GH GambleHub

PCI DSS: səviyyələri və uyğunluq

1) PCI DSS nədir və kimə lazımdır

PCI DSS (Payment Card Industry Data Security Standard) - ödəniş kartları təhlükəsizliyinin sənaye standartıdır (Visa, Mastercard, AmEx, Discover, JCB). iGaming üçün bu tələb olunur, əgər:
  • kart ödənişlərini qəbul edirsiniz (birbaşa və ya PSP/şlyuz vasitəsilə),
  • kart məlumatlarını (PAN, müddət, CVV) və ya onların qısaldılmış/şifrələnmiş formalarını emal edin/saxlayın/ötürün,
  • kart məlumatlarının təhlükəsizliyinə təsir edə bilsəniz, digər satıcılar üçün xidmət provayderisiniz (hosting, prosessinq, anti-frod, ödəniş orkestri və s.).

Versiyası və vaxtı: cari versiyası - PCI DSS v4. 0. v3 tələbləri. 2. 1 istifadədən çıxarıldı; «future-dated» bəndləri v4. 0 indi fəaliyyət göstərir. v4 yeni. 0: gücləndirilmiş MFA, «Xüsusi Approach», məqsədyönlü prosedur riskinin təhlili, seqmentasiya və şifrələmə üzrə dəqiqləşdirmələr.

2) Uyğunluq səviyyələri: satıcılar və xidmət provayderləri

2. 1 Merchants (tacirlər)

Səviyyə kart əməliyyatlarının illik həcmi (bütün kanallar) və/və ya kompromasiya hadisələri ilə müəyyən edilir. Tipik model (ən böyük ödəniş sxemləri üzrə):
  • Level 1:> 6 milyon əməliyyat/il və ya kompromasiya oldu. Razılaşma zamanı QSA-dan illik ROC (Report on Compliance) və ya daxili ISA, + rüblük ASV skanları tələb olunur.
  • Level 2: ~ 1-6 milyon/il. Adətən - SAQ (özünü qiymətləndirmə) + ASV skanları; bəzi sxemlər/ekvayerlər ROC tələb edə bilər.
  • Level 3: ~ 20k-1 milyon e-ticarət/il. Adətən - SAQ + ASV skanları.
  • Level 4: L3 astanasından aşağıda. SAQ; tələblər ekvayer bankı ilə dəyişə bilər.
💡 Qeyd: Dəqiq eşik və təsdiq formaları kart markaları və ekvayerinizi təyin edir; onların siyasətini yoxlayın.

2. 2 Xidmət Provayderləri

Adətən 2 səviyyə; Level 1 üçün (böyük həcm/zəncirdə kritik rol) QSA-dan ROC tələb olunur, Level 2 üçün - SAQ-D SP (bəzən - kontragentlərin/sxemlərin tələbi ilə ROC). iGaming bir çox PSP/şlyuzlar/hosting tərəfdaşları - SP Level 1.

3) SAQ vs ROC: necə seçmək olar

ROC L1 satıcıları və SP L1 üçün tələb olunur. Digər hallarda - SAQ biri:
  • SAQ A - yalnız redirect/iframe/hosted fields; kartlarınızın emalı/ötürülməsi/saxlanması yoxdur.
  • SAQ A-EP - saytınızın ödəniş səhifəsinin təhlükəsizliyinə təsir etdiyi e-ticarət (məsələn, hostit skriptləri), lakin PAN provayder mühitində daxil edilir.
  • SAQ B/B-IP - elektron saxlama olmadan terminallar/imprinterlər; B-IP - bağlı terminallar.
  • SAQ C-VT/C - virtual terminallar/kiçik emal mühiti, saxlama olmadan.
  • SAQ P2PE yalnız PCI sertifikatlı P2PE həllidir.
  • SAQ D (Merchant/Service Provider) - hər hansı bir emal/ötürmə/saxlama, xüsusi inteqrasiya, orkestrator və s.

iGaming üçün təcrübə: hədəf yolu - PAN-safe axınları, tokenizasiya və hosted sahələri ilə SAQ A/A-EP. Öz ödəniş xidmətləriniz varsa/valt - adətən SAQ D və ya ROC.

4) Skoping: CDE-yə nə daxildir və onu necə daraltmaq olar

CDE (Cardholder Data Environment) - kart məlumatlarının emal edildiyi/saxlandığı/ötürüldüyü sistemlər və bütün birləşdirilmiş/təsirli seqmentlər.

Yığımın azaldılması:
  • Hosted fields/iframe/TSP: Domain xaricində PAN daxil.
  • Tokenizasiya və network tokens: Xidmətləriniz PAN deyil, tokenlərlə işləyir.
  • P2PE: sertifikatlı həll ilə «end-end» şifrələmə.
  • Şəbəkə seqmentasiyası: sərt ACL, CDE-nin qalan mühitdən təcrid edilməsi.
  • Məcburi DLP və log maskalanması, PAN/CVV ilə damperlərin qadağan edilməsi.

V 4. 0 məqsədlərə nail olmaq üçün metodların çevikliyi əlavə edilmişdir, lakin effektivliyin sübutları və hədəflənmiş risk analizi tələb olunur.

5) «12 tələb» PCI DSS v4. 0 (semantik bloklar)

1. Şəbəkə qorunması və seqmentasiya (firewall, ACL, CDE izolyasiyası).
2. Təhlükəsiz host/cihaz konfiqurasiyası (hardning, baza xətləri).
3. Kart sahiblərinin məlumatlarının qorunması (PAN saxlama - yalnız lazım olduqda, güclü kriptoqrafiya).
4. Ötürmə zamanı məlumatların qorunması (TLS 1. 2 + və ekvivalentlər).
5. Antivirus/anti-malware və bütövlük nəzarəti.
6. Təhlükəsiz inkişaf və dəyişiklik (SDLC, SAST/DAST, kitabxana nəzarəti).
7. Lazım olduqda giriş (least privilege, RBAC).
8. Identifikasiya və autentifikasiya (administrativ və uzaqdan giriş üçün MFA, şifrələr v4. 0).
9. Fiziki təhlükəsizlik (məlumat mərkəzləri, ofislər, terminallar).
10. Log və monitorinq (log mərkəzləşdirilməsi, dəyişməzlik, alertlər).
11. Təhlükəsizlik testi (ASV-skan rüblük, pentestalar hər il və dəyişikliklərdən sonra, seqmentasiya testi).
12. Siyasət və risklərin idarə edilməsi (prosedurlar, təlim, insident-respons, risk qiymətləndirmələri, «Xüsusi Approach» sənədləri).

6) Məcburi fəaliyyət və dövrilik

ASV (xarici) - rüblük və əhəmiyyətli dəyişikliklərdən sonra.
Boşluqlar/yamalar - müntəzəm dövrlər (tezliklər TRA tərəfindən əsaslandırılır - targeted risk analysis).
Pentestalar (daxili/xarici) - hər il və əhəmiyyətli dəyişikliklərdən sonra; segmentasiya yoxlama tələb olunur.
Jurnallar və monitorinqlər - davamlı, retensiya və modifikasiyadan qorunma ilə.
Kadr hazırlığı - işə qəbul zamanı və daha mütəmadi olaraq.
MFA - CDE-yə bütün inzibati və uzaqdan giriş üçün.
Sistemlərin/məlumat axınlarının inventarı - daim yenilənir.

7) SAQ seçim matrisi (qısa)

Yalnız iframe/redirect, PAN olmadan → SAQ A.
E-ticarət, saytınız ödəniş səhifəsinə təsir edir → SAQ A-EP.
Terminallar/imprinterlər → SAQ B/B-IP.
Virtual terminal → SAQ C-VT.
Saxlama olmadan kiçik «kart» şəbəkəsi → SAQ C.
P2PE həll → SAQ P2PE.
Digər/mürəkkəb/saxlama/emal → SAQ D (və ya ROC).

8) Audit üçün artefaktlar və sübutlar

Hazırlayın və saxlayın:
  • Şəbəkə və məlumat axını diaqramları, aktivlər reyestri, təchizatçılar reyestri, hesablar/girişlər reyestri.
  • Siyasətlər/prosedurlar: təhlükəsiz inkişaf, dəyişikliklərin idarə edilməsi, loging, insidentlər, zəifliklər, açarlar/kriptolar, uzaqdan giriş, ehtiyat.
  • Hesabatlar: ASV, pentestlər (seqmentasiya daxil olmaqla), zəiflik skanerləri, düzəlişlərin nəticələri.
  • Jurnallar/alertlər: mərkəzləşdirilmiş sistem, dəyişməzlik, hadisələrin təhlili.
  • Kriptovalyutası: KMS/HSM prosedurları, rotasiyalar, açar/sertifikatların inventarı.
  • «Xüsusi Approach» sübut (tətbiq edildikdə): nəzarət məqsədləri, metod, effektivlik metrikası, TRA.
  • Üçüncü tərəflərin məsuliyyət konturları: AoC partnyorları (PSP, hosting, CDN, anti-frod), Şəred Responsibility matrisi.

9) Uyğunluğun əldə edilməsi layihəsi (addım-addım)

1. Skopinq və GAP analizi: CDE, əlaqəli seqmentləri, cari boşluqları müəyyən edin.
2. Sürətli uduşlar: PAN-safe axını (iframe/hosted fields), tokenizasiya, PAN-ın girişdə qadağan edilməsi, «xarici» krit zəifliklərini bağlamaq.
3. Seqmentasiya və şəbəkə: CDE izolyasiya, mTLS, firewall-ACL, least-privilege, MFA.
4. Müşahidə: mərkəzləşdirilmiş loginq, retensiya/təhlükəsizlik zənciri, alertlər.
5. Boşluqların və kodun idarə edilməsi: SAST/DAST, yamalar, SBOM, asılılıq nəzarəti.
6. Testlər: ASV skan, daxili/xarici pentests, seqmentasiya testi.
7. Sənədlər və təlimlər: prosedurlar, IR pleybukları, təlimlər, təlimlərin qeydləri.
8. Attestasiya formasının seçimi: SAQ (tip) və ya ROC; ekvayer/brendlərlə razılaşdırın.
9. İllik dövr: dəstək, sübut, risklərin/tezliklərin yenidən baxılması, keçid.

10) iGaming arxitekturası ilə inteqrasiya

Ödəniş orkestratoru yalnız tokenlərlə işləyir; PAN görmür.
Multi-PSP: health-checks, smart-routing, idempotency, ретраи; Hər PSP-dən AoC.
Event-driven şin/DWH: PAN/CVV yoxdur; son 4 rəqəmin maskalanması; CI/CD-də DLP geytaları.
3DS/SCA çekləri: həssas məlumatlar olmadan yalnız zəruri artefaktları (əməliyyat identifikatorları) saxlayın.

11) Tez-tez səhvlər

PAN/CVV log və qeyri-sabit maskalar.
Daxili API/şinlər vasitəsilə «müvəqqəti» PAN döşəmə.
Pentest zamanı seqmentasiya testinin olmaması.
Prosedurların əsassız tezliyi (v4 TRA yoxdur. 0).
AoC olmadan və fallback olmadan bir PSP asılılığı.
Nəzərə alınmayan «nüfuzlu» seqmentlər (admin-jump-hosts, monitorinq, backup).

12) Sürətli başlanğıc çek siyahısı (iGaming)

  • hosted fields/iframe; PAN girişini formalarınızdan çıxarın.
  • Tokenizasiya/şəbəkə tokenlərini daxil edin; PAN-ı hadisə/loqlardan çıxarmaq.
  • CDE və seqment izolyasiyası (MFA, RBAC, mTLS).
  • Mərkəzləşdirilmiş log və alertlər (dəyişməzlik, retensiya).
  • ASV taramaları çalıştırmaq, kritik/yüksək aradan qaldırılması.
  • Pentestalar (daxili/xarici) + seqmentasiya testi.
  • Siyasət/prosedurlar və icra sübut hazırlamaq.
  • Ekvayer (SAQ növü/ROC) ilə sertifikatlaşdırma formasını razılaşdırın.
  • Bütün krit təchizatçıları AoC almaq və saxlamaq.
  • PCI nəzarətlərini buraxılış dövrünə inteqrasiya edin (SDLC, IaC-hardning, CI/CD-də DLP).

13) FAQ qısa

QSA lazımdır? ROC üçün - bəli. SAQ üçün tez-tez özünü sertifikatlaşdırma kifayətdir, lakin bir çox ekvayer/marka QSA/ASV tərəfdaşı tələb edə bilər.
PAN saxlamırıqsa? Kartları qəbul edirsinizsə, yenə də PCI DSS-ə tabe olursunuz. SAQ A/A-EP əldə etməyə çalışın.
3DS PCI həll edir? Yox. 3DS - identifikasiya haqqında; PCI - məlumatların qorunması haqqında.
Kifayət qədər TLS? Yox. Bütün müvafiq v4 tələbləri lazımdır. 0, o cümlədən proseslər və sübutlar.

14) Xülasə

iGaming üçün optimal strategiya - skopu minimuma endirmək (PAN-safe, tokenizasiya, hosted fields, mümkün olan yerdə P2PE), ciddi CDE seqmentləşdirmək, log/boşluqları/pentestləri avtomatlaşdırmaq, artefaktların tam paketini toplamaq və səviyyənizə uyğun düzgün təsdiq formasını (SAQ və ya ROC) seçməkdir. Bu riski azaldır, PSP ilə inteqrasiyanı sürətləndirir və kart markalarının tələblərinə uyğun olaraq sabit dönüşüm və monetizasiyanı dəstəkləyir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.