PCI DSS: רמות וציות

1) מהו PCI DSS ומי צריך אותו

• לקבל תשלומי כרטיס (ישירות או דרך PSP/שער),
• Process/stork/transfer card data (PAN, מונח, CVV) או הטפסים המקוצרים/מוצפנים שלהם,
• הם ספקית שירות לסוחרים אחרים (אירוח, עיבוד, אנטי-הונאה, תזמור תשלומים וכו ') אם אתה יכול להשפיע על הביטחון של כרטיסים אלה.

גרסה ותזמון: הגרסה הנוכחית היא PCI DSS v4. 0. דרישות v3. 2. 1 פרש; ”פריטים עתידיים” v4. 0 הם עכשיו בתוקף. חדש בv4. 0: MFA משופר, ”גישה מותאמת אישית”, ניתוח סיכונים ממוקד של תדירות פרוצדורה, קטגמנטציה ושיפורי הצפנה.

2) רמות ציות: סוחרים וספקי שירות

2. 1 סוחרים (סוחרים)

• רמה 1:> 6 מיליון עסקאות/שנה או נפרץ. דורשת ROC שנתי (דיווח על ציות) מ-QSA או Internal ISA בפיוס, + סריקות ASV רבעוניות.
• רמה 2: ~ 1-6 מיליון בשנה. בדרך כלל - SAQ (הערכה עצמית) + סריקות ASV; כמה מזימות/רוכשים עשויים לדרוש ROC.
• רמה 3: ~ 20k-1 מיליון מסחר אלקטרוני/שנה. בדרך כלל - סריקות SAQ + ASV.
• רמה 4: מתחת לסף 3. SAQ; דרישות עשויות להשתנות על ידי רכישת בנק.

2. 2 ספקי שירות

בדרך כלל רמות 2; עבור רמה 1 (תפקיד נפח גדול/קריטי בשרשרת) נדרש ROC מ-QSA, עבור רמה 2 - SAQ-D SP (לפעמים - ROC לבקשת מקבילים/מזימות). ב-iGaming, שותפים רבים של PSPs/gateways/hosping הם SP level 1.

• SAQ A - להפנות/iframe/שדות מארחים בלבד; אין עיבוד/העברה/אחסון של כרטיסים איתך.
• SAQ A-EP הוא מסחר אלקטרוני, שבו האתר שלך משפיע על אבטחת דף התשלום (לדוגמה, מארח תסריטים),
• SAQ B/B-IP - מסופים/אימפרינטרים ללא אחסון אלקטרוני; בי-איי-פי - מסופים מחוברים.
• SAQ C-VT/C - מסופים וירטואליים/סביבת עיבוד קטנה, ללא אחסון.
• SAQ P2PE הוא רק פתרון P2PE מוסמך PCI.
• SAQ D (סוחר/ספק שירות) - אפשרות ”רחבה” לכל עיבוד/העברה/אחסון, אינטגרציות מותאמות אישית, תזמורות וכו '.

תרגול עבור iGaming: מסלול היעד הוא SAQ A/A-EP בשל זרמי PAN-Safe, אסימנציזציה ושדות מארחים. אם יש לך שירותי תשלום/וולט משלך - בדרך כלל SAQ D או ROC.

4) צפייה: מה נכנס ל ־ CDE וכיצד לצמצם אותו

CDE (Cardholder Data Environment) - מערכות שבהן נתוני כרטיס מעובדים/מאוחסנים/מועברים, וכל המקטעים מחוברים/משפיעים.

• שדות/iframe/TSP - הזן פאן מחוץ לתחום שלך.
• אסימונים ואסימוני רשת: השירותים שלכם פועלים על אסימונים, לא על פאן.
• P2PE: הצפנה מקצה לקצה עם פתרון מוסמך.
• קטעי רשת: ACL קשיח, בידוד CDE משאר הסביבה.
• DLP מנדטורי ומיסוך יומן, איסור מצרכים עם PAN/CVV.

בv4. 0 נוסף גמישות של שיטות להשגת מטרות, אבל ראיות של יעילות וניתוח סיכונים ממוקדים הם חובה.

5) דרישות PCI DSS v4 "12. "0 (כלומר בלוקים)

1. אבטחת רשת וקטע (חומות אש, ACL, בידוד CDE).
2. אבטחת תצורת מארח/התקן (קשיחות, קווי בסיס).
3. הגנה על נתוני מחזיק כרטיס (אחסון PAN - רק במידת הצורך, קריפטוגרפיה חזקה).
4. הגנה על נתונים במהלך שידור (TLS 1. 2 + ושווים).
5. אנטי וירוס/אנטי-תוכנות זדוניות ובקרת שלמות.
6. פיתוח ושינוי מאובטחים (SDLC, SAST/DAST, בקרת ספרייה).
7. גישה לפי הצורך (החיסיון המועט ביותר, RBAC).
8. זיהוי ואימות (MFA עבור ניהול וגישה מרחוק, סיסמאות על ידי V4. 0).
9. ביטחון פיזי (מרכזי מידע, משרדים, מסופים).
10. כריתת עצים וניטור (ריכוזיות של יומנים, חוסר תזוזה, התראות).
11. בדיקות בטיחות (ASV סורק רבעון, פנטסטים מדי שנה ולאחר שינויים, בדיקת קטגוריות).
12. מדיניות וניהול סיכונים (נהלים, אימונים, תגובת אירוע, הערכות סיכונים, מסמכי ”גישה מותאמת אישית”).

6) פעילויות חובה ותדירות

סריקות (חיצוניות) - רבעון ולאחר שינויים משמעותיים.
פגיעות/תיקון - מחזורים קבועים (תדרים מוצדקים על ידי TRA - ניתוח סיכונים ממוקדים).
מבחני חדירה (פנימי/חיצוני) - שנה ולאחר שינויים משמעותיים; סימון קטעים הוא חובה.
רישומים וניטור - ללא הרף, עם שמירה והגנה מפני שינויים.
הכשרת כוח אדם - בעת שכירת ולאחר מכן באופן קבוע.
MFA - לכל מנהל וגישה מרחוק CDE.
ספירת מלאי של מערכות/זרמי נתונים - עדכון כל הזמן.

7) מטריצת בחירת SAQ (קצר)

רק iframe/reprect, ללא PAN you * SAQ A.
אי-מסחר, האתר שלך משפיע על דף התשלום.
מסופים/אימפרינטרים = SAQ B/B-IP.
מסוף וירטואלי * SAQ C-VT.
רשת ”כרטיס” קטנה ללא אחסון SAQ C.
P2PE SAQ Solution P2PE.
SAQ D (או ROC).

8) חפצים וראיות לביקורת

• תרשימי רשת וזרימת נתונים, רישום נכסים, רישום מוכרים, רישום חשבונאות/גישה.
• מדיניות/נהלים: פיתוח מאובטח, ניהול שינויים, רישום, תקריות, נקודות תורפה, מפתחות/קריפטו, גישה מרחוק, גיבויים.
• דיווחים: ASV, מחומשים (סגמנט כולל), סריקות פגיעות, תוצאות תיקון.
• יומנים/התראות: מערכת מרכזית, אי-תזוזה, ניתוח תקריות.
• ניהול הצפנה: הליכי KMS/HSM, סיבובים, מלאי של מפתחות/תעודות.
• הגהות מותאמות אישית (אם מיושמות): מטרות בקרה, שיטה, מדדי ביצועים, TRA.
• קווי אחריות מצדדים שלישיים: שותפי AOC (PSP, אירוח, CDN, אנטי הונאה), מטריצת אחריות משותפת.

9) פרויקט ציות (צעד אחר צעד)

1. העתק וגאפ אנליזה-הגדרה CDE, מקטעים סמוכים, הפסקות נוכחיות.
2. ניצחונות מהירים: זרם פאן-בטוח (iframe/aunced fields), טוקניזציה, איסור על PAN ביומנים, סגירת נקודות תורפה חיצוניות.
3. סגמנט ורשת: לבודד CDE, MTLS, חומת אש-ACL, גישה לפחות-חיסיון, MFA.
4. יכולת תצפית: כריתת עצים מרכזית, שימור/שרשרת משמורת, התראות.
5. פגיעות וניהול קוד: SAST/DAST, טלאים, SBOM, בקרת תלות.
6. בדיקות: סריקות ASV, בדיקות חדירה פנימיות/חיצוניות, בדיקת קטעים.
7. מסמכים ואימונים: נהלים, ספרי משחקים, הדרכות, רישומי אימונים.
8. בחירת טופס ההסמכה: SAQ (סוג) או ROC; להסכים עם הרוכש/המותגים.
9. מחזור שנתי: תמיכה, ראיות, סקירת סיכון/תדירות, שיפוץ מחדש.

10) אינטגרציה עם ארכיטקטורת iGaming

תזמורת התשלומים עובדת רק עם אסימונים; פאן לא יכול לראות.
בדיקות רפואיות, ניתוב חכם, אידמפוטנטיות, אידמפוטנטיות; AoC מכל PSP.
אוטובוס מונע אירועים/DWH: אין PAN/CVV; מיסוך 4 הספרות האחרונות; שערי DLP ב CI/CD.
3DS/SCA בדיקות: לאחסן רק את החפצים הדרושים (תעודות זהות), ללא נתונים רגישים.

11) טעויות תכופות

רישום PAN/CVV ומסכות לא תקפות.
”זמני” PAN ניתוב דרך API/אוטובוסים פנימיים.
חוסר במבחן הקטגוריה הכי מחומש.
תדירות לא סבירה של הליכים (לא TRA על ידי V4. 0).
תלות ב-PSP אחד ללא AOC וללא נסיגה.
מקטעים ”רבי השפעה” (מנחה קפיצה, ניטור, גיבויים).

12) רשימת התחלה מהירה (iGaming)

[ ] עבור לשדות מארחים/iframe; להסיר קלט PAN מהטפסים שלך.

[ ] אפשר אסימונים/רשת; לא כולל פאן מאירועים/יומנים.

[ ] לבצע העתקת CDE ובידוד קטע (MFA, RBAC, mTLS).

[ ] הגדרת יומנים מרכזיים והתראות (immutability, reservation).

[ ] סריקות ASV, לחסל קריטי/גבוה.

[ ] לבצע מבחני חדירה (פנימית/חיצונית) + בדיקת קטעים.

[ ] הכן מדיניות/נהלים וראיות ליישום.

[ ] מסכים עם טופס ההסמכה עם הרוכש (SAQ type/ROC).

[ ] להשיג ולאחסן AOC מכל הספקים בכרתים.

[ ] Integrate PCI שולט במחזור השחרור (SDLC, IAC מתקשה, DLP ב CI/CD).

13) קצר FAQ

אני צריך קיו-אס-איי? עבור ROC, כן. הסמכה עצמית מספיקה לעתים קרובות עבור SAQ, אבל הרבה רוכשים/מותגים עשויים לדרוש שותף QSA/ASV.
אם אנחנו לא מאחסנים פאן? עדיין נופל תחת PCI DSS אם אתה מקבל כרטיסים. כוון להשיג SAQ A/A-EP.
האם 3DS פותרים את PCI? לא, זה לא 3DS - על אימות; על הגנת מידע.
האם TLS מספיק? לא, זה לא כל דרישות V4 רלוונטיות נחוצות. 0, כולל תהליכים וראיות.

14) תקציר

עבור iGaming, האסטרטגיה המיטבית היא למזער את ההיקף (PAN-safe, tokenization, around fields, P2PE היכן שאפשר), לקצר את ה-CDE, לרשום אוטומטית רישום/פגיעות/בדיקות חדירה, לאסוף חבילת חפצים מלאה ולבחור את צורת האישור הנכונה (SAQ או ROC) ברמה שלך. הדבר מפחית את הסיכון, מאיץ את האינטגרציה עם ה-PSP ושומר על המרה יציבה ומונטיזציה תוך כדי מפגש עם דרישות המותג.