A fizetési kártya ipari adatbiztonsági szabványoknak (DSS) való megfelelés kötelező minden olyan jogi személy számára, amely Visa kártyabirtokosi adatokat tárol, dolgoz fel vagy továbbít, beleértve a pénzügyi intézményeket, kereskedőket és szolgáltatókat is. A Visa programok úgy kezelik a PCI DSS megfelelőséget, hogy a résztvevőktől rendszeresen elvárják a megfelelőség bizonyítását.
Maradjon naprakész a biztonsági szabványokkal kapcsolatban.
PCI DSS megfelelőség
Mindenki előnyét szolgáló biztonsági szabványok.
-
A Visa Kártyabirtokosok Adatbiztonságával Kapcsolatos Program (CISP) olyan megfelelőségi program, amelynek célja a Visa kártyabirtokosi adatok védelme annak biztosítása által, hogy az ügyfelek, kereskedők és szolgáltatók betartják a legmagasabb szintű adatvédelmi előírásokat.
A PCI Biztonsági Előírások Tanácsa (SCC) birtokolja, tartja fenn és kezeli a PCI DSS-t, valamint annak alátámasztó dokumentumait, a Visa kezel azonban minden adatbiztonsági megfelelésre irányuló érvényesítési és hitelesítési kezdeményezést.
-
A kibocsátók és elfogadók feladata annak biztosítása, hogy minden szolgáltató, kereskedő és kereskedő szolgáltatója megfeleljen a PCI DSS követelményeknek.
A kereskedők megfelelőségi hitelesítését a tranzakciók mennyisége, a lehetséges kockázatok és a fizetési rendszerre gyakorolt kitettség alapján rangsorolják.
A kibocsátóknak és elfogadóknak biztosítaniuk kell, hogy minden egyes és kettes szintű szolgáltató bemutatja a PCI DSS előírásoknak való megfelelést a Harmadik Fél Ügynöki (TPA) regisztráció idején, illetve az azt követő minden 12 hónapban.
-
Az elfogadóknak biztosítaniuk kell, hogy kereskedőik a megfelelő szinten vannak hitelesítve, és be kell szerezniük a kötelező hitelesítési dokumentumokat a kereskedőktől. A kereskedelmi bankoknak és a kereskedőknek igazolniuk kell az egyéb fizetőkártya márkákat érintő jelentéskötelezettségi megfelelést is, ami igényelheti a megfelelőség hitelesítésének a bizonyítását is.
Az 1-es szintű szolgáltatóknak, akik nincsenek közvetlen kapcsolatban a Visa-val, el kell végezniük az éves helyszíni PCI adatbiztonsági felmérést, és be kell nyújtaniuk a megfelelést hitelesítő tanúsítványt (Attestation of compliance, AOC), amelyet mind a szolgáltató, mind pedig a minősített Visa biztonsági felmérő (Quality security assessor, QSA) aláírásával lát el. A 2-es szintű szolgáltatóknak be kell adniuk az aláírt önértékelési kérdőívet (Self-assessment questionnaire, SAQ-D) vagy az AOC-t, ami tartalmazza a QSA aláírását. A PCI DSS előírásoknak való megfelelőség teljesítésére még azelőtt van szükség, hogy a szolgáltatót felveszik a Visa Globális Szolgáltatói Nyilvántartásba (a Nyilvántartás).
-
A Visa Alapszabályok és a Visa Termékekkel és Szolgáltatásokkal Kapcsolatos Szabályai irányadóak az ügyfél pénzügyi intézményeinek tevékenysége tekintetében, valamint ennek kiterjesztéseként azon kereskedők és szolgáltatók tekintetében, akik a Visa fizetési rendszerének a résztvevői.
A kibocsátók és elfogadók felelősek annak biztosításáért, hogy szolgáltatóik és kereskedőik, beleértve a kereskedők által használt szolgáltatókat is, eleget tegyenek a PCI DSS előírásoknak. A szolgáltatóknak és kereskedőknek mindig fent kell tartani a teljes megfelelőséget. (VCR részlegazonosító: #0002228 és #0008031)
Ha a szolgáltató vagy kereskedő nem felel meg a PCI DSS-nek, vagy elmulasztja a biztonsági problémák kiigazítását, a Visa a megfelelőség hiányával kapcsolatos felmérést végezhet a kereskedő elfogadójánál vagy kibocsátójánál. A kibocsátó vagy elfogadó felelős a felmérés minden költségéért, és nem képviselheti azt az álláspontot, hogy a Visa vetette ki a felmérést a szolgáltatóra vagy a kereskedőre. (VCR részlegazonosító: #0001054)
Az elfogadók további információért kapcsolatba léphetnek a Visa kockázatkezelő csapatával a [email protected] címen.
PIN-kód Biztonságával Kapcsolatos Program
A Visa leegyszerűsíti a PIN biztonság megfelelőségi érvényesítést a régiókon keresztül.
Fizetési alkalmazással kapcsolatos adatbiztonsági szabványok (PA-DSS)
A Visa arra ösztönzi a fizetési alkalmazások beszállítóit, hogy termékeiket a PA-DSS előírásoknak való megfelelőség szerint alakítsák ki és hitelesítsék. A PA-DSS előírásoknak megfelelő alkalmazások segítik a kereskedőket és ügynökeiket a kockázatok csökkentésében, az érzékeny kártyabirtokosi adatok tárolásában és a PCI-DSS előírásoknak való általános megfelelés támogatásában. A PA-DSS csak azokra a külső fél fizetési alkalmazási szoftverekre vonatkozik, amelyek jóváhagyás vagy fizetésrendezés részeként kártyabirtokosi adatokat tárolnak, dolgoznak fel vagy továbbítanak. Belső fejlesztésű szoftver alkalmazások a kereskedői vagy az ügynöki PCI DSS felmérés részeként vannak fedezve.
-
2008. január 1-jén a Visa bevezetett egy sor követelményt a sebezhető fizetési alkalmazásoknak a Visa fizetési rendszerből való kizárására. Ezek a követelmények megkívánják az elfogadóktól, hogy biztosítsák, kereskedőik és ügynökeik nem használnak érzékeny kártyabirtokosi adatokat visszatartó fizetési alkalmazásokat (pl. teljes mágnescsík adatokat, CVV2 vagy PIN adatot), és előírják a PA-DSS-nek megfelelő fizetési alkalmazások használatát.
-
Miközben sok fizetési alkalmazás beszállítója vezette be a PA-DSS-nek megfelelő fizetési alkalmazásokat, egyre növekszik az aggály, hogy a fizetési szoftver frissítések fejlesztése nem felel meg a már ismert biztonsági rések kizárásának a biztosításához. Ezenfelül, aggodalomra ad okot, hogy a fizetési szoftver nem kerül biztonságos bevezetésre az ügyfél oldalán.
A kereskedőket és ügynököket érintő kockázatokból az derül ki, hogy számos fizetési alkalmazásokat gyártó vállalat nem rendelkezik megfelelő szoftveres gyakorlattal a fizetési alkalmazások és rendszerek bevezetésére, és az ügyfelek gyenge, megosztott vagy alapértelmezett hozzáféréseit támogatják, illetve nem megfelelő, távoli kezelő eszközöket alkalmaznak az ügyféloldali karbantartására. A bűnözők kihasználhatják ezeket a sebezhetőségeket a kártyabirtokosi környezetbe való belépéshez és hozzáféréshez.
A Visa egy sor bevált gyakorlatot fejlesztett ki a fizetési alkalmazásokat gyártó vállalatok kritikus szoftverfolyamatainak segítésére. Az átvilágítás részeként az elfogadóknak, kereskedőknek és ügynököknek biztosítaniuk kell, hogy az általuk használt fizetési alkalmazást gyártó vállalatok megfelelnek a szigorú szoftverfejlesztési követelményeknek.
A Visa 10 legjobb bevált gyakorlata fizetési alkalmazást gyártó vállalatok számára
-
A Visa felismerte, hogy bizonyos fizetési alkalmazásokat a szoftverbeszállítók úgy terveztek, hogy a tranzakciók jóváhagyása után azok tárolják az érzékeny kártyabirtokosi adatokat (pl. teljes mágnescsík adatot, CVV2 vagy PIN adatot). Az ilyen kártyabirtokosi adatok tárolása a PCI DSS és Visa szabályok közvetlen megsértését jelenti. A bűnözők azokat a kereskedőket és ügynököket veszik célba, akik ezeket a sebezhető fizetési alkalmazásokat használják, és a kártyabirtokosi adatok megtalálása és eltulajdonítása céljából kihasználják ezeket a biztonsági réseket.
A Visa – szükség szerint – a sebezhető fizetési alkalmazások frissített listájával értesíti a legfontosabb résztvevőket, beleértve az elfogadókat, hogy így segítse a veszélyeztetés csökkentését. Ha sebezhető fizetési alkalmazást talál, és pontos információval rendelkezik a fizetési alkalmazás beszállítójáról, az alkalmazás verziójáról, arról, hogy hol tárolják az érzékeny kártyabirtokosi adatokat és a beszállító elérhetőségéről, kérjük, értesítse a Visa-t e-mailben a [email protected] e-mail címen. Minden megadott információt a szoftver beszállítójánál hitelesíttetünk, és a Visa nem tárja fel a szoftver beszállító előtt az információk forrását, illetve nem tesz közzé olyan információkat, amelyekkel beazonosítható lenne a forrás.
-
A Visa 2005-ben kifejlesztette a Fizetési Alkalmazások Bevált Gyakorlatát (PABP), hogy útmutatást adjon a szoftverbeszállítóknak az olyan fizetési alkalmazások fejlesztéséhez, amelyek segítenek a kereskedőknek és ügynököknek a veszélyeztetés csökkentésében, megelőzik az érzékeny kártyabirtokosi adatok tárolását (pl. teljes mágnescsík adatok, CVV2 vagy PIN adatok), valamint támogatják a PCI DSS előírásoknak való általános megfelelést. 2008-ban a PCI Biztonsági Előírások Tanácsa elfogadta a Visa PABP-t, és kibocsátotta a PA-DSS szabványt. A PA-DSS most felváltja a PABP-t a Visa megfelelőségi program céljából.