PCI DSS: سطوح و انطباق

1) PCI DSS چیست و چه کسی به آن نیاز دارد

• قبول پرداخت کارت (به طور مستقیم یا از طریق PSP/دروازه)،
• پردازش/ذخیره/انتقال داده های کارت (PAN، مدت، CVV) و یا فرم های کوتاه/رمزگذاری شده آنها،
• ارائه دهنده خدمات برای دیگر بازرگانان (میزبانی، پردازش، ضد تقلب، ارکستراسیون پرداخت، و غیره) اگر شما می توانید امنیت این کارت ها را تحت تاثیر قرار.

نسخه و زمان بندی: نسخه فعلی PCI DSS v4 است. 0. مورد نیاز v3. 2. 1 بازنشسته ؛ آیتم های «تاریخ آینده» v4. 0 در حال حاضر موثر است. جدید در V4 0: MFA پیشرفته، «رویکرد سفارشی»، تجزیه و تحلیل ریسک هدفمند فرکانس روش، تقسیم بندی و اصلاحات رمزگذاری.

2) سطوح انطباق: بازرگانان و ارائه دهندگان خدمات

2. 1 بازرگانان (بازرگانان)

• سطح ۱: بیش از ۶ میلیون تراکنش در سال یا به خطر افتاده است. نیاز به ROC سالانه (گزارش انطباق) از QSA یا ISA داخلی در آشتی، + اسکن ASV سه ماهه.
• سطح 2: 1-6 میلیون ~ در سال. معمولا - SAQ (خود ارزیابی) + اسکن ASV ؛ برخی از طرح ها/متقاضیان ممکن است نیاز به ROC داشته باشند.
• سطح 3: ~ 20k-1 میلیون تجارت الکترونیک/سال. معمولا - اسکن SAQ + ASV.
• سطح 4: زیر آستانه L3. SAQ ؛ الزامات ممکن است با خرید بانک متفاوت باشد.

2. 2 ارائه دهندگان خدمات

معمولا 2 سطح ؛ برای سطح 1 (حجم بزرگ/نقش حیاتی در زنجیره)، ROC از QSA مورد نیاز است، برای سطح 2 - SAQ-D SP (گاهی اوقات - ROC به درخواست پیمانکاران/طرح ها). در iGaming، بسیاری از PSP ها/دروازه ها/شرکای میزبانی SP سطح 1 هستند.

3) SAQ در مقابل ROC: نحوه انتخاب

• SAQ A - فقط فیلدهای ریدایرکت/iframe/hosted ؛ هیچ پردازش/انتقال/ذخیره سازی کارت با شما وجود دارد.
• SAQ A-EP تجارت الکترونیکی است، جایی که سایت شما بر امنیت صفحه پرداخت تأثیر می گذارد (به عنوان مثال، اسکریپت های میزبان)، اما PAN در محیط ارائه دهنده معرفی شده است.
• SAQ B/B-IP - پایانه ها/imprinters بدون ذخیره سازی الکترونیکی ؛ B-IP - پایانه های متصل
• SAQ C-VT/C - پایانه های مجازی/محیط پردازش کوچک، بدون ذخیره سازی.
• SAQ P2PE تنها یک راه حل P2PE گواهی PCI است.
• SAQ D (Merchant/Service Provider) - گزینه «گسترده» برای هر پردازش/انتقال/ذخیره سازی، ادغام های سفارشی، ارکسترها و غیره

تمرین برای iGaming: مسیر هدف SAQ A/A-EP به دلیل جریان های PAN-safe، نشانه گذاری و زمینه های میزبان است. اگر خدمات پرداخت خود را دارید - معمولا SAQ D یا ROC.

4) محدوده: چه می رود به CDE و چگونه آن را محدود کردن

CDE (محیط داده دارنده کارت) - سیستم هایی که داده های کارت پردازش/ذخیره/انتقال داده می شود و تمام بخش های متصل/تاثیر گذار.

• Hosted fields/iframe/TSP - PAN را در خارج از دامنه خود وارد کنید.
• توکنسازی و توکنهای شبکه: خدمات شما روی توکنها کار میکنند، نه PAN.
• P2PE: رمزگذاری پایان به پایان با یک راه حل گواهی شده.
• تقسیم بندی شبکه: ACL های سخت، جداسازی CDE از بقیه محیط.
• DLP اجباری و ورود به سیستم، ممنوعیت تخلیه با PAN/CVV.

در V4. 0 انعطاف پذیری روش ها برای دستیابی به اهداف را اضافه کرد، اما شواهد اثربخشی و تجزیه و تحلیل ریسک هدفمند اجباری است.

5) PCI DSS v4 "12 مورد نیاز است. "0 (به معنی بلوک)

1. امنیت شبکه و تقسیم بندی (فایروال، ACL، جداسازی CDE).
2. پیکربندی امن میزبان/دستگاه (سخت شدن، خطوط پایه).
3. حفاظت از داده های دارنده کارت (ذخیره سازی PAN - فقط در صورت لزوم، رمزنگاری قوی).

4. حفاظت از داده ها در هنگام انتقال (TLS 1) 2 + و معادل آن)

5. آنتی ویروس/ضد تروجان و کنترل یکپارچگی.
6. توسعه و اصلاح امن (SDLC، SAST/DAST، کنترل کتابخانه).
7. دسترسی به عنوان مورد نیاز (حداقل امتیاز، RBAC).
8. شناسایی و احراز هویت (MFA برای مدیر و دسترسی از راه دور، کلمه عبور توسط v4. 0).
9. امنیت فیزیکی (مراکز داده، دفاتر، پایانه ها).
10. ثبت و نظارت (تمرکز سیاهههای مربوط، تغییر ناپذیری، هشدارها).
11. تست ایمنی (اسکن ASV سه ماهه، pentests سالانه و پس از تغییرات، آزمون تقسیم بندی).
12. سیاست و مدیریت ریسک (روش ها، آموزش، حادثه پاسخ، ارزیابی ریسک، «رویکرد سفارشی» اسناد).

6) فعالیت های اجباری و فرکانس

اسکن ASV (خارجی) - سه ماهه و پس از تغییرات قابل توجه است.
آسیب پذیری/پچ کردن - چرخه های منظم (فرکانس ها توسط TRA توجیه می شوند - تجزیه و تحلیل ریسک هدفمند).
تست نفوذ (داخلی/خارجی) - سالانه و پس از تغییرات قابل توجه ؛ بررسی تقسیم بندی اجباری است.
سیاهههای مربوط و نظارت - به طور مداوم، با حفظ و حفاظت در برابر تغییرات.
آموزش پرسنل - هنگام استخدام و سپس به طور منظم.
MFA - برای همه مدیر و دسترسی از راه دور به CDE.
موجودی سیستم/جریان داده - به طور مداوم به روز رسانی.

7) ماتریس انتخاب SAQ (کوتاه)

فقط iframe/redirect، بدون PAN شما → SAQ A.
تجارت الکترونیک، سایت شما بر روی صفحه پرداخت → SAQ A-EP تاثیر می گذارد.
پایانه ها/نشانه → SAQ B/B-IP.
ترمینال مجازی → SAQ C-VT.
شبکه کوچک «کارت» بدون ذخیره سازی → SAQ C.
راه حل P2PE → SAQ P2PE.
دیگر/پیچیده/ذخیره سازی/پردازش → SAQ D (یا ROC).

8) مصنوعات و شواهد برای حسابرسی

• نمودارهای جریان شبکه و داده، ثبت دارایی، ثبت فروشنده، ثبت حسابداری/دسترسی.
• سیاست ها/رویه ها: توسعه امن، مدیریت تغییر، ورود به سیستم، حوادث، آسیب پذیری ها، کلید ها/رمزنگاری، دسترسی از راه دور، پشتیبان گیری.
• گزارش ها: ASV، pentests (تقسیم بندی فراگیر)، اسکن آسیب پذیری، نتایج اصلاح.
• سیاهههای مربوط/هشدار: سیستم متمرکز، غیر قابل تغییر، تجزیه و تحلیل حادثه.
• مدیریت رمزنگاری: روشهای KMS/HSM، چرخش، موجودی کلیدها/گواهینامه ها.
• اثبات «رویکرد سفارشی» (در صورت استفاده): اهداف کنترل، روش، معیارهای عملکرد، TRA.
• محدوده مسئولیت از اشخاص ثالث: شرکای AoC (PSP، میزبانی، CDN، ضد تقلب)، ماتریس مسئولیت مشترک.

9) پروژه انطباق (گام به گام)

1. کپی و شکاف تجزیه و تحلیل-تعریف CDE, بخش های مجاور, معافیت های فعلی.
2. برنده سریع: جریان PAN-safe (زمینه های iframe/hosted)، نشانه گذاری، ممنوعیت PAN در سیاهههای مربوط، آسیب پذیری های کرت «خارجی» را ببندید.
3. تقسیم بندی و شبکه: جداسازی CDE، mTLS، فایروال ACL، دسترسی حداقل امتیاز، MFA.
4. قابلیت مشاهده: ورود متمرکز، نگهداری/زنجیره نگهداری، هشدارها.
5. آسیب پذیری و مدیریت کد: SAST/DAST، پچ، SBOM، کنترل وابستگی.
6. تست ها: اسکن ASV، تست نفوذ داخلی/خارجی، بررسی تقسیم بندی.
7. اسناد و آموزش: روش ها، کتاب های IR، آموزش ها، سوابق آموزشی.
8. انتخاب فرم صدور گواهینامه: SAQ (نوع) یا ROC ؛ با خریدار/مارک ها موافقت شود.
9. چرخه سالانه: پشتیبانی، شواهد، بررسی ریسک/فرکانس، بازپرداخت.

10) ادغام با معماری iGaming

هماهنگ کننده پرداخت فقط با نشانه ها کار می کند ؛ «پن» نميتونه ببينه.
چند PSP: بررسی سلامت، مسیریابی هوشمند، idempotency، ретраи ؛ AoC از هر PSP.
اتوبوس رویداد محور/DWH: بدون PAN/CVV ؛ ماسک کردن 4 رقم آخر دروازه های DLP در CI/CD.
چک های 3DS/SCA: فقط مصنوعات لازم (شناسه های معامله) را بدون اطلاعات حساس ذخیره کنید.

11) خطاهای مکرر

ورود به سیستم PAN/CVV و ماسک های نامعتبر.
«موقت» مسیریابی PAN از طریق API های داخلی/اتوبوس.
عدم وجود تست تقسیم پنجگانه.
فرکانس غیر منطقی از روش (بدون TRA توسط v4. 0).
وابستگی به یک PSP بدون AoC و بدون برگشت.

بخش های «تاثیرگذار» حساب نشده (admin-jump-hosts, monitoring, backups)

12) چک لیست شروع سریع (iGaming)

• برو به زمینه های میزبان/iframe ؛ ورودی PAN را از فرم های خود حذف کنید.
• فعال کردن نشانه سازی/نشانه های شبکه ؛ PAN را از رویدادها/سیاهههای مربوط حذف کنید.
• انجام کپی CDE و جداسازی بخش (MFA، RBAC، mTLS).
• تنظیم سیاهههای مربوط متمرکز و هشدار (تغییر ناپذیری، حفظ).
• اجرای اسکن ASV، از بین بردن بحرانی/بالا.
• انجام آزمون نفوذ (داخلی/خارجی) + آزمون تقسیم بندی.
• آماده سیاست ها/روش ها و شواهد اجرای.
• موافقت فرم صلاحیت با تحصیل کننده (نوع SAQ/ROC).
• دریافت و ذخیره AoC از تمام فروشندگان کرت.
• ادغام کنترل PCI به چرخه انتشار (SDLC، IaC سخت شدن، DLP در CI/CD).

13) سوالات متداول کوتاه

آیا به QSA نیاز دارم ؟ برای ROC، بله. صدور گواهینامه اغلب برای SAQ کافی است، اما بسیاری از خریداران/مارک ها ممکن است نیاز به یک شریک QSA/ASV داشته باشند.
اگر ما PAN را ذخیره نکنیم ؟ هنوز هم تحت PCI DSS قرار می گیرید اگر کارت ها را قبول کنید. هدف برای رسیدن به SAQ A/A-EP.
آیا 3DS PCI را حل می کند ؟ نه، اينطور نيست 3DS - در مورد احراز هویت ؛ PCI - در مورد حفاظت از داده ها.
آیا TLS کافی است ؟ نه، اينطور نيست تمام الزامات مربوط به v4 مورد نیاز است. 0، از جمله فرآیندها و شواهد.

14) خلاصه

برای iGaming، استراتژی بهینه این است که دامنه (PAN-safe، tokenization، زمینه های میزبانی شده P2PE در صورت امکان)، بخش سخت CDE، تست های ورود به سیستم/آسیب پذیری/نفوذ خودکار، جمع آوری یک بسته کامل از مصنوعات و فرم صحیح تایید (SAQ یا ROC) را در سطح خود انتخاب کنید. این خطر را کاهش می دهد، سرعت ادغام با PSP، و حفظ تبدیل پایدار و کسب درآمد در حالی که نیازهای نام تجاری کارت.