PCI DSS 4.0 Kimlik Doğrulaması: Passkey'ler

Dijital dünya sürekli bir evrim içinde ve bu evrimle birlikte siber tehditlerin karmaşıklığı ve sıklığı da artmaya devam ediyor. Ödeme kartı verileri, kötü niyetli aktörler için birincil hedef olmayı sürdürüyor. Bu durum, bu verileri işleyen her kuruluş için sağlam güvenlik standartlarını zorunlu kılıyor. Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), uzun zamandır kart sahibi verilerini korumak için bir referans noktası olmuştur. En son sürümü olan PCI DSS 4.0, diğer geliştirmelerin yanı sıra önemli ölçüde güçlendirilmiş kimlik doğrulama gereksinimleri aracılığıyla modern tehditlere doğrudan yanıt vererek önemli bir adımı temsil ediyor.

Kuruluşlar bu yeni talepleri karşılarken, gelişmekte olan teknolojiler umut verici çözümler sunuyor. FIDO (Fast Identity Online) Alliance standartları ve WebAuthn protokolü üzerine inşa edilen Passkey'ler, bu yeni kimlik doğrulama dalgasının ön saflarında yer alıyor. Parolasız, oltalama saldırılarına dayanıklı bir yaklaşım sunuyor ve hassas verilere erişimin güvenliğini artırıyor. Bu makale, PCI DSS 4.0'ın özellikle güvenli kimlik doğrulama konusunda getirdiği kritik değişiklikleri analiz ediyor, passkey kimlik doğrulamasının yeteneklerini inceliyor ve bu teknolojiden uyumluluğu sağlamak ve sürdürmek için yararlanmaya yönelik bir yol haritası sunuyor.

Bu inceleme, bu yeni alanda yol alan kuruluşlar için iki önemli soruyu gündeme getiriyor:

1. Kimlik Doğrulama: PCI DSS 4.0 kimlik doğrulama çıtasını yükseltirken, kuruluşlar kullanıcıları veya güvenlik ekiplerini aşırı yüklemeden bu katı yeni gereksinimleri nasıl etkili bir şekilde karşılayabilir?
2. Passkey'ler ve PCI Uyumluluğu: Passkey'ler gibi gelişmekte olan teknolojiler, PCI DSS 4.0'ın kimlik doğrulama kontrollerini karşılayabilir, güvenliği artırabilir ve operasyonel verimliliği iyileştirebilir mi?

Bu makalede, teknik profesyonellere daha güvenli ve uyumlu bir geleceğe doğru yol göstererek bu soruları yanıtlamayı amaçlıyoruz.

Passkey'lerin mevcut uyumluluk ortamındaki rolünü anlamak için, PCI DSS çerçevesini ve 4.0 sürümüyle gelen önemli evrimi kavramak çok önemlidir.

PCI Veri Güvenliği Standardı, ödeme verilerini korumak için tasarlanmış küresel bir bilgi güvenliği standardıdır. Kart sahibi verilerini depolayan, işleyen veya ileten tüm kuruluşlar için geçerlidir ve tüccarları, işlemcileri, üye işyeri bankalarını, kartı veren kuruluşları ve hizmet sağlayıcıları kapsar. Standart, büyük ödeme kartı markaları (American Express, Discover Financial Services, JCB International, MasterCard ve Visa) tarafından geliştirilmiştir. Bu markalar, standardın devam eden gelişimini yönetmek için 7 Eylül 2006'da PCI Güvenlik Standartları Konseyi'ni (PCI SSC) kurmuştur. PCI DSS, ödeme verilerini yaşam döngüsü boyunca korumak için bir temel oluşturan kapsamlı bir teknik ve operasyonel gereksinimler setinden oluşur.

PCI SSC, dünya çapında güvenli ödemeler için veri güvenliği standartları ve kaynakları geliştirmek ve benimsenmesini sağlamak amacıyla ödeme endüstrisi paydaşlarını bir araya getiren küresel bir forum olarak faaliyet gösterir. Konsey, PCI DSS'in ötesinde, ödeme güvenliğinin çeşitli yönlerini ele alan bir dizi standardı yönetir. Misyonu, paydaşlar tarafından eğitimi, farkındalığı ve etkili uygulamayı teşvik eden standartlar ve destek hizmetleri geliştirerek küresel ödeme hesabı veri güvenliğini artırmaktır.

Mart 2022'de resmi olarak yayınlanan PCI DSS 4.0 Standartları (paydaş geri bildirimlerini ele almak için daha sonra küçük bir revizyon (v4.0.1) yapılmıştır), standarda yıllardır yapılan en önemli güncellemeyi işaret etmektedir. Bu evrimin birincil itici gücü, giderek karmaşıklaşan siber tehdit ortamına ve ödeme endüstrisindeki değişen teknolojik çevreye yanıt verme ihtiyacıydı.

PCI DSS 4.0'ın temel hedefleri şunlardır:

• Ödeme endüstrisinin gelişen güvenlik ihtiyaçlarını karşılamak: Standardın, yapay zeka tabanlı oltalama gibi mevcut ve ortaya çıkan tehditlere karşı etkili kalmasını sağlamak.
• Güvenliği sürekli bir süreç olarak teşvik etmek: Odağı anlık uyumluluktan sürekli bir güvenlik disiplinine kaydırmak.
• Doğrulama yöntemlerini ve prosedürlerini geliştirmek: Uyumluluk değerlendirmelerinin titizliğini ve tutarlılığını artırmak.
• Esneklik eklemek ve ek metodolojileri desteklemek: Kuruluşlara güvenlik hedeflerine ve sonuçlarına nasıl ulaşacakları konusunda daha fazla serbestlik tanımak.

PCI DSS 4.0, kuruluşların uyumluluğa yaklaşımını etkileyen birkaç temel değişiklik getiriyor:

Kuralcı Kontroller Yerine Güvenlik Sonuçlarına Odaklanma

Önemli bir değişiklik, öncelikli olarak kuralcı kontrollerden güvenlik sonuçlarına vurgu yapmaya geçiştir. Standardın kendisi bu esnekliği şöyle detaylandırıyor:

Bu değişim, PCI DSS 3.2.1'in ne yapılacağına dair ayrıntılı talimatlar sunarken, 4.0 sürümünün kuruluşlara gereksinimleri nasıl karşılayacakları konusunda daha fazla esneklik tanıdığı anlamına geliyor. İşletmeler, bu kontrollerin belirtilen güvenlik hedeflerine ulaştığını gösterebildikleri sürece, kendi ortamlarına en uygun kontrolleri uygulayabilirler. Bu, özellikle eski, daha katı kontrol tanımlarına tam olarak uymayabilecek passkey'ler gibi yenilikçi teknolojileri benimsemek için önemlidir. Ancak bu esneklik, kuruluşların kapsamlı risk değerlendirmeleri yapmaları ve seçtikleri kontrol metodolojilerini açıkça gerekçelendirmeleri beklentisiyle birlikte gelir.

Sürekli Güvenlik (Olağan İş Süreci)

PCI DSS 4.0'daki bir diğer anahtar ilke, güvenliğin sürekli, olağan iş süreci (Business-as-Usual - BAU) olarak teşvik edilmesidir. Standart bunu Bölüm 5'te detaylandırıyor:

"Olağan iş süreci" (BAU) süreçlerine yapılan bu vurgu, kuruluşların güvenliği rutin faaliyetlerine entegre etmesi gerektiği anlamına gelir. Bu, güvenliğin sonradan akla gelen bir düşünce veya yıllık bir telaş olmadığı, operasyonların ayrılmaz bir parçası olduğu bir kültür geliştirmekle ilgilidir. Bu kültür, kart sahibi verilerinin sürekli korunmasını sağlamak için sürekli izleme, düzenli değerlendirmeler ve uyarlanabilir güvenlik duruşları sağlar. Passkey uygulamaları için bu, etkinliklerini, kullanıcı benimseme modellerini ve ortaya çıkan tehditleri sürekli izlemede uyanık olmak anlamına gelir ve güvenliği anlık bir uyumluluk egzersizi yerine sürekli bir çaba haline getirir.

Özelleştirilmiş Uygulama ve Hedefli Risk Analizi

PCI DSS 4.0'daki önemli yeni bir özellik, titiz risk değerlendirmesiyle özünde bağlantılı olan özelleştirilmiş uygulama için resmileştirilmiş seçenektir. Standart, bu bağlantıyı 12.3.2 Gereksinimi'nde zorunlu kılar:

Bu resmileştirilmiş seçenek, kuruluşların kesin olarak belirlenmiş yöntemlere sıkı sıkıya bağlı kalmak yerine, kendi benzersiz ortamlarına göre uyarlanmış yeni teknolojiler ve yenilikçi kontroller kullanarak güvenlik hedeflerini karşılamalarına olanak tanır. Ancak, alıntının da vurguladığı gibi, bu esneklik her özelleştirilmiş kontrol için hedefe yönelik bir risk analizi yapılmasına bağlıdır. Bu analiz belgelenmeli, üst yönetim tarafından onaylanmalı ve yıllık olarak gözden geçirilmelidir. Üçüncü taraf bir değerlendirici (Nitelikli Güvenlik Değerlendiricisi veya QSA), daha sonra bu özelleştirilmiş kontrolleri, kuruluşun risk analizi de dahil olmak üzere belgelenmiş yaklaşımını inceleyerek ve özel test prosedürleri geliştirerek doğrular. Bu yol, passkey'ler gibi çözümler için kilit bir kolaylaştırıcıdır ve kuruluşların, yaklaşımlarının güvenlik hedeflerini karşıladığını risk değerlendirmesi yoluyla gösterebildikleri sürece, gelişmiş güvenlik özelliklerinden etkili bir şekilde yararlanmalarını sağlar. Sağlam risk analizi ile desteklenen uygulama özelleştirme yeteneği, hem tehditlerin hem de savunma teknolojilerinin hızlı evriminin, katı, kuralcı kontrolleri zamanla daha az uyarlanabilir hale getirdiğinin bir anlayışını yansıtır.

Geçiş Zaman Çizelgeleri

PCI DSS 3.2.1, 31 Mart 2024'e kadar v4.0 ile birlikte aktif kaldı ve bu tarihten sonra kullanımdan kaldırıldı. PCI DSS 4.0'da sunulan yeni gereksinimler, 31 Mart 2025'e kadar en iyi uygulamalar olarak kabul edildi. Bu tarihten sonra, bu yeni gereksinimler tüm değerlendirmeler için zorunlu hale gelecektir. Bu aşamalı yaklaşım, kuruluşlara değişiklikleri anlamak, planlamak ve uygulamak için bir zaman aralığı sağladı.

Bu değişiklikler toplu olarak, ödeme kartı güvenliğine daha olgun, uyarlanabilir ve risk odaklı bir yaklaşımı işaret ediyor ve daha güçlü, daha modern kimlik doğrulama mekanizmalarının benimsenmesine zemin hazırlıyor.

PCI DSS gereksinimlerine uymamak sadece bir gözden kaçırma değildir; bir kuruluşun finansal istikrarını, yasal durumunu ve itibarını ciddi şekilde etkileyebilecek önemli ve çok yönlü sonuçlar doğurur.

Uyumsuzluğun en doğrudan sonucu, mali cezaların uygulanmasıdır. Bu para cezaları genellikle PCI SSC tarafından değil, üye işyeri bankaları ve ödeme işlemcileri tarafından verilir. Cezalar, işlenen işlem hacmine (bu, tüccar seviyesini belirler; örneğin, yıllık 6 milyondan fazla işlem için Seviye 1'e karşılık 20.000'den az e-ticaret işlemi için Seviye 4) ve uyumsuzluğun süresine ve ciddiyetine bağlı olarak aylık 5.000 ila 100.000 dolar arasında değişen önemli miktarlarda olabilir. Örneğin, birkaç aydır uyumsuz olan bir Seviye 1 tüccarının bu aralığın üst sınırında cezalarla karşılaşma olasılığı daha yüksekken, daha küçük Seviye 4 işletmeleri aylık 5.000 dolara yakın para cezaları alabilir.

Bu para cezalarının tekrarlayan aylık bir yük olabileceğini anlamak çok önemlidir. Bu sürekli mali baskı, ödeme işlemcilerinin uyumsuz işletmelere uygulayabileceği artırılmış işlem ücretleri ile birleştiğinde, uyumsuzluğun kümülatif maliyetinin, uyumluluğu sağlamak ve sürdürmek için gereken yatırımı çok aştığı anlamına gelir. Bu, uyumluluğu sadece bir maliyet merkezi olarak değil, kritik bir risk azaltma yatırımı olarak yeniden çerçeveler. Passkey'ler gibi güçlü kimlik doğrulama da dahil olmak üzere sağlam güvenlik önlemlerine yatırım yapmak, bu daha büyük, genellikle öngörülemeyen ve potansiyel olarak yıkıcı maliyetlerden kaçınmak için finansal olarak akıllıca bir karar haline gelir.

Doğrudan para cezalarının ötesinde, uyumsuzluk, özellikle bir veri ihlali ile sonuçlanırsa ciddi yasal zorluklara yol açabilir. Verileri tehlikeye atılan müşteriler dava açabilir ve kart markaları da yasal işlem başlatabilir. Uyumsuzluk durumu, davacıların kuruluşun ihmalini göstermesini önemli ölçüde kolaylaştırabilir ve potansiyel olarak maliyetli uzlaşmalara ve mahkeme kararlarına yol açabilir.

Belki de en zarar verici, ancak daha az ölçülebilir sonuçlardan biri, bir kuruluşun itibarına verilen zarardır. Tek bir uyumluluk hatası, özellikle de bir veri ihlaline yol açan bir hata, müşteri güvenini ciddi şekilde sarsabilir. Bir kez kaybedildiğinde, bu güveni geri kazanmak zordur ve genellikle müşteri kaybına, rakiplere iş kaptırmaya ve markanın imajına uzun vadeli zarara neden olur. Tekrarlanan veya ciddi ihlaller, kart markaları veya üye işyeri bankaları tarafından bir kuruluşun ödeme işleme ayrıcalıklarının iptal edilmesine bile yol açabilir ve bu da onların kartlı ödeme kabul etme yeteneklerini etkili bir şekilde ortadan kaldırır. Bu, uyumluluğu sadece teknik bir gereklilik olarak değil, aynı zamanda marka güveninin ve iş sürekliliğinin temel bir bileşeni olarak görmenin önemini vurgular.

Uyumsuzluk bir veri ihlaline katkıda bulunursa, kuruluş muhtemelen para cezaları ve yasal ücretlerin yanı sıra önemli tazminat maliyetlerinden de sorumlu olacaktır. Bu maliyetler, etkilenen müşterilere ücretsiz kredi izleme, kimlik hırsızlığı sigortası ve sahte masraflar veya hizmet ücretleri için geri ödeme gibi hizmetler sağlamayı içerebilir. Ayrıca, tehlikeye atılan ödeme kartlarının yeniden basım maliyeti, kart başına 3 ila 5 dolar olarak tahmin edilmekte olup, çok sayıda kart sahibini etkileyen ihlallerde hızla milyonlarca dolara ulaşabilir. Tersine, bir kuruluş tam PCI DSS uyumlu iken bir ihlal yaşarsa, ilgili para cezaları düşürülebilir veya hatta ortadan kaldırılabilir, çünkü uyumluluk ihmal yerine durum tespiti ve güvenliğe bağlılık gösterir.

Potansiyel olumsuz sonuçların çeşitliliği, PCI DSS uyumluluğunun ödeme kartı ekosisteminde yer alan herhangi bir kuruluş için modern iş operasyonlarının vazgeçilmez bir yönü olduğunu vurgulamaktadır.

PCI DSS'in 8. Gereksinimi her zaman standardın temel taşlarından biri olmuştur. 4.0 sürümüyle birlikte, hükümleri önemli ölçüde güçlendirilmiştir; bu, hassas kart sahibi verilerine ve bu verileri işleyen sistemlere yetkisiz erişimi önlemede sağlam kimlik doğrulamanın kritik rolünü yansıtmaktadır.

8. Gereksinimin temel amacı, Kart Sahibi Veri Ortamı (CDE) içindeki veya ona bağlı sistem bileşenlerine erişen her bireyin benzersiz bir şekilde tanımlanabilmesini ve sağlam bir şekilde doğrulanabilmesini sağlamaktır. Bu, yetkisiz erişimi önleyerek ve tüm eylemlerin belirli, bilinen bir kullanıcıya kadar izlenebilmesini sağlayarak kart sahibi verilerinin bütünlüğünü ve güvenliğini korumak için önemlidir, böylece bireysel hesap verebilirlik sağlanır.

PCI DSS 4.0'daki büyük bir evrim, Çok Faktörlü Kimlik Doğrulama (MFA) gereksinimlerinin genişletilmesi ve güçlendirilmesidir:

• CDE Erişimi için Evrensel MFA: Öncelikle idari erişim ve CDE'ye tüm uzaktan erişim için MFA'yı zorunlu kılan PCI DSS 3.2.1'in aksine, 4.0 sürümü CDE'ye tüm erişimler için MFA gerektirir. Bu, erişimin ağ içinden veya dışından kaynaklanıp kaynaklanmadığına bakılmaksızın yöneticiler, genel kullanıcılar ve üçüncü taraf satıcılar tarafından yapılan erişimi içerir. Bu önemli genişleme, PCI SSC'nin MFA'yı temel bir güvenlik kontrolü olarak tanıdığını vurgulamaktadır.
  Standart bu gereksinimleri şöyle belirtir:

  8. Gereksinim alıntıları

  "8.4.1 İdari erişime sahip personel için CDE'ye tüm konsol dışı erişimlerde MFA uygulanır." 

  "8.4.3 CDE'ye erişebilecek veya CDE'yi etkileyebilecek, kuruluşun ağı dışından kaynaklanan tüm uzaktan erişimler için MFA uygulanır." 

• Faktör Gereksinimleri: MFA uygulamaları, tanınan üç kimlik doğrulama faktörü türünden en az ikisini kullanmalıdır:

  • Bildiğiniz bir şey (ör. parola, PIN)
  • Sahip olduğunuz bir şey (ör. bir token cihazı, akıllı kart veya passkey tutan bir cihaz)
  • Olduğunuz bir şey (ör. parmak izi veya yüz tanıma gibi biyometrik veriler). En önemlisi, bu faktörler bağımsız olmalıdır, yani bir faktörün ele geçirilmesi diğerlerini tehlikeye atmaz.

• MFA Sistem Bütünlüğü: MFA sistemleri, tekrar saldırılarına (bir saldırganın kimlik doğrulama verilerini yakalayıp yeniden kullandığı) direnecek şekilde tasarlanmalı ve erişimi yalnızca gerekli tüm kimlik doğrulama faktörleri başarıyla doğrulandıktan sonra vermelidir.

• Yetkisiz Atlatma Yok: MFA, yöneticiler de dahil olmak üzere hiçbir kullanıcı tarafından atlanamamalıdır, meğerki yönetim tarafından sınırlı bir süre için örnek bazında özel, belgelenmiş bir istisna tanınmamış olsun.

• İstisna Olarak Oltalama Saldırılarına Dayanıklı Kimlik Doğrulama: PCI DSS 4.0, bazı durumlarda MFA'nın amacını karşılayabilen oltalama saldırılarına dayanıklı kimlik doğrulama faktörleriyle ilgili ek rehberlik de sunmaktadır.

  8. Gereksinim alıntıları

  "Bu gereksinim, yalnızca oltalama saldırılarına dayanıklı kimlik doğrulama faktörleriyle doğrulanan kullanıcı hesapları için geçerli değildir." — 8.4.2 için Uygulanabilirlik Notları 

  "Oltalama saldırılarına dayanıklı kimlik doğrulama… Oltalama saldırılarına dayanıklı kimlik doğrulama örnekleri arasında FIDO2 bulunur." — Ek G, Oltalama Saldırılarına Dayanıklı Kimlik Doğrulama Sözlük tanımı 

  Bu alıntıların vurguladığı gibi, oltalama saldırılarına dayanıklı kimlik doğrulamanın sonuçları bir sonraki bölümde (4.3) daha ayrıntılı olarak incelenecektir.

PCI DSS 4.0, oltalama saldırılarına dayanıklı kimlik doğrulama yöntemlerinin kullanımına belirgin bir vurgu yapmaktadır. Bu, geleneksel kimlik bilgilerini ele geçirmede oltalama saldırılarının yaygınlığına ve başarısına doğrudan bir yanıttır.

• MFA'ya Alternatif/Tamamlayıcı Olarak Oltalama Saldırılarına Dayanıklı Kimlik Doğrulama:

  • 8.4.2 Gereksinimi altındaki kritik bir gelişme, kuruluşun ağı içinden CDE'ye yapılan tüm idari olmayan erişimler için oltalama saldırılarına dayanıklı kimlik doğrulama yöntemlerinin geleneksel MFA'nın yerine kullanılabileceğidir. Bu, doğası gereği oltalama saldırılarına dayanıklı olan passkey'ler gibi teknolojiler için önemli bir hükümdür. Bu, PCI SSC'nin bu gelişmiş yöntemleri, bu özel kullanım durumu için bazı geleneksel MFA kombinasyonlarına kıyasla benzer veya hatta üstün bir güvence seviyesi sağladığını gördüğünü göstermektedir.

• Ancak, CDE'ye idari erişim (Gereksinim 8.4.1) ve kuruluşun ağı dışından CDE'ye yapılan tüm uzaktan erişimler için (Gereksinim 8.4.3), oltalama saldırılarına dayanıklı kimlik doğrulama şiddetle tavsiye edilse de, MFA gereksinimini karşılamak için en az bir başka kimlik doğrulama faktörüyle birleştirilmesi gerekir. Bu ayrım, passkey uygulamasında incelikli bir yaklaşımı gerektirir; potansiyel olarak, passkey'lerin tek başına genel iç kullanıcılar için yeterli olduğu, ancak passkey'lerin başka bir faktörle birleştirildiği daha yüksek riskli erişim senaryoları için katmanlı bir strateji uygulanabilir.

• FIDO Tanınırlığı ve Uzman Görüşleri: Standart, büyük ölçüde sağlam oltalama saldırılarına dayanıklı özellikleri nedeniyle MFA'yı başarmak için tercih edilen bir yöntem olarak FIDO tabanlı kimlik doğrulamayı (passkey'lerin temelini oluşturan) özellikle belirtmektedir. Bu konuyla ilgili daha fazla bilgi, PCI SSC'nin "Coffee with the Council" podcast bölümü olan "Parolalara Karşı Passkey'ler: FIDO Alliance ile Bir Tartışma"da paylaşıldı (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  Podcast'te, PCI SSC Seçkin Standartlar Mimarı Başkan Yardımcısı Andrew Jamieson, bu teknolojilerin değerini vurguladı:

  "Oltalama saldırılarına dayanıklı kimlik doğrulamanın harika bir teknoloji olduğunu tekrar belirtmek isterim. Parolalarla yaşadığımız sorunların birçoğunu çözebilecek bir şey. Ve insanlara kimlik doğrulama için hangi teknolojileri uygulayacaklarına bakarken, oltalama saldırılarına dayanıklı kimlik doğrulamaya ve getirebileceklerine bir göz atmalarını şiddetle tavsiye ederim, ama aynı zamanda bunun insanların alıştığından biraz farklı olduğunu ve bunu genel kimlik doğrulama mimarilerine nasıl doğru ve güvenli bir şekilde entegre edebileceklerini araştırmaları gerektiğini anlamaları da önemli."

  FIDO Alliance Pazarlama Direktörü Megan Shamas (FIDO Liderliği bölümüne bakın), bu teknolojilerin temsil ettiği temel değişimi ve politikaların uyum sağlama ihtiyacını vurguladı:

  "Bu, temelde alıştığımız parolalar artı faktör, faktör, faktörden farklı bir şey ve biz teknolojiyi geliştirdik ve şimdi insanların da gereksinimlerini ve politikalarını bununla birlikte geliştirmeleri gerekiyor. Ve bu, kuruluşların oltalama yapılabilir kimlik doğrulamadan kurtulmak için doğru yola girmelerine gerçekten yardımcı olacaktır."

  Bu ortak bakış açısı, endüstrinin daha güvenli, modern kimlik doğrulama yöntemlerine doğru hareketini vurgulamaktadır.

PCI DSS 4.0, MFA ve oltalama saldırılarına dayanıklı yöntemlere doğru güçlü bir şekilde iterken, hala kullanımda olmaları durumunda parolalar ve parola cümleleri için gereksinimleri de sıkılaştırıyor:

• Artırılmış Uzunluk ve Karmaşıklık: Minimum parola uzunluğu v3.2.1'de yedi karakterden v4.0'da 12 karaktere çıkarılmıştır (veya sistem 12'yi desteklemiyorsa en az 8 karakter). Parolalar ayrıca sayısal ve alfabetik karakterlerin bir karışımını içermelidir.
• Parola Değiştirme Sıklığı: Parolalar, kimlik doğrulama için kullanılan tek faktör ise (yani, o hesap için o erişime MFA uygulanmıyorsa) en az 90 günde bir değiştirilmelidir. Bu gereksinim, erişim için MFA uygulanırsa veya kuruluş erişimi gerçek zamanlı olarak dinamik olarak değerlendiren sürekli, risk tabanlı kimlik doğrulama kullanıyorsa feragat edilebilir.

Parola kurallarının önemli ölçüde güçlendirilmesi, genişletilmiş MFA zorunlulukları ve oltalama saldırılarına dayanıklı yaklaşımların açıkça onaylanmasıyla birleştiğinde, PCI SSC'den stratejik bir yön sinyali veriyor: parolalara birincil veya tek kimlik doğrulama mekanizması olarak olan bağımlılığı sistematik olarak azaltmak. Parolalar uzun zamandır güvenlikte zayıf bir halka olarak kabul edilmektedir ve PCI DSS 4.0, tek başına kullanımlarını daha sıkı ve daha az çekici hale getirerek ve aynı anda daha güçlü, modern alternatifleri teşvik ederek doğal risklerini aktif olarak azaltmayı amaçlamaktadır.

Bu değişimleri net bir şekilde göstermek için, aşağıdaki tablo PCI DSS 3.2.1 ve 4.0 arasındaki temel kimlik doğrulama yönlerini karşılaştırmaktadır:

Tablo 1: Kimlik Doğrulamadaki Temel Farklılıklar: PCI DSS 3.2.1 vs. 4.0

PCI DSS 4.0'da kimlik doğrulamaya yapılan bu artan odaklanma, kuruluşların mevcut stratejilerini yeniden değerlendirmeleri ve passkey'ler gibi daha dayanıklı çözümleri keşfetmeleri için net bir yön belirliyor.

FIDO Alliance standartlarına dayanan passkey'ler, geleneksel parolalara ve hatta bazı eski MFA türlerine göre temelden daha güvenli ve kullanıcı dostu bir alternatif sunar.

Passkey, kullanıcıların bir parola girmelerine gerek kalmadan web sitelerine ve uygulamalara giriş yapmalarını sağlayan bir dijital kimlik bilgisidir. FIDO Alliance tarafından geliştirilen bir dizi açık belirtim olan FIDO2 standartları üzerine inşa edilmiştir. WebAuthn, tarayıcıların ve web uygulamalarının kriptografik anahtar çiftleri kullanarak güçlü, oltalama saldırılarına dayanıklı kimlik doğrulama yapmasını sağlayan bir World Wide Web Consortium (W3C) standardıdır. Esasen, passkey'ler bu FIDO2 standartlarının bir uygulamasıdır ve web ortamlarındaki etkileşimler için WebAuthn'den yararlanır. Geleneksel parolaları, bir kullanıcının akıllı telefonu, bilgisayarı veya donanım güvenlik anahtarı gibi bir cihazında güvenli bir şekilde saklanan benzersiz kriptografik anahtarlarla değiştirirler.

Passkey'lerin güvenliği, açık anahtarlı kriptografiye dayanır. Bir kullanıcı bir hizmetle ("güvenen taraf" veya RP) bir passkey kaydettiğinde, benzersiz bir kriptografik anahtar çifti oluşturulur:

• Kullanıcının cihazında güvenli bir şekilde saklanan bir özel anahtar. Bu anahtar, bir donanım güvenlik modülü (ör. bir TPM veya Secure Enclave) içinde bulunabilir. Özel anahtar, bu güvenli depolama alanını asla terk etmez (daha sonra detaylandırılacağı gibi, senkronize passkey'ler durumu hariç).
• Güvenen tarafa (web sitesi veya uygulama hizmeti) gönderilen ve saklanan ve kullanıcının hesabıyla ilişkilendirilen bir açık anahtar.

Kimlik doğrulama sırasında süreç aşağıdaki gibidir:

1. Güvenen taraf, kullanıcının cihazına benzersiz bir "sınama" (rastgele bir veri parçası) gönderir.
2. Özel anahtarı açmak ve kullanmak için, kullanıcı cihazında bir yerel doğrulama gerçekleştirir. Bu genellikle bir biyometrik tanımlayıcı (parmak izi veya yüz taraması gibi) kullanmayı, bir cihaz PIN'i girmeyi veya bir desen çizmeyi içerir. Önemli olan, bu biyometrik verilerin veya PIN'in kullanıcının cihazını asla terk etmemesi ve güvenen tarafa iletilmemesidir.
3. Kilidi açıldıktan sonra, cihazdaki özel anahtar, güvenen taraftan alınan sınamayı imzalar.
4. Bu imzalı sınama ("onay"), güvenen tarafa geri gönderilir.
5. Güvenen taraf, o kullanıcıya karşılık gelen saklanmış açık anahtarı kullanarak onay üzerindeki imzayı doğrular. İmza geçerliyse, kimlik doğrulama başarılıdır.

Başlıca iki tür passkey vardır:

• Senkronize Passkey'ler: Bu passkey'ler, Apple'ın iCloud Anahtar Zinciri veya Google Şifre Yöneticisi gibi bulut tabanlı kimlik bilgisi yöneticileri kullanılarak bir kullanıcının güvenilir cihazları arasında senkronize edilebilir. Bu, bir cihazda oluşturulan bir passkey'in aynı kullanıcıya ait başka bir cihazda aynı ekosistem içinde kullanılmasına olanak tanıyarak kolaylık sağlar.
• Cihaza Bağlı Passkey'ler: Bu passkey'ler, bir USB donanım güvenlik anahtarı (ör. YubiKey) veya belirli bir telefondaki bir uygulama gibi belirli bir fiziksel doğrulayıcıya bağlıdır. Passkey bu belirli cihazdan ayrılmaz.

Bu kriptografik temel ve yerel kullanıcı doğrulama süreci, birçok yaygın saldırı vektörünü doğrudan ele alan doğal güvenlik faydaları sağlar.

Passkey'lerin tasarımı, geleneksel kimlik doğrulama yöntemlerine göre çeşitli güvenlik avantajları sunar:

• Oltalama Direnci: Bu temel bir faydadır. Passkey'ler, oluşturuldukları belirli web sitesi kaynağına (Güvenen Taraf ID'si veya RP ID) kriptografik olarak bağlıdır. Bir kullanıcı, meşru bir siteyi taklit eden sahte bir oltalama sitesini ziyaret etmesi için kandırılırsa, tarayıcı veya işletim sistemi mevcut alan adının passkey ile ilişkili RP ID ile eşleşmediğini tanıyacaktır. Sonuç olarak, passkey basitçe çalışmayacak ve kimlik doğrulama başarısız olacaktır. Bu, oltalama girişimlerini belirleme yükünü genellikle yanılabilir olan insan kullanıcıdan teknolojinin sağlam güvenlik protokollerine kaydırır.
• Paylaşılan Sırların Olmaması: Passkey'lerle, hem kullanıcı hem de sunucu tarafından bilinen ve çalınabilen bir parola gibi "paylaşılan bir sır" yoktur. Kimlik doğrulama için kritik bileşen olan özel anahtar, kullanıcının güvenli cihazını asla terk etmez. Sunucu tarafından saklanan açık anahtar, özel anahtarla matematiksel olarak bağlantılıdır ancak özel anahtarı türetmek veya kullanıcıyı taklit etmek için kullanılamaz. Bu, bir güvenen tarafın sunucusu ihlal edilse ve açık anahtarlar çalınsa bile, karşılık gelen özel anahtarlar olmadan saldırganlar için işe yaramaz oldukları anlamına gelir.
• Kimlik Bilgisi Doldurma ve Tekrar Saldırılarına Karşı Koruma: Saldırganların çeşitli hesaplara erişim sağlamak için çalınan kullanıcı adları ve parolaların listelerini kullandığı kimlik bilgisi doldurma saldırıları, çalınacak ve yeniden kullanılacak parolalar olmadığı için etkisiz hale gelir. Ayrıca, her passkey kimlik doğrulaması benzersiz bir sınama-yanıt mekanizması içerir. Özel anahtar tarafından oluşturulan imza, o belirli oturum açma oturumu için alınan sınamaya özgüdür, bu da bir saldırganın bir kimlik doğrulama onayını yakalayıp daha sonra yetkisiz erişim sağlamak için yeniden oynatmasını imkansız hale getirir.
• Hesap Ele Geçirme (ATO) riskinde önemli azalma: Oltalama saldırılarını etkili bir şekilde etkisiz hale getirerek, paylaşılan sırları ortadan kaldırarak ve kimlik bilgisi doldurma ve tekrar saldırılarını önleyerek, passkey'ler hesap ele geçirme için kullanılan birincil saldırı vektörlerini büyük ölçüde azaltır. Saldırganlar kullanıcının kimlik doğrulama bilgilerini kolayca elde edemediği veya kötüye kullanamadığı için, başarılı ATO olasılığı düşer.

Bilgi tabanlı kimlik doğrulamadan (kullanıcının parola gibi bildiği bir şey) sahiplik tabanlı (kullanıcının sahip olduğu bir şey – güvenli anahtarlı cihazı) ve kalıtım tabanlı veya yerel bilgi tabanlı (kullanıcının biyometri yoluyla olduğu bir şey veya cihaz PIN'i yoluyla yerel olarak bildiği bir şey) bir kombinasyona bu temel geçiş, uzaktan kullanılabilir paylaşılan sırları tehlikeye atmaya dayanan saldırı zincirlerini temelden kırar. Sürtünme ekleyen birçok güvenlik önleminin aksine, passkey'ler genellikle karmaşık parolaları hatırlama ihtiyacı olmadan daha hızlı, daha basit girişler sunarak kullanıcı deneyimini iyileştirir; bu, benimsemeyi teşvik edebilen ve genel güvenlik duruşunu artırabilen ikili bir faydadır.

Passkey'lerin doğasında bulunan güçlü güvenlik özellikleri, PCI DSS 4.0'ın zorunlu kıldığı güçlendirilmiş kimlik doğrulama kontrolleriyle, özellikle de 8. Gereksinim'de belirtilenlerle dikkate değer bir uyum içindedir. Passkey'ler bu gereksinimleri karşılamakla kalmaz, genellikle geleneksel yöntemlerin sağladığı güvenliği de aşar.

Passkey'ler, PCI DSS 4.0 tarafından tanımlandığı şekliyle Çok Faktörlü Kimlik Doğrulama temel ilkelerini doğası gereği karşılar:

• Çok Faktörlü Doğa: Bir passkey kimlik doğrulama olayı tipik olarak "sahip olduğunuz bir şeyi" (özel anahtarı içeren fiziksel cihaz, örneğin bir akıllı telefon veya donanım güvenlik anahtarı) ya "olduğunuz bir şeyle" (cihazdaki passkey'i açmak için kullanılan parmak izi veya yüz taraması gibi bir biyometrik) ya da "bildiğiniz bir şeyle" (bir cihaz PIN'i veya deseni) birleştirir. Bu faktörler bağımsızdır; örneğin bir cihaz PIN'ini ele geçirmek, cihazın kendisi güvende kaldığı sürece kriptografik anahtarı doğası gereği tehlikeye atmaz.
• Oltalama Direnci: Kapsamlı bir şekilde tartışıldığı gibi, passkey'ler kriptografik doğaları ve kaynak bağlamaları nedeniyle tasarımları gereği oltalama saldırılarına dayanıklıdır. Özel anahtar, güvenen tarafa asla ifşa edilmez veya ağ üzerinden iletilmez ve passkey yalnızca kaydedildiği meşru alan adında çalışır. Bu, PCI DSS 4.0'ın oltalama tehditlerini azaltmaya yönelik güçlü vurgusuyla doğrudan uyumludur.
• Tekrar Saldırısı Direnci: Her passkey kimlik doğrulaması, sunucudan gelen benzersiz bir kriptografik sınama içerir ve bu daha sonra özel anahtar tarafından imzalanır. Ortaya çıkan imza, yalnızca o belirli sınama ve oturum için geçerlidir, bu da onu tekrar saldırılarına karşı dirençli hale getirir. Bu, MFA sistemlerinin bu tür saldırıları önlemesini zorunlu kılan 8.5 Gereksinimini karşılar.

Geleneksel parolalarla karşılaştırıldığında, passkey'ler çok daha üstün bir güvenlik modeli sunar. Parolalar çok sayıda saldırıya karşı savunmasızdır: oltalama, sosyal mühendislik, parola yeniden kullanımı nedeniyle kimlik bilgisi doldurma, kaba kuvvet saldırıları ve ihlal edilmiş veritabanlarından hırsızlık. Passkey'ler, paylaşılan sırrı (parolayı) denklemden tamamen çıkararak bu zayıflıkları ortadan kaldırır. Kimlik doğrulama, kolayca çalınabilen veya tahmin edilebilen bir sır yerine, kendisi yerel cihaz güvenliği ile korunan bir özel anahtarın sahipliğinin kriptografik kanıtına dayanır.

PCI Güvenlik Standartları Konseyi, passkey teknolojisinin potansiyelini kabul etmiştir. PCI SSC'nin FIDO Alliance ile bir tartışmayı içeren "Coffee with the Council" podcast'inden elde edilen bilgiler, duruşları hakkında netlik sağlar:

• Kuruluşun ağı içinden Kart Sahibi Veri Ortamına (CDE) idari olmayan erişim için (Gereksinim 8.4.2), PCI SSC, passkey'ler gibi oltalama saldırılarına dayanıklı kimlik doğrulama yöntemlerinin geleneksel MFA'nın yerine kullanılabileceğini belirtmektedir. Bu, passkey'lerin gücünün önemli bir kabulüdür.
• CDE'ye idari erişim için (Gereksinim 8.4.1) ve ağa yapılan herhangi bir uzaktan erişim için (Gereksinim 8.4.3), passkey'ler (oltalama saldırılarına dayanıklı kimlik doğrulama olarak) tavsiye edilse de, MFA gereksinimini karşılamak için başka bir kimlik doğrulama faktörüyle birlikte kullanılmalıdır. Bu, daha yüksek ayrıcalıklı veya daha yüksek riskli erişim senaryolarının ek bir katman gerektirdiği risk tabanlı bir yaklaşımı düşündürmektedir.
• PCI SSC, kuruluşların passkey'leri uyumlu bir şekilde nasıl uygulayacaklarını anlamalarına yardımcı olmak için SSS'ler gibi rehberlikler geliştirmekte aktif olarak çalışmaktadır ve passkey'lerin geleneksel parola tabanlı düşünceden temel bir geçişi temsil ettiğini kabul etmektedir.
• Ayrıca, PCI DSS 4.0 belgeleri, MFA'yı uygulamak için zorunlu olmasa da tercih edilen bir yöntem olarak FIDO tabanlı kimlik doğrulamayı açıkça referans göstererek, standardın hedefleriyle uyumunu vurgulamaktadır.

Bu pozisyon, kuruluşların passkey'leri stratejik olarak dağıtmasına olanak tanır. CDE'ye dahili olarak erişen geniş idari olmayan kullanıcı tabanı için, sorunsuz bir passkey girişi uyumluluk gereksinimlerini karşılayabilir. Yöneticiler ve uzaktan kullanıcılar için, passkey'ler bir MFA çözümü için güçlü, oltalama saldırılarına dayanıklı bir temel sağlar.

Passkey'ler önemli bir güvenlik yükseltmesi sunsa da, PCI DSS Nitelikli Güvenlik Değerlendiricileri (QSA'lar), özellikle CDE'ye idari erişim gibi yüksek riskli erişim senaryoları için (Gereksinim 8.4.1), gerçek çok faktörlü kimlik doğrulama ilkelerinin karşılandığından emin olmak için uygulamalarını inceleyecektir. Temel hususlar arasında passkey türü, kimlik doğrulama faktörlerinin bağımsızlığı ve onaylama (attestation) kullanımı yer alır.

Daha önce de tartıştığımız gibi, passkey'ler iki ana biçimde gelir:

• Senkronize Passkey'ler: Bunlar, Apple iCloud Anahtar Zinciri veya Google Şifre Yöneticisi gibi bulut hizmetleri aracılığıyla bir kullanıcının güvenilir cihazları arasında senkronize edilir. Bir cihazda oluşturulan bir passkey'in başka bir cihazda kullanılabilmesi kolaylık sağlar.
• Cihaza Bağlı Passkey'ler: Bunlar, bir USB donanım güvenlik anahtarı (ör. YubiKey) veya belirli bir telefonun güvenli donanımı gibi belirli bir fiziksel doğrulayıcıya bağlıdır. Özel anahtar bu belirli cihazdan ayrılmaz.

PCI DSS, MFA faktörlerinin bağımsız olmasını, yani bir faktörün ele geçirilmesinin diğerlerini tehlikeye atmamasını zorunlu kılar. Bir passkey tipik olarak "sahip olduğunuz bir şeyi" (özel anahtarlı cihaz) ve "bildiğiniz/olduğunuz bir şeyi" (anahtarı açmak için yerel cihaz PIN'i veya biyometrik) birleştirir.

Senkronize passkey'lerle, birçok saldırıya karşı oldukça güvenli olsalar da, bazı QSA'lar idari erişim için (Gereksinim 8.4.1) "sahiplik" faktörünün mutlak bağımsızlığı konusunda sorular sorabilir. Endişe, passkey'leri senkronize eden kullanıcının bulut hesabının (ör. Apple ID, Google hesabı) ele geçirilmesi durumunda, özel anahtarın potansiyel olarak bir saldırgan kontrolündeki cihaza kopyalanabilmesidir. Bu, bazı değerlendiricilerin, yüksek riskli bağlamlarda bir senkronize passkey'i, senkronizasyon mekanizmasının kendisi güçlü MFA ile sağlam bir şekilde güvence altına alınmamışsa, iki tam bağımsız faktörün katı yorumunu karşılamadığını düşünmesine yol açabilir. Örneğin, NIST yönergeleri, senkronize passkey'leri AAL2 uyumlu olarak tanırken, cihaza bağlı passkey'ler genellikle dışa aktarılamayan anahtarları içeren AAL3 seviyesini karşılayabilir.

• WebAuthn Doğrulayıcı Bayraklarını Anlamak: Bir WebAuthn seremonisi sırasında (passkey'lerin temelini oluşturan), doğrulayıcılar belirli bayrakları bildirir. İki önemli olan şunlardır:
  • uv=1 (Kullanıcı Doğrulandı): Bu bayrak, kullanıcının genellikle bir cihaz PIN'i veya biyometrik kullanarak doğrulayıcıya varlığını başarıyla doğruladığını gösterir. Bu doğrulama, kimlik doğrulama faktörlerinden biri olarak işlev görür – "bildiğiniz bir şey" (PIN) veya "olduğunuz bir şey" (biyometrik).
  • up=1 (Kullanıcı Mevcut): Bu bayrak, kullanıcının seremoni sırasında mevcut olduğunu ve doğrulayıcıyla etkileşime girdiğini (ör. bir güvenlik anahtarına dokunarak) onaylar. Kullanıcı niyetini kanıtlamak ve belirli uzaktan saldırıları önlemek için çok önemli olsa da, kullanıcı varlığı genellikle MFA'nın çok faktörlü gereksinimini karşılamak için ayrı, bağımsız bir kimlik doğrulama faktörü olarak kabul edilmez. Önemli bir güvenlik özelliğidir ancak genellikle tek başına ikinci bir faktör olarak sayılmaz.
• Cihaza Bağlı Passkey'lerin ve Donanım Güvenlik Anahtarlarının Rolü: İdari erişim (Gereksinim 8.4.1) ve diğer yüksek güvenceli senaryolar için, donanım güvenlik anahtarlarında saklanan cihaza bağlı passkey'ler, faktör bağımsızlığı için daha güçlü bir argüman sunar. Özel anahtar donanım belirtecini asla terk etmeyecek şekilde tasarlandığından, "sahip olduğunuz bir şey" faktörü, yazılım tabanlı saldırılar veya bulut hesabı ele geçirme yoluyla kopyalanmaya karşı daha sağlam bir şekilde korunur. Bu, onları idari MFA için katı QSA beklentilerini karşılamak isteyen birçok kuruluş için tercih edilen bir seçenek haline getirir.

Onaylama (Attestation), WebAuthn'de doğrulayıcının passkey kayıt işlemi sırasında güvenen tarafa (FIDO sunucunuz) kendisi hakkında doğrulanabilir bilgiler (ör. markası, modeli, sertifikasyon durumu, donanım destekli olup olmadığı) sağladığı bir özelliktir.

• PCI DSS için neden önemli: Onaylama (Attestation), kullanılan doğrulayıcıların kuruluşun güvenlik politikalarını karşıladığına ve gerçekten iddia ettikleri şey (ör. sertifikalı bir donanım güvenlik anahtarı) olduğuna dair QSA'lara önemli kanıtlar sunabilir. Bu, kimlik doğrulama faktörlerinin gücünü ve bağımsızlığını gösterirken özellikle önemli olabilir.
• Tavsiye: İdari CDE erişimi gibi yüksek güvenlikli erişimler için, sağlam onaylama desteği sunan donanım güvenlik anahtarlarında passkey kullanılması şiddetle tavsiye edilir. Bu, kuruluşun kabul edilebilir doğrulayıcı türleri hakkında politikalar uygulamasını ve uyumluluğun daha güçlü kanıtlarını sunmasını sağlar.

Uygulamada, 8.4.1 Gereksinimi için denetim sürtünmesinden kaçınmak amacıyla, birçok kurumsal şirket, anahtar koruması ve potansiyel olarak onaylama konusunda güçlü güvenceler sunan donanım güvenlik anahtarlarında cihaza bağlı passkey'ler vermeyi tercih eder.

Passkey'lerin boşluğu nasıl doldurduğunu ve 8. Gereksinim'de detaylandırılan kontrolleri nasıl karşıladığını net bir şekilde göstermek için, aşağıdaki tablo belirli passkey özelliklerini ve karakteristiklerini ilgili alt maddelerle eşleştirir ve farklı senaryolar için uygunluklarını belirtir.

Bu eşleştirme, passkey'lerin sadece teorik bir uyum değil, aynı zamanda PCI DSS 4.0'ın gelişmiş kimlik doğrulama taleplerini karşılamak için pratik ve sağlam bir çözüm olduğunu göstermektedir.

Ödeme güvenliği dünyası karmaşık ve sürekli gelişiyor. PCI DSS 4.0 bu gerçeği yansıtıyor ve özellikle kimlik doğrulama alanında güvenlik kontrolleri için çıtayı daha yükseğe koyuyor. Kuruluşlar bu yeni, daha katı talepleri karşılamaya çalışırken, FIDO/WebAuthn standartları üzerine inşa edilen passkey'ler sadece uyumlu bir çözüm olarak değil, aynı zamanda güvenli erişimi yeniden tanımlamaya hazır dönüştürücü bir teknoloji olarak ortaya çıkıyor.

Bu analiz boyunca, iki merkezi soru keşfimize rehberlik etti:

1. PCI DSS 4.0 kimlik doğrulama çıtasını yükseltirken, kuruluşlar kullanıcıları veya güvenlik ekiplerini aşırı yüklemeden bu katı yeni gereksinimleri nasıl etkili bir şekilde karşılayabilir? Kanıtlar, kuruluşların passkey'ler gibi oltalama saldırılarına dayanıklı Çok Faktörlü Kimlik Doğrulama (MFA) çözümlerini stratejik olarak benimseyerek PCI DSS 4.0'ın kimlik doğrulama gereksinimlerini etkili bir şekilde karşılayabileceğini güçlü bir şekilde göstermektedir. Bu teknolojiler, sağlam, kriptografik olarak doğrulanmış güvenliği, önemli ölçüde iyileştirilmiş, genellikle daha hızlı kullanıcı deneyimleriyle doğal olarak dengeler. Ayrıca, PCI DSS 4.0'ın "özelleştirilmiş uygulamalara" izin vermesi, kuruluşları bu tür gelişmiş çözümleri kendi özel ortamlarına ve risk profillerine göre uyarlamaları için güçlendirir ve tek tip bir yaklaşımdan uzaklaştırır. PCI SSC'nin kendi rehberliği de bunu daha da kolaylaştırır, geniş bir kullanıcı segmenti için basitleştirilmiş uyumluluğa izin verirken, daha yüksek riskli idari ve uzaktan erişim için daha katmanlı yaklaşımları saklı tutar.
2. Passkey'ler gibi gelişmekte olan teknolojiler, yalnızca PCI DSS 4.0'ın sağlam kimlik doğrulama kontrollerini karşılamakla kalmaz, aynı zamanda gelişmiş güvenlik ve iyileştirilmiş operasyonel verimlilik gibi sadece uyumluluğun ötesinde somut faydalar da sunabilir mi? Cevap net bir evet. Passkey'lerin, MFA, oltalama direnci ve tekrar saldırısı direnci kriterleri de dahil olmak üzere PCI DSS 4.0 Gereksinim 8 içindeki temel kimlik doğrulama kontrollerini karşılayabildiği kanıtlanmıştır. Ancak, değerleri sadece uyumluluğun ötesine uzanır. Passkey'lerin doğal tasarımı—paylaşılan sırları ortadan kaldırmak ve kimlik doğrulamayı belirli kaynaklara bağlamak—başarılı oltalama saldırıları ve hesap ele geçirme riskini büyük ölçüde azaltır, bu da dolandırıcılıkla ilgili kayıplarda somut azalmalara yol açar. Operasyonel olarak, parolalardan uzaklaşma, parola ile ilgili daha az yardım masası talebi anlamına gelir, maliyetleri düşürür ve BT kaynaklarını serbest bırakır. Kullanıcılar daha basit, daha hızlı ve daha az sinir bozucu bir giriş deneyiminden yararlanır, bu da üretkenliği ve müşteri memnuniyetini artırabilir. Dahası, parolaların belirli erişim yolları için tamamen passkey'lerle değiştirildiği durumlarda, parola özelindeki kontroller için denetim yükü ortadan kalkar ve potansiyel olarak bu alanlardaki uyumluluk çabalarını kolaylaştırır.

Gerçekten güvenli bir ödeme ekosistemine giden yolculuk süreklidir. PCI DSS 4.0 yeni kilometre taşları belirliyor ve passkey kimlik doğrulaması bunlara ulaşmak için güçlü bir araç sağlıyor. Kart sahibi verilerini işleyen, depolayan veya ileten kuruluşların, passkey'lerin benimsenmesini değerlendirmeleri ve planlamaya başlamaları şiddetle tavsiye edilir. Bu sadece bir standardın en son sürümüne uymakla ilgili değildir; dijital kimliğin geleceğiyle uyumlu, daha güvenli, verimli ve kullanıcı merkezli bir kimlik doğrulama yaklaşımını benimsemekle ilgilidir. İşletmeler, passkey'leri stratejik olarak uygulayarak, gelişen tehditlere karşı savunmalarını güçlendirebilir, değerli ödeme verilerini koruyabilir ve giderek dijitalleşen bir dünyada müşterileriyle daha büyük bir güven inşa edebilir.