Ödeme Kartı Endüstrisi Veri Güvenliği Standardı veya PCI DSS 4.0, Mayıs 2022’de PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından yayımlandı.
PCI DSS 3.2.1’i birkaç yıl kullandıktan sonra, PCI DSS 4.0, kredi kartlarını korumak ve güvenli bir şekilde işlenmesini sağlamak için tasarlanmış en son güvenlik standardı sürümüdür.
PCI SSC, ödeme kartı verilerini toplayan, saklayan, işleyen veya ileten tüm kuruluşlar tarafından takip edilecek yeni gereksinimler ve en iyi uygulamalar dizisi olarak kredi kartı uyumluluğu ve güvenlik standartlarının bu sürümünü yayımladı.
PCI DSS 4.0’a göre en son gereksinimler nelerdir? için geçerli mi API güvenliği? Evet ise nasıl? Öğrenmek için okumaya devam edin.
PCI DSS Uyumluluğu nedir?
PCI DSS, takip edilmesi gereken işlenmiş veri hacmine bakılmaksızın kredi, banka kartı veya ön ödemeli kart verilerini toplayan, saklayan, ileten, işleyen, işleyen veya kabul eden kuruluşlara yönelik küresel standarttır.
Hassas kart sahibi verilerini ve kimlik doğrulama verilerini korumak için Visa, Mastercard, American Express, Discover ve JCB gibi büyük kredi kartı şirketleri tarafından oluşturulan bir dizi sağlam süreç, güvenlik standardı ve en iyi uygulamalardan oluşur.
PCI DSS uyumluluğu, kuruluşların, yapılan/işlenen ödemeleri korurken kart sahibi bilgilerinin emniyetini ve güvenliğini sağlamasına olanak tanır. PCI güvenliği, kart sahiplerine bilgilerinin ve paralarının korunduğuna dair güven ve güven duygusu aşılar.
Kuruluşun kart verilerini bir uygulama, API, telefon, internet, kağıt veya kişi aracılığıyla işlemesi/iletmesi/yönetmesi durumunda, bu kredi kartı uyumluluk standardının belirlediği kurallara uymaları gerekir.
İster çokuluslu şirket, ister e-ticaret platformu, çevrimiçi alışveriş uygulaması veya küçük bir kafe olsun her kuruluş için, kart ve ödeme güvenliğini sağlamak için PCI DSS uyumluluğu minimum düzeydedir.
Kredi, banka kartı ve ön ödemeli kartları içeren veri ihlalleri ve güvenlik olayları, kuruluşlar için yıkıcı mali, itibari ve hukuki sonuçlara yol açar.
Dolayısıyla, PCI güvenliği bu maliyetlerin, uyumsuzluk cezalarının ve yasal işlemlerin önlenmesine yardımcı olur.
PCI DSS 4.0’ın PCI DSS 3.2.1’den farkı nedir?
PCI DSS 4.0, PCI uyumluluk standardının en son yinelemesidir ve 2018’de piyasaya sürülen PCI DSS 3.2.1’in yerini alır.
PCI SSC, hızla değişen tehdit manzarasını ve kart işleme ekosistemindeki güvenlik açıklarının değişen doğasını takip ederek bu güvenlik standardını birkaç yılda bir yineliyor ve yükseltiyor.
PCI DSS 4.0’daki kritik değişiklikler şu şekilde özetlenebilir:
- Bilinen ve ortaya çıkan tehditlerle mücadele etmek için yeni ve yenilikçi yöntemlerin dahil edilmesi.
- Kart ve ödeme güvenliğini korumada daha fazla esneklik.
- Kart güvenliğini nihai bir amaç olarak değil, devam eden bir süreç olarak görme ve ele alma konusunda daha fazla stres.
- Ödeme doğrulamaya yönelik iyileştirilmiş yöntemler ve prosedürler.
- Çerçevenin ve süreçlerin, kart işleme ve ödeme ekosisteminin değişen ihtiyaçlarını ve bağlamını takip etmesini sağlar.
- PCI DSS uyumluluğunu sağlamak için güvenlik kontrollerinin özelleştirilmiş uygulamasına izin verir.
API’ler için PCI DSS Uyumluluğu Gerekli mi?
Evet. API’leriniz kredi, banka kartı veya diğer ödeme kartlarının işlenmesinde, taşınmasında, iletilmesinde veya yönetilmesinde kullanılıyorsa, siz ve teknik ortaklarınız API’lerinizin PCI DSS uyumlu olmasını sağlarsınız.
PCI DSS 4.0 Uyumluluğu ve API’ler
Çevrimiçi ödemelerdeki kuruluşlar, daha hızlı ve daha kusursuz müşteri deneyimleri sunmaya yardımcı olmak için API’lerden geniş ölçüde yararlanıyor. Ancak API’ler, doğası gereği verileri, temeldeki iş mantığını ve işlevleri açığa çıkarır. Sonuç olarak, API işleme/çevrimiçi ödemeleri işleme, siber suçlular için büyük bir hedef haline geldi.
Bu nedenle PCI DSS 4.0, API güvenliği için geniş kapsamlı sonuçlarla birlikte sağlam ödeme güvenliği sağlamak amacıyla sıkı güvenlik düzenlemeleri getiriyor.
Bu düzenlemeler büyük ölçüde PCI DSS standardının en son yinelemesinin 6. gereksinimi altında bulunur – Güvenli Sistemler ve Yazılım Geliştirme ve Sürdürme. Bu bölümde, iki özel gereksinimin API güvenliği açısından sonuçları vardır. İşte buradalar:
6.2 – Kişiye Özel ve Özel Yazılımlar Güvenli Bir Şekilde Geliştirilir
Son zamanlarda, güvenliği geliştirme aşamalarına entegre ederek tasarımı itibariyle güvenli uygulamalar ve yazılımlar sunma ihtiyacına artan bir şekilde odaklanılıyor. Bu yaygın olarak sola kaydırma yaklaşımı olarak bilinir ve PCI DSS 4.0’ın 6.2 bölümünün genel olarak ilgilendiği şeydir.
Kuruluşların uygulamalardaki ve API’lerdeki güvenlik açıklarını, kusurları ve yanlış yapılandırmaları geliştirme yaşam döngüsünde mümkün olduğu kadar erken tespit edip düzeltmeleri gerektiğini vurguladı.
Bunun iki güçlü faydası var: geliştirme aşamalarında büyük bir sorun olmayacak ve sürümlerin gecikmesine neden olmayacak.
İkincisi, güvenlik açıklarının üretime girme ve uygulamayı, yazılımı veya API’yi ihlallere ve güvenlik tehditlerine karşı savunmasız bırakma riskini azaltacaktır.
Bu bölümde, 6.2.3 ve 6.2.4 gereksinimleri API’ler için özellikle önemlidir.
Gereksinim 6.2.3 tüm ısmarlama ve özel yazılımların/uygulamaların, müşterinin kullanımı için üretime geçmeden önce uygun şekilde gözden geçirilmesini gerektirir. Kuruluşlar bunu yaparak potansiyel kodlama hatalarını ve güvenlik açıklarını tespit edip düzeltebilir.
Bu tanım, tüm API’lerin de inceleme sürecine dahil edilmesini gerektirir. Kuruluşların, OpenAPI spesifikasyonlarında yazılmış bir API’nin işlevselliğini açıklayan, makine tarafından okunabilir belgeler olan API Swagger dosyalarının, üretime geçmeden önce etkili bir şekilde incelendiğinden ve güvenlik açıklarının giderildiğinden emin olmaları gerekir.
AppTrana gibi API odaklı güvenlik araçlarından yararlanarak Swagger dosyalarının PCI DSS 4.0 uyumlu, güvenli ve güvenlik açığı içermediğinden emin olmak için çapraz referans verebilirsiniz. Bu tür araçlar, gelen API trafiği ile Swagger dosyaları arasındaki farkları tespit edebilir.
Olumlu güvenlik modellerinin otomatikleştirilmesi, API’ler için önemli bir değer teklifidir. AppTrana WAAP ekosistem.
Bu özellik, API’leri için Swagger ve Postman belgelerine sahip olmayan ekipler için avantajlıdır. Swagger dosyası, API keşif özelliği aracılığıyla sorunsuz bir şekilde otomatik olarak geliştirilebilir. Ayrıca yönetilen hizmetler ekibi, kritik açık API’ler için Postacı dosyalarının oluşturulmasında görev alır.
Gereksinim 6.2.4 Kuruluşların, yazılım geliştirme profesyonellerinin, özel ve özel yazılımlardaki yaygın güvenlik saldırılarını ve ilgili güvenlik açıklarını önlemek/azaltmak için kullandıkları tüm yöntem ve teknikleri tanımlamasını gerektirir. Bu yazılım saldırıları enjeksiyon saldırılarını (XSS, SQL, XPatch, komut, nesne vb.), veri ve veri yapısı saldırılarını, kriptografiye yönelik saldırıları, iş mantığı saldırılarını, erişim kontrol mekanizmalarını ve yüksek riskli güvenlik açıkları yoluyla yapılan saldırıları içerebilir.
Bunlardan iş mantığı kusurları ve saldırıları dahil olmak üzere API’lerin PCI DSS 4.0 uyumluluğu açısından özellikle önemlidir. API’ler, iş mantığını doğası gereği açığa çıkardıkça ve saldırganların API’lere daha zahmetsizce saldırmasına olanak sağladığından, iş mantığı saldırılarının sayısı giderek artıyor.
Geliştirme, dağıtım veya güncellemeler sırasında API’lere iş mantığı kusurları eklenebilir. Daha fazla API güncellemesi olduğunda iş mantığı kusurlarının ortaya çıkma olasılığı daha yüksektir.
Bu nedenle PCI DSS 4.0, kuruluşların API’lerdeki iş mantığı kusurlarını, saldırganların bulup istismar etmesinden önce proaktif bir şekilde bulmasını ve güvence altına almasını gerektirir. APSızma testi yapıyorum Bu güvenlik açıklarını saldırganlar tarafından kullanılmadan önce tespit etmek ve gidermek için proaktif bir önlem olarak hizmet eder.
6.4 – Herkese Açık Web Uygulamaları Saldırılara Karşı Korunmaktadır
Herkese açık web uygulamaları, her türden kullanıcıya yaygın şekilde maruz kaldıkları için, halka açık olmayan ve dahili uygulamalarla karşılaştırıldığında her zaman daha yüksek saldırı riski altındadır. Bölüm 6.4, bu tür uygulamaların güçlü bir şekilde korunmasıyla ilgilenmekte ve kamuya açık uygulama güvenliğini artırmak için bir dizi önlem ortaya koymaktadır.
Bu bölümde, 6.4.1 ve 6.4.2 gereksinimleri API’ler için özellikle önemlidir. Gereksinim 6.4.1, yeni tehditlerin ve güvenlik açıklarının proaktif, sürekli olarak tanımlanması ve azaltılmasıyla ilgilidir.
Kuruluşlar, halka açık uygulamalarda ve API’lerde bilinen ve ortaya çıkan tehditleri ve güvenlik açıklarını incelemek ve izlemek için manuel ve otomatik tespit araçlarını kullanabilir. Kuruluşlar ayrıca önleyici güvenlik için tam olarak yönetilen, akıllı araçlardan da yararlanabilir.
Gereksinim 6.4.2, 6.4.1’in kapsamını genişletiyor ve halka açık uygulamayı riske sokan API güvenlik kusurlarını ve tehditlerini bulmak ve azaltmak için proaktif olma ve önleyici kontroller ve araçlar kullanma ihtiyacını vurguluyor.
Çözüm
API’lerin ödeme işleme alanında ne kadar yaygın ve kritik olduğu göz önüne alındığında, PCI DSS uyumluluk gereksinimlerinin en son sürümünün API güvenliği için geniş kapsamlı sonuçları vardır.
Bu nedenle PCI DSS 4.0 uyumlu olmanızı sağlayacak bir API güvenlik çözümü seçmelisiniz.