GH GambleHub

Kontrola i certyfikacja PCI DSS

1) Co to jest PCI DSS i dlaczego ma znaczenie dla iGaming

PCI DSS jest standardem bezpieczeństwa dla branży kart płatniczych (Visa/Mastercard/Amex/Discover/JCB). W przypadku operatora iGaming definiuje on środki techniczne i organizacyjne w celu ochrony danych posiadacza karty (CHD), w tym dane PAN i wrażliwe dane uwierzytelniające (SAD). Rozbieżność grozi grzywnami, podwyższonymi taryfami międzybankowymi, odzyskaniem rachunku handlowego i szkodami reputacyjnymi.

2) Role certyfikacyjne, poziomy i typ

Role

Handlowiec: Akceptuje karty od graczy.
Usługodawca: procesy/hosty/sklepy CHD dla handlowców (w tym hosting, platforma płatnicza, tokenizacja).

Poziomy (wysoki poziom)

Poziomy handlowców 1-4: według rocznych transakcji; Poziom 1 zwykle wymaga ROC (Raport o zgodności) od QSA.
Poziom 1-2: Poziom 1 jest obowiązkowym ROC.

Formaty oceny

ROC + AOC: pełne sprawozdanie audytora (QSA/ISA).
SAQ: samoocena przez jeden z typów (patrz poniżej), plus zewnętrzny skan ASV.

3) Zakres i CDE: Jak zawęzić i zarządzać

CDE (Cardholder Data Environment) - wszelkie systemy/sieci/procesy, które przechowują, przetwarzają lub przesyłają CHD/SAD.

Strategie minimalizacji

1. Hosted Payment Page (HPP): PSP → SAQ formularz.
2. Bezpośredni Post/JS + Twoja strona (A-EP): Twoja strona wpływa na bezpieczeństwo zbierania SAQ A-EP → (szerszy).
3. Tokenizacja: wymiana PAN na token PSP/token-walt; PAN nie jest przechowywany z tobą.
4. Segmentacja sieci: izolować CDE (VLAN/firewalls/ACL), zminimalizować ruch.
5. Zasady „Brak przechowywania”: nie przechowywać PAN/SAD; wyjątki są ściśle uzasadnione.

💡 Złota zasada: Każdy bajt PAN jest plus do domeny audytu.

4) typy SAQ (podsumowane)

Typ SAQKto jest odpowiedniKrótko o regionie
ATylko przekierowanie/iframe PSP, brak CHD maszMinimalne wymagania (brak przetwarzania serwera PAN)
A-PETwoja strona wpływa na kolekcję CHD (skrypty, post do PSP)Ulepszone sterowanie sieciowe
B/B-IPStacja Terminale/ImprintersRzadko w przypadku iGaming
CNiezależne aplikacje płatnicze, ograniczona siećWąskie przypadki
C-VTRęczne wejście do terminalu wirtualnegoSkrypty wsparcia (niepożądane)
P2PERozwiązanie certyfikowane P2PE PCIw stosownych przypadkach
D (handlowiec/usługodawca)Wszelkie inne scenariusze, magazynowanie/przetwarzanieKompletny zestaw wymagań

5) PCI DSS v4. 0: kluczowe tematy

Dostosowane podejście: umożliwia alternatywne sterowanie w sprawdzonej równoważności (plan, TRA, uzasadnienie testu).
Ukierunkowana analiza ryzyka (TRA): analiza ryzyka punktowego dla „elastycznych” wymogów (częstotliwość procesu, monitorowanie).
Uwierzytelnianie: MFA dla administratora i zdalnego dostępu; silne hasła/hasła; zamki/timeouts.
Luki i łatki: regularne skanowanie (wewnętrzne/zewnętrzne), kwartalne ASV, pentests rocznie i po istotnych zmianach.
Szyfrowanie: w tranzycie (TLS 1. 2 +) w stanie spoczynku; zarządzanie kluczami (KMS/HSM), rotacje, separacja ról.
Dzienniki i monitoring: dzienniki scentralizowane, ochrona przed zmianami (WORM/podpis), codzienny przegląd zdarzeń zabezpieczających.
Segmentacja/zapory/WAF: zasady formalne, przegląd, udokumentowane topologie.
SDLC/zmiany: dev/test/prod oddzielone, SAST/DAST/skany zależności, tajne zarządzanie.
Incydenty: formalna IRP, wiertła, role i lista kontaktów, interakcja z PSP/bank przejmujący.

6) Dane karty: co może/nie może

CHD: PAN (+ opcjonalne. nazwa, termin, kod usługi).
SAD (zabronione przechowywanie po autoryzacji): CVV/CVC, pełne tory magnetyczne, bloki PIN.
Maskowanie: wyświetlacz PAN z maską (zwykle pierwsze 6 i ostatnie 4).
Tokenizacja/przechowywanie: jeśli przechowujesz PAN → szyfrowanie, dostęp Need-to-Know, klucze oddzielnie, dzienniki twarde.

7) Domeny sterowania (praktyczna lista kontrolna)

1. Segmentacja CDE - oddzielne podsieci, odmowa domyślna, kontrola wyjścia.
2. Inwentaryzacja aktywów - wszystkie systemy w CRP i powiązane.
3. Hardning - bezpieczne konfiguracje, domyślne wyłączenie, podstawowe standardy.
4. Luki/łatki - procesy, SLA, potwierdzenia wdrożenia.
5. Logowanie - synchronizacja czasu, dzienniki scentralizowane, WORM/podpisy.
6. Dostęp - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 minut.
7. Kryptografia - TLS, KMS/HSM, rotacja, oddzielne role crypto-custodians.
8. Rozwój - SAST/DAST/DS/IaC, tajne skany, podpisy rurociągowe.
9. Skanowanie ASV - co kwartał i po zmianach, statusy „Przejdź” do przechowywania.
10. Pentests - sieć zewnętrzna/wewnętrzna i †., przynajmniej raz w roku.
11. IR-plan - ćwiczenia, pokój wojenny z PSP/acquirer, linie czasowe.
12. Szkolenia - phishing, bezpieczne kodowanie, świadomość PCI dla ról.
13. Dokumenty/procedury - PAN Retention/Deletion Policy, Export Log.

8) Interakcje z PSP/sprzedawcami

Umowy: Dostępność/Bezpieczeństwo SLA, DPIA/TPRM, Prawo audytu, Powiadomienia o incydencie ≤ 72 h.
Integracja techniczna: HP/przekierowanie dla TLS, podpisane haki internetowe, mTLS/klawisze w KMS, obroty.
Kwartalny monitoring: raporty PSP (poświadczenie, certyfikaty), fragmenty ASV/pentest, zmiany SDK.

9) Dokumenty zgodności

ROC (Raport o zgodności): pełne sprawozdanie QSA.
AOC (Świadectwo Zgodności) - potwierdzenie zgodności (załącznik do ROC/SAQ).
SAQ: wybrany typ samooceny (A, A-EP, D itp.).
Raporty ASV: skanowanie zewnętrzne przez certyfikowanego dostawcę.
Zasady/procedury: wersje, właściciele, zmiany dzienników.
Dowody: diagramy sieciowe, dzienniki WORM, wyniki testów, bilety.

10) Role i RACI

DziałalnośćProdukt/PłatnościBezpieczeństwo/CISOSRE/ITDane/BIZgodność prawna/ZgodnośćQSA/ISAPSP
Zakres/CDE & ArchitekturaA/RRRCCCC
Segmentacja/Zapory/WAFCA/RRJAJACJA
Tokenizacja/przekierowanieA/RRRCCCR
Luki/łatkiJAA/RRJAJACJA
Dzienniki/monitorowanieJAA/RRCJACJA
ASV/PentestsJAA/RRJAJARJA
Dokumenty ROC/SAQ/AOCJAA/RCJARRJA
Incydenty związane z PWZCA/RRJARCC

11) Wskaźniki (KPI/KRI)

ASV Pass Rate: 100% raporty kwartalne - "pass'.
Plaster SLA wysoki/krytyczny: ≥ 95% na czas.
Zamknięcie Pentest: ≥ 95% Wysokie zamknięte ≤ 30 dni.
MSZ Pokrycie administratorów: 100%.
Integralność dziennika: 100% systemy krytyczne z WORM/podpisy.
Zmniejszenie zakresu płatności: udział płatności poprzez przekierowanie/tokenizację ≥ 99%.
Incydenty: incydenty PCI z terminem 100%.

12) Plan działania (8-12 tygodni przed SAQ/ROC)

Tygodnie 1-2: Wybór modelu płatności (HPP/tokenizacja), mapowanie CDE, układ sieci, plan segmentacji, wybór SAQ/ROC.
Tygodnie 3-4: utwardzanie, MFA, dzienniki WORM, skany SDLC, klucze/KMS, zasady przechowywania PAN (domyślnie - nie przechowywać).
Tygodnie 5-6: ASV skan # 1, korekty; pentest (web/network/webhooks), IR-learning z PSP, finalizacja dokumentacji.
Tygodnie 7-8: zakończenie lub audyt SAQ QSA (wywiady etapowe, próbki), zamknięcie znalezisk, przygotowanie AOC/ROC.
Tygodnie 9-12 (Op.): „Dostosowane podejście” i TRA, optymalizacja segmentacji, integracja deski rozdzielczej KPI/KRI.

13) Listy kontrolne

Przed rozpoczęciem odbioru karty

  • Wybrana ścieżka pamięci masowej non-PAN/SAD
  • Przekierowanie/iframe PSP lub tokenizacja skonfigurowane
  • Segmentacja CRP, odmowa domyślna, WAF
  • MSZ/IGA/JIT/PAM dla administratorów
  • Dzienniki (WORM, podpisy, NTP) i deski rozdzielcze
  • Przeszedł skan ASV, pentest zamknięty
  • Plan IR i kontakty PSP/bankowe

Do corocznej certyfikacji

  • Aktualizacja schematów i listy systemów CDE
  • Przeszedł 4 kwartalne WS, "pass' zapisane
  • Pentest ≤ 12 miesięcy i po zmianach
  • Dotychczasowe zasady/procedury, wersje/właściciele
  • Wypełniony SAQ/otrzymany przez ROC, wydany przez AOC

14) Częste błędy i sposób ich unikania

Zbierz PAN na swojej stronie bez odpowiedniej ochrony → SAQ A-EP/D. Użyj HPP/iframe z PSP.
Dzienniki bez ochrony przed zmianami. Zawierać WORM/podpisy i codzienny przegląd.
Brak segmentacji - "cała sieć w CDE. "Sztywno odizolować pętlę płatniczą.
Przechowywanie CVV/SAD. Zabronione po wydaniu zezwolenia.
Niekompletne WS/pentesty. Wykonywać po zmianach i przechowywać raporty/remediacje.

15) Integracja z resztą sekcji wiki

Powiązane strony: Polityka hasła i MFA, RBAC/Least Privilege, Polityka dziennika, Incydenty i wycieki, TPRM i SLA, ISO 27001/27701, SOC 2 - do mapowania kontroli i jeden zestaw dowodów.

TL; DR

Sukces PCI DSS v4. 0 = minimalny zakres (HPP/tokenizacja) + segmentacja twarda CDE + dzienniki MFA/WORM/szyfrowanie/KMS + ASV co kwartał, pentest rocznie i po zmianach + gotowe dokumenty SAQ/ROC/AOC. Zmniejsza to koszty audytu, przyspiesza integrację PSP i sprawia, że pętla płatnicza jest bezpieczna.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.