GH GambleHub

Controllo e certificazione PCI DSS

1) Cos'è il PCI DSS e perché è importante per il iGaming

PCI DSS è uno standard di sicurezza per l'industria delle carte di pagamento (Visa/Mastercard/Amex/Discover/JCB). Per l'operatore del iGaming, definisce le misure tecniche e organizzative di protezione dei dati dei titolari di carte (CHD), inclusi i dati PAN e di autenticazione sensibile (SAD). L'incongruenza rischia multe, tariffe interbancarie elevate, revoca dell'account merchant e danni di reputazione.

2) Ruoli, livelli e tipo di certificazione

Ruoli

Merchant - accetta le carte dai giocatori.
Service Provider: gestisce/host/memorizza CHD per merchant (inclusi hosting, piattaforma di pagamento, tornizzazione).

Livelli (high level)

Livelli di merchant 1-4 per transazione annuale Level 1 richiede solitamente ROC (Report on Compliance) da QSA.
Livello del provider di servizi 1-2: Level 1 - ROC obbligatorio.

Formati di valutazione

ROC + AOC: rapporto completo del revisore (QSA/ISA).
SAQ: autostima per uno dei tipi (vedi qui sotto), più scan ASV esterno.

3) Area (Scope) e CDE - Come restringere e controllare

CDE (Cardholder Data Environment) - Tutti i sistemi/reti/processi che memorizzano, elaborano o trasmettono CHD/SAD.

Strategie di minimizzazione

1. Redirect/Hosted Payment Page (HPP) - Forma sul lato PSP del SAQ A (scorciatoia minima).
2. Direct Post/JS + your page (A-EP) - La tua pagina influisce sulla sicurezza della raccolta di → SAQ A-EP (più ampia).
3. Tokening: cambio PAN per token PSP/token valt; Il PAN non è memorizzato.
4. Segmentazione rete - Isola CDE (VLAN/firewall/ACL), riducendo al minimo il traffico.
5. No Storage criterio: non memorizzare PAN/SAD eccezioni - rigorosamente giustificate.

💡 Regola d'oro: ogni byte PAN è un vantaggio per l'area di verifica.

4) Tipi SAQ (swin)

Tipo SAQA chi convieneRiepilogo dell'area
ASolo redirect/iframe PSP, nessun CHD da voiRequisiti minimi (nessuna gestione PAN server)
A-EPLa pagina Web influisce sulla raccolta di CHD (script, post su PSP)Controlli Web rafforzati
B/B-IPTerminali/importatori di stazioneRaramente per un iGaming
CApplicazioni di pagamento indipendenti, rete limitataValigette strette
C-VTImmissione manuale a un terminale virtualeScript di supporto (non desiderato)
P2PESoluzione certificata PCI P2PESe applicabile
D (Merchant/Service Provider)Altri script, storage/elaborazione PANSerie completa di requisiti

5) PCI DSS v4. 0: temi chiave

Customized Approach consente controlli alternativi in caso di equivalenza dimostrata (piano, TRA, giustificazione di prova).
Targeted Risk Analysis (TRA) - Analisi a rischio puntuale per i requisiti «flessibili» (frequenza dei processi, monitoraggio).
Autenticazione: MFA per accesso adminato e remoto Password/pasfrasi forti; blocchi/timeout.
Vulnerabilità e patch: scansioni regolari (intra/esterne), ASV trimestrale, pentesti ogni anno e dopo cambiamenti significativi.
Crittografia in transito (TLS 1. 2+) и at rest; Gestione delle chiavi (KMS/HSM), rotazioni, separazione dei ruoli.
Logi e monitoraggio: loghi centralizzati, protezione contro le modifiche (WORM/Firma), panoramica giornaliera degli eventi di sicurezza.
Segmentazione/faervole/WAF: regole formali, review, topologie documentate.
SDLC/modifiche: dave/test/prod diviso, SAST/DAST/Dependence Scans, gestione dei segreti.
Incidenti: IRP formale, esercitazioni, ruoli e contatti-foglio, interazione con PSP/banca equaiere.

6) Dati mappa: cosa è possibile/non può

CHD PAN (+ . nome, scadenza, codice di servizio).
SAD (vietato memorizzare dopo l'autorizzazione): CVV/CVC, tracce magnetiche complete, blocchi PIN.
Maschera: visualizza PAN con maschera (solitamente i primi 6 e gli ultimi 4).
Tornizzazione/memorizzazione: se memorizzate la crittografia PAN, accesso Need-to-Know, chiavi separate, registri rigidi.

7) Domini di controllo (foglio di assegno pratico)

1. Segmentazione CDE: sottofondo separato, deny-by-default, egress control.
2. Inventario delle risorse - tutti i sistemi in CDE e collegati.
3. Hardning - configi sicuri, disattivazione predefinita, standard base.
4. Vulnerabilità/patch - processi, SLA, conferma di installazione.
5. Cronologia - Sincronizzazione temporale, login centralizzati, WORM/firme.
6. Disponibili: RBAC/ABAC, MFA, , JIT/PAM, offboarding per 15 minuti.
7. Crittografia - TLS, KMS/HSM, rotazione, ruoli crypto-custodiani separati.
8. Sviluppo - SAST/DAST/DS/IaC, segreto-scan, firme pipeline.
9. Scansione ASV - trimestrale e dopo le modifiche, «Pass» stato memorizzare.
10. I pentestini sono all'interno. Rete e , almeno ogni anno.
11. Piano IR - esercitazioni, war-room con PSP/Equier, timeline.
12. Formazione - phishing, secure coding, PCI-awareness per i ruoli.
13. Documenti/procedure - Criteri di conservazione/rimozione PAN, registro di esportazione.

8) Interazione con PSP/Venditori

Contratti: SLA per la disponibilità/sicurezza, DPIA/TPRM, controllo, incidente-notifica di 72 ore

Manutenzione: NRR/Redirect TLS, webhoop firmati, mTLS/chiavi in KMS, rotazioni.
Monitoraggio trimestrale: report PSP (Attestation, certificati), dati ASV/pentest, modifiche SDK.

9) Documenti di conformità

ROC (Report on Compliance) - Report completo QSA.
AOC (Attration of Compliance) - Conferma della corrispondenza (allegato ROC/SAQ).
SAQ: tipo di autostima selezionato (A, A-EP, D, ecc.).
Report ASV: scansione esterna con provider certificato.
Regole/procedure: versioni, proprietari, registri delle modifiche.
Prove: schemi di rete, schemi WORM, risultati dei test, ticchetti.

10) Ruoli e RACI

AttivitàProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & architetturaA/RRRCCCC
Segmentazione/faervole/WAFCA/RRIICI
Tornitura/ridirectA/RRRCCCR
Vulnerabilità/patchIA/RRIICI
Logi/monitoraggioIA/RRCICI
ASV/pentestelliIA/RRIIRI
Documenti ROC/SAQ/AOCIA/RCIRRI
Incidenti PCICA/RRIRCC

11) Metriche (KPI/KRI)

ASV Pass Rate: 100% rapporti trimestrali - «pass».
Patch SLA High/Critical: ≥ 95% entro il termine.
Centest Findings Closure: 95% High è chiuso da 30 giorni.
MFA Coverage degli Ammiragli al 100%.
Log Integrity: 100% di sistemi critici con WORM/Firme.
Scope Reduction: il 99% dei pagamenti tramite redirect/tokenizzazione.
Incidents: incidenti PCI con notifica entro il 100%.

12) Road map (8-12 settimane prima della SAQ/ROC)

Settimane 1-2: scelta del modello di accettazione dei pagamenti (NRR/Tokening), mappatura CDE, schema di rete, piano di segmentazione, selezione SAQ/ROC.
Settimane 3-4: hardning, MFA, logi WORM, scan SDLC, chiavi/KMS, regole di conservazione PAN (impostazione predefinita non memorizzare).
Settimane 5-6: ASV-scan # 1, correzioni; pentest (web/network/webhook), insegnamento IR con PSP, finalizzazione della documentazione.
Settimane 7-8: SAQ compilazione o controllo QSA (Stage-interviste, campionamento), chiusura delle scoperte, preparazione AOC/ROC.
Settimane 9-12 (opz.) : «Customized Approach» e TRA, ottimizzazione della segmentazione, integrazione dei dashboard KPI/KRI.

13) Assegno fogli

Prima di iniziare la ricezione delle carte

  • Percorso selezionato senza storage PAN/SAD
  • Redirect/iframe PSP o tornitura configurati
  • Segmentazione CDE, deny-by-default, WAF
  • MFA/IGA/JIT/PAM per gli ammiragli
  • Logi (WORM, firme, NTP) e dashboard
  • ASV-scan superato, pentest chiuso
  • Il piano IR e i contatti PSP/banca

Per la certificazione annuale

  • Aggiornati gli schemi e l'elenco dei sistemi nel CDE
  • Completati 4 ASV trimestrali, 'pass'salvati
  • Pentest 12 mesh e dopo i cambiamenti
  • Regole/procedure aggiornate, versioni/proprietari
  • SAQ completato/ricevuto ROC, rilasciato AOC

14) Errori frequenti e come evitarli

Raccolta PAN sulla propria pagina senza la giusta protezione della SAQ A-EP/D. Usa HPP/iframe da PSP.
I fogli non sono protetti dai cambiamenti. Includere le firme WORM e la panoramica giornaliera.
Nessuna segmentazione è «tutta la rete nel CDE». Isolare il circuito di pagamento.
Storage CVV/SAD. Non consentito dopo l'autorizzazione.
ASV/pentesti incompleti. Eseguire le modifiche e memorizzare i report/remediazioni.

15) Integrazione con le altre sezioni wiki

Pagine collegate: Regole di password e MFA, RBAC/Least Privilege, Regole di logi, Incidenti e fughe, TPRM e SLA, ISO 27001/27701, SOCC 2 - per il controllo mapping e un unico set di evidence.

TL; DR

Successo PCI DSS v4. 0 = scorciatoia minima (NRR/Tokenizzazione) + segmentazione rigida CDE + MFA/login WORM/crittografia/KMS + ASV trimestrale, pentmange ogni anno e dopo le modifiche + documenti pronti SAQ/ROC/AOC. Ciò riduce i costi di verifica, accelera l'integrazione con PSP e rende il circuito di pagamento più sicuro.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.