DataSecurity Plus'ı kullanarak
PCI DSS uyumluluğunu sağlama

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), tüccarlar, işleyiciler, alıcılar, düzenleyen kuruluşlar ve hizmet sağlayıcılar da dahil olmak üzere, ödeme kartı işlemeyle ilgilenen tüm kuruluşlar için geçerlidir. Bu aynı zamanda ödeme kartı bilgilerini, kart sahibi verilerini veya hassas kimlik doğrulama verilerini kabul eden, saklayan veya aktaran başka kuruluşlar için de geçerlidir.

ManageEngine DataSecurity Plus — PCI uyumluluk yazılımımız — aşağıdakiler yoluyla PCI DSS gerekliliklerini karşılamaya yardımcı olur:

Depolama ortamlarındaki ödeme kartı bilgilerinin bulunması ve raporlanması.
Hassas dosyaların güvence altına alınma, işlenme ve aktarılma şeklinin denetlenmesi.
Kart veri ortamında dosya bütünlüğünün izlenmesi.
Güvenlik izinleri ve dosya depolamaya ilişkin gelişmiş içgörülerin sağlanması.
Hassas dosyaların kazara ve kötü amaçlı veri sızıntılarına karşı korunması.

Ve çok daha fazlası.

PCI DSS uyumluluk yazılımımızın, PCI uyumluluk gerekliliklerinin karşılanmasına nasıl yardımcı olduğu

Bu tabloda, DataSecurity Plus tarafından karşılanan çeşitli PCI DSS gereklilikleri listelenmektedir.

PCI gerekliliklerinin ne olduğu	Yapmanız gerekenler	DataSecurity Plus'ın size nasıl yardımcı olduğu
Gereksinim 2.2.5 Komut dosyaları, sürücüler, özellikler, alt sistemler, dosya sistemleri ve gereksiz web sunucuları gibi gerekli olmayan tüm işlevleri kaldırın.	Komut dosyaları ve dosya sistemleri dahil olmak üzere tüm sistem bileşenlerini tanımlayın ve kullanılmayanları kaldırın.	Kullanılmayan dosyaları bulun: Uzun süre boyunca erişilmemiş veya değiştirilmemiş olan dosyalar, komut dosyaları, toplu dosyalar ve daha fazlası hakkında raporlar alın. Bu raporlar, yedekli, eski ve önemsiz (ROT) dosya yönetimini basitleştirir ve güncelliğini yitirmiş izinlere veya verilere sahip, savunmasız güvenlik açığı olan dosyaların sayısını azaltır.
Gereksinim 3.1 Tüm kart sahibi verilerinin depolanması için en azından aşağıdakileri içeren veri saklama ve imha ilkeleri, prosedürleri ve süreçlerini uygulayarak depolanan kart sahibi verilerini asgari düzeyde tutun: Veri depolama miktarının ve saklama süresinin yasal, düzenleyici ve/veya iş gereklilikleri açısından gerekli olanlarla sınırlandırılması Kart sahibi verileri için özel saklama gereklilikleri Artık ihtiyaç duyulmadığında verilerin güvenli bir şekilde silinmesini sağlayacak süreçler Depolanan kart sahibi verileri arasında tanımlanan saklama süresini aşanların tanımlanmasına ve güvenli bir şekilde silinmesine yönelik olarak üç ayda bir yürütülen bir süreç	Kart verileri ortamınızdaki (CDE) düzenlemeye tabi verileri düzenli olarak taramadan geçirin. Veri saklama ilkeleri oluşturun; artık ihtiyaç duyulmadığında, toplanan veriler silinmelidir. İzin verilen kullanım süresini aşacak şekilde saklanan kart sahibi verilerini bulun ve kaldırın.	PCI ve kart sahibi verilerini bulma Kuruluşunuz tarafından depolanan PCI ve kart sahibi verilerini bulmak için dahili veri bulma kurallarını kullanın. Hangi verilerin, nerede, kim tarafından ve ne kadar süre boyunca saklandığıyla ilgili bir envanter oluşturun. Bu, yöneticilerin yalnızca gerekli verilerin saklandığından emin olmalarını sağlar. ROT veri analizi Kart sahibi verilerinin amaçlanan saklama süresin aşacak biçimde saklanmadığından emin olmak için eski, kullanılmayan ve değiştirilmemiş dosyaları tespit edin. Zamanlanmış veri risk değerlendirmesi taramaları Periyodik kart sahibi verilerini bulma taramaları gerçekleştirin, yeni ve yakın zamanda değiştirilmiş olan dosyaların artımlı olarak taranmasını etkinleştirin ve düzenlemeye tabi verilerin her örneğinin bulunup kataloğa dahil edildiğinden emin olun. Hassas veri depolama ilkelerini ihlal eden dosyaları karantinaya almak veya silmek için komut dosyalarını da kullanabilirsiniz.
Gereksinim 3.2 Yetkilendirme sonrasında hassas kimlik doğrulama verilerini saklamayın. Hassas kimlik doğrulama verileri, kart sahibinin adını, birincil hesap numarasını (PAN), kart doğrulama kodunu, kişisel kimlik numarasını (PIN) ve daha fazlasını içerir. Aşağıdaki durumlarda, düzenleyen kuruluşların ve düzenleme hizmetlerini destekleyen şirketlerin hassas kimlik doğrulama verilerini depolamasına izin verilir: İş gerekçesi varsa Ve veriler güvenli bir şekilde saklanıyorsa	Veri kaynaklarını inceleyerek hassas kimlik doğrulama verilerinin yetkilendirme sonrasında saklanmadığını teyit edin.	PCI veri keşfi Anahtar sözcük eşleştirme ve düzen eşleştirme kombinasyonuyla etkili veri keşfi uygulayın. Bunlar birlikte kullanıldığında kart doğrulama değerlerini (CVV), PIN, PAN ve diğer kimlik doğrulama verilerini bulmanıza yardımcı olacaktır. Güven puanlaması Bir eşleşmenin Yanlış Pozitif yerine Gerçek Pozitif olma kesinliğini belirlemek üzere potansiyel eşleşmelerin bağlamını doğrulayın. Yanıt otomasyonu Tespit edilen kart verilerini silme veya karantinaya alma işlemlerini otomatikleştirin veya komut dosyalarını kullanarak özelleştirilmiş bir işlemin yürütülmesi yoluyla bunların kullanımını sınırlayın.
Gereksinim 3.5.2 Kriptografik anahtarlara erişimi, gereken en az sayıda koruyucuyla kısıtlayın.	Kilit dosyalarla ilişkili izinleri inceleyin ve erişimin gereken minimum sayıda sorumluyla sınırlı tutulduğundan emin olun.	NTFS ve paylaşım izinleri raporlaması Hangi kullanıcının hangi izne sahip olduğunu öğrenmek üzere dosyalar ve klasörlerin NTFS ve paylaşım izinleri hakkında ayrıntılı raporlar alın.
Gereksinim 7.1 Sistem bileşenlerine ve kart sahibi verilerine erişimi yalnızca işi bu tür erişimi gerektiren kişilere sınırlayın. 7.1.1 Her rol için erişim ihtiyaçlarını tanımlayın 7.1.2 Ayrıcalıklı kullanıcı kimliklerine erişimi kısıtlayın 7.1.3 Bireysel personelin iş sınıflandırmasına ve işlevine göre erişim atayın. Not: Sistem bileşenleri ağ cihazlarını, sunucuları, bilgi işlem cihazlarını ve uygulamaları içerir.	Ayrıcalıklı olan ve olmayan kullanıcılara atanan ayrıcalıkların aşağıdaki gibi olduğunu teyit edin: İlgili bireyin işteki görevi için gerekli olması İş sorumluluklarını yerine getirmek üzere gereken en az ayrıcalıklarla sınırlı tutulması.	NTFS izni raporlaması Kart sahibi verilerini barındıran dosyalara erişimi olan kullanıcıları, her bir kullanıcının bu dosyalar üzerinde gerçekleştirebileceği işlemlerle alakalı ayrıntılarla birlikte listeleyin. Etkili izin analizi Etkili izinleri analiz ederek ve raporlayarak kart sahibi verilerinin gizliliğini sağlayın. Kullanıcıların rolleri için gerekenden daha fazla ayrıcalığa sahip olmadığını teyit edin. Fazlasıyla açıkta kalmış olan dosyaların tespiti Her çalışanın erişebileceği dosyaları ve kullanıcılara tam kontrol erişimi tanıyan dosyaları bulun.
Gereksinim 8.1.3 Sonlandırılan kullanıcılar için erişimi hemen iptal edin.	Kuruluşunuzla ilişkisi sonlandırılan kullanıcıların dosya erişim listelerinden kaldırıldığından emin olun.	Dosya sahipliğini analiz edin Sonlandırılan çalışanların kötü amaçlı dosya değiştirme girişimlerini önlemek üzere yalnız bırakılmış dosyaları ve kullanılmayan, devre dışı bırakılmış veya etkin olmayan kullanıcılara ait dosyaları tespit edin.
Gereksinim 10.1 Sistem bileşenlerine her türlü erişim ile her bir kullanıcı arasında bağlantı kurmak için denetim izleri uygulayın.	Şüpheli etkinliğin belirli bir kullanıcıya kadar izlenebilmesini sağlayan denetim günlükleri oluşturun.	Ayrıntılı denetim kaydı Merkezi bir erişim denetim günlüğü ile kritik dosya erişimlerini, web uygulaması kullanımını, USB kullanımını, yazıcı kullanımını ve daha fazlasını izleyin. Temel neden analizi Temel neden analizini hızlandırmak ve ihlalin boyutunu tespit etmek için ayrıntılı rapor filtreleme seçeneklerinden faydalanın.
Gereksinim 10.2 Aşağıdaki olayları yeniden yapılandırmak üzere tüm sistem bileşenleri için otomatik denetim kayıtlarını uygulayın: 10.2.1 Tüm bireysel kullanıcıların kart sahipliği verilerine erişim 10.2.2 Temel ayrıcalıklara veya yönetici ayrıcalıklarına sahip herhangi bir kişi tarafından gerçekleştirilen tüm işlemler	CDE'nizdeki kullanıcı etkinliğini gerçek zamanlı olarak denetleyin. Yönetici ayrıcalıklarına sahip olan kullanıcıların yaptığı değişiklikleri izleyin.	Dosya etkinliği izlemesi PCI ve kart sahibi veri depolama ortamınızda gerçekleşen tüm dosya ve klasör olaylarını (okuma, oluşturma, değiştirme, üzerine yazma, taşıma, yeniden adlandırma, silme ve izin değişikliği olayları) izleyin. Ayrıcalıklı kullanıcı izleme Hassas dosyalara ayrıcalıklı erişimi olan kullanıcıları listeleyin ve bu kullanıcıların yaptığı tüm dosya değişikliklerini izlemek için raporları özelleştirin.
Gereksinim 10.3 Her olay için asgari olarak aşağıdaki denetim kaydı girişlerini kaydedin: 10.3.1 Kullanıcı tanımlaması 10.3.2 Olayın türü 10.3.3 Tarih ve saat 10.3.4 Başarı veya başarısızlık göstergesi 10.3.5 Olayın kökeni 10.3.6 Etkilenen verilerin kimliği veya adı	CDE'nizde kullanıcı etkinliğine ilişkin ayrıntılı günlükler edinin.	Gerçek zamanlı değişiklik denetimi Kimin, hangi dosyada, ne zaman, nereden değişiklik yapmaya çalıştığı ve bu girişimlerinin başarılı olup olmadığına dair ayrıntılar da dahil olmak üzere her dosya erişimi hakkında eksiksiz bilgiler edinin.
Gereksinim 10.5 Denetim kayıtlarını değiştirilemeyecek şekilde güvenceye alın. 10.5.5 Mevcut günlük verilerinin uyarı oluşturulmadan değiştirilmesini engellemek için günlüklerde dosya bütünlüğü izleme veya değişiklikleri tespit etme yazılımı kullanın (ancak eklenen yeni veriler bir uyarı verilmesine neden olmayacaktır).	Kritik dosyalardaki değişiklikleri kontrol etmek ve bu tür değişiklikler fark edildiğinde bildirim göndermek için dosya bütünlüğünü izleme veya değişiklikleri algılama sistemlerini uygulayın.	PCI dosya bütünlüğü izlemesi Tüm başarılı ve başarısız dosya erişim girişimlerini gerçek zamanlı olarak denetleyin. Analiz için ayrıntılı bir denetim kaydı tutun. Gerçek zamanlı uyarılar Şüpheli dosya değişiklikleri tespit edildiğinde paydaşlara bildirim göndermek için anlık uyarıları tetikleyin. Güvenlik olayına otomatikleştirilmiş müdahale Bir güvenlik olayı durumunda potansiyel hasarı en aza indirmek için otomatik müdahaleleri uygulayın.
Gereksinim 10.6 Anormallikleri veya şüpheli etkinlikleri belirlemek üzere tüm sistem bileşenleriyle alakalı günlükleri ve güvenlik olaylarını inceleyin.	Düzenli günlük incelemeleri ile kart sahibi verileri ortamına yetkisiz erişim tespit edilebilir ve proaktif olarak ele alınabilir. Ayrıca potansiyel bir ihlali tespit etmek için gereken süre de azaltılmış olur.	PCI uyumluluk raporlarının zamanlanmış teslimi Zamanlanmış raporları PDF, HTML, CSV veya XLSX biçiminde paydaşların posta kutularına gönderin.
Gereksinim 10.7 Denetim kaydı geçmişini analize hemen hazır olacak şekilde (örneğin çevrimiçi, arşivlenmiş veya bir yedekten geri yüklenebilir biçimde) en az üç ay olmak üzere toplamda en az bir yıl boyunca saklayın.	Genellikle, bir güvenlik ihlalinin fark edilmesi zaman alır; bu nedenle günlüklerin en az bir yıl süreyle saklanması, inceleme yapan tarafların potansiyel bir ihlalin süresini ve etkisini belirlemek için yeterli miktarda günlük geçmişine sahip olmasını sağlar.	Uzun süreli denetim günlüğü saklama Denetim verilerini uzun süre saklayın. Ayrıca eski günlükleri arşivleyebilir ve dosya erişimlerini analiz etmek üzere daha sonraki bir tarihte karşıya yükleyebilirsiniz.
Gereksinim 11.5 Personeli kritik sistem dosyaları, yapılandırma dosyaları veya içerik dosyalarında yetkisiz olarak yapılan değişikliklere (değişiklikler, eklemeler ve silmeler dahil) karşı uyarmak için bir değişiklik algılama mekanizmasının (örneğin, dosya bütünlüğü izleme araçları) dağıtımını gerçekleştirin ve aracı en az haftada bir kritik dosyaları karşılaştıracak şekilde yapılandırın.	Çalıştırılabilir sistem dosyaları, uygulama çalıştırılabilir dosyaları, yapılandırma ve parametre dosyaları ve daha fazlasındaki değişiklikleri izleyin. Beklenmedik değişiklikler durumunda uyarıları tetikleyin.	FIM Uygulama ve işletim sistemi açısından kritik ikili dosyalar, yapılandırma dosyaları, uygulama dosyaları, günlük dosyaları ve daha fazlasında yapılan değişiklikleri denetleyin. Anlık uyarılar Anormal dosya değişiklikleri tespit edildiğinde yöneticileri anında bilgilendirin. Özel olay müdahalelerini yürütün Makineleri, son kullanıcı oturumlarını ve daha fazlasını kapatmak için toplu dosyaları otomatikleştirin.
Gereksinim 12.3.10 Kart sahibi verilerine uzaktan erişim teknolojileri üzerinden erişen personel için, tanımlanmış bir iş ihtiyacına yönelik olarak açıkça yetki verilmediği sürece, kart sahibi verilerinin yerel sabit disklerde ve çıkarılabilir elektronik ortamlarda kopyalanmasını, taşınmasını ve saklanmasını yasaklayın.	Açıkça yetkilendirilmedikleri sürece, kullanıcıların kart sahibi verilerini yerel kişisel bilgisayarlarında veya diğer ortamlarda saklamalarını veya kopyalamalarını yasaklayın.	Dosya kopyalama koruması Dosya kopyalama işlemlerini gerçek zamanlı olarak izleyin ve kritik verilerin yerel paylaşımlar ve ağ paylaşımları arasında izinsiz aktarımını önleyin. USB yazma koruması Şüpheli USB cihazlarını engelleyin ve kullanıcıların hassas verileri dışarı sızdırmasını önleyin.
Gereklilik A3.2.5 PCI DSS'nin kapsamını doğrulamak ve açık metinli PAN'ın tüm kaynaklarını ve konumlarını en az üç ayda bir ve kart sahibi ortamında veya süreçlerinde önemli değişikliklerin yapılması sonrasında bulmak için bir veri keşif metodolojisini uygulamaya koyun. A3.2.5.1 Veri keşfi yöntemleri, kullanılan tüm sistem bileşenleri ve dosya biçimlerinde açık metinli PAN keşfini gerçekleştirebilecek nitelikte olmalıdır. A3.2.5.2 CDE dışında açık metinli PAN'ın tespit edilmesi sonrasında başlatılacak olan ve aşağıdakileri içeren müdahale prosedürlerini uygulayın: CDE dışında açık metinli PAN'ın keşfedilmesi durumunda, geri alınması, güvenli bir şekilde silinmesi ve/veya halihazırda tanımlanmış olan CDE'ye taşınmasını da içerecek şekilde ne yapılacağının belirlenmesine yönelik prosedürler Verilerin CDE dışına nasıl çıkarıldığını belirlemek için prosedürler Verilerin kaynağının tespit edilmesi için prosedürler	Kart sahibi verilerinin dosya depolama ortamındaki konumlarını periyodik olarak raporlayın. Tanımlanan CDE'nin dışında bulunan hassas verileri tespit edin. CDE dışında hassas veriler keşfedildiğinde düzeltici eylemler gerçekleştirin.	Zamanlamaya dayalı PCI veri keşfi Kurumsal depolama genelindeki PCI verilerini (açık metinli PAN dahil) tanımlayın ve belgelendirin. Çoklu platform görünürlüğü Windows dosya sunucularında, yük devretme kümelerinde ve MSSQL veri tabanlarında bulunan hassas kart sahibi ve PCI verilerini tespit edin. Düzeltmeyi otomatikleştirin CDE dışında hassas dosyalar bulunduğunda DataSecurity Plus bunları otomatik olarak silinecek, taşınacak veya başka biçimlerde yönetilecek şekilde yapılandırılabilir. Sahiplik ve erişim analizi Hassas dosyanın sahibini öğrenin ve analiz edilen zaman aralığındaki tüm kullanıcı eylemlerini izleyin. Bu, dosyanın CDE'nin dışına nasıl çıktığını belirlemenize yardımcı olur.
Gereklilik A3.2.6 Denetim günlükleri ve uyarıların oluşturulmasını da içeren şekilde, açık metinli PAN'ın yetkisiz bir kanal, yöntem veya süreç aracılığıyla CDE dışına çıkarıldığını tespit etmek ve bunu önlemek için mekanizmaları uygulamaya koyun. A3.2.6.1 Yetkisiz bir kanal, yöntem veya süreç aracılığıyla açık metinli PAN'ı CDE dışına çıkarma girişimlerinin tespit edilmesi sonrasında başlatılacak müdahale prosedürlerini uygulayın.	E-postalar, çıkarılabilir ortam ve yazıcılar yoluyla gerçekleşen sızıntıları tespit etmek ve önlemek için veri kaybı önleme (DLP) çözümlerini uygulamaya koyun.	Birleşik veri kaybı önleme platformu Hassas verileri sınıflandırın ve bunların harici depolama cihazları, Outlook ve yazıcılar yoluyla sızmasını önleyin. Çevre birim cihazı kullanımını kontrol edin Veri sızmasına karşı koruma sağlamak için merkezi cihaz kontrol ilkelerini kullanarak USB cihazlarının, kablosuz erişim noktalarının ve CD/DVD sürücülerinin kullanımını kısıtlayın. USB'ler aracılığıyla veri sızıntılarını önleyin Anormal veri aktarımlarına ve hassas verileri sızdırmaya yönelik girişimlere müdahale etmek üzere USB cihazlarını engelleyin.
Gereklilik A3.4.1 Kullanıcı hesaplarının ve erişimin kişinin işteki işlevine uygun kalmasını sağlamak için en az altı ayda bir kullanıcı hesaplarını ve kapsam içi sistem bileşenlerine erişim ayrıcalıklarını gözden geçirin. PCI DSS referansı: Gereksinim 7	Kullanıcıların erişim ayrıcalıklarını en az altı ayda bir gözden geçirin ve bunların işteki işlevlerine uygun olduğunu teyit edin.	Güvenlik izni analizi: En az ayrıcalık ilkesine uyulmasını sağlamaya yardımcı olmak üzere izin değişikliklerini izleyin, etkili izinleri listeleyin, her çalışanın erişebileceği dosyaları belirleyin, Tam kontrol ayrıcalıklarına sahip olan kullanıcıları bulun ve daha fazlasını yapın. Bu raporlar belirli bir programa uygun şekilde birden fazla paydaşa gönderilebilir.
Gereklilik A3.5.1 Sistemler genelinde saldırı düzenlerinin ve istenmeyen davranışların zamanında belirlenmesi için bir metodoloji (örneğin, koordineli manuel gözden geçirme süreçleri ve/veya merkezi olarak yönetilen veya otomatikleştirilmiş günlük korelasyon araçlarını kullanma) uygulayın; bu metodoloji asgari olarak aşağıdakileri içermelidir: Anormalliklerin veya şüpheli etkinliklerin ortaya çıktığı anda tanımlanması Şüpheli etkinliğin veya anormalliğin tespit edilmesi üzerine sorumlu personele zamanında uyarı gönderilmesi Uyarılara belgelendirilmiş yanıt prosedürlerine uygun biçimde müdahale edilmesi PCI DSS referansı: Gereksinim 10, 12	Kritik dosya değişiklikleri ve izinsiz girişler gibi istenmeyen olayları tanımlayabilen ve yöneticileri anında bilgilendirebilen bir çözüm oluşturun.	Anormallik algılama Mesai saatlerinden sonra gerçekleşen dosya erişimleri, fazla sayıda başarısız erişim denemesi ve daha fazlasını içeren kullanıcı etkinliği anormalliklerini tespit edin. Hızlı uyarılar Kritik dosyalardaki istenmeyen değişiklikler, CDE dışında bulunan hassas verilerin keşfi ve daha fazlası için uyarıları yapılandırın. Tehditleri algılama ve yanıtlama Fidye yazılımı izinsiz girişlerini tespit edin ve virüs bulaşmış olan makineleri karantinaya almak ve kötü amaçlı yazılımların yayılmasını önlemek için komut dosyalarını çalıştırın.

PCI gerekliliklerinin ne olduğu

Yapmanız gerekenler

DataSecurity Plus'ın size nasıl yardımcı olduğu

Gereksinim 2.2.5

Komut dosyaları, sürücüler, özellikler, alt sistemler, dosya sistemleri ve gereksiz web sunucuları gibi gerekli olmayan tüm işlevleri kaldırın.

Komut dosyaları ve dosya sistemleri dahil olmak üzere tüm sistem bileşenlerini tanımlayın ve kullanılmayanları kaldırın.

Kullanılmayan dosyaları bulun:

Uzun süre boyunca erişilmemiş veya değiştirilmemiş olan dosyalar, komut dosyaları, toplu dosyalar ve daha fazlası hakkında raporlar alın. Bu raporlar, yedekli, eski ve önemsiz (ROT) dosya yönetimini basitleştirir ve güncelliğini yitirmiş izinlere veya verilere sahip, savunmasız güvenlik açığı olan dosyaların sayısını azaltır.

Gereksinim 3.1

Tüm kart sahibi verilerinin depolanması için en azından aşağıdakileri içeren veri saklama ve imha ilkeleri, prosedürleri ve süreçlerini uygulayarak depolanan kart sahibi verilerini asgari düzeyde tutun:

Veri depolama miktarının ve saklama süresinin yasal, düzenleyici ve/veya iş gereklilikleri açısından gerekli olanlarla sınırlandırılması
Kart sahibi verileri için özel saklama gereklilikleri
Artık ihtiyaç duyulmadığında verilerin güvenli bir şekilde silinmesini sağlayacak süreçler
Depolanan kart sahibi verileri arasında tanımlanan saklama süresini aşanların tanımlanmasına ve güvenli bir şekilde silinmesine yönelik olarak üç ayda bir yürütülen bir süreç

Kart verileri ortamınızdaki (CDE) düzenlemeye tabi verileri düzenli olarak taramadan geçirin.
Veri saklama ilkeleri oluşturun; artık ihtiyaç duyulmadığında, toplanan veriler silinmelidir.
İzin verilen kullanım süresini aşacak şekilde saklanan kart sahibi verilerini bulun ve kaldırın.

PCI ve kart sahibi verilerini bulma

Kuruluşunuz tarafından depolanan PCI ve kart sahibi verilerini bulmak için dahili veri bulma kurallarını kullanın. Hangi verilerin, nerede, kim tarafından ve ne kadar süre boyunca saklandığıyla ilgili bir envanter oluşturun. Bu, yöneticilerin yalnızca gerekli verilerin saklandığından emin olmalarını sağlar.

ROT veri analizi

Kart sahibi verilerinin amaçlanan saklama süresin aşacak biçimde saklanmadığından emin olmak için eski, kullanılmayan ve değiştirilmemiş dosyaları tespit edin.

Zamanlanmış veri risk değerlendirmesi taramaları

Periyodik kart sahibi verilerini bulma taramaları gerçekleştirin, yeni ve yakın zamanda değiştirilmiş olan dosyaların artımlı olarak taranmasını etkinleştirin ve düzenlemeye tabi verilerin her örneğinin bulunup kataloğa dahil edildiğinden emin olun. Hassas veri depolama ilkelerini ihlal eden dosyaları karantinaya almak veya silmek için komut dosyalarını da kullanabilirsiniz.

Gereksinim 3.2

Yetkilendirme sonrasında hassas kimlik doğrulama verilerini saklamayın.

Hassas kimlik doğrulama verileri, kart sahibinin adını, birincil hesap numarasını (PAN), kart doğrulama kodunu, kişisel kimlik numarasını (PIN) ve daha fazlasını içerir.

Aşağıdaki durumlarda, düzenleyen kuruluşların ve düzenleme hizmetlerini destekleyen şirketlerin hassas kimlik doğrulama verilerini depolamasına izin verilir:

İş gerekçesi varsa
Ve veriler güvenli bir şekilde saklanıyorsa

Veri kaynaklarını inceleyerek hassas kimlik doğrulama verilerinin yetkilendirme sonrasında saklanmadığını teyit edin.

PCI veri keşfi

Anahtar sözcük eşleştirme ve düzen eşleştirme kombinasyonuyla etkili veri keşfi uygulayın. Bunlar birlikte kullanıldığında kart doğrulama değerlerini (CVV), PIN, PAN ve diğer kimlik doğrulama verilerini bulmanıza yardımcı olacaktır.

Güven puanlaması

Bir eşleşmenin Yanlış Pozitif yerine Gerçek Pozitif olma kesinliğini belirlemek üzere potansiyel eşleşmelerin bağlamını doğrulayın.

Yanıt otomasyonu

Tespit edilen kart verilerini silme veya karantinaya alma işlemlerini otomatikleştirin veya komut dosyalarını kullanarak özelleştirilmiş bir işlemin yürütülmesi yoluyla bunların kullanımını sınırlayın.

Gereksinim 3.5.2

Kriptografik anahtarlara erişimi, gereken en az sayıda koruyucuyla kısıtlayın.

Kilit dosyalarla ilişkili izinleri inceleyin ve erişimin gereken minimum sayıda sorumluyla sınırlı tutulduğundan emin olun.

NTFS ve paylaşım izinleri raporlaması

Hangi kullanıcının hangi izne sahip olduğunu öğrenmek üzere dosyalar ve klasörlerin NTFS ve paylaşım izinleri hakkında ayrıntılı raporlar alın.

Gereksinim 7.1

Sistem bileşenlerine ve kart sahibi verilerine erişimi yalnızca işi bu tür erişimi gerektiren kişilere sınırlayın.

7.1.1 Her rol için erişim ihtiyaçlarını tanımlayın

7.1.2 Ayrıcalıklı kullanıcı kimliklerine erişimi kısıtlayın

7.1.3 Bireysel personelin iş sınıflandırmasına ve işlevine göre erişim atayın.

Not: Sistem bileşenleri ağ cihazlarını, sunucuları, bilgi işlem cihazlarını ve uygulamaları içerir.

Ayrıcalıklı olan ve olmayan kullanıcılara atanan ayrıcalıkların aşağıdaki gibi olduğunu teyit edin:

İlgili bireyin işteki görevi için gerekli olması
İş sorumluluklarını yerine getirmek üzere gereken en az ayrıcalıklarla sınırlı tutulması.

NTFS izni raporlaması

Kart sahibi verilerini barındıran dosyalara erişimi olan kullanıcıları, her bir kullanıcının bu dosyalar üzerinde gerçekleştirebileceği işlemlerle alakalı ayrıntılarla birlikte listeleyin.

Etkili izin analizi

Etkili izinleri analiz ederek ve raporlayarak kart sahibi verilerinin gizliliğini sağlayın. Kullanıcıların rolleri için gerekenden daha fazla ayrıcalığa sahip olmadığını teyit edin.

Fazlasıyla açıkta kalmış olan dosyaların tespiti

Her çalışanın erişebileceği dosyaları ve kullanıcılara tam kontrol erişimi tanıyan dosyaları bulun.

Gereksinim 8.1.3

Sonlandırılan kullanıcılar için erişimi hemen iptal edin.

Kuruluşunuzla ilişkisi sonlandırılan kullanıcıların dosya erişim listelerinden kaldırıldığından emin olun.

Dosya sahipliğini analiz edin

Sonlandırılan çalışanların kötü amaçlı dosya değiştirme girişimlerini önlemek üzere yalnız bırakılmış dosyaları ve kullanılmayan, devre dışı bırakılmış veya etkin olmayan kullanıcılara ait dosyaları tespit edin.

Gereksinim 10.1

Sistem bileşenlerine her türlü erişim ile her bir kullanıcı arasında bağlantı kurmak için denetim izleri uygulayın.

Şüpheli etkinliğin belirli bir kullanıcıya kadar izlenebilmesini sağlayan denetim günlükleri oluşturun.

Ayrıntılı denetim kaydı

Merkezi bir erişim denetim günlüğü ile kritik dosya erişimlerini, web uygulaması kullanımını, USB kullanımını, yazıcı kullanımını ve daha fazlasını izleyin.

Temel neden analizi

Temel neden analizini hızlandırmak ve ihlalin boyutunu tespit etmek için ayrıntılı rapor filtreleme seçeneklerinden faydalanın.

Gereksinim 10.2

Aşağıdaki olayları yeniden yapılandırmak üzere tüm sistem bileşenleri için otomatik denetim kayıtlarını uygulayın:

10.2.1 Tüm bireysel kullanıcıların kart sahipliği verilerine erişim

10.2.2 Temel ayrıcalıklara veya yönetici ayrıcalıklarına sahip herhangi bir kişi tarafından gerçekleştirilen tüm işlemler

CDE'nizdeki kullanıcı etkinliğini gerçek zamanlı olarak denetleyin.
Yönetici ayrıcalıklarına sahip olan kullanıcıların yaptığı değişiklikleri izleyin.

Dosya etkinliği izlemesi

PCI ve kart sahibi veri depolama ortamınızda gerçekleşen tüm dosya ve klasör olaylarını (okuma, oluşturma, değiştirme, üzerine yazma, taşıma, yeniden adlandırma, silme ve izin değişikliği olayları) izleyin.

Ayrıcalıklı kullanıcı izleme

Hassas dosyalara ayrıcalıklı erişimi olan kullanıcıları listeleyin ve bu kullanıcıların yaptığı tüm dosya değişikliklerini izlemek için raporları özelleştirin.

Gereksinim 10.3

Her olay için asgari olarak aşağıdaki denetim kaydı girişlerini kaydedin:

10.3.1 Kullanıcı tanımlaması

10.3.2 Olayın türü

10.3.3 Tarih ve saat

10.3.4 Başarı veya başarısızlık göstergesi

10.3.5 Olayın kökeni

10.3.6 Etkilenen verilerin kimliği veya adı

CDE'nizde kullanıcı etkinliğine ilişkin ayrıntılı günlükler edinin.

Gerçek zamanlı değişiklik denetimi

Kimin, hangi dosyada, ne zaman, nereden değişiklik yapmaya çalıştığı ve bu girişimlerinin başarılı olup olmadığına dair ayrıntılar da dahil olmak üzere her dosya erişimi hakkında eksiksiz bilgiler edinin.

Gereksinim 10.5

Denetim kayıtlarını değiştirilemeyecek şekilde güvenceye alın.

10.5.5 Mevcut günlük verilerinin uyarı oluşturulmadan değiştirilmesini engellemek için günlüklerde dosya bütünlüğü izleme veya değişiklikleri tespit etme yazılımı kullanın (ancak eklenen yeni veriler bir uyarı verilmesine neden olmayacaktır).

Kritik dosyalardaki değişiklikleri kontrol etmek ve bu tür değişiklikler fark edildiğinde bildirim göndermek için dosya bütünlüğünü izleme veya değişiklikleri algılama sistemlerini uygulayın.

PCI dosya bütünlüğü izlemesi

Tüm başarılı ve başarısız dosya erişim girişimlerini gerçek zamanlı olarak denetleyin. Analiz için ayrıntılı bir denetim kaydı tutun.

Gerçek zamanlı uyarılar

Şüpheli dosya değişiklikleri tespit edildiğinde paydaşlara bildirim göndermek için anlık uyarıları tetikleyin.

Güvenlik olayına otomatikleştirilmiş müdahale

Bir güvenlik olayı durumunda potansiyel hasarı en aza indirmek için otomatik müdahaleleri uygulayın.

Gereksinim 10.6

Anormallikleri veya şüpheli etkinlikleri belirlemek üzere tüm sistem bileşenleriyle alakalı günlükleri ve güvenlik olaylarını inceleyin.

Düzenli günlük incelemeleri ile kart sahibi verileri ortamına yetkisiz erişim tespit edilebilir ve proaktif olarak ele alınabilir. Ayrıca potansiyel bir ihlali tespit etmek için gereken süre de azaltılmış olur.

PCI uyumluluk raporlarının zamanlanmış teslimi

Zamanlanmış raporları PDF, HTML, CSV veya XLSX biçiminde paydaşların posta kutularına gönderin.

Gereksinim 10.7

Denetim kaydı geçmişini analize hemen hazır olacak şekilde (örneğin çevrimiçi, arşivlenmiş veya bir yedekten geri yüklenebilir biçimde) en az üç ay olmak üzere toplamda en az bir yıl boyunca saklayın.

Genellikle, bir güvenlik ihlalinin fark edilmesi zaman alır; bu nedenle günlüklerin en az bir yıl süreyle saklanması, inceleme yapan tarafların potansiyel bir ihlalin süresini ve etkisini belirlemek için yeterli miktarda günlük geçmişine sahip olmasını sağlar.

Uzun süreli denetim günlüğü saklama

Denetim verilerini uzun süre saklayın. Ayrıca eski günlükleri arşivleyebilir ve dosya erişimlerini analiz etmek üzere daha sonraki bir tarihte karşıya yükleyebilirsiniz.

Gereksinim 11.5

Personeli kritik sistem dosyaları, yapılandırma dosyaları veya içerik dosyalarında yetkisiz olarak yapılan değişikliklere (değişiklikler, eklemeler ve silmeler dahil) karşı uyarmak için bir değişiklik algılama mekanizmasının (örneğin, dosya bütünlüğü izleme araçları) dağıtımını gerçekleştirin ve aracı en az haftada bir kritik dosyaları karşılaştıracak şekilde yapılandırın.

Çalıştırılabilir sistem dosyaları, uygulama çalıştırılabilir dosyaları, yapılandırma ve parametre dosyaları ve daha fazlasındaki değişiklikleri izleyin.
Beklenmedik değişiklikler durumunda uyarıları tetikleyin.

FIM

Uygulama ve işletim sistemi açısından kritik ikili dosyalar, yapılandırma dosyaları, uygulama dosyaları, günlük dosyaları ve daha fazlasında yapılan değişiklikleri denetleyin.

Anlık uyarılar

Anormal dosya değişiklikleri tespit edildiğinde yöneticileri anında bilgilendirin.

Özel olay müdahalelerini yürütün

Makineleri, son kullanıcı oturumlarını ve daha fazlasını kapatmak için toplu dosyaları otomatikleştirin.

Gereksinim 12.3.10

Kart sahibi verilerine uzaktan erişim teknolojileri üzerinden erişen personel için, tanımlanmış bir iş ihtiyacına yönelik olarak açıkça yetki verilmediği sürece, kart sahibi verilerinin yerel sabit disklerde ve çıkarılabilir elektronik ortamlarda kopyalanmasını, taşınmasını ve saklanmasını yasaklayın.

Açıkça yetkilendirilmedikleri sürece, kullanıcıların kart sahibi verilerini yerel kişisel bilgisayarlarında veya diğer ortamlarda saklamalarını veya kopyalamalarını yasaklayın.

Dosya kopyalama koruması

Dosya kopyalama işlemlerini gerçek zamanlı olarak izleyin ve kritik verilerin yerel paylaşımlar ve ağ paylaşımları arasında izinsiz aktarımını önleyin.

USB yazma koruması

Şüpheli USB cihazlarını engelleyin ve kullanıcıların hassas verileri dışarı sızdırmasını önleyin.

Gereklilik A3.2.5

PCI DSS'nin kapsamını doğrulamak ve açık metinli PAN'ın tüm kaynaklarını ve konumlarını en az üç ayda bir ve kart sahibi ortamında veya süreçlerinde önemli değişikliklerin yapılması sonrasında bulmak için bir veri keşif metodolojisini uygulamaya koyun.

A3.2.5.1

Veri keşfi yöntemleri, kullanılan tüm sistem bileşenleri ve dosya biçimlerinde açık metinli PAN keşfini gerçekleştirebilecek nitelikte olmalıdır.

A3.2.5.2

CDE dışında açık metinli PAN'ın tespit edilmesi sonrasında başlatılacak olan ve aşağıdakileri içeren müdahale prosedürlerini uygulayın:

CDE dışında açık metinli PAN'ın keşfedilmesi durumunda, geri alınması, güvenli bir şekilde silinmesi ve/veya halihazırda tanımlanmış olan CDE'ye taşınmasını da içerecek şekilde ne yapılacağının belirlenmesine yönelik prosedürler
Verilerin CDE dışına nasıl çıkarıldığını belirlemek için prosedürler
Verilerin kaynağının tespit edilmesi için prosedürler

Kart sahibi verilerinin dosya depolama ortamındaki konumlarını periyodik olarak raporlayın.
Tanımlanan CDE'nin dışında bulunan hassas verileri tespit edin.
CDE dışında hassas veriler keşfedildiğinde düzeltici eylemler gerçekleştirin.

Zamanlamaya dayalı PCI veri keşfi

Kurumsal depolama genelindeki PCI verilerini (açık metinli PAN dahil) tanımlayın ve belgelendirin.

Çoklu platform görünürlüğü

Windows dosya sunucularında, yük devretme kümelerinde ve MSSQL veri tabanlarında bulunan hassas kart sahibi ve PCI verilerini tespit edin.

Düzeltmeyi otomatikleştirin

CDE dışında hassas dosyalar bulunduğunda DataSecurity Plus bunları otomatik olarak silinecek, taşınacak veya başka biçimlerde yönetilecek şekilde yapılandırılabilir.

Sahiplik ve erişim analizi

Hassas dosyanın sahibini öğrenin ve analiz edilen zaman aralığındaki tüm kullanıcı eylemlerini izleyin. Bu, dosyanın CDE'nin dışına nasıl çıktığını belirlemenize yardımcı olur.

Gereklilik A3.2.6

Denetim günlükleri ve uyarıların oluşturulmasını da içeren şekilde, açık metinli PAN'ın yetkisiz bir kanal, yöntem veya süreç aracılığıyla CDE dışına çıkarıldığını tespit etmek ve bunu önlemek için mekanizmaları uygulamaya koyun.

A3.2.6.1

Yetkisiz bir kanal, yöntem veya süreç aracılığıyla açık metinli PAN'ı CDE dışına çıkarma girişimlerinin tespit edilmesi sonrasında başlatılacak müdahale prosedürlerini uygulayın.

E-postalar, çıkarılabilir ortam ve yazıcılar yoluyla gerçekleşen sızıntıları tespit etmek ve önlemek için veri kaybı önleme (DLP) çözümlerini uygulamaya koyun.

Birleşik veri kaybı önleme platformu

Hassas verileri sınıflandırın ve bunların harici depolama cihazları, Outlook ve yazıcılar yoluyla sızmasını önleyin.

Çevre birim cihazı kullanımını kontrol edin

Veri sızmasına karşı koruma sağlamak için merkezi cihaz kontrol ilkelerini kullanarak USB cihazlarının, kablosuz erişim noktalarının ve CD/DVD sürücülerinin kullanımını kısıtlayın.

USB'ler aracılığıyla veri sızıntılarını önleyin

Anormal veri aktarımlarına ve hassas verileri sızdırmaya yönelik girişimlere müdahale etmek üzere USB cihazlarını engelleyin.

Gereklilik A3.4.1

Kullanıcı hesaplarının ve erişimin kişinin işteki işlevine uygun kalmasını sağlamak için en az altı ayda bir kullanıcı hesaplarını ve kapsam içi sistem bileşenlerine erişim ayrıcalıklarını gözden geçirin.

PCI DSS referansı: Gereksinim 7

Kullanıcıların erişim ayrıcalıklarını en az altı ayda bir gözden geçirin ve bunların işteki işlevlerine uygun olduğunu teyit edin.

Güvenlik izni analizi:

En az ayrıcalık ilkesine uyulmasını sağlamaya yardımcı olmak üzere izin değişikliklerini izleyin, etkili izinleri listeleyin, her çalışanın erişebileceği dosyaları belirleyin, Tam kontrol ayrıcalıklarına sahip olan kullanıcıları bulun ve daha fazlasını yapın.

Bu raporlar belirli bir programa uygun şekilde birden fazla paydaşa gönderilebilir.

Gereklilik A3.5.1

Sistemler genelinde saldırı düzenlerinin ve istenmeyen davranışların zamanında belirlenmesi için bir metodoloji (örneğin, koordineli manuel gözden geçirme süreçleri ve/veya merkezi olarak yönetilen veya otomatikleştirilmiş günlük korelasyon araçlarını kullanma) uygulayın; bu metodoloji asgari olarak aşağıdakileri içermelidir:

Anormalliklerin veya şüpheli etkinliklerin ortaya çıktığı anda tanımlanması
Şüpheli etkinliğin veya anormalliğin tespit edilmesi üzerine sorumlu personele zamanında uyarı gönderilmesi
Uyarılara belgelendirilmiş yanıt prosedürlerine uygun biçimde müdahale edilmesi

PCI DSS referansı: Gereksinim 10, 12

Kritik dosya değişiklikleri ve izinsiz girişler gibi istenmeyen olayları tanımlayabilen ve yöneticileri anında bilgilendirebilen bir çözüm oluşturun.

Anormallik algılama

Mesai saatlerinden sonra gerçekleşen dosya erişimleri, fazla sayıda başarısız erişim denemesi ve daha fazlasını içeren kullanıcı etkinliği anormalliklerini tespit edin.

Hızlı uyarılar

Kritik dosyalardaki istenmeyen değişiklikler, CDE dışında bulunan hassas verilerin keşfi ve daha fazlası için uyarıları yapılandırın.

Tehditleri algılama ve yanıtlama

Fidye yazılımı izinsiz girişlerini tespit edin ve virüs bulaşmış olan makineleri karantinaya almak ve kötü amaçlı yazılımların yayılmasını önlemek için komut dosyalarını çalıştırın.

Yasal Uyarı: POPIA'ya tam uyum sağlanması, çeşitli çözümler, süreçler, kişiler ve teknolojiler gerektirmektedir. Bu sayfa yalnızca bilgilendirme amaçlıdır ve POPI Yasası uyumluluğu konusunda yasal tavsiye olarak görülmemelidir. ManageEngine, bu materyaldeki bilgilerle ilgili olarak herhangi bir açık, zımni veya yasal garanti sunmamaktadır.

Not: Yukarıda sağlanan içerik yalnızca PCI DSS sürüm 3.2.1 için geçerlidir. Bazı gereklilikler en son sürüm olan PCI DSS 4.0'ı doğru şekilde yansıtabilir veya yansıtmayabilir. Şu anda içerik üzerinde çalışıyoruz ve yakında güncelleme yapacağız.

Veri güvenliğini sağlayın ve uyumluluğu elde edin

DataSecurity Plus, kullanımda olmayan, kullanımda olan ve hareket halindeki verileri
koruyarak birçok uyumluluk düzenlemesinin gerekliliklerinin karşılanmasına yardımcı olur.

Aynı zamanda tümleştirilmiş DLP özellikleri de sunan birleşik bir SIEM çözümü mü arıyorsunuz? Log360'ı hemen bugün deneyin!

Ücretsiz 30 günlük deneme

DataSecurity Plus'ı kullanarak PCI DSS uyumluluğunu sağlama