GH GambleHub

PCI DSS کنترل و صدور گواهینامه

1) PCI DSS چیست و چرا برای iGaming اهمیت دارد

PCI DSS استاندارد امنیتی برای صنعت کارت پرداخت (Visa/Mastercard/Amex/Discover/JCB) است. برای اپراتور iGaming، اقدامات فنی و سازمانی را برای محافظت از داده های دارنده کارت (CHD)، از جمله PAN و داده های تأیید هویت حساس (SAD) تعریف می کند. این اختلاف با جریمه، افزایش تعرفه های بین بانکی، فراخوان حساب بازرگان و آسیب اعتبار تهدید می شود.

2) نقش صدور گواهینامه، سطح و نوع

نقش ها

Merchant: کارت های بازیکنان را می پذیرد.
ارائه دهنده خدمات: فرآیندهای/میزبان/فروشگاه CHD برای بازرگانان (از جمله میزبانی، پلت فرم پرداخت، tokenization).

سطوح (سطح بالا)

سطوح تجاری 1-4: با معاملات سالانه ؛ سطح 1 به طور معمول نیاز به ROC (گزارش انطباق) از QSA دارد.
سطح 1-2 ارائه دهنده خدمات: سطح 1 ROC اجباری است.

فرمت های ارزیابی

ROC + AOC: گزارش کامل حسابرس (QSA/ISA)

SAQ: خود ارزیابی توسط یکی از انواع (پایین را ببینید)، به علاوه یک اسکن ASV خارجی.

3) محدوده و CDE: نحوه محدود کردن و مدیریت

CDE (محیط داده دارنده کارت) - هر سیستم/شبکه/فرآیندی که CHD/SAD را ذخیره، پردازش یا انتقال می دهد.

استراتژی های به حداقل رساندن

1. صفحه پرداخت میزبانی (HPP): PSP → SAQ فرم.
2. پست مستقیم/JS + صفحه شما (A-EP): صفحه شما بر ایمنی جمع آوری SAQ A-EP → (گسترده تر) تاثیر می گذارد.
3. نشانه گذاری: مبادله PAN برای نشانه PSP/token-walt شما ؛ PAN با شما ذخیره نمی شود.
4. تقسیم بندی شبکه: CDE (VLAN/فایروال/ACL) را جدا کنید، ترافیک را به حداقل برسانید.
5. سیاست «بدون ذخیره سازی»: PAN/SAD را ذخیره نکنید ؛ استثنائات به شدت توجیه می شوند.

قانون طلایی: هر بایت از PAN یک مزیت برای دامنه حسابرسی است.

4) انواع SAQ (خلاصه شده)

نوع SAQچه کسی مناسب استمختصری درباره منطقه
یک نفرفقط PSP تغییر مسیر/iframe، بدون CHD شماحداقل الزامات (بدون پردازش سرور PAN)
یک EPصفحه وب شما مجموعه CHD را تحت تاثیر قرار می دهد (اسکریپت ها، ارسال به PSP)کنترل وب پیشرفته
B/B-IPپایانه های ایستگاه/چاپگرهانادر برای iGaming
سی شارپبرنامه های پرداخت مستقل، شبکه محدودموارد باریک
سی وی تیورودی دستی به ترمینال مجازیاسکریپت پشتیبانی (نامطلوب)
P2PEPCI P2PE Certified Solutionدر صورت لزوم
D (بازرگان/ارائه دهنده خدمات)هر سناریو دیگر، ذخیره سازی/پردازش PANمجموعه ای کامل از الزامات

5) PCI DSS v4. 0: موضوعات کلیدی

رویکرد سفارشی: اجازه می دهد تا کنترل های جایگزین تحت هم ارزی اثبات شده (طرح، TRA، توجیه آزمون).
تجزیه و تحلیل ریسک هدفمند (TRA): تجزیه و تحلیل ریسک نقطه برای الزامات «انعطاف پذیر» (فرکانس فرآیند، نظارت).
احراز هویت: MFA برای مدیریت و دسترسی از راه دور ؛ کلمات عبور/عبارات عبور قوی ؛ قفل/زمان.
آسیب پذیری ها و پچ ها: اسکن های منظم (داخلی/خارجی)، ASV سه ماهه، سالانه و پس از تغییرات قابل توجه.
رمزگذاری: در حمل و نقل (TLS 1. 2 + и در حالت استراحت مدیریت کلید (KMS/HSM)، چرخش، جداسازی نقش.
سیاهههای مربوط و نظارت: سیاهههای مربوط متمرکز، حفاظت در برابر تغییرات (WORM/امضا)، بررسی روزانه رویدادهای امنیتی.
تقسیم بندی/فایروال/WAF: قوانین رسمی، بررسی، توپولوژی های مستند شده.
SDLC/تغییرات: dev/test/prod جدا شده، اسکن SAST/DAST/وابستگی، مدیریت مخفی.
حوادث: IRP رسمی، دریل، نقش و لیست تماس، تعامل با PSP/کسب بانک.

6) اطلاعات کارت: چه چیزی می تواند/نمی تواند

CHD: PAN (+ اختیاری است. نام، اصطلاح، کد خدمات).
SAD (ممنوع برای ذخیره پس از مجوز): CVC/CVC، آهنگ های مغناطیسی کامل، بلوک های PIN.
پوشش: صفحه نمایش PAN با ماسک (معمولا اول 6 و آخرین 4).
نشانه گذاری/ذخیره سازی: اگر شما ذخیره PAN → رمزگذاری، نیاز به دانستن دسترسی، کلید به طور جداگانه، سیاهههای مربوط سخت است.

7) دامنه های کنترل (چک لیست عملی)

1. تقسیم بندی CDE - زیر شبکه های جداگانه، انکار به طور پیش فرض، کنترل خروج.
2. موجودی دارایی - تمام سیستم های موجود در CDE و مرتبط.
3. Hardning - پیکربندی های ایمن، خاموش شدن پیش فرض، استانداردهای اساسی.
4. آسیب پذیری ها/پچ ها - فرآیندها، SLA ها، تأییدیه های استقرار.
5. ورود به سیستم - هماهنگ سازی زمان، سیاهههای مربوط متمرکز، WORM/امضا.
6. دسترسی - RBAC/ABAC، MFA، SoD، JIT/PAM، خروج ≤ 15 دقیقه.
7. رمزنگاری - TLS، KMS/HSM، چرخش، نقشهای جداگانه رمزنگاریشده.
8. توسعه - SAST/DAST/DS/IaC، اسکن مخفی، امضای خط لوله.
9. اسکن ASV - سه ماهه و پس از تغییرات, «پاس» وضعیت برای ذخیره.
10. Pentests - شبکه خارجی/داخلی و †، حداقل سالانه.
11. IR-طرح - تمرینات، اتاق جنگ با PSP/خریدار، جدول زمانی.
12. آموزش - فیشینگ، برنامه نویسی امن، آگاهی PCI برای نقش ها.
13. اسناد/رویه ها - سیاست حفظ/حذف PAN، ورود به سیستم صادرات.

8) تعامل با PSP/فروشندگان

قراردادها: SLA در دسترس بودن/امنیت, DPIA/TPRM, حق حسابرسی, حادثه اطلاعیه ≤ 72 ساعت.
ادغام فنی: HP/redirect برای TLS، وب سایت های امضا شده، mTLS/کلید در KMS، چرخش.
نظارت سه ماهه: گزارش PSP (گواهی، گواهی)، ASV/گزیده پنتست، تغییرات SDK.

9) اسناد انطباق

ROC (گزارش انطباق): گزارش کامل QSA.
AOC (گواهی انطباق) - تایید انطباق (پیوست به ROC/SAQ).
SAQ: نوع انتخاب شده خود ارزیابی (A، A-EP، D، و غیره).
ASV گزارش می دهد: اسکن خارجی توسط یک ارائه دهنده گواهی.
سیاست ها/رویه ها: نسخه ها، صاحبان، سیاهههای مربوط به تغییر.
شواهد: نمودارهای شبکه، سیاهههای مربوط به WORM، نتایج آزمون، بلیط.

10) نقش ها و RACI

فعالیت هامحصول/پرداختامنیت/CISOSRE/فناوری اطلاعاتداده ها/BIحقوقی/انطباقQSA/ISAPSP
محدوده/CDE و معماریA/Rتحقیق و توسعهتحقیق و توسعهسی شارپسی شارپسی شارپسی شارپ
تقسیم بندی/فایروال/WAFسی شارپA/Rتحقیق و توسعهمن و تومن و توسی شارپمن و تو
نشانه گذاری/تغییر مسیرA/Rتحقیق و توسعهتحقیق و توسعهسی شارپسی شارپسی شارپتحقیق و توسعه
آسیب پذیری ها/تکهمن و توA/Rتحقیق و توسعهمن و تومن و توسی شارپمن و تو
سیاهههای مربوط/نظارتمن و توA/Rتحقیق و توسعهسی شارپمن و توسی شارپمن و تو
ASV/پنتستمن و توA/Rتحقیق و توسعهمن و تومن و توتحقیق و توسعهمن و تو
ROC/SAQ/AOC اسنادمن و توA/Rسی شارپمن و توتحقیق و توسعهتحقیق و توسعهمن و تو
رویدادهای PCIسی شارپA/Rتحقیق و توسعهمن و توتحقیق و توسعهسی شارپسی شارپ

11) معیارها (KPI/KRI)

ASV نرخ عبور: 100٪ گزارش های سه ماهه - «پاس».
پچ SLA بالا/بحرانی: ≥ 95٪ در زمان.
بسته شدن یافته های پنتست: ≥ 95٪ بالا بسته ≤ 30 روز.
پوشش MFA از مدیران: 100٪.
یکپارچگی ورود: 100٪ سیستم های بحرانی با WORM/امضا.
کاهش محدوده: سهم پرداخت از طریق تغییر مسیر/نشانه گذاری ≥ 99٪.
رخدادها: رخدادهای PCI با ضربالاجل 100%.

12) نقشه راه (8-12 هفته قبل از SAQ/ROC)

هفته 1-2: انتخاب مدل پرداخت (HPP/tokenization)، نقشه برداری CDE، طرح شبکه، طرح تقسیم بندی، انتخاب SAQ/ROC.
هفته 3-4: سخت شدن، MFA، WORM سیاهههای مربوط، اسکن SDLC، کلید/KMS، سیاست ذخیره سازی PAN (به طور پیش فرض - ذخیره نمی شود).
هفته 5-6: اسکن ASV شماره 1، اصلاحات ؛ pentest (وب/شبکه/webhooks)، IR-learning با PSP، نهایی سازی اسناد و مدارک.
هفته 7-8: تکمیل SAQ یا حسابرسی QSA (مرحله مصاحبه، نمونه)، بسته شدن یافته ها، آماده سازی AOC/ROC.
هفته 9-12 (Op.): «رویکرد سفارشی» و TRA، بهینه سازی تقسیم بندی، KPI/KRI ادغام داشبورد.

13) چک لیست

قبل از شروع پذیرش کارت

  • مسیر ذخیره سازی غیر PAN/SAD انتخاب شده است
  • PSP تغییر مسیر/iframe یا نشانه گذاری پیکربندی شده است
  • تقسیم بندی CDE، انکار به طور پیش فرض، WAF
  • MFA/IGA/JIT/PAM برای مدیران
  • سیاهههای مربوط (WORM، امضا، NTP) و داشبورد
  • ASV اسکن گذشت، pentest بسته است
  • طرح IR و PSP/اطلاعات تماس بانک

برای صدور گواهینامه سالانه

  • به روز شده CDE شماتیک و لیست سیستم
  • گذشت 4 ASVs سه ماهه، «پاس» ذخیره
  • پنتست ≤ 12 ماه و پس از تغییرات
  • سیاست ها/روش ها به روز، نسخه/صاحبان
  • پر شده توسط SAQ/دریافت شده توسط ROC، صادر شده توسط AOC

14) اشتباهات مکرر و چگونگی اجتناب از آنها

جمع آوری PAN در صفحه خود را بدون حفاظت مناسب → SAQ A-EP/D. استفاده از HPP/iframe از PSP.
بدون حفاظت در برابر تغییرات شامل WORM/امضا و بررسی روزانه.
بدون تقسیم بندی - "کل شبکه در CDE. "به طور جدی حلقه پرداخت را جدا کنید.
ذخیره سازی CVV/SAD. پس از مجوز ممنوع است.
ASVs/pentests ناقص. پس از تغییرات انجام دهید و گزارش ها/اصلاحات را نگه دارید.

15) ادغام با بقیه بخش های ویکی

صفحات مرتبط: سیاست رمز عبور و MFA, RBAC/حداقل امتیاز, سیاست ورود, حوادث و نشت, TPRM و SLA, ISO 27001/27701, SOC 2 - برای نقشه برداری کنترل و یک مجموعه واحد از شواهد.

TL ؛ دکتر متخصص

موفقیت PCI DSS V4. 0 = حداقل دامنه (HPP/tokenization) + تقسیم بندی سخت CDE + MFA/WORM سیاهههای مربوط/رمزگذاری/KMS + ASV سه ماهه، pentest سالانه و پس از تغییرات + اسناد SAQ/ROC/AOC به پایان رسید. این هزینه های حسابرسی را کاهش می دهد، ادغام PSP را تسریع می کند و حلقه پرداخت را به طور قابل ملاحظه ای امن می کند.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.