İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

PCI DSS 4.0 2023'te Neden Gündemimizde Olmalı?


Çevrimiçi ödeme bilgilerini kabul eden tüm işletmeler için müşteri verilerini korumak kritik öneme sahiptir. Önde gelen kredi kartı şirketleri tarafından oluşturulan Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), tüketicilerin bilgilerini korumak için en iyi uygulamaları (best practices) belirler. İşletmeler, bu standartlara bağlı kalarak müşterilerinin kişisel ve finansal bilgilerinin güvende olmasını sağlayabilir.

PCI DSS güvenlik standartları, kredi kartı bilgilerini işleyen, depolayan veya ileten tüm işletmeler için geçerlidir. PCI DSS'ye uyulmaması, kredi kartı şirketlerinin yüksek maliyetli para cezalarına ve yaptırımlara maruz kalmasına neden olabilir. Ayrıca, herhangi bir işletme için itibar sorununa neden olabilecek müşteri güveni kaybına da yol açabilir.

PCI DSS 4.0, Mart 2022'de piyasaya sürüldü ve Mart 2025'te mevcut PCI DSS 3.2.1 standardının yerini alıyor olacak. Bu, kuruluşların 4.0 ile uyumlu olması için üç yıllık bir geçiş dönemi sağlamaktadır.

Standardın en son sürümü, gözden kaçan ancak kritik öneme sahip bir güvenlik alanına yeni bir odak noktası getirecektir. Uzun bir süre, şirketin sunucularında veya müşterinin bilgisayarında meydana gelen güvenlik olaylarını ve ihlallerini içeren istemci tarafı tehditler göz ardı edildi. Bu durum PCI DSS 4.0’da ele alındır.  Artık birçok yeni gereksinim, istemci tarafı güvenliğe odaklanmaktadır.

Örneğin, 6.3.2 gereksinimi artık şirketlerin, ortamlarına gömülü üçüncü taraf yazılımları da dahil olmak üzere tüm yazılımlarını tanımlamasını ve listelemesini zorunlu kılıyor. Gereksinim 6.3.3, mevcut güvenlik yamalarını ve güncellemelerini kullanarak bilinen güvenlik açıkları için güncellemeler gerektirir. Gereksinim 6.4.1, işletmeleri halka açık web uygulamalarıyla ilişkili yeni tehditleri ve güvenlik açıklarını ele almaya ve bilinen tüm tehditleri ele almaya yönlendirir.

6.4.2, halka açık otomatik web uygulamalarının web tabanlı saldırıları algılamak ve önlemek için doğru şekilde yapılandırılması gerektiğini belirtir. Ayrıca yapılandırmaların aktif olarak çalışıyor olması, güncel olması ve saldırıları engelleyebilmesi veya olası bir sorunu belirten uyarılar oluşturabilmesi gerektiğini belirtir. Son olarak, gereksinim 6.4.3, kuruluşların bir müşterinin tarayıcısına yüklenen ve yürütülen tüm komut dosyalarına yetki vermesini gerektirir.

Ek olarak, 11. ve 12. bölümlerin, dış ve iç güvenlik açıklarını belirleme, önceliklendirme ve ele alma, ağ izinsiz girişlerini ve beklenmeyen dosya değişikliklerini algılama ve bunlara yanıt verme dahil olmak üzere istemci tarafı güvenliği üzerinde etkileri vardır.

PCI DSS'nin 4.0 sürümündeki değişiklikler, çevrimiçi işletmelerin müşteri verilerinin güvenliğini sağlamak için ek adımlar atması gerektiği anlamına gelir. Uyumluluk eğrisinin bir adım önünde olmak isteyen şirketler, saldırganlar bunları istismar etmeden önce yaygın istemci tarafı güvenlik risklerini ele almak da dahil olmak üzere değişiklikler yapmaya şimdiden başlamalıdır.

Kaynak: The Hacker News