Müşteri verilerini korumak, çevrimiçi ödeme bilgilerini kabul eden tüm işletmeler için kritik öneme sahiptir. Önde gelen kredi kartı şirketleri tarafından oluşturulan Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), tüketicilerin bilgilerini korumak için en iyi uygulamaları belirler. İşletmeler, bu standartlara bağlı kalarak müşterilerinin kişisel ve finansal bilgilerinin güvende olmasını sağlayabilir.
PCI DSS güvenlik standartları, kredi kartı bilgilerini işleyen, depolayan veya ileten tüm işletmeler için geçerlidir. PCI DSS’ye uyulmaması, kredi kartı şirketlerinin yüksek maliyetli para cezalarına ve yaptırımlara maruz kalmasına neden olabilir. Ayrıca, herhangi bir işletme için yıkıcı olabilecek müşteri güveni kaybına da yol açabilir.
PCI DSS 4.0, Mart 2022’de piyasaya sürüldü ve Mart 2025’te mevcut PCI DSS 3.2.1 standardının yerini alacak. Bu, kuruluşların 4.0 ile uyumlu olması için üç yıllık bir geçiş dönemi sağlıyor.
Standardın en son sürümü, gözden kaçan ancak kritik öneme sahip bir güvenlik alanına yeni bir odak noktası getirecektir. Uzun bir süre, şirketin sunucularında veya ikisi arasında değil, müşterinin bilgisayarında meydana gelen güvenlik olaylarını ve ihlallerini içeren istemci tarafı tehditler göz ardı edildi. Ancak bu, PCI DSS 4.0’ın piyasaya sürülmesiyle değişiyor. Şimdi, birçok yeni gereksinim şu noktalara odaklanıyor: istemci tarafı güvenlik.
Örneğin, 6.3.2 gereksinimi artık şirketlerin, ortamlarına gömülü üçüncü taraf yazılımları da dahil olmak üzere tüm yazılımlarını tanımlamasını ve listelemesini zorunlu kılıyor. Gereksinim 6.3.3, mevcut güvenlik yamalarını ve güncellemelerini kullanarak bilinen güvenlik açıkları için güncellemeler gerektirir. Gereksinim 6.4.1, işletmeleri halka açık web uygulamalarıyla ilişkili yeni tehditleri ve güvenlik açıklarını ele almaya ve bilinen tüm tehditleri ele almaya yönlendirir.
Ek olarak, gereksinim 6.4.2, halka açık otomatik web uygulamalarının web tabanlı saldırıları algılamak ve önlemek için doğru şekilde yapılandırılması gerektiğini belirtir. Ayrıca yapılandırmaların aktif olarak çalışıyor olması, güncel olması ve saldırıları engelleyebilmesi veya olası bir sorunu belirten uyarılar oluşturabilmesi gerektiğini belirtir. Son olarak, gereksinim 6.4.3, kuruluşların bir müşterinin tarayıcısına yüklenen ve yürütülen tüm komut dosyalarına yetki vermesini gerektirir.
Ek olarak, 11. ve 12. bölümlerin, dış ve iç güvenlik açıklarını belirleme, önceliklendirme ve ele alma ve ağ izinsiz girişlerini ve beklenmeyen dosya değişikliklerini algılama ve bunlara yanıt verme dahil olmak üzere istemci tarafı güvenliği üzerinde etkileri vardır.
PCI DSS 4.0’a dahil edilen gereksinimler, iyileştirmeye yardımcı olmak için çok şey yapabilir istemci tarafı güvenlik. Web uygulaması güvenlik duvarları gibi geleneksel güvenlik kontrolleri bazı çevrimiçi tehditlere karşı koruma sağlasa da, müşterinin tarayıcısını kapsamaz. Sonuç olarak, gelişmiş gözden geçirme kötü amaçlı yazılımları, tedarik zinciri saldırıları, yandan yükleme ve zincirleme yükleme saldırıları genellikle tespit edilememekte ve işletmeleri savunmasız bırakmaktadır.
iken bir içerik güvenliği politikası uyumluluğun sağlanmasına yardımcı olabilir, otomasyon olmadan bir tane oluşturmak ve sürdürmek ancak web uygulamalarınız ve web sitesi kullanımınız sabit kalırsa mümkündür. Dinamik ortamlarda, bir CSP sıklıkla başarısız olur ve işleyen bir çözümün olmaması nedeniyle neden başarısız olduğunu belirlemek imkansız olabilir.
Yaklaşan PCI DSS 4.0’a uyum sağlamak için işletmelerin değişiklik yapmaya başlaması gerekiyor. Bu, hangi web varlıklarına sahip olduklarını ve nereden geldiklerini bulmayı, kodu incelemeyi ve PCI 4.0 tarafından belirlenen en iyi uygulamaları takip etmeyi içerir. Bu, kullanımda olan binlerce komut dosyası satırına sahip büyük işletmeler için sorun teşkil edebilir. Bu şirketler için, kod satırlarını incelemek ve etiketlemek için zaman ayırmak binlerce saat alabilir.
Bu doğrultuda işletmeler, PCI 4.0 uyumluluğu konusunda kendilerine yardımcı olacak modern güvenlik çözümlerini kullanmayı düşünmelidir. Otomatik içerik güvenlik politikaları tüm birinci taraf ve üçüncü taraf komut dosyalarını, dijital varlıkları ve erişebilecekleri verileri algılayabilir. Daha sonra ilgili içerik güvenlik politikaları oluşturabilirler. Kuruluşlar ayrıca, örneğin kullanarak kart sahibi verilerinin dışa aktarılmasını engellemek gibi yetkisiz veya istenmeyen web etkinliklerini durdurabilir. izleme ve yönetim araçları.
PCI DSS’nin 4.0 sürümündeki değişiklikler, çevrimiçi işletmelerin müşteri verilerinin güvenliğini sağlamak için ek adımlar atması gerektiği anlamına gelir. Uyumluluk eğrisinin bir adım önünde olmak isteyen şirketler, saldırganlar bunları istismar etmeden önce yaygın istemci tarafı güvenlik risklerini ele almak da dahil olmak üzere değişiklikler yapmaya şimdiden başlamalıdır.
