בקרה ואישור PCI DSS

1) מהי PCI DSS ומדוע היא חשובה ל ־ iGaming

PCI DSS הוא תקן האבטחה של תעשיית כרטיסי התשלום (Visa/Mastercard/Amex/Discover/JCB). עבור אופרטור ה-iGaming, הוא מגדיר אמצעים טכניים וארגוניים להגנה על נתוני מחזיק כרטיס (CHD), כולל נתוני אימות (PAN) ורגישים (SAD). אי ההתאמה מאיימת בקנסות, תעריפים מוגדלים של גדות, החזרת חשבון הסוחר ונזק למוניטין.

2) תפקידי הסמכה, רמות וסוג

תפקידים

מקבל קלפים מהשחקנים.
ספק שירות: תהליכים/מארחים/חנויות CHD לסוחרים (כולל אירוח, פלטפורמת תשלום, טוקניזציה).

רמות (רמה גבוהה)

רמות הסוחר 1-4: על ידי עסקאות שנתיות; רמה 1 דורשת בדרך כלל ROC (דיווח על ציות) מ ־ QSA.
רמת ספק השירות 1-2: רמה 1 היא ROC חובה.

תבניות הערכה

דו "ח מבקר מלא (QSA/ISA).
SAQ: הערכה עצמית על ידי אחד מהסוגים (ראו להלן), בתוספת סריקת ASV חיצונית.

3) היקף ו ־ CDE: כיצד לצמצם ולנהל

CDE (Cardholder Data Environment) - כל מערכת/רשת/תהליכים המאחסנים, מעבדים או מעבירים CHD/SAD.

אסטרטגיות מזעור

1. עמוד התשלום המארח (HPP): PSP # SAQ A form.
2. Direct Post/JS + הדף שלך (A-EP): הדף שלך משפיע על הבטיחות באיסוף SAQ A-EP # (רחב יותר).
3. tokenization: PAN בתמורה ל-PSP token/your token-wolt; פאן לא מאוחסן איתך.
4. קטעי רשת: לבודד CDE (VLAN/חומות אש/ACL), למזער את התנועה.
5. מדיניות ”אין אחסון”: לא לאחסן את PAN/SAD; יוצאים מן הכלל מוצדקים בהחלט.

4) סוגי SAQ (סיכם)

5) PCI DSS v4. 0: נושאים מרכזיים

גישה מותאמת אישית: מאפשרת בקרות אלטרנטיביות תחת שוויון מוכח (תוכנית, TRA, הצדקת מבחן).
ניתוח סיכונים ממוקד (TRA): ניתוח סיכונים נקודתיים לדרישות ”גמישות” (תדר תהליך, ניטור).
אימות: MFA עבור ניהול וגישה מרחוק; סיסמאות/סיסמאות חזקות; מנעולים/פסקי זמן.
נקודות תורפה וטלאים: סריקות רגילות (פנימיות/חיצוניות), ASV רבעוני, מחומשים מדי שנה ולאחר שינויים משמעותיים.
הצפנה: במעבר (TLS 1. 2 +) מנוחה; ניהול מפתחות (KMS/HSM), סיבובים, הפרדת תפקידים.
יומנים וניטור: יומנים מרכזיים, הגנה מפני שינויים (WORM/חתימה), סקירה יומית של אירועי אבטחה.
סגמנט/חומות אש/WAF: כללים רשמיים, סקירה, טופולוגיות מתועדות.
SDLC/שינויים: dev/test/prod production, SAST/DAST/telendency services, secret management.
תקריות: IRP רשמי, תרגילים, תפקידים ורשימת אנשי קשר, אינטראקציה עם PSP/רכישת בנק.

6) נתוני כרטיס: מה יכול/לא יכול

CHD: PAN (+ אופציונלי. שם, מונח, קוד שירות).
CVV/CVC, מסלולים מגנטיים מלאים, בלוקים.
מיסוך: תצוגת PAN עם מסכה (בדרך כלל 6 הראשונים ו-4 האחרונים).
Tokenization/Aחסון: אם אתה מאחסן את ההצפנה של PAN, צריך לדעת גישה, מפתחות בנפרד, רישומים קשיחים.

7) תחומי שליטה (רשימה מעשית)

1. מקטע CDE - רשת משנה נפרדת, מכחיש כברירת מחדל, בקרת יציאה.
2. מלאי נכסים - כל המערכות ב CDE וקשורים.
3. הגדרות מוגנות, כיבוי ברירת מחדל, סטנדרטים בסיסיים.
4. נקודות תורפה/טלאים - תהליכים, SLAs, אישורי פריסה.
5. כריתת עצים - סינכרון זמן, רישומים מרכזיים, חתימות תולעת/תולעת.
6. גישה - RBAC/ABAC, MFA, SOD, JIT/PAM, offfointing freth 15 דקות.
7. קריפטוגרפיה - TLS, KMS/HSM, סיבוב, תפקידי הצפנה נפרדים.
8. פיתוח - SAST/DAST/DS/IC, סריקות סודיות, חתימות צינור.
9. סריקת ASV - רבעונית ולאחר שינויים, ”לעבור” סטטוסים לאחסון.
10. מחומשים - רשת חיצונית/פנימית, לפחות מדי שנה.
11. תרגילים, חדר מלחמה עם PSP/רוכש, צירי זמן.
12. אימון: דיג, קידוד מאובטח, מודעות לתפקידים.
13. מסמכים/נהלים - מדיניות שימור/מחיקה של PAN, יומן ייצוא.

8) אינטראקציה עם PSP/Vendors

חוזים: זמינות/אבטחה SLA, DPIA/TPRM, Audit Right, Incident-Notifications 72 h.
אינטגרציה טכנית: HP/reprect עבור TLS, ספרי אינטרנט חתומים, mTLS/keys ב- KMS, סיבובים.
ניטור רבעוני: דו "חות PSP (Attestation, תעודות), ASV/קטעים מפוארים ביותר, שינויי SDK.

9) מסמכי היענות

דו "ח QSA מלא.
AOC (Attestation of Complication) - אישור של ציות (מצורף ל-ROC/SAQ).
SAQ: סוג נבחר של הערכה עצמית (A, A-EP, D, וכו ').
דוחות ASV: סריקה חיצונית על ידי ספק מוסמך.
מדיניות/נהלים: גרסאות, בעלים, יומן שינוי.
ראיות: דיאגרמות רשת, יומני תולעת, תוצאות בדיקה, כרטיסים.

10) תפקידים ו ־ RACI

11) מטריצות (KPI/KRI)

שיעור מעבר ASV: 100% דוחות רבעוניים - ”לעבור”.
תיקון SLA גבוה/קריטי: 95% בזמן.
סגירת ממצאים פנטסטית: 95% סגור גבוה 30 ימים.
כיסוי MFA של ניהול: 100%.
יומן שלמות: 100% מערכות קריטיות עם תולעת/חתימות.
הורדת היקף: נתח התשלומים באמצעות הפניה מחדש/אסימון (okcenization) של 99%.
תקריות PCI עם תאריך יעד של 100%.

12) מפת דרכים (8-12 שבועות לפני SAQ/ROC)

שבועות 1-2: בחירת מודל התשלום (HPP/tokenization), מיפוי CDE, פריסת רשת, תוכנית קטגורית, בחירת SAQ/ROC.
שבועות 3-4: התקשות, MFA, יומני תולעת, סריקות SDLC, מפתחות/KMS, מדיניות אחסון PAN (ברירת מחדל - לא לאחסן).
שבועות 5-6: סריקת ASV # 1, תיקונים; Fentest (web/network/webhooks), IR-learning עם PSP, finalization של תיעוד.
שבועות 7-8: השלמת SAQ או ביקורת של QSA (ראיונות במה, דגימות), סגירת ממצאים, הכנת AOC/ROC.
שבועות 9-12 (Op.): ”גישה מותאמת אישית” ו-TRA, אופטימיזציה של קטגוריות, שילוב לוח מחוונים KPI/KRI.

13) רשימות בדיקה

לפני תחילת קבלת הקלפים

[ ] Non-PAN/SAD נתיב אחסון נבחר

[ ] שינוי כיוון/iframe PSP או אסימונים מוגדרים

[ ] מקטע CDE, מכחיש ברירת מחדל, WAF

[ ] MFA/IGA/JIT/PAM לניהול

[ רישומי ] (תולעת, חתימות, NTP) ולוחות מחוונים

[ ] סריקת ASV עברה, סגורה בחמישים

[ ] תוכנית IR וקשרי PSP/Bank

עבור הסמכה שנתית

[ ] שרטוטים מעודכנים של CDE ורשימת המערכות

[ ] עבר 4 רבעוני ASVs, ”לעבור” הציל

[ ] חג השבועות 12 חודשים ואחרי שינויים

[ ] מדיניות/נהלים עד היום, גרסאות/בעלים

[ ] ממולא על ידי SAQ/התקבל על ידי ROC, מונפק על ידי AOC

14) טעויות תכופות וכיצד להימנע מהן

איסוף PAN בדף שלך ללא הגנה מתאימה * SAQ A-EP/D. השתמש ב ־ HPP/iframe מ ־ PSP.
יומנים ללא הגנה מפני שינויים. כלל תולעת/חתימות וסקירה יומית.
אין פיצול - "כל הרשת ב-CDE. "לבודד בקשיחות את לולאת התשלום.
אחסון CVV/עצוב. אסור לאחר אישור.
ASVs/מחומש לא שלם. האם לאחר שינויים ולשמור דיווחים/תיקונים.

15) אינטגרציה עם שאר חלקי הוויקי

עמודים קשורים: מדיניות סיסמה ו-MFA, RBAC/Lest Priviley, מדיניות רישום, תקריות והדלפות, TPRM ו-SLA, ISO 27001/27701, SOC 2 - למיפוי שליטה ומערכת אחת של ראיות.

TL; DR

PCI DSS v4 הצלחה. 0 = היקף מינימלי (HPP/tokenization) + קטגמנטציה קשה CDE + MFA/WORM/הצפנה/KMS + ASV רבעונית, פנטסטית מדי שנה ולאחר שינויים + סיימה את מסמכי SAQ/ROC/AOC. זה מפחית את עלויות הביקורת, מאיץ אינטגרציית PSP, וגורם ללולאת התשלום להיות מאובטחת באופן מספק.