PCI DSS:控制和认证
1) PCI DSS是什么,为什么它对iGaming很重要
PCI DSS是支付卡行业的安全标准(Visa/Mastercard/Amex/Discover/JCB)。对于iGaming运营商,它定义了卡持有者数据保护(CHD)的技术和组织措施,包括PAN和敏感身份验证(SAD)数据。不匹配可能会受到罚款,银行间关税增加,商户召回和声誉损害的威胁。
2)认证角色、级别和类型
角色角色
商人(商人):接受玩家的卡片。
Service Provider:处理/托管/存储CHD for merchants(包括托管、支付平台、令牌化)。
级别(高水平)
商人级别1-4:按年度交易;Level 1通常需要QSA的ROC(合规报告)。
服务提供商级别1-2:级别1是强制性的ROC。
评估格式
ROC+AOC:完整的审计员报告(QSA/ISA)。
SAQ:一种类型的自我评估(见下文),加上外部ASV扫描。
3)区域(Scope)和CDE: 如何缩小和管理范围
CDE (Cardholder Data Environment)-存储、处理或传输CHD/SAD的任何系统/网络/进程。
最小化策略
1.Redirect/Hosted Payment Page (HPP):在PSP → SAQ A(最小scope)侧的形状。
2.Direct Post/JS+您的页面(A-EP):您的页面影响收集的安全性→ SAQ A-EP(更宽)。
3.令牌化:将PAN换成PSP令牌/您的令牌华尔特;PAN不储存在你身上。
4.网络分割:隔离CDE (VLAN/firvols/ACL),最大限度地减少流量。
5."无存储"政策:不存储PAN/SAD;例外-严格证明是合理的。
4) SAQ类型(摘要)
5) PCI DSS v4.0: 关键主题
Customized Approach:允许在已证明的对等性(计划、TRA、测试理由)下进行替代控制。
目标风险分析(TRA):针对"灵活"要求(过程频率,监视)的点风险分析。
身份验证:用于管理和远程访问的MFA;强密码/pasphrases;锁定/定时。
漏洞和斑点:定期扫描(内部/外部),季度ASV,每年和经过重大更改的五旬节。
加密:在运输(TLS 1.2+) и at rest;密钥管理(KMS/HSM),轮换,角色划分。
博客和监控:集中化博客、变更保护(WORM/签名),每日安全事件概述。
分段/faervols/WAF:形式规则,评论,记录的拓扑。
SDLC/更改:dev/test/prod分开,SAST/DAST/dependency扫描,秘密管理。
事件:正式IRP,演习,角色和联系人名单,与PSP/收购银行的互动。
6)地图数据: 可能/不可能
CHD: PAN(+-.名称,期限,服务代码)。
SAD(授权后禁止存储):CVV/CVC,完整的磁轨,PIN单元。
掩码:使用掩码显示PAN(通常是前6名和最后4名)。
令牌/存储:如果您存储PAN →加密、需要知道访问、密钥分开、硬日志。
7)控制域(实用支票清单)
1.CDE细分-单独的子网,deny-by-default,egress控制。
2.资产清单-CDE中的所有系统和相关系统。
3.Hardning-安全的configs、默认关闭、基本标准。
4.漏洞/修补程序-进程、SLA、部署确认。
5.日志化-时间同步、集中式日志、WORM/签名。
6.可用性-RBAC/ABAC, MFA, SoD, JIT/PAM,离岸≤ 15分钟。
7.密码学是TLS,KMS/HSM,轮换,分离的crypto-custodians角色。
8.开发-SAST/DAST/DS/IaC,秘密扫描,管道签名。
9.ASV扫描-季度和更改后,"通行证"状态存储。
10.五角星-外部/内部。网络,至少每年。
11.IR计划是演习,带有PSP/收购者的战争室,时间线。
12.培训-网络钓鱼,安全编码,PCI宣传角色。
13.文件/程序-PAN存储/删除策略,出口日志。
8)与PSP/供应商互动
合同:可用性/安全性SLA,DPIA/TPRM,审计权,事件通知≤ 72小时。
技术集成:TLS的NRR/redirects,签名的webhooks,KMS中的mTLS/密钥。
季度监控:PSP报告(Attestation,证书),ASV/Pentest摘录,SDK更改。
9)合规性文件
ROC (Compliance报告):完整的QSA报告。
AOC(合规性):合规性确认(ROC/SAQ附录)。
SAQ:选定的自我评估类型(A, A-EP, D等)。
ASV报告:由认证提供商进行外部扫描。
政策/程序:版本,所有者,更改日志。
证据:网络电路,WORM逻辑,测试结果,滴答声。
10)角色和RACI
11)度量(KPI/KRI)
ASV通行费率:100%季度报告为"通行证"。
Patch SLA High/Critical:按时≥ 95%。
Pentest Findings Closure: ≥ 95%的High在30天≤关闭。
MFA Coverage admins:100%。
Log Integrity: 100%使用WORM/签名的关键系统。
Scope Reduction:通过重新分配/令牌化支付的份额≥ 99%。
事件:PCI事件及时-100%。
12)路线图(SAQ/ROC之前8-12周)
第1周至第2周:选择付款接收模式(IWR/令牌化),CDE映射,网络电路,分段计划,SAQ/ROC选择。
第3周至第4周:硬盘,MFA,WORM日志,SDLC扫描,密钥/KMS,PAN存储策略(默认情况下不存储)。
5-6周:ASV-scan#1,更正;pentest(web/网络/webhooks),带有PSP的IR教学,文档最终化。
第7至第8周:SAQ填写或审计QSA(阶段访谈,样本),发现关闭,AOC/ROC准备。
第9-12周(opz。):"Customized Approach"和TRA,分段优化,KPI/KRI行列板集成。
13)支票单
在开始接受卡之前
- Redirect/iframe PSP或令牌化设置
- CDE细分,deny-by-default,WAF
- 管理层的MFA/IGA/JIT/PAM
- Logi(WORM,签名,NTP)和dashbords
- ASV扫描通过,五角星关闭
- IR计划和PSP/银行联系人
用于年度认证
- 更新了CDE中的模式和系统列表
- 通过了4个季度ASV,保留了"通行证"
- Pentest ≤ 12 Ms。和更改后
- 政策/程序相关,版本/所有者
- 填满SAQ/收到 ROC,AOC发出
14)常见错误以及如何避免错误
在没有适当保护的情况下在其页面上收集PAN → SAQ A-EP/D。使用PSP的HPP/iframe。
不受更改保护的日志。启用WORM/签名和每日概述。
没有细分-"CDE中的整个网络"。严格隔离支付电路。
CVV/SAD存储。授权后禁止。
不完整的ASV/五足动物。更改后完成并存储报告/重新编辑。
15)与维基的其余部分集成
相关页面:密码策略和MFA,RBAC/Least特权,博客策略,事件和泄漏,TPRM和SLA,ISO 27001/27701,SOC 2-用于控制映射和一组事件。
TL;DR
PCI DSS v4的成功。0=最小scope (CHR/令牌化)+严格的CDE+MFA/WORM/加密/KMS+ASV分段,每季和每年pentest+完成的SAQ/ROC/AOC文档。这降低了审计成本,加快了与PSP的集成,并使支付回路可以证明是安全的。