Madde | Kapsam | Açıklama |
3.5.1 Additional requirement for service providers only: Maintain a documented description of the cryptographic architecture that includes: • Details of all algorithms, protocols, and keys used for the protection of cardholder data, including key strength and expiry date • Description of the key usage for each key. • Inventory of any HSMs and other SCDs used for key management | Servis Sağlayıcılar | Kriptolama (Şifreleme) mimarisini çizmeleri ve tanımlamaları gerekliliği tanımlanmıştır. 3 numaralı gereksinim altında envanter ve anahtar kullanımı belli ölçülerde tanımlı olması gerekliliği bulunmakla birlikte bu ek maddeyle birlikte yeni bir program olarak anahtar yönetimini işletme ihtiyacı doğmuştur. |
6.4.6 Upon completion of a significant change, all relevant PCI DSS requirements must be implemented on all new or changed systems and networks, and documentation updated as applicable. | Servis Sağlayıcılar Üye İşyerleri | Yeni bir madde olarak yazılım geliştirme süreçlerinde kritik değişiklik olması durumunda PCI DSS etkilerinin değerlendirildiğini servis sağlayıcı şirketler değerlendirmeli ve dokümante etmelidir. |
8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access. | Servis Sağlayıcılar Üye İşyerleri | Kart Veri Envanterine (CDE) yapılacak yönetimsel (Admin) müdahalelerin iç ağda dahi olsa iki faktörlü doğrulamadan geçmesi mecburiyeti tanımlanmıştır. |
10.8 Additional requirement for service providers only: Implement a process for the timely detection and reporting of failures of critical security control systems, including but not limited to failure of: - Firewalls
- IDS/IPS
- FIM
- Anti-virus
- Physical access controls
- Logical access controls
- Audit logging mechanisms
- Segmentation controls (if used)
| Servis Sağlayıcılar | Servis sağlayıcı şirketler anlık olarak güvenlik cihazlarında oluşan hizmet verememe problemlerini takip etmesi gerekmektedir. Standart minimumda Güvenlik Duvarları, IDS/IPS, FIM, Anti-virus, fiziksel erişim kontrolleri, ,mantıksal erişim kontrolleri, denetim izi mekanizmaları ve segmentasyon kontrollerini istemekle birlikte kritik güvenlik kontrollerinin de bu kapsamda değerlendirilmesini istemektedir. |
10.8.1 Additional requirement for service providers only: Respond to failures of any critical security controls in a timely manner. Processes for responding to failures in security controls must include: - Restoring security functions
- Identifying and documenting the duration (date and time start to end) of the security failure
- Identifying and documenting cause(s) of failure, including root cause, and documenting remediation required to address root cause
- Identifying and addressing any security issues that arose during the failure
- Performing a risk assessment to determine whether further actions are required as a result of the security failure
- Implementing controls to prevent cause of failure from reoccurring
- Resuming monitoring of security controls
| Servis Sağlayıcılar | 10.8 maddesine paralel olarak oluşacak Kritik güvenlik kontrollerinde oluşacak aksaklıklara da zamanlı şekilde yanıt verilmesini istemektedir. Başka bir deyişle güvenlik olaylarına daha sıkı ve zamanlı yaklaşmak gerekiyor. |
11.3.4.1 Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods. | Servis Sağlayıcılar | Ağ segmentasyonu uygulayan servis sağlayıcı şirketlerde ilgili kontroller için 6 ayda bir sızma testi yapılması istenmektedir. Aynı şekilde segmentasyon kontrolleri eğer değişirse bu testin tekrarı istenmektedir. |
12.4.1 Additional requirement for service providers only: Executive management shall establish responsibility for the protection of cardholder data and a PCI DSS compliance program to include: - Overall accountability for maintaining PCI DSS compliance
- Defining a charter for a PCI DSS compliance program and communication to executive management
| Servis Sağlayıcılar | İşletimi zor ve kaynak gerektiren bir madde olarak PCI DSS aktivitelerinde yönetim beyanı benzeri bir program oluşturulması istenmektedir. |
12.11 Additional requirement for service providers only: Perform reviews at least quarterly to confirm personnel are following security policies and operational procedures. Reviews must cover the following processes: - Daily log reviews
- Firewall rule-set reviews
- Applying configuration standards to new systems
- Responding to security alerts
- Change management processes
| Servis Sağlayıcılar | Denetçiler pek aşamada gözden geçirmeleri inceliyordu. Buna ek olarak servis sağlayıcı şirketlerin her çeyrekte 5 farklı aktivite için gözden geçirme yapması istenmektedir. Bu aktiviteler; - Günlük denetim izi gözden geçirmeleri
- Güvenlik duvarı kuralları
- Yeni sistemlere konfigürasyon standartlarının uygulanması
- Güvenlik alarmlarına yanıtlar
- Değişiklik yönetim süreci
|
12.11.1 Additional requirement for service providers only: Maintain documentation of quarterly review process to include: - Documenting results of the reviews
- Review and sign off of results by personnel assigned responsibility for the PCI DSS compliance program
| Servis Sağlayıcılar | Gereksinim 12.11 kapsamında yapılan aktivitelerinde ayrıca dokümante edilmesi ve onaylanması PCI DSS programı özelinde ist |