पीसीआई डीएसएस: स्तर और अनुपालन

1) पीसीआई डीएसएस क्या है और इसकी जरूरत किसे है

• कार्ड भुगतान स्वीकार करें (सीधे या PSP/गेटवे के माध्यम से),
• प्रक्रिया/स्टोर/स्थानांतरण कार्ड डेटा (PAN, शब्द, CVV) या उनके छोटे/एन्क्रिप्टेड रूप,
• यदि आप इन कार्डों की सुरक्षा को प्रभावित कर सकते हैं तो अन्य व्यापारियों (होस्टिंग, प्रोसेसिंग, एंटी-फ्रॉड, भुगतान ऑर्केस्ट्रेशन, आदि) के लिए एक सेवा प्रदाता हैं।

संस्करण और समय: वर्तमान संस्करण PCI DSS v4 है। 0. आवश्यकताएं v3। 2. 1 सेवानिवृत्त "भविष्य-दिनांकित" आइटम v4। 0 अब प्रभाव में हैं। v4 में नया। 0: बढ़ाया एमएफए, "अनुकूलित दृष्टिकोण", प्रक्रिया आवृत्ति, विभाजन और एन्क्रिप्शन शोधन के जोखिम विश्लेषण को लक्षित करता है।

2) अनुपालन स्तर: व्यापारी और सेवा प्रदाता

2. 1 व्यापारी (व्यापारी)

• स्तर 1:> 6 मिलियन लेनदेन/वर्ष या समझौता किया गया था। सामंजस्य, + त्रैमासिक एएसवी स्कैन पर QSA या आंतरिक ISA से वार्षिक ROC (अनुपालन पर रिपोर्ट) की आवश्यकता होती है।
• स्तर 2: ~ 1-6 मिलियन/वर्ष। आमतौर पर - SAQ (स्व-मूल्यांकन) + ASV स्कैन; कुछ योजनाओं/अधिग्रहणकर्ताओं को आरओसी की आवश्यकता हो सकती है।
• स्तर 3: ~ 20k-1 मिलियन ई-कॉमर्स/वर्ष। आमतौर पर - SAQ + ASV स्कैन।
• स्तर 4: L3 थ्रेसहोल्ड के नीचे। SAQ; बैंक प्राप्त करके आवश्यकताएं भिन्न हो सकती हैं।

2. 2 सेवा प्रदाता

आमतौर पर 2 स्तर; स्तर 1 (श्रृंखला में बड़ी मात्रा/महत्वपूर्ण भूमिका) के लिए, क्यूएसए से एक आरओसी की आवश्यकता होती है, स्तर 2 - एसएक्यू-डी एसपी (कभी-कभी - समकक्षों/योजनाओं के अनुरोध पर आरओसी) के लिए। आईगेमिंग में, कई पीएसपी/गेटवे/होस्टिंग पार्टनर एसपी लेवल 1 हैं।

3) SAQ बनाम ROC: कैसे चुनें

• SAQ A - पुनर्निर्देशित/iframe/होस्ट किए गए क्षेत्र; आपके पास कार्ड का कोई प्रसंस्करण/हस्तांतरण/भंडारण नहीं है।
• SAQ A-EP ई-कॉमर्स है, जहां आपकी साइट भुगतान पृष्ठ (उदाहरण के लिए, होस्ट स्क्रिप्ट) की सुरक्षा को प्रभावित करती है, लेकिन प्रदाता के वातावरण में PAN पेश किया जाता है।
• SAQ B/B-IP - इलेक्ट्रॉनिक भंडारण के बिना टर्मिनल/छाप; B-IP - कनेक्टेड टर्मिनल।
• SAQ C-VT/C - आभासी टर्मिनल/छोटे प्रसंस्करण वातावरण, कोई भंडारण नहीं।
• SAQ P2PE केवल एक PCI-प्रमाणित P2PE समाधान है।
• SAQ D (मर्चेंट/सर्विस प्रोवाइडर) - किसी भी प्रोसेसिंग/ट्रांसफर/स्टोरेज, कस्टम एकीकरण, ऑर्केस्ट्रेटर आदि के लिए "वाइड" विकल्प।

IGaming के लिए अभ्यास: पैन-सुरक्षित धाराओं, टोकन और होस्ट किए गए क्षेत्रों के कारण लक्ष्य पथ SAQ A/A-EP है। यदि आपके पास अपनी भुगतान सेवाएं/वॉल्ट हैं - आमतौर पर SAQ D या ROC।

4) स्कोपिंग: सीडीई में क्या जाता है और इसे कैसे कम किया जाए

सीडीई (कार्डधारक डेटा एनवायरनमेंट) - सिस्टम जहां कार्ड डेटा को संसाधित/संग्रहीत/प्रेषित किया जाता है, और सभी कनेक्टेड/प्रभावशाली खंड।

• होस्टेड फील्ड/iframe/TSP - अपने डोमेन के बाहर पैन दर्ज करें।
• टोकन और नेटवर्क टोकन: आपकी सेवाएं टोकन पर काम करती हैं, पैन नहीं।
• P2PE: प्रमाणित समाधान के साथ एंड-टू-एंड एन्क्रिप्शन।
• नेटवर्क विभाजन: हार्ड एसीएल, बाकी वातावरण से सीडीई अलगाव।
• अनिवार्य डीएलपी और लॉग मास्किंग, पैन/सीवीवी के साथ डंप पर प्रतिबंध लगाना।

v4 में। 0 लक्ष्यों को प्राप्त करने के लिए तरीकों का अतिरिक्त लचीलापन, लेकिन प्रभावशीलता और लक्षित जोखिम विश्लेषण के प्रमाण अनिवा

5) पीसीआई डीएसएस v4 "12 आवश्यकताएं। "0 (अर्थ ब्लॉक)

1. नेटवर्क सुरक्षा और विभाजन (फ़ायरवॉल, एसीएल, सीडीई अलगाव)।

2. सुरक्षित होस्ट/डिवाइस कॉन्फ़िगरेशन (सख्त, बेसलाइन)।

3. कार्डधारक डेटा का संरक्षण (पैन भंडारण - केवल यदि आवश्यक हो, मजबूत क्रिप्टोग्राफी)।

4. संचरण के दौरान डेटा सुरक्षा (TLS 1। 2 + और समकक्ष)।

5. एंटीवायरस/एंटी-मैलवेयर और अखंडता नियंत्रण।

6. सुरक्षित विकास और संशोधन (SDLC, SAST/DAST, पुस्तकालय नियंत्रण)।

7. जरूरत के अनुसार पहुंच (कम से कम विशेषाधिकार, RBAC)।

8. पहचान और प्रमाणीकरण (व्यवस्थापक और दूरस्थ पहुंच के लिए एमएफए, v4 द्वारा पासवर्ड। 0).

9. भौतिक सुरक्षा (डेटा केंद्र, कार्यालय, टर्मिनल)।

10. लॉगिंग और मॉनिटरिंग (लॉग का केंद्रीकरण, अपरिवर्तनीयता, अलर्ट)।

11. सुरक्षा परीक्षण (एएसवी त्रैमासिक स्कैन करता है, सालाना और परिवर्तन के बाद, विभाजन परीक्षण)।

12. नीति और जोखिम प्रबंधन (प्रक्रियाएं, प्रशिक्षण, घटना-प्रतिक्रिया, जोखिम मूल्यांकन, "अनुकूलित दृष्टिकोण" दस्

6) अनिवार्य गतिविधियाँ और आवृत्ति

एएसवी स्कैन (बाहरी) - त्रैमासिक और महत्वपूर्ण परिवर्तनों के बाद।

कमजोरियां/पैचिंग - नियमित चक्र (आवृत्तियां टीआरए - लक्षित जोखिम विश्लेषण द्वारा उचित हैं)।

पैठ परीक्षण (आंतरिक/बाहरी) - सालाना और महत्वपूर्ण परिवर्तनों के बाद; विभाजन जाँच अनिवार्य है।

लॉग और मॉनिटरिंग - लगातार, संशोधनों के खिलाफ प्रतिधारण और सुरक्षा के साथ।

कार्मिक प्रशिक्षण - जब काम पर रखा जाता है और फिर

एमएफए - सभी व्यवस्थापक और सीडीई तक दूरस्थ पहुंच के लिए।

सिस्टम/डेटा धाराओं की सूची - लगातार अद्यतन।

7) SAQ चयन मैट्रिक्स (छोटा)

केवल iframe/redirect, पैन के बिना आप SAQ A.

ई-कॉमर्स, आपकी साइट भुगतान पृष्ठ → SAQ A-EP को प्रभावित करती है।

टर्मिनल/छापने वाले → SAQ B/B-IP।

आभासी टर्मिनल → SAQ C-VT।

भंडारण के बिना छोटा "कार्ड" नेटवर्क → SAQ C.

P2PE समाधान → SAQ P2PE।

अन्य/जटिल/भंडारण/प्रसंस्करण → SAQ D (या ROC)।

8) लेखापरीक्षा के लिए कलाकृतियाँ और साक्ष्य

• नेटवर्क और डेटा प्रवाह आरेख, परिसंपत्ति रजिस्टर, विक्रेता रजिस्टर, लेखा/अभिगम रजिस्टर।
• नीतियां/प्रक्रियाएं: सुरक्षित विकास, परिवर्तन प्रबंधन, लॉगिंग, घटनाएं, कमजोरियां, कुंजी/क्रिप्टो, रिमोट एक्सेस, बैकअप।
• रिपोर्ट: एएसवी, पेंटेस्ट (विभाजन समावेशी), भेद्यता स्कैन, सुधार के परिणाम।
• लॉग/अलर्ट: केंद्रीकृत प्रणाली, अपरिवर्तनीयता, घटना विश्लेषण।
• क्रिप्टो प्रबंधन: KMS/HSM प्रक्रियाएँ, घूर्णन, कुंजियों/प्रमाणपत्रों की सूची।
• "अनुकूलित दृष्टिकोण" प्रमाण (यदि लागू होता है): नियंत्रण उद्देश्य, विधि, प्रदर्शन मैट्रिक्स, टीआरए।
• तीसरे पक्ष से जिम्मेदारी के संबंध: AoC भागीदार (PSP, होस्टिंग, CDN, एंटी-फ्रॉड), साझा जिम्मेदारी मैट्रिक्स।

9) अनुपालन परियोजना (चरण दर चरण)

1. कॉपी और गैप एनालिसिस-डिफाइन सीडीई, आसन्न खंड, वर्तमान ब्रेक।

2. त्वरित जीत: पैन-सुरक्षित स्ट्रीम (इफ्रेम/होस्ट किए गए क्षेत्र), टोकन, लॉग में पैन पर प्रतिबंध, "बाहरी" क्रेते कमजोरियां।

3. विभाजन और नेटवर्क: सीडीई, एमटीएलएस, फ़ायरवॉल-एसीएल, कम से कम-विशेषाधिकार एक्सेस, एमएफए को अलग करें।

4. अवलोकन: केंद्रीकृत लॉगिंग, प्रतिधारण/हिरासत की श्रृंखला, अलर्ट।

5. भेद्यता और कोड प्रबंधन: SAST/DAST, पैच, SBOM, निर्भरता नियंत्रण।

6. परीक्षण: एएसवी स्कैन, आंतरिक/बाहरी प्रवेश परीक्षण, विभाजन जांच।

7. दस्तावेज़ और प्रशिक्षण: प्रक्रियाएं, आईआर-प्लेबुक, प्रशिक्षण, प्रशिक्षण रिकॉर्ड।

8. प्रमाणन फॉर्म का चयन: SAQ (प्रकार) या ROC; अधिग्रहणकर्ता/ब्रांडों के साथ सहमत होना।

9. वार्षिक चक्र: समर्थन, सबूत, जोखिम/आवृत्ति समीक्षा, पुनरावृत्ति।

10) iGaming वास्तुकला के साथ एकीकरण

भुगतान ऑर्केस्ट्रेटर केवल टोकन के साथ काम करता है; पैन नहीं देख सकते।

मल्टी-पीएसपी: स्वास्थ्य-जांच, स्मार्ट-रूटिंग, पहचान, ретраи; प्रत्येक PSP से AoC।

इवेंट-चालित बस/डीडब्ल्यूएच: कोई पैन/सीवीवी नहीं; अंतिम 4 अंकों का मुखौटा; CI/CD में DLP गेट।

3DS/SCA चेक: संवेदनशील डेटा के बिना केवल आवश्यक कलाकृतियों (लेनदेन आईडी) को संग्रहीत करें।

11) बार-बार त्रुटियाँ

पैन/सीवीवी लॉगिंग और अवैध मास्क।

आंतरिक एपीआई/बसों के माध्यम से "अस्थायी" पैन रूटिंग।

एक पेन्टेस्ट विभाजन परीक्षण की कमी।

प्रक्रियाओं की अनुचित आवृत्ति (v4 द्वारा कोई टीआरए नहीं। 0).

एओसी के बिना और बिना फॉलबैक के एक पीएसपी पर निर्भरता।

बेहिसाब "प्रभावशाली" खंड (व्यवस्थापक-कूद-मेजबान, निगरानी, बैकअप)।

12) तेजी से शुरुआत चेकलिस्ट (आईगेमिंग)

• मेजबान क्षेत्रों/iframe पर जाएं; पैन इनपुट को अपने फ़ॉर्म से हटाएँ.
• टोकन/नेटवर्क टोकन सक्षम करें; घटनाओं/लॉग से पैन को बाहर करें।
• CDE कॉपी और सेगमेंट अलगाव (MFA, RBAC, mTLS) प्रदर्शन करें।
• केंद्रीकृत लॉग और अलर्ट सेट करें (अपरिवर्तनीयता, प्रतिधारण)।
• एएसवी स्कैन चलाएं, महत्वपूर्ण/उच्च को समाप्त करें।
• पैठ परीक्षण (आंतरिक/बाहरी) + विभाजन परीक्षण करें।
• नीतियां/प्रक्रियाएं और कार्यान्वयन के साक्ष्य तैया
• अधिग्रहणकर्ता (SAQ प्रकार/ROC) के साथ योग्यता फॉर्म पर सहमत हों।
• सभी क्रेते विक्रेताओं का AoC प्राप्त और संग्रहीत करें।
• पीसीआई को रिलीज चक्र में एकीकृत करें (एसडीएलसी, आईएसी हार्डनिंग, सीआई/सीडी में डीएलपी)।

13) FAQ लघु

क्या मुझे QSA की जरूरत है? आरओसी के लिए, हाँ। SAQ के लिए स्व-प्रमाणन अक्सर पर्याप्त होता है, लेकिन कई अधिग्राहकों/ब्रांडों को QSA/ASV साझेदार की आवश्यकता हो सकती है

अगर हम पैन संग्रहीत नहीं करते हैं? यदि आप कार्ड स्वीकार करते हैं तो अभी भी पीसीआई डीएसएस के तहत आते हैं। SAQ A/A-EP प्राप्त करने का लक्ष्य।

क्या 3DS PCI को हल करता है? नहीं, यह नहीं है। 3DS - प्रमाणीकरण के बारे में; पीसीआई - डेटा सुरक्षा के बारे में।

क्या टीएलएस पर्याप्त है? नहीं, यह नहीं है। सभी प्रासंगिक v4 आवश्यकताओं की आवश्यकता है। 0, प्रक्रियाओं और सबूतों सहित।

14) सारांश

आईगेमिंग के लिए, इष्टतम रणनीति अपने स्तर पर दायरे (पैन-सुरक्षित, टोकन, होस्टेड फील्ड्स, P2PE जहां संभव हो), हार्ड सेगमेंट, स्वचालित लॉगिंग/कमजोरियां/पैठ परीक्षण, कलाकृतियों का एक पूरा पैकेज और पुष्टि चुनहीं। यह जोखिम को कम करता है, पीएसपी के साथ एकीकरण को गति देता है, और कार्ड ब्रांड आवश्यकताओं को पूरा करते हुए स्थिर रूपांतरण और मुद्रीकरण को बनाए रखता है।