Ve PCI DSS v4.0 yayımlandı. 

PCI Güvenlik Standartları Konseyi, 31 Mart 2022 tarihinde yeni versiyonu ilan etti. 1 Ocak 2021’de kullanımına başlanan PCI DSS v3.2.1’i takiben v4.0, ortaya çıkan tehditleri ve teknolojileri daha verimli bir şekilde ele alıyor ve güncel tehditlerle mücadele için yenilikçi yollar sunuyor.

Bu yazımızda, PCI DSS v4.0’ın uygulanması için bilmemiz gereken ana noktaları gözden geçireceğiz.

PCI DSS v4.0’ın Uygulanması

PCI DSS’in her iki versiyonu, organizasyonlara değişiklik yapabilmelerine olanak tanıyacak şekilde, 31 Mart 2024’e kadar geçerli. v3.2.1, anılan tarihten sonra kullanımdan kaldırılacak olup, yerine v4.0 geçecek. Bu tarihe kadar, organizasyonlar değişiklikleri gözden geçirebilecek ve v4.0’a sorunsuz bir geçiş sağlamak için gerekli eylemleri uygulayabilecek. 

PCI DSS v4.0’da, 13’ü hemen yürürlüğe girecek 64 yeni gereksinim var. Kalan 51 gereklilik, 31 Mart 2025’e kadar örnek uygulama olarak kabul edilecek ve o tarihten itibaren PCI uyumluluğu arayan tüm kuruluşlar için geçerli olacak. 

Sözkonusu 51 gereklilik 31 Mart 2025’e kadar değerlendirmelerin bir parçası olmamakla beraber, gerekli değişiklikler için bu tarihten çok önce hazırlanılmasını ve uygulanmaya başlanmasını tavsiye ediyoruz.

PCI DSS v4.0 Uygulama Çizelgesi

PCI DSS v4.0 Değişiklikleri Nasıl Düzenlendi?

PCI DSS v4.0’ın planlanması 2017’de başladı. Ancak, genellikle 1 yılda tamamlanan yeni sürüm, yaklaşık 200 şirketin 6000’den fazla yorumuyla, 2022 yılında nihai hale geldi. 

Bu kapsamlı geri bildirim, v4.0 sürümünün, aşağıdaki 4 ana hedefin belirlenmesiyle sonuçlandı.

     I. Güvenliğin, devamlı bir süreç olarak teşvik edilmesini teminen:

  • Her gereksinim için rol ve sorumlulukların dağılımı koşulu getirildi,
  • Güvenliğin uygulanması ve muhafazasını daha anlaşılır kılmak için rehberlik eklendi,
  • Yeni raporlama seçeneğiyle, iyileştirilecek alanlar vurgulandı ve raporu gözden geçirenlere şeffaflık sağlandı.

     II. PCI DSS Standardının, değişen tehditler ışığında, ödeme sektörünün güvenlik ihtiyaçlarını karşılamaya devam etmesini sağlamak üzere:

  • Cari tehditler bağlamında, e-ticaret ve oltalamaya yönelik yeni standartlar uygulandı,
  • Çok faktörlü kimlik doğrulama gereksinimleri sıkılaştırıldı,
  • Şifre gereksinimleri güncellendi.

     III. Organizasyonların güvenlik hedeflerine farklı yöntemleri kullanarak ulaşabilmesini teminen esnekliği artırmak için:

  • Grup, ortak hesaplar ve genel hesaplar için izin gereksinimi getirildi,
  • Belirli eylemlerin hangi sıklıkta yürütülebileceğinin netleştirilebilmesi için hedefli risk analizi gereksinimi ilave edildi,
  • Güvenlik hedeflerine ulaşmak için organizasyonların yeni yöntemler kullanmasına imkan tanıyan Yeni ve Özelleştirilmiş yaklaşım seçeneği sunuldu.

     IV. Doğrulama yöntemlerini ve prosedürlerini zenginleştirmek için ise, AoC’de özetlenen bilgiler ile Uyumluluk Raporu veya SAQ’de yer alan bilgilerin benzerliği artırıldı.

PCI DSS v4.0 Yeni Yaklaşımları

v4.0, aşağıda özetlendiği üzere, PCI DSS’yi uygulamak ve doğrulamak için “Tanımlanmış” ve “Özelleştirilmiş” iki farklı yaklaşım seçeneği içeriyor.

Tanımlanmış Yaklaşım: PCI DSS’yi uygulamak ve doğrulamak için kullanılan geleneksel yöntem:

  • Mevcut PCI DSS gerekliliklerini ve test prosedürlerini takip eder.
  • Mevcut gereksinimlerle uyumlu güvenlik uygulamalarına sahip organizasyonlar için uygundur.
  • Güvenlik hedeflerine nasıl ulaşılacağı konusunda yön gösterir.

Özelleştirilmiş Yaklaşım: Organizasyonların, “Tanımlanan” gereksinimleri takip etmeksizin, kontrolleri uygulayarak hedeflere ulaşabildiği yeni yöntem:

  • Her PCI DSS gereksiniminin hedefine odaklanır.
  • Organizasyon, hedefe ulaşmak için kontrolleri belirler ve uygular.
  • Bir gereksinimin güvenlik hedefine ulaşmak için farklı yollar izleyen organizasyonlara daha fazla esneklik sağlar.
  • Sağlam güvenlik süreçleri ve güçlü risk yönetimi uygulamalarına sahip organizasyonlar için uygundur.

PCI DSS v4.0’ın Diğer Kaynakları

Güncellenmiş PCI DSS standardına ek olarak, PCI SSC Belge Kitaplığında yayımlanan destekleyici belgeler aşağıdakileri içerir:

  • PCI DSS Değişikliklerin Özeti v3.2.1 – v4.0
  • v4.0 Uyumluluk Raporu (ROC) Modeli
  • ROC Uyumluluk Sertifikaları (AOC) ve ROC
  • Sıkça Sorulan Sorular

Ayrıca, önümüzdeki birkaç ay boyunca PCI Konseyi, Öncelikli Yaklaşım Araçları ve Hızlı Başvuru Kılavuzları dahil, ilave belgeler, eğitim materyalleri ve kurslar yayımlayacak.

Sonuç

PCI DSS v4.0, güvenlik standartlarını güncel koşullara, esneklik katarak uyarlıyor. Son yıllarda yoğunlaşan ve yaygınlaşan dijitalleşmeye koşut olarak güvenliğe tek seferlik veya anlık değil, devamlı bir süreç olarak yaklaşıyor. Benzer şekilde, artan e-ticaret işlemlerinin güvenliğine yönelik koşullar getiriyor.

Üye işyerleri, diğer üçüncü taraflar ve sizin güvenliğinizin devamlı olarak takibi, PCI DSS v4.0’a uyumluluğunuz ve çözümlerimiz hakkında bizimle iletişime geçebilirsiniz.

Kaynakça:

https://www.pcisecuritystandards.org/documents/PCI-DSS-v4-0-At-A-Glance.pdf?agreement=true&time=1651138800032

https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss#agreement

https://www.freepik.com/free-vector/shield-lock-credit-card-isometric-icon-isolated-vector-illustration-protection-safety-online-payment-symbol_12089310.htm