PCI DSS: darajalar va muvofiqlik

1) PCI DSS nima va kimga kerak

• kartalar bo’yicha to’lovlarni qabul qilasiz (to’g «ridan to’g» ri yoki PSP/shlyuz orqali),
• kartochka ma’lumotlarini (PAN, muddat, CVV) yoki ularning qisqartirilgan/shifrlangan shakllarini qayta ishlash/saqlash/uzatish,
• agar siz ushbu kartalarning xavfsizligiga ta’sir ko’rsatishingiz mumkin bo’lsa, siz boshqa sotuvchilar (hosting, protsessing, anti-frod, to’lov orkestri va boshqalar) uchun xizmatlar provayderisiz.

Versiya va muddatlar: dolzarb versiya - PCI DSS v4. 0. v3 talablar. 2. 1 foydalanishdan chiqarilgan; «future-dated» v4 bandlari. 0 amalda. Yangi v4. 0: kuchaytirilgan MFA, «Customized Approach», tartib-taomillar chastotasining maqsadli tavakkalchilik tahlili, segmentatsiya va shifrlash bo’yicha aniqliklar.

2) Muvofiqlik darajalari: sotuvchilar va xizmat ko’rsatuvchilar

2. 1 Savdogarlar

• Level 1:> 6 mln tranzaksiya/yil yoki kompromsatsiya bo’lgan. QSA dan yillik ROC (Report on Compliance) yoki kelishishda ichki ISA, + choraklik ASV-skanerlar talab qilinadi.
• Level 2: ~ 1-6 mln/yil. Odatda - SAQ (o’zini o’zi baholash) + ASV-skanerlar; baʼzi sxemalar/ekvayerlar ROC talab qilishi mumkin.
• Level 3: ~ 20k-1 mln e-commerce/yil. Odatda - SAQ + ASV-skanerlar.
• Level 4: L3 ostonasidan past. SAQ; talablar ekvayer-bank bo’yicha o’zgarishi mumkin.

2. 2 Xizmat ko’rsatuvchi provayderlar (Service Providers)

Odatda 2 daraja; Level 1 (katta hajm/zanjirdagi muhim rol) uchun QSA ning ROC, Level 2 uchun SAQ-D SP (ba’zan - kontragentlar/sxemalar talabiga ko’ra ROC) majburiydir. iGaming ko’plab PSP/shlyuzlar/hosting sheriklariga ega - SP Level 1.

3) SAQ vs ROC: qanday tanlash kerak

• SAQ A - faqat redirekt/iframe/hosted fields; sizda xaritalarni qayta ishlash/uzatish/saqlash mavjud emas.
• SAQ A-EP - bu elektron tijorat boʻlib, unda saytingiz toʻlov sahifasining xavfsizligiga taʼsir qiladi (masalan, xostit skriptlari), ammo PAN provayder muhitiga kiritiladi.
• SAQ B/B-IP - elektron saqlanmagan terminallar/imprinterlar; B-IP - ulangan terminallar.
• SAQ C-VT/C - virtual terminallar/kichik qayta ishlash muhiti, saqlanmagan.
• SAQ P2PE - faqat PCI sertifikatlangan P2PE yechimi.
• SAQ D (Merchant/Service Provider) - har qanday ishlov berish/uzatish/saqlash, kastom integratsiyalari, orkestratorlar va boshqalarda «keng» variant.

iGaming uchun amaliyot: maqsadli yo’l - PAN-safe oqimlari, tokenizatsiya va xosted-maydonlar hisobiga SAQ A/A-EP. Agar sizda o’z to’lov xizmatlari/valt bo’lsa - odatda SAQ D yoki ROC.

4) Skoping: CDE tarkibiga nima kiradi va uni qanday toraytirish mumkin

CDE (Cardholder Data Environment) - karta ma’lumotlarini qayta ishlash/saqlash/uzatish tizimlari va barcha bog’langan/ta’sirchan segmentlar.

• Hosted fields/iframe/TSP: domeningizdan tashqarida PANni kiritish.
• Tokenizatsiya va network tokens: xizmatlaringiz PAN emas, balki tokenlar bilan ishlaydi.
• P2PE: sertifikatlangan yechim bilan «oxiri-oxiri» shifrlash.
• Tarmoqni segmentlash: qattiq ACL, CDEni boshqa muhitdan ajratish.
• Majburiy DLP va loglarni yashirish, PAN/CVV damplarini taqiqlash.

V 4. 0 maqsadlarga erishish usullarining moslashuvchanligi qo’shildi, ammo samaradorlik dalillari va maqsadli tavakkalchilik tahlili majburiy hisoblanadi.

5) PCI DSS v4 «12 ta talablar». 0 (semantik bloklar)

1. Tarmoq himoyasi va segmentatsiyasi (fayrvollar, ACL, izolyatsiya CDE).
2. Xost/qurilmalarning xavfsiz konfiguratsiyasi (hardning, baza liniyalari).
3. Karta egalarining ma’lumotlarini himoya qilish (PANni saqlash - faqat zarurat bo’lganda, kuchli kriptografiya).
4. Uzatishda maʼlumotlarni himoya qilish (TLS 1. 2 + va ekvivalentlar).
5. Antivirus/anti-malware va yaxlitlik nazorati.
6. Xavfsiz ishlab chiqish va o’zgartirish (SDLC, SAST/DAST, kutubxona nazorati).
7. Zarurat bo’yicha kirish (least privilege, RBAC).
8. Identifikatsiya va autentifikatsiya (ma’muriy va masofadan kirish uchun MFA, parollar v4. 0).
9. Jismoniy xavfsizlik (data-markazlar, ofislar, terminallar).
10. Loglash va monitoring (loglarni markazlashtirish, o’zgarmaslik, alertlar).
11. Xavfsizlikni sinovdan o’tkazish (har chorakda ASV-skanlar, har yili va o’zgarishlardan keyin pentestlar, segmentatsiya testi).
12. Siyosat va tavakkalchiliklarni boshqarish (tartib-taomillar, o’qitish, hodisa-respons, tavakkalchilik-baholash, «Customized Approach» hujjatlari).

6) Majburiy faollik va davriylik

ASV-skanlar (tashqi) - har chorakda va sezilarli o’zgarishlardan keyin.
Zaifliklar/patchinglar - muntazam sikllar (chastotalar TRA - targeted risk analysis bilan asoslanadi).
Pentestlar (ichki/tashqi) - har yili va sezilarli o’zgarishlardan keyin; segmentatsiyani tekshirish majburiydir.
Jurnallar va monitoring - uzluksiz, retensial va modifikatsiyalardan himoyalangan holda.
Xodimlarni ishga qabul qilishda va bundan keyin muntazam ravishda o’qitish.
XMT - CDEga barcha ma’muriy va masofadan kirish uchun.
Ma’lumotlar tizimlari/oqimlari inventarini doimiy ravishda yangilab borish.

7) SAQ-tanlov matritsasi (qisqacha)

Faqat iframe/redirekt, sizda PAN yo’q → SAQ A.
E-commerce, saytingiz to’lov sahifasiga ta’sir qiladi → SAQ A-EP.
Terminallar/imprinterlar → SAQ B/B-IP.
Virtual terminal → SAQ C-VT.
Saqlanmagan kichik «karta» tarmog’i → SAQ C.
P2PE-yechim → SAQ P2PE.
Boshqa/murakkab/saqlash/qayta ishlash → SAQ D (yoki ROC).

8) Audit uchun artefaktlar va dalillar

• Tarmoq diagrammalari va ma’lumotlar oqimi, aktivlar reyestri, yetkazib beruvchilar reyestri, hisobga olish/kirish reyestri.
• Siyosat/tartib-taomillar: xavfsiz ishlab chiqish, o’zgarishlarni boshqarish, loglar, hodisalar, zaifliklar, kalitlar/kripto, masofadan kirish, zaxira nusxalar.
• Hisobotlar: ASV, pentestlar (shu jumladan segmentatsiya), zaiflik skanerlari, tuzatishlar natijalari.
• Jurnallar/alertlar: markazlashtirilgan tizim, o’zgarmaslik, hodisalarni tahlil qilish.
• Kripto-boshqaruv: KMS/HSM protseduralari, rotatsiyalar, kalitlar/sertifikatlar inventari.
• «Customized Approach» dalillari (agar qo’llangan bo’lsa): nazorat maqsadlari, usul, samaradorlik metrikasi, TRA.
• Uchinchi shaxslarning javobgarlik konturlari: AoC sheriklar (PSP, hosting, CDN, anti-frod), Shared Responsibility matritsasi.

9) Muvofiqlikka erishish loyihasi (bosqichma-bosqich)

1. Skoping va GAP tahlili: CDE, qoʻshni segmentlar, joriy uzilishlarni aniqlash.
2. Tezkor yutuqlar: PAN-safe oqimi (iframe/hosted fields), tokenizatsiya, PANni loglarda taqiqlash, «tashqi» krit zaifliklarini yopish.
3. Segmentatsiya va tarmoq: CDE, mTLS, firewall-ACL, least-privilege, MFA.
4. Kuzatilganlik: markazlashtirilgan loglash, retensiya/saqlanish zanjiri, alertlar.
5. Zaiflik va kodni boshqarish: SAST/DAST, patchlar, SBOM, qaramlikni nazorat qilish.
6. Testlar: ASV-skanlar, ichki/tashqi pentestlar, segmentatsiyani tekshirish.
7. Hujjatlar va o’qitish: tartib-taomillar, IR-pleybuklar, treninglar, o’qitish yozuvlari.
8. Attestatsiya shaklini tanlash: SAQ (tip) yoki ROC; ekvayer/brendlar bilan kelishish.
9. Har yilgi sikl: qo’llab-quvvatlash, dalillar, tavakkalchiliklarni/chastotalarni qayta ko’rib chiqish, qayta o’tish.

10) iGaming arxitekturasi bilan integratsiya

To’lov orkestrratori faqat tokenlar bilan ishlaydi; PAN koʻrmaydi.
Multi-PSP: health-checks, smart-routing, idempotency, ретраи; Har bir PSP dan AoC.
Event-driven shina/DWH: hech qanday PAN/CVV; oxirgi 4 raqamni yashirish; CI/CD uchun DLP-geytlar.
3DS/SCA cheklari: faqat zarur artefaktlarni (tranzaksiya identifikatorlarini) sezgir ma’lumotlarsiz saqlash.

11) Tez-tez xatolar

PAN/CVV va nolid niqoblarni loglash.
Ichki API/shinalar orqali «vaqtinchalik» PAN yotqizish.
Pentestda segmentatsiya testining yo’qligi.
Protseduralarning asossiz chastotasi (v4 bo’yicha TRA yo’q. 0).
AoC va fallbacksiz bitta PSP ga bogʻliqlik.
Hisobga olinmagan «nufuzli» segmentlar (admin-jump-hosts, monitoring, bekaplar).

12) Tezkor boshlash chek-varaqasi (iGaming)

• Hosted fields/iframe’ga oʻtish; PANni shakllaringizdan olib tashlash.
• Tokenizatsiya/tarmoq tokenlarini kiritish; PAN hodisalardan/loglardan chiqarib tashlansin.
• CDE skopingini o’tkazish va segmentni izolyatsiya qilish (MFA, RBAC, mTLS).
• Markazlashtirilgan loglar va alertlarni (o’zgarmaslik, retensiya) sozlash.
• ASV skanerlarini ishga tushiring, tanqidiy/yuqori skanerlarni yo’q qiling.
• Pentestlar o’tkazish (ichki/tashqi) + segmentatsiya testi.
• Siyosat/tartib-taomillar va bajarish dalillarini tayyorlash.
• Attestatsiya shakli ekvayer (SAQ turi/ROC) bilan kelishilsin.
• Barcha krit yetkazib beruvchilarning AoC’larini olish va saqlash.
• PCI-nazoratlarni reliz sikliga (SDLC, IaC-hardning, CI/CDdagi DLP) kiritish.

13) FAQ qisqacha

QSA kerakmi? ROC uchun - ha. SAQ uchun ko’pincha o’z-o’zini sertifikatlash kifoya qiladi, ammo ko’plab ekvayerlar/brendlar QSA/ASV-sherikni talab qilishi mumkin.
Agar biz PAN saqlamasak? Agar xaritalarni qabul qilsangiz, baribir PCI DSS ostida qolasiz. SAQ A/A-EP ga erishishga harakat qiling.
3DS PCI hal qiladimi? Yo’q. 3DS - autentifikatsiya to’g "risida; PCI - maʼlumotlarni himoya qilish haqida.
Yetarli TLS? Yo’q. Barcha tegishli v4 talablari kerak. 0, shu jumladan jarayonlar va dalillar.

14) Xulosa

iGaming uchun eng maqbul strategiya - skopni minimallashtirish (PAN-safe, tokenizatsiya, hosted fields, iloji boricha P2PE), CDEni qattiq segmentlash, logistika/zaifliklar/pentestlarni avtomatlashtirish, artefaktlarning to’liq to’plamini to’plash va sizning darajangizga ko’ra to’g’ri tasdiqlash shaklini (SAQ yoki ROC) tanlashdir. Bu xavfni kamaytiradi, PSP bilan integratsiyani tezlashtiradi va kartalar brendlari talablariga rioya qilgan holda barqaror konversiya va monetizatsiyani qoʻllab-quvvatlaydi.