GH GambleHub

ΕΚΕ ελέγχου και πιστοποίησης DSS

1) Τι είναι το PCI DSS και γιατί έχει σημασία για το iGaming

Το ΕΚΕ DSS είναι το πρότυπο ασφαλείας για τον κλάδο των καρτών πληρωμής (Visa/Mastercard/Amex/Discover/JCB). Για τον φορέα εκμετάλλευσης iGaming, ορίζει τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων κατόχων καρτών (CHD), συμπεριλαμβανομένων των PAN και των ευαίσθητων δεδομένων ταυτοποίησης (SAD). Η απόκλιση απειλεί με πρόστιμα, αυξημένα διατραπεζικά τιμολόγια, ανάκληση του εμπορικού λογαριασμού και ζημία φήμης.

2) Ρόλοι, επίπεδα και τύπος πιστοποίησης

Ρόλοι

Έμπορος: Δέχεται κάρτες από παίκτες.
Πάροχος υπηρεσιών: διαδικασίες/ξενιστές/καταστήματα CHD για εμπόρους (συμπεριλαμβανομένης της φιλοξενίας, της πλατφόρμας πληρωμών, της σήμανσης).

Επίπεδα (υψηλό επίπεδο)

Επίπεδα εμπόρων 1-4: με ετήσιες συναλλαγές· Το επίπεδο 1 απαιτεί συνήθως ROC (έκθεση συμμόρφωσης) από την QSA.
Επίπεδα 1-2: Το επίπεδο 1 είναι υποχρεωτική ROC.

Μορφότυποι αξιολόγησης

ROC + AOC: πλήρης έκθεση ελεγκτή (QSA/ISA).
SAQ: αυτοαξιολόγηση από έναν από τους τύπους (βλέπε παρακάτω), συν εξωτερική σάρωση ASV.

3) Πεδίο εφαρμογής και ΚΑΕ: Πώς να περιορίσετε και να διαχειριστείτε

CDE (Cardholder Data Environment) - κάθε σύστημα/δίκτυο/διεργασίες που αποθηκεύουν, επεξεργάζονται ή μεταδίδουν CHD/SAD.

Στρατηγικές ελαχιστοποίησης

1. Hosted Payment Page (HPP): έντυπο PSP → SAQ A.
2. Direct Post/JS + η σελίδα σας (A-EP): η σελίδα σας επηρεάζει την ασφάλεια της συλλογής → SAQ A-EP (ευρύτερη).
3. Tokenization: Ανταλλαγή PAN για μάρκα PSP/συμβολοσειρά σας; Το PAN δεν φυλάσσεται μαζί σας.
4. Διαχωρισμός δικτύου: απομόνωση CDE (VLAN/firewalls/ACL), ελαχιστοποίηση της κυκλοφορίας.
5. Πολιτική «μη αποθήκευσης»: μη αποθήκευση PAN/ΕΔΕ. οι εξαιρέσεις είναι απολύτως δικαιολογημένες.

💡 Χρυσός κανόνας: Κάθε byte του PAN είναι ένα συν στον τομέα ελέγχου.

4) τύποι SAQ (συνοπτικά)

Τύπος SAQΠοιος είναι κατάλληλοςΕν συντομία σχετικά με την περιοχή
AΜόνο ανακατευθύνσεις/iframe PSP, χωρίς CHD που έχετεΕλάχιστες απαιτήσεις (χωρίς επεξεργασία εξυπηρετητή PAN)
A-ΕΚΗ ιστοσελίδα σας επηρεάζει τη συλλογή CHD (σενάρια, δημοσιεύσεις στο PSP)Ενισχυμένοι διαδικτυακοί έλεγχοι
B/B-IPΤερματικοί σταθμοί/αποτυπωτέςΣπάνιες για iGaming
CΑνεξάρτητες εφαρμογές πληρωμών, περιορισμένο δίκτυοΣτενές περιπτώσεις
C-VTΧειροκίνητη είσοδος στον εικονικό τερματικό σταθμόΥποστήριξη σεναρίων (ανεπιθύμητες)
P2PEPCI P2PE Πιστοποιημένο διάλυμακατά περίπτωση
Δ (Έμπορος/Πάροχος υπηρεσιών)Άλλα σενάρια, αποθήκευση/επεξεργασία PANΠλήρες σύνολο απαιτήσεων

5) ΕΚΕ DSS v4. 0: βασικά θέματα

Εξατομικευμένη προσέγγιση: επιτρέπει εναλλακτικούς ελέγχους υπό αποδεδειγμένη ισοδυναμία (σχέδιο, TRA, αιτιολόγηση δοκιμής).
Στοχευμένη ανάλυση κινδύνου (TRA): ανάλυση κινδύνου σημείου για «ευέλικτες» απαιτήσεις (συχνότητα διαδικασίας, παρακολούθηση).
Επαλήθευση ταυτότητας: ΜΧΣ για διοικητική και εξ αποστάσεως πρόσβαση. ισχυροί κωδικοί πρόσβασης/passphrases· κλειδαριές/χρονοδιαγράμματα.
Τρωτά σημεία και έμπλαστρα: τακτικές σαρώσεις (εσωτερικές/εξωτερικές), τριμηνιαίες ASV, παρασιτώσεις ετησίως και μετά από σημαντικές αλλαγές.
Κρυπτογράφηση: υπό διαμετακόμιση (TLS 1. 2 +) и σε ηρεμία, Διαχείριση κλειδιών (KMS/HSM), εναλλαγές, διαχωρισμός ρόλων.
Καταγραφές και παρακολούθηση: συγκεντρωτικά αρχεία καταγραφής, προστασία από αλλαγές (WORM/υπογραφή), καθημερινή επανεξέταση συμβάντων ασφαλείας.
Διαχωρισμός/τείχη προστασίας/WAF: επίσημοι κανόνες, επανεξέταση, τεκμηριωμένες τοπολογίες.
SDLC/αλλαγές: dev/test/prod διαχωρισμένες, SAST/DAST/σαρώσεις εξάρτησης, μυστική διαχείριση.
Περιστατικά: επίσημη IRP, ασκήσεις, ρόλοι και κατάλογος επαφών, αλληλεπίδραση με PSP/απορροφούσα τράπεζα.

6) Δεδομένα κάρτας: τι μπορεί/δεν μπορεί

CHD: PAN (+ προαιρετικό. όνομα, όρος, κωδικός υπηρεσίας).
SAD (απαγορεύεται η αποθήκευση μετά την έγκριση): CVV/CVC, πλήρεις μαγνητικές γραμμές, μπλοκ PIN.
Μάσκα: οθόνη PAN με μάσκα (συνήθως πρώτη 6 και τελευταία 4).
Tokenization/αποθήκευση: αν αποθηκεύσετε PAN → κρυπτογράφηση, πρόσβαση Need-to-Know, κλειδιά ξεχωριστά, σκληρούς κορμούς.

7) Πεδία ελέγχου (πρακτικός κατάλογος)

1. Διαχωρισμός CDE - χωριστά υποδίκτυα, άρνηση εξ ορισμού, έλεγχος εξόδου.
2. Απογραφή περιουσιακών στοιχείων - όλα τα συστήματα στο ΚΑΕ και συναφή.
3. Σκλήρυνση - ασφαλείς ρυθμίσεις, προκαθορισμένο κλείσιμο, βασικά πρότυπα.
4. Τρωτά σημεία/έμπλαστρα - διεργασίες, SLA, επιβεβαιώσεις εγκατάστασης.
5. Καταγραφή - συγχρονισμός χρόνου, κεντρικά αρχεία καταγραφής, WORM/υπογραφές.
6. Πρόσβαση - RBAC/ABAC, MFA, SoD, JIT/PAM, αποβίβαση ≤ 15 λεπτά.
7. Κρυπτογραφία - TLS, KMS/HSM, περιστροφή, ξεχωριστοί ρόλοι κρυπτοθετών.
8. Ανάπτυξη - SAST/DAST/DS/IaC, μυστικές σαρώσεις, υπογραφές αγωγών.
9. Σάρωση ASV - τριμηνιαία και μετά από αλλαγές, κατάσταση αποθήκευσης «Pass».
10. Πεντέστερ - εξωτερικό/εσωτερικό δίκτυο και †, τουλάχιστον ετησίως.
11. Σχέδιο IR - ασκήσεις, αίθουσα πολέμου με PSP/αγοραστή, χρονοδιαγράμματα.
12. Κατάρτιση - phishing, ασφαλής κωδικοποίηση, PCI-ευαισθητοποίηση για τους ρόλους.
13. Έγγραφα/διαδικασίες - PAN Πολιτική διατήρησης/διαγραφής, ημερολόγιο εξαγωγών.

8) Αλληλεπίδραση με PSP/Προμηθευτές

Συμβάσεις: Διαθεσιμότητα/ασφάλεια SLA, DPIA/TPRM, δικαίωμα ελέγχου, γνωστοποιήσεις συμβάντων ≤ 72 h.
Τεχνική ενσωμάτωση: HP/ανακατευθύνονται για TLS, υπογεγραμμένα webhooks, mTLS/κλειδιά στο KMS, περιστροφές.
Τριμηνιαία παρακολούθηση: εκθέσεις PSP (βεβαίωση, πιστοποιητικά), αποσπάσματα ASV/pentest, αλλαγές SDK.

9) Έγγραφα συμμόρφωσης

ROC (Έκθεση συμμόρφωσης): πλήρης έκθεση QSA.
Πιστοποιητικό αερομεταφορέα (βεβαίωση συμμόρφωσης) - επιβεβαίωση συμμόρφωσης (προσάρτημα ROC/SAQ).
SAQ: επιλεγμένος τύπος αυτοαξιολόγησης (A, A-EP, D κ.λπ.).
Εκθέσεις ASV: εξωτερική σάρωση από πιστοποιημένο πάροχο.
Πολιτικές/διαδικασίες: εκδόσεις, ιδιοκτήτες, αρχεία καταγραφής αλλαγών.
Αποδεικτικά στοιχεία: διαγράμματα δικτύου, αρχεία καταγραφής WORM, αποτελέσματα δοκιμών, εισιτήρια.

10) Ρόλοι και ΠΓΣ

ΔραστηριότηταΠροϊόν/ΠληρωμέςΑσφάλεια/CISOSRE/ITΔεδομένα/BIΝομική/συμμόρφωσηQSA/ISAPSP
Πεδίο εφαρμογής/ΚΑΕ & ΑρχιτεκτονικήA/RRRCCCC
Διαχωρισμός/Τείχη προστασίας/WAFCA/RRIICI
ΜετατόπισηA/RRRCCCR
Τρωτά σημεία/έμπλαστραIA/RRIICI
Αρχεία καταγραφής/παρακολούθησηIA/RRCICI
ASV/ΠεντέστεςIA/RRIIRI
Έγγραφα ROC/SAQ/AOCIA/RCIRRI
ΕΚΕ συμβάντωνCA/RRIRCC

11) Μετρική (KPI/KRI)

ASV Pass Rate: 100% τριμηνιαίες εκθέσεις - «pass».
Patch SLA Υψηλή/Κρίσιμη: ≥ 95% στην ώρα.
Pentest Ευρήματα Κλείσιμο: ≥ 95% Υψηλό κλείσιμο ≤ 30 ημέρες.
MFA Κάλυψη των χορηγών: 100%.
Log Ακεραιότητα: 100% κρίσιμα συστήματα με WORM/υπογραφές.
Μείωση του πεδίου εφαρμογής: το μερίδιο των πληρωμών μέσω ανακατευθύνσεων/μαρκινοποίησης ≥ 99%.
Περιστατικά: περιστατικά ΕΚΕ με προθεσμία 100%.

12) Χάρτης πορείας (8-12 εβδομάδες πριν SAQ/ROC)

Εβδομάδες 1-2: Επιλογή μοντέλου πληρωμής (HPP/μαρκινοποίηση), χαρτογράφηση CDE, διάταξη δικτύου, σχέδιο κατάτμησης, επιλογή SAQ/ROC.
Εβδομάδες 3- 4: σκλήρυνση, MFA, WORM logs, SDLC scans, κλειδιά/KMS, PAN πολιτική αποθήκευσης (εξ ορισμού - μην αποθηκεύετε).
Εβδομάδες 5- 6: ASV scan # 1, διορθώσεις; pentest (web/network/webhooks), IR-learning with PSP, οριστικοποίηση της τεκμηρίωσης.
Εβδομάδες 7-8: Ολοκλήρωση SAQ ή έλεγχος QSA (Βαθμίδες συνεντεύξεων, δείγματα), κλείσιμο ευρημάτων, προετοιμασία πιστοποιητικού αερομεταφορέα/ROC.
Εβδομάδες 9-12 (Op.): «Προσαρμοσμένη προσέγγιση» και TRA, βελτιστοποίηση διαχωρισμού, ενσωμάτωση ταμπλό KPI/KRI.

13) Κατάλογοι ελέγχου

Πριν από την έναρξη της αποδοχής της κάρτας

  • Επιλεγμένη διαδρομή αποθήκευσης εκτός PAN/ΕΔΕ
  • Ανακατευθυνόμενη/iframe PSP ή διαμόρφωση σημάτων
  • Κατάτμηση ΚΑΕ, άρνηση εξ ορισμού, WAF
  • MFA/IGA/JIT/PAM για τους χορηγούς
  • Ημερολόγια (WORM, υπογραφές, NTP) και ταμπλό
  • ASV scan passed, pentest closed
  • Σχέδιο IR και επαφές PSP/τράπεζας

Για ετήσια πιστοποίηση

  • Ενημερωμένα σχήματα ΚΑΕ και κατάλογος συστημάτων
  • Πέρασε 4 τριμηνιαίες ASV, «πέρασμα» αποθηκευμένη
  • Πεντέστερο ≤ 12 μηνών και μετά από αλλαγές
  • Επικαιροποιημένες πολιτικές/διαδικασίες, εκδόσεις/ιδιοκτήτες
  • Συμπληρώθηκε από SAQ/παραλήφθηκε από ROC, εκδόθηκε από AOC

14) Συχνά λάθη και τρόπος αποφυγής τους

Συλλογή PAN στη σελίδα σας χωρίς κατάλληλη προστασία → SAQ A-EP/D. Χρήση HPP/iframe από το PSP.
Αρχεία καταγραφής χωρίς προστασία από αλλαγές. Συμπεριλαμβάνονται το WORM/υπογραφές και η καθημερινή επισκόπηση.
Δεν υπάρχει κατάτμηση - "ολόκληρο το δίκτυο στο ΚΑΕ. "Απομονώστε αυστηρά τον βρόχο πληρωμής.
Αποθήκευση CVV/SAD. Απαγορεύεται μετά την έγκριση.
Ατελείς ASV/πεντέστερ. Μετά από αλλαγές και διατήρηση εκθέσεων/διορθώσεων.

15) Ενσωμάτωση στα υπόλοιπα τμήματα του wiki

Σχετικές σελίδες: Πολιτική κωδικών πρόσβασης και MFA, RBAC/λιγότερο προνόμιο, πολιτική καταγραφής, περιστατικά και διαρροές, TPRM και SLA, ISO 27001/27701, SOC 2 - για χαρτογράφηση ελέγχου και ένα ενιαίο σύνολο αποδεικτικών στοιχείων.

TL, DR

ΕΚΕ DSS v4 επιτυχία. 0 = ελάχιστο πεδίο εφαρμογής (HPP/μαρκινοποίηση) + σκληρό διαχωρισμό CDE + MFA/WORM logs/κρυπτογράφηση/KMS + ASV τριμηνιαία, πενταετή και μετά από αλλαγές + ολοκληρωμένα έγγραφα SAQ/ROC/AOC. Αυτό μειώνει το κόστος του ελέγχου, επιταχύνει την ολοκλήρωση των ΠΥΠ και καθιστά τον βρόχο πληρωμών αποδεδειγμένα ασφαλή.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.