Yeni Ödeme Güvenliği Standartları Güncellemesinde Aciliyet Duygusu Yok (Donnie MacColl)

COVİD dünya çapındaki işletmeleri vurduğunda ve mağazalar kapandığında veya artık tercih edilen ödeme yöntemi olarak nakit kabul etmezken, ödeme kartı veri hacminde çarpıcı bir artış gördük. Günümüze hızlı bir şekilde ilerleyelim ve çevrimiçi işlemlerin hacmi ve
Satış noktası makinelerinin kullanımı artmaya devam ediyor. Verilerin çoğu bulutta tutulduğu için siber saldırı fırsatları da aynı anda artıyor; bu da Ödeme Kartı Endüstrisi Veri Güvenliği Standardının (PCI DSS) önceki versiyonunun devreye girmesi anlamına geliyor.
artık yeterli değil.

2004'ten beri PCI DSS, kredi kartı bilgilerini işleyen veya saklayan kuruluşların bunu güvenli bir şekilde yapabilmelerini sağlamaktadır. Salgının ardından güvenlik kontrollerine ilişkin rehberin acilen güncellenmesi gerekiyordu. İşte o zaman yeni sürüm – PCI DSS v4.0 –
duyruldu. Şirketlerin uygulamayı planlamak için iki yılı olmasına rağmen, çoğu finansal işletmenin Mart 2025'e kadar her şeyi yerine getirmesi gerekiyor. Ancak, aciliyet hissi yaratmadığı için uzun bir son teslim tarihine kadar çalışma riski var ve çoğu
Yeni standartta yer alan güvenlik güncellemelerinin büyük bir kısmı işletmelerin halihazırda uygulamaya almış olması gereken uygulamalardır.

Örneğin, “8.3.6 – Kimlik doğrulama faktörü olarak kullanıldığında şifrelerin minimum karmaşıklık düzeyi” veya “5.4.1 – Kimlik avı saldırılarına karşı personeli tespit etmek ve korumak için mekanizmalar mevcuttur”, “uygulanacak acil olmayan güncellemeler” olarak listelenmiştir. 36 ayda”.
Rusya-Ukrayna çatışmasının ardından artan siber tehditler göz önüne alındığında, bu zaman dilimi, müşteri verileri ve mahremiyeti için gerçek bir tehdit oluşturan finansal kurumların ve perakende işletmelerinin ihtiyaç duyduğu siber koruma düzeyini yükseltmek için yeterince hızlı değil.

Daha da detaylandırmak gerekirse, hem kapsamını hem de sınırlamalarını gösteren bazı önemli ve ilginç rakamlar var:

• 51 ve 2025, PCI DSS V4.0'ı çevreleyen temel sorunları göstermektedir – 51, şu an ile yürürlüğe girdikleri 2025 (üç yıl sonra) arasında "en iyi uygulama" olarak sınıflandırılan önerilen değişikliklerin sayısıdır!

Tüm V13 değerlendirmelerine yönelik, "Faaliyetlerin gerçekleştirilmesine yönelik roller ve sorumluluklar belgelenmiştir, atanmıştır ve anlaşılmıştır" gibi öğeleri içeren 4.0 acil değişikliğe daha yakından bakalım. Bunlar, 10 acil değişikliğin 13'unu oluşturuyor; bu da şu anlama geliyor:
“Acil güncellemelerin” büyük kısmı temelde şirketlerin bir şeyler yapmaları gerektiğini kabul ettiği sorumluluk noktalarıdır.

Şimdi gelin "Mart 2025'e kadar yürürlüğe girmesi gereken" güncellemelere bakalım:

• 5.3.3: Kötü amaçlı yazılımdan koruma taramaları çıkarılabilir elektronik ortam kullanıldığında gerçekleştirilir

• 5.4.1: Personeli kimlik avı saldırılarına karşı tespit edecek ve koruyacak mekanizmalar mevcuttur.

• 7.2.4: Tüm kullanıcı hesaplarını ve ilgili erişim ayrıcalıklarını uygun şekilde inceleyin.

• 8.3.6: Kimlik doğrulama faktörü olarak kullanıldığında parolaların minimum karmaşıklık düzeyi.

• 8.4.2: CDE'ye (Kart sahibi verileri ortamı) tüm erişimler için çok faktörlü kimlik doğrulama

• 10.7.3: Kritik güvenlik kontrol sistemlerindeki arızalara derhal müdahale edilir

Bunlar, 51 "acil olmayan" güncellemeden yalnızca altısı ve kimlik avı saldırılarının tespit edilmesinin ve kötü amaçlı yazılımdan koruma taramalarının kullanımının bu listenin bir parçası olmasını inanılmaz buluyorum. Kimlik avı saldırılarının tüm zamanların en yüksek seviyesinde olduğu bugün, herhangi bir küresel finansal durumun yaşanmasını bekliyorum.
Hassas verilere sahip kurumun bunları üç yıl içinde uygulamaya koymak yerine temel gereklilikler olarak uygulamaya koyması gerekiyor.

Büyük para cezaları tehdidine ve kuruluşların PCI standartlarına uymaması durumunda ödeme yöntemi olarak kredi kartlarının geri çekilmesi riskine rağmen, şu ana kadar yalnızca birkaç ceza uygulandı. Yeni gereklilikleri uygulamak için üç yıl daha beklemek
V4.0'da yer alan bazı değişiklikler, bazı değişikliklerin hak ettiği sahiplenme eksikliğini ima ediyor gibi görünüyor ve çok riskli.

Bunun, şirketlerin güncellemelerin bir kısmını veya tamamını henüz uygulamaya koymadığı anlamına gelmediğini takdir ediyorum. Ancak bu güncellemeleri yapmamış olanlar için, bu güncellemelerin uygulanması yatırım ve planlama gerektirecektir ve bu amaçlar doğrultusunda PCI DSS V4.0'ın daha spesifik olması gerekmektedir.
Örneğin, güvenlik arızalarına "derhal" müdahale edilmesi gerekiyorsa, bu 24 saat mi, 24 gün mü yoksa 24 ay mı anlamına geliyor? Paydaşlara daha spesifik son teslim tarihleriyle daha iyi hizmet verileceği kanaatindeyim.

PCI DSS V4.0, standardı ileriye taşımak için iyi bir temel oluştursa da, bunun daha büyük bir aciliyetle uygulanması gerekirdi. Evet, ele alınması gereken pek çok değişiklik var, ancak daha iyi bir strateji aşamalı bir yaklaşımı benimsemek, yani değişikliklere öncelik vermek olacaktır.
Hepsinin üç yıl içinde yürürlüğe girmesi gerektiğini söylemek yerine, 12 ay, 24 ay ve 36 ay sonra hemen gerekli.

Bu kılavuz olmadan, bazı kuruluşların bu projeleri uygulama planının son teslim tarihi yaklaştığında iki yıl içinde incelenmek üzere rafa kaldırması muhtemeldir. Ancak ödeme kartı suçlarının yaygın bir risk olmaya devam ettiği bir çağda, çok az risk söz konusu.
gecikmeden kazanılır.