GH GambleHub

PCI DSS:レベルとコンプライアンス

1) PCI DSSとは何ですか?

PCI DSS (Payment Card Industry Data Security Standard)は、支払カードセキュリティ(Visa、 Mastercard、 AmEx、 Discover、 JCB)の業界標準です。iGamingの場合は、次の場合が必要です:
  • カード決済を受け入れる(直接またはPSP/ゲートウェイ経由)、
  • プロセス/ストア/転送カードデータ(PAN、用語、CVV)または短縮/暗号化されたフォーム、
  • これらのカードのセキュリティに影響を与える可能性がある場合は、他の商人(ホスティング、処理、不正防止、支払いオーケストレーションなど)のサービスプロバイダーです。

バージョンとタイミング:現在のバージョンはPCI DSS v4です。0.要件v3。2.1引退した。「future-dated」アイテムv4。0が有効になりました。v4の新機能。0:強化されたMFA、「カスタマイズされたアプローチ」、プロシージャの頻度のターゲット・リスク分析、セグメンテーションおよび暗号化の改良。

2)コンプライアンスレベル: 商人およびサービスプロバイダー

2.1商人(商人)

レベルは、カードトランザクション(すべてのチャネル)および/または妥協インシデントの年間量によって決定されます。典型的なモデル(最大の支払いスキームによると):
  • レベル1:>600万トランザクション/年または侵害されました。調整時にQSAまたは内部ISAから年間ROC(コンプライアンスに関するレポート)が必要です。
  • レベル2: ~ 1-600万/年。通常-SAQ(自己評価)+ASVスキャン;一部のスキーム/取得者はROCを必要とする場合があります。
  • レベル3: ~ 20k-1百万eコマース/年。通常-SAQ+ASVスキャン。
  • レベル4: L3のしきい値の下。SAQ;銀行を取得することによって要件が異なる場合があります。
💡 注意:正確なしきい値と確認フォームは、カードブランドとあなたの買収者によって設定されています。ポリシーを確認してください。

2.2サービスプロバイダー

通常2つのレベル;レベル1(チェーン内の大容量/重要な役割)では、レベル2-SAQ-D SP(時には取引相手/スキームの要求に応じてROC)のQSAからのROCが必要です。iGamingでは、多くのPSP/ゲートウェイ/ホスティングパートナーがSPレベル1です。

3) SAQ対ROC: 選択方法

ROCはL1メートルとL1 SPには必須です。他の場合-SAQの1つ:
  • SAQ A-リダイレクト/iframe/hostedフィールドのみ;あなたと一緒にカードの処理/転送/保管はありません。
  • SAQ A-EPは電子商取引です。サイトは支払いページのセキュリティに影響を与えます(ホストスクリプトなど)が、PANはプロバイダの環境で導入されます。
  • SAQ B/B-IP-電子貯蔵のないターミナル/インプリンター;B-IP-接続端子。
  • SAQ C-VT/C-仮想端末/小さな処理環境、ストレージなし。
  • SAQ P2PEはPCI認定のP2PEソリューションのみです。
  • SAQ D(マーチャント/サービスプロバイダー)-任意の処理/転送/ストレージ、カスタムインテグレーション、オーケストレーターなどの「ワイド」オプション。

iGamingの練習:PAN-safeストリーム、トークン化、ホストフィールドによるターゲットパスはSAQ A/A-EPです。あなた自身の支払サービス/ウォルトがあれば-通常SAQ DまたはROC。

4)スコーピング: CDEに入るものとそれを絞り込む方法

CDE (Cardholder Data Environment)-カードデータが処理/保存/送信されるシステムと、すべての接続/影響を受けるセグメント。

スコープの略語:
  • ホストされているフィールド/iframe/TSP-ドメイン外のPANを入力します。
  • トークン化とネットワークトークン:サービスはPANではなくトークンで動作します。
  • P2PE:認定ソリューションを使用したエンドツーエンドの暗号化。
  • ネットワークセグメンテーション:ハードACL、他の環境からのCDE分離。
  • 必須のDLPとログマスキング、PAN/CVVでダンプを禁止します。

v4で。0目標を達成するための方法の柔軟性を追加しましたが、有効性と標的リスク分析の証拠は必須です。

5) PCI DSS v4 "12の条件。"0(ブロックの意味)

1.ネットワークセキュリティとセグメンテーション(ファイアウォール、ACL、 CDE分離)。
2.安全なホスト/デバイス構成(硬化、ベースライン)。
3.カード保有者データの保護(PANストレージ-必要に応じてのみ、強力な暗号化)。
4.伝送中のデータ保護(TLS 1。2+と等価)。
5.ウイルス対策/マルウェア対策および整合性制御。
6.安全な開発と修正(SDLC、 SAST/DAST、ライブラリ制御)。
7.必要に応じてアクセス(最小特権、RBAC)。

8.IDと認証(管理者とリモートアクセスのためのMFA、 v4によるパスワード。0).

9.物理的なセキュリティ(データセンター、オフィス、ターミナル)。
10.ログの記録と監視(ログの集中化、不変性、アラート)。
11.安全テスト(ASVは四半期ごとにスキャンし、毎年および変更後の害虫、セグメンテーションテスト)。
12.ポリシーとリスク管理(手順、トレーニング、インシデント対応、リスク評価、「カスタマイズされたアプローチ」文書)。

6)必須の活動と頻度

ASVスキャン(外部)-四半期ごとにおよび大幅な変更後。
脆弱性/パッチ適用-定期的なサイクル(周波数はTRAによって正当化されます-ターゲットとなるリスク分析)。
浸透テスト(内部/外部)-毎年および重要な変更後。セグメンテーションチェックは必須です。
ログと監視-継続的に、保持と変更に対する保護。
人材トレーニング-採用時および定期的に。
MFA-すべての管理者とCDEへのリモートアクセス。
システム/データストリームのインベントリ-常に更新します。

7) SAQ選択行列(短い)

PAN you→SAQ Aなしのiframe/redirectのみ。
Eコマース、あなたのサイトは支払いページに影響を与えます→SAQ A-EP。
端子/インプリンタ→SAQ B/B-IP。
仮想ターミナル→SAQ C-VT。
貯蔵のない小さい「カード」ネットワーク→SAQ。
P2PEソリューション→SAQ P2PE。
その他/複雑/ストレージ/処理→SAQ D(またはROC)。

8)監査のためのアーティファクトと証拠

準備とメンテナンス:
  • ネットワークとデータフロー図、アセットレジスタ、ベンダー登録、会計/アクセスレジスタ。
  • ポリシー/プロシージャ:安全な開発、変更管理、ロギング、インシデント、脆弱性、キー/暗号、リモートアクセス、バックアップ。
  • レポート:ASV、害虫(セグメンテーションを含む)、脆弱性スキャン、修正結果。
  • ログ/アラート:集中システム、不変性、インシデント分析。
  • 暗号管理:KMS/HSM手順、回転、キー/証明書の在庫。
  • 「カスタマイズされたアプローチ」証明(適用された場合):制御目的、方法、パフォーマンス指標、TRA。
  • 第三者からの責任の輪郭:AoCパートナー(PSP、ホスティング、CDN、不正防止)、共有責任マトリックス。

9)コンプライアンスプロジェクト(ステップバイステップ)

1.Copy and Gap Analysis-Define CDE、隣接するセグメント、現在のブレーク。
2.クイックウィン:PAN-safeストリーム(iframe/hostedフィールド)、トークン化、ログのPAN禁止、「external」 crete脆弱性のクローズ。
3.セグメンテーションとネットワーク:CDE、 mTLS、ファイアウォール-ACL、最小権限アクセス、MFAを分離します。
4.可観性:集中ロギング、保管/保管のチェーン、アラート。
5.脆弱性とコード管理:SAST/DAST、パッチ、SBOM、依存性管理。
6.テスト:ASVのスキャン、内部/外的な浸透テスト、区分の点検。
7.文書および訓練:プロシージャ、IRプレイブック、訓練、訓練の記録。
8.認証フォームの選択:SAQ(タイプ)またはROC;買収者/ブランドと合意される。
9.年間サイクル:サポート、証拠、リスク/頻度レビュー、再利用。

10) iGamingアーキテクチャとの統合

支払いオーケストレーターはトークンでのみ動作します。PANが見えない。
マルチPSP:ヘルスチェック、スマートルーティング、idempotency、各PSPからのAoC。
イベント駆動バス/DWH: PAN/CVVなし;最後の4桁をマスクします。CI/CDのDLPゲート。
3DS/SCAチェック:機密データなしで、必要なアーティファクト(トランザクションID)のみを保存します。

11)頻繁なエラー

PAN/CVVロギングと無効なマスク。
内部API/バスを介した「Temporary」 PANルーティング。
ペンテストセグメンテーションテストの欠如。

プロシージャの不合理な頻度(v4によるTRAなし。0).

AoCなしとフォールバックなしの1つのPSPへの依存。
アカウントされていない「影響力のある」セグメント(admin-jump-hosts、監視、バックアップ)。

12)高速開始チェックリスト(iGaming)

  • ホストフィールド/iframeに移動します。フォームからPAN入力を削除します。
  • トークン化/ネットワークトークンを有効にします。イベント/ログからPANを除外します。
  • CDEコピーとセグメント絶縁(MFA、 RBAC、 mTLS)を実行します。
  • 集中ログとアラート(不変性、保持)を設定します。
  • ASVスキャンを実行し、クリティカル/ハイを排除します。
  • 浸透テスト(内部/外部)+セグメンテーションテストを実行します。
  • ポリシー/手順と実施の証拠を準備します。
  • 取得者(SAQ type/ROC)と資格申請書に同意します。
  • すべてのクレタ島のベンダーのAoCを取得し、保存します。
  • PCI制御をリリースサイクル(SDLC、 IaC硬化、DLP in CI/CD)に統合します。

13) FAQショート

QSAが必要ですか?ROCの場合は、はい。SAQでは自己認証が十分であることが多いが、多くの買収者/ブランドはQSA/ASVパートナーを必要とする場合がある。
私達がPANを貯えなければか?カードを受け入れるとPCI DSSに該当します。SAQ A/A-EPの実現を目指します。
3DSはPCIを解決しますか?いいえ、そうではありません。3DS-認証について;PCI-データ保護について。
TLSは十分ですか?いいえ、そうではありません。関連するすべてのv4要件が必要です。0、プロセスと証拠を含む。

14)概要

iGamingの場合、最適な戦略は、スコープ(PAN-safe、トークン化、ホストフィールド、可能であればP2PE)を最小化し、CDEをハードセグメント化し、ログ/脆弱性/浸透テストを自動化し、アーティファクトの完全なパッケージを収集し、レベルで正しい確認フォーム(SAQまたはROC)を選択することです。これにより、リスクを軽減し、PSPとの統合を迅速化し、カードのブランド要件を満たしながら安定したコンバージョンと収益化を維持します。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。