GH GambleHub

पीसीआई डीएसएस नियंत्रण और प्रमाणन

1) पीसीआई डीएसएस क्या है और यह आईगेमिंग के लिए क्यों मायने रखता है

पीसीआई डीएसएस भुगतान कार्ड उद्योग (वीजा/मास्टरकार्ड/एमेक्स/डिस्कवर/जेसीबी) के लिए सुरक्षा मानक है। आईगेमिंग ऑपरेटर के लिए, यह कार्डधारक डेटा (सीएचडी) की रक्षा के लिए तकनीकी और संगठनात्मक उपायों को परिभाषित करता है, जिसमें पैन और संवेदनशील प्रमाणीकरण डेटा (एसएडी) शामिल है। विसंगति जुर्माना, इंटरबैंक टैरिफ में वृद्धि, व्यापारी खाते को याद करने और प्रतिष्ठित क्षति के साथ खतरा है।

2) प्रमाणन भूमिकाएं, स्तर और प्रकार

भूमिकाएँ

व्यापारी: खिलाड़ियों से कार्ड स्वीकार करता है।

सेवा प्रदाता: व्यापारियों के लिए प्रक्रियाएं/मेजबान/स्टोर सीएचडी (होस्टिंग, भुगतान मंच, टोकन सहित)।

स्तर (उच्च स्तर)

व्यापारी स्तर 1-4: वार्षिक लेनदेन द्वारा; स्तर 1 को आमतौर पर QSA से ROC (अनुपालन पर रिपोर्ट) की आवश्यकता होती है।

सेवा प्रदाता स्तर 1-2: स्तर 1 एक अनिवार्य आरओसी है।

मूल्यांकन प्रारूप

ROC + AOC: पूर्ण ऑडिटर की रिपोर्ट (QSA/ISA)।

SAQ: प्रकारों में से एक द्वारा आत्म-मूल्यांकन (नीचे देखें), साथ ही एक बाहरी एएसवी स्कैन।

3) स्कोप और सीडीई: संकीर्ण और प्रबंधन कैसे करें

सीडीई (कार्डधारक डेटा पर्यावरण) - कोई भी सिस्टम/नेटवर्क/प्रक्रियाएं जो सीएचडी/एसएडी को संग्रहीत, प्रक्रिया या प्रसारित करती हैं।

न्यूनतम रणनीतियाँ

1. होस्टेड पेमेंट पेज (HPP): PSP → SAQ A फॉर्म।

2. डायरेक्ट पोस्ट/JS + योर पेज (A-EP): आपका पृष्ठ SAQ A-EP → (व्यापक) एकत्र करने की सुरक्षा को प्रभावित करता है।

3. टोकन: PSP टोकन/आपके टोकन-वॉल्ट के लिए पैन एक्सचेंज; पैन आपके पास संग्रहीत नहीं है।

4. नेटवर्क विभाजन: CDE (VLAN/firewalls/ACL) को अलग करें, यातायात को कम करें।

5. "कोई भंडारण नहीं" नीति: पैन/एसएडी को संग्रहीत न करें; अपवाद सख्ती से उचित हैं।

💡 गोल्डन रूल: पैन का हर बाइट ऑडिट डोमेन के लिए एक प्लस है।

4) SAQ प्रकार (संक्षेप में)

SAQ प्रकारकौन उपयुक्त हैसंक्षेप में इस क्षेत्र के बारे में
केवल पुनर्निर्देशित/iframe PSP, कोई CHD आपके पास नहीं हैन्यूनतम आवश्यकताएं (कोई पैन सर्वर प्रोसेसिंग नहीं)
ए-ईपीआपका वेबपृष्ठ CHD संग्रह (स्क्रिप्ट, PSP पर पोस्ट) को प्रभावित करता हैसंवर्धित वेब नियंत्रण
B/B-IPस्टेशन टर्मिनल/छापने वालेIGaming के लिए दुर्लभ
सीस्वतंत्र भुगतान अनुप्रयोग, सीमित नेटवर्संकीर्ण मामले
सी-वीटीवर्चुअल टर्मिनल पर मैनुअल इनपुटसमर्थन स्क्रिप्ट (अवांछनीय)
P2PEपीसीआई P2PE प्रमाणित समाधानयदि लागू हो तो
डी (व्यापारी/सेवा प्रदाता)कोई अन्य परिदृश्य, पैन भंडारण/प्रसंस्करणआवश्यकताओं का पूरा सेट

5) पीसीआई डीएसएस वी 4। 0: प्रमुख विषय

अनुकूलित दृष्टिकोण: सिद्ध समतुल्यता (योजना, टीआरए, परीक्षण औचित्य) के तहत वैकल्पिक नियंत्रण की अनुमति देता है

लक्षित जोखिम विश्लेषण (टीआरए): "लचीली" आवश्यकताओं (प्रक्रिया आवृत्ति, निगरानी) के लिए बिंदु जोखिम विश्लेषण।

प्रमाणीकरण: व्यवस्थापक और दूरस्थ पहुँच के लिए एमएफए; मजबूत पासवर्ड/पासफ्रेज़; ताले/टाइमआउट।

कमजोरियां और पैच: नियमित स्कैन (आंतरिक/बाहरी), त्रैमासिक एएसवी, पेन्टेस्ट सालाना और महत्वपूर्ण परिवर्तनों के बाद।

एनक्रिप्शन: पारगमन में (TLS 1. 2 +) - आराम पर; कुंजी प्रबंधन (KMS/HSM), घुमाव, भूमिका पृथक्करण।

लॉग और मॉनिटरिंग: केंद्रीकृत लॉग, परिवर्तन के खिलाफ सुरक्षा (WORM/हस्ताक्षर), सुरक्षा घटनाओं की दैनिक समीक्षा।

विभाजन/फ़ायरवॉल/WAF: औपचारिक नियम, समीक्षा, प्रलेखित टोपोलॉजी।

SDLC/परिवर्तन: dev/text/prod अलग, SAST/DAST/DAST स्कैन, गुप्त प्रबंधन.

घटनाएं: औपचारिक आईआरपी, अभ्यास, भूमिकाएं और संपर्क सूची, पीएसपी/अधिग्रहण बैंक के साथ बातचीत।

6) कार्ड डेटा: क्या नहीं कर सकते/कर सकते हैं

सीएचडी: पैन (+ वैकल्पिक)। नाम, शब्द, सेवा कोड)।

एसएडी (प्राधिकरण के बाद स्टोर करने से मना): सीवीवी/सीवीसी, पूर्ण चुंबकीय ट्रैक, पिन ब्लॉक।

मास्किंग: मास्क के साथ पैन डिस्प्ले (आमतौर पर पहले 6 और अंतिम 4)।

टोकनाइजेशन/भंडारण: यदि आप पैन → एनक्रिप्शन, आवश्यकता से जानें पहुँच, कुंजियाँ अलग से, हार्ड लॉग संग्रहीत करते हैं.

7) नियंत्रण डोमेन (व्यावहारिक चेकलिस्ट)

1. सीडीई विभाजन - अलग सबनेट, इनकार-दर-डिफ़ॉल्ट, एग्रेस-नियंत्रण।

2. एसेट इन्वेंटरी - सीडीई और संबंधित में सभी सिस्टम।

3. हार्डनिंग - सुरक्षित कॉन्फ़िग, डिफ़ॉल्ट शटडाउन, बुनियादी

4. कमजोरियां/पैच - प्रक्रियाएं, एसएलए, तैनाती की पुष्टि।

5. लॉगिंग - टाइम तुल्यकालन, केंद्रीकृत लॉग, WORM/हस्ताक्षर।

6. एक्सेस - RBAC/ABAC, MFA, SoD, JIT/PAM, ऑफबोर्डिंग ≤ 15 मिनट।

7. क्रिप्टोग्राफी - टीएलएस, केएमएस/एचएसएम, रोटेशन, अलग-अलग क्रिप्टो-संरक्षक भूमिकाएं।

8. विकास - SAST/DAST/DS/IaC, गुप्त स्कैन, पाइपलाइन हस्ताक्षर।

9. स्कैनिंग एएसवी - त्रैमासिक और परिवर्तनों के बाद, "पास" स्थिति को स्टोर करने के लिए।

10. पेंटेस्ट - बाहरी/आंतरिक नेटवर्क और †।, कम से कम सालाना।

11. आईआर-योजना - अभ्यास, पीएसपी/अधिग्रहणकर्ता के साथ युद्ध-कक्ष, समयसीमा।

12. प्रशिक्षण - फ़िशिंग, सुरक्षित कोडिंग, भूमिकाओं के लिए पीसीआई-जागरूकता।

13. दस्तावेज/प्रक्रियाएं - पैन प्रतिधारण/विलोपन नीति, निर्यात लॉग।

8) पीएसपी/विक्रेताओं के साथ बातचीत

अनुबंध: उपलब्धता/सुरक्षा एसएलए, डीपीआईए/टीपीआरएम, ऑडिट राइट, हादसा-सूचनाएं ≤ 72 एच।

तकनीकी एकीकरण: टीएलएस के लिए एचपी/पुनर्निर्देशित, केएमएस में हस्ताक्षरित वेबहूक, एमटीएलएस/कुंजी, घुमाव।

त्रैमासिक निगरानी: PSP रिपोर्ट (अनुप्रमाणन, प्रमाणपत्र), ASV/पेन्टेस्ट अंश, SDK परिवर्तन।

9) अनुपालन दस्तावेज़

आरओसी (अनुपालन पर रिपोर्ट): पूर्ण QSA रिपोर्ट।

एओसी (अनुपालन का अनुप्रयोग) - अनुपालन की पुष्टि (आरओसी/एसएक्यू के लिए लगाव)।

SAQ: चयनित प्रकार का स्व-मूल्यांकन (A, A-EP, D, आदि)।

एएसवी रिपोर्ट: एक प्रमाणित प्रदाता द्वारा बाहरी स्कैन।

नीतियां/प्रक्रियाएं: संस्करण, मालिक, लॉग बदलें।

साक्ष्य: नेटवर्क आरेख, WORM लॉग, परीक्षण परिणाम, टिकट।

10) भूमिकाएँ और आरएसीआई

गतिविधिउत्पाद/भुगतानसुरक्षा/सीआईएसओSRE/ITडेटा/द्विकानूनी/अनुपालनQSA/ISAपीएसपी
स्कोप/सीडीई और वास्तुकलाA/Rआरआरसीसीसीसी
विभाजन/फ़ायरवॉल/WAFसीA/Rआरमैंमैंसीमैं
टोकनाइजेशन/रीडायरेक्टA/Rआरआरसीसीसीआर
कमजोरियां/पैचमैंA/Rआरमैंमैंसीमैं
लॉग/मॉनिटरिंगमैंA/Rआरसीमैंसीमैं
एएसवी/पेंटेस्टमैंA/Rआरमैंमैंआरमैं
आरओसी/एसएक्यू/एओसी दस्तावेज़मैंA/Rसीमैंआरआरमैं
पीसीआई की घटनाएंसीA/Rआरमैंआरसीसी

11) मेट्रिक्स (केपीआई/केआरआई)

एएसवी पास दर: 100% त्रैमासिक रिपोर्ट - "पास"।

पैच एसएलए उच्च/महत्वपूर्ण: ≥ 95% समय पर।

पेंटेस्ट निष्कर्ष बंद: ≥ 95% उच्च बंद ≤ 30 दिन।

प्रशासन का एमएफए कवरेज: 100%।

लॉग इंटीग्रिटी: WORM/हस्ताक्षर के साथ 100% महत्वपूर्ण सिस्टम।

स्कोप रिडक्शन: रीडायरेक्ट/टोकन के माध्यम से भुगतान की हिस्सेदारी ≥ 99%।

घटनाएं: 100% की समय सीमा के साथ पीसीआई की घटनाएं।

12) रोडमैप (SAQ/ROC से 8-12 सप्ताह पहले)

सप्ताह 1-2: भुगतान मॉडल चयन (एचपीपी/टोकन), सीडीई मैपिंग, नेटवर्क लेआउट, विभाजन योजना, एसएक्यू/आरओसी चयन।

सप्ताह 3-4: सख्त, एमएफए, वर्म लॉग, एसडीएलसी स्कैन, कुंजी/केएमएस, पैन भंडारण नीति (डिफ़ॉल्ट - स्टोर न करें)।

सप्ताह 5-6: एएसवी स्कैन # 1, सुधार; Pentest (वेब/नेटवर्क/वेबहूक), PSP के साथ IR-लर्निंग, प्रलेखन को अंतिम रूप देना।

सप्ताह 7-8: SAQ पूरा होना या QSA का ऑडिट (स्टेज-इंटरव्यू, नमूने), खोज बंद करना, AOC/ROC की तैयारी।

सप्ताह 9-12 (ऑप।): "अनुकूलित दृष्टिकोण" और टीआरए, विभाजन अनुकूलन, केपीआई/केआरआई डैशबोर्ड एकीकरण।

13) चेकलिस्ट

कार्ड स्वीकृति शुरू होने से पहले

  • नॉन-पैन/एसएडी भंडारण पथ चयनित
  • Redirect/iframe PSP या टोकन कॉन्फ़िगर किया गया
  • सीडीई विभाजन, इनकार-दर-डिफ़ॉल्ट, डब्ल्यूएएफ
  • प्रशासन के लिए MFA/IGA/JIT/PAM
  • लॉग (WORM, हस्ताक्षर, NTP) और डैशबोर्ड
  • एएसवी स्कैन पारित, पेन्टेस्ट बंद
  • आईआर योजना और पीएसपी/बैंक संपर्क

वार्षिक प्रमाणन के लिए

  • अद्यतन सीडीई स्कीमैटिक्स और सिस्टम सूची
  • 4 त्रैमासिक एएसवी पारित, "पास" बचाया
  • पेंटेस्ट ≤ 12 महीने और परिवर्तन के बाद
  • नीतियां/प्रक्रियाएं आज तक, संस्करण/मालिक
  • AOC द्वारा जारी ROC द्वारा प्राप्त SAQ/द्वारा भरा गया

14) बार-बार गलतियाँ और उनसे कैसे बचें

उचित सुरक्षा के बिना अपने पृष्ठ पर पैन एकत्र करें → SAQ A-EP/D। पीएसपी से एचपीपी/इफ्रेम का उपयोग करें।

परिवर्तनों के खिलाफ सुरक्षा के बिना लॉ WORM/हस्ताक्षर और दैनिक अवलोकन शामिल करें।

कोई विभाजन नहीं - "सीडीई में पूरा नेटवर्क। "भुगतान लूप को कठोरता से अलग करें।

सीवीवी/एसएडी भंडारण। प्राधिकरण के बाद निषिद्ध।

अधूरा एएसवी/पेंटेस्ट। परिवर्तन के बाद करें और रिपोर्ट/उपचारात्मक रखें।

15) शेष विकी वर्गों के साथ एकीकरण

संबंधित पृष्ठ: पासवर्ड नीति और एमएफए, आरबीएसी/कम से कम विशेषाधिकार, लॉग पॉलिसी, घटनाएं और लीक, टीपीआरएम और एसएलए, आईएसओ 27001/27701, एसओसी 2 - नियंत्रण मानचित्रण और साक्ष्य का एक सेट।

टीएल; डीआर

PCI DSS v4 सफलता। 0 = न्यूनतम गुंजाइश (एचपीपी/टोकन) + हार्ड विभाजन सीडीई + एमएफए/वर्म लॉग/एन्क्रिप्शन/केएमएस + एएसवी त्रैमासिक, सालाना और परिवर्तन + समाप्त होने के बाद एसएक्यू/आरओसी/एओसी दस्तावेज। यह ऑडिट लागत को कम करता है, पीएसपी एकीकरण में तेजी लाता है, और भुगतान लूप को सुरक्षित रूप से सुरक्षित बनाता है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।