Ana içeriğe geç

Uç Noktalar İçin PCI DSS Uyumluluğu Uygulaması — Teknik Özet

Bankacılık ve finansal güvenlik çerçevesi olan PCI DSS hakkında daha fazla bilgi edinin.

Yönetici özeti

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kart sahibi verilerini depolayan, işleyen veya ileten herhangi bir kuruluş için güvenlik kontrolleri zorunlu kılar. Uç nokta cihazları (Windows ve macOS dizüstü bilgisayarlar, iş istasyonları ve mobil cihazlar) genellikle Kart Sahibi Veri Ortamına (CDE) giriş noktalarıdır. PCI DSS'yi karşılamak için kuruluşlar, güvenlik duvarı yapılandırması, güvenli sistem sertleştirme, veri şifreleme, kötü amaçlı yazılımlara karşı koruma, yama ve güvenlik açığı yönetimi, erişim kısıtlamaları, kimlik ve kimlik doğrulama kontrolleri ve uç noktalarda günlük kaydı/izleme gibi teknik kontroller uygulamalıdır. Trio'nun uç nokta yönetim platformu (aracı, politika motoru, telemetri hattı, uzaktan erişim desteği), bu kontrolleri uygulamak ve denetim sınıfı kanıtları yakalamak için bir temel sağlar.

Desteklenen platformlar ve birincil kullanım durumları

  • Desteklenen uç noktalar: Windows, macOS (aracı tabanlı yönetim)

  • Birincil kullanım durumları: Ödeme kartı işleme terminalleri, PAN/SAD işleyen uzaktan çalışan uç noktaları, kart veri ortamlarını yöneten hizmet sağlayıcıları

  • Bölgesel kapsam: Düzenleyici/bölgesel ihtiyaçlara göre yerel altyapı/ikamet seçenekleriyle küresel

Üst düzey mimari ve güvenli veri akışları

Temel bileşenler:

  • Uç nokta aracısı (Trio Aracısı), güvenlik temellerini uygulamak, envanter/telemetri raporlamak, uzak oturumları desteklemek için Windows/macOS'a yüklenir.

  • Kontrol düzlemi — merkezi politika ve uyumluluk sistemi, dağıtım orkestrasyonu, politika atama hedefleme, denetim izi günlüğü.

  • Kimlik ve erişim dokusu — kurumsal IAM (AD/Entra/SCIM/IdP) ile entegrasyon, MFA uygulaması, rol tabanlı yönetici erişimi.

  • Telemetri alımı ve SIEM — güvenli günlük iletme, yapılandırılmış olay yakalama (politika değişiklikleri, kimlik doğrulama, cihaz duruşu), güvenlik izleme ile entegrasyon.

  • Yama ve güvenlik açığı orkestrasyonu — güvenlik açığı tarayıcılarına ve yama depolarına bağlayıcılar, kanıt toplama, hazırlama ve dağıtım yönetimi.

  • Güvenlik duvarı ve ağ uygulaması — cihaz ve ağ sınırında politika uygulaması, segmentasyon, onaylı kural kümeleri.

Veri akışları:

  1. Cihaz, sertifika veya güvenli belirteç aracılığıyla kaydolur ve kimliğini doğrular.

  2. Aracı, cihaz durumunu (envanter, yapılandırmalar, yama durumu) şifreli kanal aracılığıyla kontrol düzlemine raporlar.

  3. Kontrol düzlemi, hedeflenen politikaları dağıtır (örneğin, güvenlik duvarı kural kümeleri, disk şifreleme, kötü amaçlı yazılımlara karşı koruma).

  4. Telemetri, uyarı ve kanıt için izleme sistemlerine/SIEM'e iletilir.

  5. Kanıt paketleri (politika atama geçmişi, yama günlükleri, erişim günlükleri) denetim için dışa aktarılır.

PCI DSS kontrol kategorileri ve ilgili referanslar

İşte PCI DSS gereksinim referanslarıyla uyumlu, listelediğiniz belirli kontrol kategorileri:

  • Güvenlik Duvarı Yapılandırması – (3 Kontrol Testi)
    PCI DSS Gereksinimi 1 (Kart sahibi verilerini korumak için ağ güvenlik kontrollerini kurun ve sürdürün) ve Gereksinim 2 (Satıcı tarafından sağlanan varsayılanları kullanmayın).

  • Güvenli Yapılandırma – (5 Kontrol Testi)
    PCI DSS Gereksinimi 2 (güvenli yapılandırma), Gereksinim 6 (güvenli sistemler ve uygulamalar geliştirin ve sürdürün).

  • Depolanmış Verileri Koruyun – (2 Kontrol)
    PCI DSS Gereksinimi 3 (depolanmış kart sahibi verilerini koruyun) ve Gereksinim 3 (şifreleme ve saklama dahil).

  • Veri İletim Şifrelemesi – (2 Kontrol)
    PCI DSS Gereksinimi 4 (kart sahibi verilerinin açık, genel ağlar üzerinden iletimini şifreleyin).

  • Kötü Amaçlı Yazılımlara Karşı Koruma – (2 Kontrol)
    PCI DSS Gereksinimi 5 (tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve anti-virüs yazılımını veya programlarını düzenli olarak güncelleyin).

  • Yama ve Güvenlik Açığı – (2 Kontrol)
    PCI DSS Gereksinimi 6 (güvenli sistemler/uygulamalar geliştirin ve sürdürün) ve Gereksinim 11 (güvenlik sistemlerini ve süreçlerini düzenli olarak test edin).

  • Erişim Kısıtlaması – (2 Kontrol)
    PCI DSS Gereksinimi 7 (kart sahibi verilerine erişimi iş ihtiyacına göre kısıtlayın) ve Gereksinim 8 (sistem bileşenlerine erişimi tanımlayın ve kimliğini doğrulayın).

  • Kimlik ve Erişim – (5 Kontrol)
    PCI DSS Gereksinimi 8 (Erişimi Tanımlayın ve Kimliğini Doğrulayın) birçok alt kontrolü kapsar (benzersiz kimlikler, kimlik doğrulama faktörleri, hesap yaşam döngüsü).

  • Günlük – (2 Kontrol)
    PCI DSS Gereksinimi 10 (Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin) ve Gereksinim 12 (Bilgi güvenliğini ele alan bir politika sürdürün).

Kontrollerin uç nokta ve Trio uygulamasına eşlenmesi (teknik odak)

Güvenlik Duvarı Yapılandırması

  • Uç noktalarda cihaz düzeyinde güvenlik duvarı profillerini uygulayın, gelen/giden trafiği CDE ile ilgili bağlantı noktalarıyla kısıtlayın, cihaz politikası aracılığıyla segmentasyon kurallarını uygulayın.

  • Ağ sınırı kural kümeleri (aracı + ağ sensörü) izlenir ve denetlenir; kontrol düzlemi kural değişikliklerini, sürümlemeyi ve gerekçeyi kaydeder.

Güvenli Sistem Yapılandırması

  • Temel yapılandırmaları dağıtın (disk şifreleme, uç nokta sertleştirme, kullanılmayan hizmetleri devre dışı bırakma, varsayılan hesapları kaldırma).

  • Trio'nun politika motorunu kullanarak yapılandırma profillerini itin, kaymayı sürekli olarak izleyin ve sapmaları düzeltin.

Depolanmış Verileri Koruyun

  • Kart sahibi verilerini depolayan cihazlar için bekleme sırasında şifreleme uygulayın: macOS'ta FileVault, Windows'ta BitLocker.

  • Şifrelemeyi uygulamak ve kanıt günlükleri oluşturmak için uç nokta politikasını kullanın (şifreleme durumu, anahtar depolama, kurtarma anahtarları).

Veri İletim Şifrelemesi

  • PAN/SAD içeren tüm cihaz iletişimleri için TLS 1.2+ gerektirin; tüm açık metin protokollerini devre dışı bırakın.

  • Uzak oturumlar, sertifika doğrulama ve anahtar değişim protokolleri için şifreli tünelleri uygulamak üzere cihaz politikasını kullanın.

Kötü Amaçlı Yazılımlara Karşı Koruma

  • Tüm uç noktalarda yeni nesil kötü amaçlı yazılımlara karşı koruma/uç nokta algılaması uygulayın; sürekli imza ve davranış güncellemeleri.

  • Kötü amaçlı yazılım olayları için gerçek zamanlı izleme, planlı taramalar, karantina politikası ve günlük toplama uygulamak için Trio'yu kullanın.

Yama ve Güvenlik Açığı Yönetimi

  • Tüm yazılım bileşenlerinin envanterini tutun; düzenli güvenlik açığı taramaları planlayın ve tanımlı pencereler içinde kritik yamalar uygulayın.

  • Trio, tarayıcı sonuçlarıyla entegre olur, yama dağıtımını otomatikleştirir ve düzeltme kanıtı toplar (önce/sonra anlık görüntüleri, karma karşılaştırması).

Erişim Kısıtlaması ve Kimlik ve Erişim

  • En az ayrıcalık uygulayın: tüm personel için benzersiz kullanıcı kimlikleri (Gereksinim 8.1), hesap yaşam döngüsünü otomatikleştirin, MFA'yı uygulayın (Gereksinim 8.3), hesapları derhal iptal edin (Gereksinim 8.1.3).

  • Kart sahibi verilerine erişimi bilme ihtiyacına göre kısıtlayın (Gereksinim 7), rol tabanlı erişim kontrolleri uygulayın, hizmet sağlayıcı istisnaları belgelenir (Gereksinim 8.2).

  • Trio'nun kimlik entegrasyonu MFA'yı uygular, oturum günlüklerini izler, ayrıcalıklı hesap kullanımını denetler ve duruşa göre koşullu erişimi destekler.

Günlük Kaydı ve İzleme

  • Kullanıcı erişimi, cihaz değişiklikleri, uzak oturumlar, yapılandırma değişiklikleri için günlükleri yakalayın; minimum 1 yıl saklayın (Gereksinim 10) ve günlükleri düzenli olarak inceleyin.

  • Belgelenmiş günlükler, prosedürler ve sorumluluklar gerektiren güvenlik politikalarını uygulayın (Gereksinim 12); Trio'nun telemetri hattı olayları güvenli bir şekilde SIEM'e iletir, denetçiler için kanıt saklar ve anormallik algılamayı destekler.

Kanıt ve denetlenebilirlik — ne toplanmalı

  • Cihaz envanteri anlık görüntüleri (zaman damgaları, cihaz kimliği, işletim sistemi sürümü)

  • Güvenlik duvarı/yapılandırma kuralı değişiklik günlükleri (yönetici, zaman damgası, gerekçe)

  • Uç noktalar için şifreleme durumu raporları (cihaz, kullanıcı, tarih)

  • Güvenlik açığı tarama sonuçları ve yama iş günlükleri (CVSS, cihaz, uygulanan yama)

  • Kimlik doğrulama günlükleri (MFA kullanımı, oturum açma girişimleri, kullanıcı kimliği)

  • Uzak oturum günlükleri (başlangıç/bitiş, başlatıcı, cihaz)

  • Günlük saklama kanıtı (günlük hacmi, saklama politikası, dışa aktarılabilirlik)

  • Politika atama ve sürüm geçmişi (kim neyi ne zaman değiştirdi)

Günlüklerin değiştirilemez (WORM veya yalnızca ekleme), gerektiğinde imzalı ve dışa aktarılabilir (PDF, JSON bildirimleri) olarak depolandığından emin olun. Denetim kanıtı için gözetim zincirini koruyun.

Operasyonel çalıştırma kitabı (dağıtım sırası)

  1. Kapsam ve sınıflandır: Kart sahibi veri ortamı (CDE) için kapsam dahilindeki uç noktaları belirleyin.

  2. Temel kayıt ve sertleştirme: Aracıyı dağıtın, şifrelemeyi uygulayın, uç nokta güvenlik duvarını ve güvenlik temelini uygulayın.

  3. Kimlik ve erişim kurulumu: Benzersiz kimlikleri etkinleştirin, paylaşılan hesapları devre dışı bırakın, MFA'yı uygulayın, roller oluşturun.

  4. Ağ güvenlik duvarı segmentasyonu: Çevre ve dahili güvenlik duvarı politikalarını dağıtın, trafiği CDE bölgeleriyle kısıtlayın.

  5. Kötü amaçlı yazılım ve yama dağıtımı: Uç nokta algılamayı dağıtın, kritik yamaları planlayın ve uygulayın, güvenlik açığı taramasını entegre edin.

  6. Günlük kaydı ve izleme: Telemetri iletmeyi, SIEM entegrasyonunu, günlük saklamayı ve periyodik incelemeyi yapılandırın.

  7. Denetim hazırlığı: Dışa aktarılabilir kanıt paketleri hazırlayın; QSA değerlendirmesinden önce kontrolleri doğrulamak için dahili denetim simülasyonları başlatın.

Kullanım durumları ve pratik senaryolar

  • Perakende ödeme terminalleri: Kart kabul eden cihazlardaki Windows/gömülü uç noktalar, toplu işlemden önce şifreleme, güvenlik duvarı, kötü amaçlı yazılımlara karşı koruma uygulayın.

  • Arka ofis kurumsal uç noktaları: Kart sahibi verilerini işleyen macOS/Windows dizüstü bilgisayarlar, yama pencerelerini uygulayın, en az ayrıcalıklı kullanıcı erişimi, Trio aracılığıyla uzaktan erişimin günlüğünü tutun.

  • Hizmet sağlayıcıları: Satıcılar için kart verilerini işleyen yönetilen hizmet sağlayıcıları, müşteri başına benzersiz kimlik bilgilerini ve tam erişim denetim izlerini gösterir.

Sınırlamalar ve telafi edici kontroller

  • Modern sertleştirmesi olmayan eski işletim sistemi sürümleri, telafi edici kontroller gerektirebilir (ağ yalıtımı, uygulama beyaz listesi).

  • BYOD/desteklenmeyen uç noktalar görünürlüğü azaltabilir; bunun yerine ağ erişim kontrollerini ve konteynerleştirmeyi uygulayın.

  • Son derece yüksek yama gecikmesi veya çevrimdışı cihazlar: çevrimdışı politika uygulama önbellekleri, periyodik denetim doğrulamaları gerektirir.

Uç noktalar için PCI DSS uyumluluğu neden önemlidir (teknik gerekçe)

  • Kart sahibi verilerini uç nokta tabanlı tehditlerden (kötü amaçlı yazılım, kimlik bilgisi hırsızlığı, yamalanmamış güvenlik açıkları) korur.

  • Uç nokta kontrollerini standartlaştırılmış gereksinim numaralarıyla hizalayarak denetlenebilir kanıt yakalamayı sağlar ve QSA değerlendirmelerini basitleştirir.

  • Daha geniş kurumsal güvenlik için bir temel görevi görür — güvenli bir uç nokta ortamı, ödeme kartı işleme için genel risk yüzeyini azaltır.

İlgili Makaleler
Uyumluluk Otomasyonu
Yazılım Politikası
Trio ile Uç Noktalar İçin SAMA Uyumluluğu Uygulama — Teknik Genel Bakış
Trio ile Uç Noktalar İçin NCA Uyumluluğu Uygulama — Teknik Özet
Trio IdP'yi Anlamak: Modern Kimlik Yönetiminin Mimarisi
Bu cevap sorunuzu yanıtladı mı?