PCI DSS：级别和合规性

1） PCI DSS是什么以及谁需要它

• 接受卡付款（直接或通过PSP/网关），
• 处理/存储/传输卡片数据（PAN，期限，CVV）或其缩短/加密表格，
• 如果您可以影响卡数据的安全性，则是其他购买者（托管，处理，反欺诈组织，支付编排等）的服务提供商。

版本和时间：最新版本是PCI DSS v4。0.要求v3。2.1已停用；"future-dated" v4段。0现在生效。v4中的新功能。0：增强的MFA，"Customized Approach"，针对过程频率的风险分析，细分和加密的改进。

2）合规级别： 商户和服务提供商

2.1商人（商人）

• Level 1：>600万笔交易/年或受到损害。在协商时，需要来自QSA或内部ISA的年度ROC（合规报告），+季度ASV扫描。
• 2级：~ 1-6百万/年。通常-SAQ（自我评估）+ASV扫描；某些电路/收购商可能需要ROC。
• Level 3： ~ 20k-100万电子商务/年。通常是SAQ+ASV扫描。
• 4级：低于L3阈值。SAQ;要求可能因收购银行而异。

2.2服务提供商（服务提供商）

通常是2级；QSA的ROC要求Level 1（链条中的主要体积/关键角色），Level 2要求SAQ-D SP（有时是交易对手/方案要求的ROC）。在iGaming中，许多PSP/网关/托管合作伙伴是 SP Level 1。

3）SAQ vs ROC： 如何选择

• SAQ A-仅限redirect/iframe/hosted fields；您没有卡的处理/传输/存储。
• SAQ A-EP是一种电子商务,您的网站会影响支付页面的安全性（例如脚本主机）,但PAN会在提供商环境中输入。
• SAQ B/B-IP-无电子存储终端/印记器；B-IP-连接的终端。
• SAQ C-VT/C-虚拟终端/小型处理环境,无存储。
• SAQ P2PE只是PCI认证的P2PE解决方桉。
• SAQ D（商人/服务提供商）是任何处理/传输/存储，定制集成，编排器等的"广泛"变体。

iGaming的实践：目标路径是SAQ A/A-EP，费用为PAN安全流，令牌化和主机字段。如果您拥有自己的支付服务/华尔特-通常是SAQ D或ROC。

4） Scoping： CDE中包含的内容以及如何缩小范围

CDE（Cardholder数据环境）是处理/存储/传输卡数据以及所有连接/有影响力的细分市场的系统。

• 主机fields/iframe/TSP：在您的域外输入PAN。
• 令牌化和网络令牌：您的服务使用令牌，而不是PAN。
• P2PE：带有认证解决方桉的端对端加密。
• 网络分割：刚性ACL, CDE与其他环境隔离。
• 强制性DLP和博客伪装，禁用PAN/CVV转储。

在v4中。0增加了实现目标的方法的灵活性，但是必须证明有效性和针对性的风险分析。

5）PCI DSS v4的"12个要求"。0（语义块）

1.网络保护和细分（firvolas，ACL，CDE隔离）。
2.安全的主机/设备配置（硬线、基线）。
3.保护持卡人的数据（PAN存储-仅在需要时，强密码学）。
4.传输数据保护（TLS 1.2+和等效项）。
5.防病毒/防恶意软件和完整性控制。
6.安全开发和修改（SDLC，SAST/DAST，库控制）。
7.根据需要访问（least privilege, RBAC）。

8.身份验证和身份验证（MFA用于管理和远程访问,密码通过v4.0).

9.物理安全（数据中心，办公室，终端）。
10.逻辑和监视（逻辑集中，不变性，异性）。
11.安全测试（每季度ASV扫描，每年和更改后，分段测试）。
12.策略和风险管理（程序，培训，重复事件，风险评估，"定制Approach"文件）。

6）强制性活动和频率

ASV扫描（外部）-季度和经过重大更改。
漏洞/修补程序-常规循环（频率由TRA-目标风险分析确定）。
五旬节（内部/外部）-每年和经过重大变化；分段检查是强制性的。
日志和监控-不间断,具有修饰和保护。
员工培训-在招聘和继续定期。
IPA-用于所有Admin和远程CDE访问。
系统/数据流清单-不断更新。

7）SAQ选择矩阵（简称）

只有iframe/redirect，没有PAN，您→ SAQ A。
电子商务，您的网站影响SAQ A-EP →付款页面。
终端/印记器→ SAQ B/B-IP。
虚拟终端→ SAQ C-VT。
无存储的小型"卡"网络→ SAQ C。
P2PE解决方桉→ SAQ P2PE。
其他/复杂/存储/处理→ SAQ D（或ROC）。

8）要审核的文物和证据

• 网络和数据流图，资产注册表，供应商注册表，帐户/访问注册表。
• 策略/过程：安全设计、变更管理、编写、事件、漏洞、密钥/加密、远程访问、备份。
• 报告：ASV、pentests（包括分割）、漏洞扫描、修正结果。
• 期刊/警报：集中系统,不变性,事件处理.
• 加密管理：KMS/HSM程序，轮换，密钥库存/证书。
• "Customized Approach"证明（如果适用）：控制目标，方法，绩效指标，TRA。
• 来自第三方的责任轮廓：合作伙伴的AoC（PSP，托管，CDN，反兄弟），共享响应矩阵。

9）合规项目（逐步）

1.复制和GAP分析：定义CDE，相邻段，当前不连续性。
2.快速赢得：PAN安全流（iframe/hosted fields），标记化，PAN禁令，关闭"外部"crit漏洞。
3.细分和网络：隔离CDE、mTLS、firewall-ACL、least-privilege、MFA访问。
4.可观察性：集中编制，撤回/保护链，异物。
5.漏洞和代码管理：SAST/DAST，修补程序，SBOM，依赖性控制。
6.测试：ASV扫描，内部/外部pentests，分段检查。
7.论文和培训：程序，IR花花公子，培训，学习记录。
8.认证表格的选择：SAQ（类型）或ROC；与购买者/品牌保持一致。
9.年度周期：支持，证据，风险/频率修订，重新分配。

10）与iGaming体系结构集成

支付编排器仅使用令牌；PAN看不到。
Multi-PSP: health-checks, smart-routing, idempotency, ретраи;每个PSP的AoC。
事件驱动总线/DWH：无PAN/CVV；掩盖最后4个数字；CI/CD中的DLP门。
3DS/SCA支票：仅存储必需的工件（事务ID），而无需敏感数据。

11）常见错误

PAN/CVV逻辑和非验证掩码。
"临时"PAN通过内部API/总线铺设。
Penteste缺乏分割测试。

程序不合理的频率（v4上没有TRA。0).

依赖一个没有AoC且没有倒退的PSP。
未记录的"有影响力"细分（admin-jump-hosts，监视，备份）。

12）快速启动支票清单（iGaming）

• 去主机场/iframe；从表单中删除PAN输入。
• 启用令牌/网络令牌；从事件/逻辑中排除PAN。
• 进行CDE复制和段隔离（MFA，RBAC，mTLS）。
• 设置集中的日志和Alerta（不可变性、可逆性）。
• 运行ASV扫描,消除关键/高。

［……］进行五次测试（内部/外部）。+分段测试。

• 制订政策/程序和证据。
• 将认证表格与收购方（SAQ 类型/ROC）保持一致。
• 获取和存储所有克里特岛供应商的AoC。
• 在发布周期（SDLC，IaC硬盘，CI/CD中的DLP）中嵌入PCI控制。

13）常见问题解答简短

是否需要QSA?对于ROC，是的。对于SAQ，通常有足够的自我认证，但是许多购买者/品牌可能需要一个QSA/ASV合作伙伴。
如果我们不保留PAN？如果您接受卡,仍然属于PCI DSS。尝试实现SAQ A/A-EP。
3 DS是否解决PCI?没有。3 DS-关于身份验证；PCI-关于数据保护。
足够的TLS？没有。需要所有相关的v4要求。0，包括程序和证据。

14）摘要

对于iGaming，最佳策略是最大程度地减少漏洞（PAN安全性，令牌化，主机场，P2PE可能的情况下），严格细分CDE，自动化识别/漏洞/五重奏，组装完整的工件包，并根据您的级别选择正确的确认表格（SAQ或ROC）。这降低了风险，加快了与PSP的集成，并支持稳定的转换和货币化，同时满足卡品牌的要求。