PCI DSS v3.2 sürümü yaklaşık 1 yıldır biz PCI QSA’ler tarafından uygulanıyordu. Bununla birlikte makalemizde detaylarını verdiğimiz kontrol maddeleri 31 Ocak 2018 tarihine kadar en iyi uygulama olarak kabul ediliyordu ve denetimden geçememe nedeni olarak değerlendirilmiyordu. 1 Şubat itibariyle bu maddeler aktifleşmiş ve denetimlerde sorgulanmaya başlanmıştır.
Özellikle Servis Sağlayıcı statüsündeki şirketlerin dikkat etmesi gereken ve kaynak gerektiren bazı aktiviteler var.
Kontrol detaylarını vermek gerekirse;
Madde | Kapsam | Açıklama |
3.5.1 Additional requirement for service providers only: Maintain a documented description of the cryptographic architecture that includes: • Details of all algorithms, protocols, and keys used for the protection of cardholder data, including key strength and expiry date • Description of the key usage for each key. • Inventory of any HSMs and other SCDs used for key management | Servis Sağlayıcılar |
Kriptolama (Şifreleme) mimarisini çizmeleri ve tanımlamaları gerekliliği tanımlanmıştır. 3 numaralı gereksinim altında envanter ve anahtar kullanımı belli ölçülerde tanımlı olması gerekliliği bulunmakla birlikte bu ek maddeyle birlikte yeni bir program olarak anahtar yönetimini işletme ihtiyacı doğmuştur. |
6.4.6 Upon completion of a significant change, all relevant PCI DSS requirements must be implemented on all new or changed systems and networks, and documentation updated as applicable.
|
Servis Sağlayıcılar Üye İşyerleri | Yeni bir madde olarak yazılım geliştirme süreçlerinde kritik değişiklik olması durumunda PCI DSS etkilerinin değerlendirildiğini servis sağlayıcı şirketler değerlendirmeli ve dokümante etmelidir. |
8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access. |
Servis Sağlayıcılar Üye İşyerleri | Kart Veri Envanterine (CDE) yapılacak yönetimsel (Admin) müdahalelerin iç ağda dahi olsa iki faktörlü doğrulamadan geçmesi mecburiyeti tanımlanmıştır. |
10.8 Additional requirement for service providers only: Implement a process for the timely detection and reporting of failures of critical security control systems, including but not limited to failure of:
| Servis Sağlayıcılar |
Servis sağlayıcı şirketler anlık olarak güvenlik cihazlarında oluşan hizmet verememe problemlerini takip etmesi gerekmektedir. Standart minimumda Güvenlik Duvarları, IDS/IPS, FIM, Anti-virus, fiziksel erişim kontrolleri, ,mantıksal erişim kontrolleri, denetim izi mekanizmaları ve segmentasyon kontrollerini istemekle birlikte kritik güvenlik kontrollerinin de bu kapsamda değerlendirilmesini istemektedir. |
10.8.1 Additional requirement for service providers only: Respond to failures of any critical security controls in a timely manner. Processes for responding to failures in security controls must include:
| Servis Sağlayıcılar | 10.8 maddesine paralel olarak oluşacak Kritik güvenlik kontrollerinde oluşacak aksaklıklara da zamanlı şekilde yanıt verilmesini istemektedir. Başka bir deyişle güvenlik olaylarına daha sıkı ve zamanlı yaklaşmak gerekiyor. |
11.3.4.1 Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods. | Servis Sağlayıcılar | Ağ segmentasyonu uygulayan servis sağlayıcı şirketlerde ilgili kontroller için 6 ayda bir sızma testi yapılması istenmektedir. Aynı şekilde segmentasyon kontrolleri eğer değişirse bu testin tekrarı istenmektedir. |
12.4.1 Additional requirement for service providers only: Executive management shall establish responsibility for the protection of cardholder data and a PCI DSS compliance program to include:
| Servis Sağlayıcılar | İşletimi zor ve kaynak gerektiren bir madde olarak PCI DSS aktivitelerinde yönetim beyanı benzeri bir program oluşturulması istenmektedir. |
12.11 Additional requirement for service providers only: Perform reviews at least quarterly to confirm personnel are following security policies and operational procedures. Reviews must cover the following processes:
| Servis Sağlayıcılar |
Denetçiler pek aşamada gözden geçirmeleri inceliyordu. Buna ek olarak servis sağlayıcı şirketlerin her çeyrekte 5 farklı aktivite için gözden geçirme yapması istenmektedir. Bu aktiviteler;
|
12.11.1 Additional requirement for service providers only: Maintain documentation of quarterly review process to include:
| Servis Sağlayıcılar | Gereksinim 12.11 kapsamında yapılan aktivitelerinde ayrıca dokümante edilmesi ve onaylanması PCI DSS programı özelinde istenmektedir. |