PCI-DSS Nedir?
PCI-DSS (Payment Card Industry – Data Security Standards), 2004 yılı itibariyle uluslararası ödeme kuruluşları (American Express, Discover, JCB, MasterCard, VISA) tarafından geliştirilen, kart verisinin korunması amacıyla uyulması gereken veri güvenliği standardıdır.
Geliştirilen bu standart, son derece karmaşık, pahalı, uygulanması ve sürdürülmesi zor olarak görülebilir. Fakat özellikle ödeme sistemleri kurumlarına artan saldırı girişimlerinden korunmak için kapsamlı bir güvenlik ve kontrol süreçleri sağlar. Ayrıca bir güvenlik zafiyeti sonrası kaybedilecek müşteri verilerinin mali yükümlülüğü, PCI-DSS için harcanacak maliyetlerin çok üstünde olacaktır.
Neden PCI-DSS
PCI uyumluluğu, kart sahibi verilerini işleyen, ileten ve saklayan sistemlerin güvenli olduğu, ayrıca kart sahibi müşteri ve iş ortaklarının güvenebileceği anlamına gelir.
- İşletmenin çalıştığı banka, ödeme sistemleri kuruluşları ve diğer kurumlar nezdinde itibarı yükselir.
- İşletmede kullanılan sistemler, bilgi hırsızlığı ve güvenlik saldırılarına karşı daha güvenli olur ve güncelliğini korur.
- İşletmenin diğer gereksinim veya standartlar ile uyumluluğunu kolaylaştırır.
PCI-DSS standartları, PCI SSC Konseyi (PCI Securtity Standars Council) tarafından oluşturulmuştur ve düzenli aralıklarla güncellenmeye devam etmektedir.
Kart verisini saklayan, ileten ve işleyen her kurum PCI-DSS uyumlu olmalıdır.
- Kart kuruluşlarına üye olan, kart çıkaran (Issuer) kuruluşlar.
- Kart kuruluşlarına üye olan, kart kabul eden (Acquirer) kuruluşlar.
- Ödeme ve Servis Sağlayıcı (Processor) kuruluşlar.
- Kart datasını saklayan işleyen ya da ileten diğer tüm üye işyerleri.
KAPSAM
Kapsam içerisinde korunması gereken veriler aşağıdaki gibidir.
Hassas Veriler
- Manyetik Şerit Verisi (Full Magnetic Strip – Track 1, track 2)
- PIN Blok
- CID, CAV2, CVC2, CVV2
Kart Sahibi Verisi
- Kart Numarası (PAN – Primary Account Number)
- Kart Sahibi İsmi (Cardholder Name)
- Servis Kodu
- Son Geçerlilik Tarihi (Expire Date)
Kart sahibi verisini (Cardholder Data Environment – CDE) işletmenin diğer iletişim ağından ayırmak gerekir. Düzgün ve uyumlu bir segmentasyon yapılmalıdır. Böylece kapsam daralır ve maliyet azalır, PCI/DSS kontrolleri kolaylaşır, süreç hızlanır ve risk azalır.
Güvensiz ağlarda hassas veri tutulmamalıdır, kablosuz ağlarda bu konuya özellikle dikkat edilmelidir.
Kapsam Bileşenleri; kart sahibi verisi ve hassas verinin tutulduğu, işlendiği veya iletildiği sistemler ve bu sistemler ile ilişkili olan diğer tüm bileşenlerdir.
Kapsam Bileşenleri
- Sistem Bileşenleri
- Sunucu (Web, DB, App, Mail, Proxy, NTP, DNS..vb)
- Storage
- Sanallaştırma Bileşenleri
- Sanal Makineler
- Sanal Switch ve Router
- Sanal Uygulama
- Uygulamalar
- Network Bileşenleri
- Switch
- Router
- Access Point
- Güvenlik Bileşenleri
- Firewall
- Antivirüs
- IPS/IDS
- DLP
- HSM
- MFA
- Encryption
- Patch Management
- Yazılım Güvenliği
- Güvenli Kodlama
- Kod Gözden Geçirme
- Fiziksel Güvenlik
- Sistem Odası Güvenliği
- Donanım Güvenliği
- Imha Süreci
- Diyagramlar
- Network Diyagramı
- Kart Akış Diyagramları
- Envanterler
- Donanım Envanteri
- Yazılım Envanteri
- İzleme/Kontrol
- Monitoring
- SIEM
- FIM
- Vulnerability Scan
- ASV
- Penetrasyon
- Prosedürler
- İşleyiş Prosedürleri
- Personel
- Yetkili Kişiler
- Sorumlu Kişiler
- Third Party
- Güvenlik Anlaşmaları
- Sözleşmeler
PCI-DSS Gereksinimleri
PCI-DSS gereksinimleri 6 ana başlık altında 12 temel koşuldan oluşur.
1 | Güvenli Bir Ağ ve Sistem Altyapısı Oluşturun ve Devamlılığını Sağlayın | 1 | Kart sahibi bilgilerinin korunması için güvenlik duvarı kurulumu ve yönetimi |
2 | Üretici firmaların sağladığı sistem şifreleri ve diğer güvenlik parametreleri gibi ön tanımlı parametrelerin kullanılmaması | ||
2 | Kart Sahibi Verilerini Koruyun | 3 | Saklanan kart sahibi bilgisinin korunması |
4 | Açık genel ağlar üzerinden kart sahibi bilgisi iletiminin şifrelenmesi | ||
3 | Bir Güvenlik Açığı Yönetimi Programını Sürdürün | 5 | Düzenli güncellenen anti-virüs yazılımlarının kullanılması |
6 | Güvenli sistemlerin ve uygulamaların oluşturulması ve sürdürülmesi | ||
4 | Güçlü Erişim Kontrolü Önlemleri Uygulayın | 7 | Kart sahibi bilgilerine erişimin iş ihtiyaçlarına göre sınırlandırılması |
8 | Bilgisayar kullanıcısı her kişiye tekil kullanıcı hesabı oluşturulması | ||
9 | Kart sahibi bilgilerine fiziksel erişimin sınırlanması | ||
5 | Ağları Düzenli Olarak İzleyin ve Test Edin | 10 | Ağ kaynaklarına ve kart sahibi bilgisine yapılan tüm erişimlerin izlenmesi ve kaydedilmesi |
11 | Güvenlik sistemlerinin ve işlemlerinin düzenli test edilmesi | ||
6 | Bir Bilgi Güvenliği Politikası Sürdürün | 12 | Bilgi güvenliğini adresleyen politikanın sürdürülmesi |
Son olarak 2018 yılında güncellenen versiyon 3.2.1’de 12 temel koşul altında 300’e yakın gereksinim bulunmaktadır, güncellenen her yeni versiyonda bu gereksinimler güncellenebilir veya yenileri eklenebilir.
Bu gereksinimlerin tümüne https://www.pcisecuritystandards.org/document_library adresinden ulaşabilirsiniz.
PCI-DSS denetiminde karşılaşacağınız 300’e yakın bu gereksinimlerin hedeflediği ana gereksinimler ve kısa açıklamaları aşağıdaki gibidir.
GEREKSİNİM | AÇIKLAMA |
IT | |
FIREWALL | VLAN ile segmantasyonlara ayrılmış networkler arasında cihazların birbiri ile erişimin, sadece gerekli olan portlar üzerinden sağlanması için kuralların yazılması gerekmektedir. Bu kurallar ITSM üzerinde mutlaka kayıt altına alınır. Her kural için onay ve test süreçlerinin tamamlanması gerekir. Firewall üzerindeki bütün kurallar PCI-DSS kapsamında 6 aylık periyotlarla gözden geçirilir. |
IDS/IPS | Sistem ve Network cihazlarına ait veri trafiği inceleyerek normal olmayan trafiği algılayan (Intrusion Detection Systems – IDS) ve zararlı olan bu trafiği engelleyen (Intrusion Prevention System – IPS) sistemlerin kurulması ve takip edilmesi gerekmektedir. |
ANTI-VIRUS | Zararlı yazılımlara karşı korunmak için tüm sistemlere Anti-virus yazılımlarının kurulması gerekmektedir. Ayrıca yeni çıkan zararlılara karşı Anti-virus yazılımlarının düzenli olarak güncellenmesi ve Anti-virus yazılımının kullanıcılar tarafından kapatılamaması sağlanmalıdır. |
DLP | Depolanan kart verisinin mutlaka korunması gerekmektedir. Ayrıca iş süreçleri gereği veriye erişilmesi gereken durumlar haricinde veriye erişimin kısıtlanması gerekmektedir. Bu gereksinimleri karşılamak için DLP (Data Loss Prevention) kullanılması gerekir. |
FIM | Kritik sistemlerin bulunduğu sunucular üzerinde uygulama ve dosya değişikliklerini izlemek ve kontrol etmek için FIM (File Integrity Monitoring) kullanılmalıdır. |
SIEM | Veri tehlikelerinin algılanması, tehlikenin en aza indirgenmesi veya engellenmesi için, kullanıcı etkinliklerini izleme ve sistem log kayıtlarından oluşturulacak korelasyon kuralları yeteneği kritik öneme sahiptir. Ayrıca herhangi bir problem durumunda tüm sistemlerin log kayıtlarını kapsamlı izleme, uyarı ve analize olanak tanır. Tüm sistemlerin Log kayıtlarının merkezi bir yerde toplanması ve yönetilmesi için SIEM (Security Information and Event Management) sistemlerinin kullanılması gerekir. |
PENETRASYON | Sızma testi, bir saldırganın, sisteme ne kadar nüfuz edebileceğini belirleyebilmek için gerçek dünyadaki saldırı tekniklerini simüle edilmesidir. Böylece kuruluşun potansiyel açıklarını daha iyi anlayarak, bu saldırılara karşı savunma stratejileri belirlemesi sağlanır. En az yılda 1 kez yapılması gerekir, Servis sağlayıcılar için 6 ay’da bir yapılması gereklidir. |
VULNERABILITY | Kötü niyetli kişiler tarafından bulunabilecek ve istismar edilebilecek olası güvenlik açıklarını bulmak için, dahili sunucu ve ağ cihazlarına karşı 3 aylık periyotlarla zafiyet taraması yapılması gerekmektedir. |
ASV | Kötü niyetli kişiler tarafından bulunabilecek ve istismar edilebilecek olası güvenlik açıklarını bulmak için, sadece yetkili firmalar tarafından harici sunucu ve ağ cihazlarına karşı 3 aylık periyotlarla zafiyet taraması yapılması gerekmektedir. |
NTP | Sistem içerisindeki tüm sunucu ve ağ cihazlarının zaman senkronizasyonunun merkezi bir yerden NTP (Network Time Protocol) teknolojisi ile sağlanması gerekmektedir. Saatler düzgün ayarlanmadığında, farklı sistemlerden günlük dosyalarını karşılaştırmak ve kesin bir olay dizisi oluşturmak mümkün olmayabilir. |
MFA | MFA (Multi Factor Authentication) ile bir kişiye erişim izni verilmeden önce en az iki ayrı kimlik doğrulaması yapması sağlanır. Böylece bir kullanıcının kullanıcı adı ve şifresine ulaşan kötü niyetli bir saldırganın sistemlere kolayca erişmesi engellenmiş olur. |
CRYPTOGRAPHY – HSM | Kriptografi, okunabilir durumdaki bir verinin içerdiği bilginin istenmeyen taraflarca anlaşılmayacak bir hale dönüştürülmesinde kullanılan bir şifreleme yöntemidir. Kart sahibi verisine ulaşılsa bile verinin okunamaması için, özellikle ödeme sistemleri için geliştirilen HSM (Hardware Security Module) cihazlarının kullanılması gerekmektedir. Ayrıca kriptografi için kullanılan anahtarların güvenliğine azami önem gösterilmelidir. |
ENCRYPTION | Kart verilerin barındırıldığı disk alanlarının ve aktarıldığı ağ trafiğinin istenmeyen taraflardan korunması için encryption metotları ile şifrelenmesi gerekmektedir. |
PATCH MANAGEMENT | Genellikle Zero Day olarak adlandırılan, geniş çapta yayımlanmış açıklardan yararlanarak yapılan ataklar daha fazla görülmektedir. Yayımlanan bu ve benzeri açıklara ait güncellemelerin krtiklik seviyelerine göre önceliklendirilip, test edilip yüksek öncelikli sistemlere en kısa sürede yüklenerek güvenlik açıklarının kapatılması gerekmektedir. |
SECURITY HARDENING | Sistemi oluşturan yazılımlar, sunucu ve ağ cihazları üzerinde, varsayılan hesap ve parolalar, güvensiz servis ve portlar gibi özellikler üzerinde yapılan değişiklikler ile mümkün olduğu kadar çok güvenlik riskini azaltıp, saldırı yüzeylerini azaltarak sistemlerin emniyetinin sağlanması gerekmektedir. |
ITSM | ITSM (IT Service Management) portalı üzerinde oluşturulan talep, onay ve süreç yönetimi ile gerçekleştirilen tüm talep ve olayların kaydı tutulması gerekmektedir. Böylece gerçekleşen her işlem için tarih, onay, gerçekleşme süresi, yapılan işlem gibi detaylara ulaşabilmektedir. |
DIAGRAM | Sistem ve Ağ diyagramları ile sistemi oluşturan sunucu ve ağ cihazlarının nasıl yapılandırıldığı ve konumları tanımlanır. Kart akış diyagramı ile kart verilerinin bulunduğu ve iletildiği yollar belirlenerek PCI-DSS gereksinimlerinin tüm sistemler üzerinde eksiksiz olarak gerçekleştirildiğinden emin olunur. |
PHYSICAL SECURITY | Kart verisini korumak için gereken tüm fiziksel önlemlerin alınması gerekir. Sunucu ve ağ cihazlarının bulunduğu sistem odası güvenliği, ziyaretçi kayıtlarının tutulması, ortak alanlarda bulunan ağ kablosu, wifi vb. cihazların güvenliği, yedekleme veya veri transferinde kullanılacak güvenlik yöntemleri, gereksiz belgelerin imhası, kart verisinin kullanıldığı POS vb. cihazların yetkisiz değişikliklerinin takibi vb. |
DATA MASKING | Kart bilgisini görebilen personelin, ekran görüntüsü, mail, fax vb. yollar ile paylaştığı içerikte hesap numarası gibi hassas bilgilerin korunması için veri tabanı ve uygulama katmanında Data Masking yapılarak ilk 6 karakter ve son 4 karakterin açık kalıp diğer karakterlerin gizlenmesi gerekmektedir. |
INVENTORY | PCI-DSS kapsamını doğru ve verimli bir şekilde tanımlanmasını sağlamak ve potansiyel riskleri azaltmak için sistemi oluşturan tüm cihazların ve uygulamaların güncel bir listesini tutmak gerekmektedir. |
MONITORING | PCI-DSS kapsamında güvenliği sağlayan sistemlerin bir bileşeninin arıza vermesi veya çalışamaz duruma gelmesi durumunda tüm sistemin güvenliği riske girmektedir. Bu sebeple tüm sistem ve ağ cihazları, kritik uygulama ve servisler monitör edilerek, özellikle kritik sistemlerde oluşan bir arıza durumunda acil müdahale edilmesi gerekmektedir. |
PROCEDURE | PCI-DSS kapsamında gerçekleştirilen işlemlerin, hangi kişiler tarafından nasıl yapılması gerektiği ve yapılan bu işlemlerin güvenliğinin nasıl sağlanılacağının belirlenmesi gerekir. Ayrıca hazırlanan bu prosedürlerinin ilgili personellere belli aralıklarla tebliğ edilerek kurum içi işleyiş standartlarının korunması gerekir. |
YAZILIM | |
SECURE CODE | Kart verilerinin saklanması, iletilmesi, Log mekanizmaları, bilinen saldırı yöntemlerine karşı koruma (SQL injection, XPATH injection, buffer overflow, XSS, CSRF, oturum yönetimi, hatalı erişim kontrolleri, güvenli olmayan kriptografik metotlar ve iletişim protokolleri, uygun olmayan hata yönetimi, penetrasyon testleri ve zafiyet taramaları kapsamında ortaya çıkan kritik ve yüksek seviyeli bulgular) hakkında düzenli personel eğitimi ve kontroller. |
CODE REVIEW | Geliştirilen kodlar, yayınlanmadan önce potansiyel kodlama zafiyetleri içerip içermediği ile ilgili, geliştiren dışında, güvenli kod geliştirme konusunda deneyimli kişiler tarafından yeniden gözden geçirilir. İnceleme sonuçları yöneticiler tarafından incelenir ve onaylanır. |
İŞ SÜREÇLERİ | |
PERSONNEL | Kurum içi tehditleri engellemek için personel adayı araştırması yapılması önerilmektedir. Personel işe başladığında ve belli aralıklarla bilgi güvenliği farkındalığı eğitimleri verilerek bilinçlendirilmelidir. Her personelin görev tanımları belirlenip erişim yetkileri işin gerekliliğine göre tanımlanmalı, kurum güvenliği ve işleyiş standartları için hazırlanan prosedürler tebliğ edilmelidir. Personel giriş ve çıkışları sıkı takip edilerek işten ayrılan personelin yetkileri en kısa sürede kaldırılması gerekir. |
AGREEMENT | Birlikte çalışılan veya hizmet alınan diğer firmalar ile, kart verisi güvenliği için alınması gereken güvenlik tedbirleri hakkında yazılı sözleşmelerin yapılması gerekir. |
Merhaba, Şirketimin PCI DSS denetimine nasıl hazırlanması gerektiği konusunda bilgi almak istiyorum.