GH GambleHub

مراقبة PCI DSS واعتمادها

1) ما هو PCI DSS ولماذا يهم iGaming

PCI DSS هو المعيار الأمني لصناعة بطاقات الدفع (Visa/Mastercard/Amex/Discover/JCB). بالنسبة لمشغل iGaming، فإنه يحدد التدابير الفنية والتنظيمية لحماية بيانات حامل البطاقة (CHD)، بما في ذلك PAN وبيانات المصادقة الحساسة (SAD). يهدد التناقض بالغرامات وزيادة التعريفات بين البنوك واستدعاء حساب التاجر وإلحاق الضرر بالسمعة.

2) أدوار الشهادات ومستوياتها ونوعها

الأدوار

التاجر: يقبل بطاقات اللاعبين.
مزود الخدمة: العمليات/المضيفون/المتاجر CHD للتجار (بما في ذلك الاستضافة ومنصة الدفع والترميز).

المستويات (المستوى العالي)

مستويات التجار 1-4: حسب المعاملات السنوية ؛ يتطلب المستوى 1 عادة ROC (تقرير عن الامتثال) من QSA.
مستويات مقدم الخدمة 1-2: المستوى 1 هو ROC إلزامي.

صيغ التقييم

ROC + AOC: تقرير مراجع الحسابات الكامل (QSA/ISA).
SAQ: التقييم الذاتي من قبل أحد الأنواع (انظر أدناه)، بالإضافة إلى مسح ASV خارجي.

3) النطاق و CDE: كيفية تضييق وإدارة

CDE (Cardholder Data Environment) - أي أنظمة/شبكات/عمليات تخزن أو تعالج أو تنقل CHD/SAD.

استراتيجيات التقليل إلى الحد الأدنى

1. صفحة الدفع المستضافة (HPP): PSP → SAQ A form.
2. Direct Post/JS + صفحتك (A-EP): تؤثر صفحتك على سلامة جمع SAQ A-EP → (أوسع).
3. الترميز: تبادل PAN لرمز PSP/رمزك walt ؛ لا يتم تخزين PAN معك.
4. تقسيم الشبكة: عزل CDE (VLAN/firewalls/ACL)، تقليل حركة المرور.
5. سياسة «لا تخزين»: لا تخزن PAN/SAD ؛ الاستثناءات لها ما يبررها تماما.

💡 القاعدة الذهبية: كل بايت من PAN هو ميزة إضافية لمجال التدقيق.

4) أنواع SAQ (موجز)

نوع SAQمن هو المناسبباختصار عن المنطقة
أفقط أعد توجيه/iframe PSP، لا يوجد لديك CHDالحد الأدنى من المتطلبات (لا توجد معالجة لحاسوب خدمة PAN)
A-EPتؤثر صفحة الويب الخاصة بك على مجموعة CHD (نصوص، انشر على PSP)تعزيز ضوابط الشبكة
B/B-IPالمحطات الطرفية/المطابعنادر بالنسبة إلى iGaming
جيمطلبات دفع مستقلة، شبكة محدودةحالات ضيقة
C-VTالإدخال اليدوي إلى المحطة الافتراضيةنصوص الدعم (غير مرغوب فيها)
P2PEPCI P2PE حل معتمدإذا كان منطبقا
دال (تاجر/مقدم خدمة)أي سيناريوهات أخرى، تخزين/معالجة PANمجموعة كاملة من الاحتياجات

5) PCI DSS v4. 0: المواضيع الرئيسية

النهج المخصص: يسمح بوجود ضوابط بديلة في إطار التكافؤ المثبت (الخطة، تقييم الموارد الطبيعية، تبرير الاختبار).
تحليل المخاطر المستهدف: تحليل المخاطر المستهدفة من أجل المتطلبات «المرنة» (تواتر العمليات والرصد).
التوثيق: MFA للإدارة والوصول عن بُعد ؛ وكلمات سر/عبارات سر قوية ؛ الأقفال/المهلات.
نقاط الضعف والرقع: عمليات مسح منتظمة (داخلية/خارجية)، ربع سنوية ASV، خماسي سنويًا وبعد تغييرات كبيرة.
التشفير: في العبور (TLS 1. 2 +) и في حالة راحة ؛ إدارة المفتاح (KMS/HSM)، والتناوب، وفصل الأدوار.
الجذوع والرصد: سجلات مركزية، والحماية من التغييرات (WORM/signature)، والاستعراض اليومي للأحداث الأمنية.
التجزئة/جدران الحماية/WAF: قواعد رسمية، مراجعة، طوبولوجيات موثقة.
SDLC/التغييرات: dev/test/prod منفصل، SAST/DAST/مسح التبعية، الإدارة السرية.
الحوادث: IRP الرسمي، التدريبات، الأدوار وقائمة الاتصال، التفاعل مع PSP/البنك المستحوذ.

6) بيانات البطاقة: ما يمكن/لا يمكن

CHD: PAN (+ اختياري. الاسم، المصطلح، رمز الخدمة).
SAD (ممنوع التخزين بعد الإذن): CVV/CVC، مسارات مغناطيسية كاملة، كتل PIN.
الإخفاء: شاشة PAN مع قناع (عادة أول 6 وآخر 4).
الترميز/التخزين: إذا قمت بتخزين تشفير → PAN، والوصول إلى المعرفة، والمفاتيح بشكل منفصل، والسجلات الصلبة.

7) مجالات التحكم (قائمة مرجعية عملية)

1. تجزئة CDE - شبكات فرعية منفصلة، الرفض الافتراضي، التحكم في الخروج.
2. جرد الأصول - جميع النظم في CDE وما يتصل بها.
3. قاسية - تكوينات آمنة، إغلاق افتراضي، معايير أساسية.
4. نقاط الضعف/التصحيحات - العمليات، واتفاقات الخدمات، وتأكيدات النشر.
5. قطع الأشجار - التزامن الزمني، الجذوع المركزية، WORM/التوقيعات.
6. الوصول - RBAC/ABAC، MFA، SoD، JIT/PAM، الإقلاع ≤ 15 دقيقة.
7. التشفير - TLS، KMS/HSM، التناوب، أدوار حراس التشفير المنفصلة.
8. تطوير - SAST/DAST/DS/IaC، مسح سري، توقيعات خطوط الأنابيب.
9. مسح ASV - ربع سنوي وبعد التغييرات، حالات «تمرير» للتخزين.
10. الخماسي - الشبكة الخارجية/الداخلية †، على الأقل سنويا.
11. خطة IR - التدريبات، غرفة الحرب مع PSP/المستحوذ، الجداول الزمنية.
12. التدريب - التصيد الاحتيالي، الترميز الآمن، وعي PCI بالأدوار.
13. الوثائق/الإجراءات - سياسة الاحتفاظ/الحذف الخاصة بشبكة البلدان الأمريكية، سجل الصادرات.

8) التفاعل مع PSP/البائعين

العقود: التوافر/الأمن SLA, DPIA/TPRM, Audit Right, Incident-Notifications ≤ 72 h.
التكامل التقني: HP/إعادة توجيه TLS، خطوط الويب الموقعة، mTLS/المفاتيح في KMS، التناوب.
الرصد الفصلي: تقارير PSP (التصديق، الشهادات)، مقتطفات ASV/pentest، تغييرات SDK.

9) وثائق الامتثال

ROC (Report on Compliance): full QSA report.
AOC (شهادة الامتثال) - تأكيد الامتثال (ملحق ROC/SAQ).
SAQ: نوع مختار من التقييم الذاتي (A، A-EP، D، إلخ).
تقارير ASV: مسح خارجي بواسطة مزود معتمد.
السياسات/الإجراءات: الإصدارات، المالكون، سجلات التغيير.
الأدلة: مخططات الشبكة، سجلات WORM، نتائج الاختبار، التذاكر.

10) الأدوار و RACI

النشاطالمنتج/المدفوعاتالأمن/CISOSRE/ITالبيانات/البيانات الشخصيةالقانون/الامتثالASA/ISAPSP
النطاق/CDE والهندسة المعماريةA/RRRجيمجيمجيمجيم
التجزئة/جدران الحماية/WAFجيمA/RRأناأناجيمأنا
الترميز/إعادة التوجيهA/RRRجيمجيمجيمR
نقاط الضعف/التصحيحاتأناA/RRأناأناجيمأنا
جذوع الأشجار/الرصدأناA/RRجيمأناجيمأنا
ASV/PentestsأناA/RRأناأناRأنا
وثائق ROC/SAQ/AOCأناA/RجيمأناRRأنا
حوادث PCIجيمA/RRأناRجيمجيم

11) المقاييس (KPI/KRI)

معدل مرور ASV: تقارير ربع سنوية بنسبة 100٪ - «تمرير».
تصحيح SLA مرتفع/حرج: ≥ 95٪ في الوقت المحدد.
إغلاق نتائج الخمسة: ≥ 95٪ مغلق ≤ 30 يومًا.
تغطية MFA للمسؤولين: 100٪.
Log Integrity: 100٪ أنظمة حرجة مع WORM/التوقيعات.
تخفيض النطاق: حصة المدفوعات من خلال إعادة التوجيه/الترميز ≥ 99٪.
الحوادث: حوادث PCI بموعد نهائي 100٪.

12) خارطة طريق (8-12 أسبوعًا قبل SAQ/ROC)

الأسابيع 1-2: اختيار نموذج الدفع (HPP/tomenization)، رسم خرائط CDE، تخطيط الشبكة، خطة التجزئة، اختيار SAQ/ROC.
الأسابيع 3-4: التصلب، MFA، سجلات WORM، فحوصات SDLC، المفاتيح/KMS، سياسة التخزين PAN (الافتراضي - لا تخزن).
الأسابيع 5-6: مسح ASV رقم 1، تصحيحات ؛ pentest (web/network/webhooks), IR-learning with PSP, infligence of documents.
الأسابيع 7-8: إكمال SAQ أو مراجعة حسابات QSA (مقابلات المرحلة، العينات)، إغلاق الاكتشافات، إعداد AOC/ROC.
الأسابيع 9-12 (Op.): «النهج المخصص» و TRA، تحسين التجزئة، تكامل لوحة القيادة KPI/KRI.

13) القوائم المرجعية

قبل بدء قبول البطاقة

  • مسار تخزين غير PAN/SAD مختار
  • إعادة توجيه/iframe PSP أو تكوين الرمز
  • تجزئة CDE، الرفض الافتراضي، WAF
  • MFA/IGA/JIT/PAM للمديرين
  • جذوع الأشجار (WORM، التوقيعات، NTP) ولوحات القيادة
  • مر مسح ASV، خماسي مغلق
  • خطة IR والاتصالات PSP/المصرفية

للحصول على شهادة سنوية

  • مخططات وقائمة نظام CDE المحدثة
  • اجتاز 4 ASVs ربع سنوية، تم حفظ «تمريرة»
  • الخمسة ≤ 12 شهرًا وبعد التغييرات
  • السياسات/الإجراءات المستكملة، الإصدارات/المالكون
  • تم ملؤها بواسطة SAQ/تلقتها ROC، صادرة عن AOC

14) الأخطاء المتكررة وكيفية تجنبها

اجمع PAN على صفحتك دون حماية مناسبة → SAQ A-EP/D. استخدم HPP/iframe من PSP.
سجلات بدون حماية ضد التغييرات تضمين WORM/التوقيعات والنظرة العامة اليومية.
لا يوجد تجزئة - "شبكة كاملة في CDE. "عزل حلقة الدفع بشكل صارم.
تخزين CVV/SAD. محظور بعد الحصول على إذن.
غير مكتمل ASVs/pentests. القيام بذلك بعد التغييرات والاحتفاظ بالتقارير/الإصلاحات.

15) التكامل مع بقية أقسام ويكي

الصفحات ذات الصلة: سياسة كلمات المرور و MFA، RBAC/Lest Privilege، سياسة تسجيل الدخول، الحوادث والتسريبات، TPRM و SLA، ISO 27001/27701، SOC 2 - لرسم خرائط التحكم ومجموعة واحدة من الأدلة.

TL; د

نجاح PCI DSS v4. 0 = النطاق الأدنى (HPP/tokenization) + التجزئة الصلبة CDE + MFA/WORM logs/encryption/KMS + ASV ربع سنوي، خماسي سنوي وبعد التغييرات + مستندات SAQ/ROC/AO. هذا يقلل من تكاليف التدقيق، ويسرع عمليات دمج PSP، ويجعل حلقة الدفع آمنة بشكل يمكن إثباته.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.