Zgodność ze Standardem Bezpieczeństwa Danych (DSS) Rynku Kart Płatniczych jest wymagana od wszystkich podmiotów, które przechowują, przetwarzają bądź transmitują dane posiadaczy kart Visa, w tym instytucji finansowych, akceptantów oraz dostawców usług. Programy Visa zarządzają zgodnością z PCI DSS poprzez wymaganie, aby uczestnicy regularnie wykazywali zgodność z tymi wymogami.
Bądź na bieżąco ze standardami w zakresie bezpieczeństwa
Zgodność z PCI DSS
Standardy bezpieczeństwa, na których każdy korzysta.
-
Program Bezpieczeństwa Danych Posiadaczy Kart Visa (CISP) jest programem zgodnościowym, mającym na celu ochronę danych posiadaczy kart Visa poprzez zapewnienie, by klienci, akceptanci i dostawcy usług zachowywali najwyższe standardy w zakresie bezpieczeństwa danych.
Rada Standardów Bezpieczeństwa PCI (SSC) posiada, utrzymuje i zarządza PCI DSS oraz wszelką powiązaną dokumentacją; jednakże Visa zarządza egzekwowaniem zgodności z wymogami w zakresie bezpieczeństwa danych, a także inicjatywami w kwestiach zatwierdzania.
-
Wydawcy kart i agenci rozliczeniowi mają obowiązek zapewnienia, że wszyscy ich dostawcy usług, sprzedawcy oraz dostawcy usług akceptantów spełniają wymogi PCI DSS.
Weryfikacja zgodności akceptantów stała się priorytetem w oparciu o ilość transakcji, potencjalne ryzyko oraz narażenie systemu płatności.
Wydawcy kart oraz agenci rozliczeniowi muszą zapewnić, by ich dostawcy usług poziomów 1 i 2 wykazywali zgodność z PCI DSS przy rejestracji agentów zewnętrznych (TPA), a później co roku.
Dowiedz się więcej na temat zgodności z wymogami dla dostawców usług
-
Agenci rozliczeniowi muszą zagwarantować, że ich akceptanci weryfikują na odpowiednim poziomie oraz uzyskują wymaganą dokumentację w zakresie weryfikacji zgodności z wymogami od swoich akceptantów. Banki akceptantów oraz akceptanci powinni także zweryfikować wymogi co do raportowania zgodności innych marek kart płatniczych, które mogą wymagać dowodu weryfikacji zgodności.
Dostawcy usług poziomu 1 nie powiązani bezpośrednio z Visa muszą przeprowadzać u siebie coroczną ocenę bezpieczeństwa danych PCI i przesyłać Visa wykonany atest zgodności (AOC), podpisany zarówno przez dostawcę usługi, jak i biegłego audytora ds. bezpieczeństwa (QSA). Dostawcy usług poziomu 2 muszą przesłać podpisany formularz kwestionariusza samooceny (SAQ-D) lub AOC z podpisem QSA. Weryfikacja zgodności z PCI DSS jest wymagana przed umieszczeniem dostawcy usługi na liście Globalnego rejestru dostawców usług Visa (Rejestru).
-
Podstawowe Zasady Visa oraz Zasady Visa dot. produktów i usług dotyczą działań instytucji finansowych klientów i z tego względu akceptantów oraz dostawców usług jako uczestników systemu płatności Visa.
Wydawcy kart oraz agenci rozliczeniowi są odpowiedzialni za zapewnienie zgodności z PCI DSS swoich dostawców usług i akceptantów, w tym dostawców usług, z których korzysta sprzedawca. Każdy dostawca usług i akceptant musi przez cały czas zachowywać pełną zgodność z wymogami. (VCR, sekcja ID #0002228 i #0008031)
Jeśli dostawca usług lub akceptant nie spełni zasad PCI DSS ani nie naprawi problemu związanego z bezpieczeństwem, Visa może zarządzić ocenę niezgodności z zasadami u wydawcy kart lub agenta rozliczeniowego. Wydawca kart lub agent rozliczeniowy ma obowiązek opłacenia wszelkich ocen i nie wolno mu przekazywać informacji, że Visa nałożyła obowiązek oceny na dostawcę usług lub akceptanta. (VCR, sekcja ID #0001054)
Agenci rozliczeniowi mogą skontaktować się z Działem ryzyka Visa pod adresem: [email protected] , aby uzyskać więcej informacji.
Program Zabezpieczeń PIN
Visa upraszcza sprawdzanie zgodności zabezpieczenia PIN we wszystkich regionach.
Standard Bezpieczeństwa Danych Aplikacji Płatniczych (PA-DSS)
Visa gorąco zachęca dostarczycieli aplikacji płatniczych do opracowywania i uwierzytelniania dostosowania ich produktów do PA-DSS. Aplikacje zgodne z PA-DSS, pomagające akceptantom i agentom w minimalizacji naruszeń bezpieczeństwa, zapobiegają przechowywaniu wrażliwych danych posiadaczy kart i wspierają ogólną zgodność z PCI DSS. PA-DSS dotyczy jedynie oprogramowania aplikacji płatniczych stron trzecich, które przechowują, przetwarzają bądź przesyłają dane posiadaczy kart w ramach autoryzacji lub uiszczenia płatności. Aplikacje oprogramowania wewnętrznego podlegają ocenie PCI DSS akceptanta lub agenta.
-
1 stycznia 2008 r. Visa wprowadziła serię mandatów, by wyeliminować z systemu płatności Visa korzystanie z narażonych na ataki aplikacji płatniczych. Mandaty te wymagają, by agenci rozliczeniowi zapewniali, że ich akceptanci i agenci nie korzystają z aplikacji płatniczych znanych z zachowywania wrażliwych danych posiadaczy kart (tj. pełnych danych z paska magnetycznego, kodu CVV2 lub kodu PIN), i wymagali korzystania z aplikacji płatniczych zgodnych z PA-DSS.
-
Podczas gdy wielu dostawców aplikacji płatniczych wprowadziło aplikacje zgodne z PA-DSS, istnieje rosnąca obawa, że uaktualnienia aplikacji płatniczych nie są konsekwentnie opracowywane, aby zapewnić niewprowadzenie ponownie słabych punktów, o których wiedziano wcześniej. Ponadto istnieje obawa, że oprogramowanie płatnicze nie jest wprowadzane w sposób bezpieczny u klientów.
Narażenie na niebezpieczeństwo akceptantów i agentów ujawnia, że wiele firm oferujących aplikacje płatnicze stosuje niewystarczające praktyki w zakresie oprogramowania podczas instalacji aplikacji i systemów płatniczych, obsługuje klientów, stosując słabe, wspólne lub domyślne dane logowania oraz zarządza stronami klientów z użyciem nieadekwatnie wdrożonych zdalnych narzędzi zarządzania. Przestępcy mogą wykorzystywać te narażone na ataki wpisy i uzyskiwać dostęp do środowisk posiadaczy kart.
Visa opracowała zestaw najlepszych praktyk, aby pomagać firmom oferującym aplikacje płatnicze w reagowaniu na najważniejsze procesy w zakresie oprogramowania. W ramach swojej kompleksowej analizy finansowej agenci rozliczeniowi, akceptanci oraz agenci powinni zapewnić, że firmy oferujące aplikacje płatnicze, z których usług korzystają, spełniają rygorystyczne kryteria dojrzałych procesów oprogramowania.
Dziesięć najlepszych praktyk Visa dla firm oferujących aplikacje płatnicze
-
Visa stwierdziła, że niektóre aplikacje płatnicze zostały zaprojektowane przez dostawców oprogramowania do przechowywania wrażliwych danych posiadaczy kart (tj. danych z paska magnetycznego, kodu CVV2, kodu PIN) po autoryzacji transakcji. Przechowywanie takich elementów danych posiadaczy kart stanowi bezpośrednie naruszenie wymogów PCI DSS oraz zasad Visa. Przestępcy atakują akceptantów i agentów korzystających z narażonych na ataki aplikacji płatniczych i wykorzystują te słabości, aby znajdować i kraść dane posiadaczy kart.
Visa będzie powiadamiać najważniejszych interesariuszy, w tym agentów rozliczeniowych, aby pomagać w minimalizowaniu naruszeń, w ramach potrzeb, i przekazywać uaktualnioną listę narażonych na niebezpieczeństwo aplikacji płatniczych. Jeśli zauważysz narażoną na niebezpieczeństwo aplikację płatniczą i posiadasz konkretne informacje na temat dostawcy tej aplikacji płatniczej, wersji aplikacji, gdzie przechowywane są wrażliwe dane posiadaczy kart i dane kontaktowe dostawców, powiadom Visa pocztą elektroniczną pod adresem: [email protected]. Wszelkie podane informacje zostaną zweryfikowane przez dostawcę oprogramowania. Visa nie ujawni żadnemu dostawcy oprogramowania źródła informacji ani nie ujawni informacji, które mogłyby ujawnić tożsamość ich źródła.
-
Visa opracowała Najlepsze praktyki w zakresie aplikacji płatniczych (PABP) w 2005 r., aby zapewnić dostawcom oprogramowania wytyczne co do rozwoju aplikacji płatniczych pomagające akceptantom i agentom minimalizować narażenie na niebezpieczeństwo, zapobiegać przechowywaniu wrażliwych danych posiadaczy kart (tj. pełnych danych z paska magnetycznego, kodu CVV2 lub kodu PIN) oraz wspierać ogólną zgodność z PCI DSS. W 2008 roku SSC PCI adoptowała PABP Visa i opublikowała ten standard jako PA-DSS. PA-DSS zastępuje obecnie PABP dla celów programu zgodnościowego Visa.