PCI DSS：級別和合規性

1） PCI DSS是什麼以及誰需要它

• 接受卡付款（直接或通過PSP/網關），
• 處理/存儲/傳輸卡片數據（PAN，期限，CVV）或其縮短/加密表格，
• 如果您可以影響卡數據的安全性，則是其他購買者（托管，處理，反欺詐組織，支付編排等）的服務提供商。

版本和時間：最新版本是PCI DSS v4。0.要求v3。2.1已停用；「future-dated」 v4段。0現在生效。v4中的新功能。0：增強的MFA，「Customized Approach」，針對過程頻率的風險分析，細分和加密的改進。

2）合規級別： 商戶和服務提供商

2.1商人（商人）

• Level 1：>600萬筆交易/年或受到損害。在協商時，需要來自QSA或內部ISA的年度ROC（合規報告），+季度ASV掃描。
• 2級：~ 1-6百萬/年。通常-SAQ（自我評估）+ASV掃描；某些電路/收購商可能需要ROC。
• Level 3： ~ 20k-100萬電子商務/年。通常是SAQ+ASV掃描。
• 4級：低於L3閾值。SAQ;要求可能因收購銀行而異。

2.2服務提供商（服務提供商）

通常是2級；QSA的ROC要求Level 1（鏈條中的主要體積/關鍵角色），Level 2要求SAQ-D SP（有時是交易對手/方案要求的ROC）。在iGaming中，許多PSP/網關/托管合作夥伴是 SP Level 1。

3）SAQ vs ROC： 如何選擇

• SAQ A-僅限redirect/iframe/hosted fields；您沒有卡的處理/傳輸/存儲。
• SAQ A-EP是一種電子商務,您的網站會影響支付頁面的安全性（例如腳本主機）,但PAN會在提供商環境中輸入。
• SAQ B/B-IP-無電子存儲終端/印記器；B-IP-連接的終端。
• SAQ C-VT/C-虛擬終端/小型處理環境,無存儲。
• SAQ P2PE只是PCI認證的P2PE解決方案。
• SAQ D（商人/服務提供商）是任何處理/傳輸/存儲，定制集成，編排器等的「廣泛」變體。

iGaming的實踐：目標路徑是SAQ A/A-EP，費用為PAN安全流，令牌化和主機字段。如果您擁有自己的支付服務/華爾特-通常是SAQ D或ROC。

4） Scoping： CDE中包含的內容以及如何縮小範圍

CDE（Cardholder數據環境）是處理/存儲/傳輸卡數據以及所有連接/有影響力的細分市場的系統。

• 主機fields/iframe/TSP：在您的域外輸入PAN。
• 令牌化和網絡令牌：您的服務使用令牌，而不是PAN。
• P2PE：帶有認證解決方案的端對端加密。
• 網絡分割：剛性ACL, CDE與其他環境隔離。
• 強制性DLP和博客偽裝，禁用PAN/CVV轉儲。

在v4中。0增加了實現目標的方法的靈活性，但是必須證明有效性和針對性的風險分析。

5）PCI DSS v4的「12個要求」。0（語義塊）

1.網絡保護和細分（firvolas，ACL，CDE隔離）。
2.安全的主機/設備配置（硬線、基線）。
3.保護持卡人的數據（PAN存儲-僅在需要時，強密碼學）。
4.傳輸數據保護（TLS 1.2+和等效項）。
5.防病毒/防惡意軟件和完整性控制。
6.安全開發和修改（SDLC，SAST/DAST，庫控制）。
7.根據需要訪問（least privilege, RBAC）。

8.身份驗證和身份驗證（MFA用於管理和遠程訪問,密碼通過v4.0).

9.物理安全（數據中心，辦公室，終端）。
10.邏輯和監視（邏輯集中，不變性，異性）。
11.安全測試（每季度ASV掃描，每年和更改後，分段測試）。
12.策略和風險管理（程序，培訓，重復事件，風險評估，「定制Approach」文件）。

6）強制性活動和頻率

ASV掃描（外部）-季度和經過重大更改。
漏洞/修補程序-常規循環（頻率由TRA-目標風險分析確定）。
五旬節（內部/外部）-每年和經過重大變化；分段檢查是強制性的。
日誌和監控-不間斷,具有修飾和保護。
員工培訓-在招聘和繼續定期。
IPA-用於所有Admin和遠程CDE訪問。
系統/數據流清單-不斷更新。

7）SAQ選擇矩陣（簡稱）

只有iframe/redirect，沒有PAN，您→ SAQ A。
電子商務，您的網站影響SAQ A-EP →付款頁面。
終端/印記器→ SAQ B/B-IP。
虛擬終端→ SAQ C-VT。
無存儲的小型「卡」網絡→ SAQ C。
P2PE解決方案→ SAQ P2PE。
其他/復雜/存儲/處理→ SAQ D（或ROC）。

8）要審核的文物和證據

• 網絡和數據流圖，資產註冊表，供應商註冊表，帳戶/訪問註冊表。
• 策略/過程：安全設計、變更管理、編寫、事件、漏洞、密鑰/加密、遠程訪問、備份。
• 報告：ASV、pentests（包括分割）、漏洞掃描、修正結果。
• 期刊/警報：集中系統,不變性,事件處理.
• 加密管理：KMS/HSM程序，輪換，密鑰庫存/證書。
• 「Customized Approach」證明（如果適用）：控制目標，方法，績效指標，TRA。
• 來自第三方的責任輪廓：合作夥伴的AoC（PSP，托管，CDN，反兄弟），共享響應矩陣。

9）合規項目（逐步）

1.復制和GAP分析：定義CDE，相鄰段，當前不連續性。
2.快速贏得：PAN安全流（iframe/hosted fields），標記化，PAN禁令，關閉「外部」crit漏洞。
3.細分和網絡：隔離CDE、mTLS、firewall-ACL、least-privilege、MFA訪問。
4.可觀察性：集中編制，撤回/保護鏈，異物。
5.漏洞和代碼管理：SAST/DAST，修補程序，SBOM，依賴性控制。
6.測試：ASV掃描，內部/外部pentests，分段檢查。
7.論文和培訓：程序，IR花花公子，培訓，學習記錄。
8.認證表格的選擇：SAQ（類型）或ROC；與購買者/品牌保持一致。
9.年度周期：支持，證據，風險/頻率修訂，重新分配。

10）與iGaming體系結構集成

支付編排器僅使用令牌；PAN看不到。
Multi-PSP: health-checks, smart-routing, idempotency, ретраи;每個PSP的AoC。
事件驅動總線/DWH：無PAN/CVV；掩蓋最後4個數字；CI/CD中的DLP門。
3DS/SCA支票：僅存儲必需的工件（事務ID），而無需敏感數據。

11）常見錯誤

PAN/CVV邏輯和非驗證掩碼。
「臨時」PAN通過內部API/總線鋪設。
Penteste缺乏分割測試。

程序不合理的頻率（v4上沒有TRA。0).

依賴一個沒有AoC且沒有倒退的PSP。
未記錄的「有影響力」細分（admin-jump-hosts，監視，備份）。

12）快速啟動支票清單（iGaming）

• 去主機場/iframe；從表單中刪除PAN輸入。
• 啟用令牌/網絡令牌；從事件/邏輯中排除PAN。
• 進行CDE復制和段隔離（MFA，RBAC，mTLS）。
• 設置集中的日誌和Alerta（不可變性、可逆性）。
• 運行ASV掃描,消除關鍵/高。

［……］進行五次測試（內部/外部）。+分段測試。

• 制訂政策/程序和證據。
• 將認證表格與收購方（SAQ 類型/ROC）保持一致。
• 獲取和存儲所有克裏特島供應商的AoC。
• 在發布周期（SDLC，IaC硬盤，CI/CD中的DLP）中嵌入PCI控制。

13）常見問題解答簡短

是否需要QSA?對於ROC，是的。對於SAQ，通常有足夠的自我認證，但是許多購買者/品牌可能需要一個QSA/ASV合作夥伴。
如果我們不保留PAN？如果您接受卡,仍然屬於PCI DSS。嘗試實現SAQ A/A-EP。
3 DS是否解決PCI?沒有。3 DS-關於身份驗證；PCI-關於數據保護。
足夠的TLS？沒有。需要所有相關的v4要求。0，包括程序和證據。

14）摘要

對於iGaming，最佳策略是最大程度地減少漏洞（PAN安全性，令牌化，主機場，P2PE可能的情況下），嚴格細分CDE，自動化識別/漏洞/五重奏，組裝完整的工件包，並根據您的級別選擇正確的確認表格（SAQ或ROC）。這降低了風險，加快了與PSP的集成，並支持穩定的轉換和貨幣化，同時滿足卡品牌的要求。