Ödeme Kartları Sektörü Veri Güvenliği Standardı(PCI DSS), online satış yapan ve müşterilerin kredi ve banka kartı bilgilerini kullanan işletmeler için en kapsamlı bilgi güvenliği standartlarını oluşturuyor. PCI Güvenlik Standartları Konseyi(PCI SSC) ise işletmelerin veri geliştirme, depolama, yayma ve güvenliği ele alma biçimini geliştirmekten ve buna göre standartları iyileştirmekten sorumlu. Bu sebeple PCI SSC zaman zaman yeni güncellemeler yayınlayarak işletmelerin bu alanlardaki uygulamalarını geliştirmelerini ve PCI uyumlu olduklarından emin olmalarını sağlıyor.
PCI DSS 3.0’ın 2013’te piyasaya sürülmesinden bu yana, PCI Güvenlik Standartları Konseyi yoğun bir çalışma içerisindeydi. Yayınlanmasından bir yıldan biraz daha uzun bir süre sonra, konsey PCI DSS 3.1’i yayınladı ve ardından Nisan 2015’te SSL ve TLS 1.0’ın risklerini vurgulayan “SSL’den Geçiş ve Erken TLS Bilgi Eki” de dahil olmak üzere birkaç yeni şablon ve ek yayınladı. Ek, işletmeler için bir geçiş süreci tanımladı ve 1 Temmuz 2016’ya kadar geçiş için bir son tarih belirlemiş oldu.
SSL’nin ödeme sektöründe çok yaygın olarak kullanılması nedeniyle, bu geçiş tarihi işletme sahiplerinde endişe yarattı. PCI Güvenlik Standartları Konseyi buna duyarsız kalmadı ve Nisan 2016’da, geçiş son tarihini 2018’e uzatan PCI-DSS 3.2’yi yayınladı.
Geçtiğimiz yılda standartları takip ettiyseniz, PCI DSS v4.0’ın yolda olduğunu biliyor olabilirsiniz. Yeni sürüm için yorum talebi(RFC) dönemi Kasım 2019’da kapandı ve konsey 2022’nin ilk çeyreğinde v4.0’ı yayınlamayı planlıyor. Çoğu PCI güvenlik kontrolü on yıldan eski olduğu ve 2015’ten beri standartlarda büyük değişiklikler yapılmadığı için, sektörün bu yayınlanacak sürümden beklentisi oldukça fazla. Hâlâ incelemeden geçiyor olsa da, PCI DSS v4.0’ın taslağı üzerinden bizleri bekleyen yenilikleri incelemek mümkün.
Yeni Sürümde İşletmeleri Neler Bekliyor?
Parolalar ve çok faktörlü kimlik doğrulama ile ilgili çeşitli revizyonlar yeni sürümün ana başlıklarından. Çok faktörlü kimlik doğrulamanın yalnızca yöneticiler için değil, kart sahibi verilerine erişimi olan tüm hesaplar için zorunlu hale getirilmesi planlıyor. Güvenliği arttırmak için en az 15 karakter, hem sayısal hem de alfabetik karakterler içeren parolalar tercih edilecek ve olası bir veri sızıntısı ihtimaline karşı, uygulama ve sistemlerde kullanılan parolaların 12 ayda bir değiştirilmesi gerekecek. Sisteme erişimi olan hesaplar altı ayda bir gözden geçirilecek ve satıcı veya üçüncü taraf hesaplar yalnızca gerektiğinde etkinleştirilebilir hale getirilecek.
Risk değerlendirmesi gereksinimi yeni sürümdeki önemli başlıklardan bir diğeri. Organizasyonların bu gereksinimi PCI DSS uyumluluğu için atlanması gereken bir basamak olarak görmesinin önüne geçmek isteyen konseyin, risk değerlendirmesi gereksinimini işletmelerin risk yönetimi sürecinde kullanabilecekleri bir rehbere dönüştürmesi bekleniyor.
Zararlı kod içeren yazılımlar finans sektörünün en büyük problemlerinden bir tanesi. Kod sisteme yerleştikten sonra, kart sahibi verilerini ele geçirmek mümkün. Sonuç olarak, kart sahibi verilerinin güvenliğiyle ilgili standartların iyileştirilmesi için baskı gün geçtikte artıyor. PCI DSS’in bu sürümde kullanıcıların kredi kartı numaralarının 12 ayda bir taranması gibi daha iyi uygulamalarla siber saldırılara daha hazırlıklı olması bekleniyor.
Benzer şekilde, son kullanıcıların eğitim gereksinimlerinin, e-dolandırıcılık saldırıları ve sosyal mühendislik dahil olmak üzere kart sahibi verileri ortamının güvenliğini etkileyebilecek mevcut tehditler ve güvenlik açıkları hakkında daha fazla bilgi içerecek şekilde geliştirileceği tahmin ediliyor. Kart sahibi verileri ortamını izleme gereksiniminin ise yeni nesil ağ ve uç nokta algılama araçlarının kullanılabilirliği gibi teknolojideki gelişmeleri yansıtacak şekilde güncellenmesi bekleniyor. Yeni sürümün satıcılar ve hizmet sağlayıcıları tarafındaysa e-dolandırıcılık girişimlerini tespit etmek için belli mekanizmalara sahip olmak zorunluluk haline gelebilir.
Bir önceki sürüm, uyumlulukla ilgili oldukça katı kurallara sahipti. PCI DSS v4.0’ın ise uyumlulukta daha esnek kurallara sahip, işletmelerin kendi kontrollerini tasarlamalarına ve gereksinimlerin amacına göre uygulamalarına olanak tanıyan, kişiselleştirmeye açık bir sürüm olması öngörülüyor. Böylece şirketlere yeni teknolojileri ve güvenlik çözümlemelerini benimsemeleri için daha fazla alan tanınmış olacak, işletmeler standardın gündemi yakalamasını beklemek zorunda kalmayacaklar. Yeni sürümün taslağı aynı zamanda bulut hosting gibi farklı teknolojileri de destekliyor. Kuruluşlar ayrıca, güvenilir ağlar dahil olmak üzere herhangi bir aktarım üzerinden kart sahibi verilerinin şifrelenmesinin genişletilmesi gibi yeni kontrol gereksinimleri bekleyebilecekler.
PCI DSS v4.0’ın Gelişimi ve Yayınlanma Süreci
Toplulukla daha iyi iletişimde kalıp geri dönütleri alabilmek adına konsey, PCI DSS v4.0’ın yayın tarihini 2022’nin ilk çeyreği olarak hedefliyor. Bu zaman dilimi içerisinde yeni sürümün taslağı üzerinden ek bir yorum talebi(RFC) de toplanacak. Revizyonun önemi nedeniyle, taslak standardın bir önizlemesi, yayınlanmak üzere nihai hale getirilmeden önce Katılımcı Kuruluşlara, Nitelikli Güvenlik Değerlendiricilerine(QSA’lar) ve Onaylı Tarama Sağlayıcılarına(ASV’ler) iletilecek. Önizleme döneminin amacı, resmi olarak yayınlanmadan önce paydaşlara standardın 4.0 sürümüne alışmaları için ek süre tanımak.
Konseyin planına göre Katılımcı Kuruluşlar, QSA’lar ve ASV’ler için önizlemenin Ocak 2022’de tamamlanması planlanıyor. Standardın son sürümleri, doğrulama belgeleri ve standardın ilk çevirileri ile birlikte Mart 2022’de resmi olarak yayımlanacak. QSA’ların ve ISA’ların PCI DSS v4.0’ı destekleyebilmeleri için eğitimin ise Haziran 2022’de yapılması hedefleniyor.
Aşağıdaki güncellenmiş PCI DSS v4.0 zaman çizelgesinde doğrulama belgeleri için ek yorum talebi, PCI SSC paydaşları için önizleme dönemi ve PCI DSS v4.0’ın yayınlanması için planlanan zaman gibi detayları incelemek mümkün.
Yeni Sürüme Geçiş Nasıl Olacak?
Güncellenen zaman çizelgesi, kuruluşların PCI DSS v3.2.1’den PCI DSS v4.0’a güncelleme yapabilmesi için bir geçiş dönemi de içeriyor. Bu geçişi desteklemek için PCI DSS v3.2.1, tüm PCI DSS v4.0 materyalleri -standart, destekleyici belgeler (SAQ’lar, ROC’ler ve AOC’ler dahil), eğitim ve program güncellemeleri- yayınlandıktan sonra 18 ay boyunca etkin kalacak.
Bu geçiş dönemiyle kuruluşların v4.0’daki değişikliklere aşina olmalarına, raporlama şablonlarını ve formlarını güncellemelerine ve güncellenen gereksinimleri karşılamak için değişiklikleri planlamalarına ve uygulamalarına olanak tanınması amaçlanıyor. Geçiş döneminin tamamlanmasının ardından, PCI DSS v3.2.1 kullanımdan kaldırılacak ve v4.0 standardın tek etkin sürümü olacak. Aşağıdaki zaman çizelgesinde PCI DSS v4.0’a geçiş süreciyle ilgili detayları görmek mümkün.
Referanslar
https://blog.pcisecuritystandards.org/updated-pci-dss-v4.0-timeline
https://ermprotect.com/blog/pci-dss-v4-0-what-you-need-to-know-now/
https://www.ispartnersllc.com/blog/pci-dss-version-4-0-launching-2020/
https://www.connect-converge.com/pci-dss-4-0-is-coming-will-you-be-ready/