Beş Adımlı PCI DSS 4.0 Geçiş Kontrol Listesi

   Ocak 7, 2023  Posted in CyberSecurity-Insiders


Yazan Tyler Reguly, üst düzey yönetici, siber güvenlik yazılımı ve hizmetleri sağlayıcısında Ar-Ge

Pandemi, dünyanın dört bir yanındaki insanlar sanal alışveriş konusunda çok daha rahat hale geldikçe, benzeri görülmemiş bir çevrimiçi satın alma dalgasını başlattı. Aslında, ABD Sayım Bürosu’nun son raporları e-ticaret harcamaları 2019’da 571,2 milyar dolardan 2020’de %43 artışla 815,4 milyar dolara yükseldi.

Her yerdeki siber suçlular, ödeme kartı verilerini çalmak ve kurbanları milyarlarca doları dolandırmak için akıllı yeni planlarla yükselişi eşleştirdi. 2020’de ödeme kartlarıyla ilgili tahmini 28,6 milyar dolarlık kayıp meydana geldi (bunların üçte birinden fazlası ABD’de). Ayrıca bu rakamın 2030 yılına kadar 408 milyar dolara ulaşacağını tahmin ediyorlar.

Değişim zamanı

Temassız ödeme ve bulutta depolanan hesap sahibi verilerinin artan popülaritesi ile birlikte dijital ticaretteki patlama ile Ödeme Kartı Endüstrisi (PCI) Güvenlik Standartları Konseyi, mevcut standardı yeniden değerlendirmeye karar verdi. İlk olarak 2004’te başlatılan ve en son 2018’de güncellenen PCI Veri Güvenliği (PCI DSS) standardı, siber tehdit ortamının gelişen zorluklarını yansıtacak şekilde sürekli olarak güncellenir.

Geçerli sürüm olan PCI DSS v3.2.1, günümüz ortamında kart sahibi hesap ayrıntılarını etkili bir şekilde korumada açıkça başarısız oluyor. Konsey, 200’den fazla kuruluştan girdi topladı ve 31 Mart 2024’te zorunlu hale gelecek olan güncellenmiş gereksinimleri Mart 2022’de duyurdu. Kuruluşların ayrıca, ileri tarihli bir dizi değişikliği uygulamak için 2025’e kadar süreleri var. Tam zaman çizelgesi adresinde bulunabilir.

12 kontrol

Birçoğu en son sürümde güncellemeler almış olan PCI DSS 4.0’ı kapsar. PCI Council’e göre, geliştirilmiş gereksinimler, farklı metodolojiler için esneklik eklerken güvenliği sürekli bir süreç olarak teşvik eder.

  1. Ağ güvenlik kontrollerini kurun ve sürdürün
  2. Tüm sistem bileşenlerine güvenli yapılandırmalar uygulayın
  3. Saklanan hesap verilerini koruyun
  4. Açık, genel ağlar üzerinden aktarım sırasında kart sahibi verilerini güçlü kriptografi ile koruyun
  5. Tüm sistemleri ve ağları kötü amaçlı yazılımlardan koruyun
  6. Güvenli sistemler ve yazılımlar geliştirin ve sürdürün
  7. İşletmenin bilmesi gerekenlere göre kart sahibi verilerine erişimi kısıtlayın
  8. Kullanıcıları tanımlayın ve sistem bileşenlerine erişimi doğrulayın
  9. Kart sahibi verilerine fiziksel erişimi kısıtlama
  10. Sistem bileşenlerine ve kart sahibi verilerine tüm erişimi günlüğe kaydedin ve izleyin
  11. Sistemlerin ve ağların güvenliğini düzenli olarak test edin
  12. Kurumsal politikalar ve programlar dahilinde bilgi güvenliğini destekleyin

PCI DSS 4.0’daki değişiklikler

Yeni standarda daha yakından bakıldığında, dikkate değer değişikliklerle birlikte birkaç gereksinim vardır. Aşağıda, PCI v3.2.1 ve PCI v4.0 arasındaki farklara ilişkin üst düzey bir genel bakış yer almaktadır:

Gereksinim 2: Daha fazla varlık türü üzerinde güvenlik yapılandırma yönetimi (SCM) ihtiyacını tanımlayan daha geniş kapsam.

Gereksinim 3: “Kart Sahibi Verileri” yerine “Hesap Verileri”, PCI varlıkları için potansiyel bir kapsam artışına işaret eder.

Gereksinim 4: Kullanılan şifreleme türüne ilişkin daha az belirginlik, kuruluşunuzun sektördeki en iyi uygulamaları takip etmekte daha özgür olduğu anlamına gelir. Önemli bir çıkarım, bu teknik standartların ne olduğunu dahili olarak tanımlamak ve PCI denetiminizi hâlâ geçebilmeniz için artık neden “Güçlü Kriptografi” olduklarını gerekçelendirebilmektir (temel olarak, hangi standartları neden takip ettiğinizi belgelemeniz yeterlidir).

Gereksinim 5: Artık sadece standart bir antivirüs yazılımına sahip olmak yeterli değil. Bu gereklilik artık özellikle kötü amaçlı yazılımdan korumanın yürürlükte olmasını gerektiriyor ve kötü amaçlı yazılım koruması veya EDR/MDR/XDR çözümü ile güçlü bir antivirüs çözümü gerektiriyor.

Gereksinimler 7–9: Bu gereksinimler öncelikle öncekiyle aynıdır, ancak büyük çıkarım şu ki, sistemlere erişim kontrollerini uygulamak yerine artık bunun yazılım, veritabanları vb. gibi belirli bileşenlere daha ayrıntılı bir şekilde yapılmasını talep ediyor.

Beş adımlı PCI DSS 4.0 geçiş kontrol listeniz

Standardın kendisinin nasıl geliştiği konusunda hız kazandıkça, kendi süreçleriniz ve operasyonlarınız üzerindeki potansiyel etkiyi anlamaya başlayacaksınız. Bu tek seferlik bir çaba türü değil. Zamanla aşamalı bir yaklaşım gerektirecektir. Başarılı kuruluşlar, yeni gereksinimleri işlerinin birçok alanında güvenlik zihniyetini güçlendirmek için bir fırsat olarak görecektir.

Başlamanıza yardımcı olması için girişiminizde aşağıdaki bileşenleri oluşturmak isteyeceksiniz:

  1. PCI zaman çizelgesine göre aşamalı bir uygulama planlayın
  2. Kapsamdaki olası değişiklikleri gözden geçirin
  3. Bir insan ve süreç değerlendirmesi gerçekleştirin
  4. Güvenlik yapılandırma yönetimi (SCM) süreçlerini güçlendirin
  5. Sürekli uyumluluğu otomatikleştiren bir aracı devreye alın

Bu yönetici kılavuzunda, bu öğelerin her birine nasıl yaklaşılacağını derinlemesine inceleyin. Bu temel kaynak, PCI DSS 4.0’ın gereksinimlerini anlamanıza ve denetim cezaları ile veri ihlallerini önlemek için kuruluşunuzun gereken değişiklikleri ele aldığından nasıl emin olacağınızı anlamanıza yardımcı olur.

Her şeyden önce, ödeme kartı bilgilerinin güvenliğini sağlamak, hızla değişen siber saldırı ortamında maliyetli iş kesintilerini önleyerek müşterilerinizin hassas bilgilerini ve şirketinizin itibarını korumaya yardımcı olur.

Tyler Reguly, siber güvenlik yazılımı ve hizmetleri sağlayıcısında kıdemli yönetici, güvenlik Ar-Ge’sidir. , şirketin Tripwire ürün serisine güç sağlayan güvenlik uzmanlığını sağlayan güvenlik araştırmacılarından oluşan bir ekip olan TACTIC’in gözetiminden sorumludur.

Güvenlik araştırmalarına ek olarak Tyler, Bilgisayar Sistemleri Teknolojisi diplomasıyla mezun olduğu Fanshawe College ile yakın işbirliği içinde çalışarak Gelişmiş Hacker Teknikleri ve Taktikleri, Hacking ve Exploits, Kötü Amaçlı Yazılım Araştırması, Gelişen Teknolojiler ve Tehditler gibi konuları içeren beş kurs geliştirdi. ve Python Programlama.

Tyler, yıllar boyunca CVSSv3 dahil olmak üzere çeşitli standartlara katkıda bulundu ve bir dizi yayınlanmış kitapta teknik düzenleme sağladı. Ayrıca, 2015’ten beri SecTor’da (Toronto Güvenlik Eğitimi Konferansı) sunulan IoT Hack Lab’ın kurucu ortağıdır.

Takip et Twitter’dan.

reklam





Source link