PCI DSS Taraması

HackerGuardian, ağlar ve web sunucuları için tamamen yapılandırılabilir bir güvenlik açığı değerlendirme ve raporlama hizmetidir. Uzaktan denetimlerimiz, bir kuruluşun sunucularında 30.000'den fazla bireysel güvenlik testi çalıştırır ve ardından herhangi bir güvenlik açığının düzeltilmesine yardımcı olmak için uzman tavsiyesi sağlar. Sectigo, bir PCI Konseyi Onaylı Tarama Satıcısı (ASV) olduğundan, HackerGuardian Tarama Kontrol Merkezi serimiz, bir satıcının PCI güvenlik açığı tarama yönergeleriyle uyumlu hale gelmesi için ihtiyaç duyduğu her şeyi sağlar.

Evet, dinamik IP Adresine erişmek için bir etki alanı kullanılıyorsa, etki alanı eklenebilir ve taranabilir.

HackerGuardian, yerel alan ağının taranmasını desteklemez. Yalnızca genel olarak erişilebilen IP Adresleri taranabilir.

Çalıştırabileceğiniz eşzamanlı tarama sayısı ondur. On tarama işi başlatıldıktan sonra, mevcut on tarama işinden biri tamamlanana kadar diğer taramalar kuyruğa alınacaktır.

Hayır, dahili IP Adresleri PCI tarama lisanslarıyla taranamaz.

Özel IP aralıkları, RFC 1918 tarafından şu şekilde tanımlanır:

• 10.0.0.0 - 10.255.255.255 (10/8 önek)
• 172.16.0.0 - 172.31.255.255 (172.16/12 öneki)
• 192.168.0.0 - 192.168.255.255 (192/168/16 öneki)

Alan adlarını taramanın iki yolu vardır.

Taramayı başlat açılır penceresinde "DNS"yi seçebilir ve taranacak bir alan adı ekleyebilirsiniz. Bu alan adı, gelecekteki taramalarda kullanılabilecek şekilde hesabınıza eklenecektir.

Alan adlarını, birden çok etki alanının tek bir IP Adresinde barındırıldığı sanal ana bilgisayarlar olarak da ekleyebilirsiniz. Etki alanları eklemek için "Beni Sihirbazda Yürüt"ü tıklayın, "ileri"yi ve ardından tekrar "ileri"yi tıklayın. Ardından "Yeni alan adları ekle"yi tıklayın ve sahip olduğunuz alan adlarını ayarlayın. Bu etki alanlarının IP Adresleri aranır ve hangisinin taranacak doğru IP Adresi olduğunu seçebilirsiniz. Bir tarama başlatırken etki alanı için IP Adresini seçmelisiniz. Raporda alan, kendisi için geçerli olan güvenlik açıklarına karşı listelenecektir. Ad tabanlı bir sanal barındırma ortamını tararken, tek bir IP Adresini tarayabilirsiniz ve barındırdığı tüm etki alanları (hesabınıza eklenmiş olan) taranacaktır.

Tek bir alan adı, sanal ana bilgisayar veya DNS girişi olarak eklenmelidir. Her ikisi olarak eklemek, raporlama sorunlarına neden olabilir.

Taramanın engellendiği veya tarama girişimi ile ilgili herhangi bir sorun bulursanız, taramaların kaynaklandığı aşağıdaki IP Adresi aralığını beyaz listeye almalısınız.

IP Adresi aralığı:

• 64.39.96.0/20 (64.39.96.1-64.39.111.254)
• 139.87.112.0/23 (139.87.112.1-139.87.113.255)

Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS), tüketici veri hırsızlığını önlemek ve çevrimiçi dolandırıcılığı azaltmak için Visa, MasterCard, JCB International, Discover ve American Express tarafından ortaklaşa geliştirilen 12 gereksinimden oluşan bir dizidir. PCI DSS, güvenlik yönetimi, politikalar, prosedürler, ağ mimarisi, yazılım tasarımı ve diğer kritik koruyucu önlemler için gereksinimleri içeren çok yönlü bir standardı temsil eder.

Kredi kartı işlemlerini saklayan, ileten veya işleyen herhangi bir kuruluş için 12 şartın bir kısmına veya tamamına uygunluk ve uygunluğun doğrulanması zorunludur.

• Herhangi bir kuruluşun uyması gereken (12'den) gereksinimlerin tam sayısı, o kuruluşun 'Doğrulama Türüne' bağlıdır. Bir kuruluşun Doğrulama Türü, tam olarak o kuruluşun kredi kartı verilerini nasıl işlediğine göre belirlenir. Bu tür 5 Doğrulama Türü vardır ve PCI uyumlu olması gereken her kuruluş bu türlerden biri olarak kategorize edilecektir. (bkz. 'Doğrulama Türleri' tablosu)

• Her HackerGuardian lisansı tüm 65535 TCP bağlantı noktalarını tarar.

PCI Veri Güvenliği Standardı Kendi Kendini Değerlendirme Anketi (SAQ) , ödeme markaları tarafından Ödeme Kartı Sektörü Veri Güvenliği Standardı'na (PCI DSS) uygunluklarını kendi kendilerine değerlendirmelerine izin verilen tüccarlara ve hizmet sağlayıcılara yardımcı olmayı amaçlayan bir doğrulama aracıdır.

PCI DSS standartları, kart sahibi verilerini işleyen, depolayan veya ileten tüm kuruluşlar için geçerlidir. Bu, kredi kartı verilerini işleyen, depolayan veya ileten, harici IP adreslerine sahip tüm tüccarları ve hizmet sağlayıcıları içerir. Web siteniz web sitesi tabanlı işlemler sunmuyor olsa bile (örneğin, bir ödeme ağ geçidine bağlantı veriyorsunuz), kart verilerini erişilebilir hale getirebilecek başka hizmetler de var. E-posta ve çalışanların İnternet erişimi gibi temel işlevler, bir şirketin ağının İnternet erişilebilirliği ile sonuçlanacaktır. İnternete giden ve İnternet'ten gelen bu görünüşte önemsiz yollar, düzgün bir şekilde kontrol edilmezse, tüccar ve hizmet sağlayıcı sistemlerine korumasız yollar sağlayabilir.

Kısaca evet. Kredi kartı bilgilerini saklamıyor olsanız dahi, bu bilgileri ileten veya işleyen olarak düzenli bir şekilde PCI taraması yapmanız gerekmektedir. PCI gereksinimleri, sadece kart bilgilerini saklayan firmalar için değildir, kart sahibi verilerini ileten veya işleyen ortam için de geçerlidir.

HackerGuardian Yönetici Raporunuz 'UYUMLU DEĞİL' ibaresi gösteriyorsa, harici IP adreslerinizde CVSS taban puanı 4.0'ın üzerinde olan güvenlik açıkları tespit edilmiştir. Ekteki Teknik Rapor, tehdit önem derecesine göre önceliklendirilmiş her bir güvenlik açığının ayrıntılı bir özetini içerir. Keşfedilen her güvenlik açığına, sorunu çözmenize yardımcı olacak çözümler, uzman tavsiyesi ve çapraz referanslı bağlantılar eşlik eder.

"Başarısız" olarak tanımlanan tüm güvenlik açıklarını düzeltmelisiniz. Ayrıca, her rapor, uyumluluğu sağlamak için yapmanız gereken kısa, madde imli bir eylem listesi olan özet, PCI'ya özgü bir 'Azaltma Planı' içerir. Azaltma Planında belirtilen eylemleri tamamladıktan sonra, rapor bir 'UYUMLU' durumu döndürene kadar başka bir tarama çalıştırmalısınız.

HackerGuardian Tarama Kontrolü hizmeti, PCI uyumluluğunu göstermek için alıcınıza sunulabilecek iki rapor sağlar - Yönetici Raporu ve Teknik Rapor. Her iki rapor da Tarama Uyumluluğu Onayını içerir. Yönetici Raporu, tarama raporu bilgilerinin bir özetini içerir. Teknik Rapor, güvenlik açıklarını belirlemek ve gidermek için kullanılan daha ayrıntılı bir belgedir.