PCI Standartları Güvenlik Konseyi (PCI SSC), bu hafta PCI Veri Güvenliği Standardına (PCI DSS) yönelik en son güncellemeyi yayınladı. Konu hassas kart sahibi verilerinin korunması olduğunda perakendeciler ve finans kuruluşları için altın standart olan PCI DSS v4.0, standardın odağını sonuca dayalı gereksinimlere kaydırıyor.
Standardın bir önceki sürümü olan v3.2.1’in 2018’de yayınlanmasından bu yana çok şey değişti. Salgının körüklediği çevrimiçi işlemler ve satış noktası (PoS) makinelerinin kullanımı hızla arttı, teknoloji gelişti ve bulut platformlar, kart sahibi verilerini depolamak için yaygın olarak kullanılmaktadır. Saldırganlar ayrıca ödeme sektörünü hedef alan taktiklerini de geliştirdiler.
PCI DSS 4.0’daki Yeni Neler Var?
12 çekirdekli PCI DSS gereksinimleri, PCI DSS v4.0 ile temelden değişmedi ve ödeme kartı verilerinin güvenliğini sağlamak için kritik temel olmaya devam ediyor. Ancak gereksinimler, güvenlik kontrollerinin nasıl uygulanması gerektiğine rehberlik etmek için güvenlik hedeflerine odaklanmak üzere yeniden tasarlandı.
PCI DSS v4.0 için temel üst düzey hedefler şunlardır:
- Standardın ödemeler sektörünün güvenlik ihtiyaçlarını karşılamaya devam etmesini sağlayın.
- Güvenliği sağlamak için esneklik ve ek metodolojilerin desteğini ekleyin.
- Güvenliği sürekli bir süreç olarak teşvik edin.
- Doğrulama yöntemlerini ve prosedürlerini geliştirin.
PCI DSS 4.0, uyumluluk için mevcut kuralcı yöntemi korusa da, yeni sürüm, uyumluluğu karşılamak için alternatif bir seçenek sunar: özelleştirilmiş uygulama. Özelleştirilmiş uygulama, hedefin amacını dikkate alır ve kuruluşların bunu karşılamak için kendi güvenlik kontrollerini tasarlamasına olanak tanır. Bu değişiklik, işletmelerin uygulama prosedürlerini değiştirmesine ve gereksinim amacını karşılamasına olanak tanıyacaktır.
Daha Güçlü Kimlik Doğrulama Gereksinimleri
Kimlik ve erişim yönetimi (IAM), kart sahibi verilerinin korunmasında çok önemli bir rol oynar ve standardın yeni sürümü bunu kabul eder.
PCI DSS 4.0, Dijital kimlikler hakkında NIST kılavuzu kimlik doğrulama ve yaşam döngüsü yönetimi için. Ödeme endüstrisi yavaş yavaş buluta geçtiğinden, ödeme ve erişim girişlerini kontrol etmek için daha güçlü kimlik doğrulama standartları gereklidir. PCI DSS 4.0 şunları dikkate alır:
- Yalnızca kart sahibi verileri ortamına erişen yöneticiler için değil, kart sahibi verilerine erişimi olan tüm hesaplar için çok faktörlü kimlik doğrulama (MFA) kullanımı.
- Uygulamalar ve sistemler tarafından kullanılan hesapların şifreleri, en az 12 ayda bir ve güvenlik açığı şüphesi olduğunda değiştirilmelidir.
- Uygulamalar ve sistemler tarafından kullanılan hesaplar için sayısal ve alfabetik karakterler dahil en az 15 karakter içermesi gereken güçlü parolaların kullanılması. PCI DSS, olası parolaların bilinen hatalı parolalar listesiyle karşılaştırılmasını gerektirir.
- Erişim ayrıcalıkları en az altı ayda bir gözden geçirilmelidir.
- Satıcı veya üçüncü taraf hesapları yalnızca gerektiğinde etkinleştirilebilir ve kullanım sırasında izlenebilir.
PCI DSS 4.0 standardı, sıfır güven zihniyetiyle oluşturulmuştur ve kuruluşların veri güvenliği düzenleme gereksinimlerini karşılamak için kendi benzersiz, takılabilir kimlik doğrulama çözümlerini oluşturmalarına olanak tanır. Aynı zamanda, kimlik doğrulama yöntemleri, şirketin işlem hedeflerine ve risk ortamına uyacak şekilde ölçeklenebilir. Son olarak, PCI SSC, aşağıdakilerin kullanımını uygulamak için Europay, Mastercard ve Visa ile ortaklık kurmuştur. 3DS Çekirdek Güvenlik Standardı işlem yetkilendirme sırasında.
Veri Şifrelemenin Genişletilmiş Uygulanabilirliği
En son standart, kart sahibi verilerini şifrelemek için daha geniş uygulanabilirliği göz önünde bulundurur ve artık güvenilir ağlarda genişler. Ayrıca, açık metin birincil hesap numaralarının (PAN) tüm kaynaklarını ve konumlarını bulmak için veri keşfi gereksinimi, en az 12 ayda bir ve kart sahibi verileri ortamında veya süreçlerinde önemli değişiklikler yapıldığında daha sık olacaktır. Gerekçe, kötü niyetli kodun finansal kurumların karşılaştığı en büyük sorunlardan biri olmasıdır. Kod ağa yerleştirildiğinde, kart sahibi veri iletimi yoluyla bilgi alınabilir.
PCI DSS 4.0’a özelleştirilmiş uygulama yaklaşımının tanıtılması, işletmelere daha fazla esneklik sağlar. Kuruluşlar artık standart tarafından öngörülen yöntemleri izlemeye veya külfetli bir telafi edici kontrol uygulamaya zorlanmazlar ve belirli bir PCI DSS hedefinin amaçlanan sonucunu elde eden çözümleri seçmeye ve uygulamaya odaklanabilirler. Şifreleme ile birleştirilmiş etkili IAM ve MFA, hassas kart sahibi verilerini ve çevrimiçi ödemeleri korumak için sıfır güven güvenliğinin ardındaki kapsayıcı ilkedir.
PCI DSS 4.0’a Zaman Çizelgesi
Standardın v4.0 güncellemeleri tüm kuruluşlar için hemen yürürlüğe girmez. PCI DSS’nin dünya genelinde benimsenmesini desteklemek için, standart ve değişiklik özeti birkaç dile çevrilecek ve bu çeviriler, önümüzdeki birkaç ay içinde, şimdi ile Haziran 2022 arasında yayınlanmak üzere ayarlanacak.
Yeni sürüme geçiş söz konusu olduğunda, PCI SSC, “PCI DSS v3.2.1, v4.0 yayınlandıktan sonra iki yıl boyunca etkin kalacaktır” diyor. 31 Mart 2024’te sona eren bu geçiş dönemi, kuruluşlara değişikliklere aşina olmaları, raporlama şablonlarını ve formlarını güncellemeleri ve güncellenen gereksinimleri karşılamak için değişiklikleri planlamaları ve uygulamaları için zaman tanır. O zaman, PCI DSS v3.2.1 kullanımdan kaldırılacak ve v4.0 standardın tek etkin sürümü olacak.