PCI DSSの制御および証明
1) PCI DSSが何であり、なぜiGamingに重要なのか
PCI DSSは、決済カード業界(Visa/Mastercard/Amex/Discover/JCB)のセキュリティ標準です。iGamingオペレータのために、PANや機密認証データ(SAD)を含むカード保有者データ(CHD)を保護するための技術的および組織的措置を定義しています。この矛盾は、罰金、銀行間関税の増加、商人口座の回収、評判の損害と脅かされます。
2)証明の役割、レベルおよびタイプ
[役割]
商人:プレーヤーからカードを受け入れます。
サービスプロバイダー:商人のためのプロセス/ホスト/ストアCHD(ホスティング、決済プラットフォーム、トークン化を含む)。
レベル(高レベル)
商人のレベル1-4:年次取引によって;レベル1は通常、QSAからのROC(コンプライアンスに関するレポート)が必要です。
サービスプロバイダレベル1-2:レベル1は必須ROCです。
評価フォーマット
ROC+AOC:完全監査報告書(QSA/ISA)。
SAQ:タイプの1つ(下記参照)による自己評価と外部ASVスキャン。
3)スコープとCDE: 絞り込みと管理方法
CDE (Cardholder Data Environment)-CHD/SADを保存、処理、送信するシステム/ネットワーク/プロセス。
最小化戦略
1.ホストされた支払いページ(HPP): PSP→SAQ Aフォーム。
2.ダイレクトポスト/JS+ページ(A-EP):ページはSAQ A-EP→(より広い)を収集する安全性に影響します。
3.トークン化:PSPトークン/トークンウォルトのPAN交換;PANは保存されません。
4.ネットワークセグメンテーション:CDE (VLAN/ファイアウォール/ACL)を分離し、トラフィックを最小限に抑えます。
5.「No storage」ポリシー:PAN/SADを保存しないでください。例外は厳密に正当化されます。
4) SAQタイプ(要約)
5) PCI DSS v4。0: 主なトピック
カスタマイズされたアプローチ:証明された同等性(計画、TRA、テスト正当化)の下で代替制御を可能にします。
Targeted Risk Analysis (TRA):「柔軟な」要件(プロセス頻度、モニタリング)のポイントリスク分析。
認証:管理者とリモートアクセスのためのMFA;強力なパスワード/パスフレーズ;ロック/タイムアウト。
脆弱性とパッチ:定期的なスキャン(内部/外部)、四半期ごとにASV、年間および重要な変更後の害虫。
暗号化:トランジット中(TLS 1。2+)残りの部分で;キー管理(KMS/HSM)、回転、役割分離。
ログと監視:集中ログ、変更に対する保護(WORM/署名)、セキュリティイベントの毎日のレビュー。
セグメンテーション/ファイアウォール/WAF:正式なルール、レビュー、ドキュメント化されたトポロジー。
SDLC/changes: dev/test/prod区切り、SAST/DAST/dependencyスキャン、秘密管理。
インシデント:正式なIRP、ドリル、役割と連絡先リスト、PSP/買収銀行との相互作用。
6)カードデータ: できること/できないこと
CHD: PAN(+オプション。名前、用語、サービスコード)。
悲しい(承認の後で貯えるために禁止されて):CVV/CVC、完全な磁気トラック、PINブロック。
マスキング:マスク付きのPANディスプレイ(通常は最初の6と最後の4)。
トークン化/ストレージ:PAN→暗号化、Need-to-Knowアクセス、キー別、ハードログを保存する場合。
7)制御範囲(実用的なチェックリスト)
1.CDEセグメンテーション-個別のサブネット、deny-by-default、 egress-control。
2.アセットインベントリ-CDE内のすべてのシステムおよび関連。
3.ハードニング-安全な構成、デフォルトのシャットダウン、基本的な標準。
4.脆弱性/パッチ-プロセス、SLA、導入確認。
5.ロギング-時間同期、集中ログ、WORM/署名。
6.アクセス-RBAC/ABAC、 MFA、 SoD、 JIT/PAM、オフボーディング≤ 15分。
7.暗号-TLS、 KMS/HSM、回転、個別の暗号カストディアンの役割。
8.開発-SAST/DAST/DS/IaC、秘密スキャン、パイプライン署名。
9.ASVのスキャン-四半期ごとに、変更後に"Pass'ステータスを保存します。
10.Pentests-外部/社内のネットワークと。、少なくとも毎年。
11.IR計画-演習、PSP/取得者との戦争部屋、タイムライン。
12.トレーニング-フィッシング、セキュアなコーディング、役割のPCI意識。
13.ドキュメント/プロシージャ-PAN保持/削除ポリシー、エクスポートログ。
8) PSP/ベンダーとの相互作用
契約:可用性/セキュリティSLA、 DPIA/TPRM、監査権、インシデント通知≤ 72時間。
技術的な統合:TLS、署名されたwebhook、 KMSのmTLS/keys、回転のためのHP/リダイレクト。
四半期ごとのモニタリング:PSPレポート(証明書、証明書)、ASV/pentest抜粋、SDKの変更。
9)コンプライアンス文書
ROC(コンプライアンスに関する報告書):完全なQSAレポート。
AOC(コンプライアンスの確認)-コンプライアンスの確認(ROC/SAQへの添付)。
SAQ:選択した自己評価タイプ(A、 A-EP、 Dなど)。
ASVレポート:認定プロバイダによる外部スキャン。
ポリシー/プロシージャ:バージョン、所有者、変更ログ。
証拠:ネットワーク図、WORMログ、テスト結果、チケット。
10)役割とRACI
11)指標(KPI/KRI)
ASVパスレート:100%四半期ごとのレポート-「パス」。
パッチSLA High/Critical:時間通りに95% ≥。
Pentest Findings Closure: ≥ 95% High closed ≤ 30日。
管理者のMFAカバレッジ:100%。
Log Integrity: WORM/signaturesを使用した100%重要なシステム。
スコープ削減:リダイレクト/トークン化による支払いのシェア≥ 99%です。
インシデント:期限が100%のPCIインシデント。
12)ロードマップ(SAQ/ROCの前の8-12週)
週1-2:支払モデル選択(HPP/トークン化)、CDEマッピング、ネットワークレイアウト、セグメンテーション計画、SAQ/ROC選択。
週3-4:硬化、MFA、 WORMログ、SDLCスキャン、キー/KMS、 PANストレージポリシー(デフォルト-保存しない)。
週5-6: ASVスキャン#1、修正;pentest (web/network/webhooks)、 PSPによるIR学習、ドキュメントの最終化。
週7-8: QSAのSAQの完了または監査(段階インタビュー、サンプル)、発見の閉鎖、AOC/ROCの準備。
週間9-12 (Op。):「カスタマイズされたアプローチ」とTRA、セグメンテーションの最適化、KPI/KRIダッシュボードの統合。
13)チェックリスト
カード受付開始前
- 非PAN/SADストレージパスを選択
- リダイレクト/iframe PSPまたはトークン化が構成されている
- CDEセグメンテーション、deny-by-default、 WAF
- 管理者向けMFA/IGA/JIT/PAM
- ログ(WORM、署名、NTP)とダッシュボード
- ASVスキャン通過、ペンテストクローズ
- IRプランとPSP/銀行の連絡先
年次認証について
- CDE回路図とシステムリストを更新
- 4四半期ごとにASVを渡し、「パス」を保存
- ペンテスト≤ 12ヶ月と変更後
- 最新のポリシー/手順、バージョン/所有者
- AOC発行のSAQ/ROC受領
14)頻繁な間違いとそれらを回避する方法
適切な保護なしにページ上のPANを収集→SAQ A-EP/D。PSPからHPP/iframeを使用します。
変更に対する保護のないログ。WORM/署名と毎日の概要を含める。
セグメンテーションなし-"CDEのネットワーク全体。"決済ループを厳密に分離します。
CVV/SADストレージ。承認後は禁止されています。
不完全なASV/害虫。変更の後に行うと、レポート/修正を維持します。
15)他のWikiセクションとの統合
関連ページ:パスワードポリシーとMFA、 RBAC/Lest Privilege、ログポリシー、インシデントとリーク、TPRMとSLA、 ISO 27001/27701、 SOC 2-コントロールマッピングと単一の証拠セット。
TL;DR(ドクター)
PCI DSS v4の成功。0=最小スコープ(HPP/トークン化)+ハードセグメンテーションCDE+MFA/WORMログ/暗号化/KMS+ASV四半期、年間および変更後のペンテスト+SAQ/ROC/AOCドキュメントを終了しました。これにより、監査コストを削減し、PSPの統合を加速し、支払いループを確実に安全にします。