PCI DSS de neden sızma testi ve Siem gerekli

E-ticaret pazarı milyarlarca dolarlık bir hacme ulaşmıştır. PCI DSS, Ödeme Kartları Sektörü Veri Güvenliği Standardı olarak bilinen, kredi kartlarını kullanan kuruluşlar için gerekli bir bilgi güvenliği standardıdır.

PCI Standardı, kart markaları tarafından zorunlu kılınır ancak Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (2006 yılında MasterCard, Visa, American Express vb. gibi firmalar konsorsiyumu) tarafından yönetilir. Standart, kredi kartı sahtekarlıklarını azaltmak ve müşteriye dair tüm bilgiler etrafındaki kontrolleri artırmak için oluşturulmuştur.

Müşteri ihtiyaç ve alışkanlıklarının değişmesi ile güvenlik standartlarının güncellenmesi gerekir. PCI DSS bir kuruluşun en az yılda bir kez ve bilgi altyapısındaki önemli değişikliklerden sonra bir sızma testi yapmasını gerektirir. Sızma testinin hem ağda hem de uygulama katmanlarında gerçekleştirilmesi ve testin hem dışarıdan hem de kuruluş ağının içinden yapılması gerekmektedir.

Sızma testi, test edilen sistemlerin desteklenmesinden ve çalıştırılmasından sorumlu çalışanlardan ve departmanlardan idari ve bağımsız olarak harici bir danışman veya kuruluşun dahili bir uzmanı tarafından yapılabilir.

Anlaşıldığı üzere, kart güvenliği uzmanları arasında, bir sızma testinin başarısının veya başarısızlığının belirlendiği kriterler konusunda bir yanlış anlama vardır. Yanlış kanı, sızma testini geçerli saymak için, sızma testi uzmanının kesinlikle kart sahipleri üzerindeki verilere ulaşabilir olması gerektiğidir. Ek olarak, hangi sızma sistemlerinin kritik kabul edildiği sorusu sıklıkla gündeme getirilir.

Kart sahiplerinin verileri ortamını güvenilir bir şekilde izole eden ağ bölümlemesi varsa ve PCI DSS uyum denetimi yeterli yalıtımı kanıtlamışsa, test alanının kart sahibi verileri ortamının sınırlarına indirilebileceğini düşünülür. Test alanına dahil edilen her şey, kart sahibi verilerinin işlenmesi, depolanması ve iletilmesiyle ilgili olduğundan, öncelikli kritik bir öneme sahiptir.

Bir sızma testinin amacı, anahtar sistemlere ve dosyalara yetkisiz erişimin elde edilip edilemeyeceğini bulmaktır. Yani, sızma testi alanını zafiyetler açısından araştırmak ve içerdiği sistemlerdeki ayrıcalıkları artırmak için bunlarda zafiyet olma olasılığını kontrol etmektir. Keşfedilen güvenlik açıkları düzeltilmeli ve ardından yeniden test edilmelidir. Hiçbir şekilde pentesterin amacı veya kart sahiplerinin verilerini tanımak, penetrasyon testinin başarısı için kriter değildir.

Sızma testi ve ASV taraması, bir kuruluşun bilgi güvenliği izlemesinin temel unsurlarıdır ve oldukça kritik bir bilgi altyapısındaki (kart sahibi verileri ortamı) güvenlik açıklarını tanımlamayı ve düzeltmeyi amaçlamaktadır. Burada, içerdiği sistemlerle ilgili olarak herhangi bir potansiyel, hatta yetkisiz ayrıcalıklar elde etme olasılığına dikkat etmek önemlidir.

E-ticaret sistemlerinde sorun yaşamamak için SSL sertifikası ve 3d secure gibi güvenlik önlemlerini aldıktan sonra açıkları tespit etmek için sızma testi yaptırmak gereklidir. Güvenlik verilerini toplamak,
endekslemek ve analiz etmek için bir SIEM kullanılmalıdır.