Съответствието със Стандарта за сигурност на данните (ССД) на Индустрията за разплащане с карти се изисква от всички субекти, които съхраняват, обработват или осъществяват пренос на данни за картодържателите на Visa, включително финансовите институции, търговците и доставчиците на услуги. Програмите на Visa управляват съответствието със ССД на ИРКП, като изискват от участниците периодично да удостоверяват своето съответствие.
Бъдете в течение с най-новите изисквания на стандартите за сигурност
Съответствие със ССД на ИРКП
Стандарти за сигурност в полза на всички.
-
Програмата за сигурност на информацията на картодържателите на Visa (CISP) е програма за съответствие в защита на данните на картодържателите на Visa посредством редовни проверки дали клиентите, търговците и доставчиците на услуги поддържат най-високите стандарти за сигурност на информацията.
Съветът по стандартите за сигурност (SSC) на ИРКП притежава, поддържа и управлява стандарта ССД и всички придружаващи документи; Visa от своя страна отговаря за всички инициативи за налагане и валидиране на съответствието с изискванията за сигурност на данните.
-
Издателите и акцептиращите банки са длъжни да се уверят, че всички техни доставчици на услуги, търговци и доставчиците на услуги на търговците отговарят на изискванията за съответствие със ССД на ИРКП.
Валидирането за съответствие на търговците става с определен приоритет в зависимост от обема на трансакциите, потенциалния риск и степента на изложеност на системата за плащания на рискове вследствие работата на търговеца.
Издателите и акцептиращите банки трябва да се уверят, че всички техни доставчици на услуги от ниво 1 и ниво 2 показват съответствие със ССД на ИРКП към момента на регистрация на представителите на трети страни (TPA), а след това и на всеки 12 месеца.
-
Акцептиращите банки са длъжни да се уверят, че обслужваните от тях търговци отговарят на условията за валидация на съответното ниво и че са получили нужната документация за изискваното съответствие. Банките, обслужващи търговците, и самите търговци трябва да проверяват и изискванията за отчитане на съответствието на другите марки разплащателни карти, които могат да изискат доказателство за валидиране на съответствието.
Доставчиците на услуги от ниво 1, които не са директно свързани с Visa, следва да извършат годишната оценка за сигурност на данните според стандартите на ИРКП на място и да представят на Visa проведената атестация за съответствие (AOC), подписана от доставчика на услуги и от квалифициран оценител по сигурността (QSA). Доставчиците на услуги от ниво 2 трябва да представят подписан формуляр - въпросник за самооценка (SAQ-D) или АОС, включващ подпис на оценител по сигурността. Валидация за ИРКП ССД съответствие се изисква преди даден доставчик на услуги да бъдат включен в глобалния регистър с доставчици на услуги на Visa (Регистърът).
-
Основните правила на Visa и правилата за продукти и услуги регулират дейностите на финансовите институции - клиенти и в допълнение, на търговците и доставчиците на услуги, като участници в системата за плащане с Visa.
Издателите и акцептиращите банки са длъжни да се уверят, че техните доставчици на услуги и обслужваните от тях търговци са в съответствие със ССД на ИРКП, като това важи и за доставчиците на услуги, използвани от търговците. Доставчиците на услуги и търговците са длъжни да поддържат съответствие през цялото време. (VCR раздел ID #0002228 и #0008031)
Ако даден доставчик на услуги или търговец не отговаря на условията на ССД на ИРКП или не успее да коригира проблем със сигурността, Visa може да издаде оценка за несъответствие на акцептиращата банка или издателя на търговеца. Издателят или акцептиращата банка отговарят за заплащането на всички оценки за съответствие и не могат да твърдят, че оценяването на доставчика на услуги или търговеца е наложено от Visa. (VCR раздел ID #0001054)
За повече информация, акцептиращите банки могат да се свържат с Visa Risk на [email protected] .
Програма за сигурност на ПИН кодовете
Visa опростява валидирането на съответствие по сигурността на ПИН кодовете за всички региони.
Стандарт за сигурност на данните при плащане чрез приложение (PA-DSS)
Visa силно насърчава търговците на дребно, използващи приложения за плащане, да разработят нужните механизми и да валидират съответствието на техните продукти с PA–DSS. С използването на съвместими с PA–DSS приложения търговците и търговските представители намаляват излагането на рискове, предотвратяват съхранението на чувствителни данни на картодържателя и могат да поддържат цялостно съответствие със ССД на ИРКП. PA–DSS се прилага само за софтуер за приложения за плащане на трети страни, съхраняващ, обработващ или осъществяващ пренос на данни на картодържателя, като част от оторизация или обезпечение. Вътрешнофирмените софтуерни приложения са включени в оценката за ССД на ИРКП на търговеца или търговския представител.
-
На 1 януари 2008 г. Visa прие серия от разпоредби, с които да бъде преустановено използването на уязвими приложения за плащане в платежната система на Visa. Тези разпоредби изискват от акцептиращите банки да се уверят, че техните търговци и представители на трети страни не използват приложения за плащане, за които е известно, че запаметяват поверителните данни на картодържателите (напр. данни от магнитни ленти, CVV2 или ПИН данни) и позволяват използването само на приложения за плащане, съответстващи на PA–DSS.
-
Тъй като съответстващите на PA-DSS приложения за плащане се предлагат на пазара от множество фирми, нарастват опасенията, че актуализациите на софтуера, с които да се гарантира неутрализирането на установените уязвимости, не се разработват с нужната честота. Освен това има и опасения, че платежният софтуер не се внедрява в сайтовете на клиентите по достатъчно безопасен начин.
Компрометирането на сигурността на данните, установено при някои търговци и представители, дава да се разбере, че немалко фирми, разработващи приложения за плащане, използват порочни софтуерни практики при инсталирането на приложенията и системите за плащане, предлагат обслужване на клиентите посредством споделени или получени по подразбиране правомощия и управляват сайтовете на клиентите със зле имплементирани инструменти за дистанционен достъп. Възможно е хора с престъпни намерения да се възползват от тези уязвимости, за да получат достъп до данните на картодържателите.
Visa разполага с разработен пакет с добри практики, за да помогне на предлагащите приложения за плащане фирми да подобрят софтуерните процеси от критично значение. Като част от надлежната проверка, акцептиращите банки, търговците и представителите са длъжни да се уверят, че използваните от тях фирми за приложения за плащане отговарят на строгите изисквания за утвърдени софтуерни процеси.
Десетте най-добри практики на Visa за фирмите, предлагащи приложения за плащане
-
Visa установи, че определени приложения за плащане са разработени от доставчиците на софтуер така, че да запазват поверителни данни на картодържателите (напр. всички данни от магнитните ленти, CVV2 или ПИН кодове) след оторизация за трансакциите. Съхраняването на тази част от данните на картодържателите представлява пряко нарушение на условията на ССД на ИРКП и на Правилата на Visa. Хора с престъпни намерения използват уязвимите приложения за плащане за извършване на пробив в системите на търговците и търговските представители с цел кражба на данни на картодържателите.
За неутрализиране на проблема Visa ще информира ключовите заинтересовани страни според случая, включително акцептиращите банки, като ще създаде и актуализиран списък на уязвимите приложения за плащане. Ако откриете уязвимо приложение за плащане и разполагате със специфична информация относно доставчика на приложението, версията на приложението, мястото, на което се съхраняват чувствителните данни на картодържателите и информация за контакт с доставчика, моля уведомете Visa по имейл на [email protected]. Цялата предоставена информация ще бъде сверена с доставчика на софтуера, като нито източникът, нито каквато и да била идентифицираща го информация няма да бъде разкривана от Visa на никой търговец или доставчик на софтуер.
-
През 2005 Visa разработи „Най-добри практики за приложенията за плащане" (Payment Application Best Practices - PABP) с насоки за доставчиците на софтуер при разработването на приложения за плащане, с цел намаляване на рисковете за търговците, предотвратяване на съхранението на чувствителни данни за картодържателите (напр. данни от магнитните ленти, CVV2 или ПИН кодове) и цялостното привеждане в съответствие със стандарта ССД на ИРКП. През 2008 г., Съветът по стандартите за сигурност на ИРКП прие разработеното от Visa ръководство за най-добри практики за приложенията за плащане - PABP и оповести влизането в сила на Стандарта PA–DSS. Стандартът PA–DSS сега заменя PABP за целите на програмата за съответствие на Visa.