PCI-DSS, Payment Card Industry Data Security Standards anlamına gelir. Adından da anlaşılacağı gibi PCI-DSS; banka ya da kredi kartı verilerini toplayan, depolayan ve ileten şirketler tarafından yerleştirilen güvenlik politikalarını, önlemleri ve protokolleri standartlaştırmaya çalışır.
PCI-DSS, en güvenilir ve popüler ödeme kartı şirketleri tarafından (Visa, Mastercard, Discover Financial Services, American Express ve JCB International) oluşturulan özel bir konsey olan PCI-SSC’nin uygulamasıdır. Bu konseyin amacı, ödeme kartı endüstrisi veri güvenliği standartlarının (PCI-DSS) “devam eden gelişimini” yönetmektir.
PCI-DSS, işletmelere bunlara uymaları için kapsamlı standart ve yapılandırılmış yönergeler sağlar. Kartı sahibi verilerini her zaman güvende tutmak için gereken özellik, çerçeve, araç ve önlemleri içerir.
İlgili İçerik: Online Virüs Taraması Nasıl Yapılır?
PCI DSS Güvenlik Taraması Nedir?
PCI-DSS uyumluluğu, şirketinizin PCI SSC tarafından önerilen minimum güvenlik gereksinimlerini karşıladığını ifade eder. Üç aylık dahili ve harici güvenlik taraması, işletmenizin PCI-DSS uyumluluğu için minimum gereksinimlerinin bir parçasıdır.
PCI-DSS uyumluluğu, bir sızma testi ile birlikte yılda en az 4 dahili tarama ve 4 harici tarama gerektirir. Bir PCI güvenlik taraması iki amaca hizmet eder. Birincisi, temel PCI-DSS gereksinimlerinin bir parçası olarak sizi uyumluluğa yaklaştırır. İkincisi, uyumluluğunuzu tehlikeye atabilecek veya işletmenizin yanı sıra müşterilerinize başka şekillerde zarar verebilecek güvenlik açıklarını tanımlar.
PCI-DSS Uyumluluk Gereksinimleri
PCI-DSS uyumluluğunu karşılamak için PCI SSC (Payment Card Industry Standards Council) tarafından ortaya konan 12 gereksinim aşağıdaki şekildedir:
- Müşteri kredi kartı verilerini korumak için güvenlik duvarı yapılandırmasını koruyun.
- Satıcılar tarafından ayarlanan ve verilen parolaları varsayılan olarak kullanmayın.
- Müşterilerin kredi kartı bilgilerini koruyun.
- Genel ağlarda müşterilerin kredi kartı bilgilerini şifreleyin.
- Virüsten koruma yazılımı kullanın ve bu yazılımın sürekli güncellendiğinden emin olun.
- Güvenli sistem ve uygulamalar geliştirin ve sürdürün.
- Kredi kartı bilgilerine, bilinmesi gerekenler bazında sınırlı erişim verin.
- Bilgisayar erişimi olan herkes için benzersiz kimlikler sağlayın.
- Müşteri kredi kartı verilerine fiziksel erişimi kısıtlayın.
- Ağ ve kredi kartı verilerini düzenli olarak test edin ve izleyin.
- Güvenlik sistem ve süreçlerinizi düzenli olarak test edin.
- Tüm çalışanlar için veri güvenliğini ele alan politikalar sürdürün.
PCI DSS Güvenlik Taramasına Sahip Olmanın Avantajları Nelerdir?
Her üç ayda bir veya yazılımda büyük bir değişiklik olduğunda PCI uyumluluk taraması yaptırmanın avantajları oldukça fazladır. Bu avantajlar aşağıdaki şekildedir:
- Güvenlik açıklarını bulup düzelterek müşterilerinizin verilerini korurken işletmenizin PCI DSS uyumluluğu elde etmesine yardımcı olmanıza olanak tanır.
- Etrafta gizlenen güvenlik riskleri olmadan operasyonlarınızı sağlıklı şekilde yürütebilirsiniz.
- Güvenlik konusunda proaktif davranarak işinizi kesinti süresinden kurtarırsınız.
- Güvenlik standartlarını sağlamadığınız için cezalandırılmanın getirdiği kayıplardan kurtulursunuz.
- SOC2 ve HIPAA gibi diğer uyumluluk denetimlerine hazırlanırsınız.
Sonuç olarak, ödeme kartı verilerini topladığınız ve işlediğiniz başarılı bir işi, üç ayda bir PCI uyumluluk taraması olmadan yürütemezsiniz.
PCI DSS Güvenlik Taraması Yaptırmadan Önce Göz Önünde Bulundurmanız Gerekenler
PCI DSS güvenlik taraması yaptırmadan önce göz önünde bulundurmanız gerekenler aşağıdaki şekildedir:
1. Tarama Kapasitesi
Tarayıcı, web uygulamaları, ağ cihazları ve işletim sistemleri dahil olmak üzere farklı platform ve teknolojilerdeki çok çeşitli güvenlik açıklarını tanımlayabilmelidir. Doğru PCI uyumluluğu güvenlik açığı tarayıcısı, kod enjeksiyonlarından XSS’ye (siteler arası komut dosyası çalıştırma) kadar bilinen CVE’lerden, bug bounty raporlarından ve daha fazlasından oluşan geniş bir güvenlik açığı veri tabanına sahip olmalıdır.
2. Tespitte Doğruluk
Tarayıcı, çok sayıda yanlış pozitif oluşturmadan güvenlik açıklarını belirlemede yüksek bir doğruluk oranına sahip olmalıdır. İdeal bir tarayıcı sıfır yanlış pozitif sağlar. Bu, elde edilen güvenlik açığı taraması raporunun kapsamlı bir şekilde incelenmesiyle yapılabilir.
3. Uyumluluk Standartları
Tarayıcı, PCI DSS, HIPAA vb. çeşitli düzenleyici standartlarla uyumluluğu kontrol edebilmelidir. Ek bir avantaj, uyumluluğa özel bir tarama raporunun oluşturulmasıyla birlikte elde edilen uyumsuzluk alanlarındaki gerçek zamanlı güncellemelere ayrılmış bir gösterge panosuna sahip olmaktır.
4. Deneyim
PCI penetrasyon testi için seçtiğiniz şirketin, PCI-DSS gibi uyumluluk için olduğu kadar GDPR, HIPAA, ISO 27001 ve daha fazlası için de sızma testi deneyimine sahip olduğundan emin olun.
5. Sertifikalar
Sızma testi yapanların, ölçeklenebilir PCI sızma testleri gerçekleştirmeye uygun olmalarını sağlayan gerekli niteliklere sahip olduğundan emin olun.
6. Gider
PCI penetrasyon testi maliyetinin işletmeniz tarafından kararlaştırılan bütçeye uygun olduğundan ve PCI-DSS ile uyumluluk durumunuzu başarıyla sürdürmek için gereken özelliklerle birlikte geldiğinden emin olun.
7. Ölçeklenebilirlik
Tarayıcı, büyük ölçekli ağları, web uygulamalarını ve uyumluluk taramalarını işleyebilmeli ve diğer güvenlik araçlarıyla entegre olabilmelidir. PCI uyumluluğu güvenlik açığı taraması sağlayıcısı, hizmetlerini müşteri organizasyonunun ihtiyaç ve kapsamına göre ölçeklendirebilmelidir.
8. Raporlama
PCI güvenlik tarama hizmetlerinin, yapılan çeşitli test türlerini, uyumsuzluk bulgularını ve bunlar için düzeltme önerilerini içeren ayrıntılı raporlar sağladığından emin olun.
9. İyileştirme
Listelediğiniz PCI uyumluluk tarayıcısının aynı zamanda otomatik düzeltme hizmetleri sağladığından ve sızma testi tamamlandıktan sonra sizi zor durumda bırakmadığından emin olun.
PCI DSS Güvenlik Taraması İçin Kullanabileceğiniz Araçlar
PCI DSS’nin 11. bölümüne göre, işletmenizin her üç ayda bir veya yazılımınızda önemli değişiklikler olduğunda, güvenlik açığı taramalarına ihtiyacı vardır. Bu taramalar, PCI SSC yetkili üçüncü taraf satıcılar tarafından yapılır. Bu taramaları dahili olarak gerçekleştiremezsiniz.
Bu görev için kullandığınız tarayıcı veya VAPT sağlayıcı, denetimin sorunsuz işlemesinde büyük bir rol oynar. PCI uyumluluk taraması için en iyi araçlardan bazıları aşağıdaki şekildedir:
1. Astra Pentest Platform
Astra Security‘nin sunduğu sızma testi platformu, sistemlerinizdeki güvenlik açıklarını bulmaktan daha fazlasını yapan kapsamlı bir sızma testi platformu oluşturmak için otomatik tarama ve manuel sızma testini birleştirir.
Astra’nın pentest kontrol panelini kullanarak güvenlik açıklarını bulundukları anda izleyebilir, geliştiricilerinize atayabilir, durumlarını takip edip güncelleyebilir ve hatta daha iyi bir çözüm bulmak için güvenlik uzmanlarıyla iletişim kurabilirsiniz.
Yeni başlayanlar için, Astra’nın güvenlik açığı tarayıcısı, OWASP ilk 10, SANS 25 ve PCI DSS uyumluluğu kalifikasyonunuzu engelleyebilecek diğer tüm güvenlik açıklarını kapsayan çok geniş bir güvenlik açığı yelpazesi için sistemlerinizi taramak üzere 3000’den fazla test senaryosu çalıştırır.
Astra’nın pentest platformunu uyumluluk taramaları için gerçekten özel kılan şey, panoya yerleşik Pentest Compliance özelliğidir.
Yakın gelecekte bir PCI DSS uyumluluk denetimi yapacağınızı ve hazırlığın bir parçası olarak bir güvenlik açığı taraması yaptırmanız gerektiğini varsayalım. Tek yapmanız gereken site URL’nizi Astra’nın Pentest Platformuna girmek, uyumluluk düzenlemeleri listesinden PCI-DSS’yi seçmek ve bir tarama yapmaktır.
Tarayıcı size PCI DSS uyumluluğunuzu engelleyen belirli güvenlik açıklarını gösterecektir. Bu şekilde, güvenlik açıklarının düzeltilmesi için kaynak tahsisi açısından daha fazla netliğe sahip olabileceksiniz.
2. Cobalt.io
Cobalt.io, çok çeşitli tekliflere sahip sağlam bir pentest aracıdır. Tarama sonuçlarına ve uyumluluk engelleyicilere doğrudan güvenlik açığı yönetimi panosundan erişememeniz dışında, Astra’nınkine oldukça benzeyen belirli bir PCI uyumluluk hizmeti sunar.
Sızma testlerini ortak uyumluluk çerçevelerine uyacak şekilde tasarlarlar. Pentest sırasında bulunan sorunları çözmek için pentest uzmanlarıyla işbirliği de yapabilirsiniz
3. Intruder
Intruder, manuel pentest yetenekleriyle birlikte otomatik bir güvenlik açığı tarama motoruna sahiptir. Bu aracı hem PCI-DSS tarafından zorunlu kılınan harici güvenlik açığı taraması hem de sızma testi için kullanabilirsiniz.
Intruder, basit bir arayüze ve oldukça hızlı çalışan bir tarayıcıya sahiptir. Ancak, uyumluluğa özel bir tarama teklifi yoktur. Bu nedenle, harici pentestlerinizi yaptırmak için güzel bir araç olsa da, uyumluluk hazırlığı açısından size özel bir şey yapamaz.
4. Qualys
Qualys için en büyük avantaj, uyumluluk verilerini denetçiler için kullanılabilir hale getirme şeklidir. Buluttaki tüm BT varlıklarının envanterini çıkarmanıza ve güvenlik durumlarını görüntülemenize yardımcı olur.
Qualys güvenlik açığı tarayıcısı, tüm PCI-DSS gereksinimlerinin %97’sini karşılamanıza olanak sağlar. Ayrıca, PCI uyumluluğu tarama sürecini otomatikleştirmenize olanak tanır. Uyumluluk ihtiyaçlarınız için çok yönlü bir araçtır.
PCI DSS Güvenlik Taramasındaki Adımlar
Sızma testi, belirli bir sırayla izlenmesi gereken birkaç adımı içerir. Bu adımlar aşağıdaki şekildedir:
1. Kapsam belirleme
Kapsam belirleme, kapsamın sızma testi için tanımlandığı sızma testindeki ilk adımdır. Testin kapsamı, test başlamadan önce tanımlanmalıdır. Kapsam, testin sınırlama ve kurallarını belirler.
2. Keşif
Hedef ağ hakkında bilgi toplamayı içerir. Bu adımda toplanan veriler, saldırı vektörlerini belirlemek için kullanılabilir. Bu adım ayrıca hedef ağdaki tüm ana bilgisayarlar ve bunların ilgili hizmetlerinin tanımlanmasını içerir.
3. Kötüye Kullanma
Bu adımda, bilgisayar korsanı hedef sisteme yetkisiz erişim elde etmek için mevcut hizmetlerdeki güvenlik açıklarından yararlanmaya çalışır. Kötüye kullanma, DoS saldırıları, SQL enjeksiyonları veya arabellek taşması gibi birden çok biçimde olabilir.
4. Raporlama
Sızma testinin son adımı, tüm bulguların işletmeye raporlanmasını içerir. Rapor, ağda bulunan güvenlik açıkları, olası etkileri ve bunları düzeltme önerileri hakkında ayrıntılı bilgiler içermelidir.
5. Yeniden Tarama
Güvenlik açıklarının düzeltilmesinden sonra güvenlik açıklarının gerçekten giderildiğinden emin olmak için sızma testinin tekrarlanması gerekir.
Sızma Testi Mi Yoksa PCI DSS Güvenlik Taraması Mı?
PCI Sızma Testi, şu anda PCI-DSS tarafından ileri sürülen ve periyodik olarak gerçekleştirilmezse uyumsuzluğa yol açabilecek temel bir zorunluluktur. PCI-DSS’nin 11. gerekliliği olan “güvenlik sistem ve işlemlerinizin düzenli olarak test edilmesi”, PCI uyumluluğunu sürdürmek için sızma testi ihtiyacını açıkça belirtir.
PCI’ye göre, devreye alınan güvenlik sistem ve süreçlerin penetrasyon testleri yıllık olarak veya her büyük güvenlik güncellemesinden sonra yapılmalıdır. Bununla birlikte, bu, birkaç dezavantajla birlikte gelir.
Yıllık penetrasyon testleri yapmak, sadece belirli bir zaman diliminde güvenlik açıklarının tespit edilmesine yardımcı olabilir. Bu nedenle tüm yıl boyunca koruma, PCI DSS güvenlik taraması ile çok daha kolay elde edilir.
PCI uyumluluk taramaları otomatikleştirilebilir ve güvenlik sistemlerinize entegre edilebilir, böylece herhangi bir güvenlik açığının bir pentest ile olduğundan daha kısa bir süre içinde hemen işaretleneceğini bilirsiniz.
Farklı PCI Uyumluluk Seviyeleri Nelerdir?
PCI uyumluluk seviyeleri 4’e ayrılır:
1. Seviye 1
Seviye 1, yılda 6 milyondan fazla işlem gerçekleştiren ticari işletmeler içindir. Bu tür ticari işletmeler, PCI yetkili denetçilerinden yıllık olarak PCI denetimleri ve sızma testleri talep eder. Bununla birlikte, bu işletmeler ayrıca onaylı bir tarama satıcısından (ASV) periyodik olarak PCI uyumluluğu güvenlik taramaları almalıdır.
2. Seviye 2
Seviye 2, yılda 1- 6 milyon arası işlem yapan ticari işletmeler içindir. Bu işletmeler, bir Self-Assessment Questionnaire (SAQ) kullanarak yıllık bir değerlendirme yapmayı taahhüt eder. Ayrıca, her üç ayda bir PCI taraması gerekebilir.
3. Seviye 3
Bu sonraki seviye PCI uyumluluğu, her yıl toplam kart işlem hacmi 20.000 ile bir milyon arasında olan kuruluşlar için uygulanır. İlgili SAQ’yu göndererek yıllık bir değerlendirmeyi tamamlamaları gerekir. Üç ayda bir PCI taraması da gerekebilir.
4. Seviye 4
Son olarak, seviye 4 PCI uyumluluğu, yılda 20.000’den az banka veya kredi kartı işlemi gerçekleştiren işletmeler için ayrılmıştır. Bu şirketler, ilgili SAQ’yu ve ayrıca üç ayda bir PCI taramasını kullanarak yıllık bir değerlendirme yapmak zorundadır.