PCI DSS penetrasyon testi hakkında bilmeniz gerekenler

İşletmeniz kredi kartı ödemelerini kabul ediyorsa, kart sahibi verilerini korumak için Payment Card Industry Data Security Standard (PCI DSS) ile uyumluluğu sağlamalısınız. PCI DSS'nin birçok yönü vardır ve şirketler için en zorlayıcı olan sızma testidir.

İşletmenizin PCI DSS uyumlu olduğundan emin olmak için, sistemlerinizin ve süreçlerinizin kart sahibi verilerini güvende tutmak için uygun şekilde yapılandırılıp yapılandırılmadığını belirlemek için zaman zaman sızma testi yapılmalıdır.

PCI DSS Sızma Testi

Üç ana penetrasyon testi türü vardır: kara kutu, beyaz kutu ve gri kutu.

• Kara kutu penetrasyon değerlendirmesi, testler başlamadan önce herhangi bir bilgi sağlamaz
• Beyaz kutu değerlendirmesi, test sırasında uygulama ve ağ ayrıntılarını sağlar
• Gri kutu değerlendirmesi, hedef sistemler hakkında kısmi bilgi sağlar

Beyaz kutu ve gri kutu değerlendirmeleri, kart sahibi verileri ortamınızın (CDE) güvenlik durumu hakkında en iyi bilgileri sunar. Testler daha ucuzdur, daha az kaynak gerektirir ve daha akıcıdır.

Sızma Testi ile Güvenlik Açığı Taraması Arasındaki Fark

Sızma testi, güvenlik açığı taramasıyla aynı şey değildir.

Güvenlik açığı taramasının amacı, sistemlerinizi tehlikeye atabilecek zayıflıkları belirlemek, değerlendirmek ve bildirmektir. Genel olarak şirketler, güvenlik açığı değerlendirmelerini her üç ayda bir veya kart sahibi verileri ortamında önemli değişiklikler yaptıktan sonra yapmalıdır. Güvenlik açığı taramaları genellikle otomatik araçlar kullanılarak gerçekleştirilir ve daha sonra manuel doğrulama süreçleriyle takip edilir.

Öte yandan, bir sızma testinin amacı, güvenlik açıklarını arayarak bir sistemden yararlanmaktır. Penetrasyon testi, CDE'nin veya ağ sisteminin güvenliğini kırmaya yönelik kasıtlı bir süreçtir. İşlem daha uzun sürer, daha manueldir ve ağ sisteminin güvenlik durumuna kapsamlı bir genel bakış sağlar. Penetrasyon testi üç ayda bir değil, yıllık olarak yapılmalıdır.

Kart Sahibi Veri Ortamı'nın (CDE) kapsamı

PCI DSS, kart sahibi verileri ortamını hassas kredi kartı bilgilerinin iletilmesi, işlenmesi ve depolanmasıyla ilgili teknoloji, insanlar ve süreçler olarak tanımlar. Penetrasyon testi, kart sahibi verilerini işleyen tüm sistemleri ve süreçleri kapsamalıdır.

İlk sızma testi, kuruluşunuzun genel ağlarının erişilebilirliğini değerlendiriyor. Değerlendirme, kısıtlı kart sahibi verilerine erişimi olan tüm sistem ve süreçlerde yapılmalıdır. Ardından, hassas kredi kartı bilgilerine erişimi olan iç organizasyon sistemleri değerlendirilmelidir.

Penetrasyon testi sadece sistemleri değil, aynı zamanda şirketin ağına erişen süreçleri de kapsamalıdır. Kart sahibi verilerinizin bir kısmı CDE ortamının dışında depolanıyorsa, kurum içi sistemleri yetkisiz kullanıcılar tarafından sızmaya eğilimli hale getirebilecek herhangi bir güvenlik açığı bulunmadığından emin olmak için sistemler test edilmelidir.

Son olarak, kart sahibi verilerini depolamak, iletmek veya işlemek için kullanılan "kapsam dışı" sistemler de güvenli olduklarından emin olmak için test edilmelidir.

Kritik Sistemlerin Değerlendirilmesi

PCI DSS'ye göre kritik sistemler, kart sahibi verilerini işleyen altyapı, donanım ve süreçleri ifade eder. Sistemler, halka açık cihazlar, güvenlik yapılandırmaları ve kredi kartı bilgilerini depolayabilen, iletebilen ve işleyebilen genel donanımlar olabilir.

Güvenlik duvarları, e-ticaret yönlendirme sunucuları, kimlik doğrulama hizmetleri, izinsiz giriş tespit/önleme sistemleri ve diğerleri dahil olmak üzere kredi kartı işleme sisteminizin çeşitli bileşenleri üzerinde sızma testi gerçekleştirilebilir. Tüm bu teknoloji varlıkları, ayrıcalıklı kullanıcılar tarafından erişilen ve yönetilenlerle birlikte kritik sistemler kapsamındadır.

Uygulama Katmanı ve Ağ Katmanı Testi Arasındaki Fark

Son zamanlardaki kredi kartı altyapısı saldırıları, uygulama katmanlarındaki güvenlik açıklarından yararlanmaya odaklandı.

Birçok işletme, ödeme işleme altyapılarının bir parçası olarak eski uygulamaları, web uygulamalarını, mobil uygulamaları, açık kaynak bileşenlerini ve şirket içinde geliştirilen yazılımları kullanır. Uygulama katmanı testi, kuruluş tarafından kullanılan uygulamalara güvenlik açıklarından yararlanarak sızmaya çalışmayı içerir.

Öte yandan, ağ katmanı testi, bir kuruluşun ağının parçası olan cihazların bütünlüğünü ölçmeyi içerir. Örneğin, test, zayıf yönlerinden yararlanarak anahtarlara, yönlendiricilere, güvenlik duvarlarına ve sunuculara girmeye çalışmayı içerebilir. Bir ağ katmanında olabilecek tipik güvenlik açıkları arasında yanlış yapılandırılmış cihazlar, varsayılan parolalar ve yama uygulanmamış sistemler bulunur.

PCI DSS Tarafından Gerektirilen Uygulama Katmanı ve Ağ Katmanı Testleri

PCI DDS uyumlu olmak için kuruluşların kimlik doğrulamasını, PA-DSS uyumluluk uygulamalarını, web uygulamalarını ve ayrı bir test ortamını test etmesi gerekir.

1. i) Kimlik doğrulama. Burada işletmeler rolleri gözden geçirmeli ve çalışan ortamlarına erişim sağlamalıdır. Ayrıca, müşterilerin yalnızca verilerine erişmesini sağlamalıdırlar. Sızma testi yapılırken hem kart sahibi müşteri kontrolleri hem de işveren kullanıcı kontrolleri değerlendirilmelidir.
2. ii) PA-DDS uyumluluk uygulamaları. Bu uygulamaların test edilmesi gerekmez, ancak uygulanması gerekir. Test, ödeme sisteminin işlevselliğinden ziyade açıkta kalan hizmetlere ve işletim sistemlerine odaklanmalıdır.

iii) Web uygulamaları. Üçüncü taraf veya ticari uygulamalar kullanan şirketler için programların uygun şekilde uygulanmasını, güvenliğini ve yapılandırılmasını sağlamak çok önemlidir.

Yukarıdakiler, PCI DSS penetrasyon testine genel bir bakıştır.

Ken Lynch, çalışanları çalışmaya neyin teşvik ettiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır.