ΕΚΕ DSS: επίπεδα και συμμόρφωση

1) Τι είναι το PCI DSS και ποιος το χρειάζεται

• αποδοχή πληρωμών με κάρτα (απευθείας ή μέσω παρόχου ΥΠ/πύλης),
• δεδομένα καρτών επεξεργασίας/αποθήκευσης/μεταφοράς (PAN, όρος, CVV) ή συντομευμένες/κρυπτογραφημένες μορφές τους,
• είναι πάροχος υπηρεσιών για άλλους εμπόρους (φιλοξενία, επεξεργασία, καταπολέμηση της απάτης, ενορχήστρωση πληρωμών κ.λπ.) εάν μπορείτε να επηρεάσετε την ασφάλεια αυτών των καρτών.

Έκδοση και συγχρονισμός: η τρέχουσα έκδοση είναι PCI DSS v4. 0. Απαιτήσεις v3. 2. 1 συνταξιούχος· «μελλοντικά χρονολογημένα» στοιχεία v4. Το 0 ισχύει τώρα. Νέο σε v4. 0: ενισχυμένη ΜΧΣ, «προσαρμοσμένη προσέγγιση», στοχευμένη ανάλυση κινδύνου της συχνότητας της διαδικασίας, της κατάτμησης και των βελτιώσεων κρυπτογράφησης.

2) Επίπεδα συμμόρφωσης: έμποροι και πάροχοι υπηρεσιών

2. 1 Έμποροι (έμποροι)

• Επίπεδο 1:> 6 εκατομμύρια συναλλαγές/έτος ή διακυβεύθηκε. Απαιτεί ετήσια ROC (Έκθεση συμμόρφωσης) από QSA ή εσωτερική ISA σε συμφωνία, + τριμηνιαίες σαρώσεις ASV.
• Επίπεδο 2: ~ 1-6 εκατομμύρια ετησίως. Συνήθως - SAQ (αυτοαξιολόγηση) + ASV σαρώσεις; ορισμένα συστήματα/αγοραστές μπορεί να απαιτούν ROC.
• Επίπεδο 3: ~ 20k-1 εκατομμύριο ηλεκτρονικό εμπόριο/έτος. Συνήθως - SAQ + ASV σαρώσεις.
• Επίπεδο 4: Κάτω από τα όρια L3. SAQ· οι απαιτήσεις μπορεί να ποικίλλουν με την απόκτηση τράπεζας.

2. 2 Πάροχοι υπηρεσιών

Συνήθως 2 επίπεδα. για το επίπεδο 1 (μεγάλος όγκος/κρίσιμος ρόλος στην αλυσίδα), απαιτείται ROC από την QSA, για το επίπεδο 2 - SAQ-D SP (μερικές φορές - ROC κατόπιν αιτήματος των αντισυμβαλλομένων/συστημάτων). Στο iGaming, πολλοί πάροχοι υπηρεσιών πληρωμών/πύλες/εταίροι υποδοχής είναι το επίπεδο 1 του SP.

3) SAQ έναντι ROC: Πώς να επιλέξετε

• SAQ A - μόνο ανακατευθυνόμενα/iframe/φιλοξενούμενα πεδία· δεν υπάρχει επεξεργασία/μεταφορά/αποθήκευση καρτών μαζί σας.
• Το SAQ A-EP είναι ηλεκτρονικό εμπόριο, όπου η ιστοσελίδα σας επηρεάζει την ασφάλεια της σελίδας πληρωμής (για παράδειγμα, φιλοξενεί σενάρια), αλλά το PAN εισάγεται στο περιβάλλον του παρόχου.
• SAQ B/B-IP - τερματικά/αποτυπωτές χωρίς ηλεκτρονική αποθήκευση· B-IP - συνδεδεμένοι τερματικοί σταθμοί.
• SAQ C-VT/C - εικονικοί τερματικοί σταθμοί/μικρό περιβάλλον επεξεργασίας, χωρίς αποθήκευση.
• Το SAQ P2PE είναι μόνο μια P2PE λύση πιστοποιημένη από PCI.
• SAQ D (Merchant/Service Provider) - «ευρεία» επιλογή για οποιαδήποτε επεξεργασία/μεταφορά/αποθήκευση, προσαρμοσμένες ενότητες, ενορχηστρωτές κ.λπ.

Πρακτική για iGaming: η διαδρομή-στόχος είναι SAQ A/A-EP λόγω PAN-ασφαλών ροών, μαρκαρίσματος και φιλοξενούμενων πεδίων. Εάν έχετε τις δικές σας υπηρεσίες/περιπάτους πληρωμής - συνήθως SAQ D ή ROC.

4) Εμβέλεια: Τι συμβαίνει στο ΚΑΕ και πώς να το περιορίσετε

CDE (Περιβάλλον δεδομένων κατόχου κάρτας) - συστήματα όπου τα δεδομένα της κάρτας υποβάλλονται σε επεξεργασία/αποθηκεύονται/διαβιβάζονται, και όλα τα συνδεδεμένα/σημαντικά τμήματα.

• Φιλοξενούμενα πεδία/iframe/TSP - Εισάγετε PAN εκτός του τομέα σας.
• Tokenization και μάρκες δικτύου: Οι υπηρεσίες σας λειτουργούν σε μάρκες και όχι σε PAN.
• : κρυπτογράφηση τέλους έως τέλους με πιστοποιημένη λύση.
• Κατάτμηση δικτύου: σκληρά ACL, απομόνωση CDE από το υπόλοιπο περιβάλλον.
• Υποχρεωτική κάλυψη DLP και log, απαγόρευση των χωματερών με PAN/CVV.

Στο v4. 0 πρόσθετη ευελιξία των μεθόδων για την επίτευξη των στόχων, αλλά τα στοιχεία αποτελεσματικότητας και στοχευμένης ανάλυσης κινδύνου είναι υποχρεωτικά.

5) Απαιτήσεις ΕΚΕ DSS v4 "12. "0 (που σημαίνει μπλοκ)

1. Ασφάλεια δικτύου και κατάτμηση (τείχη προστασίας, ACL, απομόνωση ΚΑΕ).
2. Ασφαλής διάταξη υποδοχής/συσκευής (σκλήρυνση, γραμμές βάσης).
3. Προστασία των δεδομένων του κατόχου της κάρτας (αποθήκευση PAN - μόνο εάν είναι απαραίτητο, ισχυρή κρυπτογραφία).
4. Προστασία δεδομένων κατά τη διαβίβαση (TLS 1. 2 + και ισοδύναμα).
5. Αντιιικό/αντι-κακόβουλο λογισμικό και έλεγχος ακεραιότητας.
6. Ασφαλής ανάπτυξη και τροποποίηση (SDLC, SAST/DAST, έλεγχος βιβλιοθήκης).
7. Πρόσβαση όπως απαιτείται (ελάχιστο προνόμιο, RBAC).
8. Ταυτοποίηση και εξακρίβωση ταυτότητας (ΜΧΣ για διοικητική και εξ αποστάσεως πρόσβαση, κωδικοί πρόσβασης v4. 0).
9. Φυσική ασφάλεια (κέντρα δεδομένων, γραφεία, τερματικά).
10. Καταγραφή και παρακολούθηση (συγκέντρωση κορμοτεμαχίων, αμετάβλητη, καταχωρίσεις).
11. Δοκιμή ασφάλειας (ASV σαρώνει ανά τρίμηνο, πεντέστερα ετησίως και μετά από αλλαγές, δοκιμή κατάτμησης).
12. Πολιτική και διαχείριση κινδύνων (διαδικασίες, κατάρτιση, αντιμετώπιση συμβάντων, εκτιμήσεις κινδύνου, έγγραφα «εξατομικευμένης προσέγγισης»).

6) Υποχρεωτικές δραστηριότητες και συχνότητα

ASV σαρώσεις (εξωτερικές) - τριμηνιαίες και μετά από σημαντικές μεταβολές.
Τρωτά σημεία/επιδιόρθωση - τακτικοί κύκλοι (οι συχνότητες δικαιολογούνται από την TRA - στοχευμένη ανάλυση κινδύνου).
Δοκιμές διείσδυσης (εσωτερικές/εξωτερικές) - ετησίως και μετά από σημαντικές αλλαγές. ο έλεγχος κατάτμησης είναι υποχρεωτικός.
Αρχεία καταγραφής και παρακολούθηση - συνεχώς, με διατήρηση και προστασία έναντι τροποποιήσεων.
Εκπαίδευση προσωπικού - κατά την πρόσληψη και στη συνέχεια τακτικά.
ΠΧΠ - για όλες τις διοικητικές υπηρεσίες και την εξ αποστάσεως πρόσβαση στο ΚΑΕ.
Απογραφή συστημάτων/ροών δεδομένων - συνεχής επικαιροποίηση.

7) Πίνακας επιλογής SAQ (σύντομο)

Μόνο iframe/ανακατευθύνετε, χωρίς PAN → SAQ A.
Ηλεκτρονικό εμπόριο, η ιστοσελίδα σας επηρεάζει τη σελίδα πληρωμής → SAQ A-EP.
Τερματικοί σταθμοί/αποτυπωτές → SAQ B/B-IP.
Εικονικός τερματικός σταθμός → SAQ C-VT.
Μικρό δίκτυο «καρτών» χωρίς αποθήκευση → SAQ C.
διάλυμα SAQ .
Άλλη/πολύπλοκη/αποθήκευση/επεξεργασία → SAQ D (ή ROC).

8) Τεχνουργήματα και αποδεικτικά στοιχεία για τον έλεγχο

• Διαγράμματα ροής δικτύου και δεδομένων, μητρώο περιουσιακών στοιχείων, μητρώο πωλητών, μητρώο λογιστικής/πρόσβασης.
• Πολιτικές/διαδικασίες: ασφαλής ανάπτυξη, διαχείριση αλλαγών, υλοτομία, περιστατικά, τρωτά σημεία, κλειδιά/κρυπτογράφηση, εξ αποστάσεως πρόσβαση, αντίγραφα ασφαλείας.
• Εκθέσεις: ASV, εντόσθια (συμπεριλαμβανομένης της κατάτμησης), σαρώσεις τρωτότητας, αποτελέσματα διόρθωσης.
• Καταχωρίσεις/καταχωρίσεις: κεντρικό σύστημα, αμετάβλητο, ανάλυση συμβάντων.
• Διαχείριση κρυπτογράφησης: διαδικασίες KMS/HSM, περιστροφές, απογραφή κλειδιών/πιστοποιητικών.
• Αποδείξεις «προσαρμοσμένης προσέγγισης» (εάν εφαρμόζεται): στόχοι ελέγχου, μέθοδος, μετρήσεις επιδόσεων, TRA.
• Περίγραμμα ευθύνης από τρίτους: εταίροι της AoC (ΠΥΠ, φιλοξενία, CDN, καταπολέμηση της απάτης), πίνακας επιμερισμένης ευθύνης.

9) Έργο συμμόρφωσης (βήμα προς βήμα)

1. Αντιγραφή και ανάλυση κενών - Ορισμός CDE, παρακείμενα τμήματα, τρέχουσες διακοπές.
2. Γρήγορες νίκες: PAN-ασφαλές ρεύμα (iframe/φιλοξενούμενα πεδία), μαρκανοποίηση, απαγόρευση PAN σε κούτσουρα, κλείσιμο «εξωτερικών» τρωτών σημείων κρήτης.
3. Διαχωρισμός και δίκτυο: απομόνωση CDE, mTLS, firewall-ACL, πρόσβαση σε ελάχιστα προνόμια, MAX.
4. Παρατηρησιμότητα: κεντρική υλοτομία, διατήρηση/αλυσίδα φύλαξης, καταχωρίσεις.
5. Τρωτότητα και διαχείριση κώδικα: SAST/DAST, patches, SBOM, έλεγχος εξάρτησης.
6. Δοκιμές: σαρώσεις ASV, εσωτερικές/εξωτερικές δοκιμές διείσδυσης, έλεγχος κατάτμησης.
7. Έγγραφα και κατάρτιση: διαδικασίες, βιβλία IR-playbooks, προπονήσεις, αρχεία κατάρτισης.
8. Επιλογή του εντύπου πιστοποίησης: SAQ (τύπος) ή ROC· να συμφωνηθεί με τον αποκτώντα/τα εμπορικά σήματα.
9. Ετήσιος κύκλος: υποστήριξη, αποδεικτικά στοιχεία, επανεξέταση κινδύνου/συχνότητας, επαναχρησιμοποίηση.

10) Ενσωμάτωση στην αρχιτεκτονική iGaming

Ο ενορχηστρωτής πληρωμών εργάζεται μόνο με μάρκες. Το PAN δεν μπορεί να δει.
Πολυ-ΠΥΠ: υγειονομικοί έλεγχοι, έξυπνη διαδρομή, ταυτότητα, ретраи. AoC από κάθε PSP.
Λεωφορείο/DWH με κινητήρα συμβάντων: δεν υπάρχει PAN/CVV. κάλυψη των τελευταίων 4 ψηφίων· Πύλες DLP σε CI/CD.
έλεγχοι: αποθηκεύουν μόνο τα απαραίτητα αντικείμενα (ταυτότητες συναλλαγής), χωρίς ευαίσθητα δεδομένα.

11) Συχνά σφάλματα

Καταγραφή PAN/CVV και μη έγκυρες μάσκες.
«Προσωρινή» διαδρομή PAN μέσω εσωτερικών API/λεωφορείων.
Έλλειψη δοκιμής κατακερματισμού πενταδίων.
Παράλογη συχνότητα των διαδικασιών (όχι TRA έως v4. 0).
Εξάρτηση από έναν PSP χωρίς AoC και χωρίς οπισθοδρόμηση.
Μη υπολογιζόμενα τμήματα «επιρροής» (admin-jump-hosts, παρακολούθηση, backups).

12) Λίστα ταχείας εκκίνησης (iGaming)

• Πηγαίνετε σε φιλοξενούμενα πεδία/iframe? Αφαιρέστε την εισαγωγή PAN από τα έντυπά σας.
• Ενεργοποίηση μαρκαρίσματος/μαρκών δικτύου. εξαιρεί το PAN από τα γεγονότα/αρχεία καταγραφής.
• Εκτέλεση απομόνωσης αντιγράφων CDE και τμημάτων (MFA, RBAC, mTLS).
• Δημιουργία κεντρικών αρχείων καταγραφής και ειδοποιήσεων (αμετάβλητο, κατακράτηση).
• Εκτελέστε σαρώσεις ASV, εξαλείφετε κρίσιμη/υψηλή.
• Εκτελέστε δοκιμές διείσδυσης (εσωτερικές/εξωτερικές) + δοκιμές διαχωρισμού.
• Προετοιμασία πολιτικών/διαδικασιών και αποδεικτικών στοιχείων εφαρμογής.
• Συμφωνούν το έντυπο προεπιλογής με τον αποκτώντα (τύπος SAQ/ROC).
• Αποκτήστε και αποθηκεύστε το AoC όλων των προμηθευτών της Κρήτης.
• Ενσωμάτωση των ελέγχων ΕΚΕ στον κύκλο απελευθέρωσης (SDLC, IaC σκλήρυνση, DLP σε CI/CD).

13) Σύντομες ερωτήσεις

Χρειάζομαι QSA Για την ROC, ναι. Η αυτοπιστοποίηση είναι συχνά επαρκής για SAQ, αλλά πολλοί αγοραστές/εμπορικά σήματα μπορεί να απαιτούν εταίρο QSA/ASV.
Αν δεν αποθηκεύσουμε PAN Ακόμα εμπίπτει στο PCI DSS αν αποδεχτείτε κάρτες. Στόχος είναι η επίτευξη των SAQ A/A-EP.
Λύνει το PCI με 3DS Όχι, δεν είναι. 3DS - σχετικά με την εξακρίβωση ταυτότητας· ΕΚΕ - σχετικά με την προστασία των δεδομένων.
Αρκεί το TLS Όχι, δεν είναι. Απαιτούνται όλες οι σχετικές απαιτήσεις v4. 0, συμπεριλαμβανομένων διαδικασιών και αποδεικτικών στοιχείων.

14) Περίληψη

Για το iGaming, η βέλτιστη στρατηγική είναι να ελαχιστοποιηθεί το πεδίο εφαρμογής (PAN-ασφαλής, μαρκαρισμός, φιλοξενούμενα πεδία, P2PE όπου είναι δυνατόν), σκληρό τμήμα του ΚΑΕ, αυτόματη καταγραφή/τρωτά σημεία/δοκιμές διείσδυσης, συλλογή ενός πλήρους πακέτου αντικειμένων και επιλογή της σωστής μορφής επιβεβαίωσης (SAQ ή ROC C) στο επίπεδό σας. Αυτό μειώνει τον κίνδυνο, επιταχύνει την ενσωμάτωση με τον ΠΥΠ και διατηρεί σταθερή μετατροπή και αποτίμηση χρήματος, ενώ πληροί τις απαιτήσεις του σήματος της κάρτας.