Haziran 2021’de, Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC), aşağıdakiler için Q1 2022’yi hedeflediğini açıkladı. Veri Güvenliği Standardının (DSS) v4.0 sürümü. Visa, Mastercard, American Express, Discover, JCB International veya UnionPay’den ödeme kabul eden herhangi bir şirketin, müşterilerinin kart verilerini güvence altına alma standardına uyması gerekecektir. Bu nedenle, yeni sürümde nelerin olabileceği konusunda çok fazla ilgi var.
Yaklaşan standardın ayrıntıları henüz açıklanmasa da, beyaz etiketli ödeme işlemcisi E-Complish tanımlandı En çok beklenen değişikliklerden biri olarak “sürekli bir süreç olarak güvenliği teşvik etmek”.
PCI DSS v4.0’da Sürekli Güvenlik?
Bu değişikliği öngören tek kişi E-Complish değildi. BT yönetişim birliği ISACA’da Gelişen Eğilimler Çalışma Grubunun bir üyesi olan teknoloji riski uzmanı Gaurav Deep Singh Johar, PCI DSS v4.0’da neler beklendiğini takip ediyor. PCI’ya gönderilen binlerce yorum ve geri bildirim parçasını göz önünde bulundurarak, o da, sürekli güvenlik denetimi ve raporlamasını benimsemek için zamana dayalı denetimlerden uzaklaşma eğilimini tahmin ediyor.
“Standart, kuruluşların güvenlik eşiklerini raporlamak için izledikleri mevcut metrikleri kullanmalarına izin verebilir” diye açıklıyor. “Birçok kuruluş halihazırda PCI DSS, SOC2, ISO27001 vb. gibi güvenlik standartlarının mevcut sürümleriyle uyumludur ve teorik olarak kuruluşlar, yeni PCI DSS standardı kapsamındaki bazı sertifika gereksinimlerini desteklemek için mevcut uyumluluk verilerini yeniden kullanabilir.”
Johar, bu eğilimlerin PCI’nın standardını en son 2018’de güncellemesinden bu yana işlerin ne kadar değiştiğini yansıttığını söylüyor. O zamandan beri birçok kuruluş verilerinin ve uygulamalarının bir kısmını buluta taşıdı ve dijital dönüşümün COVID-19 sonrasında büyük bir odak alanı olması nedeniyle standartlar kuruluşu bu değişikliği hesaba katmaya hazırlanıyor olabilir.
Johar, “Standartın eskisinden daha fazlasını karşılaması gerekiyor” diyor. “Bu, yalnızca kuruluşlara özgü veri merkezi ortamları için değil, aynı zamanda bulut tabanlı hizmetler ve sunucusuz bilgi işlem ortamları vb. için de geçerlidir. Günümüzün kontrollerinin bugünün gereksinimlerini karşılaması gerekir. Daha esnek olmaları ve bunu farklı şekilde yapmaları gerekir.”
Günümüzün PCI DSS’si ile Sürekli Güvenlik Nasıl Başlatılır
PCI DSS v4.0, piyasaya sürüldükten sonra sürekli uyumluluğun nasıl sağlanacağı konusunda kendi rehberliğini taşıyacaktır. Ancak kuruluşların süreci başlatmak için o zamana kadar beklemelerine gerek yok.
Fintech şirketi Profinch Solutions’da bilgi güvenliği ve CISO’dan sorumlu başkan yardımcısı olan ISACA küresel danışmanı Chetan Anand, sürekli uyumun sağlam bir temel oluşturmakla başladığını açıklıyor.
“Her şeyden önce, sürdürülebilir bir güvenlik programı geliştirmeli ve sürdürmelidir. Bu, PCI DSS’nin amacının kart sahibi verilerini hırsızlıktan veya kart sahibi verilerinin uygunsuz şekilde ifşa edilmesinden kaynaklanan zararlardan korumak olduğunun anlaşılmasını gerektirir” diyor. “Bu, ödeme zincirindeki herkesi içerir: tüccarlar, hizmet sağlayıcılar, alıcılar, ihraççılar, ödeme markaları ve tüketiciler.”
Anand, kuruluşların sürekli bir PCI DSS uyum programını uygulamada başarılı olmaları için başka bir anahtar: liderlik satın alma, diye ekliyor.
“Gerekli bütçe, insan kaynakları, araçlar, eğitim ve yetkinlik sağlayan farkındalık dahil olmak üzere yeterli kaynaklara sahip olmak, başarılı bir program için temel hususlardır” diyor.
Bu programı uygulamaya geçirdikten sonra, kuruluşlar çabalarını politikalar, süreçler, prosedürler ve kontroller oluşturmaya ve uygulamaya odaklayabilirler. Bunlar, bulutta bu kontrollerin uygulanmasını izlemek için ölçümlerin kullanılmasını içerir.
Johar gibi siber güvenlik hizmetleri firması ITC Secure için güvenlik danışmanı ve sanal CISO olan Neil Lappage, “Sürekli uyumluluğu sağlamanın etkili bir yolu, güvenlik kontrollerinin bilinen bir temel veya şablona göre uyumluluğunu izleyen bulut tabanlı güvenlik hijyeni araçlarıdır” diyor. ISACA Gelişen Trendler Çalışma Grubu üyesi. “Yönetim açısından bakıldığında, gerçek zamanlı panolar, PCI DSS uyumluluk durumunu temel performans göstergelerine göre görselleştirmeye yardımcı olur ve sonuç olarak paydaşlara güvence sağlar.”
Kuruluşlar daha sonra bu ölçümleri, önceki güvenlik olaylarından öğrendiklerine göre kontrollerini uyarlamak için kullanabilirler.
Enterprise’a Geçiş
Sürekli güvenlik izleme ve eşik raporlama ile kuruluşlar, işletme güvenliğini ileriye dönük uygulamalarının önemli bir unsuru haline getirebilirler.
Güvenliği sürekli bir süreç olarak desteklemek, nihayetinde Johar’ın öngördüğü başka bir değişikliği destekler.
“PCI, kapsamını bir bütün olarak kuruluşları korumak için genişletiyor olabilir” diyor. “Kuruluşların yalnızca ödeme kartı sahibi verilerini güvence altına almaktan, işletmeyi genel olarak korumaya geçebilmeleri için herhangi bir güvenlik standardının buna yönelik olması gerekiyor.”