PCI DSS: المستويات والامتثال

1) ما هو PCI DSS ومن يحتاجه

• قبول مدفوعات البطاقات (مباشرة أو من خلال بوابة PSP/)،
• بيانات المعالجة/التخزين/بطاقة النقل (PAN، المصطلح، CVV) أو نماذجها المختصرة/المشفرة،
• هي مزود خدمات للتجار الآخرين (الاستضافة، والمعالجة، ومكافحة الاحتيال، وتنسيق الدفع، وما إلى ذلك) إذا كان بإمكانك التأثير على أمن هذه البطاقات.

الإصدار والتوقيت: الإصدار الحالي هو PCI DSS v4. 0. الاحتياجات مقابل 3. 2. 1 متقاعد ؛ البنود «المستقبلية» v4. 0 سارية المفعول الآن. جديد في v4. 0: تحسين MFA، «النهج المخصص»، تحليل المخاطر المستهدف لتواتر الإجراءات، وتنقيح التجزئة والتشفير.

2) مستويات الامتثال: التجار ومقدمي الخدمات

2. 1 تجار (تجار)

• المستوى 1:> 6 ملايين معاملة/سنة أو تم اختراقها. يتطلب ROC (تقرير عن الامتثال) سنويًا من QSA أو ISA الداخلي عند التسوية، + فصلية ASV.
• المستوى 2: ~ 1-6 ملايين في السنة. عادة - SAQ (التقييم الذاتي) + الأشعة ASV ؛ قد تتطلب بعض المخططات/المشترين ROC.
• المستوى 3: ~ 20k-1 مليون تجارة إلكترونية/سنة. عادة - فحوصات SAQ + ASV.
• المستوى 4: أقل من عتبات L3. اللجنة الاستشارية المعنية بالمسائل الإدارية ؛ قد تختلف باقتناء مصرف.

2. 2 مزودي الخدمة

عادة مستويات 2 ؛ بالنسبة للمستوى 1 (حجم كبير/دور حاسم في السلسلة)، هناك حاجة إلى منسق حقوق الملكية من QSA، للمستوى 2 - SAQ-D SP (أحيانًا - ROC بناءً على طلب الأطراف/المخططات). في iGaming، العديد من شركاء PSPs/البوابات/الاستضافة هم SP Level 1.

3) SAQ vs ROC: كيفية الاختيار

• SAQ A - إعادة توجيه/iframe/الحقول المستضافة فقط ؛ لا توجد معالجات/نقل/تخزين للبطاقات معك.
• SAQ A-EP هي التجارة الإلكترونية، حيث يؤثر موقعك على أمان صفحة الدفع (على سبيل المثال، نصوص المضيفين)، ولكن يتم تقديم PAN في بيئة المزود.
• SAQ B/B-IP - محطات طرفية/مطابع بدون تخزين إلكتروني ؛ B-IP - المحطات الطرفية المتصلة.
• SAQ C-VT/C - محطات طرفية افتراضية/بيئة معالجة صغيرة، لا تخزين.
• SAQ P2PE ليس سوى حل P2PE معتمد من PCI.
• SAQ D (Merchant/Service Provider) - خيار «واسع» لأي معالجة/نقل/تخزين، تكامل مخصص، منظم، إلخ.

ممارسة iGaming: المسار المستهدف هو SAQ A/A-EP بسبب التدفقات الآمنة لـ PAN والرمز والحقول المستضافة. إذا كان لديك خدمات الدفع الخاصة بك/والت - عادةً SAQ D أو ROC.

4) تحديد النطاق: ما يدخل في CDE وكيفية تضييقه

CDE (Cardholder Data Environment) - النظم التي تتم فيها معالجة/تخزين/إرسال بيانات البطاقات، وجميع القطاعات المتصلة/المؤثرة.

• الحقول المستضافة/iframe/TSP - أدخل PAN خارج نطاقك.
• الرموز الرمزية ورموز الشبكة: تعمل خدماتك على الرموز وليس PAN.
• P2PE: التشفير من طرف إلى طرف بحل معتمد.
• تقسيم الشبكة: الرباط الصليبي الأمامي الصلب، وعزل CDE عن بقية البيئة.
• إلزامية DLP وإخفاء السجل، وحظر المقالب مع PAN/CVV.

في v4. 0 زيادة مرونة أساليب تحقيق الأهداف، ولكن الأدلة على الفعالية وتحليل المخاطر المستهدف إلزامية.

5) متطلبات PCI DSS v4 "12. "0 (بمعنى الكتل)

1. أمن الشبكة وتجزئتها (جدران الحماية، الرباط الصليبي الأمامي، عزل CDE).
2. تكوين مضيف/جهاز آمن (تصلب، خطوط أساس).
3. حماية بيانات حامل البطاقة (تخزين PAN - فقط إذا لزم الأمر، التشفير القوي).
4. حماية البيانات أثناء الإرسال (TLS 1. 2 + ومكافئات).
5. مكافحة الفيروسات/مكافحة البرامج الضارة والتحكم في النزاهة.
6. التطوير والتعديل الآمن (SDLC، SAST/DAST، مراقبة المكتبة).
7. الوصول حسب الحاجة (أقل امتياز، RBAC).
8. تحديد الهوية والمصادقة (MFA للدخول عن بعد والإدارة، كلمات المرور v4. 0).
9. الأمن المادي (مراكز البيانات والمكاتب والمحطات الطرفية).
10. قطع الأشجار ورصدها (مركزية جذوع الأشجار، عدم قابليتها للتغيير، التنبيهات).
11. اختبار السلامة (مسح ASV ربع سنوي، خماسي سنويًا وبعد التغييرات، اختبار التجزئة).
12. السياسات وإدارة المخاطر (الإجراءات، والتدريب، والاستجابة للحوادث، وتقييم المخاطر، ووثائق «النهج المخصص»).

6) الأنشطة الإلزامية وتواترها

مسح ASV (خارجي) - ربع سنوي وبعد تغييرات كبيرة.
نقاط الضعف/الترقيع - دورات منتظمة (الترددات تبررها هيئة تنظيم الاتصالات - تحليل المخاطر المستهدف).
اختبارات الاختراق (الداخلية/الخارجية) - سنويا وبعد تغييرات كبيرة ؛ فحص التجزئة إلزامي.
الجذوع والرصد - باستمرار، مع الاحتفاظ والحماية من التعديلات.
تدريب الموظفين - عند التوظيف ثم بانتظام.
MFA - لجميع الإداريين والوصول عن بُعد إلى CDE.
جرد النظم/تدفقات البيانات - التحديث المستمر.

7) مصفوفة اختيار SAQ (قصيرة)

فقط iframe/إعادة التوجيه، بدون PAN أنت → SAQ A.
التجارة الإلكترونية، موقعك يؤثر على صفحة الدفع → SAQ A-EP.
محطات طرفية/مطبوعات → SAQ B/B-IP.
محطة افتراضية → SAQ C-VT.
شبكة «بطاقة» صغيرة بدون تخزين → SAQ C.
P2PE الحل → SAQ P2PE.
أخرى/معقدة/تخزين/معالجة → SAQ D (أو ROC).

8) القطع الأثرية والأدلة لمراجعة الحسابات

• رسوم بيانية للشبكات وتدفق البيانات، وسجل الأصول، وسجل البائعين، وسجل المحاسبة/الوصول.
• السياسات/الإجراءات: التطوير الآمن، وإدارة التغيير، وقطع الأشجار، والحوادث، ونقاط الضعف، والمفاتيح/التشفير، والوصول عن بعد، والنسخ الاحتياطية.
• التقارير: ASV، pentests (التجزئة شاملة)، فحوصات الضعف، نتائج التصحيح.
• السجلات/التنبيهات: النظام المركزي، الثبات، تحليل الحوادث.
• إدارة التشفير: إجراءات KMS/HSM، التناوب، جرد المفاتيح/الشهادات.
• براهين «النهج المخصص» (إذا تم تطبيقها): أهداف التحكم، والطريقة، ومقاييس الأداء، وتقييم الأداء.
• خطوط المسؤولية من أطراف ثالثة: شركاء لجنة الزراعة (PSP، الاستضافة، CDN، مكافحة الاحتيال)، مصفوفة المسؤولية المشتركة.

9) مشروع الامتثال (خطوة بخطوة)

1. تحليل النسخ والفجوة - تعريف CDE، الأجزاء المجاورة، الفواصل الحالية.
2. المكاسب السريعة: التيار الآمن PAN (iframe/الحقول المستضافة)، الترميز، حظر PAN في جذوع الأشجار، إغلاق نقاط ضعف الكريت «الخارجية».
3. التجزئة والشبكة: عزل CDE، mTLS، جدار الحماية ACL، الوصول الأقل امتيازًا، MFA.
4. إمكانية الملاحظة: قطع الأشجار مركزيا، والاحتفاظ/سلسلة الحراسة، والإنذارات.
5. إدارة الضعف والرموز: SAST/DAST، الرقع، SBOM، مراقبة التبعية.
6. الاختبارات: فحوصات ASV، اختبارات الاختراق الداخلية/الخارجية، فحص التجزئة.
7. الوثائق والتدريب: الإجراءات، وكتب اللعب، والتدريب، وسجلات التدريب.
8. اختيار استمارة التصديق: SAQ (النوع) أو ROC ؛ للاتفاق مع المشتري/العلامات التجارية.
9. الدورة السنوية: الدعم، والأدلة، واستعراض المخاطر/الترددات، وإعادة الاستخدام.

10) التكامل مع بنية iGaming

لا يعمل منظم الدفع إلا بالرموز ؛ لا يستطيع PAN الرؤية.
تعدد سياسات القطاع العام: الفحوص الصحية، التوجيه الذكي، الخصوصية، ретраи ؛ AoC من كل PSP.
حافلة مدفوعة بالحدث/DWH: لا PAN/CVV ؛ وإخفاء آخر 4 أرقام ؛ بوابات DLP في CI/CD.
الشيكات 3DS/SCA: تخزين القطع الأثرية اللازمة فقط (معرفات المعاملات)، بدون بيانات حساسة.

11) الأخطاء المتكررة

PAN/CVV قطع الأشجار والأقنعة غير الصالحة.
توجيه PAN «المؤقت» عبر واجهات برمجة التطبيقات/الحافلات الداخلية.
عدم وجود اختبار تجزئة خماسي.
تواتر غير معقول للإجراءات (لا وجود لـ TRA بواسطة v4. 0).
الاعتماد على PSP واحد بدون AoC وبدون احتياطي.
شرائح «مؤثرة» غير محسوبة (مضيفو القفز الإداري، المراقبة، النسخ الاحتياطية).

12) قائمة مراجعة البداية السريعة (iGaming)

• الذهاب إلى الحقول المستضافة/الإطار ؛ قم بإزالة مدخلات PAN من نماذجك.
• تمكين الرموز الرمزية/الشبكة ؛ من الأحداث/السجلات.
• إجراء نسخ CDE وعزل القطاعات (MFA، RBAC، mTLS).
• وضع سجلات وتنبيهات مركزية (عدم قابلية التغيير والاحتفاظ).
• قم بتشغيل فحوصات ASV، وقم بإزالة الحرجة/العالية.
• إجراء اختبارات الاختراق (الداخلية/الخارجية) + اختبار التجزئة.
• إعداد السياسات/الإجراءات وأدلة التنفيذ.
• الموافقة على استمارة التأهيل مع المستحوذ (نوع SAQ/ROC).
• الحصول على AoC وتخزينه لجميع بائعي Crete.
• دمج ضوابط PCI في دورة الإصدار (SDLC، تصلب IaC، DLP في CI/CD).

13) الأسئلة الشائعة قصيرة

هل أحتاج إلى وكالة الأمن القومي ؟ من أجل ROC، نعم. غالبًا ما يكون التصديق الذاتي كافيًا لـ SAQ، لكن العديد من المستحوذين/العلامات التجارية قد يحتاجون إلى شريك QSA/ASV.
إذا لم نخزن PAN ؟ لا يزال يندرج تحت PCI DSS إذا قبلت البطاقات. يهدف إلى تحقيق النهج الاستراتيجي A/A-EP.
هل 3DS تحل PCI ؟ لا ، ليس كذلك 3DS - حول التوثيق ؛ PCI - حول حماية البيانات.
هل TLS كافية ؟ لا ، ليس كذلك هناك حاجة إلى جميع المتطلبات v4 ذات الصلة. 0، بما في ذلك العمليات والأدلة.

14) موجز

بالنسبة إلى iGaming، تتمثل الإستراتيجية المثلى في تقليل النطاق (آمن PAN، وترميز، وحقول مستضافة، P2PE حيثما أمكن ذلك)، والقطاع الصلب CDE، وأتمتة اختبارات التسجيل/نقاط الضعف/الاختراق، وجمع حزمة كاملة من القطع الأثرية واختيار الشكل الصحيح من التأكيد (SAQ أو ROC) على مستواك. هذا يقلل من المخاطر، ويسرع التكامل مع PSP، ويحافظ على استقرار التحويل وتحقيق الدخل أثناء تلبية متطلبات العلامة التجارية للبطاقات.