PCI DSS для онлайн-игр

PCI DSS для онлайн-игр

Также читайте статью “Сертификат PCI DSS”


Интернет стремительно развивается. Всё больше и больше различных видов бизнеса распространяются в онлайн-пространстве и находят там многочисленных клиентов.

Все развлечения, связанные с играми, казино, всевозможными лотереями и ставками на спортивные соревнования, теперь существуют и в онлайн-варианте.

Пользователю достаточно просто зайти в интернет, и ему станут доступны сайты с самыми разными играми: от простейших онлайн-казино, до целых виртуальных миров.  При этом вся атрибутика реального мира переходит в виртуальный мир. В играх можно покупать или продавать виртуальные предметы за виртуальные деньги.

Привлекательность игры возрастает тогда, когда игроки могут в игре оперировать реальными деньгами. Отслеживая эту тенденцию, разработчики игр озадачились вопросом обмена реальных денег на игровые и обратно. Пространство игры становится реальной торговой площадкой.

Онлайн-игра становится похожа на биржу.

Как только администраторы игрового ресурса внедряют технологию ввода и вывода денег с помощью платёжных банковских карт, тут же возникает необходимость в сертификации этого сайта или сервиса по стандарту PCI DSS.

Фактически игровой ресурс становится такой же торговой площадкой, как интернет-магазин.

Не будет лишним, если в этой статье мы напомним, что такое стандарт PCI DSS.

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт. Он разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS – это совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций.

ВОЗНИКЛИ ВОПРОСЫ?

получите консультацию у наших экспертов абсолютно бесплатно

Связаться

Сертификация интернет-игр отличается от сертификации банка, отеля или автозаправки. Поговорим об особенностях сертификации по стандарту PCI DSS для онлайн-игр.

Особенности сертификации напрямую зависят от того, как разработана и создана архитектура игровой платформы. Современная онлайн-игра – это большая распределённая программа, работающая на многочисленных серверах, которые расположены в разных точках мира. Можно об этом сказать иначе –  практически все онлайн-игры работают из облака.

Многие компании, провайдеры облаков, предлагают своим клиентам готовые платформы, обеспечивающие высокую доступность и большую производительность. Такое предложение очень полюбилось разработчикам игр.

Среди таких поставщиков готовых облачных решений наиболее популярны:

  • Amazon AWS
  • DigitalOcean
  • OVH
  • Microsoft Azure
  • Google CloudPlatform

Для сертификации по стандарту PCI DSS игрового сайта важно выбирать такого провайдера, который заботится об информационной безопасности своих ресурсов, а ещё лучше прошёл сертификацию и может предоставить подтверждающие документы.

Более подробно на эту тему мы рассказывали в статье: «Каждому дата-центру необходимо пройти сертификацию PCI DSS. Для чего?» 


Также читайте статью “Сертификат PCI DSS для турфирм”


Существует такое мнение, что, если разработчики расположили свою игру в сертифицированном дата-центре, это значит, что их игровому порталу не нужно проходить сертификацию по стандарту PCI DSS. На самом деле это означает, что в таком случае сертификация портала с онлайн-игрой пройдёт легче, стоить будет дешевле и займёт меньше времени.

При планировании сертификации по стандарту PCI DSS, игровому порталу стоит заблаговременно предусмотреть необходимость установки дополнительного программного обеспечения внутри облака.  Это программное обеспечение, согласно требованиям PCI DSS, должно выполнять такие функции, как:

  • мониторинг событий;
  • контроль целостности критичных данных;
  • выявление и блокирование сетевых атак.

Также нужно помнить, что для соответствия требованиям стандарта PCI DSS необходимо проводить сканирование всех систем не реже, чем один раз в квартал, а также один раз в 6 месяцев выполнять тест на проникновение (пентест).

При выполнении таких сканирований и теста на проникновение может потребоваться разрешение от облачного провайдера.  Важно ещё на этапе разработки онлайн-игры провести консультации с представителями провайдера и выяснить, каких процедур они придерживаются.

Наша рекомендация для всех, кто занимается бизнесом, связанным с онлайн-играми, иметь выделенного специалиста по информационной безопасности в своём штате. На этого специалиста необходимо возложить обязанности по контролю работы систем защиты и всех вопросов, которые касаются сертификации по стандарту PCI DSS.

Если же содержание в штате такого сотрудника не имеет смысла или стоит дорого, в таком случае такого специалиста необходимо пригласить на условиях аутсорсинга.

Пример из нашей практики. На текущий момент времени мы проводим сертификацию по стандарту PCI DSS для одной международной компании. Она специализируется на вводе и выводе денег из игровых платформ, а также на торговле игровыми артефактами. Компания запустила свой сервис по обмену игровых денег на реальные деньги с помощью платёжных карт и в данный момент завершает процедуру сертификации.

Для этой компании такая сертификация прошла достаточно легко потому, что наш аудитор PCI DSS был приглашён на ранних этапах разработки программы, когда ещё можно было учесть все детали и нюансы.

Данная компания выбрала в качестве облачного провайдера дата-центр, имеющий сертификат PCI DSS, и поэтому их ждёт успех на всех этапах сертификации своего бизнеса.

Рассмотрим основные преимущества, которые получают разработчики онлайн-игр при прохождении сертификации по стандарту PCI DSS:

  • При следовании всем рекомендациям аудитора существенно снижается риск взлома игровой системы и кражи денег игроков;
  • Повышается доверие со стороны игроков, которые понимают, что их финансовые операции и данные карточек надёжно защищены;
  • Игровая платформа получает возможность выбирать, к какому платёжному шлюзу подключаться, так как многие шлюзы требуют наличие сертификата.

Успех и продолжительность популярности онлайн-игры во многом зависит от защищённости денег игроков. Сертификация онлайн-игры по стандарту PCI DSS – чрезвычайно важное дело, которому необходимо уделить внимание!


Также читайте статью “Сертификация PCI DSS в Украине”


Авторы статьи:
Александр Куберский, Дмитрий Петращук.

 

Компания “ИТ-Специалист” – G+

ХОТИТЕ ЗАКАТЬ СЕРТИФИКАЦИЮ?

Узнайте как или задайте интересующий Вас вопрос нашим экспертам