GH GambleHub

PCI DSS: бақылау және сертификаттау

1) PCI DSS дегеніміз не және ол iGaming үшін неліктен маңызды

PCI DSS - төлем карталары индустриясының қауіпсіздік стандарты (Visa/Mastercard/Amex/Discover/JCB). iGaming операторы үшін ол PAN және сезімтал аутентификациялау деректерін (SAD) қоса алғанда, карта ұстаушылардың деректерін (CHD) қорғаудың техникалық және ұйымдастырушылық шараларын айқындайды. Сәйкессіздік айыппұлдармен, банкаралық тарифтермен, мерчант-шотты қайтарып алумен және беделге нұқсан келтірумен қорқытады.

2) Рөлдер, деңгейлер және сертификаттау түрі

Рөлдер

Merchant (мерчант): ойыншылардан карталарды қабылдайды.
Service Provider: CHD-ді (хостинг, төлем платформасы, токенизацияны қоса алғанда) өңдейді/хоститтейді/сақтайды.

Деңгейлер (high level)

1-4 мерчант деңгейлері: жылдық транзакциялар бойынша; Level 1 әдетте QSA-дан ROC (Report on Compliance) талап етеді.
1-2 қызметтер провайдерінің деңгейлері: Level 1 - міндетті ROC.

Бағалау форматтары

ROC + AOC: аудитордың толыққанды есебі (QSA/ISA).
SAQ: бір түрі бойынша өзін-өзі бағалау (төменде қараңыз), оған сыртқы ASV-сканері қосылады.

3) Аумақ (Scope) және CDE: тарылту және басқару

CDE (Cardholder Data Environment) - CHD/SAD сақтайтын, өңдейтін немесе беретін кез келген жүйелер/желілер/процестер.

Азайту стратегиясы

1. Редирект/Hosted Payment Page (HPP): PSP → SAQ A жағындағы пішін (ең аз сатып алу).
2. Direct Post/JS + your page (A-EP): Сіздің бетіңіз жинау қауіпсіздігіне әсер етеді → SAQ A-EP (кең).
3. Токенизация: PAN-ді PSP/сіздің токен-вальтыңызға ауыстыру; PAN сақталмаған.
4. Желі сегментациясы: CDE (VLAN/файрволдар/ACL) бағдарламасын оқшаулап, трафикті барынша азайтыңыз.
5. «No storage» саясаты: PAN/SAD сақтамау; ерекшеліктер - қатаң негізделген.

💡 Алтын ереже: PAN-дың әрбір байты - аудит саласына қосу.

4) SAQ түрлері (жиынтық)

SAQ түріКімге жарайдыОблыс туралы қысқаша
AТек редирект/iframe PSP, сізде CHD жоқЕң аз талаптар (PAN серверлік өңдеусіз)
A-EPСіздің веб-парақ CHD жинауға әсер етеді (скрипттер, PSP пост)Күшейтілген веб-бақылаулар
B/B-IPСтанциялық терминалдар/импринтерлерiGaming үшін сирек
CТәуелсіз төлем қосымшалары, шектеулі желіТар кейстер
C-VTВиртуалды терминалға қолмен енгізуSupport сценарийлері (қалаусыз)
P2PEPCI P2PE сертификатталған шешіміЕгер қолданылса
D (Merchant/Service Provider)Кез келген басқа сценарийлер, PAN сақтау/өңдеуТалаптардың толық жиынтығы

5) PCI DSS v4. 0: негізгі тақырыптар

Customized Approach: баламасы дәлелденген кезде баламалы бақылауға жол береді (жоспар, TRA, тестілік негіздеме).
Targeted Risk Analysis (TRA): «икемді» талаптар (процестер жиілігі, мониторингтер) үшін нүктелік тәуекел-талдау.
Аутентификация: Әкімшілік және қашықтан кіру үшін MFA; күшті парольдер/пасфразалар; бұғаттау/таймауттар.
Осалдықтар мен пэчтер: тұрақты сканерлер (ішкі/сыртқы), тоқсан сайынғы ASV, пентесттер жыл сайын және маңызды өзгерістерден кейін.
Шифрлау: транзитте (TLS 1. 2+) и at rest; кілттерді басқару (KMS/HSM), ротация, рөлдерді бөлу.
Логи және мониторинг: орталықтандырылған логтер, өзгерістерден қорғау (WORM/қолтаңба), қауіпсіздік оқиғаларына күнделікті шолу.
Сегментация/фаерволдар/WAF: формалды ережелер, review, құжатталған топологиялар.
SDLC/өзгерістері: dev/test/prod бөлінген, SAST/DAST/депенденси-сканерлер, құпияларды басқару.
Оқиғалар: ресми IRP, жаттығулар, рөлдер және байланыс парағы, PSP/эквайер банкпен өзара іс-қимыл.

6) Карта деректері: не болуы/болмауы тиіс

CHD: PAN (+ аралық емес) аты, мерзімі, сервис-коды).
SAD (авторизациядан кейін сақтауға тыйым салынады): CVV/CVC, толық магниттік жолдар, PIN-блоктар.
Бүркемелеу: PAN бетпердесін көрсету (әдетте алғашқы 6 және соңғы 4).
Токенизация/сақтау: Егер PAN → шифрлауды сақтасаңыз, Need-to-Know арқылы қатынасыңыз, кілттер бөлек, қатаң журналдар.

7) Бақылау домендері (практикалық чек-парақ)

1. CDE сегментациясы - жеке кіші желілер, deny-by-default, egress-бақылау.
2. Активтердің мүкәммалы - CDE-дегі және байланысты барлық жүйелер.
3. Харднинг - қауіпсіз конфиг, әдепкі өшіру, базалық стандарттар.
4. Осалдықтар/патчтар - процестер, SLA, өрістетуді растау.
5. Журналға жазу - уақытты үндестіру, орталықтандырылған логтар, WORM/қолтаңбалар.
6. Қолжетімділік - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 минут.
7. Криптография - TLS, KMS/HSM, ротация, крипто-клиенттердің жеке рөлдері.
8. Әзірлеу - SAST/DAST/DS/IaC, құпия-сканерлер, pipeline-қолтаңбалар.
9. ASV сканерлеу - тоқсан сайын және өзгерістерден кейін, «Pass» мәртебесін сақтау.
10. Пентесттер - ішкі/сыртқы кем дегенде жыл сайын.
11. IR-жоспар - жаттығулар, PSP/эквайері бар war-room, таймлайндар.
12. Оқыту - фишинг, secure coding, PCI-awareness.
13. Құжаттар/рәсімдер - PAN сақтау/жою саясаты, экспорт журналы.

8) PSP/вендорлармен өзара іс-қимыл

Келісімшарттар: қолжетімділік/қауіпсіздік бойынша SLA, DPIA/TPRM, аудит құқығы, инцидент-хабарламалар ≤ 72 сағ.
Техинтеграция: ТЛС бойынша НРР/редирект, қол қойылған вебхактар, mTLS/кілттер KMS, ротация.
Тоқсан сайынғы мониторинг: PSP (Attestation, сертификаттар), ASV/пентест-ұстамдары, SDK өзгерістері есептері.

9) Сәйкестік құжаттары

ROC (Report on Compliance): QSA толық есебі.
AOC (Attestation of Compliance): сәйкестікті растау (ROC/SAQ қосымша).
SAQ: өзін-өзі бағалаудың таңдалған түрі (A, A-EP, D және т.б.).
ASV-есептер: сыртқы сканер сертификатталған провайдер.
Саясаттар/рәсімдер: нұсқалар, иелері, өзгерістер журналдары.
Дәлелдемелер: желі схемалары, WORM логтары, тест нәтижелері, тикеттер.

10) Рөлдер және RACI

БелсенділікProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & архитектурасыA/RRRCCCC
Сегментация/фаерволдар/WAFCA/RRIICI
Токенизация/редиректA/RRRCCCR
Осалдықтар/патчтарIA/RRIICI
Логи/мониторингIA/RRCICI
ASV/пентесттерIA/RRIIRI
ROC/SAQ/AOC құжаттарыIA/RCIRRI
PCI оқиғаларыCA/RRIRCC

11) Өлшемдер (KPI/KRI)

ASV Pass Rate: тоқсандық есептердің 100% - «pass».
Patch SLA High/Critical: мерзімінде 95% ≥.
Pentest Findings Closure: ≥ 95% High 30 күнге ≤ жабық.
Әкімшілік MFA Coverage: 100%.
Log Integrity: WORM/қолтаңбалары бар 100% сындарлы жүйелер.
Scope Reduction: редирект/токенизация арқылы төлемдердің үлесі ≥ 99%.
Incidents: PCI-тосын оқиғалар - 100%.

12) Жол картасы (SAQ/ROC дейін 8-12 апта)

1-2 апталар: төлемдерді қабылдау моделін таңдау (НРР/токенизация), CDE картасын жасау, желі схемасы, сегменттеу жоспары, SAQ/ROC таңдау.
3-4 апта: харднинг, MFA, WORM логтары, SDLC сканерлері, кілттер/KMS, PAN сақтау саясаты (әдепкі - сақтамау).
5-6 апта: ASV-сканер № 1, түзетулер; пентест (веб/желі/вебхукилер), PSP бар IR-оқу, құжаттаманы аяқтау.
7-8 апталар: SAQ толтыру немесе аудит QSA (Stage-сұхбат, іріктемелер), олжаларды жабу, AOC/ROC дайындау.
Апталар 9-12 (опц.) : «Customized Approach» және TRA, сегменттеуді оңтайландыру, KPI/KRI дашбордтарын біріктіру.

13) Чек парақтары

Карталарды қабылдау алдында

  • PAN/SAD сақтаусыз жол таңдалды
  • Редирект/iframe PSP немесе токенизация теңшелген
  • CDE сегментациясы, deny-by-default, WAF
  • Әкімшілерге арналған MFA/IGA/JIT/PAM
  • Логтар (WORM, қолтаңбалар, NTP) және дашбордтар
  • ASV-сканерден өтті, пентест жабық
  • IR-жоспар және PSP/банк байланыстары

Жыл сайынғы аттестаттау үшін

  • CDE жүйелер тізімі мен сұлбалары жаңартылды
  • 4 тоқсандық ASV өтті, «pass» сақталды
  • Пентест ≤ 12 ай және өзгерістерден кейін
  • Саясат/рәсімдер өзекті, нұсқалар/иелері
  • SAQ толтырылды/ROC алынды, AOC берілді

14) Жиі қателер және оларды болдырмау

Дұрыс қорғаусыз PAN жинау → SAQ A-EP/D. PSP бағдарламасының HPP/iframe бағдарламасын пайдаланыңыз.
Өзгерістерден қорғаусыз логтар. WORM/қолтаңбаларын және күнделікті шолуды қосыңыз.
«бүкіл желі CDE» сегментациясы жоқ. Төлем контурын қатаң оқшаулаңыз.
CVV/SAD сақтау. Авторизациядан кейін тыйым салынған.
Толық емес ASV/пентесттер. Өзгерістерден кейін жасаңыз және есептерді/ремедиацияларды сақтаңыз.

15) Қалған wiki бөлімдерімен интеграциялау

Байланысты беттер: Құпия саясат және MFA, RBAC/Least Privilege, Логин саясаты, Оқиғалар мен ағулар, TPRM және SLA, ISO 27001/27701, SOC 2 - бақылау және бірыңғай evidence жиынтығы үшін.

TL; DR

PCI DSS v4 табысы. 0 = ең аз сатып алу (НРР/токенизация) + CDE + MFA қатаң сегментациясы/WORM/шифрлау/KMS + ASV логтары тоқсан сайын, пентест жыл сайын және өзгерістерден кейін + SAQ/ROC/AOC дайын құжаттары. Бұл аудит шығындарын азайтады, PSP-мен интеграцияны жеделдетеді және төлем контурын дәлелденген қауіпсіз етеді.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.