Ağ segmentasyonu ve PCI uyumluluğu

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) uyum yolculuğunuzun kapsamını formüle ederken başlangıç ​​noktası ağ segmentasyonu ile başlar. Bu, yalnızca veri güvenliği ihtiyaçlarınıza odaklanan kontroller oluşturmayı gerektirir.

PCI ağ bölümlendirme standartlarını karşılamanız için öncelikle standardın amaçlarını ve amacını anlamalısınız.

Kart Sahibi Veri Ortamı (CDE) nedir?

PCI DSS, kart sahibi verilerini (CHD), bir bireyin banka veya kredi kartıyla ilişkili herhangi bir kişisel olarak tanımlanabilir veri olarak özetler. Bu tanım aynı zamanda Birincil Hesap Numaralarını (PAN'lar), hizmet kodunu, kart sahibi adını, son kullanma tarihini ve diğer hassas kart kimlik doğrulama verilerini de içerir. Basitçe söylemek gerekirse, CDH, bir bireyin kartına sahte ödemeler yapmak veya bir kimliği çalmak için kullanılabilecek herhangi bir bilgiyi içerir.

Kart sahibi verileri ortamı, bu bilgilerin işlenmesinde, depolanmasında veya iletilmesinde yer alan bilgisayarları veya ağ sistemlerini içerir. CDH, sunucular, ağ cihazları, bilgi işlem cihazları ve uygulamalar gibi ilgili sistem bileşenlerini içerir. Bunlar sanal bileşenler, güvenlik hizmetleri, ağ bileşenleri, uygulamalar, sunucu türleri ve CDE'ye bağlı diğer her şey olabilir. Sistemler veya çalışanlar CHD'ye erişebiliyorsa, bu, şirketinizin diğer yönlerinden ayrılmalıdır.

PCI DSS ve Ağ Segmentasyonu

Ağ segmentasyonu, bilgilerin sistemleriniz aracılığıyla iletilme şekline bakmayı gerektirir. CDE'nizi bir nehir ve kart sahibi verilerini akan sularda seyreden bir kano olarak görmelisiniz. Nehirlerin genellikle tekneler için birden fazla erişim noktası vardır. Aynı şekilde, ağınızın çeşitli veri erişim noktaları vardır. Onlar, kendilerine bağlı kolları olan nehirler gibidirler. CHD'niz ağınız içinde bir yolda yüzebildiği sürece, ya bir baraj inşa etmeye ya da o kolu korumaya ihtiyaç vardır.

Örneğin, bağlantı, PCI DSS tarafından kablosuz, sanallaştırılmış ve fiziksel olarak tanımlanır. O nehrin aşağısındaki herhangi bir noktada, CHD girebilir. Kablosuz bağlantı, Bluetooth bağlantılarını ve LAN'ları içerebilir. Fiziksel bağlantı USB sürücüler olabilir. Sanallaştırılmış bağlantı, genellikle sanal makineler ve sanal güvenlik duvarları dahil olmak üzere paylaşılan kaynakları içerir. CHD'nin tehlikeye girmemesi için bu veri erişim noktalarını güvenceye almanız önerilir.

Şirketler Kapsam Sistemleri Nasıl Kapsama Alır?

PCI DSS kapsam belirleme, CDE nehrinizde bulunan tüm veri erişim noktalarının ve alt birimlerin kritik değerlendirmesini içermelidir. PCI DSS değerlendirmesi, CHD'nin nasıl ve nerede alındığının sınıflandırılmasıyla başlar. CDE nehirinizin kıyısında bir aşağı bir yukarı dolaşırken, kart sahibi verilerini kabul etmek için yöntemlerin yanı sıra tüm ödeme kanallarını tam olarak belirlemelisiniz. Daha sonra toplamadan başlayarak imha, bertaraf ve transfere kadar olan bilgi yolculuğunu takip edin.

Ayrıca, CDE'nizde verilerin depolandığı, işlendiği veya iletildiği yerlerimizi tam olarak belirlemeli ve işaretlemelisiniz. Bu tanımlama, yalnızca verileri kimin işlediğini değil, aynı zamanda bilgilerin nasıl işlendiğini anlamayı da içerebilir. Veri ortamınızın güvenliğini sağlamak için uyguladığınız süreçleri ve teknolojileri de belgelemelisiniz.

Ağınız üzerinden bilgi akışını izledikten sonra, CDE'yi etkileyen tüm süreçleri, insanları ve sistem bileşenlerini dahil ettiğinizden emin olun. Bu, CHD ile etkileşime girenlerin ötesine bakmanızı gerektirdiği için öncekinden farklı olan çok önemli bir adımdır. Bunun yerine, veri ortamınızı yöneten insanlara ve sistem bileşenlerine odaklanmalısınız.

Veri nehriniz gözden geçirildikten sonra, bilgileri korumak için kontroller oluşturmanız gerekir. Bu, çoğu nehirde, kayıkçıların belirli noktalarda giriş kazanmasını önlemek için yapılan inişlere sahip olmasıyla aynı şekildedir. Bunu perspektife sokmak için kontroller çok önemlidir. Benzer şekilde, önemli bilgilerin nereye gidebileceğini ve ona kimlerin erişebileceğini sınırlamanın bir yolunu bulmalısınız.

Bunu yapabilmeniz için barajların veri güvenliği sürümünü kurmanız gerekiyor. Bu, şifreleme yöntemlerini ve güvenlik duvarlarını ayarlamayı içerebilir. Kontrolü sağladıktan sonra, süreçlerinizi, sistem bileşenlerini ve personelinizi güvence altına almak için bunu uygulamanız gerekir. En önemlisi, yaptığınız değişikliklerin CDE'nizle birlikte gelişmesini sağlamak için kontrolleri izlemelisiniz.

Kapsam Dışı Sistemler Var mı?

Kapsam dışı sistemler, Payment Card Industry Security Standard Council (PCI SSC) tarafından CDE sistemlerine erişimi olmayan sistemler olarak tanımlanır. Özellikle, kapsam dışı sistemler nadir hale geldi. PCI SSC, sistem bileşeninin CHD'yi depolamamasını, işlememesini ve hatta iletmemesini şart koşar. Benzer şekilde, CHD'ye dokunan herhangi bir ağ kesimine bağlanmamalıdır.

Üçüncü taraflar ve hizmet sağlayıcılar, PCI güvenlik standartları uyumluluğunuz kapsamındadır. Nehrinizin orman bekçilerine benziyorlar. İş ortağınız olarak size uzaktan hizmet sunarlar. Veri ortamınızla sürekli olarak etkileşime girdiklerinden, CHD'yi tehlikeye atabilecek riskler getirebilirler. Bu, satıcı ekosisteminizi yönetmenin yanı sıra üçüncü taraf izlemeye katılmanın önemini vurgular.

Editörün Notu: Ken Lynch, çalışanları neyin çalışmaya ittiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır. ReciprocityLabs.com'da daha fazla bilgi edinin.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

• PCI DSS günlük yönetimi
• SOC2 denetiminin kapsamını belirleme
• Denetim gereksinimleri – Özel ABD şirketleri
• Risk yönetim planı – Ne için?
• İç denetim etkinliği veri analitiği stratejisi