GH GambleHub

PCI DSS: კონტროლი და სერტიფიკაცია

1) რა არის PCI DSS და რატომ არის ეს მნიშვნელოვანი iGaming- ისთვის

PCI DSS არის გადახდის ბარათების ინდუსტრიის უსაფრთხოების სტანდარტი (Visa/Mastercard/Amex/Discover/JCB). IGaming- ისთვის იგი განსაზღვრავს ტექნიკურ და ორგანიზაციული ზომებს ბარათის მფლობელთა მონაცემების დასაცავად (CHD), მათ შორის PAN და მგრძნობიარე ავთენტიფიკაციის მონაცემები (SAD). შეუსაბამობა საფრთხეს უქმნის ბანკთაშორისი ტარიფების გაზრდილი ჯარიმებით, ანგარიშების გაუქმებით და რეპუტაციის დაზიანებით.

2) როლები, დონის და სერტიფიკაციის ტიპი

როლები

მერჩანტი (მერჩანტი): იღებს ბარათებს მოთამაშეებისგან.
Service Provider: ამუშავებს/ჰოსტიტს/ინახავს CHD მერკანტებისთვის (ჰოსტინგის ჩათვლით, გადახდის პლატფორმა, ტოკენიზაცია).

დონე (მაღალი დონე)

მერჩანტის დონე 1-4: წლიური გარიგების მიხედვით; Level 1 ჩვეულებრივ მოითხოვს ROC (ანგარიში კომპლექსზე) QSA- სგან.
მომსახურების პროვაიდერის დონე 1-2: Level 1 სავალდებულო ROC.

შეფასების ფორმატები

ROC + AOC: აუდიტის სრული ანგარიში (QSA/ISA).
SAQ: ერთი ტიპის თვითშეფასება (იხ. ქვემოთ), პლუს გარე ASV სკანი.

3) რეგიონი (Scope) და CDE: როგორ შევამციროთ და გავაკონტროლოთ

CDE (Cardholder Data Environment) არის ნებისმიერი სისტემა/ქსელი/პროცესი, რომელიც ინახავს, ამუშავებს ან გადასცემს CHD/SAD.

შემცირების სტრატეგიები

1. Redirect/Hosted Payment Page (HPP): ფორმა PSP - SAQ A (მინიმალური ნაკადი) მხარეს.
2. პირდაპირი Post/JS + your page (A-EP): თქვენი გვერდი გავლენას ახდენს SAQ A-EP (უფრო ფართო) სერვისის შეგროვების უსაფრთხოებაზე.
3. ტოკენიზაცია: PAN გაცვლა PSP/თქვენი ნიშანი-ვალტი; თქვენ არ გაქვთ PAN.
4. ქსელის სეგმენტი: იზოლირებული CDE (VLAN/firevols/ACL), შეამცირეთ ტრეფიკი მინიმუმამდე.
5. „არა სცენა“ პოლიტიკა: არ შეინახოთ PAN/SAD; გამონაკლისები მკაცრად გამართლებულია.

💡 ოქროს წესი: თითოეული ბაიტი არის პლიუსი აუდიტის სფეროში.

4) SAQ ტიპები (კომბინირებული)

ტიპი SAQვის უახლოვდებამოკლედ რეგიონის შესახებ
Aმხოლოდ redirect/iframe PSP, თქვენ არ გაქვთ CHDმინიმალური მოთხოვნები (PAN სერვერის დამუშავების გარეშე)
A-EPთქვენი ვებ გვერდი გავლენას ახდენს CHD შეგროვებაზე (სკრიპტები, პოსტი PSP- ზე)გაძლიერებული ვებ კონტროლი
B/B-IPსტაციონარული ტერმინალები/მიმღებიიშვიათად iGaming- ისთვის
Cდამოუკიდებელი გადახდის პროგრამები, შეზღუდული ქსელივიწრო შემთხვევები
C-VTხელით შეყვანა ვირტუალურ ტერმინალშიმხარდაჭერა სკრიპტები (არასასურველი)
P2PEსერტიფიცირებული გამოსავალი PCI P2PE- ითთუ გამოიყენება
D (Merchant/Service Provider)ნებისმიერი სხვა სცენარი, შენახვა/დამუშავება PANმოთხოვნების სრული ნაკრები

5) PCI DSS v4. 0: საკვანძო თემები

Customized Approach: საშუალებას აძლევს ალტერნატიულ კონტროლს დადასტურებული ეკვივალენტობით (გეგმა, TRA, ტესტის დასაბუთება).
Targeted Risk Analysis (TRA): წერტილის რისკის ანალიზი „მოქნილი“ მოთხოვნებისთვის (პროცესების სიხშირე, მონიტორინგი).
ავთენტიფიკაცია: MFA ადმინისტრაციული და დისტანციური წვდომისთვის; ძლიერი პაროლები/პასფრაზები; ბლოკირება/ტაიმაუტები.
დაუცველობა და თანატოლები: რეგულარული სკანები (შიდა/გარე), კვარტალური ASV, პენტესტები ყოველწლიურად და მნიშვნელოვანი ცვლილებების შემდეგ.
დაშიფვრა: ტრანზიტში (TLS 1. 2+) и at rest; კლავიშების მართვა (KMS/HSM), როტაცია, როლების გამიჯვნა.
ლოგოები და მონიტორინგი: ცენტრალიზებული ლოგოები, ცვლილებების დაცვა (WORM/ხელმოწერა), უსაფრთხოების მოვლენების ყოველდღიური მიმოხილვა.
სეგმენტი/farervols/WAF: ოფიციალური წესები, მიმოხილვა, დოკუმენტირებული ტოპოლოგია.
SDLC/ცვლილებები: dev/test/mood გაყოფილი, SAST/DAST/DAST/dependensi skanes, საიდუმლოების მენეჯმენტი.
ინციდენტები: ოფიციალური IRP, სავარჯიშოები, როლები და საკონტაქტო სია, ურთიერთქმედება PSP/შემქმნელ ბანკთან.

6) ბარათის მონაცემები: რა არის შესაძლებელი/შეუძლებელია

CHD: PAN (+). სახელი, ვადა, მომსახურების კოდი).
SAD (ავტორიზაციის შემდეგ შენახვა აკრძალულია): CVV/CVC, სრული მაგნიტური ბილიკები, PIN ბლოკები.
შენიღბვა: PAN რუქა ნიღბით (ჩვეულებრივ, პირველი 6 და ბოლო 4).
ტოკენიზაცია/შენახვა: თუ შეინახეთ PAN - დაშიფვრა, Need-to-Know წვდომა, გასაღებები ცალკე, მკაცრი ჟურნალები.

7) საკონტროლო დომენები (პრაქტიკული შემოწმების სია)

1. CDE სეგმენტი - ცალკეული ქვესახეობები, დენის-ბეი-დეფაულტი, ეგროს კონტროლი.
2. აქტივების ინვენტარი არის CDE- ს ყველა სისტემა და დაკავშირებული.
3. Hardning - უსაფრთხო კონფიგურაცია, ნაგულისხმევი გამორთვა, ძირითადი სტანდარტები.
4. დაუცველობა/პატჩი - პროცესები, SLA, განლაგების დადასტურება.
5. ჟურნალისტიკა - დროის სინქრონიზაცია, ცენტრალიზებული ლოგოები, WORM/ხელმოწერები.
6. წვდომა - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding - 15 წუთი.
7. კრიპტოგრაფია - TLS, KMS/HSM, როტაცია, ცალკეული როლები crypto-custodians.
8. განვითარება - SAST/DAST/DS/IaC, საიდუმლო სკანერები, მილის ხელმოწერები.
9. ASV სკანირება კვარტალურია და ცვლილებების შემდეგ, „Pass“ სტატუსის შენახვა.
10. პენტესტები - კომპიუტერი ./შიდა. ქსელი და ქსელი., ყოველ შემთხვევაში, ყოველწლიურად.
11. IR გეგმა - სავარჯიშოები, ომის ოთახი PSP/შეძენით, დრო.
12. ტრენინგი - ფიშინგი, საიდუმლო კოდირება, PCI-awareness როლებისთვის.
13. დოკუმენტები/პროცედურები - PAN- ის შენახვის/მოცილების პოლიტიკა, ექსპორტის ჟურნალი.

8) ურთიერთქმედება PSP/ვენდორებთან

კონტრაქტები: SLA ხელმისაწვდომობის/უსაფრთხოების შესახებ, DPIA/TPRM, აუდიტის უფლება, ინციდენტის შეტყობინებები 72:
  • ტექნიკური ინტეგრაცია: NRR/TLS რედაქტორი, ხელმოწერილი ვებჰუკები, mTLS/გასაღებები KMS- ში, როტაცია.
  • კვარტალური მონიტორინგი: PSP (ატესტაცია, სერთიფიკატები), ASV/პენტესტის ჩამკეტები, SDK ცვლილებები.

9) შესაბამისობის დოკუმენტები

ROC (ანგარიში კომპლექსზე): QSA- ს სრული ანგარიში.
AOC (კომპლექსის ატესტაცია): შესაბამისობის დადასტურება (პროგრამა ROC/SAQ).
SAQ: შერჩეული ტიპის თვითშეფასება (A, A-EP, D და ა.შ.).
ASV მოხსენებები: გარე სკანი დამოწმებული პროვაიდერის მიერ.
პოლიტიკა/პროცედურები: ვერსიები, მფლობელები, ცვლილებების ჟურნალები.
მტკიცებულებები: ქსელის სქემები, WORM ლოგოები, ტესტის შედეგები, თიკეტები.

10) როლები და RACI

აქტივობაProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
სკოპი/CDE & არქიტექტურაA/RRRCCCC
სეგმენტი/farervols/WAFCA/RRIICI
ტოკენიზაცია/რედაქციაA/RRRCCCR
დაუცველობა/პატჩიIA/RRIICI
ლოგიკური/მონიტორინგიIA/RRCICI
ASV/პენტესტებიIA/RRIIRI
ROC/SAQ/AOC დოკუმენტებიIA/RCIRRI
PCI ინციდენტებიCA/RRIRCC

11) მეტრიკი (KPI/KRI)

ASV Pass Rate: კვარტალური ანგარიშების 100% - „pass“.
Patch SLA High/Critical: დროულად 95% ევრო.
Pentest Findings Closure: High 95% დახურულია 30 დღის განმავლობაში.
MFA Coverage admins: 100%.
ჟურნალი ინტეგრაცია: კრიტიკული სისტემების 100% WORM/ხელმოწერებით.
Scope Reduction: გადახდების წილი რედაქციის/ტოქსინიზაციის გზით 99% -ით.
Incidents: PCI ინციდენტები შეტყობინებით 100%.

12) საგზაო რუკა (8-12 კვირით ადრე SAQ/ROC)

კვირები 1-2: გადახდის მიღების მოდელის არჩევა (NRP/ტოქსიკაცია), CDE რუქა, ქსელის სქემა, სეგმენტის გეგმა, SAQ/ROC არჩევანი.
კვირები 3-4: ჰარდინგი, MFA, WORM, SDLC სკანერები, გასაღებები/KMS, PAN- ის შენახვის პოლიტიკა (ნაგულისხმევი - შენახვა).
არგუმენტები 5-6: ASV სკანი # 1, შესწორებები; პენტესტი (ვებ/ქსელი/ვებჰუკი), IR სწავლება PSP- ით, დოკუმენტაციის დასრულება.
კვირები 7-8: SAQ შევსება ან QSA აუდიტი (სცენა ინტერვიუ, ნიმუში), აღმოჩენის დახურვა, AOC/ROC- ის მომზადება.
არგუმენტები 9-12 (ოპერა) : „Customized Approach“ და TRA, სეგმენტის ოპტიმიზაცია, KPI/KRI დაშბორდის ინტეგრაცია.

13) ჩეკის ფურცლები

ბარათის მიღებამდე

  • შეირჩა გზა PAN/SAD შენახვის გარეშე
  • redirect/iframe PSP ან ტოქსიკაცია
  • CDE სეგმენტი, deny-by-default, WAF
  • MFA/IGA/JIT/PAM admins
  • ლოგოები (WORM, ხელმოწერები, NTP) და დაშბორდები
  • ASV სკანი გაიარა, პენტესტი დაკეტილია
  • IR გეგმა და PSP/Bank- ის კონტაქტები

წლიური სერტიფიკაციისთვის

  • განახლებულია CDE სისტემების სქემები და სია
  • დასრულდა 4 კვარტალური ASV, შენახულია „პასი“
  • პენტესტი 12 თვე. და ცვლილებების შემდეგ
  • პოლიტიკოსები/პროცედურები აქტუალურია, ვერსიები/მფლობელები
  • შევსებულია SAQ/მიღებული ROC მიერ, გაცემულია AOC

14) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

PAN შეგროვება თავის გვერდზე, სათანადო დაცვის გარეშე, SAQ A-EP/D. გამოიყენეთ HPP/iframe PSP- დან.
ლოგოები ცვლილებებისგან დაცვის გარეშე. ჩართეთ WORM/ხელმოწერები და ყოველდღიური მიმოხილვა.
არ არსებობს სეგმენტი - „მთელი ქსელი CDE- ში“. მკაცრად იზოლირებული გადახდის წრე.
შენახვა CVV/SAD. ავტორიზაციის შემდეგ აკრძალულია.
არასრული ASV/პენტესტები. გააკეთეთ ცვლილებების შემდეგ და შეინახეთ მოხსენებები/რემედიაცია.

15) ინტეგრაცია wiki- ს დანარჩენ მონაკვეთებთან

დაკავშირებული გვერდები: პაროლის პოლიტიკა და MFA, RBAC/Least Privilege, ლოგოების პოლიტიკა, ინციდენტები და გაჟონვა, TPRM და SLA, ISO 27001/27701, SOC 2 - მაკონტროლებელი მაპინგისთვის და ერთჯერადი.

TL; DR

წარმატება PCI DSS v4. 0 = მინიმალური ნაკადი (NRR/ტოქსიკაცია) + CDE + MFA/logs WORM/დაშიფვრა/KMS + ASV კვარტალურია, პენტესტატი ყოველწლიურად და ცვლილებების შემდეგ + მზა SAQ/ROC/AOC დოკუმენტები. ეს ამცირებს აუდიტის ღირებულებას, აჩქარებს ინტეგრაციას PSP- სთან და გადახდის წრე მტკიცედ უსაფრთხო გახდის.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.