Bu rehber, ödeme kartı verileri işleyen ve PCI-DSS uyumluluğunu sağlamak ya da sürdürmek isteyen online mağaza sahipleri, geliştiriciler ve teknik yöneticiler için hazırlanmıştır. İlk Öz Değerlendirme Anketi'ne (SAQ) hazırlanıyor ya da Nitelikli Güvenlik Değerlendiricisi (QSA) denetimi için çalışıyor olun; aşağıdaki adımlar on iki PCI-DSS gereksinimini pratik ve uygulanabilir bir şekilde ele almaktadır. Bu kontrol listesini tamamlamak, veri ihlali riskinizi azaltacak, müşterilerinizi koruyacak ve kart kuruluşlarına ile edinim bankalarına gereken özeni gösterdiğinizi kanıtlayacaktır.
PCI-DSS Kapsamınızı Belirleyin
Kapsam belirleme, her PCI-DSS programının temelidir. Kapsamınız; kart sahibi verilerini (CHD) depolayan, işleyen veya ileten tüm sistem bileşenlerini ve bu bileşenlerin güvenliğini etkileyebilecek her türlü sistemi içerir. Kapsamı daraltmak maliyet, çaba ve riski azaltır.
- Tüm ödeme akışlarını haritalandırın: kart numaralarının, son kullanma tarihlerinin ve CVV'lerin ortamınıza nereden girdiğini, nasıl ilerlediğini ve nereden çıktığını tam olarak tespit edin.
- Kapsam dahilindeki tüm sistemleri listeleyin: web sunucuları, uygulama sunucuları, veritabanları, ödeme terminalleri ve üçüncü taraf entegrasyonlar (ödeme geçitleri, dolandırıcılık araçları, CRM'ler).
- CHD işlemini PCI sertifikalı üçüncü bir tarafa devretmek ve mümkün olan yerlerde kapsamı SAQ A'ya indirgemek için uyumlu barındırılan ödeme sayfası veya ödeme iFrame'i kullanın.
- Kart Sahibi Veri Ortamınızı (CDE) kapsam dışı sistemlerden güvenlik duvarları veya VLAN'lar kullanarak ağ segmentasyonuyla ayırın ve sınırı net biçimde belgeleyin.
- Ödeme geçidinizin ve diğer üçüncü taraf hizmet sağlayıcılarının PCI-DSS uyumlu olduğunu doğrulayın; güncel Uyumluluk Belgesini (AOC) talep edin.
- Kapsamınızı bir veri akış diyagramında belgeleyin ve mimari her değiştiğinde gözden geçirin.
Güvenli Ağ Altyapısı Oluşturun ve Sürdürün
PCI-DSS Gereksinim 1 ve 2, ağ güvenlik kontrolleri kurmanızı ve tüm sistem bileşenlerine güvenli yapılandırmalar uygulamanızı zorunlu kılar. Saldırganlar varsayılan kimlik bilgileri ve yanlış yapılandırılmış güvenlik duvarlarını aktif olarak araştırır; bu nedenle ağ çevrenizi güçlendirmek zorunludur.
- Genel internet ile CDE'niz arasına bir güvenlik duvarı konuşlandırın; varsayılan olarak tüm trafiği engelleyin, yalnızca açıkça gerekli olanlara izin verin.
- CDE'niz ile diğer iç ağ bölgeleri arasına güvenlik duvarı veya ACL yerleştirin.
- Her cihaz ve uygulamada dağıtım öncesinde tedarikçi tarafından sağlanan tüm varsayılan şifreleri değiştirin; gereksiz varsayılan hesapları kaldırın veya devre dışı bırakın.
- Kapsam dahilindeki sistemlerde gereksiz tüm hizmetleri, protokolleri ve portları devre dışı bırakın (örn. Telnet, FTP, kullanılmayan HTTP hizmetleri).
- Güvenlik duvarı ve yönlendirici kural kümelerini en az altı ayda bir gözden geçirin ve eski kuralları kaldırın.
- CDE ile internet dahil diğer ağlar arasındaki tüm bağlantıları gösteren güncel bir ağ diyagramı tutun. Sensagraph, beklenmedik saldırı yüzeyi değişikliklerini işaretlemek için açık portlarınızı ve servislerinizi sürekli olarak kontrol eder.
Depolanan Kart Sahibi Verilerini Koruyun
PCI-DSS Gereksinim 3, depolanan hesap verilerini korumanızı zorunlu kılar. En güvenli strateji CHD'yi hiç anlamamaktır. Meşru iş gerekçesiyle veri tutmanız gerekiyorsa güçlü şifreleme ve sıkı veri saklama kontrolleri zorunludur.
- Her veritabanını, günlük dosyasını, önbelleği ve yedeği depolanan PAN'lar (Birincil Hesap Numaraları) için denetleyin ve gereksiz depolamayı derhal ortadan kaldırın.
- Yetkilendirme sonrasında tam manyetik şerit verisini, kart doğrulama kodlarını (CVV/CVC/CAV) veya PIN verilerini asla saklamayın — bu mutlak bir yasaktır.
- PAN saklamanız gerekiyorsa güçlü kriptografi (örn. AES-256), tek yönlü hashing veya tokenizasyon kullanarak okunamaz hale getirin.
- Belgelenmiş bir veri saklama politikası uygulayın; saklama sürenizi aşan CHD'yi zamanlanmış ve otomatik bir şekilde imha edin.
- Kriptografik anahtarlara erişimi kısıtlayın; CHD'yi koruyan anahtarlarda çift kontrol ve bölünmüş bilgi uygulayın.
- CHD içeren yedeklerin şifreli olduğundan ve erişimin yalnızca yetkili personele sınırlı olduğu güvenli ortamlarda saklandığından emin olun.
İletim Sırasında Kart Sahibi Verilerini Şifreleyin
PCI-DSS Gereksinim 4, açık ve kamuya açık ağlar üzerinden iletilen CHD'yi korumanızı gerektirir. Şifrelenmemiş ödeme verilerini ağ üzerinden ele geçirmek, aynı ağdaki veya DNS/BGP üzerinde etkisi olan bir saldırgan için son derece kolaydır. Güçlü TLS ilk savunma hattınızdır.
- Tüm kamuya açık sayfalarda, özellikle ödeme, giriş ve hesap yönetimi sayfalarında TLS 1.2 veya 1.3 zorunlu kılın; tüm HTTP trafiğini HTTPS'e yönlendirin.
- Kapsam dahilindeki tüm sistemlerde SSL, TLS 1.0 ve TLS 1.1'i devre dışı bırakın — bu protokoller PCI-DSS tarafından açıkça yasaklanmıştır.
- Yalnızca güçlü şifre takımları kullanın; ihracat sınıfı, NULL ve anonim şifreleri devre dışı bırakın.
- TLS sertifikalarını güvenilir bir Sertifika Otoritesinden edinin ve sertifika süresinin dolmasını önlemek için otomatik yenileme yapılandırın.
- Uzun max-age değeriyle HTTP Strict Transport Security'yi (HSTS) etkinleştirin ve alan adınızı HSTS ön yükleme listesine ekleyin.
- TLS yapılandırmanızı zayıf şifreler, süresi dolmuş sertifikalar ve yanlış yapılandırmalar için düzenli olarak tarayın — Sensagraph SSL/TLS durumunuzu sürekli izler ve zayıflıklar konusunda uyarı verir.
- Güvenilmez veya paylaşılan segmentlerden geçen iç ağ yollarında (örn. uygulama sunucusu ile veritabanı arasında) CHD'yi şifreleyin.
Zafiyet Yönetimi Programı Sürdürün
PCI-DSS Gereksinim 5 ve 6, kötü amaçlı yazılım kontrolleri ile güvenli sistem ve yazılım geliştirme uygulamalarını kapsar. Yamalanmamış yazılım ve kötü amaçlı yazılımlar, ödeme kartı veri ihlallerinin en yaygın giriş noktaları arasındadır.
- Kötü amaçlı yazılımlardan sıkça etkilenen tüm sistemlere (kapsam dahilindeki tüm Windows, Linux ve macOS sunucuları) kötü amaçlı yazılım önleme yazılımı dağıtın; tanımları güncel tutun.
- Zamanlanmış kötü amaçlı yazılım taramaları yapın ve uyarıları derhal gözden geçirin.
- Teknoloji yığınınızdaki her teknoloji (web sunucusu, CMS, eklentiler, kütüphaneler, ödeme modülleri) için güvenlik bültenlerine abone olun ve kritik yamaları yayından itibaren bir ay içinde uygulayın.
- Tüm üçüncü taraf yazılım bileşenlerini ve kütüphanelerini envantere alın; bilinen zafiyetleri (CVE'ler) tespit etmek için bir yazılım bileşen analizi (SCA) aracı kullanın.
- En az üç ayda bir ve her önemli değişikliğin ardından iç ve dış zafiyet taramaları yapın; PCI-DSS'in gerektirdiği dış taramalar için Onaylı Tarama Satıcısı (ASV) kullanın. Sensagraph, üç aylık değerlendirmeler arasında yeni zafiyetleri tespit etmek için sürekli otomatik taramalar yapabilir.
- En az yılda bir ve altyapı veya uygulama değişikliklerinin ardından sızma testi yapın; yeniden test öncesinde tüm kritik ve yüksek bulguları giderin.
- Yaygın saldırıları (SQL enjeksiyonu, XSS vb.) tespit etmek ve engellemek için kamuya açık web uygulamalarının önüne Web Uygulama Güvenlik Duvarı (WAF) konuşlandırın.
- Tüm özel uygulama geliştirmede güvenli kodlama uygulamalarını (OWASP Top 10 önlemleri) takip edin; üretim dağıtımından önce kod incelemeleri yapın.
Güçlü Erişim Denetimi Önlemleri Uygulayın
PCI-DSS Gereksinim 7, 8 ve 9, CDE'nize mantıksal ve fiziksel olarak kimlerin ve neyin erişebileceğini ele alır. Aşırı erişim ayrıcalıkları, içeriden kaynaklanan ihlallerin önde gelen nedenlerinden biridir ve ele geçirilen kimlik bilgilerinin etkisini önemli ölçüde artırır.
- CHD'ye ve sistem bileşenlerine erişimi kesinlikle bilmesi gereken, en az ayrıcalık esasına dayalı olarak verin; her erişim hakkını belgeleyin ve onaylayın.
- Kapsam dahilindeki sistemlere erişimi olan her kişiye benzersiz bir kullanıcı kimliği atayın; paylaşılan veya genel hesapları asla kullanmayın.
- CDE'ye tüm erişimler için — tüm kullanıcılar, yöneticiler dahil ve tüm uzaktan erişim bağlantıları için — çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
- Güçlü parola politikaları belirleyin: en az 12 karakter, karmaşıklık gereksinimleri, 90 günlük maksimum kullanım süresi ve en fazla 10 başarısız denemeden sonra hesap kilitleme.
- Personel işten ayrıldığında veya görevi değiştiğinde hesapları derhal devre dışı bırakın veya silin.
- Tüm kullanıcı hesaplarını ve erişim ayrıcalıklarını en az altı ayda bir gözden geçirin ve gereksiz erişimi kaldırın.
- Sunuculara, ağ ekipmanlarına ve basılı CHD'ye fiziksel erişimi yalnızca yetkili personelle sınırlandırın; sunucu odaları için erişim günlükleri, kart okuyucular veya ziyaretçi kartları kullanın.
- CHD içeren fiziksel ortamları artık gerekli olmadığında güvenli biçimde imha edin (çapraz kesim öğütme, manyetik silme).
Ağları Düzenli Olarak İzleyin ve Test Edin
PCI-DSS Gereksinim 10 ve 11, ağ kaynaklarına ve CHD'ye yapılan tüm erişimlerin kapsamlı günlüğünü ve güvenlik kontrollerinin düzenli test edilmesini gerektirir. Günlükler olmadan ihlalleri tespit edemezsiniz; test olmadan kontrollerin çalıştığını doğrulayamazsınız.
- Tüm kapsam dahilindeki sistem bileşenlerinde denetim günlüğünü etkinleştirin: kullanıcı erişimlerini, yönetici eylemlerini, geçersiz erişim girişimlerini, ayrıcalık kullanımını ve denetim günlüklerindeki değişiklikleri kaydedin.
- Günlük korelasyonunun güvenilir olmasını sağlamak için tüm sistem saatlerini tek bir doğru zaman kaynağıyla (NTP) senkronize edin.
- Denetim günlüklerini değiştirilme ve yetkisiz erişime karşı koruyun; günlükleri ayrı, güçlendirilmiş bir günlük yönetim sisteminde saklayın.
- Denetim günlüklerini en az 12 ay boyunca saklayın; son üç ayın verileri analiz için anında erişilebilir olmalıdır.
- Günlükleri günlük olarak gözden geçirin (otomatik SIEM uyarıları kabul edilebilir) ve anormallikleri derhal araştırın.
- CDE çevresi ve kritik iç segmentlerde Saldırı Tespit veya Önleme Sistemleri (IDS/IPS) konuşlandırın.
- Kritik sistem dosyaları, yapılandırma dosyaları ve içerik dosyalarında dosya bütünlüğü izlemesi (FIM) yapın; beklenmedik değişikliklerde uyarı verin.
- Her çeyrek ASV aracılığıyla dış zafiyet taramaları yapın; iç taramaları da üç ayda bir çalıştırın. Sensagraph, zamanlanmış değerlendirmeler arasında sorunları yakalamak için sürekli otomatik tarama sağlar.
- Hem ağ hem uygulama katmanlarını kapsayan yıllık sızma testleri yapın; sonuçları ve düzeltici eylemleri belgeleyin.
Bilgi Güvenliği Politikası Oluşturun
PCI-DSS Gereksinim 12, bilgi güvenliğini belgelenmiş organizasyonel politikalar ve programlarla desteklemenizi gerektirir. Yalnızca bir belgede yaşayan bir politika koruma sağlamaz; iletilmesi, eğitim verilmesi ve uygulanması gerekir.
- On iki PCI-DSS gereksiniminin tamamını ele alan resmi bir bilgi güvenliği politikası oluşturun ve sürdürün; en az yılda bir ve ortam değiştiğinde gözden geçirip güncelleyin.
- CHD'ye yönelik tehditleri, zafiyetleri ve riskleri belirlemek için en az yılda bir resmi risk değerlendirmesi yapın.
- Tüm kritik teknolojiler (dizüstü bilgisayarlar, mobil cihazlar, uzaktan erişim araçları, e-posta) için kabul edilebilir kullanım ve ihlallerin sonuçlarını kapsayan bir kullanım politikası oluşturun.
- Tüm personele işe alım sırasında ve en az yılda bir güvenlik farkındalığı eğitimi verin; kart sahibi veri işleme konusunda özel rehberlik ekleyin.
- Özellikle CHD'ye erişimi olan roller için olası çalışanları işe alım öncesinde tarayın.
- Şüpheli veya onaylanmış CHD ihlallerini kapsayan bir Olay Müdahale Planı (IRP) oluşturun ve yılda bir test edin; rolleri, sorumlulukları ve iletişim prosedürlerini dahil edin.
- Tüm üçüncü taraf hizmet sağlayıcılarını CHD güvenliğindeki sorumluluklarını kabul eden yazılı bir anlaşmayla yönetin; tüm hizmet sağlayıcıların listesini tutun ve uyumluluk durumlarını yılda bir izleyin.
- Merchant düzeyinizin gerektirdiği şekilde yıllık Öz Değerlendirme Anketini (SAQ) tamamlayın ve gönderin veya Uyumluluk Raporu (ROC) için bir QSA ile çalışın; Uyumluluk Belgenizi (AOC) edinim bankanıza iletin.