Gözlemlenebilirlik Çözümleri

PCI DSS Regülasyonu İçin Yapılması Gerekenler Neler?

PCI DSS Regülasyonu İçin Yapılması Gerekenler Neler?

Son zamanlardaki veri ihlalleri, yüksek miktarda para kayıplarına sebep olan bilgisayar korsanlığı olayları ve yetersiz siber güvenlik raporları, ödeme ve para kuruluşlarının müşterilerinde güvensizlik oluşturmaya başladı. Veritabanlarında ve bulutlarda depolanan kişisel veriler müşteriler için önemli bir risk haline geldi.

Müşterilerin kişisel verilerinin gizliliğini riske atmadan kolayca ödeme işlemlerini yapmalarını sağlayan güvenli ödeme ağları oluşturmak, finansal veri güvenliğinin kritik bir parçası.

PCI DSS, tam da bu noktada, banka ve kredi kartı bilgilerini korumaya yönelik kurallar getirerek bu endişeleri gidermek için tasarlandı.

Peki PCI DSS Nedir?

2006 yılında en büyük beş ödeme sistemleri markasının (Visa, MasterCard, American Express, Discover ve JCB) ortak girişimi olarak Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) oluşturuldu. Kredi kartı, nakit kart ve banka bilgilerinin işlenmesi, iletilmesi ve saklanması amacıyla tüm kişisel verilerin ve bilgilerin güvenliğini optimize etmeyi ve kart sahiplerini kişisel bilgilerinin kötüye kullanımına karşı korumayı amaçlayan bir dizi politika ve prosedür sunuldu. Bağımsız bir kurum olan Güvenlik Standartları Konseyi (PCI SSC) tarafından oluşturulan ve denetlenen PCI DSS’in amacı, tüketici bilgilerini korumak için açık bir standartlar seti oluşturmak, ödeme kartı işlemlerinin güvenliğini artırmak ve kredi kartı sahtekarlığını azaltmaktır.

PCI DSS Sertifikası Neden Önemlidir?

Büyüklüğünden ve sektörden bağımsız olarak kredi, banka veya nakit kartı bilgileriyle ilgilenen tüm kuruluşlar için geçerlidir.

Müşterilerin kişisel bilgilerini ortaya çıkaran bir veri ihlalinin, bir kuruluş üzerinde ciddi yansımaları olur. Yaşanan bir ihlal, kuruluşların yüklü miktarda para cezasına maruz kalmasına, yıllar süren ve itibar zedeleyen davalara, azalan satışlara ve ve en önemlisi ciddi şekilde zarar gören bir imaja sebep olur.

Bir ihlal yaşadıktan sonra, bir işletmenin kredi kartı işlemlerini durdurmasına veya güvenlik uyumluluğunun ilk maliyetinden daha yüksek bedeller ödemesine zorlanır.

PCI DSS Uyumlu Olmanın Avantajları:

  • Müşterinin kart verilerini korur ve veri ihlal riskini azaltır.

  • Hem fiziksel hem de ağ tabanlı saldırıları tespit etmenize ve önlemenize yardımcı olur.

  • Ödemeler için kart ödemelerini kullanarak müşterinin güvenini artırır.

  • Takip etmeniz için bir güvenlik standardı sunar.

  • Operasyonel verimliliği artırır.

  • Veri ihlali maliyetini azaltır.

  • Veri ihlali durumunda yaşayacağınız güven kaybına karşı itibarınızı korur.

PCI DSS Uyumluluk Seviyeleri

PCI DSS'in 12 Gereksinimi

PCI SSC, kart sahibi verilerini işlemek ve güvenli bir ağ sürdürmek için 12 gereksinim belirlemektedir. 6 ana hedef ve alt başlıklar ile bir işletmenin uyumlu hale gelmesi için gerekli olan prosedürleri tanımlamaktadır.

Güvenli Ağ

1. Bir güvenlik duvarı yapısı kurulmalı ve sürdürülmelidir.

Network Configuration Manager operasyonel verimliliği artırmak için güvenlik duvarı etkinliklerini otomatikleştirmenize olanak tanır. Güvenlik bağlamlarını keşfedin, yapılandırma dosyalarını yedekleyin ve geri yükleyin, Erişim Kontrol Listelerini (ACL’ler) keşfedin, görselleştirin ve denetleyin. Firmware upgrade işlemlerini kolayca yönetin.

2. Sistem parolaları orijinal olmalıdır. Vendor tarafından sağlanan default şifreler mutlaka değiştirilmelidir.

Network Configuration Manager ile kullanıcılar, sistem parolaları ve güvenlik parametreleri dahil olmak üzere ağ cihazı yapılandırmalarında kolayca toplu değişiklikler yapabilir.

Güvenli kart sahibi verileri

3. Saklanan kart sahibi verileri korunmalıdır.

SolarWinds Access Right Manager, hassas verilere erişimi izleyerek ve yöneterek risk altındaki verilerin korunmasına ve veri sızıntılarının önlenmesine yardımcı olur. ARM üzerinde izinlerin görselleştirilmesi ve activity log kayıtları, risk altındaki verileri tanımlamayı kolaylaştırır.

4. Kart sahibi verilerinin genel ağlar üzerinden iletimleri şifrelenmelidir.

Kart sahibinin hassas verileri ve kimlik doğrulama bilgileri, açık, genel ağlar üzerinden aktarım sırasında şifrelenmelidir.

Güvenlik açığı yönetimi

5. Anti-virüs yazılımı kullanılmalı ve düzenli olarak güncellenmelidir.

SolarWinds Patch Manager, Microsoft® sunucuları, workstations ve üçüncü taraf yazılım uygulamaları için yazılımların yamalanmasını otomatik hale getirir. Patch Manager ile kullanıcılar yazılım bütünlüğünü kolayca doğrulayabilir.

6. Güvenli sistemler ve uygulamalar geliştirilmeli ve sürdürülmelidir.

SolarWinds Server Configuration Monitor, sunucu ve uygulamalar üzerinde yapılan değişiklikleri takip eder, kimlerin hangi değişiklikleri gerçekleştirdiğini loglar ve raporlar.

Giriş kontrolü

7. Kart sahibi verilerine erişim, bir iş için bilinmesi gerekenler bazında sınırlandırılmalıdır.

PCI DSS’ye göre kimin erişime sahip olduğuna karar verilirken en az ayrıcalık ilkesi uygulanmalıdır. Bu fikir, verilere erişimi yalnızca ihtiyaç duyanlarla ve yalnızca ihtiyaç duydukları sürece kısıtlar. Erişim, bir kişinin yükümlülükleri ve bilgi gereksinimleri tarafından belirlenmelidir.

8. Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atanmalıdır.

ARM, Active Directory®, Exchange™, SharePoint® ve dosya sunucularına kullanıcı erişim haklarının yönetimini ve denetlenmesini sağlayarak güvenlik yapısını iyileştirmeye ve içeriden gelen tehditleri azaltmaya yardımcı olur. ARM ile kullanıcılar, kullanıcı ve cihazların erişimlerini, izinlerini ve yetkilerini en az ayrıcalık ilkesine (principle of least privilege) göre denetleyebilir. Uyumluluğu göstermek için tasarlanmış özel raporlar dakikalar içinde kolayca oluşturulabilir.

9. Kart sahibi verilerine fiziksel erişim kısıtlanmalıdır.

Tüm veri ve sistemlere fiziksel olarak erişim kısıtlanmalıdır.

Ağ izleme ve test etme

10. Kart sahibi verilerine ve ağ kaynaklarına erişim izlenmelidir.

ARM, izinlerin görselleştirilmesi, raporlanması, alarm üretilmesi ve activity logları aracılığıyla ağ kaynaklarına ve kart sahibi verilerine erişimin izlenmesine yardımcı olur.

11. Güvenlik sistemleri ve süreçleri düzenli olarak test edilmelidir.

SolarWinds, ağınızı izlemek ve olası siber güvenlik olaylarına karşı korunmaya yardımcı olmak için hem bulut (SolarWinds Threat Monitor) hem de şirket içi (SolarWinds Log & Event Manager) SIEM araçları sunar. Her ikisi de neredeyse gerçek zamanlı olay korelasyonu, otomatik tehdit iyileştirmeleri ve gelişmiş arama ve adli analiz içerir.

Bilgi Güvenliği

12. Kurumlar tarafından Bilgi Güvenliği Politikası devreye alınmalı ve sürdürülmelidir.

Güçlü bir PCI DSS uyumlu güvenlik ilkesi, PCI DSS kapsamındaki altyapınızın güvenliğini sağlamaya yardımcı olur ve çalışanlarınızdan beklenenler için bir standart belirler.

Her çalışanın hassas müşteri verilerinin güvenliği konusunda kendilerinden ne beklendiğini anlamasını sağlamak çok önemlidir. Tüm personel, verilerin hassasiyetinin ve korunmasına yönelik bireysel ve grup sorumluluklarının farkında olmalıdır.

PCI DSS Uyumluluğunu Destekleyen SolarWinds Araçları

Network Configuration Manager

  • Network otomasyonu

  • Network uyumluluğu

  • Network yapılandırma yönetimi

  • Güvenlik açığı değerlendirmesi

  • Cisco ASA ve Cisco Nexus için network içgörüleri

  • Network Performance Monitor ile entegrasyon

Access Right Manager

  • Active Directory’nin İzlenmesi

  • Windows Dosya Paylaşımı Denetimi

  • Microsoft Exchange’in izlenmesi

  • SharePoint erişim izleme ve yönetimi

  • Kullanıcı sağlama ve yönetimi

  • Kullanıcı izinleri analizi

Threat Monitor

  • Sürekli güncellenen tehdit istihbaratı

  • Güvenlik bilgileri ve olay yöneticisi (SIEM)

  • Log korelasyonu

  • Olay arşivini günlüğe kaydetme

  • Network ve host saldırı tespit sistemi

  • Yüksek oranda indekslenmiş günlük arama yetenekleri

Log & Event Manager

  • Uyumluluk raporlama araçları ile entegrasyon

  • Güvenlik olaylarının olay-zaman korelasyonu

  • Otomatik tehdit iyileştirme

  • Gelişmiş arama ve adli analiz

  • Dosya bütünlüğü izlemesi

  • USB aygıt izlemesi

Patch Manager

  • Microsoft WSUS patch yönetimi

  • SCCM ile entegrasyonlar

  • Zafiyet yönetimi

  • Önceden oluşturulmuş/test edilmiş paketler

  • Patch uyumluluk raporları

  • Patch durumu panosu

Security Event Manager

  • Merkezi log toplama ve normalleştirme

  • Otomatik tehdit algılama ve yanıt

  • Entegre uyumluluk raporlama araçları

  • Sezgisel kontrol paneli ve kullanıcı arayüzü

  • Dahili dosya bütünlüğü izleme

Server Configuration Monitor

  • Windows ve Linux’ta temel sunucu ve uygulama yapılandırmaları

  • Belirlenen seviyeden sapmalar durumunda gerçek zamanlı olarak alarm verme ve raporlama

  • Sunucularda veya uygulamalarda yapılandırma değişikliklerini kimlerin yaptığını görme

  • Mevcut yapılandırmaları önceki sürümlerle karşılaştırma

  • Yapılandırma değişikliklerini performans metrikleriyle ilişkilendirme

  • Sunucu donanım ve yazılım envanterini izleme

Bu blog yazısını sosyal medyada paylaşın!

Facebook
LinkedIn
X

Başlıklar

Peki PCI DSS Nedir? ➝

PCI DSS Sertifikası
Neden Önemlidir? ➝

PCI DSS Uyumlu
Olmanın Avantajları: ➝

PCI DSS Uyumluluk
Seviyeleri ➝

PCI DSS'in
12 Gereksinimi ➝

Güvenli Ağ ➝

Güvenli kart
sahibi verileri ➝

Güvenlik açığı
yönetimi ➝

Giriş kontrolü ➝

Ağ izleme ve
test etme ➝

Bilgi Güvenliği ➝

PCI DSS Uyumluluğunu
Destekleyen SolarWinds
Araçları ➝
PCI DSS Regülasyonu hakkında daha fazla bilgi için bizimle iletişime geçin!
HAKTAN SAVAŞ

Share
Published by
HAKTAN SAVAŞ
Tags: Finans
2 yıl ago

Recent Posts

Irisity ile Havalimanı Güvenliğinde Yeni Dönem

Irisity ile Proaktif Havalimanı Güvenliği! Modern havalimanları, sadece yolcu taşıma merkezleri değil aynı zamanda yüksek…

2 saat ago

Neden Zabbix Yönetilen Hizmet Olarak Tercih Edilmeli?

Neden Zabbix Yönetilen Hizmet Olarak Tercih Edilmeli? Zabbix, güçlü bir açık kaynaklı izleme çözümüdür. Ancak…

3 gün ago

Zabbix Agent Nedir? Agent ve Agent 2 Arasındaki Farklar

Zabbix Agent Nedir? Agent ve Agent 2 Arasındaki Farklar Son dönemlerde izleme çözümleri denince akla…

3 gün ago

Hassas Verilerinizi Nasıl Koruyabilirsiniz?

Hassas Verilerinizi Nasıl Koruyabilirsiniz? Hassas Veri Nedir? Hassas veri, yetkisiz erişim, ifşa, değişiklik veya yok…

4 gün ago

Servis Odaklı İzleme (Service Monitoring) Nedir?

Servis Odaklı İzleme (Service Monitoring) Nedir? Servis Odaklı İzleme yaklaşımı ya da bir diğer adıyla…

6 gün ago

Imperum ile Siber Güvenlik Operasyonlarında Fark Yarat!

Imperum ile Siber Güvenlik Operasyonlarında Fark Yarat! Giderek karmaşıklaşan tehdit ortamında SOC ekiplerinin hız ve…

6 gün ago