Nedir bu PCI-DSS ?
PCI-DSS (Payment Card Industry Data Security Standard) aslında basit bir konu.Sadece gereksinimleri biraz fazla.Sistemdeki bütün detayları didik didik etmeye bayılıyor.Korkacak bir şey yok.Bir kere rayına girdimi , gerisi çok kolay geliyor.Burada basitçe maddelerin üzerinden geçelim.Tabiki de PCI-DSS daha kapsamlı.
PCI Gereksinimleri :
1 – Kart Sahibi Verilerini Korumak için Güvenlik Duvarı Kurun ve Bakımını Yapın: Düzgün şekilde yapılandırılmış güvenlik duvarları, özel bilgileri güvende tutmada oldukça etkilidir; bu nedenle, iş yerlerinin güvenli bir güvenlik duvarı yapılandırmasına sahip olmaları ilk gereksinimdir.
2 – Uygun Parola Koruması: Çoğu yönlendirici, modem, satış noktası sistemi (POS) ve diğer üçüncü taraf ürünleri kapsamakta.Tahmin edilmesi kolay veya internette yayınlanan fabrika varsayılan kullanıcı adı ve parola ile gelir. İkinci gereksinimi karşılamak için işletmeler yalnızca parola ayarlarını değiştirmekle kalmamalı, aynı zamanda parola gerektiren tüm cihaz ve yazılımların bir listesini tutmalı ve bu parolaları sık sık değiştirmelidir.
3 – Kart Sahibi Verilerini Koruyun: Kart sahibi verilerinin iki kat korunması listedeki en önemli gerekliliktir. Satıcılar, kart sahibi verilerini belirli algoritmalarla şifrelemeli, ardından şifrelenmemiş veri bulunmadığından emin olmak için düzenli taramalar gerçekleştirmelidir.
4 – İletilen Verileri Şifreleyin: Üçüncü gereksinime benzer şekilde, üye iş yerleri, genel ağlar üzerinden iletildiğinde kart sahibi verilerini güvenceye almalıdır.
5 – Antivirüs Yazılımını Kullanın ve Bakımını Yapın: Birincil hesap numaralarıyla (PAN’lar) etkileşime giren iş istasyonları, dizüstü bilgisayarlar ve mobil cihazlar dahil tüm cihazlar için antivirüs yazılımı gereklidir. Antivirüs yazılımı, bilinen kötü amaçlı yazılımları tespit etmek için düzenli olarak güncellenmelidir.
6 – Düzgün Güncellenen Yazılım: Güvenlik duvarları, antivirüs yazılımı, veritabanları, POS terminalleri ve daha fazlası, güvenlik açıklarını yamalamak için sürekli güncellemeler gerektirir. Sistemler ve uygulamalar zamanında güncelleyerek açıklardan yararlanma olasılığını sınırlamalıdır.
7 – Veri Erişimini Kısıtlama: Kart sahibi bilgilerine erişim olanağı, münhasıran “bilinmesi gerekenler” temelinde olmalıdır. Bu verilere erişmesi gerekmeyen personel, yöneticiler ve üçüncü şahıslar bu verilere sahip olmamalıdır.
8 – Erişim için Benzersiz Kimlikler: Bilgisayar erişimine yetkili her kullanıcının kendi benzersiz kullanıcı kimliği ve parolası olmalıdır. Bu, hassas verilere erişim izni verilen kişiler için sorumluluk sağlar ve bir veri ihlali durumunda müdahale süresini azaltır.
9 – Fiziksel Erişimi Kısıtlayın: Kart sahibi verileri, kilitli bir kabine sahip güvenli bir oda gibi fiziksel olarak güvenli bir yerde tutulmalıdır. Hassas verilere erişim sınırlandırılmalıdır.
10 – Erişim Günlükleri Oluşturma ve Sürdürme: Günlük girişleri, kart sahibi verilerini ve birincil hesap numaralarını (PAN’lar) içeren tüm etkinlikler için gereklidir. Tüm sistemler, şüpheli etkinlikleri aramak için günlüklerin sürekli olarak gözden geçirildiği doğru bir denetim ilkesine sahip olmalıdır.
11 – Güvenlik Sistemlerini Düzenli Olarak Test Edin: Güvenliğin sürdürüldüğünden emin olmak ve güvenlik sisteminin herhangi bir noktasındaki olası zayıflıkları belirlemeye yardımcı olmak için tüm sistemler ve süreçler sık sık test edilmelidir. En iyi güvenlik sistemleri bile arızaya, insan hatasına veya eskiyen güvenlik açıklarına tabidir. Sürekli test bu sınırlamaları bulabilir.
12 – Belge İlkeleri: PCI DSS gereksinimlerini içeren tüm sistemler, yazılımlar ve yetkili çalışan günlükleri belgelenmelidir.
PCI Gereksinimleri (Biraz Detay) :
Domain 1 :
– Burada daha çok sorulan Firewall/Network katmanları oluyor.Sisteme yetkisiz erişimleri önlemek ve ağ içi güvenliği sorguluyor.
En başından başlamak gerekirse Firewall tarafında yapılan değişikliklerin bir ticket sisteminde kayıtlı olarak durduğunu denetlemek ile başlıyor.Mesela Firewall’un versiyonunu güncelleyeceksiniz.İyi güzel güncelleyeceksiniz de öyle update tuşuna basalım güncellensin mi diyorsunuz.Pratikte yapılan iş bu fakat , PCI didiklemeyi sevdiği için bunu kayıt altına al ve nasıl güncellediğini bana anlat diyor.Hangi tarihte nasıl güncelledin merak ediyorum diyor.Bu tabi iş sürekliliği konusunuda etkiliyor.İleride bunu da sorgulayacak.
PCI’ın network katmanından başladığına şaşırmamak lazım.Ne de olsa en önemli katman.Bütün data önce firewall’dan geçer.
– Gelelim Firewall’da wireless kullanmaya.Kullanmıyorsanız kapalı ise sorun yok.Ama wireless destekli bir firewall kullanıyosanız ve bu aktif ise işte o zaman bu kullanım detaylarınıda açıklamak ve güvenliğini almak zorundasınız.
– Firewall tarafında bulunan policyler neler , static route varmı , NAT varmı , içerideki sistemler her yere açıkmı , açık ise neden açık , kullanılmayan kurallar – IP’ler – Portlar varmı , DMZ kullanıyor musun gibi gibi bir çok noktayı sorguluyor tabiki de.Böyle açıklar var ise hemen kapatın , çok kızar.
– Firewall’daki kullanıcıları sorgulamadan olmaz tabi.Kimlerin eriştiği önemli.Sadece yetkili kullanıcıların tanımlı olduğuna dikkat edin.
– Anti-spoof – IPS/IDS kullanmalısınız.Bu Firewall içerisinde de olabilir ayrı bir sistemde de olabilir.Ama muhakkak kullanmalısınız.Basitte olsa WAF’ta kullanmalısınız.
– Bu domain de bir de antivirus konusu sıkışmış.İleride daha detaylı göreceğiz.Antivirus bir sistem kullanmalısınız tabi.Kimse network’üne virus bulaştırmak istemez.Antivirus sisteminizi güncel tutmaya özen gösterin.
Domain 2 :
-Burada Sunucular , kurulumları ve çalışan uygulamalar üzerinde biraz yoğunlaşılmış.Firewall’unuz ne kadar güvenli olursa olsun Sunucularınız da güvenli olmak zorunda tabikide.
Sunucularda ki local kullanıcılarınız neler.Yoksa kolay tahmin edilebilir veya default kullanıcılarımı tutuyorsunuz.Hemen değiştirin.Özellikle local admin kullanıcılarını şuan değiştirin.Default kullanıcı isimleri tahmin edersinizki herkes tarafından bilinir.
– Sunucu kurulumunuzda bir checklist varmı. Hangi standartlara göre sunucuları kuruyorsunuz.Yoksa direk kurup öyle mi bırakıyorsunuz.Örneklemek gerekirse ;
- Kurulum yapıldıktan sonra default olan admin hesabı ismi ve şifresi değiştirilmelidir.
- Sadece kullanılıcak olan servisler kurulmalı ve açık bırakılmalıdır.
- Hassas olan protokoller ve servisler için ek olarak güvenlik önlemleri alınmalıdır.
- Kötüye kullanımı engellemek için sistem parametreleri üst seviyede yapılandırılmalıdır.
- Gereksiz olan tüm servisler ve parametreler kaldırılmalıdır.
- Her sunucu tek bir görev için atanmış olmalıdır. Örneğin Database ve WEB sunucu aynı sunucu üzerinde olmamalıdır.
- TLS 1.0, TLS 1.1 ve güvenlik seviyesi daha düşük SSL protokolleri disable edilmeli.
Kurulumlarda bu gibi detaylara dikkat edilmesi gerekiyor.Özellikle TLS 1.0-1.1 konusu.PCI tarafı buna çok çok kızıyor. Bazı periodik taramalarında testleriniz bu konuda direk fail olarak çıkıyor.
Domain 3 :
– Çok kritik bir domain.Burada kart datası saklıyormusunuz,saklamıyormusunuz buna bakılıyor.Saklıyor iseniz hangi şartlarda ve prosedürlerde saklıyorsunuz didk didik bakılıyor tabikide.Kart datasında en önemli unsurlarda biri HSM cihazları . HSM cihazları datanızın kriptolojik olarak saklanmasını şifrelenmesini sağlıyor.Elinizde size ait bir key bulunuyor ve bu key ile dataları açabiliyorsunuz.Key kayboldumu geçmiş olsun.Cihazlarda Tamper Protection seçeneği mevcut.Dışarıdan bir müdahale olduğunda cihaz kendini sıfırlayarak dataları güvenli bir şekilde kalmasınıda sağlıyor.Software ve Hardware olarak modelleri mevcut.Performans açısından hardware tercih etmek daha iyi olabilir.
-Kart datası tutmuyorsanız işiniz daha kolay .Data tutmadığınızı kanıtlarsanız burdaki domainden hafif bir şekilde geçebilirsiniz.Logların tutulduğu yerleride kanıtlamanız lazım tabi.
Domain 4 :
-Burada daha çok sisteminiz SSL ile çalışıp çalışılmadığı sorgulanıyor.Güvenilir bir system için tabiki SSL kullanmak şart. TLS olarak artık minimum 1.2 versiyonu kullanılıyor.TLS versiyonlarını 1.2 olarak güncellemeniz gerekiyor.Hatta tarama taraflarında güvensiz olan cipher’larıda kapatılmalı.Yoksa ASV taramalarından geçemeyebilirsiniz.
Domain 5 :
– Antivirus uygulaması konusu burada daha kapsamlı bir şekilde devreye giriyor.Sisteminizde ve clientlarınızda antivirus uygulaması kullanmanız şart.Hangi uygulamayı kullandığınız size kalmış.Çok net bir bilgim olmasada windows içerisindeki defender kabul edilmiyor sanırım.3. party bir anti virus uygulaması isteniyor.Bu uygulama client tarafından kapatılamamalı ve erişim şifre ile korunulmalı.Günlük/haftalık/aylık gibi bazı tarama kuralları olmalı.Çoğu uygulamanın artık bir admin portalı var.Client policyleri buralardan yazıp yönetebiliyorsunuz.Antivirus loglarınıda belirli bir period olarak tutmak gerekiyor.
Domain 6 :
-Burada biraz daha karısık maddeler bulunuyor.Sunucuların kritik güncellemerinin yapılıp yapılmadığı üzerinde duruluyor.Uygulamalarınızı güncellerken iş akışına uygun olarak güncellediğiniz,bunu kayıt altına alıp almadığınız (jira , bug tracker v.s. gibi ) sorgulanıyor.Uygulama güncellerken kullandığınız SVN,Gitlab v.s. gibi toollara bakılıyor.Bu toollar işi kimin yaptığı , metedoloji , kimin güncellediği gibi konular için önemli roller üslenmekte.Network topolojilerine bakılıyor.Networkünüzde WAF sistemini olup olmadığı bakılıyor.
Domain 7 :
-Bu domain’in konusu Active directory,Ldap.Sisteminizde AD yapısı olmalı.Sunucularınızda merkezi bir kullanıcı yönetimi yapısını yönetmek gerekiyor.Her sunucuda ayrı kullanıcılar açıp ayrı şifreler kullanmaya pek sıcak bakılmıyor.Domain and Trust yapısında kullanıcıların şifre politikaları , şifre değiştirme sıklıkları,login-logoff kayıtları daha güvenli olabilir.Domain yapısı kullanılması gerekiyor.Burada Domain yapısındaki kullanıcıların ne gibi haklara ve gruplara sahip olduklarına bakılıyor.Sunuculara bağlanırken bir VPN kullanmanız gerekli tabi.Bu vpn kullanıcıların haklarınıda burada göstermek gerekiyor.
Domain 8 :
-Kapsamlı bir alan olarak karşımıza 8.Domain çıkıyor.Bazı konularda dışarıdan destek almak gerekebilir tabikide.Burada Sisteminize bağlanan ve destek veren 3. Party bir kullanıcının olup olmadığı,bu kullanıcının ne gibi hakları olduğu,gerekli kontrollerden sonra kullanıcının veya kullanıcıların disable edilip edilmediğine bakılıyor.Burada biraz daha yetkileri nasıl belgelendirdiğiniz de sorgulanıyor.Kullanıcı açarken bir yetki formu kullanıp bunları saklıyormusunuz bunlarada bakılıyor.Gereksiz kullanıcıların ve yetkisi kapatılmış kullanıcıların Domaın yapınızda olup olmadığınıda kanıtlamanız gerekmekte.Bu neden ile tüm Active directory yapınızı göstermeniz gerekebilir.Active directory kısmında bıraz daha kapsam burada yer alıyor diyebiliriz.Kullanıcıların şifre değiştiriken oluşturdukları polıtıklalar bu domaınde daha çok sorgulanıyor.Group policy yapınız inceleniyor diyebiliriz.Hesapların şifreleri kompleks olmalı , 90 günde bir değiştirilmeli , kullanıcı 5 kere yanlış şifre girdimi hesabı kitlenmeli gibi güvenlik önlemleri buralarda sorgulanıyor.Servis userları ilede login olmamanız gerekiyor.Kısacası burada Active directory ve Policy yapınız didik didik ediliyor diyebiliriz.Network katmanındakı kullanıcılarda tabi burada daha kapsamlı sorgulanıyor.Örneğin sistemlere bağlanmak için öncelikle VPN yapıyorsanız ve bu VPN de Firewall veya farklı bir system üzerinde ise bunlarıda göstermeniz gerekiyor.Burada birde database kullanıcılarınıza değinilmiş.DB kullanıcılarınızıda göstermeniz gerekmekte.Tabikide kullanıcı hakkında yapılan işlemleri bir ticket sisteminde kayıt altında tutuyor olmanızda gerekiyor.Bunuda göstermelisiniz.
Domain 9 :
-Burası tamamıyla politika prosedür.Ağırlıklı olarak Datacenter tarafında sistemlerinizin nasıl tutulduğu , güvenlik önlemleri , kamera kaydı olup olmadığı, girişlerde ve çıkışlarda nasıl bir yol izlendiği sorgulanıyor.Datacenter tarafı hangi standartlara uyuyor,bu standartlar geçerlimi , aksi bir durumda uygulanacak politika nelerdir , bunlar gibi birçok detaya bakılıyor.Datacenter ziyaretleri ilede kesif yapılarak gerekli denetleme yapılıyor.Datacenter Personelinin kayıtlarının tutulup tutulmadığı sorgulanıyor.
Domain 10 :
-Log sunucusu önemli.Bu domaınde Log sunucusunun işleyişi inceleniyor.Bu sunucu en önemli sunucudur.Bütün loglar bir noktada toplanmalı ve uzun süre saklanmalıdır.Bu sadece PCI tarafında değil bir çok denetimde isteniliyor.Log sunucusuna yetkisiz kişileirin erişimleri engellenmeli,sadece yetkili kişiler erişim logları görebilmelidir.Bu sunucularda log silme söz konusu bile olamaz.Sadece toplanan logları okuyabılırsınız.Admin hesabınız olsa bile log silemezsiniz ki zaten sistemin silmeye izin vermemesi gerekiyor.Eğer Log silebildiğiniz bir sunucunuz varsa değiştirin.Logların bütünlüğünün sağlandığını yani loaglara müdahale edilmediğini kanıtlamanız lazım.Logların ne kadar tutulduğu , hangi logların alındığı , audit loglarının ve bunun gibi kritik sistem loglarının alındığını muhakkak göstermeniz lazım.
Bu domainde FIM (file integrity monitoring) karşımıza çıkıyor.Aslında buna sanırım DLP’de diyebiliriz.Ama DLP tarafında çok daha fazla iş yapabildiğiniz için FIM olan bir sistemde yeterli olacaktır.Kapsamlı bir DLP kullanıyorsanız zaten FIM’e sahipsinizdir.Basic DLP’ler bu ihtiyacı karşılamayabilir.Burada denetlenen bir sistemde kritik olan yerlerde bir dosya değiştirildiğinde , silindiğinde , yada güncellendiğinde bunun logunu tutuyormusun.Dosya güncellemesini kim yapmış bunun cevabini verebiliyormusun diye soruyor.SIEM tarafında bunun alert’ını da tanımlamak gerebilir tabi.PCI Örneğin bir kişi kritik dosya sildiğinde bir bildirim yapıyormusunuz.Kritik bir dosya güncellendiğinde bildirim yapıyormusunuz gibi sorgulamalara değiniyor.
Sistemlerin , sunucuların saat ayarlarına değinilmiş burada.Sistemlerdeki saat ayarlarının değişmemesi ve yöresel ntp sunucusundan ayarların alınması lazım.Sistemin saati değişirse ne olurki gibi bir soru geldi sanırım.En basit şekilde örneğin saat 4’te bir işlem yaptınız , ama sistemin saati 6 olduğu için bunu 6 olarak yazdı.Saat 4’te yapılan işlemi bulabilirmisiniz ve saat uyuşmazlığından hiç bir şey kanıtlayamazsınız.Bunun gibi saati uymayan on binlerce log olduğunu düşünün.Log bulamasınız.Kanıt veremezsınız.Saat uyuşmazlığından sisteminiz fail alabilir.Önemli bir konu o yüzden.Aradaki bağlantıya ve işlem kapasitesine göre sistem ve log sunucusu arasında 1-2 saniyelik sapmalar olabilir tabi.
Kullanıcı authentication’larının logları tutuluyormu peki.Tutulması gerekiyor.Bununda SIEM sisteminin size günlük olarak bildirmesi lazım.Hangi kullanıcı kaç kere login fail olmuş görmeniz lazım.Dışarıdan birileri ya kullanıcınızı deniyor yada Brute Force yapıyorsa nasıl haberdar olacaksınız.Tabiki bu loglarıda her log ta olduğu gibi Log sunucusunda tutmak gerekir.A deseniz log sunucusu B deseniz log sunucusu.
Backup alıyormusunuz.Hangi periyod aralığında ne kadar süre backupları saklıyorsunuz.En aşşa 30 gün olmalı.Yeriniz var ise daha fazla tutabilirsiniz.Backup policy ile kanıt isteniyor.
Domain 11 :
Burada Datacentarda bulunan Wireless sistemleri ile ilgili kanıt ieteniyor.Wireless tarafı güvenlimi değilmi buna bakılıyor.Daha çok datacenter tarafındaki kablosuz ağlar ve güvenliği sorgulanıyor.Wireless sistemi yoksa zaten sorun yok ama kanıtlanması lazım.
FIM konusuna tekrar değinilmiş.
Domain 12 :
Politikalar – Prosedürler Daha önceden yapılan kanıtlamaların tekrardan gözden geçirilip sorgulanması burada yer alıyor.
Tamam herşeyi yaptın çok güzel ama bunları birde yazılı olarak ver bakalım diyor ve size sayfalarca prosedür yazmayı sağlıyor..Burası daha çok prosedür kısmı ve kanıtların tekrardan üzerinden geçilmesi olarak görülebilinir.
Ek olarak yıllık bilgi sistemleri güvenliği eğitimi , güvenli kod yazma gibi eğitimlerin alınıp alınmadığını sorgulanıyor.
Ticket sistemine bir göz gezdiriliyor ve yapılan işlerin kayıt altına alınıp alınmadığına bakılıyor.Ticket kayıt sisteminden kanıtlar isteniyor.
Sözleşmelere bakılıyor.Varsa müşterileriniz onlarla aranızdaki sözleşmelere bakılıyor.Personel ile yapılan sözleşmelere bakılıyor.
Sistemlere yapılan erişimlerin güvenliğine bakılıyor (SSL VPN – 2FA v.s. gibi).Bu kadar sözleşmenın ve prosedürün arasında bunun ne anlamı var bende anlamadım heralde üzerinden tekrar bir geçelim bakalım demişler.
Özet olarak PCI tarafı basit bir şekilde böyle.Tabikide 3-4 sayfalık bir şey değil . PCI denetimine girdiğinizde göreceksiniz,sizi uzun süre meşgul edecektir.Ama alıştığızda ve sistemlerinizi bu gereksinimlere göre uygun hale getirdiğizde içiniz rahat bir şekilde PCI çocuk oyuncağı diyebiliceksiniz.Denetim ile ilgili süreç ve testlerin yapılmasında 24 Solution firmasını tavsiye ederim.Denetimsel süreçlerde her türlü desteği sağlıyorlar,işinizin kolaylaşmasında yardımcı oluyorlar.” https://24solutions.com.tr/ ” Şimdiden kolay gelsin :).