — Gerçek zamanlı azaltma için PCI ile ilgili olaylarla ilgili anında ve eyleme dönüştürülebilir uyarılar alın. Bu, herhangi bir veri sızıntısının, yetkisiz komut dosyalarının, yapılandırılmış ödeme sayfaları için korumanın tahrif edilmesinin ve yetkisiz HTTP başlığı değişikliklerinin bildirilmesini içerir. Uyarılar PCI DSS v4.0 kontrol panelinde özetlenir ve denetim kanıtları için günlüğe kaydedilir.
İstemci Tarafı Koruma ve Uyumluluk, esnek dağıtım seçeneklerine sahip CDN’den bağımsız bir üründür. Çözüm, Akamai’nin sektör lideri web uygulaması güvenlik portföyünün bir parçasıdır ve Akamai App & API Protector ile iyi çalışır.
İşletmeler, hem sunucu tarafı hem de istemci tarafı tehditlerine karşı kapsamlı koruma elde etmenin yanı sıra ek PCI DSS v4.0 gereksinimlerini karşılamak için bu ürünleri bir araya getirebilir.
Kıdemli Başkan Yardımcısı Rupesh Chokshi şunları söyledi: “PCI DSS 4.0 uyumluluğu için son tarih hızla yaklaşırken, Akamai İstemci Tarafı Koruma ve Uyumluluk karmaşık uyumluluk sürecini basitleştirmeye yardımcı oluyor ve işletmelere son kullanıcı ödeme kartı verilerinin korunduğuna dair gönül rahatlığı sağlıyor.” Akamai’nin Uygulama Güvenliği Grubunun GM’si.
“Bu yeni yetenekler, uyumluluk iş akışlarını kolaylaştırmak ve müşterilerimizin web sitelerinin ödeme sayfalarında çalıştırılan JavaScript’i kolayca yönetmelerine yardımcı olmak için tasarlandı. Chokshi, son kullanıcının ödeme kartı verilerini tarayıcı içinde koruyor ve güvenlik ekiplerine istemci tarafı saldırı yüzeyinin tamamı üzerinde kontrol sağlıyor” diye ekledi.
Çevrimiçi ödeme kabul eden tüm sektörlerdeki işletmelerin, yaklaşmakta olan PCI DSS 4.0 son tarihini karşılamaya hazırlanmaları gerekiyor. Forrester’ın 2023 raporu, müşteri tarafı korumanın, finansal hizmetler ve sigorta kuruluşlarının bu yıl benimsemeyi planladığı önemli bir teknoloji olduğunu vurguladı.
Raporda şöyle belirtiliyor: “PCI Güvenlik Standartları Konseyi, müşteri tarafı güvenliği için gereksinimler ekledi – bu nedenle finansal hizmet firmalarının, PCI DSS ile uyum sağlamak ve Magecart, form hırsızlığı, ve cryptojacking saldırıları.”