Dodržiavanie predpisov a štandardu bezpečnosti údajov (DSS) odvetvia platobných kariet je požadované od všetkých subjektov, ktoré uchovávajú, spracovávajú či prenášajú údaje držiteľa karty Visa vrátane finančných inštitúcií, obchodníkov a poskytovateľov služieb. Programy Visa spravujú dodržiavanie predpisov a štandardu bezpečnosti údajov (DSS) odvetvia platobných kariet požiadavkou na zúčastnených, aby pravidelne preukazovali dodržiavanie predpisov.
Oboznámte sa s požiadavkami na dodržiavanie bezpečnostných predpisov
Dodržiavanie predpisov a štandardov bezpečnosti údajov odvetvia platobných kariet
Bezpečnostné štandardy výhodné pre každého.
-
Bezpečnostný program pre informácie držiteľa karty (CSIP) spoločnosti Visa je program dodržiavania predpisov, ktorého cieľom je ochrániť údaje držiteľov kariet Visa tým, že zaistí klientom, obchodníkom a poskytovateľom služieb najvyššiu úroveň bezpečnosti informácií.
Rada pre bezpečnostné normy pre odvetvie platobných kariet (SSC) vlastní, udržiava a spravuje štandard bezpečnosti údajov pre odvetvie platobných kariet a všetky podporné dokumenty, ale Visa spravuje všetky práva prvého kroku vo vzťahu k presadzovaniu a overovaniu dodržiavania predpisov pre bezpečnosť údajov.
-
Vydavatelia a prijímatelia sú zodpovední za zabezpečenie dodržiavania požiadaviek štandardu bezpečnosti údajov pre odvetvie platobných kariet u svojich poskytovateľov služieb, obchodníkov a poskytovateľov služieb svojich obchodníkov.
Overenie dodržiavania predpisov u obchodníkov sa stalo prioritou z dôvodu objemu transakcií, potenciálneho rizika a odhalenia, ktorému podlieha platobný systém.
Vydavatelia a prijímatelia musia zabezpečiť, aby všetci ich poskytovatelia služieb úrovne 1 a úrovne 2 preukázali dodržiavanie predpisov a štandardu bezpečnosti údajov pre odvetvie platobných kariet v čase registrácie zástupcu tretej strany (TPA) a následne každých 12 mesiacov.
Zistite viac o dodržiavaní predpisov u poskytovateľov služieb
-
Prijímatelia musia zabezpečiť, aby sa ich obchodníci osvedčili na požadovanej úrovni, a získali požadované dokumenty o dodržiavaní predpisov od svojich obchodníkov. Obchodné banky a obchodníci by si mali overiť zhodu s požiadavkami nahlasovania ostatných značiek platobných kariet, čo si môže vyžadovať dôkaz o potvrdení o dodržiavaní predpisov.
Poskytovatelia služieb úrovne 1, ktorí nie sú priamo spojení s Visa, sa musia podrobiť prehodnoteniu bezpečnosti údajov pre odvetvie platobných kariet na mieste predaja a zaslať vydané osvedčenie o zhode (AOC), podpísané poskytovateľom služieb aj kvalifikovaným hodnotiteľom bezpečnosti (QSA) spoločnosti Visa. Poskytovatelia služieb úrovne 2 musia zaslať podpísaný samohodnotiaci dotazník (SAQ-D) alebo AOC vrátane podpisu QSA. Vyhodnotenie dodržiavania predpisov a štandardu bezpečnosti údajov pre odvetvie platobných kariet je požadované predtým, ako bude poskytovateľ služieb zaradený do Globálneho registra poskytovateľov služieb spoločnosti Visa (register).
-
Základné pravidlá Visa (VCR) a Pravidlá Visa pre produkty a služby upravujú činnosti finančných inštitúcií klientov a poskytovateľov služieb a obchodníkov ako účastníkov platobného systému Visa.
Vydavatelia a prijímatelia sú zodpovední za zabezpečenie dodržiavania predpisov a štandardu bezpečnosti údajov odvetvia platobných kariet u svojich poskytovateľov služieb a obchodníkov vrátane poskytovateľov služieb, ktorých služby využíva ich obchodník. Ako poskytovateľ služieb a obchodník musíte vždy v plnej miere dodržiavať predpisy. (Časť VCR ID č. 0002228 a č. 0008031)
Ak poskytovateľ služieb a obchodník nedodržiavajú predpisy a štandardy bezpečnosti údajov pre odvetvie platobných kariet, spoločnosť Visa môže nariadiť posúdenie nedodržiavania predpisov vydavateľa alebo prijímateľa. Vydavateľ alebo prijímateľ je zodpovedný za platbu za všetky posúdenia a nesmie to interpretovať tak, že Visa zadala posúdenie na poskytovateľa služieb či obchodníka. (Časť VCR ID č. 0001054)
Prijímatelia môžu kontaktovať správu rizík Visa na [email protected] a získať viac informácií.
Program zabezpečenia prostredníctvom PIN
Visa zjednodušuje overovanie dodržiavania predpisov zabezpečenia prostredníctvom PIN vo všetkých regiónoch.
Štandard bezpečnosti údajov pre platobné aplikácie (PA-DSS)
Visa dôrazne odporúča predajcom platobných aplikácií, aby si zabezpečili a overili súlad svojich produktov s PA-DSS. Aplikácie v súlade s PA-DSS pomáhajú obchodníkom a zástupcom znižovať úroveň kompromitovania, predísť uchovávaniu citlivých údajov držiteľa karty a podporiť celkové dodržiavanie predpisov a štandardu bezpečnosti údajov. PA-DSS sa vzťahuje len na softvér platobných aplikácií tretích strán, ktorý uchováva, spracováva a prenáša údaje držiteľa karty v rámci procesu autorizácie alebo zúčtovania. Softvérové aplikácie v obchode sú zastrešené v rámci hodnotenia dodržiavania predpisov a štandardu bezpečnosti údajov pre odvetvie platobných kariet obchodníkov a zástupcov.
Zistite viac v Rade pre bezpečnostné normy pre odvetvie platobných kariet
-
1. januára 2008 implementovala spoločnosť Visa rady mandátov na elimináciu použitia zraniteľných platobných aplikácií z platobného systému Visa. Tieto mandáty požadujú, aby prijímatelia zabezpečili, že ich obchodníci a zástupcovia nepoužívajú platobné aplikácie, o ktorých je známe, že zadržiavajú údaje držiteľa karty (napr. kompletné údaje magnetického prúžku, CVV2 alebo údaje PIN), a používali platobné aplikácie, ktoré sú v zhode s požiadavkami PA-DSS.
-
Napriek tomu, že mnohí predajcovia platobných aplikácií poskytujú platobné aplikácie, ktoré sú v zhode s PA-DSS, narastajú obavy, že aktualizácie platobného softvéru nie sú vyvíjané konzistentne, čo môže znamenať opätovnú inštaláciu už známych zraniteľných faktorov. Navyše, existujú obavy, že platobný systém nie je bezpečne implementovaný na stránkach zákazníka.
Kompromitácie na strane obchodníka a zástupcu ukazujú, že mnohé spoločnosti, ktoré poskytujú platobné aplikácie, majú nepostačujúce softvérové postupy pri inštalácii platobných aplikácií a systému, podporujú zákazníkov v používaní slabých, zdieľaných alebo pôvodne nastavených prístupových informácií a spravujú stránky zákazníka použitím nedostatočne implementovaných vzdialených nástrojov na správu. Kriminálnici dokážu využiť tieto zraniteľné vstupné informácie a získať tým prístup k prostrediu držiteľa karty.
Spoločnosť Visa vyvinula osvedčené postupy ako pomôcť spoločnostiam poskytujúcim platobné aplikácie pri riešení závažných softvérových procesov. V rámci hĺbkovej analýzy by prijímatelia, obchodníci a zástupcovia mali zabezpečiť, že spoločnosti, ktorých platobné aplikácie používajú, dôsledne prešli požadovanými softvérovými procesmi.
10 najlepších osvedčených postupov spoločnosti Visa pre spoločnosti poskytujúce platobné aplikácie
-
Spoločnosť Visa zistila, že určité platobné aplikácie sú navrhnuté predajcami softvéru tak, aby po autorizácii transakcie uchovávali citlivé údaje držiteľa karty (napr. kompletné údaje magnetického prúžku, CVV2 alebo údaje PIN). Uchovávanie týchto prvkov údajov držiteľa karty predstavuje priame porušenie štandardu bezpečnosti údajov pre odvetvie platobných kariet a pravidiel Visa. Kriminálnici sa zameriavajú na obchodníkov a zástupcov, ktorí používajú zraniteľné platobné aplikácie a zneužívajú bezpečnostnú zraniteľnosť pri hľadaní a odcudzení údajov držiteľa karty.
Spoločnosť Visa bude v záujme zníženie rizika kompromitovania podľa potreby upozorňovať kľúčové zainteresované strany, vrátane prijímateľov, a poskytne im aktualizovaný zoznam zraniteľných platobných aplikácií. Ak odhalíte zraniteľnú platobnú aplikáciu a máte informácie o predajcovi tejto platobnej aplikácie, o jej verzii, mieste uchovávania citlivých údajov a kontaktné informácie predajcu, oznámte to prosím spoločnosti Visa e-mailom na adresu [email protected]. Všetky poskytnuté informácie budú preverené prostredníctvom predajcu softvéru. Spoločnosť Visa nezverejní žiadnemu predajcovi softvéru zdroj svojich informácií, ani žiadne iné informácie, ktoré by mohli viesť k identifikácii zdroja.
-
Spoločnosť Visa vyvinula Osvedčené postupy pre platobné aplikácie (PABP) v roku 2005, aby poskytla predajcom softvéru odbornú pomoc pri vývoji ich platobných aplikácií, vďaka čomu môžu obchodníci a zástupcovia znižovať riziko kompromitácie, predchádzať uchovávaniu citlivých údajov držiteľa karty (napr. kompletné údaje magnetického prúžku, CVV2 a údaje PIN) a podporiť celkové dodržiavanie predpisov a štandardu bezpečnosti údajov pre odvetvie platobných kariet. V roku 2008 Rada pre bezpečnostné normy pre odvetvie platobných kariet prijala PABP spoločnosti Visa a vydala tieto štandardy ako PA-DSS. PA-DSS teraz nahradzujú PABP na účely programu spoločnosti Visa na dodržiavanie predpisov.