SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Rehberler

Bu rehber, ödeme kartı verileri işleyen ve PCI-DSS uyumluluğunu sağlamak ya da sürdürmek isteyen online mağaza sahipleri, geliştiriciler ve teknik yöneticiler için hazırlanmıştır. İlk Öz Değerlendirme Anketi'ne (SAQ) hazırlanıyor ya da Nitelikli Güvenlik Değerlendiricisi (QSA) denetimi için çalışıyor olun; aşağıdaki adımlar on iki PCI-DSS gereksinimini pratik ve uygulanabilir bir şekilde ele almaktadır. Bu kontrol listesini tamamlamak, veri ihlali riskinizi azaltacak, müşterilerinizi koruyacak ve kart kuruluşlarına ile edinim bankalarına gereken özeni gösterdiğinizi kanıtlayacaktır.

01

PCI-DSS Kapsamınızı Belirleyin

Kapsam belirleme, her PCI-DSS programının temelidir. Kapsamınız; kart sahibi verilerini (CHD) depolayan, işleyen veya ileten tüm sistem bileşenlerini ve bu bileşenlerin güvenliğini etkileyebilecek her türlü sistemi içerir. Kapsamı daraltmak maliyet, çaba ve riski azaltır.

  • Tüm ödeme akışlarını haritalandırın: kart numaralarının, son kullanma tarihlerinin ve CVV'lerin ortamınıza nereden girdiğini, nasıl ilerlediğini ve nereden çıktığını tam olarak tespit edin.
  • Kapsam dahilindeki tüm sistemleri listeleyin: web sunucuları, uygulama sunucuları, veritabanları, ödeme terminalleri ve üçüncü taraf entegrasyonlar (ödeme geçitleri, dolandırıcılık araçları, CRM'ler).
  • CHD işlemini PCI sertifikalı üçüncü bir tarafa devretmek ve mümkün olan yerlerde kapsamı SAQ A'ya indirgemek için uyumlu barındırılan ödeme sayfası veya ödeme iFrame'i kullanın.
  • Kart Sahibi Veri Ortamınızı (CDE) kapsam dışı sistemlerden güvenlik duvarları veya VLAN'lar kullanarak ağ segmentasyonuyla ayırın ve sınırı net biçimde belgeleyin.
  • Ödeme geçidinizin ve diğer üçüncü taraf hizmet sağlayıcılarının PCI-DSS uyumlu olduğunu doğrulayın; güncel Uyumluluk Belgesini (AOC) talep edin.
  • Kapsamınızı bir veri akış diyagramında belgeleyin ve mimari her değiştiğinde gözden geçirin.
02

Güvenli Ağ Altyapısı Oluşturun ve Sürdürün

PCI-DSS Gereksinim 1 ve 2, ağ güvenlik kontrolleri kurmanızı ve tüm sistem bileşenlerine güvenli yapılandırmalar uygulamanızı zorunlu kılar. Saldırganlar varsayılan kimlik bilgileri ve yanlış yapılandırılmış güvenlik duvarlarını aktif olarak araştırır; bu nedenle ağ çevrenizi güçlendirmek zorunludur.

  • Genel internet ile CDE'niz arasına bir güvenlik duvarı konuşlandırın; varsayılan olarak tüm trafiği engelleyin, yalnızca açıkça gerekli olanlara izin verin.
  • CDE'niz ile diğer iç ağ bölgeleri arasına güvenlik duvarı veya ACL yerleştirin.
  • Her cihaz ve uygulamada dağıtım öncesinde tedarikçi tarafından sağlanan tüm varsayılan şifreleri değiştirin; gereksiz varsayılan hesapları kaldırın veya devre dışı bırakın.
  • Kapsam dahilindeki sistemlerde gereksiz tüm hizmetleri, protokolleri ve portları devre dışı bırakın (örn. Telnet, FTP, kullanılmayan HTTP hizmetleri).
  • Güvenlik duvarı ve yönlendirici kural kümelerini en az altı ayda bir gözden geçirin ve eski kuralları kaldırın.
  • CDE ile internet dahil diğer ağlar arasındaki tüm bağlantıları gösteren güncel bir ağ diyagramı tutun. Sensagraph, beklenmedik saldırı yüzeyi değişikliklerini işaretlemek için açık portlarınızı ve servislerinizi sürekli olarak kontrol eder.
03

Depolanan Kart Sahibi Verilerini Koruyun

PCI-DSS Gereksinim 3, depolanan hesap verilerini korumanızı zorunlu kılar. En güvenli strateji CHD'yi hiç anlamamaktır. Meşru iş gerekçesiyle veri tutmanız gerekiyorsa güçlü şifreleme ve sıkı veri saklama kontrolleri zorunludur.

  • Her veritabanını, günlük dosyasını, önbelleği ve yedeği depolanan PAN'lar (Birincil Hesap Numaraları) için denetleyin ve gereksiz depolamayı derhal ortadan kaldırın.
  • Yetkilendirme sonrasında tam manyetik şerit verisini, kart doğrulama kodlarını (CVV/CVC/CAV) veya PIN verilerini asla saklamayın — bu mutlak bir yasaktır.
  • PAN saklamanız gerekiyorsa güçlü kriptografi (örn. AES-256), tek yönlü hashing veya tokenizasyon kullanarak okunamaz hale getirin.
  • Belgelenmiş bir veri saklama politikası uygulayın; saklama sürenizi aşan CHD'yi zamanlanmış ve otomatik bir şekilde imha edin.
  • Kriptografik anahtarlara erişimi kısıtlayın; CHD'yi koruyan anahtarlarda çift kontrol ve bölünmüş bilgi uygulayın.
  • CHD içeren yedeklerin şifreli olduğundan ve erişimin yalnızca yetkili personele sınırlı olduğu güvenli ortamlarda saklandığından emin olun.
04

İletim Sırasında Kart Sahibi Verilerini Şifreleyin

PCI-DSS Gereksinim 4, açık ve kamuya açık ağlar üzerinden iletilen CHD'yi korumanızı gerektirir. Şifrelenmemiş ödeme verilerini ağ üzerinden ele geçirmek, aynı ağdaki veya DNS/BGP üzerinde etkisi olan bir saldırgan için son derece kolaydır. Güçlü TLS ilk savunma hattınızdır.

  • Tüm kamuya açık sayfalarda, özellikle ödeme, giriş ve hesap yönetimi sayfalarında TLS 1.2 veya 1.3 zorunlu kılın; tüm HTTP trafiğini HTTPS'e yönlendirin.
  • Kapsam dahilindeki tüm sistemlerde SSL, TLS 1.0 ve TLS 1.1'i devre dışı bırakın — bu protokoller PCI-DSS tarafından açıkça yasaklanmıştır.
  • Yalnızca güçlü şifre takımları kullanın; ihracat sınıfı, NULL ve anonim şifreleri devre dışı bırakın.
  • TLS sertifikalarını güvenilir bir Sertifika Otoritesinden edinin ve sertifika süresinin dolmasını önlemek için otomatik yenileme yapılandırın.
  • Uzun max-age değeriyle HTTP Strict Transport Security'yi (HSTS) etkinleştirin ve alan adınızı HSTS ön yükleme listesine ekleyin.
  • TLS yapılandırmanızı zayıf şifreler, süresi dolmuş sertifikalar ve yanlış yapılandırmalar için düzenli olarak tarayın — Sensagraph SSL/TLS durumunuzu sürekli izler ve zayıflıklar konusunda uyarı verir.
  • Güvenilmez veya paylaşılan segmentlerden geçen iç ağ yollarında (örn. uygulama sunucusu ile veritabanı arasında) CHD'yi şifreleyin.
05

Zafiyet Yönetimi Programı Sürdürün

PCI-DSS Gereksinim 5 ve 6, kötü amaçlı yazılım kontrolleri ile güvenli sistem ve yazılım geliştirme uygulamalarını kapsar. Yamalanmamış yazılım ve kötü amaçlı yazılımlar, ödeme kartı veri ihlallerinin en yaygın giriş noktaları arasındadır.

  • Kötü amaçlı yazılımlardan sıkça etkilenen tüm sistemlere (kapsam dahilindeki tüm Windows, Linux ve macOS sunucuları) kötü amaçlı yazılım önleme yazılımı dağıtın; tanımları güncel tutun.
  • Zamanlanmış kötü amaçlı yazılım taramaları yapın ve uyarıları derhal gözden geçirin.
  • Teknoloji yığınınızdaki her teknoloji (web sunucusu, CMS, eklentiler, kütüphaneler, ödeme modülleri) için güvenlik bültenlerine abone olun ve kritik yamaları yayından itibaren bir ay içinde uygulayın.
  • Tüm üçüncü taraf yazılım bileşenlerini ve kütüphanelerini envantere alın; bilinen zafiyetleri (CVE'ler) tespit etmek için bir yazılım bileşen analizi (SCA) aracı kullanın.
  • En az üç ayda bir ve her önemli değişikliğin ardından iç ve dış zafiyet taramaları yapın; PCI-DSS'in gerektirdiği dış taramalar için Onaylı Tarama Satıcısı (ASV) kullanın. Sensagraph, üç aylık değerlendirmeler arasında yeni zafiyetleri tespit etmek için sürekli otomatik taramalar yapabilir.
  • En az yılda bir ve altyapı veya uygulama değişikliklerinin ardından sızma testi yapın; yeniden test öncesinde tüm kritik ve yüksek bulguları giderin.
  • Yaygın saldırıları (SQL enjeksiyonu, XSS vb.) tespit etmek ve engellemek için kamuya açık web uygulamalarının önüne Web Uygulama Güvenlik Duvarı (WAF) konuşlandırın.
  • Tüm özel uygulama geliştirmede güvenli kodlama uygulamalarını (OWASP Top 10 önlemleri) takip edin; üretim dağıtımından önce kod incelemeleri yapın.
06

Güçlü Erişim Denetimi Önlemleri Uygulayın

PCI-DSS Gereksinim 7, 8 ve 9, CDE'nize mantıksal ve fiziksel olarak kimlerin ve neyin erişebileceğini ele alır. Aşırı erişim ayrıcalıkları, içeriden kaynaklanan ihlallerin önde gelen nedenlerinden biridir ve ele geçirilen kimlik bilgilerinin etkisini önemli ölçüde artırır.

  • CHD'ye ve sistem bileşenlerine erişimi kesinlikle bilmesi gereken, en az ayrıcalık esasına dayalı olarak verin; her erişim hakkını belgeleyin ve onaylayın.
  • Kapsam dahilindeki sistemlere erişimi olan her kişiye benzersiz bir kullanıcı kimliği atayın; paylaşılan veya genel hesapları asla kullanmayın.
  • CDE'ye tüm erişimler için — tüm kullanıcılar, yöneticiler dahil ve tüm uzaktan erişim bağlantıları için — çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
  • Güçlü parola politikaları belirleyin: en az 12 karakter, karmaşıklık gereksinimleri, 90 günlük maksimum kullanım süresi ve en fazla 10 başarısız denemeden sonra hesap kilitleme.
  • Personel işten ayrıldığında veya görevi değiştiğinde hesapları derhal devre dışı bırakın veya silin.
  • Tüm kullanıcı hesaplarını ve erişim ayrıcalıklarını en az altı ayda bir gözden geçirin ve gereksiz erişimi kaldırın.
  • Sunuculara, ağ ekipmanlarına ve basılı CHD'ye fiziksel erişimi yalnızca yetkili personelle sınırlandırın; sunucu odaları için erişim günlükleri, kart okuyucular veya ziyaretçi kartları kullanın.
  • CHD içeren fiziksel ortamları artık gerekli olmadığında güvenli biçimde imha edin (çapraz kesim öğütme, manyetik silme).
07

Ağları Düzenli Olarak İzleyin ve Test Edin

PCI-DSS Gereksinim 10 ve 11, ağ kaynaklarına ve CHD'ye yapılan tüm erişimlerin kapsamlı günlüğünü ve güvenlik kontrollerinin düzenli test edilmesini gerektirir. Günlükler olmadan ihlalleri tespit edemezsiniz; test olmadan kontrollerin çalıştığını doğrulayamazsınız.

  • Tüm kapsam dahilindeki sistem bileşenlerinde denetim günlüğünü etkinleştirin: kullanıcı erişimlerini, yönetici eylemlerini, geçersiz erişim girişimlerini, ayrıcalık kullanımını ve denetim günlüklerindeki değişiklikleri kaydedin.
  • Günlük korelasyonunun güvenilir olmasını sağlamak için tüm sistem saatlerini tek bir doğru zaman kaynağıyla (NTP) senkronize edin.
  • Denetim günlüklerini değiştirilme ve yetkisiz erişime karşı koruyun; günlükleri ayrı, güçlendirilmiş bir günlük yönetim sisteminde saklayın.
  • Denetim günlüklerini en az 12 ay boyunca saklayın; son üç ayın verileri analiz için anında erişilebilir olmalıdır.
  • Günlükleri günlük olarak gözden geçirin (otomatik SIEM uyarıları kabul edilebilir) ve anormallikleri derhal araştırın.
  • CDE çevresi ve kritik iç segmentlerde Saldırı Tespit veya Önleme Sistemleri (IDS/IPS) konuşlandırın.
  • Kritik sistem dosyaları, yapılandırma dosyaları ve içerik dosyalarında dosya bütünlüğü izlemesi (FIM) yapın; beklenmedik değişikliklerde uyarı verin.
  • Her çeyrek ASV aracılığıyla dış zafiyet taramaları yapın; iç taramaları da üç ayda bir çalıştırın. Sensagraph, zamanlanmış değerlendirmeler arasında sorunları yakalamak için sürekli otomatik tarama sağlar.
  • Hem ağ hem uygulama katmanlarını kapsayan yıllık sızma testleri yapın; sonuçları ve düzeltici eylemleri belgeleyin.
08

Bilgi Güvenliği Politikası Oluşturun

PCI-DSS Gereksinim 12, bilgi güvenliğini belgelenmiş organizasyonel politikalar ve programlarla desteklemenizi gerektirir. Yalnızca bir belgede yaşayan bir politika koruma sağlamaz; iletilmesi, eğitim verilmesi ve uygulanması gerekir.

  • On iki PCI-DSS gereksiniminin tamamını ele alan resmi bir bilgi güvenliği politikası oluşturun ve sürdürün; en az yılda bir ve ortam değiştiğinde gözden geçirip güncelleyin.
  • CHD'ye yönelik tehditleri, zafiyetleri ve riskleri belirlemek için en az yılda bir resmi risk değerlendirmesi yapın.
  • Tüm kritik teknolojiler (dizüstü bilgisayarlar, mobil cihazlar, uzaktan erişim araçları, e-posta) için kabul edilebilir kullanım ve ihlallerin sonuçlarını kapsayan bir kullanım politikası oluşturun.
  • Tüm personele işe alım sırasında ve en az yılda bir güvenlik farkındalığı eğitimi verin; kart sahibi veri işleme konusunda özel rehberlik ekleyin.
  • Özellikle CHD'ye erişimi olan roller için olası çalışanları işe alım öncesinde tarayın.
  • Şüpheli veya onaylanmış CHD ihlallerini kapsayan bir Olay Müdahale Planı (IRP) oluşturun ve yılda bir test edin; rolleri, sorumlulukları ve iletişim prosedürlerini dahil edin.
  • Tüm üçüncü taraf hizmet sağlayıcılarını CHD güvenliğindeki sorumluluklarını kabul eden yazılı bir anlaşmayla yönetin; tüm hizmet sağlayıcıların listesini tutun ve uyumluluk durumlarını yılda bir izleyin.
  • Merchant düzeyinizin gerektirdiği şekilde yıllık Öz Değerlendirme Anketini (SAQ) tamamlayın ve gönderin veya Uyumluluk Raporu (ROC) için bir QSA ile çalışın; Uyumluluk Belgenizi (AOC) edinim bankanıza iletin.

Sıkça sorulan sorular

Bu, kart verilerini nasıl işlediğinize bağlıdır. SAQ A, kart işlemlerini tamamen PCI uyumlu bir üçüncü tarafa (örn. barındırılan ödeme sayfası) devrettiğinizde ve kart verilerine hiç dokunmadığınızda geçerlidir. SAQ A-EP, üçüncü taraf bir ödeme işlemcisi kullandığınız ancak web sitenizin kart verilerini doğrudan aldığı durumlarda (örn. verileri işlemciye ileten JavaScript tabanlı form) geçerlidir. SAQ D ise kart sahibi verilerini kendi sistemlerinde depolayan, işleyen veya ileten satıcıları kapsar. Durumunuz için doğru SAQ'yu belirlemek üzere edinim bankanızla veya bir QSA ile iletişime geçin.

PCI-DSS, en az üç ayda bir ve herhangi bir önemli ağ değişikliğinin ardından bir Onaylı Tarama Satıcısı (ASV) aracılığıyla dış zafiyet taraması yapılmasını gerektirir. İç zafiyet taramaları da üç ayda bir zorunludur. Sızma testi en az yılda bir ve altyapı veya uygulamalarda önemli değişikliklerden sonra yapılmalıdır. Bu planlanmış değerlendirmeler arasında sürekli otomatik taramalar çalıştırmak, yeni zafiyetleri istismar edilmeden önce tespit etmenize ve gidermenize yardımcı olur.

Hayır. Uyumlu bir ödeme geçidi kullanmak kapsamı azaltır ve uyumluluğu kolaylaştırır; ancak sizi otomatik olarak uyumlu hale getirmez. Kendi sistemlerinizi güvence altına almak, işlediğiniz veya depoladığınız kart sahibi verilerini korumak, güvenli yapılandırmaları sürdürmek, erişimi denetlemek ve merchant düzeyinize uygulanan diğer tüm PCI-DSS gereksinimlerini karşılamak sizin sorumluluğunuzdadır.

Nitelikli Güvenlik Değerlendiricisi (QSA), satıcı ve hizmet sağlayıcı uyumluluğunu değerlendirmek ve Uyumluluk Raporu (ROC) hazırlamak üzere PCI Güvenlik Standartları Konseyi tarafından sertifikalandırılmış bir şirkettir. Onaylı Tarama Satıcısı (ASV) ise internet'e açık sistemlerin dış zafiyet taramalarını gerçekleştirmek ve PCI-DSS'in gerektirdiği resmi tarama raporlarını sağlamak üzere sertifikalandırılmış bir şirkettir. Büyük satıcılar (Seviye 1) genellikle hem ROC için bir QSA'ya hem de üç aylık taramalar için bir ASV'ye ihtiyaç duyar; küçük satıcılar kendi tamamladıkları SAQ'nun yanı sıra yalnızca ASV taramasına ihtiyaç duyabilir.

Kesinlikle hayır. PCI-DSS, yetkilendirmeden sonra — veriler şifreli olsa bile — kart doğrulama kodları (CVV, CVC, CAV, CID) dahil hassas kimlik doğrulama verilerinin saklanmasını açıkça yasaklar. Bu kodları saklamak en ciddi PCI-DSS ihlallerinden biridir ve ihlal riskini önemli ölçüde artırır. Uygulamanız veya veritabanınız bu kodları içeriyorsa, bunları derhal kaldırın ve nasıl yakalandıklarını araştırın.

Kapsamı azaltmanın en etkili yolu, ödeme geçidinizin sağladığı tam barındırılan ödeme sayfası veya sertifikalı ödeme iFrame'i kullanmaktır; böylece kart verileri doğrudan geçidin PCI sertifikalı sunucularına girilir ve ortamınıza hiç dokunmaz. Bunu, ödemeyle ilgili sistemleri izole etmek için ağ segmentasyonuyla birleştirin, ham kart numaraları saklamak yerine tokenizasyon kullanın ve CHD'nin web sunucusu günlüklerinizden veya uygulama katmanlarınızdan geçmediğinden emin olun. Bu yaklaşım, uyumluluk gereksinimlerinizi en basit ve en az yük getiren anket olan SAQ A'ya indirgeyebilir.