Overholdelse av Payment Card Industry Data Security Standard (DSS) kreves av alle enheter som lagrer, behandler eller overfører data om Visa-kortinnehavere, inkludert finansinstitusjoner, forhandlere og tjenesteleverandører. Visas programmer håndterer PCI DSS-samsvar ved å kreve at deltakerne demonstrerer etterlevelse med jevne mellomrom.
-
Hold kortinnehaverne dine trygge
Lær mer om Payment Card Industry Data Security Standard (PCI DSS).
Hold deg oppdatert om sikkerhetsstandarder
Overholdelse av PCI DSS
Sikkerhetsstandarder som kommer alle til gode.
-
Visas Cardholder Information Security Programme (CISP) er et samsvarsprogram som har til hensikt å beskytte Visas kortholderdata ved å sikre at kunder, forhandlere og tjenesteleverandører opprettholder den høyeste standarden når det kommer til informasjonssikkerhet.
PCI Security Standards Council (SSC) eier, vedlikeholder og administrerer PCI DSS og alle støttedokumentene, men Visa administrerer all håndhevelse av datasikkerhet og alle valideringsinitiativer.
-
Utstedere og innløsere er ansvarlige for å sikre at alle deres tjenesteleverandører, forhandlere og forhandlernes tjenesteleverandører overholder PCI DSS-kravene.
Validering av samsvar med kravene er prioritert basert på transaksjonsvolumet, den potensielle risikoen og eksponeringen som introduseres i betalingssystemet.
Utstedere og innløsere må sørge for at alle deres nivå 1- og nivå 2-tjenesteleverandører overholder PCI DSS-kravene når de registrerer seg som tredjepartsagenter (TPA), og deretter hver 12. måned.
-
Innløsere må sørge for at forhandlerne validerer på riktig nivå og innhente den nødvendige dokumentasjonen for samsvarsvalidering fra forhandlerne. Handelsbanker og forhandlere bør også verifisere kravene til samsvarsrapportering fra andre betalingskortmerker, som kan kreve bevis på samsvarsvalidering.
Tjenesteleverandører på nivå 1 som ikke er direkte tilknyttet Visa, må fullføre den årlige PCI-datasikkerhetsvurderingen lokalt og sende inn en utført samsvarserklæring (AOC), signert av både tjenesteleverandøren og den kvalifiserte sikkerhetsvurdereren (QSA) til Visa. Tjenesteleverandører på nivå 2 må sende inn et signert skjema for egenvurdering (SAQ-D) eller en AOC med QSA-signatur. Validering av PCI DSS-samsvar er påkrevd før en tjenesteleverandør kan bli oppført i Visa Global Registry of Service Providers (registeret).
-
Visas kjerneregler og Visas produkt- og tjenesteregler regulerer aktivitetene til finansinstitusjoner og, i forlengelsen av dette, tjenesteleverandører og forhandlere som er deltakere i Visas betalingssystem.
Utstedere og innløsere er ansvarlige for å sikre PCI DSS-samsvar hos sine tjenesteleverandører og forhandlere, inkludert tjenesteleverandører som forhandleren bruker. En tjenesteleverandør og en forhandler må til enhver tid opprettholde full overholdelse. (VCR-seksjonens ID #0002228 og #0008031)
Hvis en tjenesteleverandør eller brukersted ikke overholder PCI DSS eller unnlater å utbedre et sikkerhetsproblem, kan Visa pålegge utstederen eller innløseren en vurdering av manglende overholdelse. Utstederen eller innløseren er ansvarlig for å betale alle vurderinger og må ikke gi inntrykk av at Visa har pålagt tjenesteleverandøren eller brukerstedet noen vurdering. (VCR seksjon ID #0001054)
Innløsere kan kontakte Visa Risk på [email protected] for mer informasjon.
PIN Security Programme
Visa forenkler etterlevelsen av PIN-sikkerheten i alle regioner.
Payment Application Data Security Standard (PA-DSS)
Visa oppfordrer leverandører av betalingsapplikasjoner til å utvikle og validere sine produkter i samsvar med PA-DSS. PA-DSS-kompatible applikasjoner hjelper selgere og agenter med å redusere kompromitteringer, forhindre lagring av sensitive opplysninger om kortinnehavere og støtte generell overholdelse av PCI DSS. PA-DSS gjelder kun for tredjeparts betalingsapplikasjoner som lagrer, behandler eller overfører opplysninger om kortinnehavere som en del av en autorisasjon eller et oppgjør. Interne programvarer dekkes av PCI DSS-vurderingen til en forhandler eller agent.
Les mer på PCI Security Standards Council (rådet for sikkerhetsstandarder)
-
Den 1. januar 2008 innførte Visa en rekke mandater for å eliminere bruken av sårbare betalingsapplikasjoner fra Visas betalingssystem. Disse mandatene krever at innløsere sørger for at deres forhandlere og agenter ikke bruker betalingsapplikasjoner som er kjent for å lagre sensitive opplysninger om kortinnehaverne (f.eks. fullstendige magnetstripedata, CVV2- eller PIN-opplysninger) og krever at det brukes betalingsapplikasjoner som er i samsvar med PA-DSS.
-
Selv om mange leverandører av betalingsapplikasjoner har tatt i bruk PA-DSS-kompatible betalingsapplikasjoner, er det økende bekymring for at oppdateringer av betalingsprogramvare ikke blir utviklet konsekvent for å sikre at kjente sårbarheter ikke blir gjeninnført. I tillegg er det grunn til bekymring for at betalingsprogramvaren ikke implementeres på en sikker måte hos kundene.
Kompromitteringer hos forhandlere og agenter avslører at en rekke selskaper innen betalingsapplikasjoner har dårlig programvarepraksis når de installerer betalingsapplikasjoner og -systemer, at de støtter kunder ved hjelp av svak, delt eller standard tilgangsinformasjon og at de administrerer kundesider ved hjelp av dårlig implementerte verktøy for ekstern administrasjon. Kriminelle kan utnytte disse sårbare oppføringene og få tilgang til kortholdermiljøer.
Visa har utviklet et sett med beste praksis for å hjelpe betalingsapplikasjonsselskaper med å håndtere kritiske programvareprosesser. Som en del av sin due diligence bør innløsere, forhandlere og agenter forsikre seg om at betalingsapplikasjonsselskapene de bruker har bestått kravene til modne programvareprosesser.
Visas ti beste fremgangsmåter for selskaper innen betalingsapplikasjoner
-
Visa har identifisert at visse betalingsapplikasjoner er utformet av programvareleverandører for å lagre sensitive kortholderdata (dvs. fullstendig magnetstripeinformasjon, CVV2- eller PIN-data) etter at transaksjonen er autorisert. Lagring av disse dataelementene er i direkte strid med PCI DSS- og Visa-reglene. Kriminelle retter seg mot forhandlere og agenter som bruker disse sårbare betalingsapplikasjonene, og utnytter disse sikkerhetshullene til å finne og stjele opplysninger om kortinnehaverne.
Visa vil varsle viktige interessenter, inkludert innløsere, for å bidra til å redusere kompromitteringer etter behov med en oppdatert liste over sårbare betalingsapplikasjoner. Hvis du oppdager en sårbar betalingsapplikasjon og har spesifikk informasjon om leverandøren av betalingsapplikasjonen, applikasjonsversjonen, hvor sensitive opplysninger om kortinnehaverne er lagret og kontaktinformasjon til leverandøren, kan du varsle Visa via e-post på [email protected]. All informasjon som oppgis vil bli verifisert gjennom programvareleverandøren, og Visa vil ikke avsløre kilden til informasjonen til noen programvareleverandør eller avsløre informasjon som kan avsløre kildens identitet.
-
Visa utviklet Payment Application Best Practices (PABP) i 2005 for å gi programvareleverandører veiledning i utviklingen av betalingsapplikasjoner som hjelper forhandlere og agenter med å redusere risiko for kompromittering, forhindre lagring av sensitive opplysninger om kortinnehavere (f.eks. fullstendige magnetstripeopplysninger, CVV2- eller PIN-data) og støtte generell overholdelse av PCI DSS. I 2008 vedtok PCI Security Standards Council Visas PABP og lanserte standarden som PA-DSS. PA-DSS erstatter nå PABP i forbindelse med Visas samsvarsprogram.