GH GambleHub

PCI DSS: control y certificación

1) Qué es PCI DSS y por qué es importante para iGaming

PCI DSS es el estándar de seguridad de la industria de tarjetas de pago (Visa/Mastercard/Amex/Discover/JCB). Para el operador de iGaming, define medidas técnicas y organizativas de protección de datos de titulares de tarjetas (CHD), incluyendo PAN y datos de autenticación sensible (SAD). El desajuste se enfrenta a multas, subidas de tarifas interbancarias, retirada de cuenta merchant y daños reputacionales.

2) Roles, niveles y tipo de certificación

Roles

Merchant (merchant): acepta cartas de los jugadores.
Proveedor de servicios: procesa/hostit/almacena CHD para merchant (incluyendo alojamiento, plataforma de pago, tokenización).

Niveles (nivel alto)

Niveles de merchant 1-4: por transacciones anuales; El nivel 1 generalmente requiere un ROC (Informe de cumplimiento) de QSA.
Niveles del proveedor de servicios 1-2: Nivel 1 - ROC obligatorio.

Formatos

ROC + AOC: informe de auditoría completo (QSA/ISA).
SAQ: autoevaluación de uno de los tipos (ver más abajo), más una exploración ASV externa.

3) Ámbito (Scope) y CDE: cómo estrechar y controlar

CDE (Cardholder Data Environment): cualquier sistema/red/proceso que almacena, procesa o transmite CHD/SAD.

Estrategias de minimización

1. Redireccionamiento/Página de pago hospedado (HPP): formulario en el lado PSP → SAQ A (scop mínimo).
2. Direct Post/JS + tu página (A-EP): tu página afecta a la seguridad de recopilación de → SAQ A-EP (más ancho).
3. Tokenización: intercambiar PAN por token PSP/su token valt; No tiene un PAN almacenado.
4. Segmentación de la red: aísle el CDE (VLAN/firewall/ACL), reduzca al mínimo el tráfico.
5. Política de «no almacenamiento»: no almacenar PAN/SAD; excepciones - estrictamente justificadas.

💡 Regla de oro: cada byte PAN es un plus al área de auditoría.

4) Tipos de SAQ (resumen)

Tipo SAQA quién se adaptaBreve sobre el área
ASólo redireccione/iframe PSP, no tiene CHDRequisitos mínimos (sin procesamiento del servidor PAN)
A-EPSu página web afecta a la recopilación de CHD (scripts, post en PSP)Controles Web mejorados
B/B-IPTerminales de estación/impresorasRara vez para iGaming
CAplicaciones de pago independientes, red limitadaCasos estrechos
C-VTEntrada manual en el terminal virtualScripts de soporte (no deseados)
P2PESolución certificada con PCI P2PESi es aplicable
D (Merchant/Service Provider)Cualquier otro escenario, almacenamiento/procesamiento de PANConjunto completo de requisitos

5) PCI DSS v4. 0: temas clave

Aplicación personalizada: permite controles alternativos con equivalencia probada (plan, TRA, justificación de prueba).
Análisis de riesgo targeted (TRA): análisis de riesgo puntual para requisitos «flexibles» (frecuencia de procesos, monitoreo).
Autenticación: MFA para acceso administrativo y remoto; contraseñas/pasfrases fuertes; bloqueos/temporizadores.
Vulnerabilidades y paths: escáneres regulares (intra/externa), ASV trimestrales, pentests anuales y después de cambios significativos.
Cifrado: en tránsito (TLS 1. 2+) и at rest; administración de claves (KMS/HSM), rotación, división de roles.
Registros y monitoreo: registros centralizados, protección contra cambios (WORM/firma), revisión diaria de eventos de seguridad.
Segmentación/faervoles/WAF: reglas formales, revisión, topologías documentadas.
SDLC/cambios: dev/test/prod separados, SAST/DAST/dependency-scans, gestión de secretos.
Incidentes: IRP formal, simulacros, roles y lista de contactos, interacción con PSP/banco-ecuador.

6) Datos de la tarjeta: que puede/no puede

CHD: PAN (+ neobjetivo. nombre, fecha límite, código de servicio).
SAD (prohibido almacenar después de la autorización): CVV/CVC, pistas magnéticas completas, unidades PIN.
Enmascaramiento: muestra un PAN con una máscara (normalmente los primeros 6 y los últimos 4).
Tokenización/almacenamiento: si almacena PAN → cifrado, acceso Need-to-Know, claves por separado, registros duros.

7) Dominios de control (lista de verificación práctica)

1. La segmentación CDE es subredes individuales, deny-by-default, control egress.
2. Inventario de activos: todos los sistemas en CDE y relacionados.
3. Hardning: configuraciones seguras, desactivación predeterminada, estándares básicos.
4. Vulnerabilidades/parches: procesos, SLA, confirmaciones de implementación.
5. Registro: sincronización de tiempo, registros centralizados, WORM/firmas.
6. Los accesos son RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 minutos.
7. Criptografía - TLS, KMS/HSM, rotación, funciones separadas crypto-custodios.
8. Desarrollo - SAST/DAST/DS/IaC, secreto-escáneres, firmas pipelinas.
9. Análisis ASV - trimestral y después de los cambios, "Pass' estados de almacenamiento.
10. Pentests - exterior ./interior. La red y prilozh., como mínimo anualmente.
11. Plan IR - ejercicios, sala de guerra con PSP/ecuador, líneas de tiempo.
12. Formación - phishing, código seguro, PCI-awareness para roles.
13. Documentos/procedimientos: política de retención/eliminación de PAN, registro de exportaciones.

8) Interacción con PSP/vendedores

Contratos: SLA por disponibilidad/seguridad, DPIA/TPRM, derecho de auditoría, incidente-notificación ≤ 72 h.
Tecnología: NRR/redireccionamiento por TLS, webhooks firmados, mTLS/claves en KMS, rotación.
Monitoreo trimestral: informes PSP (Attestation, Certificate), extractos de ASV/pentesto, cambios de SDK.

9) Documentos de conformidad

ROC (Report on Compliance): informe completo de QSA.
AOC (Attestation of Compliance): confirmación de conformidad (anexo ROC/SAQ).
SAQ: tipo de autoevaluación seleccionado (A, A-EP, D, etc.).
Informes ASV: escaneado externo por un proveedor certificado.
Políticas/procedimientos: versiones, propietarios, registros de cambios.
Evidencia: esquemas de red, registros WORM, resultados de pruebas, tickets.

10) Roles y RACI

ActividadProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & arquitecturaA/RRRCCCC
Segmentación/Faervoles/WAFCA/RRIICI
Tokenización/redireccionamientoA/RRRCCCR
Vulnerabilidades/parchesIA/RRIICI
Registros/monitoreoIA/RRCICI
ASV/pentestsIA/RRIIRI
Documentos ROC/SAQ/AOCIA/RCIRRI
Incidentes de ICPCA/RRIRCC

11) Métricas (KPI/KRI)

ASV Pass Rate: 100% de los informes trimestrales son "pass'.
Patch SLA High/Critical: ≥ 95% a tiempo.
Pentest Findings Closure: ≥ 95% High cerrado ≤ 30 días.
Administración de cobertura MFA: 100%.
Log Integrity: 100% de sistemas críticos con WORM/firmas.
Reducción de Scope: porcentaje de pagos a través del redireccionamiento/tokenización ≥ 99%.
Incidentes: Incidentes PCI con notificación a tiempo - 100%.

12) Hoja de ruta (8-12 semanas antes de SAQ/ROC)

Semanas 1-2: selección del modelo de recepción de pagos (NRR/tokenización), mapeo de CDE, esquema de red, plan de segmentación, selección de SAQ/ROC.
Semanas 3-4: hardning, MFA, registros WORM, escáneres SDLC, claves/KMS, política de retención PAN (por defecto, no almacenar).
Semanas 5-6: ASV-scan # 1, correcciones; pentest (web/network/webhooks), ejercicios de IR con PSP, finalización de documentación.
Semanas 7-8: SAQ llenando o auditando QSA (Stage-entrevista, muestras), cerrando hallazgos, preparando AOC/ROC.
Semanas 9-12 (opz.) : «Customized Approach» y TRA, optimización de segmentación, integración de dashboards KPI/KRI.

13) Hojas de cheques

Antes de iniciar la recepción de tarjetas

  • Ruta seleccionada sin almacenamiento PAN/SAD
  • Redireccionamiento/iframe PSP o tokenización personalizados
  • Segmentación CDE, deny-by-default, WAF
  • MFA/IGA/JIT/PAM para administradores
  • Logs (WORM, firmas, NTP) y dashboards
  • ASV-scan pasado, pentesto cerrado
  • Plan de IR y contactos PSP/banco

Para la certificación anual

  • Se actualizaron los esquemas y la lista de sistemas del CDE
  • Pasado 4 ASV trimestrales, «pase» guardado
  • Penteste ≤ 12 meses. y después de los cambios
  • Las políticas/procedimientos son relevantes, versiones/propietarios
  • Llenado por SAQ/recibido por ROC, emitido por AOC

14) Errores frecuentes y cómo evitarlos

Recopilar PAN en su página sin la protección adecuada → SAQ A-EP/D. Utilice HPP/iframe de PSP.
Registros sin protección contra cambios. Habilite WORM/firmas y revisión diaria.
No hay segmentación - «toda la red en CDE». Aísle el circuito de pago con rigor.
Almacenamiento CVV/SAD. Prohibido después de la autorización.
ASV/pentests incompletos. Haga después de los cambios y almacene los informes/remediaciones.

15) Integración con el resto de las secciones wiki

Páginas relacionadas: Política de contraseña y MFA, RBAC/Privilegio Least, Política de registro, Incidentes y fugas, TPRM y SLA, ISO 27001/27701, SOC 2 - para mapear controles y un conjunto único de evidencia.

TL; DR

Éxito PCI DSS v4. 0 = scop mínimo (NRR/tokenización) + segmentación rígida CDE + MFA/registros WORM/cifrado/KMS + ASV trimestral, penteste anual y después de los cambios + documentos terminados SAQ/ROC/AOC. Esto reduce los costos de auditoría, acelera las integraciones con PSP y hace que el circuito de pago sea probablemente seguro.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.