GH GambleHub

PCI DSS: controle e certificação

1) O que é PCI DSS e por que isso é importante para iGaming

O PCI DSS é um padrão de segurança da indústria de cartões de pagamento (Visa/Mastercard/Amex/Discover/JCB). Para o operador, ele determina medidas técnicas e organizacionais de proteção de dados de portadores de cartões (CHD), incluindo o PAN e dados de autenticação sensíveis (SAD). A discrepância ameaça multas, tarifas interbancárias elevadas, reversão da conta merchant e danos de reputação.

2) Papéis, níveis e tipo de certificação

Papéis

Merchant: aceita cartas dos jogadores.
Service Provider: processa/hospedagem/armazena CHD para merchantes (incluindo hospedagem, plataforma de pagamento, tocenização).

Níveis (high level)

Níveis de merchant 1-4: por transação anual; O Level 1 normalmente requer ROC (Report on Compliance) do QSA.
Níveis de serviço 1-2: Level 1 - ROC obrigatório.

Formatos de avaliação

ROC + AOC: relatório completo do auditor (QSA/ISA).
SAQ: Autoestima de um tipo (ver abaixo), além de um scan ASV externo.

3) Área (Scope) e CDE: como restringir e controlar

CDE - quaisquer sistemas/redes/processos que armazenem, processam ou transmitem CHD/SAD.

Estratégias de minimização

1. Redirect/Hosted Payment Page (HPP): forma do lado de PSP → SAQ A (compasso mínimo).
2. Direto Post/JS + your page (A-EP): sua página afeta a segurança de coleta de → SAQ A-EP (mais amplo).
3. Tocagem: trocar PAN por token PSP/seu token-valt; O PAN não está armazenado.
4. Segmentação de rede: isole o CDE (VLAN/firewall/LCA) e minimize o tráfego.
5. Política «No armazenamento»: não armazenar PAN/SAD; exceções - estritamente fundamentadas.

💡 Regra de ouro: cada byte PAN é um benefício para a área de auditoria.

4) Tipos de SAQ (conjunto)

Tipo SAQA quem é adequadoResumir área
AApenas Redirect/iframe PSP, não tem CHDRequisitos mínimos (sem processamento PAN por servidor)
A-EPSua página Web afeta a coleta de CHD (script, post em PSP)Controladores da Web reforçados
B/B-IPTerminais de estação/importadoresRaramente para iGaming
CAplicativos de pagamento independentes, rede limitadaMalas estreitas
C-VTEntrada manual no terminal virtualScript de suporte (indesejável)
P2PESolução certificada com PCI P2PESe aplicável
D (Merchant/Service Provider)Qualquer outro cenário, armazenamento/processamento do PANConjunto completo de requisitos

5) PCI DSS v4. 0: temas-chave

Customized Approach: permite controles alternativos com equivalência comprovada (plano, TRA, justificativa de teste).
Targeted Risk Analisis (TRE): Análise de risco pontual para requisitos «flexíveis» (frequência de processos, monitoramento).
Autenticação: MFA para acesso adminado e remoto; senhas/pasfrass fortes; bloqueios/temporizações.
Vulnerabilidades e patches: scans regulares (internos/externos), ASV trimestral, pentestais anuais e após mudanças significativas.
Criptografia: em trânsito (TLS 1. 2+) и at rest; gerenciamento de chaves (KMS/HSM), rotação, divisão de papéis.
Logs e monitoramento: logs centralizados, proteção contra alterações (WORM/assinatura), revisão diária de eventos de segurança.
Segmentação/faervais/WAF: regras formais, review, topologias documentadas.
SDLC/alterações: dave/teste/prod estão divididos, SAST/DAST/dependence scans, gerenciamento de segredos.
Incidentes: IRP formal, ensinamentos, papéis e contatos, interação com o PSP/banco equeiro.

6) Dados dos mapas: o que pode/não pode

CHD: PAN (+ . nome, prazo, código de serviço).
SAD (proibido de armazenar após autorização): CVV/CVC, trilhas magnéticas completas, blocos PIN.
Camuflagem: exibição do PAN com máscara (normalmente os primeiros 6 e os últimos 4).
Tocening/armazenamento: Se armazenar a criptografia PAN →, acesso por Need-to-Know, chaves separadas, registros rígidos.

7) Domínios de controle (folha de cheque prático)

1. Segmentação CDE - Subredes individuais, deny-by-default, controle egress.
2. Inventário de ativos - todos os sistemas na CDE e associados.
3. Hardning - configs seguros, desligamento padrão, padrões básicos.
4. Vulnerabilidades/patches - processos, SLA, confirmação de implantação.
5. Registro - Sincronização de tempo, logs centralizados, WORM/assinaturas.
6. Disponível - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 minutos.
7. Criptografia - TLS, KMS/HSM, rotação, papéis separados crypto-custodianos.
8. Desenvolvimento - SAST/DAST/DS/IaC, segredo scan, assinaturas pipeline.
9. Digitalização ASV - trimestral e após alterações, "Pass' estatais armazenados.
10. Os pentestais são diferentes. rede e , pelo menos todos os anos.
11. Plano IR - exercícios, war-room com PSP/Equeyer, timeline.
12. Treinamento - phishing, secure coding, PCI-awareness para papéis.
13. Documentos/procedimentos - política de armazenamento/remoção do PAN, registro de exportação.

8) Interação com PSP/Vendedores

Contratos: SLA de disponibilidade/segurança, DPIA/TPRM, direito de auditoria, avisos de incidente ≤ 72 h.
Integração: NRR/redirecionamento por TLS, webhooks assinados, mTLS/chaves em KMS, rotação.
Monitoramento trimestral: relatórios PSP (Atestation, Certificados), ASV/pentest-extras, alterações SDK.

9) Documentos de conformidade

ROC (Report on Compliance): relatório completo do QSA.
AOC (Attestation of Compliance): comprovante de conformidade (aplicativo ROC/SAQ).
SAQ: Tipo de autoestima selecionado (A, A-EP, D etc.).
Relatórios ASV: scan externo do provedor certificado.
Políticas/procedimentos: versões, proprietários, registros de alterações.
Provas: esquemas de rede, logs de WORM, resultados de testes, tíquetes.

10) Papéis e RACI

AtividadeProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & arquiteturaA/RRRCCCC
Segmentação/faervol/WAFCA/RRIICI
Toquenização/RedirectA/RRRCCCR
Vulnerabilidades/patchesIA/RRIICI
Logi/MonitoramentoIA/RRCICI
ASV/PentestesIA/RRIIRI
Documentos ROC/SAQ/AOCIA/RCIRRI
Incidentes PCICA/RRIRCC

11) Métricas (KPI/KRI)

ASV Pass Rate: 100% dos relatórios trimestrais são "pass'.
Patch SLA High/Critical: ≥ 95% dentro do prazo.
Pentest Findings Closure: ≥ 95% High fechado ≤ 30 dias.
MFA Coverage Almirantes: 100%.
Greg Integrity: 100% dos sistemas críticos com WORM/assinaturas.
Scope Reducção: O percentual de pagamentos por redirect/tokenização ≥ de 99%.
Invidents: Incidentes PCI com notificação no prazo de 100%.

12) Mapa de trânsito (8-12 semanas antes do SAQ/ROC)

Semanas 1-2: escolha do modelo de recebimento de pagamentos (NRR/Tocenização), mapeamento CDE, esquema de rede, plano de segmentação, escolha do SAQ/ROC.
Semanas 3-4: hardning, MFA, logs WORM, scans SDLC, chaves/KMS, política de armazenamento PAN (padrão não armazenar).
Semanas 5-6: ASV scan # 1, correções; pentest (web/rede/webhooks), ensino IR com PSP, finalização de documentação.
Semanas 7-8: SAQ preencher ou auditar QSA (entrevista de estágio, amostra), encerrar descobertas, preparar AOC/ROC.
Semanas 9-12 (opz.) : «Customized Approach» e TRA, otimização de segmentação, integração de dashboards KPI/KRI.

13) Folhas de cheque

Antes da recepção dos cartões

  • Caminho selecionado sem armazenamento PAN/SAD
  • Redirect/iframe PSP ou torneamento configurado
  • Segmentação CDE, deny-by-default, WAF
  • MFA/IGA/JIT/PAM para almirantes
  • Logs (WORM, assinaturas, NTP) e dashboards
  • O scan ASV foi ultrapassado e o pentest fechado
  • Plano IR e contatos PSP/banco

Para avaliação anual

  • Arquivos atualizados e lista de sistemas na CDE
  • 4 ASV trimestral ultrapassado, "pass' guardado
  • Penteste de 12 metros e após as alterações
  • Políticas/procedimentos são válidos, versões/proprietários
  • SAQ preenchido/recebido ROC, emitido AOC

14) Erros frequentes e como evitá-los

Recolher PAN em sua página sem a devida proteção → SAQ A-EP/D. Use HPP/iframe do PSP.
Os logs não estão protegidos contra alterações. Inclua o WORM/assinaturas e a visão diária.
Sem segmentação, «toda a rede na CDE». Isole severamente o circuito de pagamento.
Armazenamento CVV/SAD. Proibido após autorização.
ASV/Pentestes incompletos. Faça após as alterações e guarde os relatórios/remediações.

15) Integração com as outras seções wiki

Páginas associadas: Política de senha e MFA, RBAC/Least Privilege, Política de logs, Incidentes e Vazamentos, TPRM e SLA, ISO 27001/27701, SOC 2 - para mapping de controladores e conjunto único de evidence.

TL; DR

Sucesso PCI DSS v4. 0 = cota mínima (NRR/tocenização) + segmentação rígida CDE + MFA/logi WORM/criptografia/KMS + ASV trimestralmente, penteste todos os anos e após alterações + documentos SAQ/ROC/AOC prontos. Isso reduz os custos de auditoria, acelera a integração com o PSP e torna o circuito de pagamento provavelmente seguro.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.