GH GambleHub

PCI DSS: 레벨 및 규정 준수

1) PCI DSS는 무엇이며 누가 필요합니까?

PCI DSS (결제 카드 산업 데이터 보안 표준) 는 결제 카드 보안 (Visa, Mastercard, AmEx, Discover, JCB) 의 산업 표준입니다. iGaming의 경우 다음과 같은 경우 필요합니다

카드 결제를 직접 또는 PSP/게이트웨이를 통해 수락합니다

프로세스/저장/전송 카드 데이터 (PAN, 용어, CVV) 또는 단축/암호화 된 양식,

이 카드의 보안에 영향을 줄 수있는 경우 다른 판매자 (호스팅, 처리, 사기 방지, 지불 오케스트레이션 등) 를위한 서비스 제공 업체입니다.

버전 및 타이밍: 현재 버전은 PCI DSS v4입니다. 0. 요구 사항 v3. 2. 은퇴 한 1 명; "미래" 항목 v4. 0이 유효합니다. v4에서 새로운. 0: 향상된 MFA, "맞춤형 접근", 절차 빈도, 세분화 및 암호화 개선의 위험 분석을 대상으로합니다.

2) 준수 수준: 판매자 및 서비스 제공 업체

2. 1 가맹점 (판매자)

레벨은 연간 카드 거래량 (모든 채널) 및/또는 타협 사건에 의해 결정됩니다. 일반적인 모델 (가장 큰 지불 체계에 따라):
  • 레벨 1:> 6 백만 거래/년 또는 손상되었습니다. 조정시 QSA 또는 내부 ISA의 연간 ROC (준수 보고서) 가 필요합니다. + 분기 별 ASV 스캔.
  • 레벨 2: ~ 1-6 백만/년. 일반적으로-SAQ (자체 평가) + ASV 스캔; 일부 체계/인수기에는 ROC가 필요할 수 있습니다.
  • 레벨 3: ~ 20k-1 백만 전자 상거래/년. 일반적으로-SAQ + ASV 스캔.
  • 레벨 4: L3 임계 값 미만. SAQ; 은행을 인수하면 요구 사항이 다를 수 있습니
💡 참고: 정확한 임계 값 및 확인 양식은 카드 브랜드 및 인수자가 설정합니다. 그들의 정책을 확인하십시오.

2. 서비스 제공 업체 2 개

일반적으로 2 단계; 레벨 1 (체인에서 대량/임계 역할) 의 경우 레벨 2 - SAQ-D SP (때로는 상대/체계의 요청에 따라 ROC) 의 경우 QSA의 ROC가 필요합니다. iGaming에서 많은 PSP/게이트웨이/호스팅 파트너는 SP 레벨 1입니다.

3) SAQ vs ROC: 선택 방법

ROC는 L1 미터 및 L1 SP에 필수입니다. 다른 경우-SAQ 중 하나:
  • SAQ A - 리디렉션/프레임/호스팅 필드 만; 카드 처리/전송/저장이 없습니다.
  • SAQ A-EP는 전자 상거래이며 사이트가 결제 페이지의 보안 (예: 호스트 스크립트) 에 영향을 주지만 PAN은 공급자 환경에 도입됩니다.
  • SAQ B/B-IP - 전자 보관이없는 터미널/임 프린터; B-IP - 연결된 터미널.
  • SAQ C-VT/C-가상 터미널/소형 처리 환경, 스토리지 없음.
  • SAQ P2PE는 PCI 인증 P2PE 솔루션 일뿐입니다.
  • SAQ D (판매자/서비스 제공 업체) - 모든 처리/전송/저장, 사용자 정의 통합, 오케 스트레이터 등을위한 "와이드" 옵션

iGaming 연습: PAN 안전 스트림, 토큰 화 및 호스팅 필드로 인해 대상 경로는 SAQ A/A-EP입니다. 자체 결제 서비스/왈트 (일반적으로 SAQ D 또는 ROC) 가있는 경우.

4) 스코핑: CDE에 들어가는 내용과 좁히는 방법

CDE (Cardhold Data Environment) - 카드 데이터가 처리/저장/전송되는 시스템 및 모든 연결된/영향력있는 세그먼트.

범위 약어:
  • 호스팅 된 필드/iframe/TSP-도메인 외부에 PAN을 입력하십시오.
  • 토큰 화 및 네트워크 토큰: 서비스는 PAN이 아닌 토큰에서 작동합니다.
  • P2PE: 인증 된 솔루션이있는 엔드 투 엔드 암호화.
  • 네트워크 세분화: 하드 ACL, 나머지 환경과의 CDE 격리.
  • PAN/CVV로 덤프를 금지하는 필수 DLP 및 로그 마스킹.

v4에서. 목표 달성을위한 방법의 유연성이 추가되었지만 효과 및 목표 위험 분석의 증거는 필수입니다.

5) PCI DSS v4 "12 요구 사항. "0 (블록을 의미)

1. 네트워크 보안 및 세분화 (방화벽, ACL, CDE 격리).
2. 안전한 호스트/장치 구성 (경화, 기본 라인).
3. 카드 소지자 데이터 보호 (PAN 스토리지-필요한 경우에만 강력한 암호화).
4. 전송 중 데이터 보호 (SL 1. 2 + 및 등가물).
5. 안티 바이러스/악성 코드 및 무결성 제어.
6. 안전한 개발 및 수정 (SDLC, SAST/DAST, 라이브러리 제어).
7. 필요에 따라 액세스 (최소 특권, RBAC).
8. 식별 및 인증 (관리자 및 원격 액세스를위한 MFA, v4 별 암호. 0).
9. 물리적 보안 (데이터 센터, 사무실, 터미널).
10. 로그 작성 및 모니터링 (로그 중앙 집중화, 불변성, 경고).
11. 안전 테스트 (ASV는 분기 별 스캔, 매년 펜 테스트 및 변경 후 세분화 테스트).
12. 정책 및 위험 관리 (절차, 교육, 사건 대응, 위험 평가, "맞춤형 접근" 문서).

6) 필수 활동 및 빈도

ASV 스캔 (외부) -분기 별 및 중대한 변경 후.
취약성/패치-규칙적인주기 (주파수는 TRA- 표적 위험 분석에 의해 정당화 됨).
침투 테스트 (내부/외부) -매년 및 중대한 변화 후; 세분화 점검은 필수입니다.
로그 및 모니터링-수정에 대한 보존 및 보호.
직원 교육-채용 할 때와 정기적으로.
MFA-CDE에 대한 모든 관리자 및 원격 액세스를 위해.

시스템/데이터 스트림 인벤토리-지속적으로 업데이트됩니

7) SAQ 선택 행렬 (짧은)

PAN이없는 iframe/redirect 만 → SAQ A.
전자 상거래, 귀하의 사이트는 결제 페이지 → SAQ A-EP에 영향을 미칩니다.
터미널/임 프린터 → SAQ B/B-IP.
가상 터미널 → SAQ C-VT.
저장소가없는 작은 "카드" 네트워크 → SAQ C.
P2PE 솔루션 → SAQ P2PE.
기타/복합/저장/처리 → SAQ D (또는 ROC).

8) 감사를위한 유물 및 증거

준비 및 유지 관리:
  • 네트워크 및 데이터 흐름 다이어그램, 자산 등록, 공급 업체 등록, 회계/액세스 등록.
  • 정책/절차: 안전한 개발, 변경 관리, 로깅, 사고, 취약점, 키/암호화, 원격 액세스, 백업.
  • 보고서: ASV, 펜 테스트 (세분화 포함), 취약성 스캔, 수정 결과.
  • 로그/경고: 중앙 집중식 시스템, 불변성, 사고 분석.
  • 암호화 관리: KMS/HSM 절차, 회전, 키/인증서 인벤토리.
  • "맞춤형 접근" 증명 (적용되는 경우): 제어 목표, 방법, 성능 지표, TRA입니다.
  • 제 3 자의 책임 컨텐츠: AoC 파트너 (PSP, 호스팅, CNC, 사기 방지), 공유 책임 매트릭스.

9) 규정 준수 프로젝트 (단계별)

1. 복사 및 갭 분석-정의 CDE, 인접한 세그먼트, 전류 중단.
2. 빠른 승리: PAN 안전 스트림 (iframe/hosted field), 토큰 화, 로그에서 PAN 금지, "외부" 크리켓 취약점 폐쇄.
3. 세분화 및 네트워크: CDE, mSL, 방화벽 -ACL, 최소 권한 액세스, MFA 격리.
4. 관찰 가능성: 중앙 집중식 로깅, 양육권 유지/체인, 경고.
5. 취약성 및 코드 관리: SAST/DAST, 패치, SBOM, 종속성 제어.
6. 테스트: ASV 스캔, 내부/외부 침투 테스트, 세분화 검사.
7. 문서 및 교육: 절차, IR 플레이 북, 교육, 교육 기록.
8. 인증 양식 선택: SAQ (유형) 또는 ROC; 인수/브랜드에 동의합니다.
9. 연간주기: 지원, 증거, 위험/빈도 검토, 용도 변경.

10) iGaming 아키텍처와의 통합

결제 오케 스트레이터는 토큰으로 만 작동합니다. PAN은 볼 수 없습니다.
다중 PSP: 건강 검진, 스마트 라우팅, demempotency, ретра19; 각 PSP의 AoC.
이벤트 중심 버스/DWH: PAN/CVV 없음; 마지막 4 자리 마스킹; CI/CD의 DLP 게이트.
3DS/SCA 확인: 민감한 데이터없이 필요한 아티팩트 (트랜잭션 ID) 만 저장하십시오.

11) 빈번한 오류

PAN/CVV 로깅 및 유효하지 않은 마스크.
내부 API/버스를 통한 "임시" PAN 라우팅.
가장 세분화 테스트가 부족합니다.
부당한 절차 빈도 (v4에 의한 TRA 없음) 0).
AoC가없고 폴백이없는 하나의 PSP에 의존합니다.
설명되지 않은 "영향력있는" 세그먼트 (관리자 점프 호스트, 모니터링, 백업).

12) 빠른 시작 점검표 (iGaming)

  • 호스팅 된 필드/iframe으로 이동; 양식에서 PAN 입력을 제거합니다.
  • 토큰 화/네트워크 토큰 사용; 이벤트/로그에서 PAN을 제외합니다.
  • CDE 복사 및 세그먼트 격리 (MFA, RBAC, mSL) 를 수행하십시오.
  • 중앙 집중식 로그 및 경고 (불변성, 보존) 를 설정합니다.
  • ASV 스캔을 실행하고 중요/높이를 제거하십시오.
  • 침투 테스트 (내부/외부) + 세분화 테스트를 수행하십시오.
  • 정책/절차 및 구현 증거를 준비하십시오.
  • 인수자 (SAQ 유형/ROC) 와 자격 양식에 동의하십시오.
  • 모든 크레타 공급 업체의 AoC를 확보하고 저장합니다.
  • PCI 제어를 릴리스주기 (SDLC, IaC 경화, CI/CD의 DLP) 에 통합합니다.

13) FAQ 쇼트

QSA가 필요합니까? ROC의 경우 그렇습니다. 자체 인증은 종종 SAQ에 충분하지만 많은 인수자/브랜드에는 QSA/ASV 파트너가 필요할 수 있습니다.
우리가 PAN을 저장하지 않으면? 카드를 수락하면 여전히 PCI DSS에 속합니다. SAQ A/A-EP를 달성하는 것을 목표로합니다.
3DS가 PCI를 해결합니까? 아니요, 그렇지 않습니다. 3DS - 인증에 관한 것; PCI-데이터 보호에 관한 것입니다.
TLS로 충분합니까? 아니요, 그렇지 않습니다. 모든 관련 v4 요구 사항이 필요합니다. 프로세스 및 증거를 포함하여 0.

14) 요약

iGaming의 경우 최적의 전략은 범위 (PAN 안전, 토큰 화, 호스팅 필드, 가능한 경우 P2PE), 하드 세그먼트 CDE, 로깅/취약점/침투 테스트 자동화, 전체 아티팩트 패키지 수집 및 올바른 형태를 선택하는 것입니다. 레벨에서 확인 (SAQ 또는 ROC). 이는 카드 브랜드 요구 사항을 충족하면서 위험을 줄이고 PSP와의 통합 속도를 높이며 안정적인 변환 및 수익 창출을 유지합니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.