PCI DSS standard u kladionicama: kako prepoznati sigurnog operatera
Loading...
Što je PCI DSS i zašto je obavezan za kladionice
Prije pet godina analizirao sam sigurnosni proboj na jednoj offshore kladionici – procurili su kartični podaci 40.000 korisnika. Istraga je pokazala da kladionica nikada nije prošla PCI DSS certifikaciju. Čuvali su brojeve kartica u običnoj bazi podataka, bez šifriranja, bez segmentacije mreže, bez ikakve zaštite. To je bilo kao da ste ključeve od sefa ostavili na šalteru.
PCI DSS – Payment Card Industry Data Security Standard – je skup sigurnosnih pravila koji svaki trgovac koji prihvaća kartična plaćanja mora ispuniti. To uključuje i kladionice. Standard je razvijen zajednički od strane Visa, Mastercard, American Express, Discover i JCB, i njime upravlja PCI Security Standards Council. Visa klasificira gambling kao visokorizičnu kategoriju s MCC kodovima 7801, 7802 i 7995, a registracija u toj kategoriji košta operatera 100.000 dolara plus jednako toliko godišnje – što samo po sebi pokazuje koliko ozbiljno Visa tretira sigurnost u ovom sektoru.
Za igrača, PCI DSS certifikat znači da kladionica ispunjava minimalne sigurnosne standarde za rukovanje vašim Visa podacima. Bez tog certifikata, kladionica ne bi smjela prihvaćati kartična plaćanja – ali u praksi, neke offshore platforme to čine bez certifikacije, izlažući vaše podatke riziku.
Četiri razine PCI DSS usklađenosti
PCI DSS nije jednodimenzionalan – postoje četiri razine usklađenosti, i razina koja se primjenjuje na kladionicu ovisi o broju transakcija koje godišnje obrađuje. Što više transakcija, stroži su zahtjevi.
Razina 1 primjenjuje se na trgovce koji godišnje obrađuju više od 6 milijuna Visa transakcija. Ovo uključuje najveće globalne kladionice. Zahtjevi su najstroži: godišnji onsite audit od strane kvalificiranog sigurnosnog assessora (QSA), kvartalni skenovi mreže, penetracijski testovi i detaljno izvještavanje. Razina 2 pokriva 1-6 milijuna transakcija godišnje – većina velikih regionalnih kladionica. Zahtjevi su slični, ali audit može provesti interni assessor. Razina 3 pokriva 20.000-1 milijun e-commerce transakcija – srednje kladionice. Zahtjevi uključuju samoprocjenu (SAQ) i kvartalne skenove. Razina 4, za manje od 20.000 transakcija, ima najniže zahtjeve – ali i dalje zahtijeva osnovnu usklađenost.
Registracija kladionice u visokoj rizičnoj kategoriji kod Visa dodatno pojačava zahtjeve iznad standardnog PCI DSS okvira. Visa zahtijeva od gambling operatera pojačano izvještavanje, strožu kontrolu pristupa kartičnim podacima i implementaciju dodatnih sigurnosnih protokola poput tokenizacije i 3D Secure.
Važno je razumjeti: PCI DSS nije jednokratni test koji prođete i zaboravite. To je kontinuirani proces usklađenosti koji zahtijeva redovite audite, stalno ažuriranje sigurnosne infrastrukture i dokumentiranje svake promjene u sustavu za obradu kartičnih podataka. Kladionica može biti usklađena danas i izgubiti usklađenost za tri mjeseca ako zanemari ažuriranje sigurnosnih zakrpa ili promijeni procesore plaćanja bez odgovarajuće revizije. Upravo zato je regulatorna licencija bolji indikator sigurnosti od PCI DSS logotipa – regulator provodi nadzor nad cijelim životnim ciklusom operatera, ne samo u jednom trenutku.
Kako provjeriti PCI DSS status kladionice
Ovo je pitanje koje mi igrači postavljaju najčešće – i odgovor je manje jednostavan nego što biste htjeli. PCI DSS certifikacija nije javno dostupna baza podataka u koju možete zaviriti i provjeriti status bilo kojeg operatera. Ali postoje signali koje možete tražiti.
Prvi signal: Visa ili PCI DSS logo na web stranici kladionice. Iako sam logo nije garancija – svatko ga može staviti na stranicu – licencirane kladionice koje ga prikazuju podliježu provjeri od strane procesora plaćanja koji bi otkrio lažnu tvrdnju. Drugi signal: kvaliteta sigurnosne infrastrukture na samoj stranici. Provjerite koristi li kladionica HTTPS s valjanim certifikatom, nudi li tokenizirana plaćanja, zahtijeva li 3D Secure autentifikaciju – sve su to znakovi da operater uzima sigurnost ozbiljno.
Treći, najpouzdaniji signal: licencija. Regulatorna tijela poput Maltese Gaming Authority, UK Gambling Commission ili hrvatskog Ministarstva financija zahtijevaju PCI DSS usklađenost kao uvjet za izdavanje licencije. Ako kladionica ima licenciju priznatog regulatora, praktički sigurno ima i PCI DSS certifikat. Offshore kladionice s licencijama iz jurisdikcija s minimalnim zahtjevima – Curaçao, na primjer – ne pružaju istu razinu sigurnosti.
Moj savjet: ne tražite specifično PCI DSS certifikat – tražite licenciju priznatog regulatora jer ona automatski uključuje PCI DSS kao zahtjev. To je najjednostavniji i najpouzdaniji način da osigurate sigurnost svojih Visa podataka.
Što PCI DSS znači za sigurnost vaše Visa kartice
Visa PERC (Payment Ecosystem Risk and Control) zabilježila je rast ransomware incidenata od 41% u platnoj industriji u prvoj polovici 2025. u odnosu na prethodnih šest mjeseci. Taj alarmantan rast čini PCI DSS standard važnijim nego ikada jer upravo on definira obrambene mehanizme protiv takvih napada.
PCI DSS za vašu Visa karticu konkretno znači: kladionica ne smije čuvati vaš CVV nakon autorizacije transakcije. Broj kartice mora biti šifriran tijekom prijenosa i pohrane. Pristup kartičnim podacima ograničen je na minimalan broj zaposlenika. Mreža kladionice mora biti segmentirana – sustav za kartična plaćanja izoliran je od ostatka infrastrukture. Redoviti sigurnosni testovi otkrivaju ranjivosti prije nego ih napadači iskoriste.
U praksi, ako se kladite na platformi s PCI DSS certifikatom i koristite Visa sigurnosne protokole poput 3D Secure i tokenizacije, razina zaštite vaših financijskih podataka usporediva je s onom koju imate pri kupovini na najvećim globalnim web trgovinama. PCI DSS ne garantira da proboj nikada neće dogoditi – ali garantira da su poduzete sve razumne mjere da se to spriječi, i da su vaši podaci zaštićeni čak i u slučaju uspješnog napada.
Jedna stvar koju želim naglasiti: PCI DSS štiti vaše podatke na strani kladionice, ali ne pokriva vašu odgovornost za sigurnost s vaše strane. Jaka lozinka, aktiviran 3D Secure, ažuriran operativni sustav na vašem uređaju i oprez prema phishing porukama – sve to ostaje vaša odgovornost. Najsigurnija kladionica na svijetu ne može vas zaštititi ako svoju lozinku “Kladionica123” koristite na deset različitih platformi i ne mijenjate je godinama.
Česta pitanja o PCI DSS
PCI DSS zvuči kao tehnički žargon, ali njezin utjecaj na sigurnost vaše Visa kartice je vrlo konkretan i svakodnevan.
Može li kladionica bez PCI DSS certifikata prihvaćati Visa uplate?
Formalno ne – Visa zahtijeva PCI DSS usklađenost od svih trgovaca koji prihvaćaju njezine kartice. U praksi, neke offshore kladionice zaobilaze ovo pravilo korištenjem posrednika ili procesora u jurisdikcijama s labavim nadzorom. Ako kladionica nema licenciju priznatog regulatora, ne postoji garancija da ispunjava PCI DSS standarde.
Tko provjerava PCI DSS usklađenost kladionica?
Za Razinu 1, provjeru vrši kvalificirani sigurnosni assessor (QSA) – neovisna tvrtka certificirana od PCI Security Standards Councila. Za niže razine, kladionica može provesti samoprocjenu. Regulatorna tijela koja izdaju licencije također zahtijevaju dokaze o PCI DSS usklađenosti kao dio licencnog procesa.