PCI DSS 3.2 Ek Kontrolleri Artık Geçerli...

PCI DSS v3.2 sürümü yaklaşık 1 yıldır biz PCI QSA’ler tarafından uygulanıyordu. Bununla birlikte makalemizde detaylarını verdiğimiz kontrol maddeleri 31 Ocak 2018 tarihine kadar en iyi uygulama olarak kabul ediliyordu ve denetimden geçememe nedeni olarak değerlendirilmiyordu. 1 Şubat itibariyle bu maddeler aktifleşmiş ve denetimlerde sorgulanmaya başlanmıştır.

PCI DSS v3.2 sürümü yaklaşık 1 yıldır biz PCI QSA’ler tarafından uygulanıyordu. Bununla birlikte makalemizde detaylarını verdiğimiz kontrol maddeleri 31 Ocak 2018 tarihine kadar en iyi uygulama olarak kabul ediliyordu ve denetimden geçememe nedeni olarak değerlendirilmiyordu. 1 Şubat itibariyle bu maddeler aktifleşmiş ve denetimlerde sorgulanmaya başlanmıştır.

Özellikle Servis Sağlayıcı statüsündeki şirketlerin dikkat etmesi gereken ve kaynak gerektiren bazı aktiviteler var.

Kontrol detaylarını vermek gerekirse;

Madde Kapsam Açıklama

3.5.1 Additional requirement for service providers only: Maintain a documented description of the cryptographic architecture that includes:

• Details of all algorithms, protocols, and keys used for the protection of cardholder data, including key strength and expiry date

• Description of the key usage for each key.

• Inventory of any HSMs and other SCDs used for key management

Servis Sağlayıcılar

Kriptolama (Şifreleme) mimarisini çizmeleri ve tanımlamaları gerekliliği tanımlanmıştır.

3 numaralı gereksinim altında envanter ve anahtar kullanımı belli ölçülerde tanımlı olması gerekliliği bulunmakla birlikte bu ek maddeyle birlikte yeni bir program olarak anahtar yönetimini işletme ihtiyacı doğmuştur.

6.4.6 Upon completion of a significant change, all relevant PCI DSS requirements must be implemented on all new or changed systems and networks, and documentation updated as applicable.

 

Servis Sağlayıcılar

Üye İşyerleri

Yeni bir madde olarak yazılım geliştirme süreçlerinde kritik değişiklik olması durumunda PCI DSS etkilerinin değerlendirildiğini servis sağlayıcı şirketler değerlendirmeli ve dokümante etmelidir.
8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access.

Servis Sağlayıcılar

Üye İşyerleri

Kart Veri Envanterine (CDE) yapılacak yönetimsel (Admin) müdahalelerin iç ağda dahi olsa iki faktörlü doğrulamadan geçmesi mecburiyeti tanımlanmıştır.

10.8 Additional requirement for service providers only: Implement a process for the timely detection and reporting of failures of critical security control systems, including but not limited to failure of:

  • Firewalls
  • IDS/IPS
  • FIM
  • Anti-virus
  • Physical access controls
  • Logical access controls
  • Audit logging mechanisms
  • Segmentation controls (if used)
 Servis Sağlayıcılar

Servis sağlayıcı şirketler anlık olarak güvenlik cihazlarında oluşan hizmet verememe problemlerini takip etmesi gerekmektedir. Standart minimumda Güvenlik Duvarları, IDS/IPS, FIM,                 Anti-virus, fiziksel erişim kontrolleri,

,mantıksal erişim kontrolleri, denetim izi mekanizmaları ve segmentasyon kontrollerini istemekle birlikte kritik güvenlik kontrollerinin de bu kapsamda değerlendirilmesini istemektedir.

10.8.1 Additional requirement for service providers only: Respond to failures of any critical security controls in a timely manner. Processes for responding to failures in security controls must include:

  • Restoring security functions
  • Identifying and documenting the duration (date and time start to end) of the security failure
  • Identifying and documenting cause(s) of failure, including root cause, and documenting remediation required to address root cause
  • Identifying and addressing any security issues that arose during the failure
  • Performing a risk assessment to determine whether further actions are required as a result of the security failure
  • Implementing controls to prevent cause of failure from reoccurring
  • Resuming monitoring of security controls

 

Servis Sağlayıcılar 10.8 maddesine paralel olarak oluşacak Kritik güvenlik kontrollerinde oluşacak aksaklıklara da zamanlı şekilde yanıt verilmesini istemektedir. Başka bir deyişle güvenlik olaylarına daha sıkı ve zamanlı yaklaşmak gerekiyor.
11.3.4.1 Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods. Servis Sağlayıcılar Ağ segmentasyonu uygulayan servis sağlayıcı şirketlerde ilgili kontroller için 6 ayda bir sızma testi yapılması istenmektedir. Aynı şekilde segmentasyon kontrolleri eğer değişirse bu testin tekrarı istenmektedir.

12.4.1 Additional requirement for service providers only:  Executive management shall establish responsibility for the protection of cardholder data and a PCI DSS compliance program to include:

  • Overall accountability for maintaining PCI DSS compliance 
  • Defining a charter for a PCI DSS compliance program and communication to executive management
 Servis Sağlayıcılar İşletimi zor ve kaynak gerektiren bir madde olarak PCI DSS aktivitelerinde yönetim beyanı benzeri bir program oluşturulması istenmektedir.

12.11 Additional requirement for service providers only: Perform reviews at least quarterly to confirm personnel are following security policies and operational procedures. Reviews must cover the following processes:

  • Daily log reviews
  • Firewall rule-set reviews
  • Applying configuration standards to new systems
  • Responding to security alerts
  • Change management processes

 

Servis Sağlayıcılar

Denetçiler pek aşamada gözden geçirmeleri inceliyordu. Buna ek olarak servis sağlayıcı şirketlerin her çeyrekte 5 farklı aktivite için gözden geçirme yapması istenmektedir. Bu aktiviteler;

  • Günlük denetim izi gözden geçirmeleri
  • Güvenlik duvarı kuralları
  • Yeni sistemlere konfigürasyon standartlarının uygulanması
  • Güvenlik alarmlarına yanıtlar
  • Değişiklik yönetim süreci

12.11.1 Additional requirement for service providers only:  Maintain documentation of quarterly review process to include:

  • Documenting results of the reviews
  • Review and sign off of results by personnel assigned responsibility for the PCI DSS compliance program
 Servis Sağlayıcılar Gereksinim 12.11 kapsamında yapılan aktivitelerinde ayrıca dokümante edilmesi ve onaylanması PCI DSS programı özelinde istenmektedir.

Share