GH GambleHub

PCI DSS: nazorat va sertifikatlash

1) PCI DSS nima va nima uchun bu iGaming uchun muhim

PCI DSS - to’lov kartalari sanoatining xavfsizlik standarti (Visa/Mastercard/Amex/Discover/JCB). iGaming operatori uchun u karta egalari ma’lumotlarini (CHD), shu jumladan PAN va sezgir autentifikatsiya ma’lumotlarini (SAD) himoya qilishning texnik va tashkiliy chora-tadbirlarini belgilaydi. Nomuvofiqlik jarimalar, banklararo tariflarning oshishi, savdo akkauntini chaqirib olish va obroʻ-eʼtiborga ziyon yetkazish bilan tahdid qilmoqda.

2) Sertifikatlashtirishning roli, darajasi va turi

Rollar

Merchant: o’yinchilardan kartalarni qabul qiladi.
Service Provider: sotuvchilar uchun CHDni qayta ishlaydi/xostit/saqlaydi (shu jumladan hosting, to’lov platformasi, tokenizatsiya).

Darajalar (high level)

Merchant darajasi 1-4: yillik tranzaksiyalar bo’yicha; Level 1 odatda QSAdan ROC (Report on Compliance) talab qiladi.
Xizmatlar provayderi darajalari 1-2: Level 1 - majburiy ROC.

Baholash formatlari

ROC + AOC: auditorning to’liq hisoboti (QSA/ISA).
SAQ: turlardan biri bo’yicha o’zini o’zi baholash (quyida qarang), shuningdek tashqi ASV-skan.

3) Mintaqa (Scope) va CDE: toraytirish va boshqarish

CDE (Cardholder Data Environment) - CHD/SADni saqlaydigan, qayta ishlaydigan yoki uzatadigan har qanday tizim/tarmoq/jarayon.

Minimallashtirish strategiyasi

1. Redirekt/Hosted Payment Page (HPP): shakl PSP → SAQ A tomonida (minimal sotib olish).
2. Direct Post/JS + your page (A-EP): sahifangiz yigʻish xavfsizligiga taʼsir qiladi → SAQ A-EP (kengroq).
3. Tokenizatsiya: PSP tokeniga PAN almashtirish/token-valt; PAN sizda saqlanmagan.
4. Tarmoq segmentatsiyasi: CDE (VLAN/fayrvollar/ACL) ni izolyatsiya qiling, trafikni minimallashtiring.
5. «No storage» siyosati: PAN/SAD saqlanmasligi; istisnolar - qat’iy asoslantirilgan.

💡 Oltin qoida: PANning har bir bayti audit sohasiga qo’shimcha hisoblanadi.

4) SAQ turlari (yig’ma)

SAQ turiKimga mosViloyat haqida qisqacha
AFaqat tahrir/iframe PSP, sizda CHD yoʻqMinimal talablar (PAN server ishlovisiz)
A-EPVeb sahifangiz CHD yigʻilishiga taʼsir qiladi (skriptlar, PSPdagi post)Kuchaytirilgan veb-nazorat
B/B-IPStatsionar terminallar/imprinterlariGaming uchun kamdan-kam
CMustaqil to’lov ilovalari, cheklangan tarmoqTor keyslar
C-VTVirtual terminalga qoʻlda kiritishSupport stsenariylari (istalmagan)
P2PESertifikatlangan PCI P2PEAgar qo’llanilsa
D (Merchant/Service Provider)Har qanday boshqa stsenariylar, PANni saqlash/qayta ishlashTalablarning to’liq to’plami

5) PCI DSS v4. 0: asosiy mavzular

Customized Approach: ekvivalentligi isbotlangan holda muqobil nazoratlarga yo’l qo’yadi (reja, TRA, test asoslari).
Targeted Risk Analysis (TRA): «moslashuvchan» talablar (jarayonlar chastotalari, monitoringlar) uchun nuqtaviy xavf-tahlil.
Autentifikatsiya: Ma’muriy va masofaviy foydalanish uchun MFA; kuchli parollar/pasfruzalar; bloklash/taymautlar.
Zaifliklar va cheklar: muntazam skanerlar (ichki/tashqi), har choraklik ASV, pentestlar har yili va sezilarli o’zgarishlardan keyin.
Shifrlash: tranzitda (TLS 1. 2+) и at rest; kalitlarni boshqarish (KMS/HSM), rotatsiya, rollarni ajratish.
Loglar va monitoring: markazlashtirilgan loglar, o’zgarishlardan himoya qilish (WORM/imzo), xavfsizlik voqealarining kundalik sharhi.
Segmentatsiya/fairvollar/WAF: rasmiy qoidalar, review, hujjatlashtirilgan topologiyalar.
SDLC/oʻzgarishlar: dev/test/prod boʻlingan, SAST/DAST/dependensi-skanlar, sirlarni boshqarish.
Hodisalar: rasmiy IRP, mashqlar, rollar va aloqa varaqasi, PSP/ekvayer bank bilan o’zaro hamkorlik.

6) Xarita ma’lumotlari: nima mumkin/mumkin emas

CHD: PAN (+ nohaq. nomi, muddati, servis-kodi).
SAD (avtorizatsiyadan keyin saqlash taqiqlangan): CVV/CVC, to’liq magnit yo’llar, PIN-bloklar.
Maskalash: PANni niqob bilan koʻrsatish (odatda birinchi 6 va oxirgi 4).
Tokenizatsiya/saqlash: agar siz PAN → shifrlashni saqlasangiz, Need-to-Know orqali kirish, alohida kalitlar, qattiq jurnallar.

7) Nazorat domenlari (amaliy chek-varaq)

1. CDE segmentatsiyasi - alohida kichik tarmoqlar, deny-by-default, egress-nazorat.
2. Aktivlar inventari - CDE va bog’liq barcha tizimlar.
3. Hardning - xavfsiz konfiklar, default o’chirish, asosiy standartlar.
4. Zaifliklar/patchlar - jarayonlar, SLA, joylashtirishni tasdiqlash.
5. Jurnallash - vaqtni sinxronlashtirish, markazlashtirilgan loglar, WORM/imzolar.
6. Kirish - RBAC/ABAC, MFA, SoD, JIT/PAM, offboarding ≤ 15 daqiqa.
7. Kriptografiya - TLS, KMS/HSM, rotatsiya, kripto-mijozlarning alohida rollari.
8. Ishlab chiqish - SAST/DAST/DS/IaC, sir-skanerlar, pipeline-imzolar.
9. ASVni skanerlash - har chorakda va o’zgarishlardan keyin, «Pass» maqomini saqlash.
10. Pentestlar - tashqi/ichki tarmoq va inshootlar, kamida har yili.
11. IR-reja - mashqlar, PSP/ekvayer bilan war-room, taymlaynlar.
12. Fishing, secure coding, rollar uchun PCI-awareness.
13. Hujjatlar/tartib-taomillar - PANni saqlash/olib tashlash siyosati, eksport jurnali.

8) PSP/vendorlar bilan o’zaro hamkorlik

Kontraktlar: Foydalanish imkoniyati/xavfsizlik bo’yicha SLA, DPIA/TPRM, audit huquqi, noxush xabar berish ≤ 72 soat.
Texnintegratsiya: NRP/TLS redirekt, imzolangan vebxuklar, mTLS/KMS kalitlari, rotatsiyalar.
Har choraklik monitoring: PSP (Attestation, sertifikatlar), ASV/pentest-chastotalar hisobotlari, SDK o’zgarishlari.

9) Muvofiqlik hujjatlari

ROC (Report on Compliance): to’liq QSA hisoboti.
AOC (Attestation of Compliance): muvofiqlikni tasdiqlash (ROC/SAQga ilova).
SAQ: tanlangan o’zini o’zi baholash turi (A, A-EP, D va boshqalar).
ASV-hisobotlar: sertifikatlangan provayder tomonidan tashqi skan.
Siyosat/tartib-taomillar: versiyalar, egalar, o’zgartirish jurnallari.
Dalillar: tarmoq sxemalari, WORM loglari, test natijalari, chiptalar.

10) Rollar va RACI

AktivlikProduct/PaymentsSecurity/CISOSRE/ITData/BILegal/ComplianceQSA/ISAPSP
Scope/CDE & arxitekturaA/RRRCCCC
Segmentatsiya/Fayllar/WAFCA/RRIICI
Tokenizatsiya/redirektA/RRRCCCR
Zaifliklar/patchlarIA/RRIICI
Logi/monitoringIA/RRCICI
ASV/pentestlarIA/RRIIRI
ROC/SAQ/AOC hujjatlariIA/RCIRRI
PCI hodisalariCA/RRIRCC

11) Metrika (KPI/KRI)

ASV Pass Rate: 100% choraklik hisobotlar - «pass».
Patch SLA High/Critical: muddatida 95% ≥.
Pentest Findings Closure: ≥ 95% High 30 kundan ≤ yopiq.
Ma’murlarning MFA Coverage: 100%.
Log Integrity: 100% WORM/imzolar bilan kritik tizimlar.
Scope Reduction: redirekt/tokenizatsiya orqali to’lovlar ulushi ≥ 99%.
Incidents: PCI-hodisalar muddatida bildirishnoma bilan - 100%.

12) Yo’l xaritasi (SAQ/ROCgacha 8-12 hafta)

1-2 haftalar: to’lovlarni qabul qilish modelini tanlash (FTP/tokenizatsiya), CDE xaritalash, tarmoq sxemasi, segmentatsiya rejasi, SAQ/ROC tanlash.
Haftalar 3-4: hardning, MFA, WORM loglari, SDLC skanerlar, kalitlar/KMS, PAN saqlash siyosati (andozada saqlanmaydi).
5-6 haftalar: ASV-skan # 1, tuzatishlar; pentest (veb/tarmoq/vebxuklar), PSP bilan IR-o’quv, hujjatlarni yakunlash.
7-8 haftalar: SAQ to’ldirish yoki audit QSA (Stage-intervyu, tanlov), topilmalarni yopish, AOC/ROC tayyorlash.
Haftalar 9-12 (ops.) : «Customized Approach» va TRA, segmentatsiyani optimallashtirish, KPI/KRI dashbordlarini integratsiyalash.

13) Chek-varaqlar

Xaritalarni qabul qilishni boshlashdan oldin

  • PAN/SAD saqlanmagan yoʻl tanlangan
  • Redirect/iframe PSP yoki tokenlash sozlangan
  • CDE segmentatsiyasi, deny-by-default, WAF
  • Ma’murlar uchun MFA/IGA/JIT/PAM
  • Loglar (WORM, imzolar, NTP) va dashbordlar
  • ASV-skan o’tkazildi, pentest yopildi
  • IR-reja va PSP/bank aloqalari

Har yilgi attestatsiya uchun

  • CDE tizimlari roʻyxati va sxemalari yangilandi
  • 4 choraklik ASV o’tdi, «pass» saqlandi
  • Pentest ≤ 12 oy va o’zgarishlardan keyin
  • Siyosat/protseduralar dolzarbdir, versiyalar/egalar
  • SAQ to’ldirilgan/ROC olingan, AOC tomonidan berilgan

14) Tez - tez xatolar va ulardan qanday qochish mumkin

PAN’ni kerakli himoyasiz yigʻish → SAQ A-EP/D. PSP’dan HPP/iframe’dan foydalaning.
O’zgarishlardan himoyalanmagan loglar. WORM/imzolar va kundalik sharhni kiriting.
«Butun tarmoq CDEda» segmentatsiyasi yoʻq. Toʻlov konturini qattiq izolyatsiya qiling.
CVV/SADni saqlash. Avtorizatsiya qilingandan keyin taqiqlangan.
To’liq bo’lmagan ASV/pentestlar. O’zgarishlardan so’ng hisobotlarni/remediatsiyalarni saqlang.

15) Qolgan wiki bo’limlari bilan integratsiya qilish

Bog’langan sahifalar: Parol siyosati va MFA, RBAC/Least Privilege, Loglar siyosati, Hodisalar va sizib chiqishlar, TPRM va SLA, ISO 27001/27701, SOC 2 - nazorat mapping va yagona evidence to’plami uchun.

TL; DR

PCI DSS v4 muvaffaqiyati. 0 = minimal skopa (HPP/tokenizatsiya) + qattiq segmentatsiya CDE + MFA/logi WORM/shifrlash/KMS + ASV har chorakda, pentest har yili va o’zgarishlardan keyin + tayyor hujjatlar SAQ/ROC/AOC. Bu audit xarajatlarini kamaytiradi, PSP bilan integratsiyani tezlashtiradi va toʻlov konturini isbotlanadigan darajada xavfsiz qiladi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.