GH GambleHub

PCI DSS: контролдоо жана күбөлүк

1) PCI DSS деген эмне жана эмне үчүн iGaming үчүн маанилүү

PCI DSS - төлөм карталары индустриясынын коопсуздук стандарты (Visa/Mastercard/Amex/Discover/JCB). iGaming оператору үчүн ал PAN жана сезгич аутентификация маалыматтарын (SAD) кошо алганда, карта ээлеринин маалыматтарын (CHD) коргоонун техникалык жана уюштуруу чараларын аныктайт. Дал келбегендик айып пулдар, банктар аралык тарифтердин жогорулашы, соода-эсепти чакыртып алуу жана абройлуу зыян менен коркутат.

2) ролдору, деңгээл жана күбөлүк түрү

Ролдор

Merchant (merchant): оюнчулардан карталарды кабыл алат.
Service Provider: иштетет/hostit/соодагерлер үчүн CHD сактайт (анын ичинде хостинг, төлөм платформасы, токенизация).

деңгээл (жогорку деңгээл)

1-4 соода деңгээли: жылдык транзакциялар боюнча; Level 1 адатта QSAдан ROC (Report on Compliance) талап кылат.
1-2 кызмат көрсөтүүчүнүн деңгээлдери: 1-деңгээл - милдеттүү ROC.

Баалоо форматтары

ROC + AOC: аудитордун толук кандуу отчету (QSA/ISA).
SAQ: түрлөрүнүн бири боюнча өзүн-өзү сыйлоо (төмөндө карагыла), плюс тышкы ASV сканери.

3) Аймак (Scope) жана CDE: кантип тарытуу жана башкаруу

CDE (Cardholder Data Environment) - CHD/SADди сактаган, иштеткен же өткөрүп берген системалар/тармактар/процесстер.

Минималдаштыруу стратегиялары

1. Redirect/Hosted Payment Page (HPP): PSP → SAQ A тарабындагы форма (минималдуу бүтүм).
2. Direct Post/JS + your page (A-EP): Сиздин бет чогултуу коопсуздугуна таасирин тийгизет → SAQ A-EP (кененирээк).
3. Токенизация: PAN PSP токенине/сиздин токен-вальтка алмашуу; Сиз PAN сакталган эмес.
4. Тармак сегментациясы: CDEди (VLAN/firewall/ACL) изоляциялоо, трафикти минималдаштыруу.
5. "No storage" саясаты: PAN/SAD сактоого; өзгөчөлүктөр - катуу негиздүү.

💡 Алтын эреже: ар бир PAN байт аудит чөйрөсүнө плюс болуп саналат.

4) SAQ түрлөрү (топтому)

SAQ түрүКимге ылайыктууАймак жөнүндө кыскача
AГана redirekt/iframe PSP, эч кандай CHD барМинималдуу талаптар (PAN Server иштетүү жок)
A-EPСиздин веб-бет CHD чогултуу таасир этет (скрипттер, PSP боюнча пост)Күчөтүлгөн веб-көзөмөл
B/B-IPСтационардык терминалдар/импринтерлерСейрек iGaming үчүн
CКөз карандысыз төлөм тиркемелери, чектелген тармакТар учурлар
C-VTВиртуалдык терминалга кол менен киргизүүSupport сценарийлери (керексиз)
P2PEPCI менен тастыкталган чечим P2PEЭгер колдонулса
D (Merchant/Service Provider)Ар кандай башка жагдайлар, сактоо/PAN иштетүүТалаптардын толук топтому

5) PCI DSS v4. 0: негизги темалар

Customized Approach: далилденген барабар (план, TRA, сыноо негиздемеси) менен башка көзөмөлгө жол берет.
Максаттуу тобокелдик анализи (TRA): "ийкемдүү" талаптар үчүн чекиттик тобокелдик анализи (процесстердин жыштыгы, мониторинг).
Аутентификация: башкаруу жана алыстан жетүү үчүн MFA; күчтүү сырсөздөр/сөз айкаштары; бөгөттөө/убакыт.
алсыздыгы жана peches: үзгүлтүксүз сканерлөө (ички/тышкы), чейрек сайын ASV, pentestes жыл сайын жана олуттуу өзгөрүүлөрдөн кийин.
Шифрлөө: транзитте (TLS 1. 2+) и at rest; ачкычтарды башкаруу (KMS/HSM), айлануу, ролдорду бөлүштүрүү.
Логи жана мониторинг: борборлоштурулган Логи, өзгөрүүлөргө каршы коргоо (WORM/кол), коопсуздук окуялардын күнүмдүк карап чыгуу.
Сегментация/коопсуздук/WAF: расмий эрежелер, review, документтештирилген топологиялар.
SDLC/өзгөртүүлөр: dev/test/prod бөлүнгөн, SAST/DAST/депенденси-сканер, жашыруун башкаруу.
Инциденттер: формалдуу IRP, машыгуулар, ролдор жана байланыш тизмеси, PSP/эквайер банк менен өз ара аракеттенүү.

6) Карта маалыматтары: эмне мүмкүн/мүмкүн эмес

CHD: PAN (+ PAN. аты-жөнү, мөөнөтү, сервис-коду).
SAD (уруксат кийин сактоого тыюу салынат): CVV/CVC, толук магниттик жолдор, PIN-блоктор.
Masking: маска менен PAN көрсөтүү (адатта биринчи 6 жана акыркы 4).
Tokenization/сактоо: PAN сактаса → шифрлөө, Need-to-Know аркылуу кирүү, ачкычтар өзүнчө, катуу журналдар.

7) контролдук домендер (практикалык чек тизмеси)

1. CDE сегментациясы - өзүнчө подсети, deny-by-default, egress-control.
2. Активдердин инвентаризациясы - бардык системалар CDE жана байланышкан.
3. Hardning - коопсуз чыр-чатактар, демейки өчүрүү, негизги стандарттар.
4. Кемчиликтер/тактар - процесстер, SLA, жайгаштырууну ырастоо.
5. Журнал - убакытты синхрондоштуруу, борборлоштурулган логдор, WORM/кол тамгалар.
6. Access - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 мүнөт.
7. Криптография - TLS, KMS/HSM, ротация, крипто-кардиандардын өзүнчө ролдору.
8. Иштеп чыгуу - SAST/DAST/DS/IaC, жашыруун сканер, pipeline кол.
9. ASV сканерлөө - чейрек сайын жана өзгөрүүлөрдөн кийин, "Pass" статусун сактоо.
10. Пентесталар - тышкы/ички. жок дегенде жыл сайын.
11. IR-план - көнүгүүлөр, PSP/эквайер менен war-room, таймлайндар.
12. Окутуу - фишинг, secure coding, ролдору үчүн PCI-awareness.
13. Документтер/жол-жоболор - PAN сактоо/алып салуу саясаты, экспорт журналы.

8) PSP/сатуучулар менен өз ара

Келишимдер: Жеткиликтүүлүк/коопсуздук боюнча SLA, DPIA/TPRM, аудит укугу, окуя-билдирүү ≤ 72 саат.
Техинтеграция: NRP/TLS redirect, кол коюлган Webhook, mTLS/KMS ачкычтар, айлануу.
Чейректик мониторинг: PSP отчеттор (күбөлүк, күбөлүктөр), ASV/pentest үзүндүлөр, SDK өзгөрүүлөр.

9) Шайкештик документтери

ROC (Report on Compliance): толук QSA отчету.
AOC (Compliance Attestation): шайкештикти тастыктоо (ROC/SAQ тиркемеси).
SAQ: өзүн-өзү сыйлоонун тандалган түрү (A, A-EP, D ж.б.).
ASV отчеттор: тышкы сканер тастыкталган провайдер.
Саясат/жол-жоболор: версиялар, ээлери, өзгөртүү журналдары.
Далилдер: тармак схемалары, WORM Логи, тесттердин натыйжалары, билеттер.

10) Ролдору жана RACI

АктивдүүлүкProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & АрхитектураA/RRRCCCC
Сегментация/Коопсуздук/WAFCA/RRIICI
Токенизация/редиректA/RRRCCCR
Кемчиликтер/тактарIA/RRIICI
Логи/мониторингIA/RRCICI
ASV/пентесттерIA/RRIIRI
ROC/SAQ/AOC документтериIA/RCIRRI
PCI инциденттериCA/RRIRCC

11) Метрика (KPI/KRI)

ASV Pass Rate: 100% чейректик отчеттор - "pass".
Patch SLA High/Critical: ≥ 95% убагында.
Pentest Findings Closure: ≥ 95% Жогорку 30 күн ≤ жабык.
MFA Coverage администраторлор: 100%.
Log Integrity: 100% WORM/кол менен оор системалар.
Scope Reduction: redirect/tokenization аркылуу төлөмдөрдүн үлүшү ≥ 99%.
Incidents: PCI-окуялар убагында билдирүү менен - 100%.

12) Жол картасы (8-12 жума чейин SAQ/ROC)

Жумалар 1-2: төлөмдөрдү кабыл алуу моделин тандоо (НРР/токенизация), CDE карталоо, тармактын схемасы, сегменттөө планы, SAQ/ROC тандоо.
Жумалар 3-4: Hardning, MFA, WORM Логи, SDLC сканер, ачкычтар/KMS, PAN сактоо саясаты (демейки - сактоо эмес).
Жума 5-6: ASV-сканер # 1, түзөтүүлөр; pentest (Web/Network/Webhucks), PSP менен IR-окутуу, документтерди бүтүрүү.
Жумалар 7-8: SAQ толтуруу же аудит QSA (этап-интервью, үлгү), табылгаларды жабуу, AOC/ROC даярдоо.
Жума 9-12 (опц.) : "Customized Approach" жана TRA, сегменттөө оптималдаштыруу, KPI/KRI дашбордддорду бириктирүү.

13) Чек-баракчалар

Карталарды кабыл алуу башталганга чейин

  • PAN/SAD сактоо жок жол тандалып алынган
  • Redirect/iframe PSP же токенизация орнотулган
  • Сегментация CDE, deny-by-default, WAF
  • Администраторлор үчүн MFA/IGA/JIT/PAM
  • Логи (WORM, кол тамгалар, NTP) жана дашборддор
  • ASV-сканер өттү, пентест жабык
  • IR-планы жана байланыштар PSP/банк

Жылдык аттестация үчүн

  • Жаңыланган схемалар жана системалардын тизмеси
  • Өткөн 4 чейректик ASV, "pass" сакталган
  • Pentest ≤ 12 ай жана кийин өзгөрүүлөр
  • Саясаттар/жол-жоболор актуалдуу, нускалары/ээлери
  • SAQ толтурулган/ROC тарабынан алынган, AOC тарабынан берилген

14) Көп каталар жана аларды алдын алуу үчүн кантип

туура коргоосуз сиздин бетинде PAN чогултуу → SAQ A-EP/D. PSP тартып HPP/iframe колдонуу.
өзгөрүүлөргө каршы коргоосуз Логи. WORM/кол коюуну жана күнүмдүк карап чыгууну камтыйт.
Эч кандай сегментация - "бүт тармак CDE". Төлөм контурун катуу изоляциялаңыз.
CVV/SAD сактоо. Авторизациядан кийин тыюу салынган.
Толук эмес ASV/пентесттер. Өзгөрүүлөрдөн кийин жасаңыз жана отчетторду/ремедиацияларды сактаңыз.

15) wiki калган бөлүмдөрү менен бириктирүү

Байланыштуу барактар: Сырсөз саясаты жана MFA, RBAC/Least Privilege, Логин саясаты, Окуялар жана агып чыгуулар, TPRM жана SLA, ISO 27001/27701, SOC 2 - evidence контролдоо жана бирдиктүү топтомун mapping үчүн.

TL; DR

PCI DSS v4 ийгилиги. 0 = минималдуу coupe (HPP/tokenization) + катуу сегментация CDE + MFA/WORM логи/шифрлөө/KMS + ASV чейрек сайын, пентест жыл сайын жана өзгөрүүлөрдөн кийин + даяр документтер SAQ/ROC/AOC. Бул аудит чыгымдарды азайтат, PSP менен интеграцияны тездетет жана төлөм контурун далилденген коопсуз кылат.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.