11.06.2021
Дедалі більше різних видів розважального бізнесу поширюється в онлайн-просторі і знаходить там численних клієнтів.
Усі розваги, пов'язані з іграми, казино, різноманітними лотереями та ставками на спортивні змагання, тепер існують і в онлайн-варіанті.
Користувачеві досить просто зайти в інтернет, і йому стануть доступні сайти з різними іграми: від найпростіших онлайн-казино до цілих віртуальних світів. При цьому вся атрибутика реального світу переноситься у віртуальний світ. В іграх можна купувати чи продавати віртуальні предмети за віртуальні гроші.
Привабливість гри зростає тоді, коли гравці можуть у грі оперувати реальними грошима. Відслідковуючи цю тенденцію, розробники ігор спантеличилися питанням обміну реальних грошей на ігрові та назад. Простір гри стає реальним торговим майданчиком.
Онлайн-гра стає схожою на біржу.
Як тільки адміністратори ігрового ресурсу впроваджують технологію введення та виведення грошей за допомогою платіжних банківських карток, відразу виникає необхідність у сертифікації цього сайту або сервісу за стандартом PCI DSS.
Фактично ігровий ресурс стає таким самим торговим майданчиком, як інтернет-магазин.
Не зайве, якщо в цій статті ми нагадаємо, що таке стандарт PCI DSS.
Payment Card Industry Data Security Standard (PCI DSS) – стандарт безпеки даних індустрії платіжних карток. Він розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як Visa, MasterCard, American Express, JCB і Discover.
Стандарт PCI DSS - це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карток, які зберігаються, передаються та обробляються в інформаційних інфраструктурах організацій.
Сертифікація інтернет-ігор відрізняється від сертифікації банку, готелю чи автозаправки. Поговоримо про особливості сертифікації стандарту PCI DSS для онлайн-ігор.
Особливості сертифікації безпосередньо залежать від того, як розроблено та створено архітектуру ігрової платформи. Сучасна онлайн-гра – це велика розподілена програма, що працює на численних серверах, які розташовані у різних точках світу. Можна про це сказати інакше - практично всі онлайн-ігри працюють із хмари.
Багато компаній, провайдери хмар, пропонують своїм клієнтам готові платформи, що забезпечують високу доступність та більшу продуктивність. Така пропозиція дуже сподобалася розробникам ігор.
Серед таких постачальників готових хмарних рішень є найбільш популярними:● Amazon AWS● DigitalOcean● OVH● Microsoft Azure● Google Cloud Platform
Для сертифікації за стандартом PCI DSS ігрового сайту важливо вибирати такого провайдера, який піклується про інформаційну безпеку своїх ресурсів, а ще краще - пройшов сертифікацію, і може надати документи, що це підтверджують.
Існує така думка, що якщо розробники розташували свою гру в сертифікованому дата-центрі, це означає, що їх ігровому порталу не потрібно проходити сертифікацію за стандартом PCI DSS. Насправді це означає, що в такому разі сертифікація порталу з онлайн-грою пройде легше, коштуватиме дешевше і займе менше часу.
При плануванні сертифікації за стандартом PCI DSS, ігровому порталу варто передбачити необхідність встановлення додаткового програмного забезпечення всередині хмари. Це програмне забезпечення, згідно з вимогами PCI DSS, має виконувати такі функції, як:● моніторинг подій;● контроль цілісності критичних даних;● виявлення та блокування мережевих атак.
Також потрібно пам'ятати, що для відповідності вимогам стандарту PCI DSS необхідно проводити сканування всіх систем не рідше одного разу на квартал, а також один раз на 6 місяців виконувати тест на проникнення (пентест).
При виконанні таких сканувань та тесту на проникнення може знадобитися дозвіл від хмарного провайдера. Важливо ще на етапі розробки онлайн-гри провести консультації з представниками провайдера та з'ясувати, яких процедур вони дотримуються.
Наша рекомендація для всіх, хто займається бізнесом, пов'язаним з онлайн-іграми, мати виділеного фахівця з інформаційної безпеки у своєму штаті. На цього фахівця необхідно покласти обов'язки контролю роботи систем захисту та всіх питань, що стосуються сертифікації за стандартом PCI DSS.
Якщо ж утримання в штаті такого співробітника не має сенсу або коштує дорого, то такого фахівця необхідно запросити на умовах аутсорсингу.
Приклад із нашої практики. На даний момент ми проводимо сертифікацію за стандартом PCI DSS для однієї міжнародної компанії. Вона спеціалізується на введенні та виведенні грошей з ігрових платформ, а також на торгівлі ігровими артефактами. Компанія запустила свій сервіс обміну ігрових грошей на реальні за допомогою платіжних карток, і в даний момент завершує процедуру сертифікації.
Для цієї компанії така сертифікація пройшла досить легко, тому що наш аудитор PCI DSS був запрошений на ранніх етапах розробки програми, коли ще можна було врахувати всі деталі та нюанси.
Ця компанія вибрала в якості хмарного провайдера дата-центр, що має сертифікат PCI DSS, і тому на них чекає успіх на всіх етапах сертифікації свого бізнесу. Розглянемо основні переваги, які отримують розробники онлайн-ігор під час проходження сертифікації за стандартом PCI DSS:● При дотриманні всіх рекомендацій аудитора суттєво знижується ризик злому ігрової системи та крадіжки грошей гравців;● Підвищується довіра з боку гравців, які розуміють, що їхні фінансові операції та дані карток надійно захищені;● Ігрова платформа отримує можливість вибирати, до якого платіжного шлюзу підключатися, оскільки багато шлюзів вимагають наявність сертифіката.
Успіх та тривалість популярності онлайн-ігри багато в чому залежить від захищеності грошей гравців. Сертифікація онлайн-ігри за стандартом PCI DSS - надзвичайно важлива справа, якій необхідно приділити увагу!
Автори статті: Дмитро Петращук та Олександр Куберський.