İş dünyası liderleri olarak, teknolojinin yeteneklerini geliştirmesini beklerken, oranın teklif edilen Moore Yasası uyarınca zamanla maliyeti düşürmesini de öğretiriz ve teknolojinin hızlanmaya devam edeceği genel olarak kabul edilmektedir. Bununla birlikte, küresel problemi çözme ve bulut yetenekleri ile bilgi paylaşımı, akıllı teknoloji için dağıtılmış uygulama tasarımı ve yeni nesil yazılım tasarımı için yapay zekaya kadar, son zamanlardaki teknik gelişmelerle birlikte, şu anda çok daha büyük ve daha hızlı olan evrimsel değişikliklerle karşı karşıyayız. Gordon Moore’un gözleminin asıl amacı. Hem ödeme hem de bilgi güvenliği konusundaki son gelişmelerde, özellikle ödemelerin emniyetli ve güvenli bir şekilde kolaylaştırılması için yazılımın bütünlüğüyle ilişkili olduğu için, aynı ilerleme görülebilir.
İşte bu nedenle PCI Güvenlik Standartları Konseyi (PCI SSC) bu yıl bizim odaklanmamızın büyük bölümünü, yazılım güvenliğindeki ilerlemelerden nasıl alabileceğinize ve ödemelerdeki bu evrime ayak uydurmaya yöneliktir. Bu iyileştirmelerden yararlanmak için, iyi bir yazılımı, tasarımı ve yaşam döngüsü yönetimi için dikkat edilmesi gereken hususların farkında olmamız gerekir. Bugün, uygulama güvenliği için bütçe kuruluşlar için ortalama 20 %’den az olsa da, yazılım güvenliğine olan güvenimiz önemli ölçüde artmaktadır. Ödemelerde, savunma derinliği ve iş güvenliği için dengeli bir yaklaşım sunan daha aktif ve daha reaktif olabilecek daha iyi kontrol aramaya devam ediyoruz.
Yazılım tabanlı PIN girişi
Bu, yeni tüccarların sayısı gün geçtikçe arttığı ve ödemelerin kabul edilme ve işleme biçiminin değişmeye devam etmesi nedeniyle, ödeme verilerinin yazılımla güvence altına alınmasında özellikle önemlidir. Hali hazırda, PCI SSC, mobil cihazlardaki ve ortamlarda ödemeleri işleme koymanın yeni yollarını düşünen yeni bir standart geliştiriyor. MPOS’ta mobil ödeme kabulünün zorluğunun merkezinde, ödemelerle birincil amaç veya işlev olarak tasarlanmamış cihazlar bulunmaktadır. Önceki PCI Standartlarında hesap bilgilerinin tüketici dereceli cep telefonlarına veya tabletlere girmeden önce şifrelenmesi gereksinimleri ve mobil tipi bir ortamda PIN kabul eden cihazlar için iyi bir güvenlik olduğunu göstermenin diğer yollarını geliştirmeye odaklandık. Bu şekilde, mobil cihazın riski işlemin bütünlüğünü etkilemez.
Teknoloji ilerlemeye devam ederken statik verilerin değeri azaldığından, şimdi bu girişli (COTS) cihazlara doğrudan PIN girişi yazılımıyla (şifreli tuş vuruşları yerine bir pin pedi aracılığıyla) yönetmeyi düşünen kontroller tasarlıyoruz. Bu yeni yazılım tabanlı PIN girişi standardı, şu anda mevcut olmadığı MPOS’ta yazılım tabanlı doğrudan PIN girişi için yapılandırılmış ve güvenli bir ödeme kabul yaklaşımı sağlayacaktır. Kilit bir güvenlik hedefi, hesap numarasından her zaman PIN’i izole etmektir; dolayısıyla korelasyon saldırıları için herhangi bir teşebbüs olamaz. Korelasyon saldırıları, dolandırıcılık yapmak için yeterli bilgiye sahip olmak için iki veya daha fazla kaynaktan elde edilen veriler birleştirildiğinde ortaya çıkar. Suçlular, kimlik bilgilerini çalmak için büyük veri kullanıyor ve yeni yaklaşımların bu tehdidi en aza indirgemek için standartlar geliştirmesi gerekiyor. Bu izolasyonu nasıl oluşturduğumuz, o iki veri ögesinin aynı ortamda bulunmasını önlemek için şifreleme gibi mekanizmalar yoluyla yapılır.
Ek olarak, ödeme uygulaması ve kapsamlı izleme için yazılım güvenliği için en iyi uygulamalar, telefon veya tabletteki ödeme ortamına yönelik olası tehditleri azaltmak için yeni standartta önemli ilkeler olacaktır. Standart geliştirme sürecinin bir parçası olarak, PCI onaylı güvenlik değerlendiricileri ve diğer endüstri paydaşları ile birlikte, taslak standart hakkındaki geri bildirimlerini almak ve yalnızca doğru türde güvenlik kontrolleri sağlamakla kalmayıp aynı zamanda göstermek için gerçekçi. Ayrıca, PCI SSC web sitesinde tüccarlar için bu çözümlerin doğrulanmış bir listesini sağlayacak bir destekleyici program için potansiyel üzerinde de duruyoruz.
Güvenli yazılım, tasarım ve geliştirilmesi
Yazılım güvenliği yalnızca mobil uygulamalar için değil, aynı zamanda hesap bilgilerinin yazılım programlarına bağlanmasına ve kullanılmasına yönelik daha fazla yol tanıtan diğer geleneksel ödeme teknolojisi türleri için giderek önem kazanmaktadır. Tüketici ve tüccarların hem yazılım çalıştıran kart sahibi bilgilerinin hem de yüksek seviyede bütünlük içinde olacağına dair güvence gerekiyor. Ve bu güvenlik, işletmelere dağıtılan her kod örneğinin tasarımı ve sunumunun bir parçasıdır. Ancak günümüzün yazılım geliştirme ortamı, değişiklikleri bağımsız kaynaklardan hızla onaylanamayacak oranda itiyor. Peki bu güveni nasıl kuracağız?
Yeni geliştirilen tehditlere karşı devam eden bakımlar için keşfedilen iyi bir yazılımı, tasarımı ve kapsamlı bir yaşam döngüsü sorumluluğudur. Bu uygulama geliştiricilerin, ödeme verilerine karşı siber suç faaliyetinde eğilimlerin farkında olduklarını ve gelecek kod tasarımında riski en aza indirgemek için en iyi uygulamalarda eğitim gördüklerini doğrulayarak başlar. Aynı zamanda, CISO’ların üçüncü taraflarla olan ilişkilerini, tedarikçinin gelecekteki tehditleri de gözlemlemeye devam edecek yeterli gözetim ve / veya anlaşmalara sahip olması için yönetmesini gerektirir.
PCI SSC şu anda ödeme yazılımlarının güvenli tasarım ve geliştirilmesine yönelik standartlar üzerine çalışmaktadır. Amaç, modern yazılım geliştirme sürecindeki değişimin hızını ele almak ve yazılım yaşam döngüsü farkındalığını artırmak ve aynı zamanda kod tasarımında ödeme güvenliğinin bütünlüğünü ve şeffaflığını korumaktır. Endüstriden önümüzdeki haftalarda bu taslak standartları gözden geçirmesini ve geri bildirim sağlamasını isteyeceğiz. Yazılım geliştirme ile ilgili organizasyonların girdilerini paylaşması için harika bir fırsattır. Bu standartlar geliştirildiğinde, bu konuyla ilgili gelecekteki ödemelerin kabul edilme şekli değiştikçe, PCI SSC ödeme verilerini korumak için ödemelerdeki bu gelişmeleri nasıl güvenlik standartlarıyla destekleyeceğimizi sürekli olarak araştırıyor.
0 yorum