GH GambleHub

PCI DSS: Kontrolle und Zertifizierung

1) Was ist PCI DSS und warum ist es wichtig für iGaming

PCI DSS ist der Sicherheitsstandard der Zahlungskartenindustrie (Visa/Mastercard/Amex/Discover/JCB). Für den Betreiber iGaming legt er die technischen und organisatorischen Maßnahmen zum Schutz der Karteninhaberdaten (CHD) einschließlich PAN und sensibler Authentifizierungsdaten (SAD) fest. Die Diskrepanz droht mit Strafen, erhöhten Interbankentarifen, dem Widerruf des Merchant-Kontos und Reputationsschäden.

2) Rollen, Ebenen und Art der Zertifizierung

Rollen

Merchant: Akzeptiert Karten von Spielern.
Service Provider: verarbeitet/hostet/speichert CHDs für Händler (einschließlich Hosting, Zahlungsplattform, Tokenisierung).

Ebenen (hohe Ebene)

Merchantstufen 1-4: nach jährlichen Transaktionen; Level 1 erfordert in der Regel einen ROC (Report on Compliance) von QSA.
Service Provider Level 1-2: Level 1 ist ein obligatorischer ROC.

Bewertungsformate

ROC + AOC: Vollständiger Auditorenbericht (QSA/ISA).
SAQ: Selbsteinschätzung nach einem der Typen (siehe unten), plus externer ASV-Scan.

3) Bereich (Umfang) und CDE: wie man eingrenzt und verwaltet

CDE (Cardholder Data Environment) - alle Systeme/Netzwerke/Prozesse, die CHD/SAD speichern, verarbeiten oder übertragen.

Minimierungsstrategien

1. Weiterleitung/Hosted Payment Page (HPP): Formular auf der PSP-Seite → SAQ A (Minimum Scope).
2. Direct Post/JS + your page (A-EP): Ihre Seite beeinflusst die Sicherheit der Sammlung → SAQ A-EP (breiter).
3. Tokenisierung: Tauschen Sie die PAN gegen den PSP-Token/Ihren Token-Walth; Die PAN wird bei Ihnen nicht gespeichert.
4. Netzwerksegmentierung: Isolieren Sie CDE (VLANs/Firewalls/ACLs) und minimieren Sie den Datenverkehr.
5. „Keine Speicherung“ -Richtlinie: PAN/SAD nicht speichern; Ausnahmen sind streng gerechtfertigt.

💡 Die goldene Regel: Jedes Byte PAN ist ein Plus für den Revisionsbereich.

4) SAQ-Typen (zusammengefasst)

SAQ-TypFür wen es sich eignetKurz zum Bereich
ANur Umleitung/iframe PSP, keine CHD haben SieMindestanforderungen (keine PAN-Serververarbeitung)
A-EPIhre Webseite beeinflusst die CHD-Erfassung (Skripte, Post auf PSP)Verstärkte Web-Kontrollen
B/B-IPStationsendgeräte/PrägegeräteSelten für iGaming
CUnabhängige Zahlungsanwendungen, begrenztes NetzwerkSchmale Fälle
C-VTManuelle Eingabe im virtuellen TerminalSupport-Szenarien (unerwünscht)
P2PEZertifizierte Lösung mit PCI P2PEFalls zutreffend
D (Merchant/Service Provider)Sonstige Szenarien, PAN-Speicherung/-VerarbeitungVollständiger Satz von Anforderungen

5) PCI DSS v4. 0: Schlüsselthemen

Kundenspezifischer Ansatz: ermöglicht alternative Kontrollen mit nachgewiesener Gleichwertigkeit (Plan, TRA, Testbegründung).
Targeted Risk Analysis (TRA): Punktgenaue Risikoanalyse für „agile“ Anforderungen (Prozessfrequenzen, Monitoring).
Authentifizierung: MFA für Admin- und Remote-Zugriff; starke Passwörter/Passphrasen; Sperren/Zeitüberschreitungen.
Schwachstellen und Pechs: regelmäßige Scans (intern/extern), vierteljährlicher ASV, Pentests jährlich und nach signifikanten Änderungen.
Verschlüsselung: im Transit (TLS 1. 2+) и at rest; Schlüsselmanagement (KMS/HSM), Rotationen, Rollenteilung.
Protokolle und Überwachung: Zentrale Protokolle, Änderungsschutz (WORM/Signatur), tägliche Überprüfung von Sicherheitsereignissen.
Segmentierung/Firewalls/WAF: formale Regeln, Überprüfung, dokumentierte Topologien.
SDLC/Änderungen: dev/test/prod split, SAST/DAST/dependency scans, secret management.
Vorfälle: formale IRP, Übungen, Rollen und Kontaktliste, Interaktion mit PSP/Acquirer Bank.

6) Kartendaten: Was kann/darf nicht

CHD: PAN (+ neobjas. B. Name, Laufzeit, Service-Code).
SAD (nach Autorisierung nicht speichern): CVV/CVC, komplette Magnetspuren, PIN-Blöcke.
Maskierung: Anzeige der PAN mit Maske (in der Regel die ersten 6 und letzten 4).
Tokenisierung/Speicherung: Wenn Sie PAN → Verschlüsselung, Need-to-Know-Zugriff, Schlüssel separat, starre Protokolle speichern.

7) Kontrolldomänen (praktische Checkliste)

1. CDE-Segmentierung - separate Subnetze, deny-by-default, egress-control.
2. Asset Inventory - Alle Systeme in CDE und verwandt.
3. Hardning - Sichere Configs, Default-Shutdown, grundlegende Standards.
4. Schwachstellen/Patches - Prozesse, SLAs, Bereitstellungsbestätigungen.
5. Logging - Zeitsynchronisation, zentrale Protokolle, WORM/Signaturen.
6. Zugänge - RBAC/ABAC, MFA, SoD, JIT/PAM, Offboarding ≤ 15 Minuten.
7. Kryptographie - TLS, KMS/HSM, Rotation, getrennte crypto-custodians Rollen.
8. Entwicklung - SAST/DAST/DS/IaC, Secret-Scans, Pipeline-Signaturen.
9. ASV-Scan - vierteljährlich und nach Änderungen, „Pass“ -Status speichern.
10. Pentests - extern ./intern. Das Netz und prilosch., wie mindestens jährlich.
11. IR-Plan - Übungen, Kriegsraum mit PSP/Acquirer, Zeitlinien.
12. Training - Phishing, Secure Coding, PCI-Awareness für Rollen.
13. Dokumente/Verfahren - PAN-Aufbewahrungs-/Löschrichtlinie, Exportprotokoll.

8) Interaktion mit PSP/Anbietern

Verträge: SLA für Verfügbarkeit/Sicherheit, DPIA/TPRM, Auditrecht, Incident-Notifications ≤ 72 Stunden

Techintegration: NRR/Weiterleitung nach TLS, signierte Webhooks, mTLS/Schlüssel im KMS, Rotationen.
Vierteljährliches Monitoring: PSP-Berichte (Attestation, Certificates), ASV/Pentest-Auszüge, SDK-Änderungen.

9) Konformitätsdokumente

ROC (Report on Compliance): Vollständiger QSA-Bericht.
AOC (Attestation of Compliance): Nachweis der Konformität (Anlage zu ROC/SAQ).
SAQ: gewählte Art der Selbsteinschätzung (A, A-EP, D, etc.).
ASV-Berichte: externer Scan durch einen zertifizierten Anbieter.
Richtlinien/Verfahren: Versionen, Besitzer, Änderungsprotokolle.
Nachweise: Netzwerkdiagramme, WORM-Protokolle, Testergebnisse, Tickets.

10) Rollen und RACI

AktivitätProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & ArchitekturA/RRRCCCC
Segmentierung/Firewalls/WAFCA/RRIICI
Tokenisierung/UmleitungA/RRRCCCR
Schwachstellen/PatchesIA/RRIICI
Protokolle/ÜberwachungIA/RRCICI
ASV/PentestsIA/RRIIRI
ROC/SAQ/AOC DokumenteIA/RCIRRI
PCI-VorfälleCA/RRIRCC

11) Metriken (KPI/KRI)

ASV Pass Rate: 100% der Quartalsberichte sind „Pass“.
Patch SLA High/Critical: ≥ 95% auf Zeit.
Pentest Findings Closure: ≥ 95% High ist ≤ 30 Tage geschlossen.
MFA Coverage Admins: 100%.
Log Integrity: 100% kritische Systeme mit WORM/Signaturen.
Scope Reduction: Der Anteil der Redirect/Tokenization-Zahlungen ≥ 99%.
Incidents: PCI-Vorfälle mit fristgerechter Benachrichtigung - 100%.

12) Roadmap (8-12 Wochen vor SAQ/ROC)

Woche 1-2: Auswahl des Zahlungsakzeptanzmodells (NPP/Tokenisierung), CDE-Mapping, Netzwerkdiagramm, Segmentierungsplan, SAQ/ROC-Auswahl.
Wochen 3-4: Hardning, MFA, WORM-Protokolle, SDLC-Scans, Schlüssel/KMS, PAN-Aufbewahrungsrichtlinie (standardmäßig nicht speichern).
Woche 5-6: ASV-Scan # 1, Korrekturen; Pentest (Web/Netzwerk/Webhooks), IR-Unterricht mit PSP, Finalisierung der Dokumentation.
Woche 7-8: SAQ-Abschluss oder QSA-Audit (Stage-Interview, Stichproben), Abschluss von Funden, AOC/ROC-Vorbereitung.
Wochen 9-12 (Opz.) : „Customized Approach“ und TRA, Optimierung der Segmentierung, Integration von KPI/KRI Dashboards.

13) Checklisten

Vor Beginn der Kartenannahme

  • Pfad ohne PAN/SAD-Speicherung ausgewählt
  • Redirect/iframe PSP oder Tokenisierung konfiguriert
  • CDE Segmentierung, deny-by-default, WAF
  • MFA/IGA/JIT/PAM für Admins
  • Logs (WORM, Signaturen, NTP) und Dashboards
  • ASV-Scan bestanden, Pentest geschlossen
  • IR-Plan und PSP/Bank-Kontakte

Für die jährliche Zertifizierung

  • Diagramme und Systemliste in CDE aktualisiert
  • 4 vierteljährliche ASVs bestanden, „Pass“ beibehalten
  • Pentest ≤ 12 Monate. und nach Änderungen
  • Richtlinien/Verfahren aktuell, Versionen/Besitzer
  • SAQ ausgefüllt/ROC erhalten, AOC ausgestellt

14) Häufige Fehler und wie man sie vermeidet

Sammlung von PAN auf Ihrer Seite ohne angemessenen Schutz → SAQ A-EP/D. Verwenden Sie HPP/iframe von PSP.
Protokolle ohne Schutz vor Veränderungen. Aktivieren Sie WORM/Signaturen und tägliche Überprüfung.
Keine Segmentierung - „das gesamte Netzwerk im CDE“. Isolieren Sie Ihren Zahlungsverkehr.
CVV/SAD-Speicher. Nach Autorisierung verboten.
Unvollständige ASVs/Pentests. Tun Sie nach Änderungen und speichern Sie Berichte/Remediationen.

15) Integration mit dem Rest der Wiki-Abschnitte

Verwandte Seiten: Passwortrichtlinie und MFA, RBAC/Least Privilege, Protokollrichtlinie, Vorfälle und Lecks, TPRM und SLA, ISO 27001/27701, SOC 2 - zum Mupping von Kontrollen und einem einzigen Satz von evidence.

TL; DR

Der Erfolg von PCI DSS v4. 0 = minimaler Scope (NRP/Tokenisierung) + starre Segmentierung CDE + MFA/WORM Logs/Verschlüsselung/KMS + ASV vierteljährlich, Pentest jährlich und nach Änderungen + fertige SAQ/ROC/AOC Dokumente. Das senkt die Auditkosten, beschleunigt die PSP-Integrationen und macht den Zahlungsverkehr nachweislich sicher.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.