Kart ödeme verileriyle ilgilenen kuruluşlar, kart sahibi verilerini korumak için Ödeme Kartı Endüstrisi Veri Güvenliği Standardına (PCI DSS) uymalıdır.
Bu Standarda göre, PCI Sızma Testi kuruluşun güvenlik kontrollerinin kart sahibi verileri ortamını koruyup korumadığını doğrulamak için gerçekleştirilmelidir.
PCI DSS, hassas müşteri kartı bilgilerini işlerken minimum güvenlik karşılaştırması sağlamak için tanıtıldı. Bu notta, PCI Konseyi Sızma Testini Uyumluluk sürecine dahil etmiştir.
Bir PCI Sızma testi, kredi kartlarının güvenliğini doğrulamak ve kuruluştaki güvenlik önlemlerini iyileştirmek için tasarlanmıştır.
Bu konuda daha ayrıntılı bilgi vererek, hakkında en çok sorulan bazı soruları yanıtladık ve açıkladık. PCI Kalem Testişunları içerir: PCI Sızma Testi nedir, kimin gerçekleştirmesi gerekir, ne zaman yapılmalıdır ve diğer ilgili ayrıntılar.
PCI Sızma Testi Nedir?
Sızma Testi, güvenlik açıklarından yararlanmaya ve kritik sistemlere ve verilere yetkisiz erişim elde etmeye çalışan (test için önceden yetkilendirmeyle) etik hacker olarak da bilinen bir güvenlik profesyonelini içeren bir egzersiz veya test sürecidir.
Gerçek bir kimlik avı dolandırıcılığı veya siber saldırı gerçekleştirmek için bilgisayar korsanlarının benimsediği yaygın olarak kullanılan teknikleri kullanırlar. Ancak tek fark, ele alınması gereken bilgi güvenliği açıklarını vurgulamak için ağdaki zayıf alanları keşfetmek için sizin izninizle hareket etmeleridir.
Bu dedi ki, PCI Sızma Testi kılavuz, uyumluluk sürecinde gerçekleştirilmesi gereken iki tür test belirtir. Bu içerir Ağ Katmanı Sızma Testi Ve Uygulama Katmanı Sızma Testi.
Bu iki tür test tekniği, geleneksel Sızma Testine çok benzer. Ağ Katmanı Sızma Testi, temelde bir Altyapı Penetrasyon Testidir ve Uygulama Katmanı Sızma Testi, Uygulama Güvenlik Testidir.
Uygulama Katmanı Sızma Testinin değerlendirilmesi, güvenli olmayan uygulama tasarımı veya yapılandırmasından ya da güvenli olmayan kodlama uygulamalarından veya güvenlik kusurlarından kaynaklanan güvenlik kusurlarını belirlemeye yardımcı olur. Bu, güvenli olmayan yazılım uygulaması, yapılandırması, kullanımı veya bakımından kaynaklanabilir.
Uygulama Katmanı Değerlendirmesi sırasında belirlenen güvenlik açıklarının düzeltilmesi, güvenli olmayan kodun yeniden tasarlanmasını veya yeniden yazılmasını içerebilir. Yine, bir Ağ Katmanı Değerlendirmesinde tanımlanan güvenlik açıklarının düzeltilmesi, genellikle ayarların yeniden yapılandırılmasını veya yazılım/ürün yazılımının güncellenmesini içerir. Bazı durumlarda düzeltme, güvenli olmayan yazılıma güvenli bir alternatifin konuşlandırılmasını gerektirebilir.
Kimler PCI Sızma Testi gerçekleştirmeli?
Sızma Testi, bir uzlaşma olasılığını değerlendirmek için PCI DSS’de belirtilen bir güvenlik değerlendirme alıştırmasıdır. Gereksinimler, PCI Konseyinin potansiyel bir risk olduğunu düşündüğü durumlarda test yapılmasını zorunlu kılar.
Bununla birlikte, PCI Sızma Testi, Seviye 1 tüccarlar, SAQ A-EP kapsamındaki yalnızca e-ticarete yönelik belirli satıcılar ve SAQ D kapsamına giren hizmet sağlayıcılar için zorunludur.
Ancak Sızma Testinin tüm SAQ için zorunlu olmadığına dikkat edilmelidir. Ancak kuruluşlar, PCI gerekliliklerinden bağımsız olarak ortamlarının güvenliğini değerlendirmelidir.
Bu, özellikle PCI genel olarak kart verilerinin güvenliğini sağlamaya odaklandığında geçerlidir. PCI Konseyi, PCI Sızma Testi Kılavuzunda, Sızma Testinin kalifiye bir dahili Pen Tester uzmanı veya kuruluştan bağımsız bir üçüncü taraf tarafından yürütülmesi gerektiğini belirtir.
PCI kılavuzu, kuruluşların kalifiye personeli doğrulamasına yardımcı olabilecek Sızma Testi sertifikalarını belirtir. Konsey, sertifikaların tek başına yeterli olmadığını ve danışmanın deneyimini değerlendirmeyi düşünmesi gerektiğini bile belirtirken.
- Saldırgan Güvenlik Sertifikalı Profesyonel (OSCP)
- GIAC Sertifikalı Sızma Test Cihazı (GPEN)
- GIAC Web Uygulama Sızma Test Cihazı (GWAPT)
- GIAC İstismar Araştırmacısı ve Gelişmiş Sızma Test Cihazı (GXPN)
- CREST Sızma Testi Sertifikaları
- CESG BT Sağlık Kontrolü Hizmeti (CHECK) sertifikası
Ne zaman bir PCI Sızma Testi gerçekleştirmeniz gerekir?
PCI DSS Gereksinimleri 11.3.1 ve 11.3.2, kuruluşun testleri en az yılda bir kez veya ortamda herhangi bir önemli değişiklik yapıldıktan sonra gerçekleştirmesi gerektiğini belirtir.
Ancak biz profesyoneller olarak genellikle testlerin yıllık PCI Uyumluluk Denetiminden en az üç ay önce yapılmasını tavsiye ederiz. PCI Sızma Testleri bir ay içinde tamamlanabilir ve istisna olmamasını sağlamak için ayrıca iyileştirme gerektirebilir. Ancak, ilk testler önemli ölçüde daha fazla zaman gerektirebilir.
Gereklilik 11.3.1: Yıllık olarak ve önemli altyapı, uygulama yükseltmesi veya değişikliğinden sonra harici Sızma Testi gerçekleştirin. Bu, bir işletim sistemi yükseltmesini, ortama eklenen bir alt ağı veya ortama eklenen bir web sunucusunu içerebilir.
Gereksinim 11.3.2: Dahili Sızma Testini en az yılda bir kez ve herhangi bir önemli altyapı veya uygulama yükseltmesi veya değişikliğinden sonra gerçekleştirin. Bu, bir işletim sistemi yükseltmesini, ortama eklenen bir alt ağı veya ortama eklenen bir web sunucusunu içerebilir.
Önemli Değişiklik olarak tanımlanan nedir?
PCI Sızma Testi Kılavuzu belgesi, “önemli değişikliği”, ağın güvenliğini etkileyebilecek veya kart sahibi verilerine yetkisiz erişime izin verebilecek bir değişiklik olarak tanımlar.
Bu, yeni bir uzaktan erişim sistemi, yeni bir sunucunun tanıtılması veya uygulamada önemli değişiklikler olarak görülebilir. Kuruluşlar, değişiklikleri planlamak ve bazı alternatif esnek seçeneklerle buna göre test etmek için Sızma Testi Uzmanlarına danışmalıdır.
PCI Sızma Testinin Kapsamı
Sızma Testi, sistem ağı ve hassas Kart Sahibi verilerini tutan ortam üzerinde gerçekleştirilmelidir. Bu nedenle test, Kart Sahibi Veri Ortamı ve güvenliği ihlal edildiğinde CDE’nin güvenliğini etkileyebilecek tüm sistemler üzerinde gerçekleştirilmelidir.
Sistemlerin, ağların ve uygulamaların Sızma Testinin kapsamı dışında kalması için bunların CDE’den ayrılması gerekir.
Bu nedenle, bir olayda bir sistemin güvenliği ihlal edilse bile, Kart Sahibi Veri Ortamının bütünlüğü bozulmamış veya etkilenmemiş olacaktır.
Sızma Testinin kapsamını azaltmak, ağı ayırarak mümkündür. Bu zorunlu olmamakla birlikte, testin maliyetini düşürmeye yardımcı olur ve ayrıca uzlaşma durumunda bile ağın güvenli olmasını sağlar.
Segmentasyon kontrollerinin yeterli olup olmadığını doğrulamak için gereklilik 11.3.4’te belirtildiği gibi düzenli kontrollerin yapılması gerektiğine dikkat edilmelidir.
Bir hizmet sağlayıcıysanız, bu yıllık veya altı ayda bir yapılabilir. Bu, CDE’nin uygulama ekibinden veya yönetiminden bağımsız personel tarafından ayrıca incelenmelidir.
Sızma Testinin Güvenlik Açığı Taramasından farkı nedir?
Güvenlik açığı taramaları, riskleri tanımlamayı, önem derecelerine göre sıralamayı ve bir sistemi tehlikeye atabilecek güvenlik açıklarını raporlamayı amaçlar.
Kuruluşlar genellikle her üç ayda bir veya Kart Veri Ortamında önemli değişiklikler yaptıktan sonra bir güvenlik açığı taraması gerçekleştirir.
Bununla birlikte Sızma Testi, güvenlik kontrollerindeki boşlukları belirleyerek güvenlik kontrollerindeki güvenlik açıklarından yararlanmak için özel olarak gerçekleştirilir.
Sistemlere girmeye ve yetkisiz erişim elde etmeye çalışan etik korsanları içeren bir değerlendirme süreci veya tekniğidir.
Sızma testleri aktif bir test süreci olarak tanımlanabilirken, Vulnerability Testing, potansiyel riskleri belirlemek için ortamı tarayan pasif bir test süreci olarak tanımlanabilir.
İki test arasındaki bir diğer önemli fark, yürütülen Sızma Testinin derinlemesine olması ve tarama sırasında belirli bir zaman noktasında şirkete sınırlı içgörü sağlayan Güvenlik Açığı Testinden çok daha pahalı olmasıdır.
Her iki test de birçok yönden farklılık gösterse de, güvenlik kontrollerini değerlendirmek ve etkili olup olmadıklarını doğrulamak için her iki teknik de kuruluş tarafından esasen gereklidir.
Çözüm
Sızma Testi, PCI gereksinimine değerli bir ek olsa da, Kart Sahibi Veri Ortamı (CDE) içinde dağıtılan güvenlik kontrollerinin etkinliğini doğrulamak ve doğrulamak için iyi bir değerlendirme tekniğidir.
Bir PCI Sızma Testi gerçekleştirmenin amacı her zaman ödeme kartı verilerini ve genel olarak kuruluşun altyapısının güvenliğini korumaktır. Altyapı ve Veri Güvenliği arasında bir dengenin sağlanması, PCI gereksinimlerinin karşılanması için çok önemlidir.
Bu nedenle işletmeler, test sürecini ve kaynak yatırımını en üst düzeye çıkarmak için iç ve dış tehditleri kapsamlı bir şekilde değerlendirmek üzere kalifiye personel tarafından yıllık olarak bir Sızma Testi gerçekleştirmelidir.