Uzun zamandır gündemde olan PCI DSS 4.0 versiyonuna geçişi, ilgili denetçi ve denetime tabi kuruluşlar ile bu standardın uygulayıcıları heyecanla bekliyor.

PCI SSC, PCI DSS v4.0’ın 2022’nin ilk çeyreğinde yayınlanmasını hedefliyor. Aşağıda bununla ilgili konseyin yayınlamış olduğu zaman çizelgesini görebilirsiniz.

Ayrıca Konsey, bu revizyonun önemi nedeniyle nihai hale getirilmeden önce taslak standardın bir ön izlemesini yayınlayarak Katılımcı Kuruluşlara, Nitelikli Güvenlik Değerlendiricilerine (Denetçi kuruluşlara) (QSA’lar) ve Onaylı Tarama Sağlayıcılarına (ASV’ler) bilgilendirme sağlanacağını duyurdu. Ön izleme döneminin amacı, resmi olarak piyasaya sürülmeden önce paydaşlara standardın 4.0 sürümüne alışmaları için ek süre tanımaktır.

Katılımcı Kuruluşlar, QSA’lar ve ASV’ler için ön izleme Ocak 2022’de planlanmış gözüküyor ve “PCI DSS v4.0 taslağı” ile “Değişiklik Özeti” belgesini içeren bu süreçte standardın son sürümlerinin, doğrulama belgeleri ve standardın ilk çeviri aşaması ile birlikte Mart 2022’de resmi olarak yayınlanması planlanıyor.

QSA’ların ve ISA’ların PCI DSS v4.0’ı destekleyebilmeleri ve uygulayabilmeleri içinse eğitimlerin Haziran 2022’de açılmaya başlanması hedeflenmekte.

PCI DSS v4.0’a Geçiş Süreci

Güncellenen zaman çizelgesi, kuruluşların PCI DSS v3.2.1’den PCI DSS v4.0’a güncelleme yapması için hala bir geçiş dönemini içeriyor elbette. Bu geçişi desteklemek için PCI DSS v3.2.1, tüm PCI DSS v4.0 malzemeleri, yani standart, destekleyici belgeler (SAQ’lar, ROC’ler ve AOC’ler dahil), eğitim ve program güncellemeleri tamamlandıktan sonra 18 ay boyunca etkin kalacağını da söylüyor, açıkcası birçok kurum için eğer değişiklik yapması gereken süreçler olacaksa yeterli zamanı bulacaklar gibi durmakta.

Bu geçiş dönemi, kuruluşların v4.0’daki değişikliklere aşina olmalarına, raporlama şablonlarını ve formlarını güncellemelerine ve güncellenen gereksinimleri karşılamak için değişiklikleri planlamalarına ve uygulamalarına olanak tanıyacaktır. Geçiş döneminin tamamlanmasının ardından, PCI DSS v3.2.1 kullanımdan kaldırılacak ve v4.0 standardın tek etkin sürümü olacaktır.

Gelecek Tarihli Gereksinimler

v3.2.1 ve v4.0’ın her ikisinin de etkin olacağı geçiş dönemine ek olarak, v4.0’da “gelecek tarihli” olarak tanımlanan yeni gereksinimlerde aşamalandırma için tanımlanan fazladan bir süre olacaktır.

PCI DSS’de, kuruluşlara uygulamalarını tamamlamaları için ek süre vermek için bazen gelecekteki bir tarihle yeni gereksinimler belirlenir. İleri tarihli gereksinimler, gelecek tarihe ulaşılana kadar en iyi uygulamalar olarak kabul edilir. Bu süre boyunca, kuruluşların ileri tarihli gereksinimleri doğrulaması gerekmez. Doğrulama gerekli olmasa da yeni gereksinimleri karşılamak için kontrolleri uygulayan ve belirtilen gelecek tarihten önce kontrolleri değerlendirmeye hazır olan kuruluşlar bunu yapmaya teşvik edilir. Belirlenen gelecek tarihe ulaşıldığında, tüm ileri tarihli gereksinimler geçerli ve uygulanabilir hale gelir.

PCI DSS v4.0’ın ileri tarihli olabilecek bir dizi yeni gereksinim içereceğini tahmin ediyoruz; ancak, standart kesinleşene kadar tam sayıyı bilemeyeceğiz.

Bu yeni gereksinimler için geçerli gelecek tarih, PCI DSS v4.0 yayına hazır olana kadar teyit edilmeyecek olsa da kuruluşların tüm yeni gereksinimleri karşılaması için yeni güvenlik kontrolleri ve süreçleri planlaması ve uygulaması için yeterli zamanı sağlayacaktır. Gelecek tarih, yeni gereksinimlerin standarttaki kontrollerin uygulanması üzerindeki genel etkisine bağlı olacaktır. Mevcut taslağa dayalı olarak, gelecekteki tarihin, PCI DSS v4.0 yayınlandıktan 2½ – 3 yıl sonra olası bir gelecek tarihiyle planlanan geçiş döneminin ötesine geçmesi bekleniyor.

Planlanan geçiş zaman çizelgesine genel bir bakış ve ileri tarihli gereksinimler için potansiyel zamanlama aşağıda gösterilmiştir.

Bu tarihler ve bazı belirsizlikler baz alındığında aslında birçok kuruluşu PCI DSS uyumu konusunda farklı farklı süreçler bekliyor diyebiliriz. Her gün aktif bir şekilde takip edilmesi gereken bu standardın yeni sürümünde eminim ki daha önceki versiyonlarda bahsi geçen denetçileri ve uygulayıcıları zorlayan “legacy” kalmış konular güncellenecek ve yeni teknolojileri ve güvenlik ihtiyaçlarının değerlendirildiği bir versiyon yayınlanacaktır.

Yazan: Şükrü Tarık Kapucu