GH GambleHub

PCI DSS: seviyeler ve uyumluluk

1) PCI DSS nedir ve buna kimin ihtiyacı var

PCI DSS (Payment Card Industry Data Security Standard), ödeme kartı güvenliği için endüstriyel bir standarttır (Visa, Mastercard, AmEx, Discover, JCB). IGaming için şunları yapmanız gerekir:
  • Kart ödemelerini kabul etmek (doğrudan veya bir PSP/ağ geçidi aracılığıyla),
  • İşlem/saklama/aktarma kartı verileri (PAN, terim, CVV) veya bunların kısaltılmış/şifrelenmiş formları,
  • Bu kartların güvenliğini etkileyebiliyorsanız, diğer tüccarlar için bir hizmet sağlayıcısıdır (barındırma, işleme, dolandırıcılıkla mücadele, ödeme orkestrasyonu, vb.).

Sürüm ve zamanlama: Mevcut sürüm PCI DSS v4'tür. 0. Gereksinimler v3. 2. 1 emekli; "gelecek tarihli" maddeler v4. 0 artık geçerli. V4'te yeni. 0: Geliştirilmiş MFA, "Özelleştirilmiş Yaklaşım", prosedür sıklığı, segmentasyon ve şifreleme iyileştirmelerinin hedeflenen risk analizi.

2) Uyumluluk seviyeleri: satıcılar ve servis sağlayıcılar

2. 1 Tüccarlar (tüccarlar)

Seviye, yıllık kart işlemlerinin hacmi (tüm kanallar) ve/veya uzlaşma olayları ile belirlenir. Tipik model (en büyük ödeme planlarına göre):
  • Seviye 1:> 6 milyon işlem/yıl veya tehlikeye atıldı. Mutabakat sırasında QSA veya dahili ISA'dan yıllık ROC (Uygunluk Raporu), + üç aylık ASV taramaları gerektirir.
  • Seviye 2: ~ 1-6 milyon/yıl. Genellikle - SAQ (öz değerlendirme) + ASV taramaları; Bazı programlar/alıcılar ROC gerektirebilir.
  • Seviye 3: ~ 20k-1 milyon e-ticaret/yıl. Genellikle - SAQ + ASV taramaları.
  • Seviye 4: L3 eşiklerinin altında. SAQ; Gereksinimler, satın alan bankaya göre değişebilir.
💡 Not: kesin eşikler ve onay formları kart markaları ve alıcınız tarafından belirlenir; politikalarını kontrol edin.

2. 2 Servis sağlayıcılar

Genellikle 2 seviye; Seviye 1 için (zincirdeki büyük hacimli/kritik rol), Seviye 2 - SAQ-D SP (bazen - karşı tarafların/planların talebi üzerine ROC) için QSA'dan bir ROC gereklidir. IGaming'de, birçok PSP/ağ geçidi/barındırma ortağı SP Seviye 1'dir.

3) SAQ vs ROC: Nasıl seçilir

ROC, L1 metre ve L1 SP'ler için zorunludur. Diğer durumlarda - SAQ biri:
  • SAQ A - yalnızca yönlendirme/iframe/barındırılan alanlar; Sizinle kartların işlenmesi/aktarılması/depolanması yoktur.
  • SAQ A-EP, sitenizin ödeme sayfasının güvenliğini etkilediği e-ticarettir (örneğin, komut dosyalarını barındırır), ancak PAN sağlayıcının ortamında tanıtılır.
  • SAQ B/B-IP - elektronik depolama olmadan terminaller/imprinters; B-IP - bağlantılı terminaller.
  • SAQ C-VT/C - sanal terminaller/küçük işleme ortamı, depolama yok.
  • SAQ P2PE sadece PCI sertifikalı bir P2PE çözümüdür.
  • SAQ D (Merchant/Service Provider) - herhangi bir işleme/transfer/depolama, özel entegrasyonlar, orkestratörler vb. İçin "geniş" seçenek.

IGaming için Uygulama: Hedef yol, PAN güvenli akışlar, tokenizasyon ve barındırılan alanlar nedeniyle SAQ A/A-EP'dir. Kendi ödeme hizmetleriniz/valsleriniz varsa - genellikle SAQ D veya ROC.

4) Kapsam: CDE'ye ne girer ve nasıl daraltılır

CDE (Kart Sahibi Veri Ortamı) - kart verilerinin işlendiği/depolandığı/iletildiği sistemler ve tüm bağlı/etkili segmentler.

Kapsam kısaltması:
  • Barındırılan alanlar/iframe/TSP - Alanınızın dışında PAN girin.
  • Belirteçler ve ağ belirteçleri: Hizmetleriniz PAN'da değil belirteçlerde çalışır.
  • P2PE: Sertifikalı bir çözümle uçtan uca şifreleme.
  • Ağ segmentasyonu: Sert ACL'ler, çevrenin geri kalanından CDE izolasyonu.
  • Zorunlu DLP ve günlük maskeleme, PAN/CVV ile dökümleri yasaklama.

V4'te. 0, hedeflere ulaşmak için yöntemlerin esnekliğini ekledi, ancak etkinlik kanıtı ve hedefli risk analizi zorunludur.

5) PCI DSS v4 "12 gereksinimleri. "0 (bloklar anlamında)

1. Ağ güvenliği ve segmentasyon (güvenlik duvarları, ACL, CDE izolasyonu).
2. Güvenli ana bilgisayar/aygıt yapılandırması (sertleştirme, taban çizgileri).
3. Kart sahibi verilerinin korunması (PAN depolama - yalnızca gerekirse, güçlü şifreleme).
4. İletim sırasında veri koruması (TLS 1. 2 + ve eşdeğerleri).
5. Antivirüs/anti-malware ve bütünlük kontrolü.
6. Güvenli geliştirme ve modifikasyon (SDLC, SAST/DAST, kütüphane kontrolü).
7. Gerektiği gibi erişim (en az ayrıcalık, RBAC).
8. Tanımlama ve kimlik doğrulama (yönetici ve uzaktan erişim için MFA, v4'e göre şifreler. 0).
9. Fiziksel güvenlik (veri merkezleri, ofisler, terminaller).
10. Günlük kaydı ve izleme (günlüklerin merkezileştirilmesi, değişmezlik, uyarılar).
11. Güvenlik testi (ASV üç ayda bir tarar, her yıl ve değişikliklerden sonra pentestler, segmentasyon testi).
12. Politika ve risk yönetimi (prosedürler, eğitim, olay-tepki, risk değerlendirmeleri, "Özelleştirilmiş Yaklaşım" belgeleri).

6) Zorunlu faaliyetler ve sıklık

ASV taramaları (harici) - üç ayda bir ve önemli değişikliklerden sonra.
Güvenlik açıkları/yamalama - düzenli döngüler (frekanslar TRA - hedeflenen risk analizi ile doğrulanır).
Penetrasyon testleri (iç/dış) - yıllık olarak ve önemli değişikliklerden sonra; Segmentasyon kontrolü zorunludur.
Günlükler ve izleme - sürekli olarak, değişikliklere karşı koruma ve koruma ile.
Personel eğitimi - işe alırken ve daha sonra düzenli olarak.
MFA - CDE'ye tüm yönetici ve uzaktan erişim için.
Sistemlerin/veri akışlarının envanteri - sürekli güncelleyin.

7) SAQ seçim matrisi (kısa)

Sadece iframe/yönlendirme, PAN siz olmadan - SAQ A.
E-ticaret, siteniz ödeme sayfasını etkiler - SAQ A-EP.
Terminaller/imprinters - SAQ B/B-IP.
Sanal Terminal - SAQ C-VT.

Depolama olmadan küçük "kart" ağı - SAQ C

P2PE çözüm - SAQ P2PE.
Diğer/karmaşık/depolama/işleme - SAQ D (veya ROC).

8) Denetim için eserler ve kanıtlar

Hazırlamak ve korumak:
  • Ağ ve veri akışı diyagramları, varlık kaydı, satıcı kaydı, muhasebe/erişim kaydı.
  • Politikalar/prosedürler: güvenli geliştirme, değişim yönetimi, kayıt, olaylar, güvenlik açıkları, anahtarlar/kripto, uzaktan erişim, yedeklemeler.
  • Raporlar: ASV, pentest (segmentasyon dahil), güvenlik açığı taramaları, düzeltme sonuçları.
  • Günlükler/uyarılar: merkezi sistem, değişmezlik, olay analizi.
  • Kripto yönetimi: KMS/HSM prosedürleri, rotasyonlar, anahtarların/sertifikaların envanteri.
  • "Özelleştirilmiş Yaklaşım" ispatları (uygulanırsa): kontrol hedefleri, yöntem, performans metrikleri, TRA.
  • Üçüncü taraflardan sorumluluk konturları: AoC ortakları (PSP, hosting, CDN, dolandırıcılıkla mücadele), Paylaşılan Sorumluluk matrisi.

9) Uyum projesi (adım adım)

1. Kopyalama ve Boşluk Analizi-CDE'yi, bitişik parçaları, akım kesmelerini tanımlayın.
2. Hızlı kazançlar: PAN güvenli akış (iframe/barındırılan alanlar), tokenizasyon, PAN'ı günlüklerde yasaklama, "harici" girit güvenlik açıklarını kapatma.
3. Segmentasyon ve ağ: CDE, mTLS, firewall-ACL, en az ayrıcalık erişimleri, MFA'yı izole edin.
4. Gözlemlenebilirlik: merkezi kayıt, saklama/gözetim zinciri, uyarılar.
5. Güvenlik açığı ve kod yönetimi: SAST/DAST, yamalar, SBOM, bağımlılık kontrolü.
6. Testler: ASV taramaları, iç/dış penetrasyon testleri, segmentasyon kontrolü.
7. Belgeler ve eğitim: prosedürler, IR-playbooks, eğitimler, eğitim kayıtları.
8. Sertifika formunun seçimi: SAQ (tip) veya ROC; Alıcı/markalar ile mutabık kalmak.
9. Yıllık döngü: destek, kanıt, risk/sıklık incelemesi, yeniden kullanım.

10) iGaming mimarisi ile entegrasyon

Ödeme düzenleyicisi yalnızca belirteçlerle çalışır; PAN göremez.
Multi-PSP: sağlık kontrolleri, akıllı yönlendirme, idempotency, ретраи; Her PSP'den AoC.
Olay odaklı otobüs/DWH: PAN/CVV yok; Son 4 haneyi maskelemek; CI/CD'deki DLP kapıları.
3DS/SCA kontroller: hassas veriler olmadan yalnızca gerekli eserleri (işlem kimlikleri) depolar.

11) Sık yapılan hatalar

PAN/CVV kaydı ve geçersiz maskeler.
Dahili API'ler/veri yolları aracılığıyla "geçici" PAN yönlendirmesi.
Pentest segmentasyon testi eksikliği.
Prosedürlerin makul olmayan sıklığı (v4 tarafından TRA yok. 0).
AoC olmadan ve geri dönüş olmadan bir PSP'ye bağımlılık.
Hesaplanmamış "etkili" segmentler (admin-jump-hosts, monitoring, backups).

12) Hızlı başlangıç kontrol listesi (iGaming)

  • Barındırılan alanlara/iframe gidin; Formlarınızdan PAN girişini kaldırın.
  • Belirteçleri/ağ belirteçlerini etkinleştir; PAN'ı olaylardan/günlüklerden hariç tutun.
  • CDE kopyalama ve segment yalıtımı (MFA, RBAC, mTLS) gerçekleştirin.
  • Merkezi günlükleri ve uyarıları ayarlayın (değişmezlik, tutma).
  • ASV taramaları çalıştırın, kritik/yüksek ortadan kaldırın.
  • Penetrasyon testleri (iç/dış) + segmentasyon testi gerçekleştirin.
  • Politikaları/prosedürleri ve uygulama kanıtlarını hazırlayın.
  • Yeterlilik formunu edinen (SAQ tipi/ROC) ile kabul edin.
  • Tüm Girit satıcılarının AoC'sini alın ve saklayın.
  • PCI kontrollerini serbest bırakma döngüsüne entegre edin (SDLC, IaC sertleştirme, CI/CD'de DLP).

13) SSS kısa

Bir QSA'ya ihtiyacım var mı? ROC için, evet. SAQ için kendi kendine sertifikasyon genellikle yeterlidir, ancak birçok alıcı/marka bir QSA/ASV ortağı gerektirebilir.
PAN'ı depolayamazsak? Kartları kabul ederseniz hala PCI DSS'nin altına düşersiniz. SAQ A/A-EP'ye ulaşmayı hedefleyin.
3DS PCI'yi çözüyor mu? Hayır. 3DS - kimlik doğrulama hakkında; PCI - veri koruması hakkında.
TLS yeterli mi? Hayır. Tüm ilgili v4 gereksinimleri gereklidir. Süreçler ve kanıtlar dahil olmak üzere 0.

14) Özet

IGaming için en uygun strateji, kapsamı en aza indirgemek (PAN-güvenli, tokenizasyon, barındırılan alanlar P2PE mümkünse), CDE'yi sert segmentlere ayırmak, günlüğü/güvenlik açıklarını/penetrasyon testlerini otomatikleştirmek, tam bir eser paketi toplamak ve seviyenizde doğru onay formunu (SAQ veya ROC) seçmektir. Bu, riski azaltır, PSP ile entegrasyonu hızlandırır ve kart markası gereksinimlerini karşılarken istikrarlı dönüşüm ve para kazanma sağlar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.