Conformitatea cu Standardul de securitate a datelor (DSS) din Industria Plăților cu cardul trebuie respectată de toate entitățile care stochează, procesează sau transmit datele titularului cardului Visa, incluzând aici instituții financiare, comercianți și furnizori de servicii. Programele Visa gestionează conformitatea PCI DSS solicitând participanților să facă dovada conformităţii în mod regulat.
Fii la curent cu standardele de securitate
Conformitate PCI DSS
Standarde de securitate în avantajul tuturor.
-
Programul privind securitatea informațiilor titularului cardului (CISP) este un program de conformitate care are scopul de a proteja datele titularului cardului Visa asigurând menţinerea celor mai înalte standarde de securitate a informaţiilor de către clienți, comercianți și furnizori de servicii.
Consiliul Standarde de Securitate (SSC) al PCI deține, menține și administrează PCI DSS și toate documentele sale auxiliare; totuși, Visa gestionează toate inițiativele de punere în aplicare și validare a conformității cu prevederile referitoare la securitatea datelor.
-
Emitenții și acceptatorii au responsabilitatea de a se asigura că toți furnizorii de servicii, comercianții și furnizorii de servicii ai comercianților respectă cerințele PCI DSS.
Validarea conformității comercianților a ocupat un loc prioritar pe baza volumului de tranzacții, riscului potențial și expunerii introduse în sistemul de plată.
Emitenții și acceptatorii trebuie să se asigure că toți furnizorii de servicii de nivelul 1 și 2 fac dovada conformităţii PCI DSS în momentul înregistrării reprezentanților entității externe (TPA) și, ulterior, o dată la 12 luni.
Aflați mai multe despre conformitatea furnizorilor de servicii
-
Acceptatorii ar trebuie să asigure validarea comercianţilor la nivelul adecvat și obținerea documentației necesare de validare a conformității de la comercianții lor. Băncile comerciante și comercianții trebuie, de asemenea, să verifice cerințele privind raportarea conformității ale altor branduri de card de plată, care necesită dovada validării conformității.
Furnizorii de servicii de nivelul 1 care nu sunt conectați direct cu Visa trebuie să realizeze evaluarea anuală a securității datelor PCI în locație și să transmită către Visa un certificat de conformitate (AOC) semnat de furnizorul de servicii și de evaluatorul de securitate calificat (QSA). Furnizorii de servicii de nivelul 2 trebuie să transmită formularul cu Chestionarul de Auto-Evaluare (SAQ-D) semnat sau un AOC care să includă semnătura QSA. Validarea conformității PCI DSS este necesară înainte ca furnizorul de servicii să poată figura în Registrul global Visa al furnizorilor de servicii (Registrul).
-
Regulile de bază Visa și Regulile privind produsele și serviciile Visa sunt valabile pentru activitățile instituțiilor financiare ale clientului și, prin extrapolare, furnizorilor de servicii și comercianților, ca participanți la sistemul de plată Visa.
Emitenții și acceptatorii au responsabilitatea de a asigura conformitatea PCI DSS a furnizorilor de servicii și a comercianților, inclusiv a furnizorilor de servicii pe care îi utilizează comerciantul. Furnizorul de servicii și comerciantul trebuie să asigure în permanență o conformitate deplină. (ID secțiunea VCR nr. 0002228 și nr. 0008031)
Dacă un furnizor de servicii sau un comerciant nu respectă DSS PCI sau nu rectifică o problemă de securitate, Visa poate efectua evaluarea neconformității emitentului sau acceptatorului. Emitentul sau acceptatorul trebuie să plătească toate evaluările și nu trebuie să afirme că Visa a impus o evaluare obligatorie asupra furnizorului de servicii sau a comerciantului. (ID secțiunea VCR nr. 0001054)
Pentru mai multe informații, acceptatorii pot contacta divizia de Risc Visa la adresa [email protected] .
Programul de securitate PIN
Visa simplifică validarea conformității privind securitatea PIN în toate regiunile.
Standardul de securitate a datelor privind aplicația de plată (PA-DSS)
Visa încurajează insistent furnizorii de aplicații de plată să instituie și să valideze conformitatea produselor lor cu PA-DSS. Aplicațiile conforme cu PA-DSS ajută comercianții și agenții să diminueze situațiile de compromitere, să prevină stocarea datelor confidențiale ale titularului cardului și să susțină conformitatea de ansamblu cu DSS PCI. PA-DSS este valabil exclusiv pentru software-ul de aplicații de plată al entităţii externe care stochează, procesează sau transmite datele titularului cardului ca parte a unei autorizaţii sau decontări. Aplicațiile software in-house intră sub incidența evaluării DSS PCI a unui comerciant sau agent.
-
La data de 1 ianuarie 2008, Visa a implementat o serie de mandate pentru a elimina utilizarea aplicațiilor de plată vulnerabile din sistemul de plată Visa. Aceste mandate impun acceptatorilor să se asigure că agenții şi comercianții lor nu folosesc aplicații de plată despre care se cunoaște că păstrează datele confidențiale ale titularului cardului (de ex. date complete de pe banda magnetică, date CVV2 sau PIN) și că solicită acestora să utilizeze aplicații de plată conforme cu PA-DSS.
-
În timp ce numeroși furnizori de aplicații de plată au dezvoltat aplicații de plată conforme cu PA-DSS, există semne de alarmă că actualizările software-ului de plată nu se dezvoltă în mod constant pentru a asigura absența reintroducerii unor vulnerabilități cunoscute. În plus, există îngrijorări că software-ul de plată nu este implementat în condiții de securitate în locațiile clienților.
Situațiile de compromitere cu care se confruntă comercianții și agenții indică faptul că un număr de companii dezvoltatoare de aplicații de plată au practici nesatisfăcătoare în privința software-ului, atunci când instalează aplicațiile de plată și sistemele; oferă clienților asistență folosind acreditări de acces de nivel slab, partajate sau predefinite și gestionează locația clientului folosind instrumente de management la distanță implementate în mod nesatisfăcător. Infractorii pot exploata aceste date vulnerabile și pot obține acces la mediile titularului cardului.
Visa a dezvoltat o serie de cele mai bune practici pentru a ajuta companiile dezvoltatoare de aplicații de plată să abordeze procesele software esențiale. Ca parte a demersurilor necesare, acceptatorii, comercianții și agenții se vor asigura că dezvoltatorii de aplicații de plată folosiţi satisfac cerințele riguroase ale unor procese software mature.
Cele mai bune zece practici Visa pentru companiile din domeniul aplicațiilor de plată
-
Visa a identificat faptul că anumite aplicații de plată sunt concepute de furnizorii de programe software pentru a stoca datele confidențiale ale titularului cardului (de ex. datele complete de pe banda magnetică, datele CVV2 sau PIN) ulterior autorizării tranzacției. Stocarea datelor titularului cardului încalcă în mod direct regulile DSS PCI și ale Visa. Infractorii vizează comercianții și agenții care utilizează aceste aplicații de plată vulnerabile și exploatează aceste vulnerabilități de securitate pentru a găsi și a fura datele titularului cardului.
Visa va notifica cele mai importante părți interesate, inclusiv acceptatorii, pentru a ajuta la combaterea situațiilor de compromitere, în funcţie de necesităţi, publicând o listă actualizată a aplicațiilor de plată vulnerabile. Dacă descoperi o aplicație de plată vulnerabilă și deții informații specifice cu privire la furnizorul aplicației de plată, la versiunea aplicației, la locul unde sunt stocate datele confidențiale ale titularului cardului și la datele de contact ale furnizorului, te rugăm să înștiințezi Visa prin e-mail la [email protected]. Toate informațiile comunicate vor fi verificate împreună cu furnizorul de software, iar Visa nu va comunica acestuia sursa informațiilor și nici un va dezvălui informații care să conducă la identificarea sursei informațiilor.
-
Visa a dezvoltat Cele mai bune practici în privința aplicațiilor de plată (PABP) în 2005, pentru a le oferi furnizorilor de software îndrumări pentru dezvoltarea unor aplicații de plată care să ajute comercianții și agenții să combată situațiile de compromitere, să prevină stocarea datelor confidențiale despre titularii de card (de ex. datele complete de pe banda magnetică, datele CVV2 și PIN) și să susțină conformitatea de ansamblu cu DSS PCI. În 2008, Consiliul Standarde de Securitate a adoptat PABP Visa și a publicat standardul sub denumirea PA-DSS. PA-DSS înlocuiește acum PABP în ceea ce privește programul de conformitate Visa.