PCI DSS v4.0: Yeni Gereksinimler ve Şirketler İçin Etkileri
Giriş:
2022’de yayınlanan ve 2025’te tamamen zorunlu hale gelecek olan PCI DSS v4.0, ödeme sistemleri güvenliği için en önemli güncellemelerden biri. Bu sürüm, kart verilerinin korunması için daha esnek, daha modern ve daha güvenli yöntemler getiriyor. Özellikle bulut altyapısı, uzaktan erişim ve şifreleme teknolojilerinde ciddi yenilikler içeriyor.
PCI DSS v4.0 ile Gelen Başlıca Yenilikler
1. Esnek Kimlik Doğrulama (Multi-Factor Authentication)
Artık sadece yöneticiler değil, kart verisi ortamına (CDE) erişen tüm kullanıcılar için çok faktörlü kimlik doğrulama zorunlu hale geliyor.
- Önceden sadece “remote admin” için MFA gerekiyordu.
- Şimdi ise dahili erişimler de bu kapsama giriyor.
- Bu sayede phishing ve credential stuffing saldırılarının etkisi azaltılıyor.
2. Parola Politikaları
PCI DSS v3.2.1’de parolalar 90 günde bir değiştirilmeliydi.
- PCI DSS v4.0’da artık parola süresi minimum 12 ay, ancak zafiyet şüphesi varsa hemen değiştirilmesi gerekiyor.
- Minimum 12 karakterli parola, sözlük saldırılarına karşı daha güçlü koruma sağlıyor.
3. Kriptografi ve Şifreleme
- TLS 1.2 ve üzeri kullanım zorunlu hale getirildi.
- SHA-1 gibi zayıf algoritmalar artık kabul edilmiyor.
- Anahtar yönetimi için daha sıkı prosedürler getirildi.
4. Logging ve Monitoring
- Tüm sistemlerde otomatik log toplama ve korelasyon zorunlu hale geldi.
- SIEM entegrasyonu öneriliyor.
- “Failed login attempts” ve kritik erişimler için gerçek zamanlı uyarı gereksinimi var.
5. Risk Bazlı Yaklaşım
PCI DSS v4.0, ilk kez “Customized Approach” modeli ile birlikte geliyor.
- Kurumlar, standart kontroller yerine eşdeğer güvenlik önlemleri kullanabilecek.
- Ancak bunun için ayrıntılı risk analizi ve dokümantasyon şart.
6. Güvenli Yazılım Geliştirme
- Yazılım geliştirme ekipleri için secure coding training artık zorunlu.
- CI/CD süreçlerinde static & dynamic code analysis (SAST/DAST) tavsiye değil, gereklilik.
- 6.4.3 maddesiyle, kod değişikliklerinde güvenlik testleri mutlaka yapılmalı.
Şirketler İçin Ne Anlama Geliyor?
- Eski sürüme göre daha fazla MFA yatırımı yapılmalı.
- Parola yöneticisi ve SSO çözümleri entegre edilmeli.
- Loglama ve SIEM sistemleri artık “olsa iyi olur” değil, olmazsa olmaz.
- Yazılım geliştirme ekiplerinin PCI DSS farkındalık eğitimi alması şart.
Sık Sorulan Sorular (FAQ)
1. PCI DSS v4.0 ne zaman zorunlu olacak?
31 Mart 2025 itibarıyla PCI DSS v4.0 tüm kurumlar için geçerli olacak.
2. MFA sadece yöneticiler için mi geçerli?
Hayır. Artık tüm CDE erişimleri için zorunlu hale geldi.
3. Customized Approach nedir?
Standart kontrol yerine eşdeğer güvenlik önlemlerini uygulayabilmenizi sağlayan esnek bir modeldir.
4. Eski şifreleme algoritmaları kullanılabilir mi?
Hayır. TLS 1.2 ve üzeri, SHA-256 veya daha güvenli algoritmalar kullanılmalı.
👉 Referanslar:
