Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Kart Güvenliği İçin Teknik Güvenlik Cihazları
1. MAZARS
BT DENETİM, GÜVENLİK VE
DANIŞMANLIK
Kart Güvenliği İçin Teknik Güvenlik Cihazları
Ateş SÜNBÜL
PCI QSA, CISA, CISM, ISO 27001 LA
PARTNER
Bankacılık Bağımsız
Denetim Kuruluşu
2. 2
P C I S T A N D A R T L A R I
P C I S TA N D A R T L A R I
PCI
Standards
Data Security Standard
(DSS)
PIN Transaction Security
(PTS)
Payment Application
Data Security Standard
(PA-DSS)
3. 3
P C I D S S S T A N D A R T I
P C I D S S N E D İ R ?
PCI DSS denetiminde toplam 12 gereksinim alanı değerlendirilmektedir:
Ağ güvenliği
• Kart bilgisi taşıyan cihazların güvenlik duvarı aracılığıyla korunması
• Standart şifrelerin kullanılmaması ve diğer güvenlik önlemleri
Kart sahibi verisinin korunması
• Verinin korunması
• Veri iletiminin şifrelenmesi
Zafiyet yönetim yapısının oluşturulması
• Anti-virüs önleminin alınması ve düzenli güncellenmesi
• Güvenli sistem ve uygulamalar geliştirmek
Güçlü erişim kontrollerinin uygulanması
• Kart sahibi bilgilerine erişimin kısıtlanması
• Her kullanıcı için ayrı hesap yaratılması
• Kart sahibi bilgilerini taşıyan cihazlara fiziksel erişim güvenliğinin
sağlanması
Ağ yapısının düzenli izlenmesi ve test edilmesi
• Ağ kaynak ve kart verilerine erişimin düzenli izlenmesi ve kontrol
edilmesi
• Güvenlik sistem ve süreçlerinin düzenli olarak test edilmesi
Bilgi güvenliği politikasının sağlanması
• Bilgi güvenliğini adresleyen politikanın hazırlanması
4. 4
P C I D S S K A P S A M I
P C I D S S B İ L E Ş E N L E R İ
Ve / Veya
IssuerAcquirer
Üye İşyeri
Kart Sahibi
Kartı kullanarak
alışveriş yapar
üyesidirüyesidir
Ödeme servisleri
sağlar
Kart basımı
yapar
Aynı veya farklı
bankalar olabilir
5. 5
P C I D S S G E R E K S İ N İ M L E R İ
P C I Q S A V E Ü R Ü N Ö N E R İ M S Ü R E C İ
PCI Qualification Requirements
Dokümanı PCI QSA yetkinlik ve süreç standartlarını tanımlayan birincil dokümandır. İş yapış ve
bağımsızlık hükümlerini barındırır.
2. Kendi ürünü haricinde
ürünleri önermelidir ve
bağımsız olmalıdır.
3. Önerdiğimiz ürünü
almazsanız sizi denetimden
geçiremeyiz demek
YASAK.
1. PCI QSA aşağıdaki servislerden birini veriyorsa bunu
raporda belirtmelidir:
• Application Intrusion detection/prevention systems
• Database or other storage solutions
• Encryption solutions
• Security audit log solutions
• File integrity monitoring solutions
• Anti-virus solutions
• Vulnerability scanning services or solutions or
network firewalls
6. 6
P C I D S S G E R E K S İ N İ M L E R İ
E N Ç O K S O R U L A N Ü R Ü N L E R
Ağ Sınırlandırma Ürünleri
Log Yönetim Ürünleri
7. 7
P C I D S S G E R E K S İ N İ M L E R İ
G E R E K S İ N İ M 1 – A Ğ S I N I R L A N D I R M A
ROUTER
FIREWALL
PERSONNAL
FIREWALL
Ağ Sınırlandırma Kontrolleri
8. 8
P C I D S S G E R E K S İ N İ M L E R İ
G E R E K S İ N İ M 1 – G Ü V E N L İ K D U VA R I
Magic Quadrant’ta yer alan güvenlik duvarı almak Denetim için mecburi midir?
Açık kaynak kodlu ürünler de
gereksinimleri karşılamaktadır !!
9. 9
P C I D S S G E R E K S İ N İ M L E R İ
G E R E K S İ N İ M 1 0 – D E N E T İ M İ Z L E R İ
??
10. 10
P C I D S S G E R E K S İ N İ M L E R İ
G E R E K S İ N İ M 11 – G Ü V E N L İ K T E S T L E R İ
Kötü mü? Hayır !!
11. 11
P C I D S S G E R E K S İ N İ M L E R İ
Ö Z E T L E …
• PCI DSS ürüne bakmaz kontrol yerinde midir? şeklinde sorgular…
• Denetçiniz ürün önerirken bağımsızlığını etkilememelidir.
• Ağ segmentasyonu mecburi değildir !!
• Açık kaynak kodlu ürünlerin artı ve eksi yanlarına hakim olarak kontrolleri icra
edin.
• Ürüne yatırım yapmak yerine süreç iyileştirmek daha maliyet etkin bir çözümdür…
12. İLETİŞİM BİLGİLERİ
Mazars Denge
Hürriyet Mah. Dr. Cemil Bengü
Caddesi Hak İş Merkezi No:2
Çağlayan Kağıthane
İstanbul, Türkiye
T: 0212 296 51 00
www.mazars.com.tr