PCI DSS, büyük kredi kartı şirketleri tarafından 2004 yılında oluşturulmuş bir dizi güvenlik standardıdır. Çünkü ödeme işlemlerini gerçekleştiren uygulamalar, tahmin edilebileceği gibi, bilgisayar korsanları ve kötü niyetli kişiler için oldukça cazip hedeflerdir.
İçindekiler
PCI DSS’in temel amacı; kredi ve banka kartı işlemlerini güvence altına alarak yalnızca bankaların ve ödeme kartı sektörünün zararlarını önlemek değil, aynı zamanda tüketici güvenini ve emniyetini artırmaktır. Bu, kart verilerinin gizliliğini, bütünlüğünü ve doğruluğunu koruyan bir dizi güvenlik kontrolü ile sağlanır. Bu uyumluluk standardı; kredi kartı verilerini depolayan, işleyen veya ileten tüm kuruluşlar için geçerlidir. NIST gibi yalnızca uyulması tavsiye edilen bir çerçevenin aksine, PCI DSS’e kesinlikle uymanız zorunludur.
PCI DSS Gereksinimleri
PCI DSS, altı ana kontrol hedefi altında gruplanmış 12 gereklilikten oluşur ve kredi kartı verilerini işleyen, saklayan veya ileten tüm kuruluşların güvenli bir ortam sağlamasını temin eder. Uyumluluk, kart sahibi bilgilerini korumaya ve genel güvenlik önlemlerini güçlendirmeye yardımcı olur.
Hedef 1: Güvenli bir ağ oluşturma
Kural 1: Bir güvenlik duvarı kurun ve bakımını yapın
Kural 2: Sağlayıcının varsayılan parolalarını veya yapılandırmalarını kullanmayın
Hedef 2: Kart sahibi verilerini koruyun
Kural 3: Saklanan kart sahibi verilerini koruyun
Kural 4: İletilen kart sahibi verilerini şifreleyin
Hedef 3: Bir güvenlik açığı yönetim programı sürdürün
Kural 5: Kötü amaçlı yazılımlardan koruyun
Kural 6: Güvenli sistemler geliştirin ve sürdürün
Hedef 4: Erişim kontrolünü yönetin
Kural 7: Kart sahibi verilerine erişimi kısıtlayın
Kural 8: Kart sahibi verilerine erişimi olan herkesi benzersiz bir şekilde tanımlayın
Kural 9: Kart sahibi verilerine fiziksel erişimi kısıtlayın
Hedef 5: Ağları izleyin ve test edin
Kural 10: Kart sahibi verilerine tüm erişimi izleyin ve izleyin
Kural 11: Test sistemi güvenliği
Hedef 6: Bir bilgi güvenliği politikası sürdürün
Kural 12: Kuruluş içinde bir bilgi güvenliği politikası oluşturun ve uygulayın
Ayrıca, işlenen yıllık kredi/banka kartı işlemleri sayısına bağlı olarak dört uyum düzeyi de vardır. Sınıflandırma, kuruluşun uyumlu kalmak için ne yapması gerektiğini belirler:
Seviye 1: Yılda 6 milyondan fazla işlem - Gereksinim: Yetkili bir PCI denetçisi tarafından yürütülen yıllık iç denetim. Ayrıca, PCI taramasını Onaylı bir Tarama Satıcısı (ASV) tarafından üç ayda bir tamamlamaları gerekir.
Seviye 2: Yılda 1-6 milyon işlem- Gereksinim: Öz Değerlendirme Anketi (SAQ) kullanarak yıllık bir değerlendirmeyi tamamlayın. Üç ayda bir PCI taraması gerekebilir.
Seviye 3: 20.000-1 milyon işlem/yıl- Gereksinim: Yıllık öz değerlendirme ve potansiyel olarak üç aylık bir PCI taraması.
Seviye 4: Yılda 20.000'den az işlem - Gereksinim: Yıllık öz değerlendirme ve potansiyel olarak üç aylık bir PCI taraması.
PCI DSS Uyumluluğu Neden Önemlidir?
Kuruluştaki herkes uyumun sürdürülmesinde rol oynar. CISO'larla en üstte başlar ve ardından SecOps ve DevOps ekiplerine uzanır. İdeal bir DevSecOps dünyasında, her iki ekip arasında güvenlik sorumluluğu hiyerarşisi yoktur; birbirleriyle birlikte çalışırlar. SecOps, DevOps ekiplerinin ne yapmaları gerektiğini anlamalarına yardımcı olmalı ve geliştiriciler bunu uygulama düzeyinde uygulamalıdır.
12 PCI DSS gereksiniminin ardından, sürekli uyumun nasıl bir ekip çalışması olduğuna dair birkaç örnek:
Kural 6: Geliştiriciler, güvenliği göz önünde bulundurarak sistemler oluşturmalıdır
Kural 8: Kimlik ve erişim yönetimi, her kullanıcıya benzersiz bir kullanıcı kimliği gerekliliği atamalıdır
Kural 9: Fiziksel güvenlik departmanı, bina ve sunucu odalarına erişimin kontrol edilmesini sağlamalıdır
Kural 10: Güvenlik işlemleri, kart sahibi verilerine erişimi kaydetmek ve izlemek için günlüklerin oluşturulduğundan emin olmalıdır
Kural 11: Operasyon ve geliştirme ekipleri, sunucuları ve yazılımı test etmek için birlikte çalışmalıdır
Kural 12: Yönetim, bilgi güvenliği ve uyumun işletmelerinde ulaşılması gereken seviyesini ayrıntılı olarak ortaya koyan politika ve ilgili belgeleri geliştirmelidir.
Yani, kısacası uyumlu kalmak herkesin sorumluluğudur. Bu sadece kurumun genel iyiliği için değil; uygulamanızı başlattıktan sonra binlerce acil uyarı almadan güvenle, verimli şekilde geliştirme ve dağıtım yapabilmeniz için de önemlidir.
Dediğimiz gibi, asıl sorumluluğunuz uygulama düzeyindedir. Bu; güvenli kaynak kodu kullanmayı, CI/CD hattınızda doğru yapılandırmaları sağlamayı ve daha fazlasını içerir. Aklınıza şu gelebilir: Peki ama bunu nasıl bileceğim? İyi haber şu ki, bir güvenlik veya uyum uzmanı olmanıza gerek yok; tıpkı bir kesik üzerine yara bandı yapıştırmak için beyin cerrahı olmanıza gerek olmadığı gibi. Buradaki esas nokta, doğru kaynakları bilmek ve uygulamak (örneğin, yara üzerine peçete yapıştırmak yerine yara bandı kullanmak gibi).
Yanlış yapılandırmalardan kaçınmak için bulut servis sağlayıcınızın (CSP) dokümantasyonunu inceleyebilirsiniz. Ancak, tüm bu bilgileri okumak çok zaman alıcı olabilir. Sizin için bu durum söz konusuysa, otomasyonlu bir güvenlik çözümü kullanmanızı (kesinlikle tavsiye etmek yerine) öneririz.
Aklınıza gelen ilk ihlal muhtemelen 106 milyon kredi kartı başvurusunun ifşa edildiği Capital One hack olayıdır. Bu olay, uygulama açıkları nedeniyle gerçekleşmiş ve ABD düzenleyicileri tarafından verilen 80 milyon dolarlık bir cezaya yol açmıştır. Şimdi başka bazı veri ihlallerine ve bunların PCI DSS kurallarına göre nasıl önlenebileceğine bakalım.
Hobby Lobby
2021’in başlarında, Hobby Lobby hacklendi. Boogeyman rumuzlu bağımsız bir araştırmacı, ihlali tespit etti. Araştırmacı, Amazon Web Services (AWS) üzerinde herkese açık bir veritabanı buldu. Bu veritabanında 300.000’den fazla Hobby Lobby müşterisine ait hassas bilgiler vardı. Veritabanı 138 GB büyüklüğünde olup, müşteri isimleri, adresler, telefon numaraları ve kısmi kart bilgileri içeriyordu. Aynı veritabanında şirketin uygulamasının kaynak kodu da yer alıyordu, ki bu tamamen başka bir sorun.
İhlal, herkese açık olarak yapılandırılmış bir bulut veritabanı yüzünden gerçekleşti. Bu, ödeme kartı verilerinin açık bir sunucuda depolandığı için PCI DSS kuralları 3, 7 ve 9'un açık bir ihlalidir. Ayrıca Hobby Lobby, kart sahibi verilerine ve ilgili ağ kaynaklarına erişimin izlenmesini ve takip edilmesini gerektiren 10 numaralı kurala da uymadı. Bu gereklilikler yerine getirilmiş olsaydı, yanlış yapılandırma düzeltilir ve bu olay baştan önlenmiş olurdu.
Macy’s
Büyük bir perakendeci olan Macy’s, Ekim 2019’da bir veri ihlali yaşadı. Bu olayda, My Account cüzdan sayfası üzerinden online ödeme sistemi kullanan müşterilerin kart numaraları, güvenlik kodları ve son kullanma tarihleri ifşa edildi. Macy’s, etkilenen müşteri sayısını açıklamasa da, Nisan ayına kadar ayda 55,7 milyon online ziyaret aldığı biliniyor. Aslında sadece bir müşterinin bilgisinin çalınması bile ciddi bir endişe kaynağıdır.
İhlal, cüzdan ve ödeme sayfalarına zararlı yazılım enjekte eden hedefli bir Magecart saldırısı nedeniyle gerçekleşti. Macy’s’in çok sayıda PCI DSS kuralını ihlal ettiği açıktı ve daha da endişe verici olan, Magecart’ın oldukça bilinen bir tehdit olmasıydı. Aslında Macy’s, aynı yıl FILA, Ticketmaster, British Airways ve diğerlerinin de dahil olduğu birçok mağdurdan sadece biriydi. Büyük perakendecilere yapılan önceki saldırıların, Macy’s’in PCI DSS gereklilikleri doğrultusunda güvenlik denetimleri yapmasını ve açıklıkları gidermesini teşvik etmesi gerekirdi.
Scott Sargeant, Trend Micro’da Ürün Yönetimi Başkan Yardımcısıdır ve siber güvenlik ile BT alanında kurumsal düzeyde çözümler sunma konusunda 25 yılı aşkın deneyime sahip köklü bir teknoloji lideridir.