GH GambleHub

PCI DSS : Contrôle et certification

1) Qu'est-ce que PCI DSS et pourquoi est-ce important pour iGaming

PCI DSS est la norme de sécurité de l'industrie des cartes de paiement (Visa/Mastercard/Amex/Discover/JCB). Pour l'opérateur iGaming, il définit les mesures techniques et organisationnelles de protection des données des titulaires de carte (CHD), y compris le PAN et les données d'authentification sensibles (SAD). L'incohérence risque des amendes, des tarifs interbancaires élevés, le retrait du compte merchant et des dommages à la réputation.

2) Rôles, niveaux et type de certification

Rôles

Merchant (merchant) : accepte les cartes des joueurs.
Service Provider : Traite/hostit/stocke le CHD pour les merchants (y compris l'hébergement, la plate-forme de paiement, la tokenisation).

Niveaux (niveau élevé)

Niveaux de merchant 1 à 4 : par transaction annuelle ; Le niveau 1 exige généralement un RCO (Rapport sur la conformité) de la QSA.
Niveau du fournisseur de services 1-2 : Niveau 1 - RCO obligatoire.

Formats d'évaluation

ROC + AOC : rapport complet du vérificateur (QSA/ISA).
SAQ : autoévaluation selon l'un des types (voir ci-dessous), plus scan ASV externe.

3) Zone (Scope) et CDE : comment réduire et gérer

CDE (Cardholder Data Environment) - tous les systèmes/réseaux/processus qui stockent, traitent ou transmettent le CHD/SAD.

Stratégies de minimisation

1. Redirect/Hosted Payment Page (HPP) : formulaire sur le côté PSP → SAQ A (groupe minimum).
2. Direct Post/JS + votre page (A-EP) : votre page affecte la sécurité de la collecte des → SAQ A-EP (plus large).
3. Tokenization : échange de PAN contre un jeton PSP/votre jeton-valt ; Le PAN n'est pas stocké chez vous.
4. Segmentation du réseau : Isolez le CDE (VLAN/Fiervols/ACL), réduisez le trafic au minimum.
5. « No storage » politique : ne pas stocker le PAN/SAD ; exceptions - strictement justifiées.

💡 Règle d'or : chaque octet de PAN est un plus à la zone d'audit.

4) Types de SAQ (composite)

Type SAQÀ qui il convientBref sur la zone
ASeulement redirect/iframe PSP, pas de CHD vousExigences minimales (pas de traitement serveur PAN)
A-EPVotre page Web affecte la collecte de CHD (scripts, post sur PSP)Contrôles Web renforcés
B/B-IPTerminaux/imprimantes de stationRarement pour iGaming
CApplications de paiement indépendantes, réseau limitéMallettes étroites
C-VTEntrée manuelle dans le terminal virtuelScripts de support (non désirés)
P2PESolution certifiée PCI P2PESi applicable
D (Merchant/Service Provider)Tout autre scénario, stockage/traitement PANEnsemble complet d'exigences

5) PCI DSS v4. 0 : thèmes clés

Approche personnalisée : permet des contrôles alternatifs à l'équivalence prouvée (plan, TRA, justification de test).
Targeted Risk Analysis (TRA) : analyse de risque ponctuelle pour les exigences « flexibles » (fréquence des processus, surveillance).
Authentification : MFA pour l'accès à distance et à distance ; Mots de passe/pasphrases forts ; verrouillage/temporisation.
Vulnérabilités et pachi : scans réguliers (intra/externes), VAS trimestriels, pentestes annuellement et après changements significatifs.
Cryptage : en transit (TLS 1. 2+) и at rest; gestion des clés (KMS/HSM), rotation, répartition des rôles.
Logs et monitoring : Logs centralisés, protection contre les changements (WORM/signature), aperçu quotidien des événements de sécurité.
Segmentation/Faervols/WAF : règles formelles, révision, topologies documentées.
SDLC/modifications : dev/test/prod séparés, SAST/DAST/despendensi-scans, gestion des secrets.
Incidents : IRP formel, exercices, rôles et liste de contact, interaction avec le PSP/banque-acquéreur.

6) Données des cartes : ce qui est possible/impossible

CHD : PAN (+ *. nom, durée, code de service).
SAD (interdit de stockage après autorisation) : CVV/CVC, pistes magnétiques complètes, blocs PIN.
Masquage : affichage du PAN avec le masque (généralement les 6 premiers et les 4 derniers).
Tokenization/stockage : si vous stockez le PAN → le cryptage, l'accès par Need-to-Know, les clés séparément, les journaux durs.

7) Domaines de contrôle (chèque pratique)

1. Segmentation CDE - sous-réseaux distincts, deny-by-default, egress-control.
2. Inventaire des actifs - tous les systèmes du CDE et les systèmes connexes.
3. Hardning - configues sécurisés, désactivation par défaut, normes de base.
4. Vulnérabilités/patchs - processus, SLA, confirmation de déploiement.
5. Journal - Synchronisation temporelle, logs centralisés, WORM/signatures.
6. Accès - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 minutes.
7. Cryptographie - TLS, KMS/HSM, rotation, rôles séparés de crypto-custodians.
8. Développement - SAST/DAST/DS/IaC, scans secrets, signatures pipeline.
9. Scanner ASV - tous les trimestres et après les changements, « Pass » statuts stocker.
10. Les pentestes sont des intestins. réseau et iz.ru, au moins chaque année.
11. Le plan IR est un exercice, une salle de guerre avec PSP/acquéreur, des minuteries.
12. Formation - phishing, codage sécurisé, PCI-awareness pour les rôles.
13. Documents/procédures - Politique de conservation/suppression des PAN, journal d'exportation.

8) Interaction avec les PSP/fournisseurs

Contrats : SLA sur la disponibilité/sécurité, DPIA/TPRM, droit d'audit, avis d'incident ≤ 72 h.
Intégration technique : INR/redirect par TLS, webhooks signés, mTLS/clés dans KMS, rotation.
Surveillance trimestrielle : rapports PSP (Attestation, Certificats), ASV/pentest-extraits, modifications SDK.

9) Documents de conformité

ROC (Rapport sur la conformité) : rapport complet de l'ASQ.
AOC (Attestation of Compliance) : preuve de conformité (annexe au ROC/SAQ).
SAQ : type d'auto-évaluation choisi (A, A-EP, D, etc.).
Rapports ASV : scan externe par un fournisseur certifié.
Politiques/procédures : versions, propriétaires, journaux de modifications.
Preuves : schémas de réseau, logs WORM, résultats de test, tickets.

10) Rôles et RACI

ActivitéProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & architectureA/RRRCCCC
Segmentation/Faervols/WAFCA/RRIICI
Tokenisation/redirectionA/RRRCCCR
Vulnérabilités/patchsIA/RRIICI
Logs/surveillanceIA/RRCICI
ASV/pentestesIA/RRIIRI
Documents ROC/SAQ/AOCIA/RCIRRI
Incidents PCICA/RRIRCC

11) Métriques (KPI/KRI)

ASV Pass Rate : 100 % des rapports trimestriels sont « pass ».
Patch SLA High/Critical : ≥ 95 % à temps.
Pentest Findings Closure : ≥ 95 % Haute fermeture ≤ 30 jours.
MFA Coverage Admins : 100 %.
Log Integrity : 100 % des systèmes critiques avec WORM/signatures.
Réduction Scope : Part des paiements par redirection/Tokenization ≥ 99 %.
Incidents : Incidents PCI avec notification à temps - 100 %.

12) Feuille de route (8-12 semaines avant la SAQ/ROC)

Semaines 1 à 2 : sélection du modèle de réception des paiements (PNR/Tokenization), cartographie CDE, schéma du réseau, plan de segmentation, sélection SAQ/ROC.
Semaines 3-4 : hardning, MFA, logs WORM, scans SDLC, clés/KMS, politique de stockage PAN (ne pas stocker par défaut).
Semaines 5-6 : ASV-scan # 1, corrections ; pentest (web/network/webhooks), enseignement de l'IR avec PSP, finalisation de la documentation.
Semaines 7 à 8 : La SAQ remplit ou vérifie l'ASQ (entrevue-stage, échantillons), clôture des trouvailles, préparation du COA/COR.
Semaines 9-12 (Opz.) : « Approche personnalisée » et TRA, optimisation de la segmentation, intégration des dashboards KPI/KRI.

13) Chèques-feuilles

Avant le début de la réception des cartes

  • Chemin sélectionné sans stockage PAN/SAD
  • Redirect/iframe PSP ou Tokenization personnalisés
  • Segmentation CDE, deny-by-default, WAF
  • MFA/IGA/JIT/PAM pour les admins
  • Logs (WORM, signatures, NTP) et dashboards
  • scan ASV passé, pentest fermé
  • Plan IR et contacts PSP/banque

Pour l'attestation annuelle

  • Schémas et liste des systèmes mis à jour dans le CDE
  • 4 ASV trimestriels passés, « pass » préservés
  • Pentest ≤ 12 m. et après les changements
  • Politiques/procédures à jour, versions/propriétaires
  • Rempli SAQ/reçu ROC, délivré par AOC

14) Erreurs fréquentes et comment les éviter

Collecte du PAN sur sa page sans protection adéquate des → de la SAQ A-EP/D. Utilisez HPP/iframe de PSP.
Logs sans protection contre les changements. Incluez WORM/signatures et un aperçu quotidien.
Pas de segmentation - « tout le réseau en CDE ». Isolez fortement le circuit de paiement.
Stockage CVV/SAD. Interdit après autorisation.
ASV/pentestes incomplets. Faites après les modifications et conservez les rapports/remédiations.

15) Intégration avec le reste des sections wiki

Pages connexes : Politique de mot de passe et MFA, RBAC/Least Privilège, Politique de logs, Incidents et fuites, TPRM et SLA, ISO 27001/27701, SOC 2 - pour les contrôles de mappage et un ensemble unique d'evidence.

TL; DR

Succès de PCI DSS v4. 0 = minimum scope (NRR/Tokenization) + segmentation rigide CDE + MFA/logs WORM/cryptage/KMS + ASV trimestriellement, pentest annuel et après modifications + documents finis SAQ/ROC/AOC. Cela réduit les coûts d'audit, accélère les intégrations avec PSP et rend la boucle de paiement sécurisée.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.