28 Mayıs 2016

PCI/DSS Log Gereksinimleri

Posted by: Fırat Celal Erdik 28 Mayıs 2016
PCI/DSS (Payment Control Indistrues/ Data Security Standart); Kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla uluslararası kabul görmüş ödeme markaları olan American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. International kurumlarınca oluşturulmuş PCI Komitesi tarafından geliştirilmiştir. PCI DSS, kartlı ödeme sistemlerinde yer alan kurum ve kuruluşlarda bilgi güvenliğini sağlamak için bilgi sistemlerinde bilgi iletimini, bilgi işleyişini ve bilgi depolamayı esas alan çeşitli kontrolden oluşmaktadır. Bu kontrollerden bir kısmı log analizi ve yönetimini işaret etmektedir.

PCI/DSS standardı nihayi olarak aşağıdaki başlıkları amaçlamaktadır;
- Genel olarak kart sahibinin verisinin korunması amaçlanmaktadır, bu sebeple öncelikle güvenli bir network kurulması talep edilir.
- Kurulan network içerisinde var olan sistemlerin(Firewall,IPS,WAF v.b) vendor tarafından kurulan default ayarları ve kullanıcı hesapları ile kullanılmamasını ister.
- Store edilen müşteri datasının şifreli tutularak korunması ve şifreli olarak diğer sistemlere iletilmesini talep eder. 
- Kurulan güvenli yapının devamlılığının(antivirüs kullanımı, gerekli update’ler v.s) sağlanması istenir 
- Güvenli altyapıyı sürekli iyileştirme, geliştirme ve devamlılığının sağlanması beklenmektedir.
- Müşteri verisine erişimin kısıtlanması ve müşteri verisine erişimlerin takibinin yapılabilmesini ister.
- Tüm Network kaynaklarına(router,switch,fw,ips,ids vs.) ve müşteri verisine erişimleri sürekli takip edebilme ve monitör edebilmeyi talep eder. (Bu aşama loglamayı işaret ediyor, özetle tüm scope ait detaylandırılmış loglar alınmalı, loglar en az 1 yıl tutulmalı, loglar korunmalı(file integrity,loga erişeni de logla) ve günlük olarak otomatize bir araç ile review edebilme).
- Güvenlik sistemlerini ve süreçleri sürekli test ettir.

PCI/DSS Loglama konusundaki gereksinimleri:

- PCI/DSS kapsamına giren tüm sistemlerin tespit önceliklidir. PCI/DSS denetimi kapsamında olan tüm scop’daki sistemlere ait olabildiğince detaylı log(çok açık değil,olabildiğince fazla alınması iyi olur) alınması istenmekte.
- Tüm bu scope'daki sistemlerden alınacak logları merkezi bir storage’de(SIEM ürünü) topla.
- Toplanan logların değiştirilmelere ve yetkisiz erişimlere karşı korunması. Dolayısı ile logları güvenli bir sistemde loglandıktan sonra bu loglara erişimleri ve yapılacak değişimleri loglamak gerekir.
- Toplanan logları günlük review edebilecek bir yapının kurulması
- PCI/DSS 1 yıllık log tutmayı zorunlu kılmakta ve son 3 aylık loglara kolaylıkla erişilebilir olmasını istemekte

Nelerin loglanacağı biraz az tanımlanmış bir konu fakat aşağıdakilerin loglanması önerilmektedir;
- Kimlik doğrulamalardan başarılı ve başarısız durumların loglanması
- Kart bilgilerine yapılan erişimler
- Denetim kılavuzlarında yapılan erişimlerin ve işlemlerin detayları
- Oturum bilgilerine ilişkin detaylar
 - Tanımlama ve kimlik doğrulama mekanizmalarının kullanımı ve değişiklikleri
- Audit logları
- AV logları
- Ziyaretçilerin oluşturdukları loglar(ziyaretçi adı,firma adı,fiziksel erişim yetkilendirmeleri)
- Önemli sistemler üzerindeki zaman ayarlarında yapılan değişiklikler
- Kurum içerisinde kullanılan teknolojilere yönelik (kablosuz, DNS, posta) loglar
- Güvenlik işlevlerini gerçekleştiren tüm sunucular ve sistem bileşenlerindeki (güvenlik duvarları, saldırı tespit etme sistemleri/saldırı önleme sistemleri [IDS/IPS] vb.) işlemler ,
- Ağ kaynaklarına ve kart sahibi verilerine kesintisiz bir temelde fiziksel tüm erişimler/aktiviteler
- Takılan medialara(usb,cd vs.) ait loglar
- Uygulamalardaki veri erişimlerine ait tüm audit logları alınması faydalı olacaktır. Web için bu standart httpd loglarıdır.
- System bileşenlerine yetkili/yetkisiz tüm erişimleri,uygulama kurma,kaldırma,kullanıcı aktivitelerini vs. logla. Bu sebeple her kullanıcı eyleminin logları bir kullanıcı adı ile ilişkilenedirilmeli


Alınan logun yapısına ait detay;
- Zaman damgası mutlaka olmalı
- Hassas korunan veriler veya kullanıcı adı/parola,card bilgisi vs. olmamalı.

Çok detaylı bir şekilde aşağıdaki PDF’de ilgili verilen maddelerde loglamayı işaret eden özellikle 10.X ‘li maddeler gözden geçirilebilir.

0 yorum:

Yorum Gönder

Her türlü eleştiri,yorum,ekleme ve düzeltmeye yönelik fikirlerinizi paylaşabilirsiniz.Hakaret içeren yorumlar filtrelenmektedir.

Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.