Security Blog

Penetrasyon Testi ve PCI DSS: İki kere bir kereden iyidir

Servis Sağlayıcılar için sızma testi ihtiyacına dair yeni açıklamalar ortaya çıkmaya başladı. PCI DSS 3.2 sürümü 1 Şubat 2018’den itibaren geçerli olacak, sadece servis sağlayıcıları için oluşturulmuş ek ihtiyaçları da içeriyor.

“Eğer segmentasyon kullanıldıysa, PCI DSS kapsamını en azından her altı ayda bir ve segmentasyon kontrolleri/yöntemlerinde yaşanan bir değişikliğin ardından penetrasyon tesi gerçekleştirerek onaylayın.”

Bu ihtiyaç, 2018 yılında devreye girecek değerlendirmeler için önemli kollara sahip olduğu için, ufak bir ayrıntı olarak değerlendirilemez.

Öncelikle, servis sağlayıcılar için 1 Şubat 2018 ve sonrasında gerçekleştirilecek herhangi bir PCI DSS değerlendirmesi için tüm değerlendirilmiş servis sağlayıcılarının her altı ayda bir penetrasyon testi gerçekleştirildiğini göstermeleri gerekecek. Dahası, 1 Şubat ve 1 Ağustos 2018 tarihleri arasında gerçekleştirilmiş değerlendirmeler, altı aylık test süresi oluşmadığından, 1 Ağtusost 2018 ya da bu tarihe müteakip yeniden penetrasyon testinin gerçekleştirilmesi gerekecek. Bir başka deyişle, altı aylık süre bu tarihten sonra başlayacak ve altı aylık penetrasyon testlerinin devamının yapılması şart.

Uzun lafın kısası, bundan sonra tüm servis sağlayıcılarının şu unsurlara dikkat etmesi gerekiyor:

  1. 1 Şubat 2018 tarihinden itibaren, her altı ayda bir penetrasyon testlerinin yapılması
  2. 1 Ağustos 2018 tarihinden itibaren, en azından bir adet altı aylık penetrasyon testinin yapılması
  3. En az her altı ayda bir penetrasyon testlerinin düzenli olarak yapılması.

Konsey tarafından iki katına çıkarılmış olan bu efor, PCI DSS açısından kapsam ve segmentasyon açısından en problemli konu olmaya devam edeceğe benziyor. Aralık 2016’da yayınlanmış olan “PCI DSS Kapsam ve Ağ Segmentasyonu Rehberi” bilgi edinmek açısından iyi bir kaynak teşkil ediyor.

Konsey tarafından yayınlanan rehber belgelerindeki “Penetrasyon Test Rehberi” eki, en yorucu ancak konuyla ilgili en kapsamlı ve açık şekilde ifade edilmiş bilgi kaynağı. Mart 2015 yılında ilk olarak karşılaştığım ve kabullendiğim bu rehber, doğrusunu söylemek gerekirse pekçokları için halen en büyük yardımcı olmaya devam ediyor. Yenilen rehberin, daha kapsamlı ve açık bir şekilde penetrasyon testi hakkında bilgi verdiği aşikar. Diğer taraftan Konseyin yaptığı açıklamalar ise, rehberin yeniden güncelleneceği yönünde. Bu da penetrasyon testi uzmanları açısından da kafa karışılıklığına sebep oluyor.

Her ne kadar bir belgenin nasıl kafa karıştırıcı olabileceği ile ilgili spekülasyonlar ortaya atılmışsa da diğer benzer bilgilendirici belgeler gibi “Penetrasyon Test Rehberi” belgesi de birçok firma için PCI DSS ihtiyaçlarının karşılanması açısından önemli bir el kitabı niteliği taşıdığını da akıldan çıkarmamak gerek. Eğer siz de firmanızın PCI DSS uyumlu olmasını istiyor ve penetrasyon testi yaptırmak istiyorsanız, 24 Solutions’un uzman ekibiyle iletişime geçebilirsiniz.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com