PCI DSS 4.0.1 altı aydır bizimle birlikte olabilir ancak gerçek şu ki çoğu kuruluş yeni standarda tam olarak geçişi henüz gerçekleştirmiş değil. Bunun nedeni, gerekliliklerin çoğunluğunun (64 gereksinimden 51’inin) uygulanmasının karmaşık kabul edilmesi ve bu nedenle en iyi uygulama olarak sınıflandırılması ve 1 Nisan 2025’e kadar zorunlu olmamasıdır. Bu gereksinimlerin uygulanması zaman alacaktır, dolayısıyla hareket alanı olacaktır, ancak tehlikelidir. Bunun nedeni, bazı kuruluşların QSA değerlendirmesinden önce 1. çeyrekte bir faaliyet telaşı gören dik bir uyum eğrisine girişmesi ve bu da süreci olması gerekenden çok daha yıkıcı hale getirmesidir.
Örneğin, disk düzeyinde veya bölüm düzeyinde şifrelemenin başka bir koruma mekanizmasıyla (3.5.1.2) değiştirilmesi gerekliliğine bakarsak, bu, Birincil Hesap Numarası (PAN) verilerinin nasıl korunduğu konusunda önemli bir revizyon gerektirecektir. Dosya, sütun veya alan düzeyindeki veritabanı şifrelemesinden farklı olarak, bu şifreleme yöntemleri yalnızca sistemler kapatıldığında PAN’ı şifrelemenin etkili bir yoludur; aksi takdirde sistem düzeyinde erişimi olan herkes diskteki verilere erişebilir; bu da kurallara aykırıdır. Standardın doğasında bulunan ‘bilinmesi gereken’ veya ‘tümünü inkar eden’ ilkeler.
PCI DSS 4.0.1 aynı zamanda çok faktörlü kimlik doğrulamanın (MFA) daha geniş çapta uygulanmasını zorunlu kılmaktadır (8.5.1). Kart sahibi ortamında (CDE) uzaktan ağ erişimi veya konsol dışı yönetici erişimi için gerekli olmasının yanı sıra, artık birden fazla ek sistemde CDE’ye TÜM erişimi güvence altına almak için kullanılması gerekiyor ve daha fazla kez gerçekleştirilmesi gerekebilir. sonuç olarak. Aslında bu, MFA’nın altyapı genelinde, yani bulutta, şirket içinde, cihazlarda ve uç noktalarda ve ayrıca CDE ile doğrudan bağlantısı olan sistemlerde uygulanması gerekeceği anlamına gelir. Yine, bunu başarmak bazı kuruluşlar için büyük bir girişim olacaktır.
Daha fazla otomasyon
Şüpheli veya kötü amaçlı olabilecek olaylar hakkında uyarıda bulunmak için günlük incelemelerinin (10.4.1.1) otomatik denetimi, günlük hacimlerinde bir artışı tetikleyebilir; örneğin hangi kuruluşlar mevcut SIEM’lerinin yatırım yapmalarını gerektirerek başa çıkmakta zorlanabilirler? daha karmaşık ve pahalı günlük yönetimi çözümleri ve algılama ve uyarı kurallarını yazacak ve ince ayar yapacak uzmanlar. Sistemlerde oturum açabilen ve daha önce kullanılan kimlik doğrulamasız taramalardan çok daha derin tarama gerçekleştirebilen, ancak bu süreçte muhtemelen çok daha fazla güvenlik açığını ortaya çıkaracak olan kimlik doğrulamalı tarama (11.3.1.2) gereksinimi söz konusu olduğunda da benzer bir hikaye yaşanıyor. Ağ bant genişliği ve performansına ilişkin yeni talepler, kuruluşun daha dayanıklı ve daha iyi performans gösteren bir ağ altyapısına yükseltmesini gerektiriyor.
Kritik güvenlik kontrol sistemlerindeki (10.7.2) arızaları tespit etme, uyarma ve bunlara anında müdahale etme gerekliliğini karşılamak için otomatik tespit ve yanıt mekanizmalarının da uygulamaya konulması gerekecektir. Bu, standardın önceki sürümünde hizmet sağlayıcılar için geçerli olsa da, artık 2025’ten itibaren ilk kez satıcılar için de geçerli olacak, dolayısıyla gereksinimi sıfırdan karşılamak zorunda kalacaklar.
Ödeme sayfaları için değişiklik ve kurcalama tespit mekanizmalarının (11.6.1) devreye alınması, e-ticaret sahtekarlığını önemli ölçüde azaltması beklenen başka bir değişikliktir. Web sitelerindeki Java komut dosyaları, Kart Sahibi Verilerini (CHD) toplamak için kullanılabilir veya bu işlev, satıcının yönlendirdiği veya PSP tarafından oluşturulan bir iframe olarak bilinen bir uygulamada kullanılan bir Ödeme Hizmet Sağlayıcısının (PSP) ödeme sayfası tarafından gerçekleştirilebilir. eskimming. Yeni gereksinim, HTTP üstbilgilerini ve ödeme sayfası komut dosyalarını düzenli olarak (en az yedi günde bir) değerlendirerek iframe kaplaması ve iframe ele geçirme gibi sorunları tespit etmeye yönelik mekanizmalar kullanarak bunu önler. Bu hoş bir hareket olsa da, kuruluşun bu mekanizmaları uygulaması ve izlemesi gerektiğini görecek ve bu da yine yeni ve alışılmadık teknolojileri seçmesi, test etmesi, edinmesi, dağıtması ve izlemesi gerektiğini görecek.
Başka değişiklikler yapma
PCI DSS 4.0.1 tarafından savunulan değişiklikler, kuruluşların temel bir boşluk analizinden çok daha fazlasını gerçekleştirmesini gerektirecektir. Ancak standarda geçmek aynı zamanda değerlendirme, optimize etme ve saçmalıkları ortadan kaldırma konusunda da gerçek bir fırsat sağlar. CDE’yi CHD kullanımına daha az bağımlı hale getirecek şekilde yeniden tasarlama potansiyeli varsa veya tokenizasyon ve noktadan noktaya şifreleme gibi teknolojilerden yararlanma fırsatı varsa, bu, kuruluşun verilerini nasıl sakladığına bakarak yapılabilir. Bu nedenlerden dolayı kapsam analizi ve incelemesi birinci öncelik olmalıdır.
Kurumun bir taşla iki kuş vurmasına olanak tanıyacak ISO 27001, DORA ve GDPR gibi diğer standartlarla da bazı ortak noktalar bulunabilir. Bu, kuruluşun denetimleri koordine etmesine ve aynı zamanda erişim kontrolü, şifreleme, günlüğe kaydetme ve izleme vb. gibi örtüşen kontroller ve gereksinimlerle ilgili çalışmaları tekilleştirmesine olanak tanıyacaktır.
Çabaları bu şekilde odaklamaya bakmak, aynı zamanda yeni ve son derece teknik PCI kontrollerinin ve gereksinimlerinin hangi öğelerinin dış kaynaklardan sağlanmasının daha iyi olabileceğini de ortaya çıkarabilir. Gereksinimlerin bir kısmını veya tamamını yerine getirmek için üçüncü bir tarafın kullanılması, yalnızca maliyetlerin düşürülmesi ve karmaşıklığın ortadan kaldırılmasıyla değil, aynı zamanda en son teknolojilere ve uzmanlık becerilerine erişim sağlayarak kuruluşun ana faaliyet alanına odaklanmasına olanak sağlayarak avantajlar sağlayabilir. . Böyle bir kararda dahili beceriler, bütçe ve genel risk yönetimi stratejisi dikkate alınmalıdır.
Son olarak, PCI DSS 4.0.1’in temel amacının, kuruluşların sürekli olarak izledikleri, yönettikleri ve geliştirdikleri sistemleri ve süreçleri hayata geçirdiğini görmek olduğunu belirtmekte fayda var. Sonuç odaklıdır ve bu nedenle kuruluşların uyumluluğa devam eden bir süreç olarak yaklaşması gerekir. Bu nedenle, kuruluşların bu zihniyeti şimdi benimsemeleri ve kalan altı ayı verimli bir şekilde değerlendirme yapmak ve uyum sağlamak için kullanmaları ve uyum tepesini tırmanma ihtiyacını ortadan kaldırmaları tavsiye edilir.
Reklam