Стандарты безопасности, которые приносят пользу всем.
Все субъекты, которые хранят, обрабатывают или обеспечивают передачу данных держателей карт Visa, включая финансовые учреждения, продавцов и поставщиков услуг, должны соответствовать стандарту безопасности данных отрасли платежных карт (DSS). Программы Visa контролируют соответствие PCI DSS, требуя от участников программ регулярно подтверждать соответствие указанному стандарту.
Узнайте о требованиях к продавцам
Программа безопасности данных держателей карт Visa (CISP) — это программа обеспечения соответствия, предназначенная для защиты данных держателей карт Visa, которая гарантирует, что клиенты, продавцы и поставщики услуг соблюдают самые строгие стандарты защиты данных.
Совет по стандартам безопасности PCI (Security Standards Council, SSC) владеет, развивает и управляет стандартом PCI DSS и всеми вспомогательными документами; при этом Visa управляет всеми инициативами по оценке и контролю соблюдения требований к обеспечению безопасности данных.
Эмитенты и эквайеры несут ответственность за обеспечение соблюдения всеми своими поставщиками услуг, продавцами и поставщиками услуг продавцов требований стандарта PCI DSS.
Приоритет проверок соответствия продавцов был установлен исходя из объема их транзакций, потенциального риска и влияния на платежную систему.
Узнайте больше об уровнях продавцов
Эмитенты и эквайеры должны гарантировать соблюдение всеми поставщиками услуг уровня 1 и 2 требований стандарта PCI DSS в момент регистрации независимых агентов (Third Party Agent, TPA) и в дальнейшем с периодичностью 12 месяцев.
Эквайеры должны гарантировать, что их продавцы прошли проверку на соответствующем уровне, и получить необходимую документацию, подтверждающую соблюдение требований, от своих продавцов. Банки продавцов и продавцы должны также проверять соответствие требованиям к отчетности других марок платежных карт, которые могут потребовать подтвердить оценку соответствия.
Поставщики услуг уровня 1, которые не подключены напрямую к системе Visa, должны проводить ежегодную оценку безопасности данных PCI и предоставлять компании Visa официально оформленный документ, подтверждающий соответствие требованиям (Attestation of Compliance, AOC), подписанный поставщиком услуг и квалифицированным аудитором систем безопасности (Qualified Security Assessor, QSA). Поставщики услуг уровня 2 должны предоставить подписанную форму опросника для самостоятельной оценки (Self-Assessment Questionnaire, SAQ-D) или документ AOC, подписанный аудитором систем безопасности. Проверка соответствия требованиям стандарта PCI DSS должна быть проведена до того, как поставщик услуг будет включен в Глобальный реестр поставщиков услуг Visa (Реестр).
Узнайте о требованиях соответствия стандарту безопасности данных
Основные правила Visa и Правила Visa в отношении продуктов и услуг регулируют деятельность финансовых учреждений клиентов, а также продавцов и поставщиков услуг, являющихся участниками платежной системы Visa.
Эмитенты и эквайеры несут ответственность за соблюдение стандарта PCI DSS своими поставщиками услуг и продавцами, включая поставщиков услуг продавца. Поставщики услуг и продавцы должны всегда соблюдать все требования стандарта. (Разделы VCR #0002228 и #0008031)
Если поставщик услуг или продавец не соблюдает требования стандарта PCI DSS или не устраняет проблемы безопасности, Visa может наложить на эмитента или эквайера взыскание за несоблюдение требований. Эмитент или эквайер несут ответственность за оплату всех взысканий и не вправе заявлять, что взыскание было наложено компанией Visa на поставщика услуг или продавца. (Раздел VCR #0001054)
Эквайеры могут обратиться в отдел оценки рисков компании Visa по адресу [email protected] для получения более подробной информации.
Visa упрощает проверку соответствия требованиям к безопасности операций с ПИН-кодами во всех регионах.
Visa настоятельно рекомендует поставщикам платежных приложений подтвердить соответствие своих продуктов стандарту PA-DSS. Приложения, соответствующие стандарту PA–DSS, помогают продавцам и агентам снизить риск взлома, отказаться от хранения конфиденциальных данных держателей карт и в целом соблюдать требования стандарта PCI DSS. Стандарт PA–DSS распространяется только на сторонние платежные приложения, которые хранят, обрабатывают или передают данные держателей карт в рамках процесса авторизации или расчета. На внутренние программные приложения распространяется оценка соответствия стандарту PCI DSS продавца или агента.
Узнайте больше о Совете по стандартам безопасности индустрии платежных карт
01 января 2008 года компания Visa приняла ряд требований для исключения использования недостаточно защищенных платежных приложений в платежной системе Visa. Согласно этим требованиям эквайеры должны гарантировать, что их продавцы и агенты не используют платежные приложения, сохраняющие конфиденциальные данные держателей карт (например, полные данные магнитной полосы, CVV2 или ПИН-коды), но используют платежные приложения, соответствующие стандарту PA–DSS.
Требования к безопасности: ответы на часто задаваемые вопросы
Хотя многие поставщики платежных приложений используют платежные приложения, соответствующие стандарту PA-DSS, растет обеспокоенность по поводу того, что обновления платежного программного обеспечения не разрабатываются таким образом, чтобы гарантированно исключить появление известных слабых мест в защите информации. Кроме того, возникли опасения, что платежное программное обеспечение внедряется на сайтах клиентов с нарушениями требований безопасности.
Взломы систем продавцов и агентов доказывают, что ряд компаний-разработчиков платежных приложений применяют неправильные методы установки платежных приложений и систем, поддерживают клиентов, использующих неподходящие, общие или имеющиеся по умолчанию параметры доступа, и управляют сайтами клиентов с помощью плохо реализованных средств удаленного управления. Преступники могут воспользоваться этими возможностями и получить доступ к информационной среде держателей карт.
Visa разработала передовые методики, которые помогут компаниям-разработчикам платежных приложений доработать основные процессы разработки ПО. В рамках комплексной проверки эквайеры, продавцы и агенты должны гарантировать, что компании-разработчики платежных приложений, с которыми они сотрудничают, внедрили полноценные процессы разработки ПО.
Десять передовых методик Visa для компаний-разработчиков платежных приложений
Visa определила, что некоторые платежные приложения были разработаны поставщиками программного обеспечения для хранения конфиденциальных данных держателей карт (например, полных данных магнитной полосы, CVV2 или ПИН-кодов) после авторизации транзакций. Хранение этих элементов данных держателей карт является прямым нарушением стандарта PCI DSS и правил Visa. Целью преступников являются продавцы и агенты, которые используют недостаточно защищенные платежные приложения. Эти слабые места в системе безопасности используются для поиска и кражи данных держателей карт.
Компания Visa будет направлять по мере необходимости обновленный список недостаточно защищенных платежных приложений, чтобы предупредить об опасности ключевых участников, включая эквайеров, для минимизации рисков взлома. Если вы обнаружили недостаточно защищенное платежное приложение и располагаете информацией о поставщике платежного приложения, версии приложения, месте хранения конфиденциальных данных держателей карт и контактных данных поставщика, уведомите об этом компанию Visa по электронной почте [email protected]. Вся предоставленная информация будет проверена при участии поставщика программного обеспечения. При этом Visa не будет раскрывать поставщику программного обеспечения источник информации или сообщать информацию, которая сможет выдать личность источника.
В 2005 году Visa разработала Передовые методики для платежных приложений (PABP), чтобы предоставить поставщикам программного обеспечения руководство по разработке платежных приложений и помочь продавцам и агентам минимизировать риски взлома, отказаться от хранения конфиденциальных данных держателей карт (например, полных данных магнитной ленты, CVV2 или ПИН-кодов) и обеспечить полное соответствие стандарту PCI DSS. В 2008 году Совет по стандартам безопасности индустрии платежных карт доработал PABP Visa и выпустил стандарт под названием PA–DSS. Теперь стандарт PA-DSS заменяет PABP в рамках программы соответствия Visa.
