GH GambleHub

PCI DSS: сатҳҳо ва мутобиқат

1) PCI DSS чист ва ба кӣ ниёз дорад

PCI DSS (Card Card Industry Data Security Standard) стандарти саноатӣ барои амнияти корти пардохт мебошад (Visa, Mastercard, Am-Ex, Discover, JCB). Барои IGaming, агар шумо:
  • қабули пардохтҳои кортӣ (мустақиман ё тавассути PSP/дарвоза),
  • маълумот дар бораи корт/корт/интиқол (PAN, истилоҳ, CVV) ё шаклҳои кӯтоҳ/рамзишудаи онҳо,
  • агар шумо метавонед ба амнияти ин кортҳо таъсир расонед, провайдери хидматрасон барои дигар тоҷирон мебошанд (хостинг, коркард, зидди қаллобӣ, оркестри пардохт ва ғайра).

Версия ва вақт: версияи ҷорӣ PCI DSS v4 мебошад. 0. Талабот v3. 2. 1 нафақа; ашёҳои "оянда" v4. 0 ҳоло амал мекунанд. Нав дар v4. 0: такмилёфтаи ВКХ, "Равиши фармоишӣ", таҳлили мақсадноки хавфи басомади тартиб, сегментатсия ва такмили рамзгузорӣ.

2) Сатҳи мувофиқат: тоҷирон ва провайдерҳои хидматрасон

2. 1 Тоҷирон (тоҷирон)

Сатҳ аз рӯи ҳаҷми солонаи амалиётҳои кортӣ (ҳама каналҳо) ва/ё ҳодисаҳои созиш муайян карда мешавад. Модели маъмулӣ (аз рӯи схемаҳои калонтарини пардохт):
  • Сатҳи 1:> 6 миллион амалиёт/сол ё осеб дидааст. Ҳамасола ROC (Ҳисобот дар бораи мувофиқат) аз QSA ё ISA дохилӣ ҳангоми оштӣ, + сканҳои семоҳаи ASV талаб мекунад.
  • Сатҳи 2: ~ 1-6 миллион/сол. Одатан - SAQ (худбаҳодиҳӣ) + ASV скан; баъзе схемаҳо/харидорон метавонанд ROC-ро талаб кунанд.
  • Сатҳи 3: ~ 20 к-1 миллион тиҷорати электронӣ/сол. Одатан - SAQ + ASV скан мекунад.
  • Сатҳи 4: Дар поёни ҳадди L3. SAQ; талабот метавонанд бо роҳи ба даст овардани бонк фарқ кунанд.
💡 Эзоҳ: ҳудудҳои дақиқ ва варақаҳои тасдиқкунӣ аз ҷониби брендҳои корт ва харидори шумо муқаррар карда мешаванд; сиёсати онҳоро санҷед.

2. 2 Провайдерҳои хидматрасон

Одатан 2 сатҳ; барои сатҳи 1 (нақши калон/нақши муҳим дар занҷир), ROC аз QSA барои сатҳи 2 - SAQ-D SP (баъзан - ROC бо дархости шарикон/схемаҳо) талаб карда мешавад. Дар IGaming, бисёр PSP/дарвозаҳо/шарикони мизбон SP Level 1 мебошанд.

3) SAQ vs ROC: Чӣ гуна бояд интихоб кард

ROC барои L1 метр ва L1 SP-ҳо ҳатмист. Дар дигар ҳолатҳо - яке аз SAQ:
  • SAQ A - танҳо майдонҳои равона/iframe/мизбон; коркард/интиқол/нигоҳдории кортҳо бо шумо вуҷуд надорад.
  • SAQ A-EP тиҷорати электронӣ мебошад, ки сайти шумо ба амнияти саҳифаи пардохт таъсир мерасонад (масалан, скриптҳои мизбон), аммо PAN дар муҳити провайдер ҷорӣ карда мешавад.
  • SAQ B/B-IP - терминалҳо/импринтерҳо бидуни нигаҳдории электронӣ; B-IP - терминалҳои пайвастшуда.
  • SAQ C-VT/C - терминалҳои виртуалӣ/муҳити хурди коркард, нигаҳдорӣ нест.
  • SAQ P2PE танҳо як ҳалли P2PE бо PCI тасдиқшуда мебошад.
  • SAQ D (Merchant/Provider Service) - варианти "васеъ" барои ҳама гуна коркард/интиқол/нигоҳдорӣ, ҳамгироии фармоишӣ, оркестрҳо ва ғайра.

Таҷриба барои IGaming: роҳи мақсаднок SAQ A/A-EP аз сабаби ҷараёнҳои бехатар аз PAN, токенизатсия ва майдонҳои мизбон мебошад. Агар шумо хидматҳои пардохтӣ/вальсҳои шахсии худро дошта бошед - одатан SAQ D ё ROC.

4) Ҷойгиркунӣ: Чӣ ба CDE дохил мешавад ва чӣ гуна онро танг кардан мумкин аст

CDE (Cardholder Data Environment) - системаҳое, ки дар онҳо маълумотҳои корт коркард/захира/интиқол дода мешаванд ва ҳамаи сегментҳои пайвастшуда/таъсирбахш.

Ихтисороти доира:
  • Майдонҳои мизбон/iframe/TSP - PAN-ро берун аз домени худ ворид кунед.
  • Токенизатсия ва аломатҳои шабака: Хидматҳои шумо на дар PAN, балки дар нишонаҳо кор мекунанд.
  • P2PE: рамзгузории ниҳоӣ бо ҳалли тасдиқшуда.
  • Тақсимоти шабака: ACL-ҳои сахт, ҷудокунии CDE аз муҳити атроф.
  • DLP ва ниқоби ҳатмӣ, манъи партовҳо бо PAN/CVV.

Дар v4. 0 чандирии усулҳои ноил шудан ба ҳадафҳо илова карда шуд, аммо далелҳои самаранокӣ ва таҳлили мақсадноки хатар ҳатмӣ мебошанд.

5) Талаботи PCI DSS v4 "12. "0 (маънои блокҳо)

1. Амният ва сегментатсияи шабака (деворҳо, ACL, ҷудокунии CDE).
2. Танзимоти бехатари мизбон/дастгоҳ (сахткунӣ, базелинҳо).
3. Ҳифзи маълумоти дорандагони корт (нигоҳдории PAN - танҳо дар ҳолати зарурӣ, криптографияи қавӣ).
4. Ҳифзи маълумот ҳангоми интиқол (TLS 1). 2 + ва муодил).
5. Антивирус/зидди зараровар ва назорати якпорчагӣ.
6. Рушд ва тағирдиҳии бехатар (SDLC, SAST/DAST, назорати китобхона).
7. Дастрасӣ дар ҳолати зарурӣ (ҳадди аққал имтиёз, RBAC).
8. Шиносоӣ ва аутентификатсия (ВКХ барои дастрасии маъмурӣ ва дурдаст, паролҳо аз ҷониби v4. 0).
9. Амнияти ҷисмонӣ (марказҳои маълумот, офисҳо, терминалҳо).
10. Воридшавӣ ва мониторинг (мутамарказонидани журналҳо, тағйирнопазирӣ, огоҳиҳо).
11. Санҷиши бехатарӣ (ASV ҳар семоҳа скан, пентестҳо ҳар сол ва пас аз тағирот, санҷиши сегментатсия).
12. Сиёсат ва идоракунии хавфҳо (расмиёт, омӯзиш, вокуниш ба ҳодисаҳо, арзёбии хатарҳо, ҳуҷҷатҳои "Муносибати фармоишӣ").

6) Фаъолиятҳо ва басомади ҳатмӣ

ASV скан (беруна) - семоҳа ва пас аз тағироти назаррас.
Осебпазирӣ/ҷобаҷогузорӣ - давраҳои муқаррарӣ (басомадҳо аз ҷониби TRA асоснок карда мешаванд - таҳлили мақсадноки хатар).
Санҷишҳои воридшавӣ (дохилӣ/беруна) - ҳамасола ва пас аз тағироти назаррас; санҷиши сегментатсия ҳатмист.
Гузоришҳо ва мониторинг - пайваста, бо нигоҳдорӣ ва муҳофизат аз тағирот.
Таълими кадрҳо - ҳангоми ба кор қабул кардан ва баъдан мунтазам.
Вазорати корҳои хориҷӣ - барои ҳама маъмурон ва дастрасии дурдаст ба CDE.
Инвентаризатсияи системаҳо/ҷараёнҳои маълумот - доимо нав кунед.

7) Матритсаи интихоби SAQ (кӯтоҳ)

Танҳо iframe/равона кардан, бе PAN шумо → SAQ A.
Тиҷорати электронӣ, сайти шумо ба саҳифаи пардохт → SAQ A-EP таъсир мерасонад.
Терминалҳо/импринтерҳо → SAQ B/B-IP.
Терминали виртуалӣ → SAQ C-VT.
Шабакаи хурди "корт" бидуни нигаҳдорӣ → SAQ C.
P2PE ҳалли → SAQ P2PE.
Дигар/мураккаб/нигоҳдорӣ/коркард → SAQ D (ё ROC).

8) Артефактҳо ва далелҳо барои аудит

Тайёр ва нигоҳдорӣ:
  • Диаграммаҳои шабакавӣ ва ҷараёни маълумот, бақайдгирии дороиҳо, бақайдгирии фурӯшандагон, бақайдгирии баҳисобгирӣ/дастрасӣ.
  • Сиёсатҳо/тартибот: рушди бехатар, идоракунии тағирот, сабти ном, ҳодисаҳо, осебпазирӣ, калидҳо/крипто, дастрасии дурдаст, нусхабардорӣ.
  • Ҳисоботҳо: ASV, пентестҳо (аз ҷумла сегментатсия), сканҳои осебпазирӣ, натиҷаҳои ислоҳ.
  • Гузоришҳо/огоҳиҳо: системаи мутамарказ, тағйирнопазирӣ, таҳлили ҳодисаҳо.
  • Идоракунии крипто: Тартиби KMS/HSM, гардиш, инвентаризатсияи калидҳо/сертификатҳо.
  • Далелҳои "Равиши фармоишӣ" (агар татбиқ карда шаванд): ҳадафҳои назорат, усул, ченакҳои иҷро, TRA.
  • Контури масъулият аз ҷониби шахсони сеюм: Шарикони AOC (PSP, хостинг, CDN, зидди қаллобӣ), матритсаи муштараки масъулият.

9) Лоиҳаи мувофиқат (зина ба зина)

1. Нусхабардорӣ ва таҳлили Gap-муайян кардани CDE, сегментҳои ҳамсоя, танаффусҳои ҷорӣ.
2. Ғалабаҳои зуд: ҷараёни бехатар аз PAN (iframe/майдонҳои мизбон), токенизатсия, манъ кардани PAN дар гузоришҳо, осебпазирии "беруна" -и крит.
3. Сегментатсия ва шабака: CDE, MTLS, firewall-ACL, дастрасии камтарин имтиёз, ВКХ.
4. Мушоҳида: буридани мутамарказ, нигоҳдорӣ/занҷири нигоҳдорӣ, огоҳиҳо.
5. Осебпазирӣ ва идоракунии код: SAST/DAST, часбҳо, SBOM, назорати вобастагӣ.
6. Санҷишҳо: сканҳои ASV, санҷишҳои воридшавии дохилӣ/беруна, санҷиши сегментатсия.
7. Ҳуҷҷатҳо ва омӯзиш: тартибот, китобҳои IR-дафтарҳо, тренингҳо, сабтҳои омӯзишӣ.
8. Интихоби шакли сертификатсия: SAQ (намуд) ё ROC; розӣ шудан бо харидор/брендҳо.
9. Давраи солона: дастгирӣ, далелҳо, баррасии хатар/басомад, такрорӣ.

10) Ҳамгироӣ бо меъмории IGaming

Оркестри пардохт танҳо бо нишонаҳо кор мекунад; PAN дида наметавонад.
Multi-PSP: санҷишҳои тиббӣ, масирдиҳии интеллектуалӣ, idempotency, retrai; AOC аз ҳар PSP.
Автобуси ба рӯйдод нигаронидашуда/DWH: не PAN/CVV; ниқоб кардани 4 рақами охирин; Дарвозаҳои DLP дар CI/CD.
3DS/SCA санҷишҳо: танҳо артефактҳои заруриро (ID транзаксия) бидуни маълумоти ҳассос нигоҳ доред.

11) Хатогиҳои зуд-зуд

Сабти PAN/CVV ва ниқобҳои беэътибор.
Масири PAN "муваққатӣ" тавассути API/автобусҳои дохилӣ.
Набудани санҷиши сегментатсияи pentest.
Басомади беасоси расмиёт (нест TRA by v4. 0).

Вобастагӣ аз як PSP бидуни Ao

Сегментҳои "таъсирбахш" (админ-секунҷа, мониторинг, нусхабардорӣ).

12) Рӯйхати санҷиши саривақтӣ (IGaming)

  • Ба майдонҳои мизбон/iframe равед; вуруди PAN-ро аз шаклҳои худ хориҷ кунед.
  • Токенизатсия/нишонаҳои шабакаро фаъол созед; истисно PAN аз рӯйдодҳо/гузоришҳо.
  • Иҷрои нусхабардорӣ ва ҷудокунии сегменти CDE (MFA, RBAC, MTLS).
  • Гузоришҳо ва огоҳиҳои мутамарказро насб кунед (тағйирнопазирӣ, нигоҳдорӣ).
  • Сканҳои ASV-ро иҷро кунед, интиқодӣ/баландро бартараф кунед.
  • Санҷиши воридшавӣ (дохилӣ/беруна) + сегментатсия.
  • Сиёсатҳо/тартибот ва далелҳои амалисозиро таҳия кунед.
  • Шакли тахассусиро бо харидор розӣ кунед (намуди SAQ/ROC).
  • Ҳамаи фурӯшандагони Критро AOC гиред ва нигоҳ доред.
  • Назорати PCI-ро ба сикли озодкунӣ ворид кунед (SDLC, сахтгирии IA, DLP дар CI/CD).

13) FAQ кӯтоҳ

Оё ба ман QSA лозим аст? Барои ROC, бале. Худтаъминкунӣ аксар вақт барои SAQ кифоя аст, аммо бисёре аз харидорон/брендҳо метавонанд шарики QSA/ASV-ро талаб кунанд.
Агар мо PAN-ро нигоҳ надорем? Агар шумо кортҳоро қабул кунед, ба ҳар ҳол зери PCI DSS меафтад. Мақсад барои ноил шудан ба SAQ A/A-EP.
Оё 3DS PCI-ро ҳал мекунад? Не, ин тавр нест. 3DS - дар бораи аутентификатсия; PCI - дар бораи ҳифзи маълумот.
Оё TLS кофист? Не, ин тавр нест. Ҳама талаботи дахлдори v4 лозиманд. 0, аз ҷумла равандҳо ва далелҳо.

14) Хулоса

Барои IGaming, стратегияи оптималӣ ин кам кардани миқёс (PAN-бехатар, токенизатсия, майдонҳои мизбон, то ҳадди имкон), сегменти сахт CDE, автоматикунонии санҷишҳои воридшавӣ/осебпазирӣ/воридшавӣ, ҷамъоварии маҷмӯи пурраи артефактҳо ва интихоби дуруст шакли тасдиқ (SAQ ё ROC) дар сатҳи шумо. Ин хавфро коҳиш медиҳад, ҳамгироиро бо PSP суръат мебахшад ва табдили устувор ва монетизатсияро ҳангоми қонеъ кардани талаботи бренди корт нигоҳ медорад.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.