PCI-DSS nedir?
PCI-DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), kart sahibi verilerini korumak ve kredi kartı bilgilerini işleyen, saklayan veya ileten tüm kuruluşların güvenli bir ortam sürdürmesini sağlamak amacıyla PCI Güvenlik Standartları Konseyi tarafından belirlenen güvenlik gereksinimleri kümesidir.
Diğer adlarıyla: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI-DSS altı kategoride 12 temel gereksinim tanımlar: güvenli ağ altyapısı oluşturma ve sürdürme, kart sahibi verilerini koruma, güvenlik açığı yönetimi programı sürdürme, güçlü erişim denetimi önlemleri uygulama, ağları düzenli olarak izleme ve test etme, bilgi güvenliği politikası sürdürme. Standart, ödeme kartı işlemine dahil olan her kuruluş için geçerlidir: tüccarlar, işlemciler, edinenler, düzenleyenler ve hizmet sağlayıcılar.
3. ve 4. gereksinimler şifreleme açısından özellikle önemlidir: 3. Gereksinim, saklanan kart sahibi verilerinin korunmasını (belirli şifreleme, karma ve kesme yöntemleriyle) zorunlu kılarken, 4. Gereksinim açık, genel ağlar üzerinde iletim sırasında kart sahibi verilerinin şifrelenmesini gerektirir. 7. Gereksinim en az ayrıcalıklı erişimi zorunlu kılar; 8. Gereksinim tüm sistem bileşenlerine erişim için benzersiz tanımlama ve güçlü kimlik doğrulama ister. Uyumluluk, işlem hacmine bağlı olarak öz değerlendirme anketleri veya yerinde denetimler aracılığıyla doğrulanır.
PCI-DSS uyumu, kart sahibi veri ortamının (CDE) ötesine, CDE güvenliğini etkileyebilecek sistemlere uzanır. Bu, ödeme sistemleri için kimlik bilgilerinin nasıl yönetildiğini ve paylaşıldığını da kapsar. Ödeme işleme sistemlerinin veritabanı parolalarını veya API anahtarlarını e-posta veya şifrelenmemiş kanallar üzerinden paylaşmak, PCI-DSS'in güçlü erişim denetimleri ve şifrelemeye ilişkin gereksinimlerinin ruhuna ve çoğu zaman lafzına aykırıdır.
Vaulted PCI-DSS nasıl kullanır
Vaulted, ödeme sistemleri ve kart sahibi veri ortamlarıyla ilgili kimlik bilgilerini paylaşmak için şifreli ve geçici bir kanal sağlayarak PCI-DSS uyumunu destekler. Ekiplerin PCI kapsamındaki sistemler için veritabanı kimlik bilgileri, ödeme ağ geçidi API anahtarları veya erişim token'ları paylaşması gerektiğinde, Vaulted verilerin iletilmeden önce istemci tarafında AES-256-GCM ile şifrelenmesini ve kullanımdan sonra otomatik olarak silinmesini sağlar. Bu, e-postalardaki kalıcı düz metin gizli dizileri kendiliğinden yok olan ve sıfır bilgi bağlantılarıyla değiştirerek PCI-DSS 4. Gereksinimi (aktarım sırasında veriyi şifrele) ve 7. Gereksinimi (erişimi ihtiyaç temelinde kısıtla) ile örtüşür.