GH GambleHub

PCI DSS Kontrol ve Sertifikasyon

1) PCI DSS'nin ne olduğu ve iGaming için neden önemli olduğu

PCI DSS, ödeme kartı endüstrisi için güvenlik standardıdır (Visa/Mastercard/Amex/Discover/JCB). IGaming operatörü için, PAN ve hassas kimlik doğrulama verileri (SAD) dahil olmak üzere kart sahibi verilerini (CHD) korumak için teknik ve organizasyonel önlemleri tanımlar. Tutarsızlık, para cezaları, bankalar arası tarifelerin artırılması, tüccar hesabının geri çağrılması ve itibar zararı ile tehdit ediyor.

2) Sertifikasyon rolleri, seviyeleri ve türü

Roller

Merchant: Oyuncuların kartlarını kabul eder.
Hizmet Sağlayıcı: tüccarlar için CHD'yi işler/barındırır/depolar (barındırma, ödeme platformu, tokenization dahil).

Seviyeler (yüksek seviye)

Tüccar seviyeleri 1-4: yıllık işlemlerle; Seviye 1 genellikle QSA'dan bir ROC (Uyum Raporu) gerektirir.
Servis sağlayıcı seviyeleri 1-2: Seviye 1 zorunlu bir ROC'dir.

Değerlendirme formatları

ROC + AOC: tam denetçi raporu (QSA/ISA).
SAQ: Türlerden birine göre öz değerlendirme (aşağıya bakınız), ayrıca harici bir ASV taraması.

3) Kapsam ve CDE: Nasıl Daraltılır ve Yönetilir

CDE (Kart Sahibi Veri Ortamı) - CHD/SAD'yi depolayan, işleyen veya ileten tüm sistemler/ağlar/süreçler.

Minimizasyon stratejileri

1. Barındırılan Ödeme Sayfası (HPP): PSP - SAQ A formu.
2. Direct Post/JS + your page (A-EP): Sayfanız SAQ A-EP toplamanın güvenliğini etkiler.
3. Tokenization: PSP token/token-walt için PAN değişimi; PAN sizinle birlikte depolanmaz.
4. Ağ segmentasyonu: CDE'yi izole edin (VLAN/güvenlik duvarları/ACL), trafiği en aza indirin.
5. "Depolama yok" politikası: PAN/SAD saklamayın; İstisnalar kesinlikle haklı.

💡 Altın kural: PAN'ın her baytı denetim alanına bir artıdır.

4) SAQ türleri (özetlenmiştir)

SAQ türüKimler uygunBölge hakkında kısaca
ASadece yönlendirme/iframe PSP, hiçbir CHD varMinimum gereksinimler (PAN sunucu işlemesi yok)
A-EPWeb sayfanız CHD koleksiyonunu etkiler (komut dosyaları, PSP'ye gönderilir)Gelişmiş web denetimleri
B/B-IPİstasyon Terminalleri/ImprintersIGaming için nadir
CBağımsız ödeme uygulamaları, sınırlı ağDar vakalar
C-VTSanal Terminale Manuel GirişDestek komut dosyaları (istenmeyen)
P2PEPCI P2PE Sertifikalı Çözümmevcut ise
D (Satıcı/Hizmet Sağlayıcı)Diğer senaryolar, PAN depolama/işlemeKomple gereksinim seti

5) PCI DSS v4. 0: önemli konular

Özelleştirilmiş Yaklaşım: Kanıtlanmış eşdeğerlik altında alternatif kontrollere izin verir (plan, TRA, test gerekçesi).
Hedeflenen Risk Analizi (TRA): "Esnek" gereksinimler için nokta risk analizi (süreç sıklığı, izleme).
Kimlik doğrulama: Yönetici ve uzaktan erişim için MFA; güçlü şifreler/parolalar; kilitler/zaman aşımları.
Güvenlik açıkları ve yamalar: Düzenli taramalar (iç/dış), üç aylık ASV, her yıl ve önemli değişikliklerden sonra pentestler.
Şifreleme: aktarım halinde (TLS 1. 2 +) Dinlenirken и; Anahtar yönetimi (KMS/HSM), rotasyonlar, rol ayrımı.
Günlükler ve izleme: merkezi günlükler, değişikliklere karşı koruma (WORM/imza), güvenlik olaylarının günlük olarak gözden geçirilmesi.
Segmentasyon/güvenlik duvarları/WAF: resmi kurallar, inceleme, belgelenmiş topolojiler.
SDLC/değişiklikler: dev/test/prod ayrılmış, SAST/DAST/bağımlılık taramaları, gizli yönetim.
Olaylar: Resmi IRP, tatbikatlar, roller ve kişi listesi, PSP/edinme bankası ile etkileşim.

6) Kart verileri: ne yapabilir/yapamaz

CHD: PAN (+ isteğe bağlı. Ad, terim, hizmet kodu).
SAD (yetkilendirildikten sonra saklanması yasaktır): CVV/CVC, tam manyetik parçalar, PIN blokları.
Maskeleme: Maske ile PAN ekran (genellikle ilk 6 ve son 4).
Tokenization/storage: Eğer PAN ™ şifrelemesini, Bilinmesi Gerekenler erişimini, anahtarları ayrı ayrı, sabit günlükleri saklarsanız.

7) Kontrol alanları (pratik kontrol listesi)

1. CDE segmentasyonu - ayrı alt ağlar, varsayılan olarak reddet, çıkış kontrolü.
2. Varlık Envanteri - CDE ve ilgili tüm sistemler.
3. Sertleştirme - güvenli yapılandırmalar, varsayılan kapatma, temel standartlar.
4. Güvenlik açıkları/yamalar - süreçler, SLA'lar, dağıtım onayları.
5. Günlük kaydı - zaman senkronizasyonu, merkezi günlükler, WORM/imzalar.
6. Erişimler - RBAC/ABAC, MFA, SoD, JIT/PAM, offboard ≤ 15 dakika.
7. Kriptografi - TLS, KMS/HSM, rotasyon, ayrı kripto saklama rolleri.
8. Geliştirme - SAST/DAST/DS/IaC, gizli taramalar, boru hattı imzaları.
9. Tarama ASV - üç ayda bir ve değişikliklerden sonra, depolamak için "Geçiş" durumları.
10. Pentests - dış/iç ağ ve †., en az yıllık.
11. IR planı - alıştırmalar, PSP/edinen ile savaş odası, zaman çizelgeleri.
12. Eğitim - kimlik avı, güvenli kodlama, roller için PCI farkındalığı.
13. Belgeler/Prosedürler - PAN Saklama/Silme Politikası, İhracat Günlüğü.

8) PSP/Satıcılarla Etkileşim

Sözleşmeler: Kullanılabilirlik/Güvenlik SLA, DPIA/TPRM, Denetim Hakkı, Olay Bildirimleri ≤ 72 h.
Teknik entegrasyon: TLS için HP/yönlendirme, imzalı webhooks, KMS'de mTLS/anahtarlar, rotasyonlar.
Üç aylık izleme: PSP raporları (Tasdik, sertifikalar), ASV/pentest alıntıları, SDK değişiklikleri.

9) Uyumluluk belgeleri

ROC (Uyum Raporu): Tam QSA raporu.
AOC (Uygunluk Onayı) - uygunluğun onaylanması (ROC/SAQ'a ek).
SAQ: Seçilen öz değerlendirme türü (A, A-EP, D, vb.).
ASV raporları: sertifikalı bir sağlayıcı tarafından harici tarama.
Politikalar/prosedürler: sürümler, sahipler, değişiklik günlükleri.
Kanıt: Ağ diyagramları, WORM kayıtları, test sonuçları, biletler.

10) Roller ve RACI

AktiviteÜrün/ÖdemelerGüvenlik/CISOSRE/ITVeri/BIYasal/UyumlulukQSA/ISAPSP
Kapsam/CDE ve MimariA/RRRCCCC
Segmentasyon/Güvenlik Duvarları/WAFCA/RRBENBENCBEN
Tokenization/YönlendirmeA/RRRCCCR
Güvenlik açıkları/YamalarBENA/RRBENBENCBEN
Günlükler/İzlemeBENA/RRCBENCBEN
ASV/PentestlerBENA/RRBENBENRBEN
ROC/SAQ/AOC BelgeleriBENA/RCBENRRBEN
PCI OlaylarıCA/RRBENRCC

11) Metrikler (KPI/KRI)

ASV Geçiş Oranı: %100 üç aylık raporlar - "geçiş".
Yama SLA Yüksek/Kritik: ≥ %95 zamanında.
Pentest Bulguları Kapanış: ≥ %95 Yüksek kapalı ≤ 30 gün.
Yöneticilerin MFA Kapsamı: %100.
Günlük Bütünlüğü: WORM/imzalara sahip %100 kritik sistemler.
Kapsam Azaltma: Yönlendirme/tokenizasyon yoluyla ödemelerin payı %99 ≥.
Olaylar: Son teslim tarihi %100 olan PCI olayları.

12) Yol haritası (SAQ/ROC'dan 8-12 hafta önce)

Hafta 1-2: Ödeme modeli seçimi (HPP/tokenization), CDE haritalama, ağ düzeni, segmentasyon planı, SAQ/ROC seçimi.
3-4. Haftalar: sertleştirme, MFA, WORM günlükleri, SDLC taramaları, anahtarlar/KMS, PAN depolama politikası (varsayılan - depolamayın).
Hafta 5-6: ASV tarama # 1, düzeltmeler; Pentest (web/network/webhooks), PSP ile IR-öğrenme, dokümantasyonun tamamlanması.
7-8. Haftalar: SAQ'un tamamlanması veya QSA'nın denetlenmesi (Aşama görüşmeleri, örnekler), buluntuların kapatılması, AOC/ROC'nin hazırlanması.
Hafta 9-12 (Op.): "Özelleştirilmiş Yaklaşım've TRA, segmentasyon optimizasyonu, KPI/KRI pano entegrasyonu.

13) Kontrol listeleri

Kart kabulü başlamadan önce

  • PAN/SAD olmayan depolama yolu seçildi
  • Yönlendirme/iframe PSP veya tokenization yapılandırılmış
  • CDE segmentasyonu, varsayılan olarak reddetme, WAF
  • Yöneticiler için MFA/IGA/JIT/PAM
  • Günlükleri (WORM, imzalar, NTP) ve panoları
  • ASV taraması geçti, pentest kapalı
  • IR planı ve PSP/banka bağlantıları

Yıllık sertifikasyon için

  • Güncellenmiş CDE şemaları ve sistem listesi
  • 4 üç aylık ASV'leri geçti, "geçiş" kaydedildi
  • Pentest ≤ 12 ay ve değişikliklerden sonra
  • Güncel politikalar/prosedürler, sürümler/sahipler
  • SAQ tarafından dolduruldu/ROC tarafından alındı, AOC tarafından yayınlandı

14) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

Uygun koruma olmadan sayfanızda PAN toplayın - SAQ A-EP/D PSP'den HPP/iframe kullanın.
Değişikliklere karşı korumasız günlükler. WORM/imzaları ve günlük genel bakışı ekleyin.
Segmentasyon yok - "CDE'de tüm ağ. "Ödeme döngüsünü katı bir şekilde izole edin.
CVV/SAD depolama. Onaylandıktan sonra yasaklanmıştır.
Tamamlanmamış ASV'ler/pentestler. Değişikliklerden sonra yapın ve raporları/düzeltmeleri saklayın.

15) Wiki bölümlerinin geri kalanıyla entegrasyon

İlgili sayfalar: Parola politikası ve MFA, RBAC/Least Privilege, Log politikası, Olaylar ve sızıntılar, TPRM ve SLA, ISO 27001/27701, SOC 2 - kontrol haritalaması ve tek bir kanıt kümesi için.

TL; DR

PCI DSS v4 başarısı. 0 = minimum kapsam (HPP/tokenization) + sert segmentasyon CDE + MFA/WORM günlükleri/şifreleme/KMS + ASV üç ayda bir, pentest yıllık ve değişikliklerden sonra + bitmiş SAQ/ROC/AOC belgeleri. Bu, denetim maliyetlerini düşürür, PSP entegrasyonlarını hızlandırır ve ödeme döngüsünü kanıtlanabilir şekilde güvenli hale getirir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.