--- url: 'https://www.corbado.com/tr/blog/pci-dss-4-0-kimlik-dogrulama-passkeyler' title: 'PCI DSS 4.0 Kimlik Doğrulaması: Passkey''ler' description: 'Passkey kimlik doğrulamasının PCI DSS 4.0 MFA gereksinimlerini nasıl karşıladığını, güvenliği nasıl artırdığını ve kart sahibi verilerini işleyen satıcılar için uyumluluğu nasıl basitleştirdiğini öğrenin.' lang: 'tr' author: 'Vincent Delitz' date: '2025-07-15T13:24:53.838Z' lastModified: '2026-03-27T07:08:39.828Z' keywords: 'pci dss, pci, pci kimlik doğrulama, pci ssc' category: 'Passkeys Strategy' --- # PCI DSS 4.0 Kimlik Doğrulaması: Passkey'ler ## 1. Giriş Dijital dünya sürekli bir evrim içinde ve bu evrimle birlikte siber tehditlerin karmaşıklığı ve sıklığı da artmaya devam ediyor. Ödeme kartı verileri, kötü niyetli aktörler için birincil hedef olmayı sürdürüyor. Bu durum, bu verileri işleyen her kuruluş için sağlam güvenlik standartlarını zorunlu kılıyor. Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), uzun zamandır kart sahibi verilerini korumak için bir referans noktası olmuştur. En son sürümü olan [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) 4.0, diğer geliştirmelerin yanı sıra önemli ölçüde güçlendirilmiş [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) gereksinimleri aracılığıyla modern tehditlere doğrudan yanıt vererek [önemli bir adımı](https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf) temsil ediyor. Kuruluşlar bu yeni talepleri karşılarken, gelişmekte olan teknolojiler umut verici çözümler sunuyor. FIDO (Fast Identity Online) Alliance standartları ve WebAuthn protokolü üzerine inşa edilen [Passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir), bu yeni [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) dalgasının ön saflarında yer alıyor. Parolasız, oltalama saldırılarına dayanıklı bir yaklaşım sunuyor ve hassas verilere erişimin güvenliğini artırıyor. **Bu makale, PCI DSS 4.0'ın özellikle güvenli kimlik doğrulama konusunda getirdiği kritik değişiklikleri analiz ediyor**, passkey kimlik doğrulamasının yeteneklerini inceliyor ve bu teknolojiden uyumluluğu sağlamak ve sürdürmek için yararlanmaya yönelik bir yol haritası sunuyor. Bu inceleme, bu yeni alanda yol alan kuruluşlar için iki önemli soruyu gündeme getiriyor: 1. **Kimlik Doğrulama**: _PCI DSS 4.0 kimlik doğrulama çıtasını yükseltirken, kuruluşlar kullanıcıları veya güvenlik ekiplerini aşırı yüklemeden bu katı yeni gereksinimleri nasıl etkili bir şekilde karşılayabilir?_ 2. **Passkey'ler ve PCI Uyumluluğu**: _Passkey'ler gibi gelişmekte olan teknolojiler, PCI DSS 4.0'ın kimlik doğrulama kontrollerini karşılayabilir, güvenliği artırabilir ve operasyonel verimliliği iyileştirebilir mi?_ Bu makalede, teknik profesyonellere daha güvenli ve uyumlu bir geleceğe doğru yol göstererek bu soruları yanıtlamayı amaçlıyoruz. ## 2. PCI DSS'i ve 4.0 Sürümündeki Değişiklikleri Anlamak Passkey'lerin mevcut uyumluluk ortamındaki rolünü anlamak için, [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) çerçevesini ve 4.0 sürümüyle gelen önemli evrimi kavramak çok önemlidir. ### 2.1 Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) Nedir? [PCI Veri Güvenliği Standardı](https://www.pcisecuritystandards.org/standards/), ödeme verilerini korumak için tasarlanmış küresel bir bilgi güvenliği standardıdır. Kart sahibi verilerini depolayan, işleyen veya ileten tüm kuruluşlar için geçerlidir ve tüccarları, işlemcileri, üye işyeri bankalarını, kartı veren kuruluşları ve hizmet sağlayıcıları kapsar. Standart, [büyük ödeme kartı markaları](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) (American Express, Discover [Financial Services](https://www.corbado.com/passkeys-for-banking), JCB International, [MasterCard](https://www.corbado.com/blog/mastercard-passkeys) ve [Visa](https://www.corbado.com/blog/visa-passkeys)) tarafından geliştirilmiştir. Bu markalar, standardın devam eden gelişimini yönetmek için 7 Eylül 2006'da [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) Güvenlik Standartları Konseyi'ni (PCI SSC) kurmuştur. [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys), ödeme verilerini yaşam döngüsü boyunca korumak için bir temel oluşturan kapsamlı bir [teknik ve operasyonel gereksinimler](https://www.pcisecuritystandards.org/standards/) setinden oluşur. ### 2.2 PCI Güvenlik Standartları Konseyi (PCI SSC) ve Misyonu [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys), dünya çapında güvenli [ödemeler](https://www.corbado.com/passkeys-for-payment) için veri güvenliği standartları ve kaynakları geliştirmek ve benimsenmesini sağlamak amacıyla ödeme endüstrisi paydaşlarını bir araya getiren [küresel bir forum](https://www.pcisecuritystandards.org/) olarak faaliyet gösterir. Konsey, PCI DSS'in ötesinde, ödeme güvenliğinin çeşitli yönlerini ele alan bir [dizi standardı](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) yönetir. Misyonu, paydaşlar tarafından [eğitimi, farkındalığı ve etkili uygulamayı teşvik eden](https://www.researchgate.net/publication/385008508_Achieving_PCI-DSS_Compliance_in_Payment_Gateways_A_Comprehensive_Approach) standartlar ve destek hizmetleri geliştirerek küresel ödeme hesabı veri güvenliğini artırmaktır. ### 2.3 PCI DSS 4.0'a Evrim: Temel Etkenler ve Hedefler Mart 2022'de resmi olarak yayınlanan [PCI DSS 4.0 Standartları](https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf) ([paydaş geri bildirimlerini ele almak için daha sonra küçük bir revizyon (v4.0.1) yapılmıştır](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf)), standarda yıllardır yapılan en önemli güncellemeyi işaret etmektedir. Bu evrimin birincil itici gücü, giderek karmaşıklaşan siber tehdit ortamına ve ödeme endüstrisindeki değişen teknolojik çevreye yanıt verme ihtiyacıydı. PCI DSS 4.0'ın temel hedefleri şunlardır: - **Ödeme endüstrisinin gelişen güvenlik ihtiyaçlarını karşılamak:** Standardın, yapay zeka tabanlı oltalama gibi mevcut ve ortaya çıkan tehditlere karşı etkili kalmasını sağlamak. - **Güvenliği sürekli bir süreç olarak teşvik etmek:** Odağı anlık uyumluluktan [sürekli bir güvenlik disiplinine](https://www.fortra.com/resources/guides/pci-dss-4-compliance) kaydırmak. - **Doğrulama yöntemlerini ve prosedürlerini geliştirmek:** Uyumluluk değerlendirmelerinin titizliğini ve tutarlılığını artırmak. - **Esneklik eklemek ve ek metodolojileri desteklemek:** Kuruluşlara güvenlik hedeflerine ve sonuçlarına nasıl ulaşacakları konusunda daha fazla serbestlik tanımak. ### 2.4 4.0'daki Temel Değişiklikler: Güvenlik Sonuçlarına Odaklanma, Sürekli Güvenlik, Özelleştirilmiş Uygulama ve Geçiş Zaman Çizelgeleri [PCI DSS 4.0](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf), kuruluşların uyumluluğa yaklaşımını etkileyen birkaç temel değişiklik getiriyor: **Kuralcı Kontroller Yerine Güvenlik Sonuçlarına Odaklanma** Önemli bir değişiklik, öncelikli olarak kuralcı kontrollerden güvenlik sonuçlarına vurgu yapmaya geçiştir. Standardın kendisi bu esnekliği şöyle detaylandırıyor: > _Bölüm 8: PCI DSS'i Uygulamak ve Doğrulamak için Yaklaşımlar_ > > Güvenlik hedeflerinin nasıl karşılanacağı konusunda esnekliği desteklemek için, > [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) DSS'i uygulamak ve doğrulamak için iki > yaklaşım vardır. > > Özelleştirilmiş Yaklaşım, her bir PCI DSS gereksiniminin Hedefine odaklanır ve > kuruluşların, gereksinimin belirtilen Hedefini, tanımlanmış gereksinimi sıkı bir şekilde > takip etmeyen bir şekilde karşılamak için kontroller uygulamasına olanak tanır. Bu değişim, PCI DSS 3.2.1'in _ne_ yapılacağına dair ayrıntılı talimatlar sunarken, 4.0 sürümünün kuruluşlara gereksinimleri _nasıl_ karşılayacakları konusunda daha fazla esneklik tanıdığı anlamına geliyor. İşletmeler, bu kontrollerin belirtilen güvenlik hedeflerine ulaştığını gösterebildikleri sürece, kendi ortamlarına en uygun kontrolleri uygulayabilirler. Bu, özellikle eski, daha katı kontrol tanımlarına tam olarak uymayabilecek [passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) gibi yenilikçi teknolojileri benimsemek için önemlidir. Ancak bu esneklik, kuruluşların kapsamlı risk değerlendirmeleri yapmaları ve seçtikleri kontrol metodolojilerini açıkça gerekçelendirmeleri beklentisiyle birlikte gelir. **Sürekli Güvenlik (Olağan İş Süreci)** PCI DSS 4.0'daki bir diğer anahtar ilke, güvenliğin sürekli, olağan iş süreci (Business-as-Usual - BAU) olarak teşvik edilmesidir. Standart bunu Bölüm 5'te detaylandırıyor: > _Bölüm 5: PCI DSS'i Olağan İş Süreçlerine Uygulamak için En İyi Uygulamalar_ > > Olağan iş süreçlerini uygulayan bir kuruluş… güvenlik kontrollerinin ... normal iş > akışının bir parçası olarak doğru bir şekilde uygulanmaya ve düzgün çalışmaya devam > etmesini sağlamak için önlemler almaktadır. > > Bazı PCI DSS gereksinimleri, etkinliklerini sürekli olarak sağlamak için güvenlik > kontrollerini izleyerek BAU süreçleri olarak hareket etmeyi amaçlamaktadır. "Olağan iş süreci" (BAU) süreçlerine yapılan bu vurgu, kuruluşların güvenliği rutin faaliyetlerine entegre etmesi gerektiği anlamına gelir. Bu, güvenliğin sonradan akla gelen bir düşünce veya yıllık bir telaş olmadığı, operasyonların ayrılmaz bir parçası olduğu bir kültür geliştirmekle ilgilidir. Bu kültür, kart sahibi verilerinin sürekli korunmasını sağlamak için sürekli izleme, düzenli değerlendirmeler ve uyarlanabilir güvenlik duruşları sağlar. Passkey uygulamaları için bu, etkinliklerini, kullanıcı benimseme modellerini ve ortaya çıkan tehditleri sürekli izlemede uyanık olmak anlamına gelir ve güvenliği anlık bir uyumluluk egzersizi yerine sürekli bir çaba haline getirir. **Özelleştirilmiş Uygulama ve Hedefli Risk Analizi** PCI DSS 4.0'daki önemli yeni bir özellik, titiz risk değerlendirmesiyle özünde bağlantılı olan [özelleştirilmiş uygulama](https://blog.pcisecuritystandards.org/pci-dss-v4-0-compensating-controls-vs-customized-approach) için resmileştirilmiş seçenektir. Standart, bu bağlantıyı 12.3.2 Gereksinimi'nde zorunlu kılar: > _Gereksinim 12.3.2: Bilgi Güvenliğini Kurumsal Politikalar ve Programlarla Destekleyin_ > > Kuruluşun özelleştirilmiş yaklaşımla karşıladığı her PCI DSS gereksinimi için hedefe > yönelik bir risk analizi yapılır. Bu analiz, ... belgelenmiş kanıtları ... üst yönetimin > onayını ve hedeflenen risk analizinin en az 12 ayda bir yapılmasını içerir. Bu resmileştirilmiş seçenek, kuruluşların kesin olarak belirlenmiş yöntemlere sıkı sıkıya bağlı kalmak yerine, kendi benzersiz ortamlarına göre uyarlanmış yeni teknolojiler ve yenilikçi kontroller kullanarak güvenlik hedeflerini karşılamalarına olanak tanır. Ancak, alıntının da vurguladığı gibi, bu esneklik her özelleştirilmiş kontrol için hedefe yönelik bir risk analizi yapılmasına bağlıdır. Bu analiz belgelenmeli, üst yönetim tarafından onaylanmalı ve yıllık olarak gözden geçirilmelidir. Üçüncü taraf bir değerlendirici (Nitelikli Güvenlik Değerlendiricisi veya QSA), daha sonra bu özelleştirilmiş kontrolleri, kuruluşun risk analizi de dahil olmak üzere belgelenmiş yaklaşımını inceleyerek ve özel test prosedürleri geliştirerek doğrular. Bu yol, [passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) gibi çözümler için kilit bir kolaylaştırıcıdır ve kuruluşların, yaklaşımlarının güvenlik hedeflerini karşıladığını risk değerlendirmesi yoluyla gösterebildikleri sürece, gelişmiş güvenlik özelliklerinden etkili bir şekilde yararlanmalarını sağlar. Sağlam risk analizi ile desteklenen uygulama özelleştirme yeteneği, hem tehditlerin hem de savunma teknolojilerinin hızlı evriminin, katı, kuralcı kontrolleri zamanla daha az uyarlanabilir hale getirdiğinin bir anlayışını yansıtır. **Geçiş Zaman Çizelgeleri** PCI DSS 3.2.1, 31 Mart 2024'e kadar v4.0 ile birlikte aktif kaldı ve bu tarihten sonra kullanımdan kaldırıldı. PCI DSS 4.0'da sunulan yeni gereksinimler, 31 Mart 2025'e kadar en iyi uygulamalar olarak kabul edildi. Bu tarihten sonra, bu yeni gereksinimler tüm değerlendirmeler için zorunlu hale gelecektir. Bu aşamalı yaklaşım, kuruluşlara değişiklikleri anlamak, planlamak ve uygulamak için bir zaman aralığı sağladı. Bu değişiklikler toplu olarak, ödeme kartı güvenliğine daha olgun, uyarlanabilir ve risk odaklı bir yaklaşımı işaret ediyor ve daha güçlü, daha modern [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) mekanizmalarının benimsenmesine zemin hazırlıyor. ## 3. Riskler Yüksek: PCI DSS Uyumsuzluğunun Sonuçları PCI DSS gereksinimlerine uymamak sadece bir gözden kaçırma değildir; bir kuruluşun finansal istikrarını, yasal durumunu ve itibarını ciddi şekilde etkileyebilecek önemli ve çok yönlü sonuçlar doğurur. ### 3.1 Mali Cezalar Uyumsuzluğun en doğrudan sonucu, [mali cezaların](https://www.securitycompass.com/blog/pci-non-compliance-fees/) uygulanmasıdır. Bu para cezaları genellikle [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) tarafından değil, üye işyeri bankaları ve ödeme işlemcileri tarafından verilir. Cezalar, işlenen işlem hacmine (bu, tüccar seviyesini belirler; örneğin, yıllık 6 milyondan fazla işlem için Seviye 1'e karşılık 20.000'den az [e-ticaret](https://www.corbado.com/passkeys-for-e-commerce) işlemi için Seviye 4) ve uyumsuzluğun süresine ve ciddiyetine bağlı olarak [aylık 5.000 ila 100.000 dolar arasında](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance) değişen önemli miktarlarda olabilir. Örneğin, birkaç aydır uyumsuz olan bir Seviye 1 tüccarının bu aralığın üst sınırında cezalarla karşılaşma olasılığı daha yüksekken, daha küçük Seviye 4 işletmeleri aylık 5.000 dolara yakın para cezaları alabilir. Bu para cezalarının [tekrarlayan aylık bir yük](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance) olabileceğini anlamak çok önemlidir. Bu sürekli mali baskı, ödeme işlemcilerinin uyumsuz işletmelere uygulayabileceği [artırılmış işlem ücretleri](https://www.securitycompass.com/blog/pci-non-compliance-fees/) ile birleştiğinde, _uyumsuzluğun_ kümülatif maliyetinin, _uyumluluğu sağlamak ve sürdürmek_ için gereken yatırımı çok aştığı anlamına gelir. Bu, uyumluluğu sadece bir maliyet merkezi olarak değil, kritik bir risk azaltma yatırımı olarak yeniden çerçeveler. Passkey'ler gibi güçlü kimlik doğrulama da dahil olmak üzere sağlam güvenlik önlemlerine yatırım yapmak, bu daha büyük, genellikle öngörülemeyen ve potansiyel olarak yıkıcı maliyetlerden kaçınmak için finansal olarak akıllıca bir karar haline gelir. ### 3.2 Yasal ve Düzenleyici Sonuçlar Doğrudan para cezalarının ötesinde, uyumsuzluk, özellikle bir veri ihlali ile sonuçlanırsa ciddi yasal zorluklara yol açabilir. Verileri tehlikeye atılan müşteriler dava açabilir ve kart markaları da yasal işlem başlatabilir. Uyumsuzluk durumu, davacıların kuruluşun ihmalini göstermesini önemli ölçüde kolaylaştırabilir ve potansiyel olarak maliyetli uzlaşmalara ve mahkeme kararlarına yol açabilir. ### 3.3 İtibar Kaybı ve Müşteri Güveninin Zedelenmesi Belki de en zarar verici, ancak daha az ölçülebilir sonuçlardan biri, bir kuruluşun itibarına verilen zarardır. Tek bir uyumluluk hatası, özellikle de bir veri ihlaline yol açan bir hata, müşteri güvenini ciddi şekilde sarsabilir. Bir kez kaybedildiğinde, bu güveni geri kazanmak zordur ve genellikle müşteri kaybına, rakiplere iş kaptırmaya ve markanın imajına uzun vadeli zarara neden olur. Tekrarlanan veya ciddi ihlaller, kart markaları veya üye işyeri bankaları tarafından [bir kuruluşun ödeme işleme ayrıcalıklarının iptal edilmesine](https://www.securitycompass.com/blog/pci-non-compliance-fees/) bile yol açabilir ve bu da onların kartlı ödeme kabul etme yeteneklerini etkili bir şekilde ortadan kaldırır. Bu, uyumluluğu sadece teknik bir gereklilik olarak değil, aynı zamanda marka güveninin ve iş sürekliliğinin temel bir bileşeni olarak görmenin önemini vurgular. ### 3.4 Veri İhlali Tazminat Maliyetleri Uyumsuzluk bir veri ihlaline katkıda bulunursa, kuruluş muhtemelen para cezaları ve yasal ücretlerin yanı sıra önemli tazminat maliyetlerinden de sorumlu olacaktır. Bu maliyetler, etkilenen müşterilere ücretsiz kredi izleme, kimlik hırsızlığı [sigortası](https://www.corbado.com/passkeys-for-insurance) ve sahte masraflar veya hizmet ücretleri için geri ödeme gibi hizmetler sağlamayı içerebilir. Ayrıca, tehlikeye atılan ödeme kartlarının yeniden basım maliyeti, kart başına 3 ila 5 dolar olarak tahmin edilmekte olup, çok sayıda kart sahibini etkileyen ihlallerde hızla milyonlarca dolara ulaşabilir. Tersine, bir kuruluş tam PCI DSS uyumlu iken bir ihlal yaşarsa, ilgili para cezaları düşürülebilir veya hatta ortadan kaldırılabilir, çünkü uyumluluk ihmal yerine durum tespiti ve güvenliğe bağlılık gösterir. Potansiyel olumsuz sonuçların çeşitliliği, PCI DSS uyumluluğunun ödeme kartı ekosisteminde yer alan herhangi bir kuruluş için modern iş operasyonlarının vazgeçilmez bir yönü olduğunu vurgulamaktadır. ## 4. PCI DSS 4.0'ın Güçlendirilmiş Kimlik Doğrulama Kontrolleri: 8. Gereksinime Yakından Bakış PCI DSS'in 8. Gereksinimi her zaman standardın temel taşlarından biri olmuştur. 4.0 sürümüyle birlikte, hükümleri önemli ölçüde güçlendirilmiştir; bu, hassas kart sahibi verilerine ve bu verileri işleyen sistemlere yetkisiz erişimi önlemede sağlam kimlik doğrulamanın kritik rolünü yansıtmaktadır. ### 4.1 8. Gereksinime Genel Bakış: Sistem Bileşenlerine Erişimi Tanımlama ve Doğrulama 8. Gereksinimin temel amacı, Kart Sahibi Veri Ortamı (CDE) içindeki veya ona bağlı sistem bileşenlerine erişen her bireyin benzersiz bir şekilde tanımlanabilmesini ve sağlam bir şekilde doğrulanabilmesini sağlamaktır. Bu, yetkisiz erişimi önleyerek ve tüm eylemlerin belirli, bilinen bir kullanıcıya kadar izlenebilmesini sağlayarak kart sahibi verilerinin bütünlüğünü ve güvenliğini korumak için önemlidir, böylece bireysel hesap verebilirlik sağlanır. ### 4.2 Güçlendirilmiş Çok Faktörlü Kimlik Doğrulama (MFA) Zorunlulukları PCI DSS 4.0'daki büyük bir evrim, Çok Faktörlü Kimlik Doğrulama (MFA) gereksinimlerinin genişletilmesi ve güçlendirilmesidir: - **CDE Erişimi için Evrensel MFA:** Öncelikle idari erişim ve CDE'ye tüm uzaktan erişim için MFA'yı zorunlu kılan PCI DSS 3.2.1'in aksine, 4.0 sürümü CDE'ye _tüm_ erişimler için MFA gerektirir. Bu, erişimin ağ içinden veya dışından kaynaklanıp kaynaklanmadığına bakılmaksızın yöneticiler, genel kullanıcılar ve üçüncü taraf satıcılar tarafından yapılan erişimi içerir. Bu önemli genişleme, [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys)'nin MFA'yı temel bir güvenlik kontrolü olarak tanıdığını vurgulamaktadır.\ Standart bu gereksinimleri şöyle belirtir: > _8. Gereksinim alıntıları_ > > "8.4.1 İdari erişime sahip personel için CDE'ye tüm konsol dışı erişimlerde MFA > uygulanır."  > > "8.4.3 CDE'ye erişebilecek veya CDE'yi etkileyebilecek, kuruluşun ağı dışından > kaynaklanan tüm uzaktan erişimler için MFA uygulanır."  - **Faktör Gereksinimleri:** MFA uygulamaları, tanınan üç kimlik doğrulama faktörü türünden en az ikisini kullanmalıdır: - Bildiğiniz bir şey (ör. parola, PIN) - Sahip olduğunuz bir şey (ör. bir token cihazı, [akıllı kart](https://www.corbado.com/tr/glossary/akilli-kart) veya passkey tutan bir cihaz) - Olduğunuz bir şey (ör. parmak izi veya yüz tanıma gibi biyometrik veriler). En önemlisi, bu faktörler bağımsız olmalıdır, yani bir faktörün ele geçirilmesi diğerlerini tehlikeye atmaz. - **MFA Sistem Bütünlüğü:** MFA sistemleri, tekrar saldırılarına (bir saldırganın kimlik doğrulama verilerini yakalayıp yeniden kullandığı) direnecek şekilde tasarlanmalı ve erişimi yalnızca gerekli tüm kimlik doğrulama faktörleri başarıyla doğrulandıktan sonra vermelidir. - **Yetkisiz Atlatma Yok:** MFA, yöneticiler de dahil olmak üzere hiçbir kullanıcı tarafından atlanamamalıdır, meğerki yönetim tarafından sınırlı bir süre için örnek bazında özel, belgelenmiş bir istisna tanınmamış olsun. - **İstisna Olarak Oltalama Saldırılarına Dayanıklı Kimlik Doğrulama:** PCI DSS 4.0, bazı durumlarda MFA'nın amacını karşılayabilen oltalama saldırılarına dayanıklı kimlik doğrulama faktörleriyle ilgili ek rehberlik de sunmaktadır. > _8. Gereksinim alıntıları_ > > "Bu gereksinim, yalnızca oltalama saldırılarına dayanıklı kimlik doğrulama > faktörleriyle doğrulanan kullanıcı hesapları için geçerli değildir." — 8.4.2 için > Uygulanabilirlik Notları  > > "Oltalama saldırılarına dayanıklı kimlik doğrulama… Oltalama saldırılarına dayanıklı > kimlik doğrulama örnekleri arasında [FIDO2](https://www.corbado.com/glossary/fido2) bulunur." — Ek G, > Oltalama Saldırılarına Dayanıklı Kimlik Doğrulama Sözlük tanımı  Bu alıntıların vurguladığı gibi, oltalama saldırılarına dayanıklı kimlik doğrulamanın sonuçları bir sonraki bölümde (4.3) daha ayrıntılı olarak incelenecektir. ### 4.3 Oltalama Saldırılarına Dayanıklı Kimlik Doğrulamaya Vurgu PCI DSS 4.0, oltalama saldırılarına dayanıklı kimlik doğrulama yöntemlerinin kullanımına belirgin bir vurgu yapmaktadır. Bu, geleneksel kimlik bilgilerini ele geçirmede oltalama saldırılarının yaygınlığına ve başarısına doğrudan bir yanıttır. - **MFA'ya Alternatif/Tamamlayıcı Olarak Oltalama Saldırılarına Dayanıklı Kimlik Doğrulama:** - 8.4.2 Gereksinimi altındaki kritik bir gelişme, kuruluşun ağı içinden CDE'ye yapılan tüm idari olmayan erişimler için oltalama saldırılarına dayanıklı kimlik doğrulama yöntemlerinin geleneksel MFA'nın [_yerine_ kullanılabileceğidir](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance). Bu, doğası gereği oltalama saldırılarına dayanıklı olan passkey'ler gibi teknolojiler için önemli bir hükümdür. Bu, PCI SSC'nin bu gelişmiş yöntemleri, bu özel kullanım durumu için bazı geleneksel MFA kombinasyonlarına kıyasla benzer veya hatta üstün bir güvence seviyesi sağladığını gördüğünü göstermektedir. - **Ancak, CDE'ye idari erişim (Gereksinim 8.4.1) ve kuruluşun ağı dışından CDE'ye yapılan tüm uzaktan erişimler için (Gereksinim 8.4.3), oltalama saldırılarına dayanıklı kimlik doğrulama şiddetle tavsiye edilse de, MFA gereksinimini karşılamak için [_en az bir başka kimlik doğrulama faktörüyle birleştirilmesi gerekir_](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).** Bu ayrım, passkey uygulamasında incelikli bir yaklaşımı gerektirir; potansiyel olarak, passkey'lerin tek başına genel iç kullanıcılar için yeterli olduğu, ancak passkey'lerin başka bir faktörle birleştirildiği daha yüksek riskli erişim senaryoları için katmanlı bir strateji uygulanabilir. - **FIDO Tanınırlığı ve Uzman Görüşleri:** Standart, büyük ölçüde sağlam oltalama saldırılarına dayanıklı özellikleri nedeniyle MFA'yı başarmak için tercih edilen bir yöntem olarak FIDO tabanlı kimlik doğrulamayı (passkey'lerin temelini oluşturan) özellikle belirtmektedir. Bu konuyla ilgili daha fazla bilgi, PCI SSC'nin "Coffee with the Council" podcast bölümü olan "Parolalara Karşı Passkey'ler: [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) ile Bir Tartışma"da paylaşıldı ([https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance)). Podcast'te, PCI SSC Seçkin Standartlar Mimarı Başkan Yardımcısı Andrew Jamieson, bu teknolojilerin değerini vurguladı: > "Oltalama saldırılarına dayanıklı kimlik doğrulamanın harika bir teknoloji olduğunu > tekrar belirtmek isterim. Parolalarla yaşadığımız sorunların birçoğunu çözebilecek > bir şey. Ve insanlara kimlik doğrulama için hangi teknolojileri uygulayacaklarına > bakarken, oltalama saldırılarına dayanıklı kimlik doğrulamaya ve getirebileceklerine > bir göz atmalarını şiddetle tavsiye ederim, ama aynı zamanda bunun insanların > alıştığından biraz farklı olduğunu ve bunu genel kimlik doğrulama mimarilerine nasıl > doğru ve güvenli bir şekilde entegre edebileceklerini araştırmaları gerektiğini > anlamaları da önemli." [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) Pazarlama Direktörü Megan Shamas ([FIDO Liderliği](https://fidoalliance.org/overview/leadership/) bölümüne bakın), bu teknolojilerin temsil ettiği temel değişimi ve politikaların uyum sağlama ihtiyacını vurguladı: > "Bu, temelde alıştığımız parolalar artı faktör, faktör, faktörden farklı bir şey ve > biz teknolojiyi geliştirdik ve şimdi insanların da gereksinimlerini ve > politikalarını bununla birlikte geliştirmeleri gerekiyor. Ve bu, kuruluşların > oltalama yapılabilir kimlik doğrulamadan kurtulmak için doğru yola girmelerine > gerçekten yardımcı olacaktır." Bu ortak bakış açısı, endüstrinin daha güvenli, modern kimlik doğrulama yöntemlerine doğru hareketini vurgulamaktadır. ### 4.4 Yeni Parola ve Parola Cümlesi Gereksinimleri (kullanılıyorsa) PCI DSS 4.0, MFA ve oltalama saldırılarına dayanıklı yöntemlere doğru güçlü bir şekilde iterken, hala kullanımda olmaları durumunda parolalar ve parola cümleleri için gereksinimleri de sıkılaştırıyor: - **Artırılmış Uzunluk ve Karmaşıklık:** Minimum parola uzunluğu v3.2.1'de yedi karakterden v4.0'da 12 karaktere çıkarılmıştır (veya sistem 12'yi desteklemiyorsa en az 8 karakter). Parolalar ayrıca sayısal ve alfabetik karakterlerin bir karışımını içermelidir. - **Parola Değiştirme Sıklığı:** Parolalar, kimlik doğrulama için kullanılan _tek_ faktör ise (yani, o hesap için o erişime MFA uygulanmıyorsa) en az 90 günde bir değiştirilmelidir. Bu gereksinim, erişim için MFA uygulanırsa veya kuruluş erişimi gerçek zamanlı olarak dinamik olarak değerlendiren sürekli, risk tabanlı kimlik doğrulama kullanıyorsa feragat edilebilir. Parola kurallarının önemli ölçüde güçlendirilmesi, genişletilmiş MFA zorunlulukları ve oltalama saldırılarına dayanıklı yaklaşımların açıkça onaylanmasıyla birleştiğinde, [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) SSC'den stratejik bir yön sinyali veriyor: parolalara birincil veya tek kimlik doğrulama mekanizması olarak olan bağımlılığı sistematik olarak azaltmak. Parolalar uzun zamandır güvenlikte zayıf bir halka olarak kabul edilmektedir ve PCI DSS 4.0, tek başına kullanımlarını daha sıkı ve daha az çekici hale getirerek ve aynı anda daha güçlü, modern alternatifleri teşvik ederek doğal risklerini aktif olarak azaltmayı amaçlamaktadır. Bu değişimleri net bir şekilde göstermek için, aşağıdaki tablo PCI DSS 3.2.1 ve 4.0 arasındaki temel kimlik doğrulama yönlerini karşılaştırmaktadır: **Tablo 1: Kimlik Doğrulamadaki Temel Farklılıklar: PCI DSS 3.2.1 vs. 4.0** | Özellik | PCI DSS 3.2.1 | PCI DSS 4.0 | | :---------------------------- | :--------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **CDE Erişimi için MFA** | Konsol dışı idari erişim ve CDE'ye tüm uzaktan erişim için zorunluydu. | CDE'ye [**tüm** erişimler için zorunlu](https://drata.com/blog/pci-dss-v4-0) (idari, idari olmayan, dahili, uzaktan). | | **Parola Uzunluğu (Minimum)** | 7 karakter (sayısal ve alfabetik). | 12 karakter (sayısal ve alfabetik); sistem 12'yi desteklemiyorsa 8. | | **Parola Değiştirme Sıklığı** | Her 90 günde bir. | [**Parola tek faktör ise**](https://www.securitymetrics.com/blog/password-updates-and-requirements-in-pci-4) her 90 günde bir; MFA veya risk tabanlı kimlik doğrulama kullanılıyorsa daha uzun olabilir. | | **Oltalama Direnci Vurgusu** | Sınırlı, öncelikle genel güvenlik farkındalığı yoluyla ele alınıyordu. | Güçlü vurgu; oltalama saldırılarına dayanıklı kimlik doğrulama, belirli dahili CDE erişimleri için MFA'nın yerini alabilir (Gereksinim 8.4.2). FIDO açıkça belirtilmiştir. | | **Passkey/FIDO Kullanımı** | Birincil bir yöntem olarak açıkça ele alınmamıştı. | FIDO tabanlı kimlik doğrulama, tercih edilen bir MFA yöntemi olarak gösterilmiştir. Oltalama saldırılarına dayanıklı yöntemlere (passkey'ler gibi) MFA gereksinimlerini karşılamada özel roller verilmiştir. | PCI DSS 4.0'da kimlik doğrulamaya yapılan bu artan odaklanma, kuruluşların mevcut stratejilerini yeniden değerlendirmeleri ve passkey'ler gibi daha dayanıklı çözümleri keşfetmeleri için net bir yön belirliyor. ## 5. Passkey'ler: Oltalama Saldırılarına Dayanıklı Kimlik Doğrulamanın Geleceği [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) standartlarına dayanan passkey'ler, geleneksel parolalara ve hatta bazı eski MFA türlerine göre temelden daha güvenli ve kullanıcı dostu bir alternatif sunar. ### 5.1 Passkey'ler Nedir? (FIDO standartları, WebAuthn) Passkey, kullanıcıların bir parola girmelerine gerek kalmadan web sitelerine ve uygulamalara giriş yapmalarını sağlayan bir [dijital kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) bilgisidir. FIDO Alliance tarafından geliştirilen bir dizi açık belirtim olan [FIDO2](https://www.corbado.com/glossary/fido2) standartları üzerine inşa edilmiştir. WebAuthn, tarayıcıların ve web uygulamalarının kriptografik anahtar çiftleri kullanarak güçlü, oltalama saldırılarına dayanıklı kimlik doğrulama yapmasını sağlayan bir World Wide Web Consortium (W3C) standardıdır. Esasen, passkey'ler bu [FIDO2](https://www.corbado.com/glossary/fido2) standartlarının bir uygulamasıdır ve web ortamlarındaki etkileşimler için WebAuthn'den yararlanır. Geleneksel parolaları, bir kullanıcının akıllı telefonu, bilgisayarı veya donanım güvenlik anahtarı gibi bir cihazında güvenli bir şekilde saklanan benzersiz kriptografik anahtarlarla değiştirirler. ### 5.2 Passkey'ler Nasıl Çalışır: Kriptografi, Cihaza Bağlama, Biyometri/PIN Passkey'lerin güvenliği, açık anahtarlı kriptografiye dayanır. Bir kullanıcı bir hizmetle ("güvenen taraf" veya RP) bir passkey kaydettiğinde, benzersiz bir kriptografik anahtar çifti oluşturulur: - Kullanıcının cihazında güvenli bir şekilde saklanan bir **özel anahtar**. Bu anahtar, bir donanım güvenlik modülü (ör. bir TPM veya [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)) içinde bulunabilir. Özel anahtar, bu güvenli depolama alanını asla terk etmez (daha sonra detaylandırılacağı gibi, senkronize passkey'ler durumu hariç). - Güvenen tarafa (web sitesi veya uygulama hizmeti) gönderilen ve saklanan ve kullanıcının hesabıyla ilişkilendirilen bir **açık anahtar**. Kimlik doğrulama sırasında süreç aşağıdaki gibidir: 1. Güvenen taraf, kullanıcının cihazına benzersiz bir "sınama" (rastgele bir veri parçası) gönderir. 2. Özel anahtarı açmak ve kullanmak için, kullanıcı cihazında bir yerel doğrulama gerçekleştirir. Bu genellikle bir biyometrik tanımlayıcı (parmak izi veya yüz taraması gibi) kullanmayı, bir cihaz PIN'i girmeyi veya bir desen çizmeyi içerir. Önemli olan, bu biyometrik verilerin veya PIN'in kullanıcının cihazını asla terk etmemesi ve güvenen tarafa iletilmemesidir. 3. Kilidi açıldıktan sonra, cihazdaki özel anahtar, güvenen taraftan alınan sınamayı imzalar. 4. Bu imzalı sınama ("onay"), güvenen tarafa geri gönderilir. 5. Güvenen taraf, o kullanıcıya karşılık gelen saklanmış açık anahtarı kullanarak onay üzerindeki imzayı doğrular. İmza geçerliyse, kimlik doğrulama başarılıdır. Başlıca iki tür passkey vardır: - **Senkronize Passkey'ler:** Bu passkey'ler, Apple'ın iCloud Anahtar Zinciri veya [Google Şifre Yöneticisi](https://www.corbado.com/tr/blog/google-sifre-yoneticisi-nasil-kullanilir) gibi bulut tabanlı kimlik bilgisi yöneticileri kullanılarak bir kullanıcının güvenilir cihazları arasında senkronize edilebilir. Bu, bir cihazda oluşturulan bir passkey'in aynı kullanıcıya ait başka bir cihazda aynı ekosistem içinde kullanılmasına olanak tanıyarak kolaylık sağlar. - **Cihaza Bağlı Passkey'ler:** Bu passkey'ler, bir USB donanım güvenlik anahtarı (ör. [YubiKey](https://www.corbado.com/glossary/yubikey)) veya belirli bir telefondaki bir uygulama gibi belirli bir fiziksel doğrulayıcıya bağlıdır. Passkey bu belirli cihazdan ayrılmaz. Bu kriptografik temel ve yerel kullanıcı doğrulama süreci, birçok yaygın saldırı vektörünü doğrudan ele alan doğal güvenlik faydaları sağlar. ### 5.3 Doğal Güvenlik Faydaları: Oltalama Direnci, Paylaşılan Sırların Olmaması, Kimlik Bilgisi Doldurma ve Hesap Ele Geçirme (ATO) Karşı Koruma Passkey'lerin tasarımı, geleneksel kimlik doğrulama yöntemlerine göre çeşitli güvenlik avantajları sunar: - **Oltalama Direnci:** Bu temel bir faydadır. Passkey'ler, oluşturuldukları belirli web sitesi kaynağına (Güvenen Taraf ID'si veya RP ID) kriptografik olarak bağlıdır. Bir kullanıcı, meşru bir siteyi taklit eden sahte bir oltalama sitesini ziyaret etmesi için kandırılırsa, tarayıcı veya işletim sistemi mevcut alan adının passkey ile ilişkili RP ID ile eşleşmediğini tanıyacaktır. Sonuç olarak, passkey basitçe çalışmayacak ve kimlik doğrulama başarısız olacaktır. Bu, oltalama girişimlerini belirleme yükünü genellikle yanılabilir olan insan kullanıcıdan teknolojinin sağlam güvenlik protokollerine kaydırır. - **Paylaşılan Sırların Olmaması:** Passkey'lerle, hem kullanıcı hem de sunucu tarafından bilinen ve çalınabilen bir parola gibi "paylaşılan bir sır" yoktur. Kimlik doğrulama için kritik bileşen olan özel anahtar, kullanıcının güvenli cihazını asla terk etmez. Sunucu tarafından saklanan açık anahtar, özel anahtarla matematiksel olarak bağlantılıdır ancak özel anahtarı türetmek veya kullanıcıyı taklit etmek için kullanılamaz. Bu, bir güvenen tarafın sunucusu ihlal edilse ve açık anahtarlar çalınsa bile, karşılık gelen özel anahtarlar olmadan saldırganlar için işe yaramaz oldukları anlamına gelir. - **Kimlik Bilgisi Doldurma ve Tekrar Saldırılarına Karşı Koruma:** Saldırganların çeşitli hesaplara erişim sağlamak için çalınan kullanıcı adları ve parolaların listelerini kullandığı kimlik bilgisi doldurma saldırıları, çalınacak ve yeniden kullanılacak parolalar olmadığı için etkisiz hale gelir. Ayrıca, her passkey kimlik doğrulaması benzersiz bir sınama-yanıt mekanizması içerir. Özel anahtar tarafından oluşturulan imza, o belirli oturum açma oturumu için alınan sınamaya özgüdür, bu da bir saldırganın bir kimlik doğrulama onayını yakalayıp daha sonra yetkisiz erişim sağlamak için yeniden oynatmasını imkansız hale getirir. - **Hesap Ele Geçirme (ATO) riskinde önemli azalma:** Oltalama saldırılarını etkili bir şekilde etkisiz hale getirerek, paylaşılan sırları ortadan kaldırarak ve kimlik bilgisi doldurma ve tekrar saldırılarını önleyerek, passkey'ler hesap ele geçirme için kullanılan birincil saldırı vektörlerini büyük ölçüde azaltır. Saldırganlar kullanıcının kimlik doğrulama bilgilerini kolayca elde edemediği veya kötüye kullanamadığı için, başarılı ATO olasılığı düşer. Bilgi tabanlı kimlik doğrulamadan (kullanıcının parola gibi bildiği bir şey) sahiplik tabanlı (kullanıcının sahip olduğu bir şey – güvenli anahtarlı cihazı) ve kalıtım tabanlı veya yerel bilgi tabanlı (kullanıcının [biyometri](https://www.corbado.com/tr/blog/dinamik-eslestirmede-biyometri-odeme-yapani-farkindaligi) yoluyla olduğu bir şey veya cihaz PIN'i yoluyla yerel olarak bildiği bir şey) bir kombinasyona bu temel geçiş, uzaktan kullanılabilir paylaşılan sırları tehlikeye atmaya dayanan saldırı zincirlerini temelden kırar. Sürtünme ekleyen birçok güvenlik önleminin aksine, passkey'ler genellikle karmaşık parolaları hatırlama ihtiyacı olmadan daha hızlı, daha basit girişler sunarak kullanıcı deneyimini iyileştirir; bu, benimsemeyi teşvik edebilen ve genel güvenlik duruşunu artırabilen ikili bir faydadır. ## 6. Boşluğu Doldurmak: Passkey'ler PCI DSS 4.0 Kimlik Doğrulama Kontrollerini Nasıl Karşılıyor? Passkey'lerin doğasında bulunan güçlü güvenlik özellikleri, PCI DSS 4.0'ın zorunlu kıldığı güçlendirilmiş kimlik doğrulama kontrolleriyle, özellikle de 8. Gereksinim'de belirtilenlerle dikkate değer bir uyum içindedir. Passkey'ler bu gereksinimleri karşılamakla kalmaz, genellikle geleneksel yöntemlerin sağladığı güvenliği de aşar. ### 6.1 8. Gereksinimin MFA ve Oltalama Direnci Kriterlerini Doğrudan Ele Alma Passkey'ler, PCI DSS 4.0 tarafından tanımlandığı şekliyle Çok Faktörlü Kimlik Doğrulama temel ilkelerini doğası gereği karşılar: - **Çok Faktörlü Doğa:** Bir passkey kimlik doğrulama olayı tipik olarak "sahip olduğunuz bir şeyi" (özel anahtarı içeren fiziksel cihaz, örneğin bir akıllı telefon veya donanım güvenlik anahtarı) ya "olduğunuz bir şeyle" (cihazdaki passkey'i açmak için kullanılan parmak izi veya yüz taraması gibi bir biyometrik) ya da "bildiğiniz bir şeyle" (bir cihaz PIN'i veya deseni) birleştirir. Bu faktörler bağımsızdır; örneğin bir cihaz PIN'ini ele geçirmek, cihazın kendisi güvende kaldığı sürece kriptografik anahtarı doğası gereği tehlikeye atmaz. - **Oltalama Direnci:** Kapsamlı bir şekilde tartışıldığı gibi, passkey'ler kriptografik doğaları ve kaynak bağlamaları nedeniyle tasarımları gereği oltalama saldırılarına dayanıklıdır. Özel anahtar, güvenen tarafa asla ifşa edilmez veya ağ üzerinden iletilmez ve passkey yalnızca kaydedildiği meşru alan adında çalışır. Bu, PCI DSS 4.0'ın oltalama tehditlerini azaltmaya yönelik güçlü vurgusuyla doğrudan uyumludur. - **Tekrar Saldırısı Direnci:** Her passkey kimlik doğrulaması, sunucudan gelen benzersiz bir kriptografik sınama içerir ve bu daha sonra özel anahtar tarafından imzalanır. Ortaya çıkan imza, yalnızca o belirli sınama ve oturum için geçerlidir, bu da onu tekrar saldırılarına karşı dirençli hale getirir. Bu, MFA sistemlerinin bu tür saldırıları önlemesini zorunlu kılan 8.5 Gereksinimini karşılar. ### 6.2 Geleneksel Parola Tabanlı Güvenliği Aşma Geleneksel parolalarla karşılaştırıldığında, passkey'ler çok daha üstün bir güvenlik modeli sunar. Parolalar çok sayıda saldırıya karşı savunmasızdır: oltalama, sosyal mühendislik, parola yeniden kullanımı nedeniyle kimlik bilgisi doldurma, kaba kuvvet saldırıları ve ihlal edilmiş veritabanlarından hırsızlık. Passkey'ler, paylaşılan sırrı (parolayı) denklemden tamamen çıkararak bu zayıflıkları ortadan kaldırır. Kimlik doğrulama, kolayca çalınabilen veya tahmin edilebilen bir sır yerine, kendisi yerel cihaz güvenliği ile korunan bir özel anahtarın sahipliğinin kriptografik kanıtına dayanır. ### 6.3 PCI SSC'nin Passkey'lere Bakış Açısı PCI Güvenlik Standartları Konseyi, passkey teknolojisinin potansiyelini kabul etmiştir. PCI SSC'nin FIDO Alliance ile bir tartışmayı içeren ["Coffee with the Council" podcast'inden](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) elde edilen bilgiler, duruşları hakkında netlik sağlar: - Kuruluşun ağı _içinden_ Kart Sahibi Veri Ortamına (CDE) idari olmayan erişim için (Gereksinim 8.4.2), PCI SSC, passkey'ler gibi oltalama saldırılarına dayanıklı kimlik doğrulama yöntemlerinin geleneksel MFA'nın _yerine_ kullanılabileceğini belirtmektedir. Bu, passkey'lerin gücünün önemli bir kabulüdür. - CDE'ye idari erişim için (Gereksinim 8.4.1) ve ağa yapılan herhangi bir uzaktan erişim için (Gereksinim 8.4.3), passkey'ler (oltalama saldırılarına dayanıklı kimlik doğrulama olarak) tavsiye edilse de, MFA gereksinimini karşılamak için _başka bir kimlik doğrulama faktörüyle birlikte kullanılmalıdır_. Bu, daha yüksek ayrıcalıklı veya daha yüksek riskli erişim senaryolarının ek bir katman gerektirdiği risk tabanlı bir yaklaşımı düşündürmektedir. - PCI SSC, kuruluşların passkey'leri uyumlu bir şekilde nasıl uygulayacaklarını anlamalarına yardımcı olmak için SSS'ler gibi rehberlikler geliştirmekte aktif olarak çalışmaktadır ve passkey'lerin geleneksel parola tabanlı düşünceden temel bir geçişi temsil ettiğini kabul etmektedir. - Ayrıca, PCI DSS 4.0 belgeleri, MFA'yı uygulamak için zorunlu olmasa da tercih edilen bir yöntem olarak FIDO tabanlı kimlik doğrulamayı açıkça referans göstererek, standardın hedefleriyle uyumunu vurgulamaktadır. Bu pozisyon, kuruluşların passkey'leri stratejik olarak dağıtmasına olanak tanır. CDE'ye dahili olarak erişen geniş idari olmayan kullanıcı tabanı için, sorunsuz bir [passkey girişi](https://www.corbado.com/tr/blog/passkey-giris-en-iyi-uygulamalar) uyumluluk gereksinimlerini karşılayabilir. Yöneticiler ve uzaktan kullanıcılar için, passkey'ler bir MFA çözümü için güçlü, oltalama saldırılarına dayanıklı bir temel sağlar. ### 6.4 Passkey Türleri, Faktör Bağımsızlığı ve Onaylama: 8. Gereksinim için QSA Beklentilerinde Yol Almak Passkey'ler önemli bir güvenlik yükseltmesi sunsa da, PCI DSS Nitelikli Güvenlik Değerlendiricileri (QSA'lar), özellikle CDE'ye idari erişim gibi yüksek riskli erişim senaryoları için (Gereksinim 8.4.1), gerçek çok faktörlü kimlik doğrulama ilkelerinin karşılandığından emin olmak için uygulamalarını inceleyecektir. Temel hususlar arasında passkey türü, kimlik doğrulama faktörlerinin bağımsızlığı ve onaylama (attestation) kullanımı yer alır. #### 6.4.1 Senkronize vs. Cihaza Bağlı Passkey'ler: Daha önce de tartıştığımız gibi, passkey'ler iki ana biçimde gelir: - _Senkronize Passkey'ler:_ Bunlar, Apple iCloud Anahtar Zinciri veya [Google Şifre](https://www.corbado.com/tr/blog/google-sifre-yoneticisi-nasil-kullanilir) Yöneticisi gibi bulut hizmetleri aracılığıyla bir kullanıcının güvenilir cihazları arasında senkronize edilir. Bir cihazda oluşturulan bir passkey'in başka bir cihazda kullanılabilmesi kolaylık sağlar. - _Cihaza Bağlı Passkey'ler:_ Bunlar, bir USB donanım güvenlik anahtarı (ör. [YubiKey](https://www.corbado.com/glossary/yubikey)) veya belirli bir telefonun güvenli donanımı gibi belirli bir fiziksel doğrulayıcıya bağlıdır. Özel anahtar bu belirli cihazdan ayrılmaz. #### 6.4.2 Faktör Bağımsızlığı ve QSA İncelemesi PCI DSS, MFA faktörlerinin bağımsız olmasını, yani bir faktörün ele geçirilmesinin diğerlerini tehlikeye atmamasını zorunlu kılar. Bir passkey tipik olarak "sahip olduğunuz bir şeyi" (özel anahtarlı cihaz) ve "bildiğiniz/olduğunuz bir şeyi" (anahtarı açmak için yerel cihaz PIN'i veya biyometrik) birleştirir. Senkronize passkey'lerle, birçok saldırıya karşı oldukça güvenli olsalar da, bazı QSA'lar idari erişim için (Gereksinim 8.4.1) "sahiplik" faktörünün mutlak bağımsızlığı konusunda sorular sorabilir. Endişe, passkey'leri senkronize eden kullanıcının bulut hesabının (ör. Apple ID, Google hesabı) ele geçirilmesi durumunda, özel anahtarın potansiyel olarak bir saldırgan kontrolündeki cihaza kopyalanabilmesidir. Bu, bazı değerlendiricilerin, yüksek riskli bağlamlarda bir senkronize passkey'i, senkronizasyon mekanizmasının kendisi güçlü MFA ile sağlam bir şekilde güvence altına alınmamışsa, iki tam bağımsız faktörün katı yorumunu karşılamadığını düşünmesine yol açabilir. Örneğin, [NIST](https://www.corbado.com/blog/nist-passkeys) yönergeleri, senkronize passkey'leri [AAL2](https://www.corbado.com/blog/nist-passkeys) uyumlu olarak tanırken, cihaza bağlı passkey'ler genellikle dışa aktarılamayan anahtarları içeren [AAL3](https://www.corbado.com/blog/nist-passkeys) seviyesini karşılayabilir. - **WebAuthn Doğrulayıcı Bayraklarını Anlamak:** Bir WebAuthn seremonisi sırasında (passkey'lerin temelini oluşturan), doğrulayıcılar belirli bayrakları bildirir. İki önemli olan şunlardır: - **uv=1 (Kullanıcı Doğrulandı):** Bu bayrak, kullanıcının genellikle bir cihaz PIN'i veya biyometrik kullanarak doğrulayıcıya varlığını başarıyla doğruladığını gösterir. Bu doğrulama, kimlik doğrulama faktörlerinden biri olarak işlev görür – "bildiğiniz bir şey" (PIN) veya "olduğunuz bir şey" (biyometrik). - **up=1 (Kullanıcı Mevcut):** Bu bayrak, kullanıcının seremoni sırasında mevcut olduğunu ve doğrulayıcıyla etkileşime girdiğini (ör. bir güvenlik anahtarına dokunarak) onaylar. Kullanıcı niyetini kanıtlamak ve belirli uzaktan saldırıları önlemek için çok önemli olsa da, kullanıcı varlığı genellikle MFA'nın çok faktörlü gereksinimini karşılamak için ayrı, bağımsız bir kimlik doğrulama faktörü olarak kabul edilmez. Önemli bir güvenlik özelliğidir ancak genellikle tek başına ikinci bir _faktör_ olarak sayılmaz. - **Cihaza Bağlı Passkey'lerin ve Donanım Güvenlik Anahtarlarının Rolü:** İdari erişim (Gereksinim 8.4.1) ve diğer yüksek güvenceli senaryolar için, [donanım güvenlik anahtarları](https://www.corbado.com/tr/blog/en-iyi-fido2-donanim-guvenlik-anahtarlari)nda saklanan cihaza bağlı passkey'ler, faktör bağımsızlığı için daha güçlü bir argüman sunar. Özel anahtar donanım belirtecini asla terk etmeyecek şekilde tasarlandığından, "sahip olduğunuz bir şey" faktörü, yazılım tabanlı saldırılar veya bulut hesabı ele geçirme yoluyla kopyalanmaya karşı daha sağlam bir şekilde korunur. Bu, onları idari MFA için katı QSA beklentilerini karşılamak isteyen birçok kuruluş için tercih edilen bir seçenek haline getirir. #### 6.4.3 Doğrulayıcı Doğrulaması için Onaylama (Attestation) Onaylama (Attestation), WebAuthn'de doğrulayıcının passkey kayıt işlemi sırasında güvenen tarafa (FIDO sunucunuz) kendisi hakkında doğrulanabilir bilgiler (ör. markası, modeli, sertifikasyon durumu, donanım destekli olup olmadığı) sağladığı bir özelliktir. - **PCI DSS için neden önemli:** Onaylama (Attestation), kullanılan doğrulayıcıların kuruluşun güvenlik politikalarını karşıladığına ve gerçekten iddia ettikleri şey (ör. sertifikalı bir donanım güvenlik anahtarı) olduğuna dair QSA'lara önemli kanıtlar sunabilir. Bu, kimlik doğrulama faktörlerinin gücünü ve bağımsızlığını gösterirken özellikle önemli olabilir. - **Tavsiye:** İdari CDE erişimi gibi yüksek güvenlikli erişimler için, sağlam onaylama desteği sunan [donanım güvenlik anahtarları](https://www.corbado.com/tr/blog/en-iyi-fido2-donanim-guvenlik-anahtarlari)nda passkey kullanılması şiddetle tavsiye edilir. Bu, kuruluşun kabul edilebilir doğrulayıcı türleri hakkında politikalar uygulamasını ve uyumluluğun daha güçlü kanıtlarını sunmasını sağlar. Uygulamada, 8.4.1 Gereksinimi için denetim sürtünmesinden kaçınmak amacıyla, birçok kurumsal şirket, anahtar koruması ve potansiyel olarak onaylama konusunda güçlü güvenceler sunan [donanım güvenlik anahtarları](https://www.corbado.com/tr/blog/en-iyi-fido2-donanim-guvenlik-anahtarlari)nda cihaza bağlı passkey'ler vermeyi tercih eder. ### 6.5 Passkey'leri 8. Gereksinim Alt Maddeleriyle Eşleştirme Passkey'lerin boşluğu nasıl doldurduğunu ve 8. Gereksinim'de detaylandırılan kontrolleri nasıl karşıladığını net bir şekilde göstermek için, aşağıdaki tablo belirli passkey özelliklerini ve karakteristiklerini ilgili alt maddelerle eşleştirir ve farklı senaryolar için uygunluklarını belirtir. | 8. Gereksinim Alt Maddesi | Passkey Özelliği | Passkey Nasıl Karşılıyor/Aşıyor | Senkronize OK? | Cihaza Bağlı OK? | | :-------------------------- | :-------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------- | :--------------- | | 8.2 (Kullanıcı ID) | Passkey ile Benzersiz Kullanıcı ID | Her passkey, bir kullanıcının bir hizmete kaydına özgüdür. Özel anahtarlar paylaşılmaz. Bireysel hesap verebilirliği sağlar. | ✅ | ✅ | | 8.3.x (Parolalar) | Parola Değişimi | Passkey'ler bir erişim yolu için parolaları tamamen değiştirirse, parola özelindeki kontroller (uzunluk, karmaşıklık, rotasyon, geçmiş) o yol için geçerli olmaz, bu da bu kontroller için uyumluluğu basitleştirir. | ✅ | ✅ | | 8.4.1 (İdari MFA) | Oltalama Dirençli Faktör (Cihaz + Yerel) | Passkey, güçlü, oltalama saldırılarına dayanıklı bir faktör olarak hizmet eder. (QSA'lar senkronize passkey'ler için faktör bağımsızlığını inceleyebilir). | ⚠️ | ✅ | | 8.4.2 (Konsol Dışı MFA) | Oltalama Dirençli Kimlik Doğrulama (Cihaz + Yerel) | Oltalama saldırılarına dayanıklı kimlik doğrulama (passkey'ler gibi), bu senaryo için geleneksel MFA'nın _yerine_ kullanılabilir. | ✅ | ✅ | | 8.4.3 (Uzaktan MFA) | Oltalama Dirençli Faktör (Cihaz + Yerel) | Passkey, ağa giriş için güçlü, oltalama saldırılarına dayanıklı bir faktör olarak hizmet eder. (QSA'lar senkronize passkey'ler için faktör bağımsızlığını inceleyebilir). | ⚠️ | ✅ | | 8.5.1 (Tekrar Direnci) | Benzersiz Sınama/Yanıt | Her giriş, bir sunucu sınamasına bağlı benzersiz bir imza oluşturur ve yakalanan kimlik doğrulama verilerinin yeniden kullanılmasını önler. | ✅ | ✅ | | 8.5.x (Faktör Bağımsızlığı) | Ayrı Yerel Faktörler (Cihaz+Yerel) | Cihazdaki kriptografik anahtar ve yerel biyometrik/PIN bağımsızdır. Kriptografik işlem yalnızca başarılı yerel kullanıcı doğrulamasından sonra devam eder. (Senkronize anahtarlar için faktör bağımsızlığı, yüksek riskli senaryolarda QSA'lar tarafından sorgulanabilir). | ⚠️ | ✅ | | Oltalama Direnci (Genel) | Temel Güvenlik (Kaynak bağlama, Sır yok, PK Kripto) | Passkey'in yalnızca meşru sitede çalışmasını ve çalınabilecek hiçbir sırrın iletilmemesini sağlayarak oltalama saldırılarına karşı temelden tasarlanmıştır. | ✅ | ✅ | Bu eşleştirme, passkey'lerin sadece teorik bir uyum değil, aynı zamanda PCI DSS 4.0'ın gelişmiş kimlik doğrulama taleplerini karşılamak için pratik ve sağlam bir çözüm olduğunu göstermektedir. ## 7. Sonuç: Güçlü Kimlik Doğrulama için Passkey'leri Benimsemek Ödeme güvenliği dünyası karmaşık ve sürekli gelişiyor. PCI DSS 4.0 bu gerçeği yansıtıyor ve özellikle kimlik doğrulama alanında güvenlik kontrolleri için çıtayı daha yükseğe koyuyor. Kuruluşlar bu yeni, daha katı talepleri karşılamaya çalışırken, FIDO/WebAuthn standartları üzerine inşa edilen passkey'ler sadece uyumlu bir çözüm olarak değil, aynı zamanda güvenli erişimi yeniden tanımlamaya hazır dönüştürücü bir teknoloji olarak ortaya çıkıyor. Bu analiz boyunca, iki merkezi soru keşfimize rehberlik etti: 1. **PCI DSS 4.0 kimlik doğrulama çıtasını yükseltirken, kuruluşlar kullanıcıları veya güvenlik ekiplerini aşırı yüklemeden bu katı yeni gereksinimleri nasıl etkili bir şekilde karşılayabilir?** Kanıtlar, kuruluşların passkey'ler gibi oltalama saldırılarına dayanıklı Çok Faktörlü Kimlik Doğrulama (MFA) çözümlerini stratejik olarak benimseyerek PCI DSS 4.0'ın kimlik doğrulama gereksinimlerini etkili bir şekilde karşılayabileceğini güçlü bir şekilde göstermektedir. Bu teknolojiler, sağlam, kriptografik olarak doğrulanmış güvenliği, önemli ölçüde iyileştirilmiş, genellikle daha hızlı kullanıcı deneyimleriyle doğal olarak dengeler. Ayrıca, PCI DSS 4.0'ın "özelleştirilmiş uygulamalara" izin vermesi, kuruluşları bu tür gelişmiş çözümleri kendi özel ortamlarına ve risk profillerine göre uyarlamaları için güçlendirir ve tek tip bir yaklaşımdan uzaklaştırır. PCI SSC'nin kendi rehberliği de bunu daha da kolaylaştırır, geniş bir kullanıcı segmenti için basitleştirilmiş uyumluluğa izin verirken, daha yüksek riskli idari ve uzaktan erişim için daha katmanlı yaklaşımları saklı tutar. 2. **Passkey'ler gibi gelişmekte olan teknolojiler, yalnızca PCI DSS 4.0'ın sağlam kimlik doğrulama kontrollerini karşılamakla kalmaz, aynı zamanda gelişmiş güvenlik ve iyileştirilmiş operasyonel verimlilik gibi sadece uyumluluğun ötesinde somut faydalar da sunabilir mi?** Cevap net bir evet. Passkey'lerin, MFA, oltalama direnci ve tekrar saldırısı direnci kriterleri de dahil olmak üzere PCI DSS 4.0 Gereksinim 8 içindeki temel kimlik doğrulama kontrollerini karşılayabildiği kanıtlanmıştır. Ancak, değerleri sadece uyumluluğun ötesine uzanır. Passkey'lerin doğal tasarımı—paylaşılan sırları ortadan kaldırmak ve kimlik doğrulamayı belirli kaynaklara bağlamak—başarılı oltalama saldırıları ve hesap ele geçirme riskini büyük ölçüde azaltır, bu da dolandırıcılıkla ilgili kayıplarda somut azalmalara yol açar. Operasyonel olarak, parolalardan uzaklaşma, parola ile ilgili daha az yardım masası talebi anlamına gelir, maliyetleri düşürür ve BT kaynaklarını serbest bırakır. Kullanıcılar daha basit, daha hızlı ve daha az sinir bozucu bir giriş deneyiminden yararlanır, bu da üretkenliği ve müşteri memnuniyetini artırabilir. Dahası, parolaların belirli erişim yolları için tamamen passkey'lerle değiştirildiği durumlarda, parola özelindeki kontroller için denetim yükü ortadan kalkar ve potansiyel olarak bu alanlardaki uyumluluk çabalarını kolaylaştırır. Gerçekten güvenli bir ödeme ekosistemine giden yolculuk süreklidir. PCI DSS 4.0 yeni kilometre taşları belirliyor ve passkey kimlik doğrulaması bunlara ulaşmak için güçlü bir araç sağlıyor. Kart sahibi verilerini işleyen, depolayan veya ileten kuruluşların, passkey'lerin benimsenmesini değerlendirmeleri ve planlamaya başlamaları şiddetle tavsiye edilir. Bu sadece bir standardın en son sürümüne uymakla ilgili değildir; dijital kimliğin geleceğiyle uyumlu, daha güvenli, verimli ve kullanıcı merkezli bir kimlik doğrulama yaklaşımını benimsemekle ilgilidir. İşletmeler, passkey'leri stratejik olarak uygulayarak, gelişen tehditlere karşı savunmalarını güçlendirebilir, değerli ödeme verilerini koruyabilir ve giderek dijitalleşen bir dünyada müşterileriyle daha büyük bir güven inşa edebilir.