Yeni PCI DSS Versiyonu Geliyor!

PCI DSS yeni revisyonu versiyon 3.2 yolda; bu ay sonu yayınlanması planlanıyor. Nisan 2015’de yayınlanan PCI DSS versiyon 3.1’den bir yıl sonra versiyon 3.2’nin yayınlanacağı duyuruldu.

2015 kasım bülteni ile, PCI DSS 3.1 standardında belirtilen Secure Sockets Layer (SSL)/Early Transport Layer Security (TLS v1.0) geçiş süreci son tarihi 30 Nisan 2016’dan 30 Nisan 2018’e ertelenmişti. Bu değişiklikle birlikte ödeme yöntemlerindeki değişikliklerin, PCI DSS v3.2 sürümünün erken çıkmasındaki etkenler olduğu, PCI Security Standards Council CTO’su Troy Leach tarafından açıklandı.

Yeni sürümle planlanan tarihler:

  • Nisan 2016 sonunda PCI DSS v3.2 yayınlanacak. v3.1 ile yeni revizyon arasındaki değişiklik özeti ile diğer yan dokümanlar (Self-Assessment Questionnaires (SAQ), Attestation of Compliance (AOC) forms, Report on Compliance (ROC) templates, Frequently Asked Questions (FAQ)) da aynı tarihte yayınlanması planlanıyor.
  • Mayıs 2016 sonunda PA-DSS v3.2 ve yan dokümanları yayınlanacak.
  • Ekim 2016 sonunda PCI DSS v3.1 emekliye ayrılacak, bu tarihten sonra tüm konrol madde
    leri PCI DSS v3.2 ye göre gerçekleştirilmeli.
  • Ocak 2018 sonuna kadar PCI DSS v3.2’deki yeni yükümlülükler ‘best practice’ olarak yorumlanacak, bu tarihten sonra zorunlu olarak gerçekleştirilmeli.

Yeni sürümün bu tarihte çıkmasının başlıca nedenleri:

  • Secure Sockets Layer (SSL)/Early Transport Layer Security (TLS v1.0) geçiş süreci son tarihlerinin değişmesi. PCI DSS v3.1’de SSL/TLS ile ilişkili maddeler aşağıdadır:
    • Requirement 2.2.3: Implement additional security features for any required services, protocols, or daemons that are considered to be insecure.
    • Requirement 2.3: Encrypt all non-console administrative access using strong cryptography.
    • Requirement 4.1: Use strong cryptography and security protocols to safeguard sensitive cardholder data during transmission over open, public networks.
  • Ödeme yöntemlerindeki değişiklikler
    • Mobil ödeme yöntemleri
    • ABD’deki EMV çipli kartlara geçiş süreci

Yeni sürümde temel olarak neler değişeceği, güncel ataklar ve sonucunda hazırlanan adli bilişim raporuları doğrultusunda ortaya çıkan ihtiyaçlar doğrultusunda belirlenmiş:

  • Kart sahibi verileri ortamındaki (Cardholder Data Environment – CDE) sistem yöneticileri için çok adımlı kimlik doğrulama önlemleri
  • Hizmet sağlayıcılara ‘Designated Entities Supplemental Validation (DESV)’ dokümanı ile ilişkili bazı yükümlülükler eklenmesi
  • PAN (Primary Account Numbers) maskelemesinde kullanılan yöntemlere açıklık getirilmesi
  • Secure Sockets Layer (SSL)/Early Transport Layer Security (TLS v1.0) geçiş tarihlerinde güncelleme ve eklemeler yapılması

konuyla ilgili PCI tarafından yayımlanan bültenlere aşağıdaki linklerden ulaşılabilir: