Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kart sahibi verilerini saklayan, işleyen veya ileten her kuruluş için gereklidir. Mevcut sürüm PCI DSS v4.0.1’dir.
Referans: PCI Security Standards Council
Gereksinim Eşlemesi
| PCI DSS Gereksinimleri | Açıklama | Rediacc Yeteneği |
|---|---|---|
| Ger. 1, Ağ güvenliği kontrolleri | Ağ güvenliği kontrollerini kurma ve sürdürme | Depo başına iptables kuralları depolar arası tüm trafiği engeller. Her depo kendi loopback IP alt ağını (/26) alır. |
| Ger. 2, Güvenli yapılandırmalar | Tüm sistem bileşenlerine güvenli yapılandırmalar uygulama | Rediaccfile yaşam döngüsü kancaları belirleyici, tekrarlanabilir yapılandırmalar dayatır. Varsayılan kimlik bilgisi yok. LUKS anahtarları operatör tarafından oluşturulur. |
| Ger. 3, Depolanan hesap verilerini koruma | Depolanan hesap verilerini şifreleme ile koruma | Tüm depo birimlerinde LUKS2 AES-256 şifreleme. Şifreleme zorunludur, isteğe bağlı değildir. LUKS anahtar yok etme ile kriptografik silme. |
| Ger. 4, Aktarım sırasında veri koruma | Kart sahibi verilerini iletim sırasında güçlü kriptografi ile koruma | Tüm uzak işlemler SSH üzerinden. Yedekleme aktarımı uçtan uca şifrelenir. Şifrelenmemiş veri yolu yok. |
| Ger. 6, Güvenli geliştirme | Güvenli sistemler ve yazılımlar geliştirme ve sürdürme | CoW klonlama, üretim kart verilerini geliştirme ağlarına açmadan izole test ortamları oluşturur. Fork-test-yükseltme iş akışı. |
| Ger. 7, Erişimi kısıtlama | İş gereksinimi temelinde sistem bileşenleri ve kart sahibi verilerine erişimi kısıtlama | Depo başına Docker daemon soketleri. Bir depoya erişim diğerine erişim sağlamaz. SSH anahtar tabanlı kimlik doğrulama. |
| Ger. 8, Kullanıcı tanımlama ve doğrulama | Kullanıcıları tanımlama ve sistem bileşenlerine erişimi doğrulama | SSH anahtar kimlik doğrulaması. IP bağlama ve kapsamlı izinler ile API token’ları. İki faktörlü kimlik doğrulama (TOTP). |
| Ger. 9, Fiziksel erişimi kısıtlama | Kart sahibi verilerine fiziksel erişimi kısıtlama | Kendi sunucunuzda barındırma: fiziksel güvenlik doğrudan sizin kontrolünüzde. LUKS şifreleme çalınan sürücüleri okunamaz hale getirir. |
| Ger. 10, Günlük kaydı ve izleme | Tüm erişimleri kaydetme ve izleme | Hesap düzeyinde 40’tan fazla olay türü (kimlik doğrulama, API token’ları, yapılandırma, lisanslama). Kullanıcı, ekip ve tarih bazında filtreleme ile yönetici paneli. rdc audit CLI ile programatik dışa aktarım. Makine düzeyindeki işlemler SSH ve sistem günlükleri ile denetlenebilir. |
| Ger. 12, Kurumsal politikalar | Bilgi güvenliğini kurumsal politikalar ve programlarla destekleme | Kendi sunucunuzda barındırma üçüncü taraf işleyici kapsamını ortadan kaldırır (Ger. 12.8). PCI DSS uyumluluk sınırını daraltır. |
Ağ Segmentasyonu
PCI DSS, kart sahibi veri ortamını (CDE) izole etmek için ağ segmentasyonuna büyük önem verir. Rediacc bunu mimari olarak sağlar:
- Her depo
/var/run/rediacc/docker-<networkId>.sockadresinde kendi Docker daemon’ında çalışır - Depolar izole loopback IP alt ağlarına sahiptir (127.0.x.x/26, ağ başına 61 kullanılabilir IP)
- renet tarafından uygulanan iptables kuralları daemon’lar arası tüm trafiği engeller
- Farklı depolardan konteynerler ağ düzeyinde iletişim kuramaz
Bir ödeme işleme deposu, aynı makinedeki diğer tüm uygulamalardan ağ olarak izole edilmiştir. Ek güvenlik duvarı yapılandırması gerekmez.
Kapsam Azaltma
Kendi sunucunuzda barındırılan Rediacc, PCI DSS uyumluluk kapsamını daraltır:
- Kart sahibi veri akışında üçüncü taraf bulut sağlayıcı yok
- Ger. 12.8 kapsamında değerlendirilecek SaaS sağlayıcısı yok (üçüncü taraf hizmet sağlayıcılar)
- Fiziksel güvenlik kontrolleri doğrudan sizin yönetiminizde
- Şifreleme anahtarları yalnızca operatörün yerel yapılandırmasında saklanır
Uygulama Vakaları
Zayıf ağ segmentasyonu ve eksik şifreleme, maliyetli PCI DSS uygulama işlemlerine yol açmıştır:
- Heartland Payment Systems (2008): saldırganlar zayıf ağ segmentasyonu nedeniyle 48 veritabanında yanal hareket ederek 130 milyon kart numarasını açığa çıkardı. Toplam maliyet 200 milyon doları aştı.
- Target (2013): saldırganlar düz ağ mimarisi nedeniyle HVAC tedarikçisinin ağ erişiminden satış noktası sistemlerine geçerek 40 milyon ödeme kartını ele geçirdi. 47 eyalet başsavcısı ile 18,5 milyon dolarlık uzlaşma.