PCI DSS: деңгейлер және сәйкестік

1) PCI DSS дегеніміз не және ол кімге керек

• карталар бойынша төлемдерді қабылдайсыз (тікелей немесе PSP/шлюз арқылы),
• карталық деректерді (PAN, мерзімі, CVV) немесе олардың қысқартылған/шифрланған нысандарын өңдейсіз/сақтайсыз/бересіз,
• егер сіз осы карталардың қауіпсіздігіне әсер ете алатын болсаңыз, сіз басқа сатушыларға арналған қызметтер провайдері болып табыласыз (хостинг, процессинг, анти-фрод, төлем оркестрі және т.б.).

Нұсқасы және мерзімі: өзекті нұсқасы - PCI DSS v4. 0. Талаптар v3. 2. 1 пайдаланудан шығарылған; «future-dated» тармақтары v4. 0 қазір әрекет етеді. v4 ішіндегі жаңа. 0: күшейтілген MFA, «Customized Approach», рәсімдердің жиілігін таргеттелген тәуекел-талдау, сегменттеу және шифрлау бойынша нақтылаулар.

2) Сәйкестік деңгейлері: мерчанттар және көрсетілетін қызметтер провайдерлері

2. 1 Мерчанттар (саудагерлер)

• Level 1:> 6 млн транзакция/жыл немесе компромисс болды. Келісу кезінде QSA-дан немесе ішкі ISA-дан жыл сайынғы ROC (Report on Compliance) талап етіледі, + тоқсандық ASV-сканерлер.
• Level 2: ~ 1-6 млн/жыл. Әдетте - SAQ (өзін-өзі бағалау) + ASV-сканерлер; кейбір схемалар/эквайерлер ROC талап етуі мүмкін.
• Level 3: ~ 20k-1 млн e-commerce/жыл. Әдетте - SAQ + ASV-сканерлер.
• Level 4: L3 табалдырығынан төмен. SAQ; талаптар эквайер банк бойынша өзгеруі мүмкін.

2. 2 Қызмет көрсету провайдерлері (Service Providers)

Әдетте 2 деңгей; Level 1 үшін (ірі көлем/тізбектегі сындарлы рөл) QSA-дан ROC, Level 2 үшін - SAQ-D SP (кейде - контрагенттердің/схемалардың талабы бойынша ROC) міндетті. iGaming көптеген PSP/шлюздер/хостинг серіктестер - SP Level 1.

3) SAQ vs ROC: қалай таңдау керек

• SAQ A - тек редирект/iframe/hosted fields; сізде карталарды өңдеу/беру/сақтау жоқ.
• SAQ A-EP - бұл электрондық коммерция, онда сіздің сайтыңыз төлем бетінің қауіпсіздігіне әсер етеді (мысалы, хостинг скрипттері), бірақ PAN провайдер ортасында енгізіледі.
• SAQ B/B-IP - электрондық сақтаусыз терминалдар/импринтерлер; B-IP - қосылған терминалдар.
• SAQ C-VT/C - виртуалды терминалдар/шағын өңдеу ортасы, сақтаусыз.
• SAQ P2PE - тек PCI-сертификатталған P2PE-шешім.
• SAQ D (Merchant/Service Provider) - кез келген өңдеу/беру/сақтау, кастомдық интеграциялар, оркестраторлар және т.б. кезінде «кең» нұсқа.

iGaming үшін практика: мақсатты жол - PAN-safe ағындары, токенизация және хостед-өрістер есебінен SAQ A/A-EP. Егер сізде жеке төлем қызметтері/вальт болса - әдетте SAQ D немесе ROC.

4) Скопинг: CDE-ге не кіреді және оны қалай тарылтуға болады

CDE (Cardholder Data Environment) - карточкалық деректер өңделетін/сақталатын/берілетін жүйелер және барлық біріктірілген/ықпалды сегменттер.

• Hosted fields/iframe/TSP: доменнен тыс PAN енгізу.
• Токенизация және network tokens: қызметтеріңіз PAN емес, токендермен жұмыс істейді.
• P2PE: сертификатталған шешімі бар «соңына дейін» шифрлау.
• Желі сегментациясы: қатты ACL, CDE-ді қалған ортадан оқшаулау.
• Міндетті DLP және логтарды бүркемелеу, PAN/CVV бар дампаларға тыйым салу.

v4. 0 мақсаттарға қол жеткізу әдістерінің икемділігі қосылды, бірақ тиімділік дәлелдері және таргеттелген тәуекел-талдау міндетті.

5) «12 талап» PCI DSS v4. 0 (мағыналық блоктар)

1. Желілік қорғаныстар және сегменттеу (файрволдар, ACL, CDE оқшаулау).
2. Хосттардың/құрылғылардың қауіпсіз конфигурациясы (харднинг, базалық желілер).
3. Карта ұстаушылардың деректерін қорғау (PAN сақтау - қажет болған жағдайда ғана, күшті криптография).
4. Беру кезіндегі деректерді қорғау (TLS 1. 2 + және баламалары).
5. Антивирус/anti-malware және тұтастықты бақылау.
6. Қауіпсіз әзірлеу және өзгерту (SDLC, SAST/DAST, кітапханаларды бақылау).
7. Қажеттілігіне қарай қол жеткізу (least privilege, RBAC).
8. Сәйкестендіру және аутентификация (әкімшілік және қашықтан кіруге арналған MFA, v4 бойынша парольдер. 0).
9. Физикалық қауіпсіздік (дата-орталықтар, кеңселер, терминалдар).
10. Логизация және мониторинг (логтарды орталықтандыру, өзгермеу, алерта).
11. Қауіпсіздікті тестілеу (ASV-сканерлер тоқсан сайын, пентесттер жыл сайын және өзгерістерден кейін, сегменттеу тесті).
12. Саясаттар мен тәуекелдерді басқару (рәсімдер, оқыту, инцидент-респонс, тәуекел-бағалау, «Customized Approach» құжаттары).

6) Міндетті белсенділік және кезеңділік

ASV-сканерлер (сыртқы) - тоқсан сайын және маңызды өзгерістерден кейін.
Осалдықтар/патчингтер - тұрақты циклдар (жиіліктер TRA - targeted risk analysis негізделеді).
Пентесттер (ішкі/сыртқы) - жыл сайын және елеулі өзгерістерден кейін; сегменттеуді тексеру міндетті.
Журналдар мен мониторинг - үздiксiз, ретенсiмен және модификациядан қорғаумен.
Персоналды оқыту - жалдау кезінде және одан әрі тұрақты.
АӨА - CDE-ге барлық әкімшілік және қашықтан қол жеткізу үшін.
Деректер жүйелерінің/ағындарының мүкәммалы - үнемі өзектендіру.

7) SAQ-таңдау матрицасы (қысқаша)

Тек iframe/redirect, сізде PAN жоқ → SAQ A.
E-commerce, сіздің сайт төлем парағына әсер етеді → SAQ A-EP.
Терминалдар/импринтерлер → SAQ B/B-IP.
Виртуалды терминал → SAQ C-VT.
Сақталмаған шағын «карта» желісі → SAQ C.
P2PE-шешім → SAQ P2PE.
Өзге/күрделі/сақтау/өңдеу → SAQ D (немесе ROC).

8) Аудитке арналған артефактілер мен дәлелдемелер

• Желі және деректер ағындарының диаграммалары, активтер тізілімі, жеткізушілер тізілімі, есепке алу/қол жеткізу тізілімі.
• Саясат/рәсімдер: қауіпсіз әзірлеу, өзгерістерді басқару, логизация, инциденттер, осалдықтар, кілттер/крипто, қашықтан кіру, резервтік көшірмелер.
• Есептер: ASV, пентесттер (сегментация қоса алғанда), осалдықтар сканерлері, түзетулер нәтижелері.
• Журналдар/алерттар: орталықтандырылған жүйе, өзгермеушілік, инциденттерді талдау.
• Крипто-басқару: KMS/HSM процедуралары, ротациялар, кілттер/сертификаттар мүкәммалы.
• «Customized Approach» дәлелдемелері (егер қолданылса): бақылау мақсаттары, әдісі, тиімділік метрикасы, TRA.
• Үшінші тұлғалардың жауапкершілік контурлары: AoC серіктестері (PSP, хостинг, CDN, анти-фрод), Shared Responsibility матрицасы.

9) Сәйкестікке қол жеткізу жобасы (қадамдық)

1. Скопинг және GAP-талдау: CDE, аралас сегменттер, ағымдағы үзілімдерді анықтау.
2. Жылдам ұтыстар: PAN-safe ағыны (iframe/hosted fields), токенизация, логиде PAN тыйым салу, «сыртқы» крит-осалдықтарды жабу.
3. Сегментация және желі: CDE, mTLS, firewall-ACL, least-privilege, MFA бойынша қолжетімділікті оқшаулау.
4. Бақылау қабілеті: орталықтандырылған логика, ретенция/сақталу тізбегі, аллергия.
5. Осалдықтар мен кодты басқару: SAST/DAST, патчтар, SBOM, тәуелділікті бақылау.
6. Тесттер: ASV-сканерлер, ішкі/сыртқы пентесттер, сегменттеуді тексеру.
7. Құжаттар мен оқыту: процедуралар, IR-плейбуктер, тренингтер, оқыту жазбалары.
8. Аттестаттау нысанын таңдау: SAQ (түрі) немесе ROC; эквайермен/брендтермен келісу.
9. Жыл сайынғы цикл: қолдау, дәлелдемелер, тәуекелдерді/жиіліктерді қайта қарау, қайта өткізу.

10) iGaming архитектурасымен интеграциялау

Төлем оркестраторы тек токендермен жұмыс істейді; PAN көрмейді.
Multi-PSP: health-checks, smart-routing, idempotency, ретраи; Әрбір PSP-ден AoC.
Event-driven шинасы/DWH: ешқандай PAN/CVV; соңғы 4 цифрды бүркемелеу; CI/CD-дегі DLP-гейттер.
3DS/SCA бойынша чектер: тек қажетті артефактілерді (транзакция сәйкестендіргіштерін) сезімтал деректерсіз сақтау.

11) Жиі қателер

PAN/CVV логині және қалыпсыз маскалар.
Ішкі API/шиналар арқылы «уақытша» PAN төсеу.
Пентест кезінде сегментация тестінің болмауы.
Процедуралардың негізсіз жиілігі (v4 бойынша TRA жоқ. 0).
AoC жоқ және fallback жоқ бір PSP тәуелділігі.
Есепке алынбаған «ықпалды» сегменттер (әкімшілік-jump-hosts, мониторинг, бэкаптар).

12) Тез бастау чек парағы (iGaming)

• hosted fields/iframe; пішіндеріңізден PAN енгізуді алып тастаңыз.
• Токенизацияны/желілік токендерді қосу; PAN оқиғаларынан/логдарынан алып тастау.
• CDE скопингін жүргізу және сегментті оқшаулау (MFA, RBAC, mTLS).
• Орталықтандырылған логтар мен алаңдарды баптау (өзгермеу, ретенция).
• ASV сканерлеуді іске қосу, сыни/жоғары еместерді жою.
• Пентесттер өткізу (ішкі/сыртқы) + сегменттеу тесті.
• Орындалу саясатын/рәсімдерін және дәлелдемелерін дайындау.
• Аттестаттау нысанын эквайермен (SAQ түрі/ROC) келісу.
• Барлық крит жеткізушілердің AoC алу және сақтау.
• PCI-бақылауларды релиздік циклға (SDLC, IaC-харднинг, CI/CD-ге DLP) кірістіру.

13) FAQ қысқаша

QSA қажет пе? ROC үшін - иә. SAQ үшін көбінесе өзін-өзі сертификаттау жеткілікті, бірақ көптеген эквайерлер/брендтер QSA/ASV-серіктесті талап ете алады.
Егер біз PAN сақтамасақ? Карталарды қабылдасаңыз, бәрібір PCI DSS-тің астында қаласыз. SAQ A/A-EP қол жеткізуге тырысыңыз.
3DS PCI шешеді ме? Жоқ. 3DS - аутентификация туралы; PCI - деректерді қорғау туралы.
Жеткілікті TLS? Жоқ. Барлық v4 релевантты талаптар қажет. 0, оның ішінде процестер мен дәлелдемелер.

14) Түйіндеме

iGaming үшін оңтайлы стратегия - сатып алуды барынша азайту (PAN-safe, токенизация, hosted fields, мүмкін болған жерде P2PE), CDE-ді қатаң сегменттеу, логиканы/осалдықтарды/пентестерді автоматтандыру, артефакттардың толық пакетін жинау және сіздің деңгейіңіз бойынша дұрыс растау нысанын (SAQ немесе ROC) таңдау. Бұл тәуекелді төмендетеді, PSP-мен интеграцияны жеделдетеді және карта брендтерінің талаптарын сақтай отырып, тұрақты конверсия мен монетизацияны қолдайды.