Caswino Promo

決済取引におけるデータセキュリティ


オーストラリアの主なコンテキスト

法的枠組み。オーストラリアのプレイヤーの個人データは、プライバシー法1988および13オーストラリアのプライバシー原則(APP)によって保護されています。企業は、セキュリティ対策を実施し、データライフサイクルを管理する必要があり、重大な漏洩が発生した場合は、被害者および情報コミッショナー事務所(NDB)に通知します。
AML/CTF KYC。ギャンブルおよび決済機関は、AUSTRACの要件(登録、AML/CTFプログラム、サービスをレンダリングする前の顧客IDの検証、トランザクションの監視および報告)の対象となります。
PCI DSS v4。0.1.PCI規格は、カードデータを扱うために使用されます。新しい「延期」要件(例えば、スクリプトスプーフィングやインテグリティ監視から支払いWebページを保護するなど)は、2025年3月31日から必須となります。
NPP、 PayIDのPayeeの確認。NPP決済インフラストラクチャは、24時間年中無休で即時の銀行振込を提供します。PayIDは送信前に受信者の名前を表示します。2025年には、エラーや詐欺を減らすために、一般的なネットワークサービスPayeeの確認(コンプライアンスを示す名前/BSB/アカウントの検証)の段階的な開始が始まります。
重要な制限。オーストラリアでは、国内のユーザーにオンラインカジノ(ルーレット、ポーカーマシンなど)を提供することは禁止されています。ACMAは定期的に違法サイトをブロックします。これは、そのようなリソースのデータとお金が地方自治体の規制によって保護されていないことを意味します。

プレイヤーの支払いに対する脅威

1.フィッシングと支払い詐欺。ドメイン置換/インスタントメッセンジャー/キャッシュレジスタ外での支払いを要求する」サポート」。
2.支払いページの傍受と置換(電子スキミング)。悪意のあるスクリプトをチェックアウトページに埋め込む。ちょうどPCI DSS v4でこれに対して。0.1導入要件6。4.3と11。6.1インベントリ/スクリプトの整合性と置換検出。
3.パスワードの選択と再利用、ATO(アカウントの引き継ぎ)、ワンタイムコードの傍受のためのSIMスワップ。
4.名前を確認せずにアカウント/PayIDに転送する際に不正行為者(APP-fraud)への承認されたプッシュ支払い-これはPayIDの名前を確認し、Payeeのヘルプを確認する場所です。

どのようにデータが保護されているか:カジノや決済プロバイダーがすべきこと

輸送と保管

TLS 1。2+デフォルト、HSTS;client side-外部スクリプトのCSP+SRI(電子スキミングを最小限に抑える)。
個人データおよび支払いデータのための安静時の暗号化(例えば、AES-256)。CDE (Cardholder Data Environment)セグメンテーション。
カードのトークン化とネットワークトークン-商人が「raw」 PANを持たないようにします。

身分証明書とアクセス

カードデータと管理パネル(PCI DSS v4。x)、回転および秘密管理。
RBAC/ゼロトラスト、アクティビティログ、不変ログ。

アプリケーションとインフラストラクチャ

WAF/bot管理、サーバー上のEDR/アンチマルウェア、依存関係のCI/CDスキャン。
整合性監視(ファイル整合性/JS整合性)、サードパーティの支払いウィジェットの制御(6。4.3/11.6.1).

プロセスとコンプライアンス

PCI DSS v4。0.1:リスクアセスメント、カードデータの在庫、SAQ/ROC、最大31までのギャップの修正。03.2025.
APPとNDB:不要な場合は、プライバシーポリシー、データの最小化と破壊/識別解除;「実質的な危害」の場合には、人々とOAICに通知する意欲。
AML/CTF:サービス提供前のKYC、 AUSTRACによる継続的な監視と報告。

支払方法:リスクと保護

銀行振込(NPP/Osko、 PayID、 PayTo)

長所:カジノカードの詳細の転送は、即座に24/7;PayIDは、支払いの前に受信者の名前を示します。Payeeの確認は、明確な「match/close/no match」 で/BSB/accountの名前の和解を追加します。
短所:あなた自身が支払いを確認した場合、転送は返却が困難です。CoPヒントに焦点を当て「、一致しない」を無視しないでください。

銀行カード(Visa/Mastercard)

3-Dセキュア2 (EMV 3DS)。最新の認証(バイオメトリクス/OTP、 「freakshless」フロー)、CNP詐欺を減らすために銀行と商人の間で大量のデータを交換します。Visa Secure/Mastercard Identity Checkマークを探します。
長所:充電器、トークン化(Apple Pay/Google Payで);3DS2が正しく構成されるとき強い保護。
短所:3DS2はしばしば違法サイトで無効になっています。保護されていない商人からの電子スキミング中のカードデータの盗難のリスク(したがって、PCI 6要件が重要です。4.3/11.6.1).

Eウォレット/モバイルウォレット

Apple Pay/Google Payはネットワークトークンと生体認証を使用します。商人は本当のPANを与えられていません-これは商人が危険にさらされたときに損傷を軽減します。

バウチャー/プリペイドカードと暗号通貨

多くの場合、オフショアサイトで見つかりました。リスク:現地の法的保護の欠如、リターン/トレースの複雑さ、AMLリスク。オーストラリア人をターゲットとしたオンラインカジノは違法であり、データ保護は最小限であることを忘れないでください。

プレーヤーのチェックリスト:安全に支払う方法

1.合法性を確認してください。オーストラリアで利用可能なオンラインカジノは法律で禁止されています。ACMAはロックのリストを公開します。違法なサイトでデータを危険にさらさないでください。
2.受信者検証の方法を優先します。振込時にはPayIDを使用し、受取人の確認結果に焦点を当ててください。「一致しない」-支払わないでください。
3.3DS2のカードを選択し、可能であればApple Pay/Google Pay (PANの代わりにトークン)で支払う。
4.別の「支払い」電子メールとユニークなパスワードを作成し、すべてのサービスでMFA/パスキーを有効にします。
5.サイトのアドレスと証明書を確認し、支払い段階で第三者がリダイレクトされないこと。
6.チャット/インスタントメッセンジャーに詳細を送信しないでください。「結論をスピードアップするためのソフトウェア」をインストールしないでください。
7.ステートメントを監視し、トランザクションのプッシュ通知をオンにし、インターネット決済の制限を設定します。
8.漏出/疑われるハッキングの場合:すぐに支払の器械を妨げ、パスワードを変えて下さい、銀行/オペレータとの場合を修理して下さい;重大な事件が発生した場合、オペレータはNDBスキームの一部としてお客様に通知する必要があります。

Secure Attendantポリシーとインターフェイスにあるべきこと

APPの精神における透明なプライバシーポリシー:収集されたデータのリスト、目標、保持/識別解除期間、国境を越えた送信。
明確なKYCプロセス(どのドキュメントがチェックされているか、どのようにコピーが保護されているか)。
技術的な印:HTTPSおよびHSTS;3DS2;可視PayID/CoPが転送のプロンプトを表示します。入力/トランザクション通知制限セッションログを設定できます。
PCI DSS v4認証/アンケート。0.1 (SAQ/ROC)およびコンプライアンス状況の表示。

頻繁な「赤い旗」

「暗号/バウチャーによる支払いのみ」、ミラードメイン、プライバシーポリシーなし、3DS2なし、支払いフォームは別のドメインからロードされます「、サポート」は「出金手数料」を支払う必要があります。
翻訳中に受信者名が一致しない(CoP:一致しない)。

お知らせいたします

オーストラリアのギャンブルデータセキュリティは、衛生(3DS2/mobile財布、PayID/CoP、 MFA、ユニークなパスワード)とプロバイダの成熟度(APP+NDB、 AML/CTF、 PCI DSS v4。0.1の支払のページの保護)。オーストラリア人のためのオンラインカジノの禁止とACMAの一定のブロックを考えると、唯一の合理的な戦略は、違法なサイトへの支払いを行い、受信者の最大限の検証で唯一の法的チャネルと方法を使用しないことです。

オーストラリアのカジノの支払い方法へのリンク:知っておくべきこと。
この資料は、支払い方法を選択するためのセキュリティの基盤です。カードが3DS2で適切である場合、PayID/CoPを介して転送する方が合理的である場合、オフショアオプションのリスクと安全でないシナリオを遮断する兆候は何ですか。