Ödeme teknolojisi alanı, yeni teknolojiye uyum sağlama ve düzenlemeleri buna göre güncelleme konusunda sıklıkla geride kalıyor. Önemli sorunlardan biri bulutun benimsenmesidir. Birçok kuruluş bulutu benimsemeyi artırırken, burada iki temel zorluk var. Birincisi bulutun yeni riskler yaratması. İkincisi, ödeme şirketlerine yönelik birincil standartlar kuruluşunun, söz konusu riske yardımcı olabilecek belirli bulut tabanlı güvenlik teknolojileri türleri söz konusu olduğunda uyumluluk için kolay bir geçiş yolu oluşturmamış olmasıdır.
Bu, pek çok şirketi bir ikilem içinde bıraktı, ancak neyse ki, bu ikiz zorlukların üstesinden gelmenin, sağlayıcıların uyumlu ve güvenli kalmasına yardımcı olabilecek yolları var.
Buluttaki tehditler
Ödemeler/finansal hizmetler sektörü kötü aktörlerin başlıca hedefidir ve bu değişmeyecek. Aynı zamanda bu sektör, verileri işlemek ve depolamak için büyük miktarda bulutun benimsenmesini deneyimliyor. Bulut çözümleri sağlayıcılara yenilik yapma, işlerini genişletme ve müşterilerine hızlı hizmetler sunma gücü verir.
Bulut birçok fayda sunuyor ama aynı zamanda riskleri de beraberinde getiriyor. Saldırı yüzeyleri, kullanılan bulutun boyutuyla orantılı olarak artar. Bu yeni saldırı yüzeyleri sonucunda yeni saldırı vektörleri ortaya çıkabilmektedir. Saldırganlar, işletmenin çalışma süresini tehlikeye atan bulut platformlarının peşine düşer. Bu da veri ihlallerine, veri kaybına ve markanın zarar görmesine yol açabilir.
Sonuç olarak, finansal hizmetler ve ödeme sağlayıcıları, bulut verileri için sağlam güvenlik kontrolleri oluşturmak ve sürdürmekle yükümlüdür. Kullanıcıların hareket halindeki veya hareketsiz olan hassas verilerini kısmen veya tamamen kontrol etmelerini sağlayan yaklaşımlar aracılığıyla bu veriler için güvenliği başarılı bir şekilde oluşturabilirler.
Bulut çağına yönelik HSM’ler
Güvenliğe yönelik yaklaşımlardan biri donanım güvenlik modülleridir (HSM’ler). Bu modüller anahtar oluşturmayı, depolamayı ve değiştirmeyi mümkün kılar ve kuruluşların güvenlik gereksinimlerinin yanı sıra PCI gibi uyumluluk ve düzenleyici zorunlulukları da karşılamalarına yardımcı olabilir.
Bununla birlikte, ödemeler sektörü için birçok geleneksel HSM sağlayıcısı, büyük ölçüde uyumlulukla ilgili endişeler nedeniyle bulut söz konusu olduğunda ayak sürümektedir. Geçmişte HSM’leri çalıştırma şekliniz, donanımı yönetmek için donanıma ihtiyaç duymanızdır. Bir HSM’yi yönetmek için akıllı kartları, USB belirteçlerini, Genel Anahtar Altyapısı (PKI) kartlarını ve diğer güvenlik cihazlarını ve yöntemlerini kullanarak donanım güvenlik modülleriyle konuşabilmeniz gerekir.
Ayrıca kimlik doğrulaması yapabilmek veya anahtarları HSM’lere yükleyebilmek için anahtar yükleme aygıtı adı verilen bir aygıta da ihtiyacınız vardır. Ve eğer bundan saparsanız PCI uyumluluğunu karşılamıyorsunuz demektir. Daha çok PCI olarak bilinen standartları belirleyen Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi, şu anda bulutta ödeme HSM’sine yönelik net bir yola ve benimsenmeye izin vermiyor.
HSM’yi Hizmet Olarak Düşünün
Sonuçta ihtiyaç duyulan şey, PCI’nin ortaya çıkması ve ödemeler endüstrisi için bulut tabanlı HSM’ler için doğrulama standartları oluşturmasıdır. Ancak düzenleme ve uyumluluk talimatlarının revize edilmesi, geliştirilmesi, onaylanması ve yasalaşması zaman alır.
Kısa vadede, endüstri PCI’nin buna ayak uydurmasını beklerken, geçici çözümlerden biri Hizmet olarak ödeme HSM’si kavramıdır. Bu, müşterilerin üzerindeki yönetim yükünü ortadan kaldırarak yukarıda belirtilen bazı zorlukların aşılmasına yardımcı olur.
Hizmet olarak HSM nedir? Kullanıcıların şifreleme anahtarlarını oluşturmasına ve güvenli bir şekilde saklamasına olanak tanıyan, bulut tabanlı bir HSM hizmetidir. Kurulum, değerlendirme, yükseltme ve diğer bakım görevlerini gerçekleştirme ihtiyacını ortadan kaldırır. Ayrıca büyük çaba ve masraflara yol açabilecek şirket içi HSM yönetimi gereksinimini de ortadan kaldırır.
Hizmet olarak HSM, özel HSM’lerden kısmen veya tamamen paylaşılanlara kadar çeşitli yapılandırmalarla gelir. Anahtar yönetimi ve diğer yönetim fonksiyonları hizmet çözümüne dahil edilebilir veya bunlar müşterinin başka bir bulutta veya müşterinin veri merkezinde gerçekleştirilen işi olabilir.
Giderek daha fazla sayıda sağlayıcı HSM’yi Hizmet olarak sunarken, bunların kullanımı her zaman belirli PCI standartlarını karşılamayabilir. Size sunulanın tabi olduğunuz PCI standartlarını karşıladığından emin olmak için özellikle servis sağlayıcınıza sormanız gerekecektir.
Bulut benimseme ve PCI uyumluluğunu dengeleme
Finansal hizmetler ve ödeme sağlayıcıları bulutu hızla benimsedi ancak bulutta belirli güvenlik teknolojilerinin nasıl kullanılacağı konusunda mevcut düzenlemelerin sınırlı olduğunu gördü. Mevcut standartlar HSM’lerin bulutta kullanılmasına izin vermese de geçici çözümlerden biri Hizmet olarak HSM’dir. Bu, sağlayıcıların buluta geçiş yolculuklarına devam etmelerine ve sürekli gelişen uyumluluk zorunluluklarına uymalarına yardımcı olmada önemli bir rol oynayabilir.
Reklam