PCI_DSS

PCI-DSS

PCI-DSS Nedir?

PCI-DSS (Payment Card Industry  – Data Security Standards), 2004 yılı itibariyle uluslararası ödeme kuruluşları (American Express, Discover, JCB, MasterCard, VISA) tarafından geliştirilen, kart verisinin korunması amacıyla uyulması gereken veri güvenliği standardıdır.

 

Geliştirilen bu standart, son derece karmaşık, pahalı, uygulanması ve sürdürülmesi zor olarak görülebilir. Fakat özellikle ödeme sistemleri kurumlarına artan saldırı girişimlerinden korunmak için kapsamlı bir güvenlik ve kontrol süreçleri sağlar. Ayrıca bir güvenlik zafiyeti sonrası kaybedilecek müşteri verilerinin mali yükümlülüğü, PCI-DSS için harcanacak maliyetlerin çok üstünde olacaktır.

 

 

Neden PCI-DSS

PCI uyumluluğu, kart sahibi verilerini işleyen, ileten ve saklayan sistemlerin güvenli olduğu, ayrıca kart sahibi müşteri ve iş ortaklarının güvenebileceği anlamına gelir.

  • İşletmenin çalıştığı banka, ödeme sistemleri kuruluşları ve diğer kurumlar nezdinde itibarı yükselir.
  • İşletmede kullanılan sistemler, bilgi hırsızlığı ve güvenlik saldırılarına karşı daha güvenli olur ve güncelliğini korur.
  • İşletmenin diğer gereksinim veya standartlar ile uyumluluğunu kolaylaştırır.

 

 

PCI-DSS standartları, PCI SSC Konseyi (PCI Securtity Standars Council) tarafından oluşturulmuştur ve düzenli aralıklarla güncellenmeye devam etmektedir.

Kart verisini saklayan, ileten ve işleyen her kurum PCI-DSS uyumlu olmalıdır.

  • Kart kuruluşlarına üye olan, kart çıkaran (Issuer) kuruluşlar.
  • Kart kuruluşlarına üye olan, kart kabul eden (Acquirer) kuruluşlar.
  • Ödeme ve Servis Sağlayıcı (Processor) kuruluşlar.
  • Kart datasını saklayan işleyen ya da ileten diğer tüm üye işyerleri.

 

 

KAPSAM

Kapsam içerisinde korunması gereken veriler aşağıdaki gibidir.

Hassas Veriler

  • Manyetik Şerit Verisi (Full Magnetic Strip – Track 1, track 2)
  • PIN Blok
  • CID, CAV2, CVC2, CVV2

Kart Sahibi Verisi

  • Kart Numarası (PAN – Primary Account Number)
  • Kart Sahibi İsmi (Cardholder Name)
  • Servis Kodu
  • Son Geçerlilik Tarihi (Expire Date)

 

PCI_01

 

Kart sahibi verisini (Cardholder Data Environment – CDE) işletmenin diğer iletişim ağından ayırmak gerekir. Düzgün ve uyumlu bir segmentasyon yapılmalıdır. Böylece kapsam daralır ve maliyet azalır, PCI/DSS kontrolleri kolaylaşır, süreç hızlanır ve risk azalır.

Güvensiz ağlarda hassas veri tutulmamalıdır, kablosuz ağlarda bu konuya özellikle dikkat edilmelidir.

Kapsam Bileşenleri; kart sahibi verisi ve hassas verinin tutulduğu, işlendiği veya iletildiği sistemler ve bu sistemler ile ilişkili olan diğer tüm bileşenlerdir.

 

Kapsam Bileşenleri

  • Sistem Bileşenleri
    • Sunucu (Web, DB, App, Mail, Proxy, NTP, DNS..vb)
    • Storage
    • Sanallaştırma Bileşenleri
      • Sanal Makineler
      • Sanal Switch ve Router
      • Sanal Uygulama
    • Uygulamalar
  • Network Bileşenleri
    • Switch
    • Router
    • Access Point
  • Güvenlik Bileşenleri
    • Firewall
    • Antivirüs
    • IPS/IDS
    • DLP
    • HSM
    • MFA
    • Encryption
    • Patch Management
  • Yazılım Güvenliği
    • Güvenli Kodlama
    • Kod Gözden Geçirme
  • Fiziksel Güvenlik
    • Sistem Odası Güvenliği
    • Donanım Güvenliği
    • Imha Süreci
  • Diyagramlar
    • Network Diyagramı
    • Kart Akış Diyagramları
  • Envanterler
    • Donanım Envanteri
    • Yazılım Envanteri
  • İzleme/Kontrol
    • Monitoring
    • SIEM
    • FIM
    • Vulnerability Scan
    • ASV
    • Penetrasyon
  • Prosedürler
    • İşleyiş Prosedürleri
  • Personel
    • Yetkili Kişiler
    • Sorumlu Kişiler
  • Third Party
    • Güvenlik Anlaşmaları
    • Sözleşmeler

 

 

PCI-DSS Gereksinimleri

PCI-DSS gereksinimleri 6 ana başlık altında 12 temel koşuldan oluşur.

1Güvenli Bir Ağ ve Sistem Altyapısı Oluşturun ve Devamlılığını Sağlayın1Kart sahibi bilgilerinin korunması için güvenlik duvarı kurulumu ve yönetimi
2Üretici firmaların sağladığı sistem şifreleri ve diğer güvenlik parametreleri gibi ön tanımlı parametrelerin kullanılmaması
2Kart Sahibi Verilerini Koruyun3Saklanan kart sahibi bilgisinin korunması
4Açık genel ağlar üzerinden kart sahibi bilgisi iletiminin şifrelenmesi
3Bir Güvenlik Açığı Yönetimi Programını Sürdürün5Düzenli güncellenen anti-virüs yazılımlarının kullanılması
6Güvenli sistemlerin ve uygulamaların oluşturulması ve sürdürülmesi
4Güçlü Erişim Kontrolü Önlemleri Uygulayın7Kart sahibi bilgilerine erişimin iş ihtiyaçlarına göre sınırlandırılması
8Bilgisayar kullanıcısı her kişiye tekil kullanıcı hesabı oluşturulması
9Kart sahibi bilgilerine fiziksel erişimin sınırlanması
5Ağları Düzenli Olarak İzleyin ve Test Edin10Ağ kaynaklarına ve kart sahibi bilgisine yapılan tüm erişimlerin izlenmesi ve kaydedilmesi
11Güvenlik sistemlerinin ve işlemlerinin düzenli test edilmesi
6Bir Bilgi Güvenliği Politikası Sürdürün12Bilgi güvenliğini adresleyen politikanın sürdürülmesi

 

Son olarak 2018 yılında güncellenen versiyon 3.2.1’de 12 temel koşul altında 300’e yakın gereksinim bulunmaktadır, güncellenen her yeni versiyonda bu gereksinimler güncellenebilir veya yenileri eklenebilir.

Bu gereksinimlerin tümüne https://www.pcisecuritystandards.org/document_library adresinden ulaşabilirsiniz.

PCI-DSS denetiminde karşılaşacağınız 300’e yakın bu gereksinimlerin hedeflediği ana gereksinimler ve kısa açıklamaları aşağıdaki gibidir.

 

GEREKSİNİMAÇIKLAMA
IT
FIREWALLVLAN ile segmantasyonlara ayrılmış networkler arasında cihazların birbiri ile erişimin, sadece gerekli olan portlar üzerinden sağlanması için kuralların yazılması gerekmektedir.
Bu kurallar ITSM üzerinde mutlaka kayıt altına alınır. Her kural için onay ve test süreçlerinin tamamlanması gerekir.
Firewall üzerindeki bütün kurallar PCI-DSS kapsamında 6 aylık periyotlarla gözden geçirilir.
IDS/IPSSistem ve Network cihazlarına ait veri trafiği inceleyerek normal olmayan trafiği algılayan (Intrusion Detection Systems – IDS) ve zararlı olan bu trafiği engelleyen (Intrusion Prevention System – IPS) sistemlerin kurulması ve takip edilmesi gerekmektedir.
ANTI-VIRUSZararlı yazılımlara karşı korunmak için tüm sistemlere Anti-virus yazılımlarının kurulması gerekmektedir. Ayrıca yeni çıkan zararlılara karşı Anti-virus yazılımlarının düzenli olarak güncellenmesi ve Anti-virus yazılımının kullanıcılar tarafından kapatılamaması sağlanmalıdır.
DLPDepolanan kart verisinin mutlaka korunması gerekmektedir. Ayrıca iş süreçleri gereği veriye erişilmesi gereken durumlar haricinde veriye erişimin kısıtlanması gerekmektedir. Bu gereksinimleri karşılamak için DLP (Data Loss Prevention) kullanılması gerekir.
FIMKritik sistemlerin bulunduğu sunucular üzerinde uygulama ve dosya değişikliklerini izlemek ve kontrol etmek için FIM (File Integrity Monitoring) kullanılmalıdır.
SIEMVeri tehlikelerinin algılanması, tehlikenin en aza indirgenmesi veya engellenmesi için, kullanıcı etkinliklerini izleme ve sistem log kayıtlarından oluşturulacak korelasyon kuralları yeteneği kritik öneme sahiptir. Ayrıca herhangi bir problem durumunda tüm sistemlerin log kayıtlarını kapsamlı izleme, uyarı ve analize olanak tanır. Tüm sistemlerin Log kayıtlarının merkezi bir yerde toplanması ve yönetilmesi için SIEM (Security Information and Event Management) sistemlerinin kullanılması gerekir.
PENETRASYONSızma testi, bir saldırganın, sisteme ne kadar nüfuz edebileceğini belirleyebilmek için gerçek dünyadaki saldırı tekniklerini simüle edilmesidir. Böylece kuruluşun potansiyel açıklarını daha iyi anlayarak, bu saldırılara karşı savunma stratejileri belirlemesi sağlanır. En az yılda 1 kez yapılması gerekir, Servis sağlayıcılar için 6 ay’da bir yapılması gereklidir.
VULNERABILITYKötü niyetli kişiler tarafından bulunabilecek ve istismar edilebilecek olası güvenlik açıklarını bulmak için, dahili sunucu ve ağ cihazlarına karşı 3 aylık periyotlarla zafiyet taraması yapılması gerekmektedir.
ASVKötü niyetli kişiler tarafından bulunabilecek ve istismar edilebilecek olası güvenlik açıklarını bulmak için, sadece yetkili firmalar tarafından harici sunucu ve ağ cihazlarına karşı 3 aylık periyotlarla zafiyet taraması yapılması gerekmektedir.
NTPSistem içerisindeki tüm sunucu ve ağ cihazlarının zaman senkronizasyonunun merkezi bir yerden NTP (Network Time Protocol) teknolojisi ile sağlanması gerekmektedir. Saatler düzgün ayarlanmadığında, farklı sistemlerden günlük dosyalarını karşılaştırmak ve kesin bir olay dizisi oluşturmak mümkün olmayabilir.
MFAMFA (Multi Factor Authentication) ile bir kişiye erişim izni verilmeden önce en az iki ayrı kimlik doğrulaması yapması sağlanır. Böylece bir kullanıcının  kullanıcı adı ve şifresine ulaşan kötü niyetli bir saldırganın sistemlere kolayca erişmesi engellenmiş olur.
CRYPTOGRAPHY – HSMKriptografi, okunabilir durumdaki bir verinin içerdiği bilginin istenmeyen taraflarca anlaşılmayacak bir hale dönüştürülmesinde kullanılan bir şifreleme yöntemidir. Kart sahibi verisine ulaşılsa bile verinin okunamaması için, özellikle ödeme sistemleri için geliştirilen HSM (Hardware Security Module) cihazlarının kullanılması gerekmektedir. Ayrıca kriptografi için kullanılan anahtarların güvenliğine azami önem gösterilmelidir.
ENCRYPTIONKart verilerin barındırıldığı disk alanlarının ve aktarıldığı ağ trafiğinin istenmeyen taraflardan korunması için encryption metotları ile şifrelenmesi gerekmektedir.
PATCH MANAGEMENTGenellikle Zero Day olarak adlandırılan, geniş çapta yayımlanmış açıklardan yararlanarak yapılan ataklar daha fazla görülmektedir. Yayımlanan bu ve benzeri açıklara ait güncellemelerin krtiklik seviyelerine göre önceliklendirilip, test edilip yüksek öncelikli sistemlere en kısa sürede yüklenerek güvenlik açıklarının kapatılması gerekmektedir.
SECURITY HARDENINGSistemi oluşturan yazılımlar, sunucu ve ağ cihazları üzerinde, varsayılan hesap ve parolalar, güvensiz servis ve portlar gibi özellikler üzerinde yapılan değişiklikler ile mümkün olduğu kadar çok güvenlik riskini azaltıp, saldırı yüzeylerini azaltarak sistemlerin emniyetinin sağlanması gerekmektedir.
ITSMITSM (IT Service Management) portalı üzerinde oluşturulan talep, onay ve süreç yönetimi ile gerçekleştirilen tüm talep ve olayların kaydı tutulması gerekmektedir. Böylece gerçekleşen her işlem için tarih, onay, gerçekleşme süresi, yapılan işlem gibi detaylara ulaşabilmektedir.
DIAGRAMSistem ve Ağ  diyagramları ile sistemi oluşturan sunucu ve ağ cihazlarının nasıl yapılandırıldığı ve konumları tanımlanır. Kart akış diyagramı ile kart verilerinin bulunduğu ve iletildiği yollar belirlenerek PCI-DSS gereksinimlerinin tüm sistemler üzerinde eksiksiz olarak gerçekleştirildiğinden emin olunur.
PHYSICAL SECURITYKart verisini korumak için gereken tüm fiziksel önlemlerin alınması gerekir. Sunucu ve ağ cihazlarının bulunduğu sistem odası güvenliği, ziyaretçi kayıtlarının tutulması, ortak alanlarda bulunan ağ kablosu, wifi vb. cihazların güvenliği, yedekleme veya veri transferinde kullanılacak güvenlik yöntemleri, gereksiz belgelerin imhası, kart verisinin kullanıldığı POS vb. cihazların yetkisiz değişikliklerinin takibi vb.
DATA MASKINGKart bilgisini görebilen personelin, ekran görüntüsü, mail, fax vb. yollar ile paylaştığı içerikte hesap numarası gibi hassas bilgilerin korunması için veri tabanı ve uygulama katmanında Data Masking yapılarak ilk 6 karakter ve son 4 karakterin açık kalıp diğer karakterlerin gizlenmesi gerekmektedir.
INVENTORYPCI-DSS kapsamını doğru ve verimli bir şekilde tanımlanmasını sağlamak ve potansiyel riskleri azaltmak için sistemi oluşturan tüm cihazların ve uygulamaların güncel bir listesini tutmak gerekmektedir.
MONITORINGPCI-DSS kapsamında güvenliği sağlayan sistemlerin bir bileşeninin arıza vermesi veya çalışamaz duruma gelmesi durumunda tüm sistemin güvenliği riske girmektedir. Bu sebeple tüm sistem ve ağ cihazları, kritik uygulama ve servisler monitör edilerek, özellikle kritik sistemlerde oluşan bir arıza durumunda acil müdahale edilmesi gerekmektedir.
PROCEDUREPCI-DSS kapsamında gerçekleştirilen işlemlerin, hangi kişiler tarafından nasıl yapılması gerektiği ve yapılan bu işlemlerin güvenliğinin nasıl sağlanılacağının belirlenmesi gerekir. Ayrıca hazırlanan bu prosedürlerinin ilgili personellere belli aralıklarla tebliğ edilerek kurum içi işleyiş standartlarının korunması gerekir.
YAZILIM
SECURE CODEKart verilerinin saklanması, iletilmesi, Log mekanizmaları, bilinen saldırı yöntemlerine karşı koruma (SQL injection, XPATH injection, buffer overflow, XSS, CSRF, oturum yönetimi, hatalı erişim kontrolleri, güvenli olmayan kriptografik metotlar ve iletişim protokolleri, uygun olmayan hata yönetimi, penetrasyon testleri ve zafiyet taramaları kapsamında ortaya çıkan kritik ve yüksek seviyeli bulgular) hakkında düzenli personel eğitimi ve kontroller.
CODE REVIEWGeliştirilen kodlar, yayınlanmadan önce potansiyel kodlama zafiyetleri içerip içermediği ile ilgili, geliştiren dışında, güvenli kod geliştirme konusunda deneyimli kişiler tarafından yeniden gözden geçirilir. İnceleme sonuçları yöneticiler tarafından incelenir ve onaylanır.
İŞ SÜREÇLERİ
PERSONNELKurum içi tehditleri engellemek için personel adayı araştırması yapılması önerilmektedir. Personel işe başladığında ve belli aralıklarla bilgi güvenliği farkındalığı eğitimleri verilerek bilinçlendirilmelidir. Her personelin görev tanımları belirlenip erişim yetkileri işin gerekliliğine göre tanımlanmalı, kurum güvenliği ve işleyiş standartları için hazırlanan prosedürler tebliğ edilmelidir. Personel giriş ve çıkışları sıkı takip edilerek işten ayrılan personelin yetkileri en kısa sürede kaldırılması gerekir.
AGREEMENTBirlikte çalışılan veya hizmet alınan diğer firmalar ile, kart verisi güvenliği için alınması gereken güvenlik tedbirleri hakkında yazılı sözleşmelerin yapılması gerekir.

 

 

Not: PCI-DSS ile ilgili danışmanlık için iletişime geçebilirsiniz…

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir