Dijital dönüşümün yaygınlaşması, kişilerin alışveriş yapma şeklini değiştirdi. E-ticaretin büyümesi, kredi kartlarının en yaygın ödeme yöntemi olarak kullanılmasına yol açtı. Ancak bu sürecin yanlış yönetimi, şirket ve müşteri verilerinin bütünlüğünü ve güvenliğini tehlikeye atabiliyor. Nilson’un çeşitli raporlarına göre, 2022’de yapılan işlem hacmi 2021’e göre %7,5 artışla 624,860 milyar dolara ulaştı ve bu işlemlerin 2027’ye kadar 891 milyon dolardan fazla gelir getirmesi bekleniyor. Bütünleşik siber güvenlik alanında küresel bir lider olan WatchGuard, öngörülen tehditlere karşı şirketlerin yeni PCI DSS güvenlik standardına nasıl adapte olabileceğine dair 6 ipucunu sıralıyor.
Çevrimiçi işlemlere yönelik binlerce tehdit bulunuyor. Nilson’un çeşitli raporlarına göre, 2022’de yapılan işlem hacmi 2021’e göre %7,5 artışla 624,860 milyar dolara ulaştı ve bu işlemlerin 2027’ye kadar 891 milyon dolardan fazla gelir getirmesi bekleniyor. Bu durum şirketler adına, kart sahiplerinin kişisel ve bankacılık verilerini sistemlerde korumak için sıkı güvenlik önlemleri almaları gerektiği anlamına geliyor. Bu korumayı denetleyen ve geliştiren Ödeme Kartı Endüstrisi Veri Güvenliği Standartları Konseyi (PCI DSS), güvenli ödemelerin yaygınlaşması amacıyla kredi ve banka kartı işlemlerini, veri hırsızlığı ve dolandırıcılığa karşı güvenlik standartlarını, ağ mimarisini, yazılım tasarımını ve diğer kritik önlemleri yöneten küresel bir ödeme güvenliği forumu olarak 2004’ten bu yana görev alıyor.
Konsey, şu anda mevcut sistemleri 3.2.1 sürümünde olmasına rağmen Mart 2022’de, kuruluşların Mart 2025’e kadar uyması gereken en son 4.0 sürümünü tanıttı. Bu geçiş döneminde, şirketlerin değişikliklere adapte olmaları ve yürürlüğe girdiklerinde düzenlemelere uymak için gereken güvenlik uygulamalarını ve önerilerini hayata geçirmeleri önem taşıyor. Bütünleşik siber güvenlik alanında küresel bir lider olan WatchGuard, sürüm 4.0’daki önemli değişiklikleri ve yeni güvenlik standardına uyum sağlamak isteyen şirketler için 6 ipucunu paylaşıyor.
1. Özelleştirme ve uygulama esnekliği: Güncellenmiş versiyon, özelleştirilmiş uygulamaya izin vererek şirketlere gereksinimleri karşılamada daha fazla esneklik sağlıyor. Şirketler, belirli gereklilikleri karşılamadaki etkinliklerini gerekçelendirebildikleri sürece kendi kontrollerini tasarlayabiliyorlar. Mevcut kuralcı uygulama veya yeni özelleştirilmiş uygulama arasında seçim yapabiliyor ve telafi edici kontrolleri kullanma seçeneğini ortadan kaldırabiliyorlar.
2. Çok faktörlü kimlik doğrulama (MFA): PCI DSS, uzaktan erişimin yanı sıra kart sahibi veri ortamına (CDE) yönetici erişimi için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılıyor. MFA’nın etkinleştirilmesi, kimliklerin korunmasına ve hassas verileri işleyen sistemlere erişime yardımcı olan güçlü bir erişim kontrolü katmanı sağlıyor.
3. Veri şifrelemeye daha fazla önem verilmesi: Yeni standart, veri ihlali olaylarının sayısındaki artış ve yeni güvenlik açıkları nedeniyle depolanan kimlik doğrulama verilerinin şifrelenmesini gerektiriyor. Sürüm 3.2.1’de ise, şifreleme sadece bir tavsiye olarak sunuluyordu.
4. DESV’nin (Belirlenmiş Kuruluşlar Ek Doğrulaması) uzatılması: Önceki versiyonda, sadece güvenlik olayları yaşayan veya Konsey tarafından belirlenen kriterleri karşılayan kuruluşlar ek gerekliliklere uymak zorundaydı. Sürüm 4.0’da bu gereklilikler, özellikle kritik kontrollerin periyodik olarak gözden geçirilmesiyle ilgili olanlar olmak üzere, tüm kuruluşlar için geçerli hale geliyor.
5. Tehdit yönetimi: Bu özellik, kart sahibi verilerinin güvenliğini etkileyen potansiyel risklerin tanımlanmasını ve yönetilmesini içeriyor. Hem ağın hem de kart sahibi verilerini depolayan ve ileten cihazların sürekli tehdit izlemesi ve yama yönetimi önlemleri, devam eden bu riski ele almak için en iyi uygulamaların bir parçası olarak uygulanmalıdır. Uç nokta güvenlik çözümleri, ödeme cihazlarını ve bunlarla ilişkili tüm hassas bilgileri korumak için hizmetler sunuyor.
6. Sahte Erişim Noktası tespiti: Yeni standart, kart sahibi verilerinin depolandığı veya aktarıldığı tüm ağların bir parçası olarak, bu ağın kendisi kablosuz bağlantı içermese bile, sahte erişim noktası tespitini gerektiriyor. Sürüm 3.2.1’de, sahte erişim noktası tespiti yalnızca kablosuz bağlantı kullanımdayken gerekiyordu.
Kaynak: (BYZHA) Beyaz Haber Ajansı
Kaynak: (BYZHA) Beyaz Haber Ajansı
