GH GambleHub

Controlul și certificarea PCI DSS

1) Ce este PCI DSS și de ce contează pentru iGaming

PCI DSS este standardul de securitate pentru industria cardurilor de plată (Visa/Mastercard/Amex/Discover/JCB). Pentru operatorul iGaming, acesta definește măsuri tehnice și organizatorice pentru a proteja datele deținătorului cardului (CHD), inclusiv datele de autentificare PAN și sensibile (SAD). Discrepanța amenință cu amenzi, creșterea tarifelor interbancare, rechemarea contului comerciantului și daune reputaționale.

2) Roluri de certificare, niveluri și tip

Roluri

Comerciant: Acceptă cărți de la jucători.
Furnizor de servicii: procese/gazde/magazine CHD pentru comercianți (inclusiv găzduire, platformă de plată, tokenizare).

Niveluri (nivel ridicat)

Nivelurile de comerciant 1-4: prin tranzacții anuale; Nivelul 1 necesită de obicei o ROC (Raport privind conformitatea) de la QSA.
Nivelul 1-2 al furnizorului de servicii: Nivelul 1 este o ROC obligatorie.

Formate de evaluare

ROC + AOC: raportul auditorului complet (QSA/ISA).
SAQ: auto-evaluare de către unul dintre tipurile (a se vedea mai jos), plus o scanare externă ASV.

3) Domeniul de aplicare și CDE: Cum să îngustați și să gestionați

CDE (Cardholder Data Environment) - orice sisteme/rețele/procese care stochează, procesează sau transmit CHD/SAD.

Strategii de minimizare

1. Pagina de plată găzduită (HPP): formularul PSP → SAQ A.
2. Direct Post/JS + pagina dvs. (A-EP): pagina dvs. afectează siguranța colectării → SAQ A-EP (mai larg).
3. Tokenizare: Schimb PAN pentru token PSP/token-walt; PAN nu este stocat la dumneavoastră.
4. Segmentarea rețelei: izolați CDE (VLAN/firewall/ACL), minimizați traficul.
5. Politica „fără stocare”: nu stocați PAN/SAD; excepțiile sunt strict justificate.

💡 Regula de aur: Fiecare octet de PAN este un plus pentru domeniul de audit.

4) tipuri SAQ (rezumat)

Tipul SAQCine este potrivitPe scurt despre regiune
ANumai redirecționați/iframe PSP, nu aveți CHDCerințe minime (fără procesarea serverului PAN)
A-PEPagina dvs. web afectează colecția CHD (scripturi, postări către PSP)Controale web îmbunătățite
B/B-IPStație Terminale/ImprimanteRare pentru iGaming
CAplicații de plată independente, rețea limitatăCazuri înguste
C-VTIntrare manuală la terminalul virtualSuport script-uri (nedorite)
P2PESoluție certificată PCI P2PEdacă este cazul
D (comerciant/furnizor de servicii)Orice alte scenarii, stocare/procesare PANSet complet de cerințe

5) PCI DSS v4. 0: subiecte cheie

Abordare personalizată: permite controale alternative sub echivalență dovedită (plan, TRA, justificare de testare).
Analiza specifică a riscurilor (TRA): analiza punctuală a riscurilor pentru cerințele „flexibile” (frecvența procesului, monitorizare).
Autentificare: MFA pentru admin și acces la distanță; parole/parole puternice; încuietori/intervale de timp.
Vulnerabilități și patch-uri: scanări regulate (interne/externe), ASV trimestrial, pentests anual și după modificări semnificative.
Criptare: în tranzit (TLS 1. 2 +) и în repaus; key management (KMS/HSM), rotații, separarea rolului.
Jurnale și monitorizare: jurnale centralizate, protecție împotriva modificărilor (WORM/semnătură), revizuirea zilnică a evenimentelor de securitate.
Segmentare/firewall/WAF: reguli formale, revizuire, topologii documentate.
SDLC/modificări: dev/test/prod separat, SAST/DAST/scanări de dependență, management secret.
Incidente: IRP formal, exerciții, roluri și lista de contacte, interacțiunea cu PSP/banca achizitoare.

6) Date de card: ce poate/nu poate

CHD: PAN (+ opţional. nume, termen, cod de serviciu).
SAD (interzis a fi depozitat după autorizare): CVV/CVC, piste magnetice complete, blocuri PIN.
Mascare: afișaj PAN cu mască (de obicei primele 6 și ultimele 4).
Tokenizare/stocare: dacă stocați criptarea → PAN, accesul Need-to-Know, cheile separat, jurnalele hard.

7) Domenii de control (lista de verificare practică)

1. Segmentarea CDE - subrețele separate, negarea implicită, controlul ieșirii.
2. Inventarul activelor - toate sistemele din CDE și conexe.
3. Hardning - configurații sigure, închidere implicită, standarde de bază.
4. Vulnerabilități/patch-uri - procese, SLA-uri, confirmări de implementare.
5. Logare - sincronizare timp, jurnale centralizate, WORM/semnături.
6. Acces - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 minute.
7. Criptografie - TLS, KMS/HSM, rotație, roluri separate cripto-custozi.
8. Dezvoltare - SAST/DAST/DS/IaC, scanări secrete, semnături de conducte.
9. Scanarea ASV - trimestrial și după modificări, „Trece” statusuri pentru a stoca.
10. Pentests - rețea externă/internă și †., cel puțin anual.
11. Planul IR - exerciții, cameră de război cu PSP/achizitor, termene.
12. Instruire - phishing, codificare securizată, conștientizare PCI pentru roluri.
13. Documente/Proceduri - Politica PAN de păstrare/ștergere, Jurnal de export.

8) Interacțiunea cu PSP/furnizori

Contracte: Disponibilitate/Securitate SLA, DPIA/TPRM, Drept de audit, Notificări incidente ≤ 72 h.
Integrare tehnică: HP/redirecționare pentru TLS, cărți web semnate, mTLS/chei în KMS, rotații.
Monitorizare trimestrială: rapoarte PSP (atestate, certificate), extrase ASV/pentest, modificări SDK.

9) Documente de conformitate

ROC (Raport privind conformitatea): raport complet QSA.
AOC (Atestarea conformității) - confirmarea conformității (atașarea la ROC/SAQ).
SAQ: tipul selectat de autoevaluare (A, A-EP, D etc.).
Rapoarte ASV: scanare externă de către un furnizor certificat.
Politici/proceduri: versiuni, proprietari, jurnale de schimbare.
Dovezi: diagrame de rețea, jurnale WORM, rezultate de testare, bilete.

10) Roluri și RACI

ActivitateProdus/PlățiSecuritate/CISOSRE/ITDate/BILegalitate/ConformitateQSA/ISAPSP
Domeniu de aplicare/CDE și arhitecturăA/RRRCCCC
Segmentare/Firewall/WAFCA/RRIICI
Tokenizare/RedirecționareA/RRRCCCR
Vulnerabilități/Patch-uriIA/RRIICI
Busteni/MonitorizareIA/RRCICI
ASV/PentestsIA/RRIIRI
Documente ROC/SAQ/AOCIA/RCIRRI
Incidente PCICA/RRIRCC

11) Valori (KPI/KRI)

ASV Pass Rate: 100% rapoarte trimestriale - "pass'.
Patch SLA ridicat/critic: ≥ 95% la timp.
Pentest Constatările închiderea: ≥ 95% Ridicat închis ≤ 30 de zile.
Acoperirea MAE a administratorilor: 100%.
Integritate jurnal: 100% sisteme critice cu WORM/semnături.
Reducerea domeniului de aplicare: ponderea plăților prin redirecționare/tokenizare ≥ de 99%.
Incidente: incidente PCI cu un termen limită de 100%.

12) Foaie de parcurs (8-12 săptămâni înainte de SAQ/ROC)

Săptămânile 1-2: Selecția modelului de plată (HPP/tokenization), cartografierea CDE, aspectul rețelei, planul de segmentare, selecția SAQ/ROC.
Săptămânile 3-4: întărire, MFA, jurnalele WORM, scanări SDLC, chei/KMS, politica de stocare PAN (implicit - nu se stochează).
Săptămânile 5-6: scanarea ASV # 1, corecții; pentest (web/network/webhooks), IR-learning cu PSP, finalizarea documentației.
Săptămânile 7-8: finalizarea SAQ sau auditul QSA (interviuri de etapă, eșantioane), închiderea descoperirilor, pregătirea AOC/ROC.
Săptămânile 9-12 (Op.): „Abordare personalizată” și TRA, optimizare segmentare, integrare tablou de bord KPI/KRI.

13) Liste de verificare

Înainte de începerea acceptării cardului

  • Calea de stocare non-PAN/SAD selectată
  • Redirecționare/iframe PSP sau tokenizare configurată
  • Segmentarea CDE, negarea implicită, WAF
  • MFA/IGA/JIT/PAM pentru administratori
  • Jurnale (WORM, semnături, NTP) și tablouri de bord
  • ASV scanare trecut, pentest închis
  • IR plan și PSP/contacte bancare

Pentru certificare anuală

  • Scheme CDE actualizate și lista de sistem
  • Trecut 4 ASV-uri trimestriale, "pass' salvat
  • Pentest ≤ 12 luni și după modificări
  • Politici/proceduri actualizate, versiuni/proprietari
  • Completat de SAQ/primit de ROC, emis de AOC

14) Greșeli frecvente și cum să le evitați

Colectați PAN pe pagina dvs. fără o protecție adecvată → SAQ A-EP/D. Utilizați HPP/iframe din PSP.
Jurnalele fără protecție împotriva modificărilor. Includeți WORM/semnături și prezentare generală zilnică.
Fără segmentare - "întreaga rețea în CDE. "Izolați rigid bucla de plată.
Stocare CVV/SAD. Interzis după autorizare.
ASV/pentesters incomplete. Faceți după modificări și păstrați rapoarte/remedieri.

15) Integrarea cu restul secțiunilor wiki

Pagini similare: Politica de parole și MFA, RBAC/Cel mai mic privilegiu, Politica de jurnal, Incidente și scurgeri de informații, TPRM și SLA, ISO 27001/27701, SOC 2 - pentru maparea controlului și un singur set de dovezi.

TL; DR

PCI DSS v4 succes. 0 = domeniul minim de aplicare (HPP/tokenization) + segmentare greu CDE + MFA/WORM busteni/criptare/KMS + ASV trimestrial, pentest anual și după modificări + documente finite SAQ/ROC/AOC. Acest lucru reduce costurile de audit, accelerează integrările PSP și face ca bucla de plată să fie doveditor de sigură.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.