PCI DSS 'մակարդակներ և համապատասխանություններ
1) Ի՞ նչ է PCI DSS-ը և ում կարիքը նա ունի։
PCI DSS (Payme Card Industry Live Standard) - էքսպորտային քարտեզների անվտանգության արդյունաբերական ֆորումը (Visa, Distercard, AmEx, Discover, JCB)։ IGaming-ի համար այն պարտավոր է, եթե դուք
վերցնում եք քարտերի վճարումները (ուղղակիորեն կամ PFC/դարպասի միջոցով),
մշակեք/պահեք/փոխանցեք քարտային տվյալները (PAN, ժամանակը, CVV) կամ դրանք կրճատված/ծածկագրված ձևեր,
Դուք այլ մերչանտների համար ծառայությունների պրովայդեր եք (հոստինգ, պրոցեսինգ, anti frod, հիբրիդային նվագախումբ և այլն), եթե կարող եք ազդել քարտեզների անվտանգության վրա։
Տարբերակը և ժամանակը 'PCI DSv4-ի իրական տարբերակը։ 0. Պահանջները v3։ 2. 1-ը հանվել է օգտագործումից. «future-ede» կետերը v4։ 0-ն այժմ գործում են։ Նոր v4-ում։ 0: ուժեղացված MFA, «Customized Approach», թարթված ռիսկի վերլուծություն ընթացակարգերի հաճախության, հատվածների և կոդավորման վերաբերյալ։
2) Ինտեգրման մակարդակները 'չափումներ և ծառայությունների պրովայդերներ
2. 1 Merchants (առևտրականներ)
Մակարդակը որոշվում է քարտերի գործարքների տարեկան ծավալով (բոլոր ալիքները) և/կամ փոխզիջման միջադեպերով։ Տիպիկ մոդել (ամենամեծ հիբրիդային սխեմաներով)
Level 1: > 6 միլիոն գործարքներ/տարի կամ փոխզիջում էր։ Պահանջվում է տարեկան ROC (Reporon Compliance) QIV-ից կամ ներքին ISA-ից, համաձայն, + թաղամաս ASV-սկանները։
Level 2: 351-6 միլիոն/տարի։ Սովորաբար SAQ (ինքնագնաց) + ASV-սկանները; որոշ սխեմաներ/էկվայերներ կարող են պահանջել ROC։
Level 3: 3520k-1 միլիոն e-commerce/տարի։ Սովորաբար SAQ + ASV-սկանները։
Level 4: L3 շեմերից ցածր։ SAQ; պահանջները կարող են տարբեր լինել Equaier բանկում։
2. 2 Ծառայությունների պրովայդերներ (EuroProviders)
Սովորաբար երկու մակարդակ; Level 1-ի համար (մեծ ծավալ/կրիտիկական դերը շղթայում) պարտավոր է ROC-ը QLS-ից, Level 2-ի համար - SAQ-D SP (երբեմն ROC-ը գործընկերների/սխեմաների պահանջով)։ IGaming-ում շատ PMS/դարպաս/հոստինգի գործընկերներ 'SP Level 1։
3) SAQ vs ROC 'ինչպես ընտրել
ROC-ն պարտավոր է L1-մերչանտների և SP L1-ի համար։ Մնացած դեպքերում SAQ-ից մեկն է
SAQ A-ն միայն redirect/iframe/hosted fields-ն է։ դուք չունեք/քարտերի փոխանցման/պահեստավորման համար։
SAQ A-EP-EP-ը e-commerce է, որտեղ ձեր կայքը ազդում է վճարման էջի անվտանգության վրա (օրինակ, ջութակի հանրակացարան), բայց PAN-ը ներդրվում է պրովայդերի միջավայրում։
SAQ B/B-IP - տերմինալներ/իմպրինատներ առանց էլեկտրոնային պահեստավորման; B-IP-ը միացված տերմինալներ են։
SAQ C-VT/C-ն վիրտուալ տերմինալներ/փոքր վերամշակման միջավայր է, առանց պահեստավորման։
SAQ P2MS-ը միայն PCI հավաստագրված P2MS լուծումն է։
SAQ D (Merchant/Windows Provider) - «լայն» տարբերակ ցանկացած մշակման/փոխանցման/պահպանման, կաստոմային ինտեգրումների, նվագախմբերի և այլն։
iGaming-ի համար 'ռուսական ճանապարհը SAQ A/A-EP-ն է PAN-safe հոսքերի, տոկենիզացիայի և հյուրանոցի դաշտերի շնորհիվ։ Եթե ունեք սեփական վճարային ծառայություններ/վալտ, սովորաբար SAQ D կամ ROC։
4) Սկոպինգ 'Ի՞ նչ է մտնում CDE-ում և ինչպե՞ ս կարելի է այն սայթաքել։
CDE (Cardholder Express Enviance) - համակարգեր, որտեղ մշակվում/պահվում են քարտային տվյալները, և բոլոր միացյալ/ազդեցիկ հատվածները։
Սկորուպի կրճատումը
Hosted fields/iframe/TMS: PAN-ի մուտքը ձեր տիրույթից դուրս։
Tokenization և network tokens: Ձեր ծառայությունները գործում են հոսանքներով, ոչ թե PAN-ով։
P2MS: «վերջը-վերջի» կոդավորումը հավաստագրված լուծումով։
Ցանցի հատվածը 'կոշտ ACL, CDE մեկուսացումը մնացած միջավայրից։
Պարտադիր DLP-ը և Logs-ը, արգելքը PAN/CVV-ի հետ։
V4-ում։ 0-ը ավելացնում է նպատակներին հասնելու մեթոդների ճկունությունը, բայց արդյունավետության և թարգետիկ ռիսկի վերլուծության ապացույցները պարտադիր են։
5) «12 պահանջներ» PCI DSS v4։ 0 (իմաստաբանական բլոկներ)
1. Ցանցային պաշտպանությունները և հատվածները (fierwols, ACL, CDE մեկուսացումը)։
2. Հանրակացարանների/սարքերի անվտանգ կազմաձևումը (hardning, հիմնական գծերը)։
3. Քարտեզների սեփականատերերի պաշտպանությունը (PAN պահպանումը միայն անհրաժեշտության դեպքում, ուժեղ կրիպտոգրաֆիա)։
4. Տվյալների պաշտպանությունը փոխանցման ժամանակ (TFC 1։ 2 + և համարժեքներ)։
5. Antivirus/anti-malium և ամբողջականության վերահսկումը։
6. Անվտանգ զարգացում և փոփոխություն (MSLC, SFC/DTS, գրադարանների վերահսկողություն)։
7. Անհրաժեշտության հասանելիությունը (leportprivilege, RBAC)։
8. Նույնականացում և վավերացում (MFA ադմինի և հեռավոր հասանելիության համար, գաղտնաբառեր v4-ով։ 0).
9. Ֆիզիկական անվտանգությունը (ամսաթվերը, գրասենյակները, տերմինալները)։
10. Տրամաբանությունը և տրամաբանությունը (լոգարանների կենտրոնացումը, անփոփոխ, ալերտները)։
11. Անվտանգության փորձարկումը (ASV սկանները եռամսյակային և փոփոխությունից հետո)։
12. Քաղաքական և ռիսկերի կառավարում (ընթացակարգեր, ուսուցում, հարգանք, ռիսկի գնահատականներ, «Customized Approach» փաստաթղթեր)։
6) Պարտադիր գործունեություն և պարբերականություն
ASV-սկանները (արտաքին) - եռամսյակային և նշանակալի փոփոխություններից հետո։
Խոցելիությունը/պաթչինգները ռուսական ցիկլներ են (հաճախականությունները հիմնավորված են TRA - targeted risk anensis)։
Պենտեստներ (արբիտր ./1922) ամեն տարի և նշանակալի փոփոխություններից հետո։ հատվածների ստուգումը պարտադիր է։
Ամսագրերը և ձեռնարկությունները շարունակաբար, վերափոխման և պաշտպանության հետ փոփոխություններից։
Աշխատողի ուսուցումը վարձելիս և հետո կանոնավորաբար։
MFA-ն Ադմինի ամբողջ և հեռավոր հասանելիության համար է CDE-ին։
Համակարգերի/տվյալների հոսքերի կիսագունդը անընդհատ թարմացնում է։
7) SAQ-մատրիցը (կարճ)
Միայն iframe/redirect, առանց PAN, դուք ունեք SAQ A.
E-commerce, ձեր կայքը ազդում է SAQ A-EP-ի վճարման էջի վրա։
Տերմինալներ/իմպրինատներ www.SAQ B/B-IP։
Վիրտուալ տերմինալ SAQ C-VT։
Փոքրիկ «քարտեզի» ցանցը առանց SAQ-ի պահեստավորման։
P2MS լուծումը SAQ P2MS-ն է։
Այլ/բարդ/պահպանումը/մշակումը SAQ D (կամ ROC)։
8) Արտեֆակտները և ապացույցները մրցույթի համար
Պատրաստեք և աջակցեք
Ցանցի դիագրամները և տվյալների հոսքերը, ակտիվների ակտիվները, կոդավորումը, օպտիկամանրաթելները/հասանելի։
Քաղաքական գործիչները/ընթացակարգերը 'անվտանգ զարգացումը, փոփոխությունների կառավարումը, տրամաբանությունը, միջադեպերը, խոցելիությունը, բանալիները/գաղտնիքները, հեռավոր հասանելիությունը, պահեստային պատճենները։
Զեկույցները ՝ ASV, պենտեստներ (ներառյալ հատվածները), խոցելիությունների ժայռերը, փոփոխությունների արդյունքները։
Ամսագրեր/ալերտներ ՝ կենտրոնացված համակարգ, անփոփոխ, վերլուծություն։
Կրիպտո կառավարումը 'KFC/HSM ընթացակարգեր, ռոտացիաներ, կոդավորման/հավաստագրերի կիսագնդեր։
«Customized Approach» (եթե նրանք օգտագործում էին) 'կառավարման նպատակները, մեթոդը, արդյունավետության չափումները, TRA-ն։
Պատասխանատվության ուրվագծերը երրորդ դեմքերից ՝ AoC գործընկերներ (PMS, հոստինգը, CDN, anti-frod), Shared Responsibility մատրիցը։
9) Մրցույթի ձեռքբերման նախագիծը (կոպիտ)
1. Սկոպինգը և GAP-վերլուծությունը 'որոշել CDE-ը, հարակից հատվածները, որոնք համապատասխանում են բացմանը։
2. Արագ հաղթանակներ ՝ PAN-safe հոսքը (iframe/hosted fields), թունայնացումը, PAN-ի արգելքը լոգիում, փակել «արտաքին» կրիտիկական խոցելիությունը։
3. Սեգմենտացիան և ցանցը 'մեկուսացնել CDE, mTSA, firewall-ACL, հասանելի են ձախ-privilege, MFA։
4. Դիտարկումը 'կենտրոնացված տրամաբանությունը, վերականգնումը/անվտանգության շղթան, ալերտները։
5. Խոցելիությունների կառավարումը և կոդը ՝ SFC/DTS, patchi, SBSA, կախվածության վերահսկումը։
6. Թեստեր ՝ ASV-սկաններ, ներքին/արտաքին պենտեստներ, հատվածների ստուգում։
7. Փաստաթղթերը և ուսուցումները 'ընթացակարգերը, IR պլեյբուկները, դասընթացները, ուսուցման ձայնագրությունները։
8. Հավաստագրման ձևի ընտրությունը 'SAQ (տիպ) կամ ROC; համաձայնեցնել էկվայերի/բրենդերի հետ։
9. Տարեկան ցիկլը 'աջակցություն, ապացույցներ, ռիսկեր/հաճախականություններ, անցում։
10) iGaming ճարտարապետության ինտեգրումը iGaming-ի ճարտարապետության հետ
Կամերային նվագախումբը աշխատում է միայն հոսանքների հետ։ PAN-ը չի տեսնում։
Multi-PSP: health-checks, smart-routing, idempotency, ретраи; AoC յուրաքանչյուր PBS-ից։
Event-driven shina/MSH: ոչ PAN/CVV; վերջին 4 թվանշանների դիմակավորում; DLP գեյտերը CI/CD-ում։
3DS/SCA-ի չեկերը 'պահել միայն անհրաժեշտ արտեֆակտները (գործարքների ցուցանիշները), առանց զգայուն տվյալների։
11) Հաճախակի սխալներ
PAN/CVV տրամաբանությունը և ոչ որակյալ դիմակները։
«Ժամանակավոր» PAN տեղադրումը ներքին API/անվադողերի միջոցով։
Սեգմենտացիայի թեստի բացակայությունը պենտեստում։
Ընթացակարգերի անհիմն հաճախականությունը (ոչ TRA-ը v4-ով։ 0).
Կախվածությունը մեկ PBS-ից առանց AoC-ի և առանց fallback-ի։
Չբացահայտված «ազդեցիկ» հատվածները (admin-jump-hosport, no, bekaps)։
12) Արագ մեկնարկի չեկի ցուցակը (iGaming)
- Անցնել hosted fields/iframe; հեռացնել PAN-ի մուտքը ձեր ձևերից։
- Միացրեք/ցանցային հոսանքները; Բացառել PAN-ը իրադարձություններից/logs-ից։
- Անցկացնել CDE-ի կուտակումը և հյուրանոցների մեկուսացումը (MFA, RBAC, mTSA)։
- Տեղադրեք կենտրոնացված լույսեր և ալերտներ (անփոփոխ, վերափոխում)։
- Սկսել ASV սկանները, վերացնել կրիտիկական/բարձր։
- Պենտեստներ (արբիտր ./1922) + սեգմենտացման թեստը։
- Պատրաստել քաղաքականություններ/ընթացակարգեր և ապացույցներ։
- Համաձայնեցնել սերտիֆիկացման ձևը էկվայերի հետ (SAQ տիպ/ROC)։
- Ստանալ և պահել AoC բոլոր կրիտիկական։
- Ներկառուցել PCI-ի կառավարումը հիբրիդային ցիկլի մեջ (MSLC, IaC-hardning, DLP CI/CD)։
13) FAQ կարճ ժամանակում
Արդյո՞ ք QFC-ն անհրաժեշտ է։ ROC-ի համար այո։ SAQ-ի համար հաճախ բավականին ինքնաբուխ է, բայց շատ էկվայերներ/բրենդներ կարող են QFC/ASV գործընկեր։
Եթե մենք PAN չենք։ Այնուամենայնիվ, ընկնում եք PCI DSS-ի տակ, եթե քարտեր եք ընդունում։ Փորձեք հասնել SAQ A/A-EP-ին։
3DS-ն լուծում է PCI-ն։ Ոչ։ 3DS - վավերացման մասին; PCI-ն տվյալների պաշտպանության մասին է։
Բավական է TLS-ը։ Ոչ։ Անհրաժեշտ է բոլոր ռելեվանտային պահանջները v4։ 0, ներառյալ գործընթացները և ապացույցները։
14) Ռեզյումե
iGaming-ի համար օպտիմալ ռազմավարությունը նվազագույնի հասցնելն է (PAN-safe, tocenization, hosted fields, P2MS, որտեղ հնարավոր է), խստորեն բաժանել CDE, ավտոմատացնել տրամաբանությունը/խոցելիությունը/պենտեստները, հավաքել արտեֆակտների ամբողջական փաթեթը և ընտրել ճիշտ հաստատման ձևը (SAQ կամ ROC) մակարդակ։ Սա նվազեցնում է ռիսկը, արագացնում է PBS-ի հետ և աջակցում կայուն ծրարներին և մոնետիզացիան քարտեզների բրենդների պահանջներին հետևելիս։