PCI DSS 제어 및 인증

1) PCI DSS가 무엇이며 iGaming에 중요한 이유

PCI DSS는 결제 카드 산업의 보안 표준입니다 (Visa/Mastercard/Amex/Discover/JCB). iGaming 운영자의 경우 PAN 및 민감한 인증 데이터 (SAD) 를 포함하여 카드 소지자 데이터 (CHD) 를 보호하기위한 기술 및 조직 조치를 정의합니다. 불일치는 벌금, 은행 간 관세 인상, 상인 계좌 리콜 및 평판 손상으로 위협합니다.

2) 인증 역할, 수준 및 유형

역할

상인: 플레이어의 카드를받습니다.
서비스 제공 업체: 판매자를위한 프로세스/호스트/저장 CHD (호스팅, 결제 플랫폼, 토큰 화 포함).

레벨 (높은 레벨)

판매자 수준 1-4: 연간 거래 별; 레벨 1에는 일반적으로 QSA의 ROC (준수 보고서) 가 필요합니다.
서비스 제공 업체 레벨 1-2: 레벨 1은 필수 ROC입니다.

평가 형식

ROC + AOC: 전체 감사 보고서 (QSA/ISA).
SAQ: 유형 중 하나에 의한 자체 평가 (아래 참조) 와 외부 ASV 스캔.

3) 범위 및 CDE: 좁히고 관리하는 방법

CDE (Cardhold Data Environment) - CHD/SAD를 저장, 처리 또는 전송하는 모든 시스템/네트워크/프로세스.

최소화 전략

1. HPP (Hosted Payment Page): PSP → SAQ A 양식.
2. 직접 우편/JS + 페이지 (A-EP): 귀하의 페이지는 SAQ A-EP → (더 넓은) 수집의 안전성에 영향을줍니다.
3. 토큰 화: PSP 토큰/토큰 왈트에 대한 PAN 교환; PAN은 저장되어 있지 않습니다.

4. 네트워크 세분화: CDE (VLAN/firewalls/ACL) 분리, 트래픽 최소화

5. "저장 없음" 정책: PAN/SAD를 저장하지 마십시오. 예외는 엄격히 정당화됩니다.

4) SAQ 유형 (요약)

5) PCI DSS v4. 0: 주요 주제

맞춤형 접근: 입증 된 동등성 (계획, TRA, 테스트 정당화) 하에서 대체 제어를 허용합니다.
TRA (Targeted Risk Analysis): "유연한" 요구 사항 (프로세스 빈도, 모니터링) 에 대한 포인트 위험 분석.
인증: 관리자 및 원격 액세스를위한 MFA; 강력한 암호/수동 문구; 잠금/타임 아웃.
취약성 및 패치: 일반 스캔 (내부/외부), 분기 별 ASV, 매년 및 중대한 변경 후 펜 테스트.
암호화: 전송 중 (SL 1. 2 +) 휴식 시간에 온라인; 키 관리 (KMS/HSM), 회전, 역할 분리.
로그 및 모니터링: 중앙 집중식 로그, 변경 방지 (WORM/서명), 매일 보안 이벤트 검토.
세분화/방화벽/WAF: 공식 규칙, 검토, 문서화 된 토폴로지.
SDLC/변경: 개발/테스트/prod 분리, SAST/DAST/종속성 스캔, 비밀 관리.
사건: 공식 IRP, 훈련, 역할 및 연락처 목록, PSP/획득 은행과의 상호 작용.

6) 카드 데이터: 할 수없는 것

CHD: PAN (+ 옵션. 이름, 용어, 서비스 코드).
SAD (권한 부여 후 저장 금지): CVV/CVC, 전체 자기 트랙, IN 블록.
마스킹: 마스크가있는 PAN 디스플레이 (일반적으로 처음 6 및 마지막 4).
토큰 화/스토리지: PAN → 암호화를 저장하는 경우, 알아야 할 액세스, 키가 별도로, 하드 로그가 필요합니다.

7) 제어 도메인 (실제 점검표)

1. CDE 세분화-별도의 서브 넷, 기본적으로 거부, 탈출 제어.
2. 자산 인벤토리-CDE의 모든 시스템 및 관련 시스템.
3. 강화-안전한 구성, 기본 종료, 기본 표준.
4. 취약성/패치-프로세스, SLA, 배포 확인.
5. 로깅 - 시간 동기화, 중앙 집중식 로그, WORM/서명.

6. 액세스 - RBAC/ABAC, MFA, SoD, JIT/PAM, 오프 보딩

7. Cryptography-SL, KMS/HSM, 회전, 별도의 암호화 관리자 역할.
8. 개발 - SAST/DAST/DS/IaC, 비밀 스캔, 파이프 라인 서명.
9. ASV 스캔-분기 별 및 변경 후 "통과" 상태를 저장합니다.

10. 펜 테스트-적어도 매년 외부/내부 네트워크 및

11. IR 계획-연습, PSP/인수자가있는 전쟁 실, 타임 라인.
12. 교육-피싱, 보안 코딩, 역할에 대한 PCI 인식.
13. 문서/절차-PAN 유지/삭제 정책, 수출 로그.

8) PSP/공급 업체와의 상호 작용

계약: 가용성/보안 SLA, DPIA/TPRM, 감사 권리, 인시던트 알림이 72 시간

기술 통합: TLS의 HP/리디렉션, 서명 된 웹 후크, KMS의 mSL/키, 회전.
분기 별 모니터링: PSP 보고서 (증명, 인증서), ASV/펜트 발췌, SDK 변경.

9) 준수 문서

ROC (준수 보고서): 전체 QSA 보고서.
AOC (준수 증명) - 규정 준수 확인 (ROC/SAQ 첨부 파일).
SAQ: 선택된 유형의 자기 평가 (A, A-EP, D 등).
ASV 보고서: 인증 된 공급자의 외부 스캔.

정책/절차: 버전, 소유자, 로그 변경

증거: 네트워크 다이어그램, WORM 로그, 테스트 결과, 티켓.

10) 역할 및 RACI

11) 측정 항목 (KPI/KRI)

ASV 패스 속도: 분기 별 100% 보고서- "통과".
패치 SLA 높음/중요: 시간에 95% 이상.

• 관리자의 MFA 적용 범위: 100%.
• 로그 무결성: WORM/서명이있는 100% 중요 시스템.
• 범위 감소: 리디렉션/토커 네이션을 통한 지불 비율은 99% 입니다.
• 사건: 마감일이 100% 인 PCI 사건.

12) 로드맵 (SAQ/ROC 8-12 주 전)

1-2 주: 지불 모델 선택 (HPP/tokenization), CDE 매핑, 네트워크 레이아웃, 세분화 계획, SAQ/ROC 선택.
3-4 주: 경화, MFA, WORM 로그, SDLC 스캔, 키/KMS, PAN 스토리지 정책 (기본값-저장하지 않음).
5-6 주: ASV 스캔 # 1, 수정; 펜트 (웹/네트워크/웹 후크), PSP를 통한 IR 학습, 문서 마무리.
7-8 주: QSA (단계 인터뷰, 샘플) 의 SAQ 완료 또는 감사, 발견 마감, AOC/ROC 준비.
9-12 주 (Op.): "맞춤형 접근" 및 TRA, 세분화 최적화, KPI/KRI 대시 보드 통합.

13) 점검표

카드 수락이 시작되기 전에

• 비 PAN/SAD 저장 경로 선택
• 리디렉션/iframe PSP 또는 토큰 화 설정
• CDE 세분화, 불이행 거부, WAF
• 관리자를위한 MFA/IGA/JIT/PAM
• 로그 (WORM, 서명, NTP) 및 대시 보드
• ASV 스캔 통과, 가장 오래된 폐쇄
• IR 계획 및 PSP/은행 연락처

연간 인증

• 업데이트 된 CDE 회로도 및 시스템 목록
• 분기 별 4 개의 ASV를 통과, "통과" 저장
• 12 개월 후 그리고 변경 후
• 최신 정책/절차, 버전/소유자
• SAQ에 의해 채워짐/ROC에 의해 수신, AOC에 의해 발행 됨

14) 빈번한 실수와 피하는 방법

적절한 보호없이 페이지에서 PAN을 수집하십시오 → SAQ A-EP/D. PSP에서 HPP/iframe을 사용하십시오.
변경에 대한 보호없이 로그. WORM/서명 및 일일 개요 포함.
세분화가 없습니다- "CDE의 전체 네트워크. "결제 루프를 엄격하게 분리하십시오.
CVV/SAD 스토리지. 승인 후 금지.
불완전한 ASV/펜 테스트. 변경 후 수행하고 보고서/치료를 유지하십시오.

15) 나머지 위키 섹션과 통합

관련 페이지: 비밀번호 정책 및 MFA, RBAC/최소 특권, 로그 정책, 사건 및 유출, TPRM 및 SLA, ISO 27001/27701, SOC 2-제어 매핑 및 단일 증거 세트.

TL; DR

PCI DSS v4 성공. 0 = 최소 범위 (HPP/tokenization) + 하드 세분화 CDE + MFA/WORM 로그/암호화/KMS + ASV는 분기별로 분기 별, 분기 별 및 변경 + 완료 후 SAQ/ROC/AOC 문서입니다. 이를 통해 감사 비용을 줄이고 PSP 통합을 가속화하며 결제 루프를 확실하게 보호 할 수 있습니다.