Bir üye işyerinin (Merchant) veya hizmet sağlayıcısının (Service Provider) PCI DSS kapsamı, uygulama kenarında gerçek anına gelir. İnternete açık trafik burada sonlanır. CDE'ye erişim kararları burada verilir. Ödeme kartı verisi buradan girer ve çıkar. PCI DSS v4.0.1 bu kenarı yoğunlaştırdı: Req 8.4.2 kapsamında CDE'ye MFA artık yalnız yöneticilere değil, her hesaba uygulanır; Req 1 kapsamındaki Network Security Controls; stateful firewall'ların ötesinde uygulama bilinçli proxy'ler ve software-defined isolation'ı kapsayacak biçimde tanımlanmıştır; Req 6.4.3 ve 11.6.1 kapsamındaki yeni client-side kontroller ödeme sayfası skimming saldırılarına karşı koruma getirir; Req 10 kapsamındaki denetim seviyesinde gözlemlenebilirlik yıllık değil sürekli olmak zorundadır.
Klasik cevaplar pahalıdır. Eklenti kit: bir satıcıdan WAAP modülü, başka birinden erişim modülü, üçüncüsünden multi-tenancy eklentisi, dördüncüsünden hassas veri maskeleme — her biri ayrı lisanslı, her biri ayrı panel, hepsini sizin ekibiniz entegre ediyor. Bulut kenarı: ödeme kartı verisini üçüncü taraf bir WAAP'a taşıyın — kullanıcı ile CDE arasındaki yolu bir başkasının platformuna verin; denetçi "ödeme kartı verisi nerede inceleniyor?" diye sorduğunda cevabınız "başkasının bulutunda" olur.
Üçüncü yol, çoğu operasyon ekibinin gerçekten istediği yol: uygulama kenarındaki PCI kontrollerini, zaten denetim sınırınızın içindeki ağ üzerinde, tek platformda kapsamak. TR7 bu yol için yapılmış. TLS, WAAP, CDE'ye MFA, vTenant izolasyonu, hassas veri maskeleme ve denetim; aynı TR7 üzerinde. Denetçi kanıtları ister; tek operatör paneli onları üretir.
Her biri tek başına önemli. Hepsi birden, uygulama kenarının tek platformda çalıştığı bir PCI uyumluluğunun nasıl göründüğünü anlatır.
TR7 edge'inde modern şifrelerle TLS sonlandırma, güncel sertifikalar, OCSP stapling, HSTS ve gereken yerde mTLS seçeneği. Ödeme kartı verisi; arka uca ulaşmadan önce Req 4.2.1 kriptografi beklentilerini karşılar.
İnternete açık bir uygulamaya gelen her isteği CDE'ye ulaşmadan inceler. TR7 WAAP; 10.000+ imza kütüphanesini, 11 faktörlü puanlama motorunu ve içerik bilinçli kuralları birleştirir; CWE/CAPEC/MITRE eşlemesi denetim ve olay kanıtlarını izlenebilir kılar. Req 6.4.2 herkese açık uygulamaların önünde bir çözüm ister — TR7 o çözümdür.
PCI DSS v4.0; MFA yükümlülüğünü yalnızca yöneticilerden CDE'ye erişen her hesaba genişletti. TR7 AAM çok faktörlü kimlik doğrulamayı erişim kenarında OIDC, SAML, TOTP, FIDO2 ile uygular ve bağlam değiştikçe seviye yükseltir. Aynı kontrol; iç personeli, dış kaynakları ve hizmet hesaplarını TR7 üzerinden CDE'ye gelirken kapsar.
PCI DSS v4.0 "firewall" kavramını Network Security Controls olarak yeniden çerçeveledi ve uygulama bilinçli proxy'leri ile software-defined isolation'ı açıkça dahil etti. TR7 tam olarak bunu sağlar: CDE ile CDE dışı yükler arasında yönetimsel ve operasyonel izolasyon için vTenant, CDE trafiğine kendi bant genişliği zarfını veren QoS havuzları ve CDE'ye yönelik akışları ayrı tutan vService bazlı route tabloları. PCI hizmet sağlayıcıları için vTenant; her üye işyeri için ayrı bir cihaz gerekmeden Appendix A1 multi-tenant yükümlülüklerini karşılar.
TR7; API ve HTML yanıtlarında PAN, CVV ve diğer hassas örüntüleri tespit eder ve uygulama kenarından çıkmadan önce politikaya göre maskeler. Req 3.4; PAN'in saklanan veya yetkisiz bağlamlarda görüntülenen her yerde okunamaz olmasını ister — TR7 bu sınırı uygulamada kod değişikliği olmadan çıkış yolunda uygular.
Erişim olayları, trafik kararları, WAAP tespitleri, MFA sonuçları ve yönetim hedeflerine SSH oturumları aynı denetim kaydını paylaşır. SSH komut düzeyinde kayıt; ayrı bir PAM ürünü olmadan soruşturmaya hazırdır. SIEM aktarımı platform genelinde tutarlı taksonomiyle yapılır — denetçinin istediği kanıtlar tek yerden gelir.
Aşağıdaki her yetenek; modern servislerinizi teslim eden ve koruyan aynı TR7 platformu üzerinde çalışır.
Güncel TLS sürümleri, modern şifre paketleri, OCSP stapling, otomatik sertifika yönetimi. Gereken yerde mTLS seçeneği. Ödeme kartı verisinin iletim sırasındaki güvenliğine ilişkin Req 4.2.1 beklentilerini destekler.
10.000+ imza ve 11 faktörlü puanlama motoru. OWASP kategorileri, framework'e özel korumalar, denetim ve adli süreç için CWE/CAPEC/MITRE eşlemesi. Satır içi engelleme veya yalnızca tespit modları.
Content Security Policy, Subresource Integrity, X-Frame-Options, HSTS ve diğer güvenlik başlıklarını görsel politika oluşturucuda enjekte edin. Başlıklar; bunları hiç set etmemiş eski uygulama kodunda değil, edge'de yapılandırılır.
Ele geçirilmiş bir arka uçtan çıkan HTML ve JSON yanıtlarındaki yetkisiz script etiketlerini veya beklenmeyen içerikleri inceleyin. Tarayıcıya ulaşmadan önce skimmer benzeri çıktıyı üreten sunucu tarafı ihlali tespit eder.
TR7 üzerinden CDE'ye erişen her hesap için çok faktörlü kimlik doğrulama. TOTP, FIDO2, push ve SMS; yeni cihaz, yeni coğrafya veya hassas kaynak gibi bağlam değişimlerinde seviye yükseltme.
AAM Servis Bazlı Kimlik Doğrulama modu; eski bir CDE uygulamasını IdP'nizden OIDC veya SAML SSO ile sarmalar. Eski arka uç beklediği kimlik parçasını alır; kullanıcı modern yoldan ve MFA ile giriş yapar.
Platform seviyesinde multi-tenant izolasyon. Tenant'lar TR7'yi paylaşır ama yönetimsel, operasyonel ve gözlemsel olarak ayrılırlar. CDE yükleri kendi tenant'larında yaşayabilir — tasarım gereği denetlenebilir bir sınır. Hizmet sağlayıcılar için Appendix A1 yükümlülüklerini destekler.
CDE trafiği kendi bant genişliği zarfında; CDE'ye yönelik akışlar özel route tablolarında. PCI DSS v4.0 terminolojisinde Network Security Controls açıkça stateful firewall'lardan geniştir — uygulama bilinçli proxy'ler, ACL'ler ve software-defined isolation sayılır. TR7 bu kontrol yüzeyini uygulama katmanında kapsar.
PAN truncation kuralları, CVV bastırma, dışa giden yanıtlarda yapılandırılabilir örüntü maskeleme. Req 3.4'ün PAN görüntüleme yükümlülükleri, uygulama kodunu değiştirmeden çıkış kenarında karşılanır.
Teslimat, güvenlik, erişim ve DDoS katmanları boyunca tek operatör paneli ve tek denetim kaydı. SIEM aktarımı tutarlı taksonomiyle. Req 10'un içerik, saklama ve gözden geçirme yükümlülüklerini destekler.
TR7 üzerinden arka uç CDE yönetim hedeflerine ulaşan SSH oturumları komut düzeyinde kaydedilir — her komut, her yanıt. Req 8 ve Req 10'un en çok önemsediği ayrıcalıklı erişim için soruşturma kalitesinde denetim.
TLS, WAAP, MFA, vTenant, maskeleme ve denetim aynı motor üzerinde çalışır. Ayrı erişim modülü, ayrı maskeleme modülü, ayrı multi-tenancy SKU'su veya ayrı denetim eklentisi yoktur — hepsi aynı bant genişliği lisansının içinde gelir.
TR7 kendi donanımınızda, kendi veri merkezinizde, kendi ağ kontrollerinizin altında çalışır. Ödeme kartı verisi ve denetim logları üçüncü taraf bir edge'den geçmez. Kriptografik sınır, inceleme sınırı ve denetim sınırı; aynı sınırdır.
TR7; PCI DSS'in belirli bir yüzeyini — uygulama kenarını — kapsar. Aşağıdaki harita, neyi kapsayıp neyi kapsamadığı konusunda dürüsttür.
vTenant, QoS havuz ayrımı ve vService bazlı route tabloları; uygulama katmanında NSC kontrolleri sağlar. TR7 arkasındaki CDE ve CDE dışı yükler; yönetimsel, operasyonel ve bant genişliği düzeyinde izole edilebilir. Bu, kurumun NSC duruşunun bir bileşenidir; ağ katmanında bir L3/L4 stateful network firewall genellikle bunu tamamlar.
Yanıtlarda hassas veri maskeleme; PAN'in çıkış yolunda okunamazlığını uygular. Yapılandırılabilir örüntüler, truncation, bastırma. Uygulama kodu değişmeden edge'de karşılanır.
Edge'de güncel sürümler ve modern şifrelerle TLS sonlandırma. HSTS, OCSP stapling, sertifika yönetimi. Gereken yerde mTLS. İç arka uç ayakları da TR7 edge'inden TLS ile korunabilir.
TR7 WAAP; imzalar, 11 faktörlü puanlama motoru ve içerik bilinçli kuralları birleştirir. CWE/CAPEC/MITRE eşlemesi tespitleri denetim izlenebilir kılar. Satır içi engelleme veya yalnızca tespit operasyon modları.
TR7 bu gereksinimlere belirli kontrollerle katkı verir — içerik bilinçli kurallar üzerinden CSP ve SRI başlık enjeksiyonu, yetkisiz script enjeksiyonu için sunucu tarafı yanıt incelemesi ve skimmer benzeri davranış için bot management sinyalleri. Bu gereksinimlerin özellikle adresllediği türden tarayıcı tarafı script davranış izleme için, tamamlayıcı bir araç genellikle yan yana kullanılır. Dürüst kapsam aşağıdaki SSS'tedir.
AAM; CDE kenarında uygulama başına erişim politikasını uygular. Kimlik, cihaz duruşu, coğrafya, günün saati ve MFA gücü her erişim kararını besler. Yatay hareket; her uygulamanın açıkça yetkilendirdiği sınırla çevrilir.
TR7 üzerinden CDE'ye ulaşan her hesap — yöneticiler, iç personel, dış kaynaklar, hizmet hesapları — için erişim kenarında MFA uygulanır. Bağlam değiştiğinde seviye yükseltmeli kimlik doğrulama. Yerel OIDC, SAML, TOTP, FIDO2.
Erişim olayları, WAAP tespitleri, MFA sonuçları ve komut düzeyinde SSH oturumları tek denetim kaydında. Tutarlı taksonomiyle SIEM aktarımı. Yapılandırılabilir saklama. Req 10'un içerik, bütünlük ve inceleme yükümlülüklerini destekler.
vTenant; paylaşılan TR7 altyapısında tenant'lar arasında yönetimsel, operasyonel ve gözlemsel izolasyon sağlar. PCI kapsamına giren bir tenant; PCI dışı tenant'lar ile yapılandırma, denetim ve trafik karışmadan yan yana çalışır.
TR7; bir PCI programının uygulama kenarı katmanıdır. Anti-malware (Req 5), fiziksel erişim kontrolleri (Req 9), ağ zafiyet taraması (Req 11.3), sızma testi (Req 11.4), dosya bütünlüğü izleme (Req 11.5) veya özel istemci tarafı koruma ürünlerinin sağladığı düzeyde müşterinin tarayıcısı içinde skimmer karşıtı kontrollerin yerini almaz. Bunlar bütün bir PCI programında TR7'yi tamamlayan kontrollerdir.
Ödeme kartı verisinin aktığı internete açık kanallar. TR7; TLS, WAAP, MFA ve PAN maskelemeyi CDE'nin önündeki kenara yerleştirir; vTenant aynı platformda kart işleyen üretim yüklerini CDE dışı uygulamalardan ayırır.
Storefront, checkout API'leri ve back-office. Public storefront önünde WAAP; back-office erişiminde MFA; personele giden sipariş detay yanıtlarında PAN maskeleme; ödeme sayfası bütünlüğü kontrollerini desteklemek için edge'de enjekte edilen CSP ve SRI başlıkları.
Çok sayıda üye işyerine hizmet veren yapı. vTenant; paylaşılan TR7 altyapısında her üye işyerine veya üye işyeri grubuna izole kendi PCI kapsamını verir — yönetimsel, operasyonel ve gözlemsel olarak ayrı. Appendix A1 yükümlülükleri her üye işyeri için ayrı bir cihaza gerek kalmadan karşılanır.
Vergi, ceza, harç, vatandaşa açık ödeme yolculukları. On-prem TLS, WAAP, MFA ve denetim; ödeme kartı verisini ve denetim izini ulusal altyapı içinde ve yerel yönetim altında tutar.
Ödeme kartı ve diğer ödeme verilerini taşıyan API öncelikli ürünler. Edge'de WAAP artı API şema dayatması; dashboard ve geliştirici konsolu için erişim kenarında MFA; log ve dashboard yanıtlarında PAN maskeleme; API yüzeyi boyunca merkezi denetim.
PHI yanında ödeme kartı işlemi alan sağlayıcı portalları. TR7 uygulama kenarındaki PCI kontrollerini kapsarken, daha geniş uygulama yüzeyini koruyan aynı platformda çalışır — tek operatör ekibi, tek denetim kaydı.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
RDP, VNC, SSH, Kubernetes ve legacy sistemlere tarayıcıdan erişim — kimlik kasası, kayıt ve watermark yerleşik.
Üç MFA yöntemi, servis bazlı politika, güvenilir cihaz kısayolu — üçüncü taraf MFA bulutu yok.
Tek akış motoru her kimlik doğrulama sonucunu belirler — kim, neye, hangi faktörden sonra, hangi bağlamda.
Girişte kazanılan güven sonsuza dek taşınmaz. Her oturum, her adımda değerlendirme altında kalır.
SAML ve OIDC dışındaki her kimlik kaynağını aynı erişim ve denetim akışına bağlayın.
Kurum servislerine şifreli giderken bile WAAP denetimi, mTLS kimliği ve veri maskeleme çalışmaya devam eder.
Log gizliliği için IP maskele, proxy zincirleri için doğru istemci IP'sini yeniden oluştur.
L3/L4 ötesine geçin — HTTP bağlamını flow kayıtlarına taşıyın.
TLS'i dosya tabanlı ayardan çıkarın; servis bazlı güvenlik profili, sertifika yaşam döngüsü ve kuantum-sonrası hazırlığa dönüştürün.
İstemci sertifikasını bağlantı kontrolünden çıkarın; trafik kararlarına dahil olan kimlik objesine dönüştürün.
Her tenant kendi route dünyasında; çakışan IP'ler, statik + dinamik yönlendirme ve gateway monitor tek panelden.
İmzayı, skoru ve bağlamı tek motorda birleştirin; bilinen saldırıları kontrollü yönetin.
Hassas veriyi kullanıcıya ve loglara ulaşmadan önce platform seviyesinde maskeleyin.
Her platform olayını SIEM'in beklediği formatta gönderin — JSON, CEF veya plainText.
Anahtar emaneti kendi altyapınızda olan domain başına DNSSEC — üçüncü taraf imzalama servisi yok.
Tek TR7. Çoklu tenant. Kaynak, ağ ve operasyon sınırları birbirinden ayrı.
Her L7 isteği ölçülebilir, filtrelenebilir ve raporlanabilir hale gelsin.
Markalı, planlı ve isteğe bağlı PDF/XLSX raporları tek raporlama hattında üretin.
8 güvenlik başlığını uygulama kodu değiştirmeden ADC katmanından uygulayın.
Ham WAAP loglarını denetçi, yönetim ve müşteri için okunabilir kanıt raporlarına dönüştürün.
PCI kapsamınızı bir TR7 demosuna getirin. Edge'de TLS, CDE önünde WAAP, CDE'ye MFA, vTenant izolasyonu, maskeleme ve denetim kaydını birlikte gezelim — bir denetçinin tam olarak hangi kanıtları istediğini görelim.