GH GambleHub

PCI DSS: контроль і сертифікація

1) Що таке PCI DSS і чому це важливо для iGaming

PCI DSS - стандарт безпеки індустрії платіжних карток (Visa/Mastercard/Amex/Discover/JCB). Для оператора iGaming він визначає технічні та організаційні заходи захисту даних власників карток (CHD), включаючи PAN і чутливі аутентифікаційні дані (SAD). Невідповідність загрожує штрафами, підвищеними міжбанківськими тарифами, відкликанням мерчант-акаунту і репутаційним збитком.

2) Ролі, рівні та тип сертифікації

Ролі

Merchant (мерчант): приймає карти від гравців.
Service Provider: обробляє/хостит/зберігає CHD для мерчантів (включаючи хостинг, платіжну платформу, токенізацію).

Рівні (high level)

Рівні мерчанта 1-4: за річними транзакціями; Level 1 зазвичай вимагає ROC (Report on Compliance) від QSA.
Рівні провайдера послуг 1-2: Level 1 - обов'язковий ROC.

Формати оцінки

ROC + AOC: повноцінний звіт аудитора (QSA/ISA).
SAQ: самооцінка по одному з типів (див. нижче), плюс зовнішній ASV-скан.

3) Область (Scope) і CDE: як звузити і керувати

CDE (Cardholder Data Environment) - будь-які системи/мережі/процеси, які зберігають, обробляють або передають CHD/SAD.

Стратегії мінімізації

1. Редирект/Hosted Payment Page (HPP): форма на стороні PSP → SAQ A (мінімальний скоуп).
2. Direct Post/JS + your page (A-EP): ваша сторінка впливає на безпеку збору → SAQ A-EP (ширше).
3. Токенізація: обмін PAN на токен PSP/ваш токен-вальт; PAN у вас не зберігається.
4. Сегментація мережі: ізолюйте CDE (VLAN/файрволи/ACL), зведіть трафік до мінімуму.
5. «No storage» політика: не зберігати PAN/SAD; винятки - строго обгрунтовані.

💡 Золоте правило: кожен байт PAN - це плюс до області аудиту.

4) Типи SAQ (зведено)

Тип SAQКому підходитьКоротко про область
AТільки редирект/iframe PSP, немає CHD у васМінімальні вимоги (без серверної обробки PAN)
A-EPВаша веб-сторінка впливає на збір CHD (скрипти, пост на PSP)Посилені веб-контролі
B/B-IPСтанціонарні термінали/імпринтериРідко для iGaming
CНезалежні платіжні додатки, обмежена мережаВузькі кейси
C-VTРучне введення у віртуальний терміналSupport-сценарії (небажаний)
P2PEСертифіковане рішення з PCI P2PEЯкщо застосовується
D (Merchant/Service Provider)Будь-які інші сценарії, зберігання/обробка PANПовний набір вимог

5) PCI DSS v4. 0: ключові теми

Customized Approach: допускає альтернативні контролі при доведеній еквівалентності (план, TRA, тестове обґрунтування).
Targeted Risk Analysis (TRA): точковий ризик-аналіз для «гнучких» вимог (частоти процесів, моніторингів).
Автентифікація: MFA для адмін- та віддаленого доступу; сильні паролі/пасфрази; блокування/таймаути.
Уразливості та печі: регулярні скани (внутр ./зовнішні), щоквартальний ASV, пентести щорічно і після значущих змін.
Шифрування: в транзиті (TLS 1. 2+) и at rest; управління ключами (KMS/HSM), ротації, розділення ролей.
Логи та моніторинг: централізовані логи, захист від змін (WORM/підпис), щоденний огляд подій безпеки.
Сегментація/фаєрволи/WAF: формальні правила, review, документовані топології.
SDLC/зміни: dev/test/prod розділені, SAST/DAST/депенденсі-скани, управління секретами.
Інциденти: формальний IRP, вчення, ролі та контакт-лист, взаємодія з PSP/банком-еквайєром.

6) Дані карт: що можна/не можна

CHD: PAN (+ необяз. ім'я, термін, сервіс-код).
SAD (заборонено зберігати після авторизації): CVV/CVC, повні магнітні доріжки, PIN-блоки.
Маскування: відображення PAN з маскою (зазвичай перші 6 і останні 4).
Токенізація/зберігання: якщо зберігайте PAN → шифрування, доступ по Need-to-Know, ключі окремо, жорсткі журнали.

7) Контрольні домени (практичний чек-лист)

1. Сегментація CDE - окремі підмережі, deny-by-default, egress-контроль.
2. Інвентар активів - всі системи в CDE і пов'язані.
3. Харднінг - безпечні конфіги, відключення за замовчуванням, базові стандарти.
4. Уразливості/патчі - процеси, SLA, підтвердження розгортання.
5. Журналювання - синхронізація часу, централізовані логи, WORM/підписи.
6. Доступи - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 хвилин.
7. Криптографія - TLS, KMS/HSM, ротація, роздільні ролі crypto-custodians.
8. Розробка - SAST/DAST/DS/IaC, секрет-скани, pipeline-підписи.
9. Сканування ASV - щоквартально і після змін, «Pass» статуси зберігати.
10. Пентести - зовні ./внутр. мережа та інші, як мінімум щорічно.
11. IR-план - навчання, war-room з PSP/еквайєром, таймлайни.
12. Навчання - фішинг, secure coding, PCI-awareness для ролей.
13. Документи/процедури - політика зберігання/видалення PAN, журнал експортів.

8) Взаємодія з PSP/вендорами

Контракти: SLA за доступністю/безпеки, DPIA/TPRM, право аудиту, інцидент-повідомлення ≤ 72 ч.
Техінтеграція: НРР/редирект по TLS, підписані вебхуки, mTLS/ключі в KMS, ротації.
Щоквартальний моніторинг: звіти PSP (Attestation, сертифікати), ASV/пентест-витримки, зміни SDK.

9) Документи відповідності

ROC (Report on Compliance): повний звіт QSA.
AOC (Attestation of Compliance): підтвердження відповідності (додаток до ROC/SAQ).
SAQ: обраний тип самооцінки (A, A-EP, D і т.д.).
ASV-звіти: зовнішній скан сертифікованим провайдером.
Політики/процедури: версії, власники, журнали змін.
Докази: схеми мережі, логи WORM, результати тестів, тікети.

10) Ролі та RACI

АктивністьProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & архітектураA/RRRCCCC
Сегментація/фаєрволи/WAFCA/RRIICI
Токенізація/редиректA/RRRCCCR
Вразливості/патчіIA/RRIICI
Логи/моніторингIA/RRCICI
ASV/пентестиIA/RRIIRI
Документи ROC/SAQ/AOCIA/RCIRRI
Інциденти PCICA/RRIRCC

11) Метрики (KPI/KRI)

ASV Pass Rate: 100% квартальних звітів - «pass».
Patch SLA High/Critical: ≥ 95% вчасно.
Pentest Findings Closure: ≥ 95% High закрито ≤ 30 днів.
MFA Coverage адмінів: 100%.
Log Integrity: 100% критичних систем з WORM/підписами.
Scope Reduction: частка платежів через редирект/токенізацію ≥ 99%.
Incidents: PCI-інциденти з повідомленням вчасно - 100%.

12) Дорожня карта (8-12 тижнів до SAQ/ROC)

Тижні 1-2: вибір моделі прийому платежів (НРР/токенізація), картування CDE, схема мережі, план сегментації, вибір SAQ/ROC.
Тижні 3-4: харднінг, MFA, логи WORM, SDLC-скани, ключі/KMS, політика зберігання PAN (за замовчуванням - не зберігати).
Тижні 5-6: ASV-скан # 1, виправлення; пентест (веб/мережа/вебхуки), IR-навчання з PSP, фіналізація документації.
Тижні 7-8: SAQ заповнення або аудит QSA (Stage-інтерв'ю, вибірки), закриття знахідок, підготовка AOC/ROC.
Тижні 9-12 (опц.) : «Customized Approach» і TRA, оптимізація сегментації, інтеграція дашбордів KPI/KRI.

13) Чек-листи

Перед стартом прийому карт

  • Обрано шлях без зберігання PAN/SAD
  • Редирект/iframe PSP або токенізація налаштовані
  • Сегментація CDE, deny-by-default, WAF
  • MFA/IGA/JIT/PAM для адмінів
  • Логи (WORM, підписи, NTP) і дашборди
  • ASV-скан пройдений, пентест закритий
  • IR-план і контакти PSP/банку

Для щорічної атестації

  • Оновлені схеми і список систем в CDE
  • Пройдено 4 квартальних ASV, «pass» збережені
  • Пентест ≤ 12 міс. і після змін
  • Політики/процедури актуальні, версії/власники
  • Заповнений SAQ/отриманий ROC, виданий AOC

14) Часті помилки і як їх уникнути

Збір PAN на своїй сторінці без належного захисту → SAQ A-EP/D. Використовуйте HPP/iframe від PSP.
Логи без захисту від змін. Увімкніть WORM/підписи та щоденний огляд.
Немає сегментації - «вся мережа в CDE». Жорстко ізолюйте платіжний контур.
Зберігання CVV/SAD. Заборонено після авторизації.
Неповні ASV/пентести. Робіть після змін і зберігайте звіти/ремедіації.

15) Інтеграція з іншими розділами wiki

Пов'язані сторінки: Парольна політика і MFA, RBAC/Least Privilege, Політика логів, Інциденти і витоки, TPRM і SLA, ISO 27001/27701, SOC 2 - для маппінгу контролів і єдиного набору evidence.

TL; DR

Успіх PCI DSS v4. 0 = мінімальний скоуп (НРР/токенізація) + жорстка сегментація CDE + MFA/логи WORM/шифрування/KMS + ASV щокварталу, пентест щорічно і після змін + готові документи SAQ/ROC/AOC C. Це знижує витрати на аудит, прискорює інтеграції з PSP і робить платіжний контур доведено безпечним.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.