PCI DSS 3.2 için Çalışmalar Başladı

1 Star2 Stars3 Stars4 Stars5 Stars
(No Ratings Yet)
Loading...
Share

Ateş Sünbül tarafından 13.Nisan.2016’da LinkedIn’de paylaşılan yazıdan alıntıdır.

Nisan 2015 itibariyle PCI DSS v3.1 yürürlüğe girmiş ve denetimler bu standart üstünden yapılmaya başlanmıştı. PCI konseyinin yaşam döngüsü gereğince 3 yıllık bir yaşam döngüsü içinde standartlar güncelleniyor ve yeni kontrol maddeleri tasarlanıyor.

Bu çerçevede standartın 3.2 sürümü için PCI konseyi ilk tasarılarını açıkladı ve geçerlilik tarihi 1 Ocak 2018 olacaktır. 3.2 standartında özetle gelecek kontroller:

  • Eski TLS / SSL teknolojilerinin kullanımı için artık uzatma olmayacaktır.
  • PAN bilgisinin ilk 6 ve son 4 hanesinden fazlasının gösterilmesine imkan verecek esneklikler tanımlanacak.
  • İki faktörlü doğrulamanın kapsamı değişecek ve genişleyecektir.

 

Değişikliklerin detaylarını biraz irdeleyecek olursak:

  • Designated Entities Supplemental Validation (DESV) ve Eski TLS / SSL kullanım maddeleri raporun bir eki haline geliyor.
  • PAN bilgisinin ilk 6 ve son 4 hanesinden fazlasının gösterilmesine imkan verecek esneklikler tanımlanacak. Esnekliklerin sınır ve istisnaların tanımı henüz net olmamakla birlikte iş ihtiyaçları gözetileceği ifade edilmektedir.
  • Değişiklik yönetim sürecinin bir kontrol adımı olarak her yapılan değişikliğin PCI DSS kontrollerine etkisinin varlığı sorgulanacaktır.
  • Servis sağlayıcı statüsünden PCI DSS kapsamına giren şirketler için ek olarak:
    • Kriptolama mimarisini çizmeleri ve tanımlamaları gerekliliği tanımlanmıştır.
    • Kritik güvenlik sistemlerindeki hata ve devredışı kalmaları tespit etmeleri ve raporlamaları gerekliliği tanımlanmıştır.
    • Güvenlik sızma testleri yılda 2 kere yapılması gerekliliği tanımlanmıştır.
    • PCI DSS uyum programı tasarlamaları ve işletmeleri gerekliliği tanımlanmıştır.
    • En az fazla her çeyrekte olacak şekilde personelin güvenlik kurallarını takip ettiğini teyit etmesi gerekliliği tanımlanmıştır.
  • Kart Veri Envanterine (CDE) yapılacak yönetimsel (Admin) müdahalelerin iç ağda dahi olsa iki faktörlü doğrulamadan geçmesi mecburiyeti tanımlanmıştır.
Share

Leave a Reply

Copy Protected by Chetan's WP-Copyprotect.