PCI DSS:控制和認證
1) PCI DSS是什麼,為什麼它對iGaming很重要
PCI DSS是支付卡行業的安全標準(Visa/Mastercard/Amex/Discover/JCB)。對於iGaming運營商,它定義了卡持有者數據保護(CHD)的技術和組織措施,包括PAN和敏感身份驗證(SAD)數據。不匹配可能會受到罰款,銀行間關稅增加,商戶召回和聲譽損害的威脅。
2)認證角色、級別和類型
角色角色
商人(商人):接受玩家的卡片。
Service Provider:處理/托管/存儲CHD for merchants(包括托管、支付平臺、令牌化)。
級別(高水平)
商人級別1-4:按年度交易;Level 1通常需要QSA的ROC(合規報告)。
服務提供商級別1-2:級別1是強制性的ROC。
評估格式
ROC+AOC:完整的審計員報告(QSA/ISA)。
SAQ:一種類型的自我評估(見下文),加上外部ASV掃描。
3)區域(Scope)和CDE: 如何縮小和管理範圍
CDE (Cardholder Data Environment)-存儲、處理或傳輸CHD/SAD的任何系統/網絡/進程。
最小化策略
1.Redirect/Hosted Payment Page (HPP):在PSP → SAQ A(最小scope)側的形狀。
2.Direct Post/JS+您的頁面(A-EP):您的頁面影響收集的安全性→ SAQ A-EP(更寬)。
3.令牌化:將PAN換成PSP令牌/您的令牌華爾特;PAN不儲存在你身上。
4.網絡分割:隔離CDE (VLAN/firvols/ACL),最大限度地減少流量。
5.「無存儲」政策:不存儲PAN/SAD;例外-嚴格證明是合理的。
4) SAQ類型(摘要)
5) PCI DSS v4.0: 關鍵主題
Customized Approach:允許在已證明的對等性(計劃、TRA、測試理由)下進行替代控制。
目標風險分析(TRA):針對「靈活」要求(過程頻率,監視)的點風險分析。
身份驗證:用於管理和遠程訪問的MFA;強密碼/pasphrases;鎖定/定時。
漏洞和斑點:定期掃描(內部/外部),季度ASV,每年和經過重大更改的五旬節。
加密:在運輸(TLS 1.2+) и at rest;密鑰管理(KMS/HSM),輪換,角色劃分。
博客和監控:集中化博客、變更保護(WORM/簽名),每日安全事件概述。
分段/faervols/WAF:形式規則,評論,記錄的拓撲。
SDLC/更改:dev/test/prod分開,SAST/DAST/dependency掃描,秘密管理。
事件:正式IRP,演習,角色和聯系人名單,與PSP/收購銀行的互動。
6)地圖數據: 可能/不可能
CHD: PAN(+-.名稱,期限,服務代碼)。
SAD(授權後禁止存儲):CVV/CVC,完整的磁軌,PIN單元。
掩碼:使用掩碼顯示PAN(通常是前6名和最後4名)。
令牌/存儲:如果您存儲PAN →加密、需要知道訪問、密鑰分開、硬日誌。
7)控制域(實用支票清單)
1.CDE細分-單獨的子網,deny-by-default,egress控制。
2.資產清單-CDE中的所有系統和相關系統。
3.Hardning-安全的configs、默認關閉、基本標準。
4.漏洞/修補程序-進程、SLA、部署確認。
5.日誌化-時間同步、集中式日誌、WORM/簽名。
6.可用性-RBAC/ABAC, MFA, SoD, JIT/PAM,離岸≤ 15分鐘。
7.密碼學是TLS,KMS/HSM,輪換,分離的crypto-custodians角色。
8.開發-SAST/DAST/DS/IaC,秘密掃描,管道簽名。
9.ASV掃描-季度和更改後,「通行證」狀態存儲。
10.五角星-外部/內部。網絡,至少每年。
11.IR計劃是演習,帶有PSP/收購者的戰爭室,時間線。
12.培訓-網絡釣魚,安全編碼,PCI宣傳角色。
13.文件/程序-PAN存儲/刪除策略,出口日誌。
8)與PSP/供應商互動
合同:可用性/安全性SLA,DPIA/TPRM,審計權,事件通知≤ 72小時。
技術集成:TLS的NRR/redirects,簽名的webhooks,KMS中的mTLS/密鑰。
季度監控:PSP報告(Attestation,證書),ASV/Pentest摘錄,SDK更改。
9)合規性文件
ROC (Compliance報告):完整的QSA報告。
AOC(合規性):合規性確認(ROC/SAQ附錄)。
SAQ:選定的自我評估類型(A, A-EP, D等)。
ASV報告:由認證提供商進行外部掃描。
政策/程序:版本,所有者,更改日誌。
證據:網絡電路,WORM邏輯,測試結果,滴答聲。
10)角色和RACI
11)度量(KPI/KRI)
ASV通行費率:100%季度報告為「通行證」。
Patch SLA High/Critical:按時≥ 95%。
Pentest Findings Closure: ≥ 95%的High在30天≤關閉。
MFA Coverage admins:100%。
Log Integrity: 100%使用WORM/簽名的關鍵系統。
Scope Reduction:通過重新分配/令牌化支付的份額≥ 99%。
事件:PCI事件及時-100%。
12)路線圖(SAQ/ROC之前8-12周)
第1周至第2周:選擇付款接收模式(IWR/令牌化),CDE映射,網絡電路,分段計劃,SAQ/ROC選擇。
第3周至第4周:硬盤,MFA,WORM日誌,SDLC掃描,密鑰/KMS,PAN存儲策略(默認情況下不存儲)。
5-6周:ASV-scan#1,更正;pentest(web/網絡/webhooks),帶有PSP的IR教學,文檔最終化。
第7至第8周:SAQ填寫或審計QSA(階段訪談,樣本),發現關閉,AOC/ROC準備。
第9-12周(opz。):「Customized Approach」和TRA,分段優化,KPI/KRI行列板集成。
13)支票單
在開始接受卡之前
- Redirect/iframe PSP或令牌化設置
- CDE細分,deny-by-default,WAF
- 管理層的MFA/IGA/JIT/PAM
- Logi(WORM,簽名,NTP)和dashbords
- ASV掃描通過,五角星關閉
- IR計劃和PSP/銀行聯系人
用於年度認證
- 更新了CDE中的模式和系統列表
- 通過了4個季度ASV,保留了「通行證」
- Pentest ≤ 12 Ms。和更改後
- 政策/程序相關,版本/所有者
- 填滿SAQ/收到 ROC,AOC發出
14)常見錯誤以及如何避免錯誤
在沒有適當保護的情況下在其頁面上收集PAN → SAQ A-EP/D。使用PSP的HPP/iframe。
不受更改保護的日誌。啟用WORM/簽名和每日概述。
沒有細分-「CDE中的整個網絡」。嚴格隔離支付電路。
CVV/SAD存儲。授權後禁止。
不完整的ASV/五足動物。更改後完成並存儲報告/重新編輯。
15)與維基的其余部分集成
相關頁面:密碼策略和MFA,RBAC/Least特權,博客策略,事件和泄漏,TPRM和SLA,ISO 27001/27701,SOC 2-用於控制映射和一組事件。
TL;DR
PCI DSS v4的成功。0=最小scope (CHR/令牌化)+嚴格的CDE+MFA/WORM/加密/KMS+ASV分段,每季和每年pentest+完成的SAQ/ROC/AOC文檔。這降低了審計成本,加快了與PSP的集成,並使支付回路可以證明是安全的。