GH GambleHub

PCI DSS: nəzarət və sertifikatlaşdırma

1) PCI DSS nədir və iGaming üçün niyə vacibdir

PCI DSS - ödəniş kartı sənayesinin təhlükəsizlik standartıdır (Visa/Mastercard/Amex/Discover/JCB). iGaming operatoru üçün PAN və həssas identifikasiya məlumatları (SAD) daxil olmaqla kart sahiblərinin (CHD) məlumatlarının texniki və təşkilati qorunması tədbirlərini müəyyən edir. Uyğunsuzluq cərimələr, artan banklararası tariflər, alış-veriş hesabının ləğvi və reputasiya zərəri ilə təhdid edir.

2) Rolları, səviyyələri və sertifikatlaşdırma növü

Rollar

Merchant: oyunçulardan kartları qəbul edir.
Service Provider: CHD-ni emal edir/hostit/saxlayır (hosting, ödəniş platforması, tokenizasiya daxil olmaqla).

Səviyyələr (high level)

1-4 merchant səviyyələri: illik əməliyyatlar üzrə; Level 1 adətən QSA-dan ROC (Report on Compliance) tələb edir.
1-2 xidmət provayderinin səviyyələri: Level 1 - məcburi ROC.

Qiymətləndirmə formatları

ROC + AOC: tam auditor hesabatı (QSA/ISA).
SAQ: növlərdən birinə görə özünü qiymətləndirmə (aşağıya bax), üstəgəl xarici ASV skanı.

3) Sahə (Scope) və CDE: necə daraltmaq və idarə etmək

CDE (Cardholder Data Environment) - CHD/SAD saxlayan, emal edən və ya ötürən hər hansı bir sistem/şəbəkə/prosesdir.

Minimallaşdırma strategiyaları

1. Redirect/Hosted Payment Page (HPP): PSP → SAQ A tərəfində forma (minimum yığım).
2. Direct Post/JS + your page (A-EP): Səhifəniz yığım təhlükəsizliyinə təsir edir → SAQ A-EP (daha geniş).
3. Tokenizasiya: PSP tokeninə PAN mübadiləsi/token valt; PAN saxlanılmır.
4. Şəbəkə seqmentasiyası: CDE-ni (VLAN/firewall/ACL) təcrid edin, trafiki minimuma endirin.
5. «No storage» siyasət: PAN/SAD saxlamaq deyil; istisnalar - ciddi əsaslandırılır.

💡 Qızıl qayda: hər bir PAN baytı audit sahəsinə bir artıdır.

4) SAQ növləri (toplu)

SAQ növüKimə uyğunSahə haqqında qısa
AYalnız redirect/iframe PSP, heç bir CHD varMinimum tələblər (PAN server emalı olmadan)
A-EPWeb səhifəniz CHD yığımına təsir edir (skriptlər, PSP-də yazı)Gücləndirilmiş veb nəzarət
B/B-IPStansiya terminalları/imprinterlərNadir hallarda iGaming üçün
CMüstəqil ödəniş proqramları, məhdud şəbəkəDar hallar
C-VTVirtual terminala əl ilə girişSupport ssenariləri (arzuolunmaz)
P2PESertifikatlaşdırılmış PCI P2PE həlliTətbiq olunarsa
D (Merchant/Service Provider)Hər hansı digər ssenarilər, saxlama/PAN emalıTələblərin tam dəsti

5) PCI DSS v4. 0: əsas mövzular

Customized Approach: Sübut edilmiş ekvivalentlik (plan, TRA, test əsaslandırması) ilə alternativ nəzarətlərə imkan verir.
Hədəflənmiş Risk Analizi (TRA): «çevik» tələblər (proses tezliyi, monitorinq) üçün nöqtəli risk analizi.
Autentifikasiya: inzibati və uzaqdan giriş üçün MFA; güclü parollar/pasfrezlər; bloklama/vaxt.
Boşluqlar və boşluqlar: müntəzəm skanerlər (daxili/xarici), rüblük ASV, pentestlər hər il və əhəmiyyətli dəyişikliklərdən sonra.
Şifrələmə: tranzitdə (TLS 1. 2+) и at rest; açarların idarə edilməsi (KMS/HSM), rotasiya, rolların ayrılması.
Qeydlər və monitorinq: mərkəzləşdirilmiş qeydlər, dəyişikliklərdən qorunma (WORM/imza), təhlükəsizlik hadisələrinin gündəlik icmalı.
Seqmentasiya/Fayllar/WAF: formal qaydalar, review, sənədli topologiyalar.
SDLC/dəyişikliklər: dev/test/prod bölünmüş, SAST/DAST/dependensie-scan, gizli idarəetmə.
Hadisələr: formal IRP, təlimlər, rollar və əlaqə siyahısı, PSP/ekvayer bankı ilə qarşılıqlı əlaqə.

6) Kart məlumatları: nə edilə bilər/edilə bilməz

CHD: PAN (+ boş. adı, müddəti, xidmət kodu).
SAD (avtorizasiyadan sonra saxlamaq qadağandır): CVV/CVC, tam maqnit yolları, PIN blokları.
Maskalanma: Maska ilə PAN ekran (adətən ilk 6 və son 4).
Tokenizasiya/saxlama: PAN saxlayırsınızsa → şifrələmə, Need-to-Know ilə giriş, açarlar ayrıca, sərt jurnallar.

7) Nəzarət domenləri (praktik çek siyahısı)

1. CDE seqmentasiyası - ayrı-ayrı alt şəbəkələr, deny-by-default, egress-nəzarət.
2. Aktivlərin inventarı - CDE və əlaqəli bütün sistemlər.
3. Hardning - təhlükəsiz konfiqlər, default bağlanması, əsas standartlar.
4. Boşluqlar/yamalar - proseslər, SLA, yerləşdirmə təsdiqləri.
5. Jurnallaşdırma - vaxt sinxronizasiyası, mərkəzləşdirilmiş qeydlər, WORM/imzalar.
6. Giriş - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 dəqiqə.
7. Kriptoqrafiya - TLS, KMS/HSM, rotasiya, crypto-custodians ayrı rolları.
8. İnkişaf - SAST/DAST/DS/IaC, gizli skan, pipeline imzalar.
9. ASV taraması - rüblük və dəyişikliklərdən sonra «Pass» statuslarını saxlayın.
10. Pentestalar - xarici/daxili. ən azı hər il.
11. IR planı - təlimlər, PSP/ekvayer ilə war-room, time layns.
12. Təlim - rollar üçün fişinq, secure coding, PCI-awareness.
13. Sənədlər/prosedurlar - PAN saxlama/silmə siyasəti, ixrac jurnalı.

8) PSP/satıcılarla qarşılıqlı əlaqə

Müqavilələr: Əlçatanlıq/Təhlükəsizlik SLA, DPIA/TPRM, Audit Hüququ, Hadisə Bildirişləri ≤ 72 saat

Texniki inteqrasiya: TLS, imzalı vebhuk, mTLS/KMS, rotasiya açarları.
Rüblük monitorinq: PSP hesabatları (sertifikatlar), ASV/pentest ekstraktları, SDK dəyişiklikləri.

9) Uyğunluq sənədləri

ROC (Report on Compliance): tam QSA hesabatı.
AOC (Compliance Attestation): uyğunluq təsdiqi (ROC/SAQ əlavə).
SAQ: seçilmiş özünü qiymətləndirmə növü (A, A-EP, D və s.).
ASV hesabatları: sertifikatlı provayder tərəfindən xarici skan.
Siyasət/prosedurlar: versiyalar, sahibləri, dəyişikliklər jurnalları.
Sübut: şəbəkə sxemləri, WORM qeydləri, test nəticələri, biletlər.

10) Rollar və RACI

AktivlikProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & MemarlıqA/RRRCCCC
Seqmentasiya/Fayllar/WAFCA/RRIICI
Tokenizasiya/redirektA/RRRCCCR
Boşluqlar/yamalarIA/RRIICI
Qeydlər/monitorinqIA/RRCICI
ASV/pentestalarIA/RRIIRI
ROC/SAQ/AOC sənədləriIA/RCIRRI
PCI hadisələriCA/RRIRCC

11) Metriklər (KPI/KRI)

ASV Pass Rate: 100% rüblük hesabatlar - «pass».
Patch SLA High/Critical: vaxtında ≥ 95%.
Pentest Findings Closure: ≥ 95% High 30 gün ≤ bağlıdır.
MFA Coverage admin: 100%.
Log Integrity: 100% WORM/imzalarla kritik sistemlər.
Scope Reduction: redirect/tokenization vasitəsilə ödənişlərin payı ≥ 99%.
Incidents: vaxtında bildiriş ilə PCI hadisələri - 100%.

12) Yol xəritəsi (SAQ/ROC-a qədər 8-12 həftə)

Həftələr 1-2: Ödənişlərin qəbulu modelinin seçimi (NRR/tokenizasiya), CDE kartlaşdırma, şəbəkə sxemi, seqmentasiya planı, SAQ/ROC seçimi.
Həftələr 3-4: hardning, MFA, WORM log, SDLC-scan, açar/KMS, PAN saxlama siyasəti (default - saxlamaq deyil).
5-6 həftələr: ASV-scan # 1, düzəlişlər; pentest (veb/şəbəkə/webhucks), PSP ilə IR təlimi, sənədlərin tamamlanması.
7-8 həftələr: QSA-nın SAQ doldurulması və ya auditi (Stage-intervyu, nümunələr), tapıntıların bağlanması, AOC/ROC hazırlığı.
Həftələr 9-12 (ops.) : «Xüsusi Approach» və TRA, segmentasiya optimallaşdırılması, KPI/KRI dashboard inteqrasiyası.

13) Çek vərəqləri

Kart qəbulu başlamazdan əvvəl

  • PAN/SAD saxlama yolu seçilmişdir
  • Redirect/iframe PSP və ya tokenization özelleştirilmiş
  • CDE seqmentasiyası, deny-by-default, WAF
  • Administratorlar üçün MFA/IGA/JIT/PAM
  • Log (WORM, imzalar, NTP) və Dashboard
  • ASV-scan keçdi, pentest bağlandı
  • IR planı və əlaqə PSP/Bank

İllik attestasiya üçün

  • CDE-də yenilənmiş sxemlər və sistemlərin siyahısı
  • Keçdi 4 rüblük ASV, «pass» saxlanılır
  • Pentest ≤ 12 ay. və sonra dəyişikliklər
  • Siyasətlər/prosedurlar aktualdır, versiyalar/sahiblər
  • SAQ dolduruldu/ROC alındı, AOC tərəfindən verildi

14) Tez-tez səhvlər və onlardan necə qaçmaq olar

Düzgün qorunma olmadan səhifənizdə PAN toplamaq → SAQ A-EP/D. PSP-dən HPP/iframe istifadə edin.
Dəyişmədən qorunma. WORM/imza və gündəlik baxış daxil edin.
Seqmentasiya yoxdur - «bütün şəbəkə CDE-də». Ödəniş dövrəsini ciddi şəkildə təcrid edin.
CVV/SAD saxlama. Avtorizasiyadan sonra qadağandır.
Natamam ASV/pentestalar. Dəyişikliklərdən sonra edin və hesabatları/revediasiyaları saxlayın.

15) Digər wiki bölmələri ilə inteqrasiya

Əlaqəli səhifələr: Parol Siyasəti və MFA, RBAC/Least Privilege, Log Siyasəti, Insidentlər və Sızmalar, TPRM və SLA, ISO 27001/27701, SOC 2 - mapping nəzarət və vahid evidence dəsti üçün.

TL; DR

PCI DSS v4 müvəffəqiyyəti. 0 = minimum coupe (HPP/tokenization) + sərt seqmentasiya CDE + MFA/WORM log/şifrələmə/KMS + ASV rüblük, pentest illik və dəyişikliklərdən sonra + hazır sənədlər SAQ/ROC/AOC. Bu, audit xərclərini azaldır, PSP ilə inteqrasiyanı sürətləndirir və ödəniş dövrünü sübut edilə bilən dərəcədə təhlükəsiz edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.