PCI DSS: деңгээл жана шайкештик

1) PCI DSS деген эмне жана кимге керек

• карталар боюнча төлөмдөрдү кабыл алуу (түздөн-түз же PSP/шлюз аркылуу),
• карталардын маалыматтарын (PAN, мөөнөтү, CVV) же алардын кыскартылган/шифрленген формаларын иштеп чыгуу/сактоо/өткөрүп берүү,
• эгерде сиз карталардын маалыматтарынын коопсуздугуна таасир этсеңиз, башка соодагерлер үчүн кызмат көрсөтүүчү (хостинг, процессинг, анти-фрод, төлөм оркестри ж.б.).

Версия жана мөөнөттөрү: учурдагы версия - PCI DSS v4. 0. Талаптар v3. 2. 1 колдонуудан чыгарылган; "future-dated" пункттары v4. 0 азыр иштейт. v4 жаңы. 0: күчөтүлгөн MFA, "Customized Approach", максаттуу тобокелдик-талдоо жол-жоболору, сегменттөө жана коддоо боюнча тактоо.

2) Шайкештик деңгээли: соодагерлер жана кызмат көрсөтүүчүлөр

2. 1 соодагерлер (соодагерлер)

• Level 1:> 6 млн бүтүмдөр/жыл же компромисс болду. Макулдашууда QSAдан же ички ISAдан жылдык ROC (Report on Compliance) талап кылынат, + чейректик ASV-сканерлер.
• Level 2: ~ 1-6 млн/жыл. Адатта - SAQ (өзүн-өзү сыйлоо) + ASV сканер; кээ бир схемалар/сатып алуучулар ROC талап кылышы мүмкүн.
• Level 3: ~ 20k-1 млн электрондук соода/жыл. Адатта - SAQ + ASV сканер.
• Level 4: L3 босогосунан төмөн. SAQ; талаптар эквайер банк боюнча өзгөрүшү мүмкүн.

2. 2 Кызмат көрсөтүүчүлөр (Кызмат көрсөтүүчүлөр)

Адатта, 2-деңгээл; Level 1 үчүн (чоң көлөм/чынжырдагы маанилүү роль) QSA тарабынан ROC милдеттүү, Level 2 үчүн - SAQ-D SP (кээде - контрагенттердин/схемалардын талабы боюнча ROC). iGaming көптөгөн PSP/шлюздар/хостинг өнөктөштөр - SP деңгээл 1.

3) SAQ vs ROC: кантип тандоо керек

• SAQ A - бир гана redirect/iframe/hosted fields; карталарды иштетүү/өткөрүп берүү/сактоо жок.
• SAQ A-EP - бул электрондук коммерция, анда сиздин сайтыңыз төлөм барагынын коопсуздугуна таасир этет (мисалы, хостинг скрипттери), бирок PAN провайдердин чөйрөсүнө киргизилет.
• SAQ B/B-IP - электрондук сактоо жок терминалдар/imprinters; B-IP - туташтырылган терминалдар.
• SAQ C-VT/C - виртуалдык терминалдар/чакан иштетүү чөйрөсү, сактоо жок.
• SAQ P2PE бир гана PCI тастыкталган P2PE чечим болуп саналат.
• SAQ D (Merchant/Service Provider) - ар кандай иштетүү/берүү/сактоо, жекече интеграциялар, оркестраторлор ж.б.

iGaming үчүн практика: максаттуу жол - PAN-safe агымдары, токенизациялоо жана хостинг талаалары аркылуу SAQ A/A-EP. Эгерде сиздин өзүңүздүн төлөм кызматтарыңыз бар болсо - адатта SAQ D же ROC.

4) Skoping: CDE кирет жана аны тарытуу үчүн кандай

CDE (Cardholder Data Environment) - карта маалыматтары жана бардык бириктирилген/таасирдүү сегменттер иштетилген/сакталган/которулган системалар.

• Hosted fields/iframe/TSP: домен тышкары PAN киргизүү.
• Токенизация жана network tokens: Сиздин кызматтар PAN эмес, токендер менен иштейт.
• P2PE: күбөлөндүрүлгөн чечим менен "аягы-аягы" шифрлөө.
• Тармак сегментациясы: катуу ACL, CDEди калган чөйрөдөн изоляциялоо.
• Милдеттүү DLP жана блогдорду жашыруу, PAN/CVV менен дампаларга тыюу салуу.

V 4. 0 максаттарга жетүү ыкмаларынын ийкемдүүлүгү кошулду, бирок натыйжалуулуктун далили жана максаттуу тобокелдик-талдоо милдеттүү.

5) "12 талаптар" PCI DSS v4. 0 (семантикалык блоктор)

1. Тармактык коргоо жана сегментациялоо (firewall, ACL, CDE изоляциясы).
2. Коопсуз хост/түзмөк конфигурациясы (hardning, базалык линиялар).
3. Карта ээлеринин маалыматтарын коргоо (PAN сактоо - зарыл болгон учурда гана, күчтүү криптография).
4. Берүү учурунда маалыматтарды коргоо (TLS 1. 2 + жана эквиваленттер).
5. Antivirus/анти-malware жана бүтүндүгүн көзөмөлдөө.
6. Коопсуз иштеп чыгуу жана өзгөртүү (SDLC, SAST/DAST, китепкана көзөмөлү).
7. Муктаждык боюнча кирүү (least privilege, RBAC).
8. Идентификация жана аутентификация (башкаруу жана алыстан кирүү үчүн MFA, v4 сырсөздөрү. 0).
9. Физикалык коопсуздук (маалымат борборлору, кеңселер, терминалдар).
10. Логика жана мониторинг (логдорду борборлоштуруу, өзгөрүлбөстүк, алерталар).
11. Коопсуздук сыноо (чейрек сайын ASV-сканер, жыл сайын pentests жана өзгөрүүлөрдөн кийин, сыноо сегменттөө).
12. Саясаттарды жана тобокелдиктерди башкаруу (жол-жоболор, окутуу, инцидент-респонс, тобокелдик-баалоо, "Customized Approach" документтер).

6) Милдеттүү активдүүлүк жана мезгилдүүлүк

ASV-сканерлер (тышкы) - чейрек сайын жана олуттуу өзгөрүүлөрдөн кийин.
Кемчиликтер/патчингдер - үзгүлтүксүз циклдер (жыштыктар TRA тарабынан негизделет - targeted risk analysis).
Пентесттер - жыл сайын жана олуттуу өзгөрүүлөрдөн кийин; сегментти текшерүү милдеттүү.
Журналдар жана мониторинг - тынымсыз, өзгөртүү жана коргоо менен.
Кадрларды окутуу - жумушка алууда жана андан ары үзгүлтүксүз.
МФА - бардык CDE башкаруу жана алыстан жетүү үчүн.
Системалардын/маалымат агымынын инвентаризациясы - дайыма актуалдаштыруу.

7) SAQ тандоо матрицасы (кыска)

Сиз PAN жок гана iframe/redirect → SAQ A.
E-соода, сиздин сайт төлөм барагына таасир этет → SAQ A-EP.
Терминалдар/импринтерлер → SAQ B/B-IP.
Виртуалдык терминал → SAQ C-VT.
Кичинекей "карта" сактоо жок тармак → SAQ C.
P2PE-чечим → SAQ P2PE.
Башка/татаал/сактоо/иштетүү → SAQ D (же ROC).

8) Аудит үчүн экспонаттар жана далилдер

• Тармактын диаграммалары жана маалымат агымдары, активдердин реестри, жеткирүүчүлөрдүн реестри, эсептер/жеткиликтүүлүктөрдүн реестри.
• Саясаттар/жол-жоболор: коопсуз иштеп чыгуу, өзгөрүүлөрдү башкаруу, логин, окуялар, алсыздыктар, ачкычтар/крипто, алыстан кирүү, камдык.
• Отчеттор: ASV, пентесттер (сегментация), алсыздык сканерлери, түзөтүүлөрдүн натыйжалары.
• Журналдар/алерталар: борборлоштурулган система, өзгөрбөстүк, инциденттерди талдоо.
• Крипто башкаруу: KMS/HSM жол-жоболору, айлануу, ачкычтар/күбөлүктөр.
• Далилдер "Customized Approach" (колдонулган болсо): контролдоо максаттары, ыкмасы, натыйжалуулугу, TRA.
• Үчүнчү жактардын жоопкерчилик контурлары: AoC өнөктөштөр (PSP, хостинг, CDN, анти-фрод), Жалпы жоопкерчилик матрицасы.

9) Шайкештикке жетишүү долбоору (кадам сайын)

1. Skoping жана GAP-талдоо: CDE аныктоо, чектеш сегменттер, учурдагы ажырымдар.
2. Fast утуштар: PAN-safe агымы (iframe/hosted fields), токенизациялоо, логиде PAN тыюу салуу, "тышкы" крит алсыздыктарын жабуу.
3. Сегментация жана тармак: CDE, mTLS, firewall-ACL, least-privilege, MFA боюнча жетүү.
4. Байкоо: борборлоштурулган Логинг, Retence/коопсуздук чынжыр, Алерт.
5. Кемчиликтерди жана кодду башкаруу: SAST/DAST, патчтар, SBOM, көз карандылыкты көзөмөлдөө.
6. Тесттер: ASV сканерлер, ички/тышкы пентесттер, сегментация текшерүү.
7. Документтер жана окутуу: жол-жоболор, IR-ойнотмо, тренингдер, окутуу жазуулар.
8. Аттестация түрүн тандоо: SAQ (түрү) же ROC; эквайер/бренддер менен макулдашуу.
9. Жылдык цикл: колдоо, далилдер, тобокелдиктерди/жыштыктарды кайра карап чыгуу, кайра өтүү.

10) iGaming архитектура менен бириктирүү

Төлөм оркестратору токендер менен гана иштейт; PAN көрбөйт.
Multi-PSP: health-checks, smart-routing, idempotency, ретраи; AoC ар бир PSP.
Event-айдоо шиналар/DWH: эч кандай PAN/CVV; акыркы 4 сандарды жашыруу; CI/CD DLP-гейтс.
3DS/SCA чектери: керектүү экспонаттарды (транзакциялардын идентификаторлорун) гана, сезимтал маалыматсыз сактоо.

11) Көп каталар

PAN/CVV жана нөлдүк маскалар.
"Убактылуу" ички API/шиналар аркылуу PAN коюу.
Пентестте сегментация тестинин жоктугу.
Негизсиз жол-жоболордун жыштыгы (v4 боюнча эч кандай TRA. 0).
AoC жана fallback жок бир PSP көз каранды.
Эсепке алынбаган "таасирдүү" сегменттер (admin-jump-hosts, мониторинг, backaps).

12) Тез баштоо тизмеси (iGaming)

• hosted fields/iframe; формаларыңыздан PAN киришин алып салуу.
• Токенизацияны/тармактык токендерди киргизүү; PANди окуялардан/логдордон алып салуу.
• CDE жана сегментти изоляциялоо (MFA, RBAC, mTLS).
• борборлоштурулган Логи жана Алерт (өзгөрүлбөстүк, Retence) орнотуу.
• ASV сканерлерди ишке киргизүү, маанилүү/жогорку жоюу.
• Пентесталарды өткөрүү (ички/тышкы.) + сегменттөө сыноо.
• Саясатты/жол-жоболорду жана аткаруу далилдерин даярдоо.
• Эквайер менен аттестация формасын макулдашуу (SAQ түрү/ROC).
• Бардык крит берүүчүлөрдүн AoC алуу жана сактоо.
• PCI контролдорун релиздик циклге киргизүү (SDLC, IaC-hardning, CI/CDге DLP).

13) FAQ кыска

QSA керекпи? ROC үчүн - ооба. SAQ үчүн көбүнчө өзүн-өзү сертификациялоо жетиштүү, бирок көптөгөн эквайерлер/бренддер QSA/ASV өнөктөшүн талап кылышы мүмкүн.
Биз PAN сактаган жок болсо? Карталарды кабыл алсаңыз, сиз дагы эле PCI DSS астында турасыз. SAQ A/A-EP жетүүгө аракет.
3DS PCI чечет? Жок. 3DS - аутентификация жөнүндө; PCI - маалыматтарды коргоо жөнүндө.
Жетиштүү TLS? Жок. v4 бардык тиешелүү талаптар керек. 0, анын ичинде процесстер жана далилдер.

14) Резюме

iGaming үчүн оптималдуу стратегия - skopu минималдаштыруу (PAN-safe, токенизация, hosted fields, P2PE мүмкүн болгон жерде), катуу CDE сегменттөө, автоматташтыруу/алсыздык/пентесттер, артефакттардын толук пакетин чогултуу жана туура тастыктоо формасын (SAQ же ROC) сиздин деңгээлиңиз боюнча тандоо. Бул тобокелдикти азайтат, PSP менен интеграцияны тездетет жана карта маркаларынын талаптарын сактоо менен туруктуу конверсияны жана монетизацияны колдойт.