Η συμμόρφωση με το πρότυπο ασφάλειας δεδομένων του τομέα καρτών πληρωμής (DSS) είναι υποχρεωτική για όλες τους φορείς που αποθηκεύουν, επεξεργάζονται ή μεταφέρουν στοιχεία κατόχων κάρτας Visa, περιλαμβανομένων των χρηματοπιστωτικών ιδρυμάτων, των εμπόρων και των παρόχων υπηρεσιών. Τα προγράμματα της Visa διαχειρίζονται τη συμμόρφωση με το PCI DSS απαιτώντας από τους συμμετέχοντες να αποδεικνύουν τη συμμόρφωσή τους ανά τακτά χρονικά διαστήματα.
Μείνετε ενημερωμένοι σχετικά με τα πρότυπα ασφάλειας
Συμμόρφωση PCI DSS
Πρότυπα ασφάλειας από τα οποία ωφελούνται όλοι.
-
Το πρόγραμμα ασφάλειας πληροφοριών κατόχων κάρτας (CISP) της Visa είναι ένα πρόγραμμα συμμόρφωσης που αποσκοπεί στην προστασία των στοιχείων κατόχων κάρτας Visa, διασφαλίζοντας ότι οι πελάτες, οι έμποροι και οι πάροχοι υπηρεσιών ακολουθούν το υψηλότερο πρότυπο ασφάλειας πληροφοριών.
Το Συμβούλιο Προτύπων Ασφάλειας (SSC) του τομέα καρτών πληρωμής κατέχει, διατηρεί και διαχειρίζεται το PCI DSS και όλα τα υποστηρικτικά του έγγραφα. Ωστόσο, η Visa διαχειρίζεται όλες τις πρωτοβουλίες επιβολής και επικύρωσης της συμμόρφωσης με την ασφάλεια δεδομένων.
-
Οι εκδότες και οι αποδέκτες ευθύνονται για τη διασφάλιση της συμμόρφωσης με τις απαιτήσεις του PCI DSS εκ μέρους όλων των παρόχων υπηρεσιών, εμπόρων και παρόχων υπηρεσιών των εμπόρων τους.
Η επικύρωση της συμμόρφωσης των εμπόρων έχει τεθεί σε προτεραιότητα λόγω του όγκου των συναλλαγών, του δυνητικού κινδύνου και της έκθεσής τους στο σύστημα πληρωμών.
Οι εκδότες και οι αποδέκτες πρέπει να διασφαλίζουν ότι όλοι οι πάροχοι υπηρεσιών τους επιπέδου 1 και 2 αποδεικνύουν τη συμμόρφωσή τους με το PCI DSS κατά τη στιγμή της δήλωσης των Εκπροσώπων Τρίτου Μέρους (TPA) και κάθε 12 μήνες έκτοτε.
-
Οι αποδέκτες πρέπει να διασφαλίζουν ότι οι έμποροί τους πραγματοποιούν επικυρώσεις στο κατάλληλο επίπεδο και ότι λαμβάνουν τα απαιτούμενα έγγραφα που αποδεικνύουν τη συμμόρφωση των εμπόρων τους. Οι τράπεζες των εμπόρων και οι έμποροι θα πρέπει, επίσης, να επαληθεύουν τις απαιτήσεις αναφοράς της συμμόρφωσης άλλων επωνυμιών καρτών πληρωμής οι οποίες ενδέχεται να απαιτούν απόδειξη της επικύρωσης της συμμόρφωσης.
Οι πάροχοι υπηρεσιών επιπέδου 1 που δεν συνδέονται άμεσα με τη Visa, υποχρεούνται να ολοκληρώνουν την ετήσια, επιτόπια αξιολόγηση της ασφάλειας δεδομένων του PCI και να προσκομίζουν στη Visa μια επικυρωμένη βεβαίωση συμμόρφωσης (AOC), υπογεγραμμένη από τον πάροχο υπηρεσιών και τον εξουσιοδοτημένο αξιολογητή (QSA). Οι πάροχοι υπηρεσιών επιπέδου 2 πρέπει να προσκομίζουν ένα υπογεγραμμένο ερωτηματολόγιο αυτοαξιολόγησης (SAQ-D) ή μια επικυρωμένη βεβαίωση συμμόρφωσης (AOC) με την υπογραφή του εξουσιοδοτημένου αξιολογητή (QSA). Η επικύρωση της συμμόρφωσης με το PCI DSS απαιτείται προτού ένας πάροχος υπηρεσιών να προστεθεί στο Παγκόσμιο Μητρώο Πάροχων Υπηρεσιών της Visa (το Μητρώο).
-
Οι Βασικοί Κανόνες της Visa (VCR) και οι Κανόνες Προϊόντων και Υπηρεσιών της Visa διέπουν τις δραστηριότητες των χρηματοπιστωτικών ιδρυμάτων πελατών και, κατ’ επέκταση, τους εμπόρους και τους παρόχους υπηρεσιών στο σύστημα πληρωμών της Visa.
Οι εκδότες και οι αποδέκτες ευθύνονται για τη διασφάλιση της συμμόρφωσης με το PCI DSS εκ μέρους των εμπόρων και των παρόχων υπηρεσιών τους, περιλαμβανομένων των παρόχων υπηρεσιών που χρησιμοποιούν οι έμποροι. Οι πάροχοι υπηρεσιών και οι έμποροι πρέπει να διασφαλίζουν την πλήρη συμμόρφωση ανά πάσα στιγμή. (ενότητα VCR ID #0002228 and #0008031)
Εάν ένας πάροχος υπηρεσιών ή ένας έμπορος δεν συμμορφώνεται με το PCI DSS ή δεν καταφέρει να επιδιορθώσει ένα ζήτημα ασφάλειας, η Visa ενδέχεται να εκδόσει μια αξιολόγηση μη συμμόρφωσης στον εκδότη ή τον αποδέκτη. Ο εκδότης ή ο αποδέκτης ευθύνεται για την κάλυψη των εξόδων για όλες τις αξιολογήσεις που εκδίδονται και δεν πρέπει να παρουσιάζει ότι η Visa επέβαλε οποιαδήποτε αξιολόγηση στον πάροχο υπηρεσιών ή στον έμπορο. (ενότητα VCR ID #0001054)
Οι αποδέκτες μπορούν να επικοινωνούν με το τμήμα Διαχείρισης Κινδύνων της Visa στο [email protected] για περισσότερες πληροφορίες.
Πρόγραμμα ασφάλειας PIN
H Visa απλοποιεί την επικύρωση συμμόρφωσης με τις απαιτήσεις ασφάλειας PIN σε κάθε τοποθεσία.
Πρότυπο ασφάλειας δεδομένων αίτησης πληρωμής (PA-DSS)
Η Visa προτρέπει έντονα τους πωλητές αίτησης πληρωμής να αναπτύξουν και να επικυρώσουν τη συμμόρφωση των προϊόντων τους με το PA–DSS. Οι αιτήσεις που συμμορφώνονται με το PA–DSS βοηθούν τους εμπόρους και τους εκπροσώπους τους να διαχειρίζονται ευκολότερα τις παραβιάσεις, να προτρέπουν την αποθήκευση ευαίσθητων στοιχείων κατόχων κάρτας, στηρίζοντας παράλληλα τη γενικότερη συμμόρφωση με το PCI DSS. Το πρότυπο PA–DSS ισχύει μόνο για λογισμικό αίτησης πληρωμής τρίτου μέρους το οποίο αποθηκεύει, επεξεργάζεται ή μεταφέρει στοιχεία κατόχων κάρτας ως μέρος μιας εξουσιοδότησης ή ενός διακανονισμού. Οι εσωτερικές εφαρμογές λογισμικού καλύπτονται από την αξιολόγηση συμμόρφωσης με το PCI DSS ενός εμπόρου ή εκπροσώπου τρίτου μέρους.
Μάθετε περισσότερα στο Συμβούλιο Προτύπων Ασφάλειας του τομέα καρτών πληρωμής
-
Την 1η Ιανουαρίου 2008 η Visa εφάρμοσε μια σειρά εντολών προκειμένου να εξαλείψει τη χρήση ευάλωτων αιτήσεων πληρωμών από το σύστημα πληρωμών της Visa. Αυτές οι εντολές απαιτούν από τους αποδέκτες να διασφαλίζουν ότι οι έμποροι και οι εκπρόσωποί τους δεν χρησιμοποιούν αιτήσεις πληρωμών που είναι γνωστό ότι διατηρούν ευαίσθητα στοιχεία κατόχων κάρτας (δηλαδή, τα πλήρη στοιχεία της μαγνητικής λωρίδας, το CVV2 ή το PIN) και απαιτούν τη χρήση εφαρμογών πληρωμών που συμμορφώνονται με το PA–DSS.
-
Ενώ πολλοί πάροχοι αίτησης πληρωμής χρησιμοποιούν πλέον αιτήσεις πληρωμών που συμμορφώνονται με το PA–DSS, υπάρχει αυξανόμενη ανησυχία ότι δεν αναπτύσσονται με συνέπεια ενημερώσεις στο λογισμικό πληρωμών, ώστε να διασφαλίζεται ότι δεν εμφανίζονται ξανά οι γνωστές αδυναμίες. Επιπλέον, υπάρχει ανησυχία ότι το λογισμικό πληρωμών δεν εφαρμόζεται με ασφάλεια στις τοποθεσίες των πελατών.
Οι παραβιάσεις εναντίων εμπόρων και εκπροσώπων αποκαλύπτουν ότι ένας αριθμός εταιρειών αίτησης πληρωμής ακολουθεί κακές πρακτικές όσον αφορά το λογισμικό κατά την εγκατάσταση των αιτήσεων και συστημάτων πληρωμών, εξυπηρετεί τους πελάτες χρησιμοποιώντας αδύναμα, μη μοναδικά ή τυποποιημένα στοιχεία πρόσβασης και διαχειρίζεται τις τοποθεσίες των πελατών χρησιμοποιώντας απομακρυσμένα εργαλεία διαχείρισης που δεν έχουν εφαρμοστεί σωστά. Οι εγκληματίες μπορούν να εκμεταλλευτούν αυτά τα ευάλωτα σημεία εισόδου και να αποκτήσουν πρόσβαση στα περιβάλλοντα των κατόχων καρτών.
Η Visa έχει αναπτύξει ένα σύνολο βέλτιστων πρακτικών προκειμένου να βοηθήσει τις εταιρείες αίτησης πληρωμής να αντιμετωπίσουν την κακή χρήση σημαντικών διαδικασιών λογισμικού. Ως μέρος της δέουσας επιμέλειάς τους, οι αποδέκτες, οι έμποροι και οι εκπρόσωποι θα πρέπει να διασφαλίζουν ότι οι εταιρείες αίτησης πληρωμής που χρησιμοποιούν ακολουθούν τις πλέον σύγχρονες διαδικασίες λογισμικού.
Οι 10 κορυφαίες βέλτιστες πρακτικές της Visa για εταιρείες αίτησης πληρωμής
-
Η Visa έχει παρατηρήσει ότι ορισμένες αιτήσεις πληρωμών έχουν σχεδιαστεί από τους παρόχους λογισμικού ώστε να αποθηκεύουν ευαίσθητα στοιχεία κατόχων κάρτας (δηλαδή, τα πλήρη στοιχεία της μαγνητικής λωρίδας, το CVV2 ή το PIN) σε συνέχεια της εξουσιοδότησης της συναλλαγής. Η αποθήκευση αυτών των στοιχείων κατόχων κάρτας αποτελεί κατάφωρη παραβίαση των κανονισμών του PCI DSS και της Visa. Οι εγκληματίες στοχεύουν τους εμπόρους και τους εκπροσώπους που χρησιμοποιούν αυτές τις ευάλωτες αιτήσεις πληρωμών και εκμεταλλεύονται αυτές τις αδυναμίες στην ασφάλεια προκειμένου να βρουν και να κλέψουν τα στοιχεία των κατόχων κάρτας.
Η Visa ειδοποιεί τους βασικούς ενδιαφερομένους, περιλαμβανομένων των αποδεκτών προκειμένου να βοηθήσει στην ευκολότερη αντιμετώπιση των παραβιάσεων, όποτε χρειάζεται, αποστέλλοντας μια ενημερωμένη λίστα των ευάλωτων αιτήσεων πληρωμών. Εάν ανακαλύψετε μια ευάλωτη αίτηση πληρωμών και διαθέτετε συγκεκριμένα στοιχεία για τον πάροχο και την έκδοση της εφαρμογής, την τοποθεσία αποθήκευσης των ευαίσθητων στοιχείων κατόχων καρτών και τα στοιχεία επικοινωνίας του πάροχου, παρακαλούμε ειδοποιήστε τη Visa μέσω email στο [email protected]. Όλες οι πληροφορίες που παράσχετε θα επαληθευτούν με τον πάροχο του λογισμικού, και η Visa δεν θα αποκαλύψει σε κανέναν πάροχο λογισμικού την πηγή των πληροφοριών ούτε θα αποκαλύψει πληροφορίες οι οποίες μπορούν να ταυτοποιήσουν την πηγή.
-
Η Visa ανέπτυξε τις Βέλτιστες Πρακτικές των Αιτήσεων Πληρωμών (PABP) το 2005 προκειμένου να παράσχει καθοδήγηση στους πάροχους λογισμικού για την ανάπτυξη αιτήσεων πληρωμών που βοηθούν τους εμπόρους και τους εκπροσώπους να διαχειρίζονται ευκολότερα τις παραβιάσεις, να αποτρέπουν την αποθήκευση ευαίσθητων στοιχείων κατόχων κάρτας (δηλαδή, τα πλήρη δεδομένα της μαγνητικής λωρίδας, το CVV2 ή το PIN) και να στηρίξει τη συνολική συμμόρφωση με το PCI DSS. Το 2008 το Συμβούλιο Προτύπων Ασφάλειας του PCI υιοθέτησε αυτές τις βέλτιστες πρακτικές της Visa και δημοσίευσε το πρότυπο με το όνομα Πρότυπο ασφάλειας δεδομένων αιτήσεων πληρωμής (PA–DSS). Το PA–DSS αντικαθιστά τώρα τις βέλτιστες πρακτικές για τους σκοπούς του προγράμματος συμμόρφωσης της Visa.