PCI DSS 3.2.1 UYUM KILAVUZU
iği enl v ü i G ası Bilg olitik P
4
Güve
rişim sel E Fizik trolleri Kon
9 8 Çal ışa Kon n Eğ tro itim lle ri
5 6 7 Veri Erişim Kontrolleri
An Kon ti-Virü tro s ller i
10
Veri Aktarımı Şifrelemesi
Veri ve Ağ Girişi Kontrolleri
3
11
liği ven
nlik T e
12
Güvenlik Duvarı Te dar ikç Yönetimi Kon i Vars trol ayıl leri an 1 2
i Gü Ver
stleri
PCI DSS NEDİR? ÖDEME KART ENDÜSTRISI VERI GÜVENLIĞI STANDARDI (PCI DSS), KÜRESEL OLARAK KABUL GÖRMÜŞ VE KURUMLARINDA KREDI KARTI BILGILERINI KORUMASINDA YARDIMCI OLACAK KONTROLLER BÜTÜNÜNÜ TANIMLAYAN BIR STANDARTTIR. 12 ANA KONTROL HEDEFINDEN OLUŞMAKTADIR VE ÇOK KATMANLI OLARAK KONTROLLERI IÇERMEKTEDIR:
ve tem ma s i S ula ri Uyg trolle Kon
Ağ Güvenliği • Kart bilgisi taşıyan cihazların güvenlik duvarı aracılığıyla korunması • Standart şifrelerin kullanılmaması ve diğer güvenlik önlemleri
Kart Sahibi Verisinin Korunması • Verinin korunması • Veri iletiminin şifrelenmesi
Zafiyet Yönetim Yapısının Oluşturulması • Anti-virüs önleminin alınması ve düzenli güncellenmesi • Güvenli sistem ve uygulamalar geliştirmek
Güçlü Erişim Kontrollerinin Uygulanması • Kart sahibi bilgilerine erişimin kısıtlanması • Her kullanıcı için ayrı hesap yaratılması • Kart sahibi bilgilerini taşıyan cihazlara fiziksel erişim güvenliğinin sağlanması
Ağ Yapısının Düzenli İzlenmesi ve Test Edilmesi • Ağ kaynak ve kart verilerine erişimin düzenli izlenmesi ve kontrol edilmesi • Güvenlik sistem ve süreçlerinin düzenli olarak test edilmesi
Bilgi Güvenliği Politikasının Sağlanması • Bilgi güvenliğini adresleyen politikanın hazırlanması Söz konusu kontroller tam anlamıyla uygulandığında veri sızmaları risklerini kabul edilebilir seviyelere kadar düşürmektedir. Bununla birlikte PCI DSS gelişen ve yenilenen bir standarttır. 15 Nisan 2015 tarihinde PCI Güvenlik Konseyi yeni sürüm olan PCI DSS v3.1’i yayınlamıştır. Konsey standartta büyük bir değişikliği normalde 36 ay periyodunda gerçekleştirmekte ve bu sayede güvenlik tedarikçilerinin yeniliklere uyum sağlaması için makul süre sağlamaktadır. Baktığımızda 2.0 sürümünden yakın zamanda 3.0 sürümüne geçilmişken ve değerlendirme formlarında (SAQ) büyük değişiklikler yapılmışken yeni sürüme geçme ihtiyacı neden kaynaklanmıştı? Burada sihirli kelime POODLE. Güvenliğin ve en iyi uygulamaların yaşam döngüsünde unutulmaması gereken, tehditler evrimleşir ve gelişirken standartlarında evrimleşme ihtiyacı olduğudur, PCI standardındaki bu değişiklik buna güzel bir örnek teşkil etmektedir.
2
PCI DSS SEVİYELERİ VE BEKLENTİLER NELERDİR?
Seviye
Üye İşyeri (Merchant)
Servis Sağlayıcı (Service Provider) Yılda 600 bin üstünde işlem hacmi
Seviye 1
Yılda 6 Milyon üstünde işlem hacmi
Seviye 2
Yılda 150 bin ile 6 Milyon arasında işlem hacmi Birinci seviye olmayan ve 120 bin’den fazla işlem hacmi
Seviye 3
Yılda 20 bin ile 150 bin arasında işlem hacmi
Yılda 120 bin’den az işlem hacmi
Seviye 4
Yılda 20 bin’den az işlem hacmi
-
Yerinde Denetim (PCI QSA Denetimi)
Self Assessment (SAQ)
ASV Tarama
Seviye 1
Zorunlu
-
Zorunlu
Seviye 2
-
Zorunlu
Zorunlu
Seviye 3
-
Zorunlu
Zorunlu
Seviye 4
-
Öneri
Öneri
PCI DSS uyumluluğu için kendinizi kontrol edin PCI DSS denetimleri gerçekleştirilirken kritik kontrol noktaları bulunmaktadır. Her gereksinim kendi özelinde bu başlıkları barındırmaktadır. Uyum durumunuzu kontrol ederken kendinizde yapabileceğiniz kontrolleri özetlemeye çalışalım:
Gereksinim
Kontrol Adımları • Güvenlik duvarı / router yapılandırma standartlarının, kural kümelerinin, ağ diyagramlarının ve değişiklik denetimi belgelerinin gözden geçirilmesi • Güvenlik duvarı / yönlendirici yapılandırmalarına ve kurallarına uyun. Tüm gereksinimlerin belgelendiği gibi uygulandığını doğrulayın
Gereksinim 1
• Rolleri ve sorumlulukları, değişiklikleri uygulama süreçlerini ve izin verilen bağlantı noktalarını, protokolleri, vb. Doğrulamak için güvenlik duvarı / yönlendirici yöneticileriyle görüşün. • Güvenlik duvarı kural kümesi incelemesinin sonuçlarını karşılaştırın ve kontrol belgelerini gerçek yapılandırmalarla ve ağ diyagramıyla değiştirin • Kablosuz ağları tanımlayın ve kablosuz ağlar ile CDE arasında bir güvenlik duvarının yüklü olduğunu fiziksel inceleme ve güvenlik duvarı kuralı incelemesi ile onaylayın • Kart sahibi verilerinin tüm depolama yerlerini belirleyin, fiziksel inceleme, ağ taraması ve / veya güvenlik duvarı incelemesi aracılığıyla tüm veri depolarının dahili ağda olduğunu doğrulayın • Özel IP adreslerinin İnternete ifşa edilmesini önlemeye yönelik yöntemleri inceleyin • Bir dizüstü bilgisayar ve uzak sistem örneğindeki güvenlik duvarı yapılandırmalarını inceleyin • Ağ aygıtları, sistemleri ve kablosuz erişim noktalarının örneklerini seçin ve varsayılan parolaları olan aygıtlarda kimlik doğrulaması yapmaya çalışın (veya konfigürasyonu değerlendirin). • Kablosuz bileşenlerin örneklerini seçin ve tüm varsayılan yapılandırmaların değiştirildiğini ve aygıtların, kimlik doğrulama ve iletim için güçlü şifreleme uygulayacak şekilde yapılandırıldığını doğrulayın.
Gereksinim 2
• Tüm ağ cihazları, işletim sistemleri, veritabanları, web sunucuları ve diğer sistem bileşenleri için yapılandırma standartlarını gözden geçirin. • Belgelenen standartların endüstri tarafından kabul edilen en iyi uygulamalarla tutarlı olduğunu doğrulayın. • Sistem bileşenlerinin örneklerini seçin ve yapılandırma standartlarının uygulandığını doğrulayın. • Sonuçların etkin hizmetler ve protokollerle eşleştiğinden ve “bilinmeyen” hizmet veya bağlantı noktası algılanmadığından emin olmak için iç ve dış güvenlik açığı taramalarını gözden geçirin. • Tüm kimlik doğrulama girişimleri için güçlü şifrelemenin mevcut olduğunu doğrulamak için konsol dışı oturum açma işlemlerini izleyin.
Gereksinim
Kontrol Adımları • Politikaları ve prosedürleri gözden geçirin ve tüm gereksinimleri karşıladıklarını onaylayın • Kart sahibi verilerinin depolandığı, işlendiği veya iletildiği tüm konumları belirlemek için veri akışlarını ve sistem yapılandırmalarını inceleyin • Bir CHD konumu örneğini inceleyin ve CHD depolamasının veri saklama politikası kapsamında olduğunu doğrulayın • Sistem örneklerini gözlemleyin ve test prosedürlerinde tanımlanan veri depolarını inceleyin 3.2.1 - 3.2.3s
Gereksinim 3
• Maskelenmiş olduklarını doğrulamak için PAN ekranlarını inceleyin • PAN’ı görüntüleyebilen personel için rolleri ve erişim listelerini inceleyin • PAN’ın okunamaz hale getirildiğini doğrulamak için PAN depolarını inceleyin • Kullanılan şifrelemenin güçlü şifreleme tanımını karşıladığını onaylayın • Kilit yönetim prosedürlerini ve süreçlerini gözlemleyin • Kilit sorumlularla görüşme yapın • Gerekli tüm anahtar yönetimi prosedürlerinin uygulandığını doğrulayın • Güçlü şifrelemenin kullanıldığını doğrulayın
Gereksinim 4
• Sistem yapılandırmasını ve sertifikaları gözden geçirerek güçlü şifreleme protokollerinin uygulanmasını onaylayın • İletimleri gerçekleştikçe gözlemleyin ve bir koklama aracı veya güvenilir olmayan ağlar üzerinden iletilen tüm paketlerin şifrelenmiş olduğu başka bir test kullanarak doğrulayın
• Aşağıdakileri doğrulamak için sistem yapılandırmalarını inceleyin: o Yalnızca güvenilir veya kabul edilmiş anahtarlar ve / veya sertifikalar o Güvenli olmayan sürümleri veya yapılandırmaları kaldırılmıştır o Güçlü şifreleme yöntemi kullanılmıştır. Gereksinim 4
• Kablosuz kimlik doğrulaması ve iletiminin güvenliğini sağlamak için sektördeki en iyi uygulamaların kullanıldığını doğrulamak için kablosuz erişim noktası yapılandırmalarını inceleyin • Son kullanıcı mesajlaşma teknolojileri aracılığıyla PAN verilerinin gönderilmesine yönelik politikaları onaylamak için personelle görüşün ve sistem yapılandırmalarını ve giden iletimleri gözlemleyin • Gelişen kötü amaçlı yazılım tehditlerinin izlendiğini ve değerlendirildiğini doğrulamak için personelle görüşün • Virüsten koruma politikalarını ve güncelleme prosedürlerini gözden geçirin • Ana ve istemci kurulumlarını inceleyin • Antivirüs yazılımının tüm kapsam sistemlerinde uygulandığını ve yapılandırıldığını doğrulamak için sistem yapılandırmalarını ve günlük dosyalarını inceleyin
Gereksinim 5
• Tüm alt gereksinimlere uygunluğu doğrulayan örnek sistemler • İmzaların güncel olduğunu doğrulamak için virüsten korunma imza dosyalarını inceleyin • Yönetim tarafından özel olarak sınırlı bir süre için özel olarak yetkilendirilmedikçe, virüsten koruma yazılımının devre dışı bırakılamayacağını veya değiştirilemeyeceğini doğrulamak için işlemleri gözlemleyin • PCI DSS Gereksinim 10.7’ye göre karantinaları onaylamak için virüsten koruma günlük dosyalarını ve günlük depolama mekanizmasını gözden geçirin
Gereksinim
Kontrol Adımları
• Geçerli yama listesini sistem bileşenlerinde kurulu yamalar ile karşılaştırın. Buna sunucu, ağ ve güvenlik cihaz/sistemleri de dahildir. • Tüm alt gereksinimlerin karşılandığından emin olmak için kodlama uygulamalarını ve sistem yapılandırmalarını gözden geçirin • Geliştirme / test ve üretim ortamları arasındaki ayrımı onaylamak için dahili ağ yapılandırmasını gözden geçirin • Görev ayrılığını doğrulamak için personelle görüşün • Değişiklik Kontrol Süreçlerini ve Prosedürlerini Gözden Geçirin Gereksinim 6
• Bir değişiklik örneğini inceleyin (kağıt, çevrimiçi vb. Olabilir) ve değişiklik kaydında TÜM gerekli bilgilerin bulunduğunu doğrulayın • Değişiklikleri doğrulayın ve kayıtları sistem yapılandırmalarıyla eşleştirin • Güvenli kodlama prosedürlerinin anlaşıldığını ve takip edildiğini doğrulamak için geliştiricilerle görüşün • Güvenli kodlama prosedürlerinin güvenlik açıklarına yönelik olduğunu doğrulayın • Uygulama güvenlik açığı testi sonuçlarını inceleyin ve tüm güvenlik açıklarının giderildiğini doğrulayın • Bir web uygulaması değerlendirme aracı kullanılıyorsa, düzenli olarak kullanıldığını ve güvenlik açıklarının düzeltildiğini doğrulayın • Web uygulaması güvenlik duvarı kullanımdaysa, güvenlik açıklarını önlemek için yapılandırıldığını ve tüm web uygulamalarının önüne uygulandığını doğrulayın • Yeni kullanıcı isteklerini gözden geçirme (basılı veya elektronik) • Sistem ve / veya CHD’ye erişimi olan sistem yöneticileri ve kullanıcıları ile görüşme yapın
Gereksinim 7
• Bu ayrıcalığa sahip kullanıcılar için yönetim haklarının gerekli olduğunu onaylayın • Onay formlarının veya elektronik işlemlerin yönetim tarafından imzalandığını / onaylandığını onaylayın. • Sistemlerin belgelenmiş erişim kontrollerine göre yapılandırıldığından ve çalıştığından emin olun
• Bir sistem örneğini inceleyin ve iletim ve depolama sırasında tüm şifrelerin okunamaz olduğunu onaylayın • Uzaktan oturum açma işlemini gözlemleyin ve kapsam içi ağlara tüm uzaktan erişimin iki faktörlü kimlik doğrulamanın kullanılmasını gerektirdiğini doğrulayın Gereksinim 8
• Görüşmeler ve örnek sistemleri gözden geçirerek, tüm şifre ayarlarının doğru yapılandırıldığından emin olun • Sistemleri ve / veya ekran görüntülerini güçlü kimlik doğrulamanın kanıtı olarak inceleyin • Sistem bileşenlerindeki kullanıcı erişim listelerini yetkilendirme formlarıyla karşılaştırın • Erişim izni verme, parola değiştirme vb. İşlemlerini izleyin. • Sona eren kullanıcı hesaplarını belirleme ve devre dışı bırakılmış hesapları doğrulama • Satıcı hesaplarının kullanımını belirleme ve gözlemleme
Gereksinim
Kontrol Adımları
• Kart sahibi verilerinin depolandığı, iletildiği veya işlendiği yerler için fiziksel güvenlik denetimlerini görsel olarak doğrulayın • Erişim ve izleme cihaz kayıtlarının tutulmasını gözlemleme • Görüşme ve gözlem yoluyla, tüm medya depolama ve dağıtımının güvenli bir şekilde ve gereksinimlere göre yapıldığını doğrulayın • Konumları ve genel alanlardaki fiziksel ağ bağlantı noktalarına erişimi gözlemleyin • Bir ziyaretçi kimliği rozetinin kart sahibi verilerini depolayan fiziksel alanlara kaydedilmemiş , erişime izin vermediğini doğrulamak için ziyaretçi kimliği rozetleri kullanın Gereksinim 9
• Ziyaretçilerin yerinde gözlemlenmesi; ziyaretçi günlüğünün tamamlanması, rozetlerin kullanımı ve iadesi • Ziyaretçi günlüklerini inceleyin ve alıkoymayı doğrulayın • En son medya envanterini inceleyin ve bir yıldan daha eski olduğunu ve kâğıt, CD, disk sürücüleri vb. Dahil CHD içeren tüm medyaları kapsadığını doğrulayın. • Fiziksel ve elektronik ortamlar için kullanılan güvenli imha yöntemlerini gözlemleme • Gereksinim 9.9 için güncel bir aygıt listesi sağlandığını doğrulamak için aygıtları inceleyin • Cihazların periyodik olarak denetlendiğini ve personelin cihazlarla çalışma ve şüpheli etkinlikleri bildirme prosedürlerinin farkında olduğunu doğrulamak için personelle görüşün.
• Denetim günlüklerinin etkinleştirildiğini doğrulamak için sistem yapılandırmalarını izleyin • Hangi olayların günlüğe kaydedildiğini ve her olay için kaydedilen ayrıntıları belirlemek için sistem yöneticileriyle görüşün ve sistem yapılandırmalarını ve gerçek günlük dosyalarını gözlemleyin • Günlükleri denetlemek için kullanıcı erişim listelerini inceleyin ve tüm erişimin gerekli olduğunu doğrulayın Gereksinim 10
• Günlüklerin güvenli, merkezi bir günlük sunucusuna gönderildiğini doğrulamak için sistem yapılandırmalarını ve günlük dosyalarını inceleyin • Günlüklerin değiştirilemediğini doğrulamak için günlük sunucusu ayarlarını inceleyin • Saklama süresini doğrulamak için günlük dosyalarını inceleyin • Mülakatlar ve sürecin gözlemlenmesi yoluyla günlük incelemelerinin yapıldığını doğrulayın • Denetim günlüklerinde kullanılan FIM yapılandırmasını gözden geçirin • Sistemlerin senkronize edildiğini ve zaman verilerinin yetkisiz değişikliklerden korunduğunu doğrulamak için sistem zamanı yapılandırmalarını inceleyin
Gereksinim
Kontrol Adımları • Tüm konumlar için kablosuz analiz taramalarının ve / veya diğer test yöntemlerinin en az üç ayda bir tamamlandığını doğrulayın • Sahte bir kablosuz cihaz algılandıktan sonra yanıtı doğrulamak için olay müdahale planı sürecini ve uyarıları gözden geçirin • IDS / IPS yapılandırmalarını inceleyin ve kart sahibinin veri ortamındaki çevre ve kritik noktalardaki tüm trafiğin kapsandığını ve uyarıların oluşturulduğunu doğrulayın • IDS / IPS çözümünün denetim günlüğü sunucusuna uyarı gönderdiğini doğrulayın
Gereksinim 11
• Aşağıdakileri doğrulamak için iç ve dış güvenlik açığı tarama raporlarının gözden geçirilmesi: o Son 12 ayda taramaların her çeyrekte yapıldığı o Büyük değişikliklerden sonra yapılan güvenlik açığı taramalarını doğrulamak için değişiklik kayıtlarıyla karşılaştırın • Tarama personeli ile görüşün (dahili ise) ve personelin tarama yapmaya yetkili olduğunu doğrulayın • Testlerin harici ve dahili testleri, ağ katmanı testlerini ve uygulama katmanı testlerini içerdiğini doğrulamak için penetrasyon testi raporlarını inceleyin • Segmentasyon kontrollerinde penetrasyon testi sonuçlarını gözden geçirme • Sızma testi personeli için nitelikleri doğrulayın • FIM ürünlerinin tüm kritik sistemlerde uygulandığını doğrulayın • FIM yapılandırmasını gözden geçirin ve bütünlük kontrollerinin yapıldığını doğrulamak için personelle görüşün
• Bilgi güvenliği politikasını ve prosedürlerini tamamen gözden geçirin ve tüm gereksinimlerin karşılandığından emin olun • Bilgi güvenliği politikasını güncelleme süreci • Politika dağılımını gözlemleyin ve güvenlik politikası gerekliliklerinin bilgi ve anlayışını doğrulamak için personelle görüşün • Bilgi güvenliği sorumluluklarının atanmasını doğrulamak için personelle görüşün • Bilgi güvenliği farkındalık materyallerinin dağılımını gözlemlemek
Gereksinim 12
• Tüm personelin işe alındığında ve en az yılda bir kez dahil edildiğini doğrulamak için eğitim katılımını gözden geçirin • Tarama süreçlerini anlamak için İnsan Kaynakları personeline danışın • Üçüncü taraf hizmet sağlayıcılarının listesini gözden geçirin ve gereken özen gösterme süreçlerini doğrulayın • Olay Müdahale Planını gözden geçirin ve Gereksinim 12.9’daki her şeyi kapsadığından emin olun • Olay müdahale planının ve prosedürlerinin takip edildiğini doğrulamak için daha önce bildirilmiş bir olay veya uyarının belgelerini inceleyin • Olay müdahale planı testinin sonuçlarını gözden geçirin • Güvenlik müdahale personeli için eğitim kanıtlarını gözden geçirin • Uygulanan prosedürleri doğrulamak için güvenlik müdahale personeline danışın
Ateş Sünbül
BT Denetim, Güvenlik ve Danışmanlık - Partner PCI QSA, CISA, CISM, ISO 27001 LA - BDDK BS Başdenetçi asunbul@mazarsdenge.com.tr