[ This article was originally published here ]
Bu, bir AT&T Siber Güvenlik danışmanı tarafından yazılan, PCI DSS’ye odaklanan serideki üçüncü blogdur. IAM ve PCI DSS ile ilgili ilk bloga bakın . Üç ayda bir CDE testleri sözleşmesi yaparken emin olmak için PCI DSS raporlama ayrıntılarıyla ilgili ikinci bloga bakın .
PCI DSS, bir “varlığın” güncel kart sahibi verileri (CHD) akışına ve CHD’nin üzerinden geçtiği ağları göstermek için ağ şemalarına sahip olmasını gerektirir.
Google’da “kurumsal ağ diyagramı örnekleri” ve “kurumsal veri akış diyagramı örnekleri”, şu anda kullandığınız çizim araçlarına uyması için daha da geliştirebileceğiniz ve mevcut mimarinize en iyi şekilde benzeyen diyagramlar için birkaç farklı örnek alır.
Ağ diyagramları, hem insanların tanıyabileceği bir ağ adını hem de ağ kesiminin kullandığı IP adresi aralığını içerdiklerinde en iyisidir. Bu, değerlendiricilerin diyagramı güvenlik duvarı yapılandırma kuralları veya (AWS) güvenlik grupları (veya eşdeğeri) ile ilişkilendirmesine yardımcı olur.
Ortamdaki her bir güvenlik duvarı veya yönlendirici ve herhangi bir yönetim veri yolu da gösterilmelidir (bunlar üzerinde kontrolünüz olduğu ölçüde).
Ayrıca (PCI gerektirdiği için) IDS/IPS araçlarını ve hem işlem günlüğü hem de genel sistem günlüğü yollarını göstermelisiniz. Kimlik doğrulama, anti-virüs, yedekleme ve güncelleme mekanizmaları gösterilmesi gereken diğer bağlantılar. Müşterilerimiz, her şeyin bir arada olmasının karmaşıklığını azaltmak için genellikle birden çok diyagram oluşturur.
Her iki diyagram türünün de, kredi kartı verilerinin alınması ve yayılmasına ilişkin olası her biçimi ve bu yolların söz konusu kart sahibi verilerinin güvenliğini etkileyebileceği ölçüde yönetim veya izleme yollarını içermesi gerekir.
Şifrelenmemiş verileri belirtmek için kırmızı, tohumlama veya anahtar oluşturma mekanizmasını kontrol ettiğiniz ve şifresini çözdüğünüz veya şifrelediğiniz (kaydetme veya yaymadan önce) verileri belirtmek için mavi, DUKPT (İşlem Başına Türetilmiş Benzersiz Anahtar) kanallarını belirtmek için kahverengi ve İşlem başına yeşili kullanın şifresini çözemeyeceğiniz veriler (P2PE gibi), sizin ve bizim çeşitli veri akışlarıyla ilişkili riskleri anlamamıza da yardımcı olur. (Burada belirtilen belirli renkler zorunlu değildir, ancak deneyime dayanan önerilerdir).
Örnek olarak:
Ağ şemasında:
Web siparişi durumunda, web sitenizin sertifikasına dayalı olduğundan, tüketiciden web uygulamanızın güvenlik duvarı ve çevre güvenlik duvarı üzerinden standart TLS1.2 şifreleme kullanan web sunucularınıza giden mavi bir veri yolu olacaktır.
Web sunucusu ile sipariş yönetimi sunucusu/uygulaması arasında şifrelenmemiş kırmızı bir yol olabilir, ardından ağ geçidi tarafından anlaşmaya varılan şifrelemeyi kullanan sunucularınızdan ödeme ağ geçidine giden mavi bir veri yolu olabilir. Bu, TLS1.2 ile başlayacak ve daha sonra, tüm ağınızı ve sistemlerinizi atlayarak kart verilerini almak üzere doğrudan ödeme sağlayıcısından tüketiciye yeşil bir veri yolu başlatmak için bir iFrame kullanabilecektir. Ardından, ödeme sağlayıcısından ödeme uygulamanıza yetkilendirme tamamlama kodunu içeren mavi bir dönüş olacaktır.
Veri akış şemasında:
Çoğu veri akış şemasına son derece yararlı bir ekleme, uygun yöndeki oka bitişik sayıyla birlikte numaralı bir olay dizisidir.
En temel biçimde, bu dizi şöyle görünebilir:
- POTS hattı üzerinden sipariş hattına tüketici çağrıları (kırmızı – şifrelenmemiş)
- POTS araması VOIP’ye dönüştürülür (mavi – xxx sunucusu/uygulaması tarafından şifrelenir)
- Çağrı yöneticisi ücretsiz bir CSR’ye yönlendirir (mavi şifreli)
- Sipariş verildi (mavi şifreli)
- CSR, bir web siparişinin verileceği web formu içindeki ödeme sayfasına gider (mavi şifreli, ödeme ağ geçidi API’si tarafından sunulur)
- CSR, kredi kartı verilerini alır ve doğrudan web formuna girer. (mavi şifreli, ödeme ağ geçidi API’si tarafından sunulur)
- Yetkilendirme, ödeme ağ geçidinin kontrolü altında gerçekleşir.
- Ödeme ağ geçidinden yetkilendirme başarılı veya reddi alındı (5. adımla aynı oturumda mavi şifreli)
- CSR ödemeyi onaylar ve sipariş sürecini tamamlar.
Aynı liste, başarılı bir sipariş verme için CSR’lere yönelik bir prosedürün temelini oluşturabilir. Yetkilendirme başarısız olursa veya ağ veya ödeme sayfası çökerse, CSR’lerin nasıl yanıt vermesi gerektiğine ilişkin kendi adımlarınızı eklemeniz gerekecektir.
PCI için tüm belgelerin bir son gözden geçirme tarihi ve doğru olduğunun kim tarafından onaylandığına dair bir not gerektirdiğini unutmayın. Daha da iyisi, tüm güncellemelerin kolayca izlenebilmesi için bir değişiklik listesi veya değişiklik tanımlayıcıları ve tarihleri eklemektir. Ayrıca, daha sonra geri alınan güncellemelerin bile yanlışlıkla yeniden uygulanmamaları veya herhangi bir nedenle unutulmamaları ve böylece kalıcı hale gelmemeleri için belgelenmesi gerektiğini unutmayın.
reklam