PCI DSS: derejeler we laýyklyk

1) PCI DSS näme we kime gerek

• kartoçkalar boýunça tölegleri kabul edýärsiňiz (göni ýa-da PSP/şlýuz arkaly),
• kartoçka maglumatlaryny (PAN, möhlet, CVV) ýa-da olaryň gysgaldylan/şifrlenen görnüşlerini gaýtadan işlemek/saklamak/geçirmek,
• kartoçkalaryň howpsuzlygyna täsir edip bilýän bolsaňyz, beýleki söwdagärler üçin (hosting, prosessing, anti-frod, töleg orkestri we ş.m.) hyzmatlaryň üpjün edijisi bolýarsyňyz.

Wersiýasy we möhletleri: häzirki wersiýasy - PCI DSS v4. 0. Talaplar v3. 2. 1 ulanyşdan çykaryldy; "future-dated" v4. 0 indi hereket edýär. v4. 0: güýçlendirilen MFA, "Customized Approach", proseduralaryň ýygylygynyň maksatly töwekgelçilik seljermesi, segmentasiýa we şifrlemek boýunça takyklamalar.

2) Laýyklyk derejeleri: söwdagärler we hyzmatlary üpjün edijiler

2. 1 Söwdagärler

• Level 1:> 6 million geleşik/ýyl ýa-da eglişik boldy. Ylalaşylanda QSA-dan ýa-da içerki ISA-dan ýyllyk ROC (Hasabat on Compliance) talap edilýär, + çärýekleýin ASV-skanlar.
• Level 2: ~ 1-6 million/ýyl. Adatça - SAQ (öz-özüňe baha bermek) + ASV skanerleri; käbir shemalar/satyn alyjylar ROC talap edip bilerler.
• Level 3: ~ 20k-1 million elektron söwda/ýyl. Adatça - SAQ + ASV skanerleri.
• Level 4: L3 bosagasyndan aşakda. SAQ; talaplar ekwaýer bank boýunça üýtgäp biler.

2. 2 Hyzmat üpjün edijiler (Service Providers)

Adatça 2 dereje; Level 1 (zynjyrda uly/möhüm rol) üçin QSA-dan ROC, Level 2 üçin SAQ-D SP (käwagt - kontragentleriň/shemalaryň haýyşy boýunça ROC) hökmanydyr. iGaming-de köp PSP/şlýuzlar/hosting hyzmatdaşlary - SP Level 1.

3) SAQ vs ROC: nädip saýlamaly

• SAQ A - diňe redirekt/iframe/hosted fields; Kartlaryňyzy gaýtadan işlemek/geçirmek/saklamak ýok.
• SAQ A-EP, web sahypaňyzyň töleg sahypasynyň howpsuzlygyna täsir edýän (mysal üçin, script hostit) elektron söwda, ýöne PAN üpjün edijiniň gurşawyna girizilýär.
• SAQ B/B-IP - elektron saklanmazdan terminallar/imprinterler; B-IP - birikdirilen terminallar.
• SAQ C-VT/C - wirtual terminallar/kiçi bejeriş gurşawy, saklanmazdan.
• SAQ P2PE - diňe PCI sertifikatly P2PE çözgüdi.
• SAQ D (Merchant/Service Provider) - islendik gaýtadan işlenilende/geçirilende/saklanylanda, kastom integrasiýalarynda, orkestratorlarda we ş.m. "giň" wariant.

iGaming üçin tejribe: maksat ýoly - PAN-safe akymlary, tokenizasiýa we hosted meýdanlary arkaly SAQ A/A-EP. Öz töleg hyzmatlaryňyz/waltyňyz bar bolsa - adatça SAQ D ýa-da ROC.

4) Skoping: CDE-e näme girýär we ony nädip daraltmaly

CDE (Cardholder Data Environment) - kartoçka maglumatlaryny we ähli birikdirilen/täsirli segmentleri gaýtadan işleýän/saklaýan/geçirýän ulgamlar.

• Hosted fields/iframe/TSP: Domen daşyndaky PAN girişi.
• Tokenizasiýa we network tokens: hyzmatlaryňyz PAN däl-de, tokenler bilen işleýär.
• P2PE: sertifikatly çözgüt bilen "ahyrdan soňa" şifrlemek.
• Tor segmentasiýasy: gaty ACL, CDE-ni beýleki gurşawdan izolirlemek.
• Hökmany DLP we ýazgylary gizlemek, PAN/CVV bilen damplary gadagan etmek.

V 4. 0 maksatlara ýetmegiň usullarynyň çeýeligi goşuldy, ýöne netijeliligiň subutnamasy we nyşana alnan töwekgelçilik-seljermesi hökmanydyr.

5) "12 talap" PCI DSS v4. 0 (semantik bloklar)

1. Tor goragy we segmentasiýa (firewall, ACL, CDE izolýasiýasy).
2. Host/enjamlaryň ygtybarly konfigurasiýasy (hardning, esasy çyzyklar).
3. Kart eýeleriniň maglumatlaryny goramak (PAN saklamak - diňe zerur bolanda, güýçli kriptografiýa).
4. Geçirilende maglumatlary goramak (TLS 1. 2 + we ekwiwalentler).
5. Antivirus/anti-malware we bitewilige gözegçilik.
6. Howpsuz ösüş we üýtgetmek (SDLC, SAST/DAST, kitaphanalara gözegçilik).
7. Zerurlyk boýunça giriş (least privilege, RBAC).
8. Şahsylaşdyrmak we tassyklamak (administratiw we uzakdan giriş üçin MFA, v4 parollar. 0).
9. Fiziki howpsuzlyk (maglumat merkezleri, ofisler, terminallar).
10. Logirleme we gözegçilik (bloglaryň merkezleşdirilmegi, üýtgemezlik, alertler).
11. Howpsuzlyk synagy (ASV-skanerler çärýekde, pentestalar her ýyl we üýtgeşmelerden soň, segmentasiýa synagy).
12. Syýasatlary we töwekgelçilikleri dolandyrmak (amallar, okuw, waka-respons, töwekgelçilik-bahalandyrmalar, "Customized Approach" resminamalary).

6) Hökmany işjeňlik we ýygylyk

ASV-skanlar (daşarky) - çärýekde we möhüm üýtgeşmelerden soň.
Gowşaklyklar/patchingler - yzygiderli aýlawlar (ýygylyklar TRA - targeted risk analysis tarapyndan esaslandyrylýar).
Pentestalar (içerki/daşarky) - her ýyl we düýpli üýtgeşmelerden soň; segmentasiýa barlagy hökmanydyr.
Magazinesurnallar we gözegçilik - üznüksiz, retensiýa we modifikasiýalardan goramak bilen.
Işgärleri işe alanda we mundan beýläk yzygiderli taýýarlamak.
AHM - CDE-e ähli administratiw we uzakdan girmek üçin.
Ulgamlaryň/maglumat akymlarynyň inwentary - yzygiderli täzelemek.

7) Saýlama SAQ-matrisa (gysgaça)

Diňe iframe/redirekt, PAN-syz → SAQ A.
E-söwda, sahypaňyz töleg sahypasyna täsir edýär → SAQ A-EP.
Terminallar/imprinterler → SAQ B/B-IP.
Wirtual terminal → SAQ C-VT.
Saklamazdan kiçi "kartoçka" ulgamy → SAQ C.
P2PE çözgüdi → SAQ P2PE.
Başga/çylşyrymly/saklamak/gaýtadan işlemek → SAQ D (ýa-da ROC).

8) Audit üçin artefaktlar we subutnamalar

• Toruň we maglumat akymlarynyň diagrammalary, aktiwleriň sanawy, üpjün edijileriň sanawy, hasaplaryň/girişleriň sanawy.
• Syýasatlar/amallar: howpsuz ösüş, üýtgeşmeleri dolandyrmak, logistika, hadysalar, gowşaklyklar, açarlar/kripto, uzakdan giriş, ätiýaçlyk nusgalary.
• Hasabatlar: ASV, pentestler (segmentasiýa goşmak bilen), gowşaklyk skanerleri, düzedişleriň netijeleri.
• Žurnallar/alertler: merkezleşdirilen ulgam, üýtgemezlik, hadysalaryň seljermesi.
• Kripto-dolandyryş: KMS/HSM amallary, aýlawlar, açarlar/şahadatnamalar.
• "Customized Approach" (ulanylan bolsa) subutnamalary: gözegçilik maksatlary, usul, netijelilik metrikleri, TRA.
• Üçünji taraplaryň jogapkärçilik konturlary: AoC hyzmatdaşlary (PSP, hosting, CDN, anti-frod), umumy jogapkärçilik matrisi.

9) Laýyklyga ýetmegiň taslamasy (ädimme-ädim)

1. Skoping we GAP-analiz: CDE, goňşy segmentleri, häzirki boşluklary kesgitlemek.
2. Çalt ýeňişler: PAN-safe akymy (iframe/hosted fields), tokenizasiýa, girelgede PAN gadaganlygy, "daşarky" krit gowşaklyklaryny ýapmak.
3. Segmentasiýa we tor: CDE, mTLS, firewall-ACL, least-privilege, MFA arkaly elýeterliligi izolirlemek.
4. Syn edilmegi: merkezleşdirilen logirleme, retensiýa/howpsuzlyk zynjyry, alertler.
5. Gowşaklygy we kody dolandyrmak: SAST/DAST, patches, SBOM, endiklere gözegçilik.
6. Synaglar: ASV-skanlar, içerki/daşarky pentestler, segmentasiýa barlagy.
7. Resminamalar we okuw: amallar, IR-pleýbuklar, okuwlar, okuw ýazgylary.
8. Attestasiýa görnüşini saýlamak: SAQ (görnüş) ýa-da ROC; satyn alyjy/markalar bilen ylalaşmak.
9. Her ýylky sikl: töwekgelçilikleri/ýygylyklary goldamak, subut etmek, täzeden gözden geçirmek, geçmek.

10) iGaming arhitekturasy bilen integrasiýa

Töleg orkestratory diňe bellikler bilen işleýär; PAN görmeýär.
Multi-PSP: health-checks, smart-routing, idempotency, ретраи; Her PSP-den AoC.
Event-driven tekeri/DWH: PAN/CVV ýok; soňky 4 sany gizlemek; CI/CD DLP geýtleri.
3DS/SCA çekleri: diňe zerur artefaktlary (amallaryň kesgitleýjilerini) duýgur maglumatlarsyz saklamak.

11) Ýygy-ýygydan ýalňyşlyklar

PAN/CVV we galyp däl maskalary ýazmak.
Içerki API/tekerler arkaly "wagtlaýyn" PAN goýmak.
Pentestada segmentasiýa synagynyň ýoklugy.
Amallaryň esassyz ýygylygy (v4 boýunça TRA ýok. 0).
AoC-siz we fallback-siz bir PSP-e garaşlylyk.
Hasaba alynmadyk "täsirli" segmentler (admin-jump-hosts, gözegçilik, bellikler).

12) Çalt başlamak üçin çek sanawy (iGaming)

• hosted fields/iframe geçiň; PAN girişini görnüşleriňizden aýyryň.
• Tokenizasiýany/Tor tokenlerini açyň; PAN-lary wakalardan/ýazgylardan aýyrmak.
• CDE skopingini we segmentiň izolýasiýasyny (MFA, RBAC, mTLS) geçiriň.
• Merkezleşdirilen loglary we aladalary sazla (üýtgemezlik, retensiýa).
• ASV skanerlerini başla, möhüm/ýokary skanerleri ýok et.
• Pentestalary geçirmek (içerki/daşarky) + segmentasiýa synagy.
• Ýerine ýetiriş syýasatlaryny/amallaryny we subutnamalaryny taýýarlamak.
• Şahadatnamanyň görnüşini ekwaýer (SAQ görnüşi/ROC) bilen utgaşdyrmak.
• Ähli krit üpjün edijileriň AoC-lerini alyň we saklaň.
• PCI gözegçiliklerini goýberiş aýlawyna (SDLC, IaC-hardning, CI/CD-de DLP) goşuň.

13) FAQ gysga

QSA gerekmi? ROC üçin - hawa. SAQ üçin köplenç öz-özüni tassyklamak ýeterlikdir, ýöne köp ekweýerler/markalar QSA/ASV hyzmatdaşyny talap edip bilerler.
PAN saklamasak? Kartlary kabul etseňiz, PCI DSS-iň aşagyna düşýärsiňiz. SAQ A/A-EP-e ýetmäge synanyşyň.
3DS PCI çözýärmi? Ýok. 3DS - tassyklamak barada; PCI - maglumatlary goramak barada.
TLS ýeterlik? Ýok. Ähli degişli talaplar v4 zerur. 0, şol sanda prosesler we subutnamalar.

14) Gysgaça mazmuny

iGaming üçin iň amatly strategiýa, satyn almagy azaltmak (PAN-safe, tokenizasiýa, hosted fields, mümkin boldugyça P2PE), CDE-ni gaty segmentlemek, logirlemegi/gowşaklygy/pentestleri awtomatlaşdyrmak, artefaktlaryň doly bukjasyny ýygnamak we dogry tassyklama görnüşini (SAQ ýa-da ROC) saýlamakdyr. Bu töwekgelçiligi peseldýär, PSP bilen integrasiýany çaltlaşdyrýar we kart markalarynyň talaplaryna laýyklykda durnukly öwrülişigi we monetizasiýany goldaýar.