PCI DSS 4.0 Sızma Testi
PCI DSS 4.0 Rehberi
İnternetten alışveriş yaparken kart bilgilerimizi paylaşıyoruz ve bu bilgilerin güvende olduğundan emin olmak istiyoruz. İşte tam burada PCI DSS devreye giriyor. Bu, dünya genelinde kart bilgilerini işleyen her kurumun uyması gereken katı bir güvenlik yasasıdır.
Teknoloji geliştikçe saldırganlar da akıllanıyor. Bu yüzden kurallar güncellendi ve karşımıza PCI DSS 4.0 çıktı. Bu yeni sürüm, güvenliği sadece kağıt üzerinde kalan bir zorunluluk olmaktan çıkarıp, her an tetikte olan canlı bir savunma sistemine dönüştürüyor.
Çift Kilit: Artık sisteme her girişte ekstra onay (MFA) şart.
Sıkı Denetim: Hizmet sağlayıcılar için her 6 ayda bir kontrol zorunlu.
Gerçekçi Testler: Sadece bilgisayar taraması değil, uzmanların manuel denetimi ön planda.
Süreklilik: Güvenlik “yılda bir kez” değil, “her gün” sağlanan bir süreç oldu.
1. Güvenlikte Yeni Bir Sayfa
Eski yöntemler artık yetersiz kalıyor. Eskiden “bir güvenlik duvarımız var mı?” diye sorulurdu. PCI DSS 4.0 ile artık “bu güvenlik duvarı gerçekten işe yarıyor mu?” diye soruluyor.
Bu yeni dönem, işletmelere esneklik tanırken sorumluluğu da artırıyor. Eğer sisteminizi korumak için kendinize has bir yöntem geliştirdiyseniz, bu yöntemin standartlar kadar güvenli olduğunu teknik olarak ispatlamanız gerekiyor. Yani artık sadece “kurala uymak” değil, “gerçekten korunmak” önemli.
2. Eski ve Yeni Arasındaki Farklar
Yeni standartla birlikte hayatımızda nelerin değiştiğini daha basit bir şekilde görelim:
| Konu | Eski Dönem (3.2.1) | Yeni Dönem (4.0) |
|---|---|---|
| Sistem Girişleri | Sadece uzaktan bağlanırken şifre yeterliydi. | İçeriden veya dışarıdan her girişte telefon onayı (MFA) şart. |
| Denetim Sıklığı | Yılda bir kez kontrol genellikle yeterliydi. | Büyük sağlayıcılar için her 6 ayda bir derinlemesine test. |
| Test Kapsamı | Sadece belirli bir alan taranırdı. | Bulut sistemleri, uygulamalar ve tüm bağlantılar dahil. |
| Tarama Yöntemi | Dışarıdan yüzeysel bir tarama yapılırdı. | Sistemin içine “kimlikli” girilerek detaylı arama yapılıyor. |
3. Sızma Testi Nedir?
Sızma testi, aslında “etik bir korsanlık” faaliyetidir. Bir siber güvenlik uzmanı, kötü niyetli bir saldırganın gözüyle sisteminize sızmaya çalışır. Amacı, hırsızdan önce açığı bulup size haber vermektir.
Bu Test Neden Gerekli?
- Görünmeyeni Bulur: Otomatik programların kaçırdığı mantıksal hataları yakalar.
- Gerçekçi Deneyim: “Sisteme girersem ne çalabilirim?” sorusunun yanıtını verir.
- Yol Haritası Çizer: Hangi açığın daha acil kapatılması gerektiğini söyler.
4. Hangi Sistemler Koruma Altında?
Sadece kart bilgilerinin kayıtlı olduğu bilgisayarlar değil, bu bilgisayarlarla “konuşan” her cihaz risk altındadır. Bu yüzden test kapsamına her şey dahil edilir:
- Ödeme Cihazları: POS makineleri ve ödeme sayfaları.
- Destek Sistemleri: Şirket içi kullanıcıları yöneten ana sunucular.
- İnternet Kapıları: Şirket ağını dış dünyaya bağlayan tüm yollar.
5. Bölümlere Ayırma ve Denetim
Güvenliği sağlamanın en iyi yolu, hassas verilerin olduğu yeri diğer alanlardan ayırmaktır. Buna “segmentasyon” diyoruz. Örneğin, şirketinizdeki misafir interneti ile kart bilgilerinin tutulduğu ağın birbiriyle hiçbir bağı olmamalıdır.
Yeni kurallara göre, bu ayrımın gerçekten işe yaradığını düzenli olarak ispatlamanız gerekiyor. Uzmanlar, “misafir ağından kart verilerine ulaşabiliyor muyum?” diye denerler. Eğer ulaşamıyorlarsa, duvarlarınız sağlam demektir.
6. Bulut Sistemlerinde Güvenlik
Artık verilerimizi fiziksel sunucular yerine Amazon (AWS) veya Google Cloud gibi bulut sistemlerinde tutuyoruz. Ancak buralarda “komşu kiracı” riski vardır.
PCI DSS 4.0, bulut sağlayıcılara şunu soruyor: “Bir müşterinizin sistemi hacklenirse, saldırgan yandaki diğer müşterinin verilerine geçebilir mi?” Bu izolasyonun tam olduğundan emin olmak için her 6 ayda bir özel testler yapılması istenir.
8. Sorunları Giderme Süreci
Test yapıldı ve açıklar bulundu… Peki şimdi ne olacak? Güvenlik süreci sadece raporu almakla bitmez.
Bu süreçte her şey kayıt altına alınmalıdır. Çünkü denetçiler geldiğinde sadece “düzelttik” demeniz yetmez, bunu kanıtlayan belgeleri görmek isterler.
9. Merak Edilenler
Kendi elemanım bu testi yapabilir mi?
Teorik olarak evet, ancak testi yapan kişinin o sistemi kuran kişi olmaması gerekir (tarafsızlık ilkesi). Yine de dışarıdan bağımsız bir uzmanın bakması her zaman en güvenli yoldur.
Ücretsiz programlarla tarama yapmak yeterli mi?
Hayır. Programlar sadece bilinen hataları tarar. Sızma testi ise insan zekası gerektirir; bir uzmanın sistemdeki boşlukları yaratıcı yollarla denemesi şarttır.
Ne zaman başlamalıyız?
Hemen. Mart 2025’te tüm kurallar zorunlu olacak. Sisteminizi bugünden hazırlamak, son dakika stresini ve olası ceza risklerini önler.
Sisteminizin yeni standartlara hazır olup olmadığını öğrenmek ister misiniz?
Bize Ulaşın
