PCI DSS 'վերահսկում և հավաստագրում
1) Ի՞ նչ է PCI DSS-ը և ինչու է դա կարևոր iGaming-ի համար։
PCI DSS-ը հիբրիդային քարտեզների արդյունաբերության անվտանգության ապահովումն է (Visa/Wintercard/Amex/Discover/JCB)։ iGaming-ի օպերատորի համար այն որոշում է քարտեզների սեփականատերերի (CHD) տվյալների պաշտպանության տեխնոլոգիական և կազմակերպական միջոցները, ներառյալ PAN-ը և զգայուն վավերացման տվյալները (SAD)։ Անհամապատասխանությունը սպառնում է տուգանքներով, որոնք բարձրացնում են միջբանկային վճարները, հետ կանչելով մերչանտ հաշիվը և հեղինակության վնասը։
2) Դերեր, մակարդակներ և սերտիֆիկացման տիպ
Դերեր
Merchair (merchant) 'ընդունում է խաղացողներից քարտեր։
Master Provider: մշակում/հանրակացարան/պահպանում է CHD-ը մերչանտների համար (ներառյալ հոստինգը, հիբրիդային պլատֆորմը, թունավորումը)։
Մակարդակներ (high level)
Merchae 1-4 մակարդակները 'տարեկան գործարքների միջոցով։ Level 1-ը սովորաբար պահանջում է ROC (Reporon Compliant) QIV-ից։
Ծառայությունների պրովայդերի մակարդակները 1-2: Level 1-ը պարտադիր ROC-ն է։
Նշված գնահատականներ
ROC + AOC 'ամբողջական ֆոսֆորի զեկույցը (QFC/ISA)։
SAQ 'ինքնագնահատումը տեսակներից մեկի (տես ներքևում), գումարած արտաքին ASV-սկանը։
3) Տարածքը (Scope) և CDE 'ինչպես և կառավարել և կառավարել
CDE (Cardholder Live Envi.ru) - ցանկացած համակարգ/ցանց/գործընթացներ, որոնք պահպանում են, մշակում կամ փոխանցում են CHD/SAD։
Նվազեցման ռազմավարություն
1. Redirect/Hosted Payment Page (HPP) - ձևը PSA-ի կողմում (նվազագույն սկոպուս)։
2. Windows Post/JS + your page (A-EP): Ձեր էջը ազդում է SAQ A-EP (ավելի լայն) փաթեթավորման անվտանգության վրա։
3. Tokenization: PAN-ի փոխանակումը PMS/ձեր թոկեն-վալտը։ PAN-ը ձեզ չի պահում։
4. Ցանցի սեգմենտացիան 'անջատեք CDE (SDAN/fierwols/ACL), նվազեցրեք միացումը։
5. «Disstorage» քաղաքականությունը 'չպահել PAN/SAD; բացառությունները խիստ հիմնավորված են։
4) SAQ տեսակները (համախմբված)
5) PCI DSS v4. 0: հիմնական թեմաները
Customized Approach: թույլ է տալիս այլընտրանքային վերահսկել ապացուցված համարժեք (պլան, TRA, թեստային հիմնավորում)։
Targeted Risk Analysis (TRA): կետային ռիսկի վերլուծություն «ճկուն» պահանջների համար (գործընթացների հաճախականությունը, մոնիտորինգները)։
Վավերացում ՝ MFA admin- ի և հեռավոր հասանելիության համար։ ուժեղ գաղտնաբառեր/պարագաներ; արգելափակումներ/թայմաուտներ։
Խոցելիությունները և հասակները ՝ ռուսական սկանները (ռոտր ./արտաքին), ASV-ը, պենտեստները ամեն տարի և նշանակալի փոփոխություններից հետո։
Կոդավորումը 'տրանզիտում (TFC 1։ 2+) и at rest; բանալիների կառավարում (KFC/HSM), ռոտացիաներ, դերերի բաժանումը։
Լոգներն ու ձեռնարկությունները 'կենտրոնացված լոգներ, պաշտպանություն փոփոխություններից (WORM/ստորագրություն), ամենօրյա անվտանգության իրադարձությունների ակնարկ։
Սեգմենտացիա/ֆաերվոլներ/WAF: Պաշտոնական կանոններ, ակնարկներ, որոնք փաստագրված են տեղաբանության կողմից։
MSLC/փոփոխություններ ՝ dev/test/2019 բաժանված են, SFC/DMS/ավանդատուներ-սկաններ, գաղտնիքների կառավարում։
Միջադեպերը 'պաշտոնական IRP, ուսուցումներ, դերեր և կոնտակտային թերթ, փոխազդեցություն PBS/Ecvaier բանկի հետ։
6) Քարտեզների տվյալները ՝ ինչ կարող եք/հնարավոր չէ/
CHD: PAN (+)։ անունը, ժամանակահատվածը, ծառայողական կոդը)։
SAD (արգելված է պահպանելուց հետո) 'CVV/CVC, ամբողջական մագնիսական ուղիներ, PIN բլոկներ։
Դիմակավորում 'PAN-ի ցուցադրումը դիմակով (սովորաբար առաջին 6 և վերջին 4)։
Տոկենիզացիա/պահեստավորում: Եթե պահպանեք PAN-ը, հասանելիությունը Need-to-Know-ով, բանալիները առանձին, կոշտ ամսագրեր։
7) Ստուգման օրինագծերը (գործնական չեկի թերթ)
1. CDE սեգմենտացիան առանձին ենթահամակարգ է, deny-by-international, egress-վերահսկողություն։
2. Ակտիվների կիսագունդը բոլոր համակարգերն են CDE-ում և կապված։
3. Hardning-ը անվտանգ ալգորիթմներ է, լռելյայն անջատումը, հիմնական ստանդարտները։
4. Խոցելիությունը/պաթչին գործընթացներն են, SLA-ը, կոդավորման հաստատումը։
5. Ամսագիրը ժամանակի, կենտրոնացված լոգայի, WORM/ստորագրության համաժամեցումն է։
6. Հասանելի են RBAC/ABAC, MFA, SoD, JIT/PAM, www.boarding 3515 րոպե։
7. Կրիպտոգրաֆիա - TFC, KFC/HSM, ռոտացիա, առանձին դերեր crypto-custodians։
8. Զարգացումը 'SFC/DFC/DS/IaC, գաղտնիքը-սկանները, pipeline ստորագրությունները։
9. ASV սկանավորումը ապշեցուցիչ է և փոփոխությունից հետո, «Pass» կարգավիճակները պահպանելու համար։
10. Պենտեստները ՝ 108 ։/108 r։ ցանցը և ցանցը, առնվազն ամեն տարի։
11. IR պլանը 'ուսուցումներ, war-room PSA/ekwayer, թայմլայններ։
12. Ուսուցումը ֆիշինգը, secure coding, PCI-awareness դերերի համար։
13. Փաստաթղթերը/ընթացակարգերը 'պահեստավորման քաղաքականությունը/www.PAN, օրինագծերի ամսագիրը։
8) Փոխազդեցություն PFC/վենդորների հետ
Պայմանագրեր ՝ SLA հասանելիության/անվտանգության, DPIA/TPRM, միգրանցների իրավունք, թիվ 72 օբյեկտ
Տեխինտեգրացիա: NRR/redirect TRC-ում, ստորագրված webhuks, mTRC/բանալիներ KHL-ում, ռոտացիայում։
Եժեքվարթական ֆեդեգրաֆիա 'PSA (Attestation, հավաստագրեր), ASV/pentest-ի, MSK-ի փոփոխությունների մասին։
9) Փաստաթղթեր
ROC (Reporon Compliance) - QFC ամբողջական զեկույցը։
AOC (Attestation of Compliance) - մրցույթի ապացույց (ծրագիր ROC/SAQ)։
SAQ: Ռուսական ինքնագնահատման տեսակը (A, A-EP, D և այլն)։
ASV զեկույցները 'արտաքին սկան հավաստագրված պրովայդերի կողմից։
Քաղաքականություններ/ընթացակարգեր ՝ վարկածներ, սեփականատերեր, փոփոխությունների ամսագրեր։
Ապացույցներ ՝ ցանցի սխեմաներ, WORM լոգներ, թեստերի արդյունքները, հյուսետները։
10) Դերեր և RACI
11) Մետրիկի (KPI/KRI)
ASV Pass Rate: 100 տոկոսը զանգվածային բջիջները «pass» են։
Patch SLA High/Critical: 3895 տոկոսը ժամանակում։
Pentest Findings Closure: 3695 տոկոսը High-ը փակված է 30 օրվա ընթացքում։
MFA Coverage admins: 100 տոկոսը։
Log Integrity: 100 տոկոսը քննադատական համակարգեր WORM/ստորագրությունների հետ։
Scope Reduction: վճարումների մասը redirect/tocenization-ի միջոցով 99 տոկոսն է։
INCIDENTS: PCI միջադեպերը ժամանակի ընթացքում 100 տոկոսն են։
12) Ճանապարհային քարտեզը (8-12 շաբաթ առաջ SAQ/ROC)
Շաբաթներ 1-2 'վճարման մոդելի ընտրությունը (NRR/tocenization), CDE-ի քարտ, ցանցի սխեմա, սեգմենտացման պլան, SAQ/ROC ընտրությունը։
Շաբաթներ 3-4: Hardning, MFA, WORM, MSLC սկաններ, բանալիներ/KMS, PAN պահեստավորման քաղաքականություն (լռելյայն 'չպահպանել)։
Շաբաթ 5-6: ASV-skan # 1, ուղղում; Պենտեստ (վեբ/վեբ/webhuki), IR ուսուցում PSA-ից, փաստաթղթերի վերջնական։
Շաբաթներ 7-8: SAQ լրացումը կամ QFC-ի աուդիտը (Stage հարցազրույցներ, նմուշներ), գտածոները, AOC/ROC պատրաստումը։
Շաբաթներ 9-12 (opz.) : «Customized Approach» և TRA, սեգմենացիայի օպտիմիզացում, KPI/KRI dashbords ինտեգրումը։
13) Չեկ թերթերը
Նախքան ռուսական քարտեզների մեկնարկը
Ընտրվել է ճանապարհը առանց PAN/SAD պահպանման
- Redirect/iframe PBS կամ թունավորումը տրամադրված է
- CDE, deny-by-international, WAF
- MFA/IGA/JIT/PAM ադմինիստների համար
- Logs (WORM, ստորագրություններ, NTP) և dashbords
- ASV-skan- ը անցել է, պենտեստը փակված է
- IR պլանը և շփումները PFC/bank/
Տարեկան հավաստագրման համար
Նորարարված սխեմաները և համակարգերի ցանկը CDE-ում
- 4 թաղամաս ASV, «pass» պահպանված են
- Պենտեստը 12 մեզ է և փոփոխությունից հետո
- Քաղաքական/ընթացակարգերը տեղին են, տարբերակները/սեփականատերերը/
- Լցված SAQ/www.ROC, արտադրված AOC-ի կողմից։
14) Հաճախակի սխալներ և ինչպես խուսափել դրանցից
PAN-ի հավաքումը իր էջում առանց պատշաճ պաշտպանության www.SAQ A-EP/D Օգտագործեք HPP/iframe PBS-ից։
Լոգները առանց փոփոխության պաշտպանվելու։ Միացրեք WORM/ստորագրությունները և ամենօրյա դիտարկումը։
Ոչ մի հատված չկա '«ամբողջ ցանցը CDE-ում»։ Խստորեն մաքրեք ուղղափառությունը։
CVV/SAD պահպանումը։ Արգելված է հեղինակային իրավունքից հետո։
Թերի ASV/պենտեստներ։ Փոփոխություններ կատարեք և պահպանեք հաշվետվությունները/արհեստագործությունը։
15) Ինտեգրումը wiki մյուս բաժինների հետ
Հարակից էջերը ՝ Գոլորշի քաղաքականությունը և MFA, RBAC/Least Privilege, Լոգարանների քաղաքականությունը, Միջադեպերը և արտահոսքերը, TPRM և SLA, CSO 27001/27701, SOC 2 - մարպինգի և միասնական evidence։
TL; DR
PCI DSS v4 հաջողությունը։ 0 = նվազագույն սկոպը (NRR/toxenization) + CDE + MFA/Logus WORM/ծածկագրում/KMS + ASV-ն է, ամեն տարի և փոփոխությունից հետո + պատրաստի փաստաթղթերը SAQ/ROC/AOC։ Սա նվազեցնում է աուդիտի ծախսերը, արագացնում է PFC-ի հետ և դարձնում է հիբրիդային ապահովություն։