Betalkortsbranschens standard för datasäkerhet (DSS) måste följas av alla entiteter som lagrar, bearbetar eller överför kortuppgifter från Visa, inklusive finansinstitut, inlösenställen och tjänsteleverantörer. Visas program hanterar PCI DSS-efterlevnad genom att kräva att deltagare regelbundet bevisar att de följer standarden.
-
Skydda dina kortinnehavare
Läs mer om PCI DSS (Payment Card Industry Data Security Standard, betalkortsbranschens standard för datasäkerhet).
PCI DSS-efterlevnad
Säkerhetsstandarder som gagnar alla.
-
Visas säkerhetsprogram för kortuppgifter (CISP) är ett efterlevnadsprogram som har som avsikt att skydda Visas kortuppgifter genom att se till att kunder, inlösenställen och tjänsteleverantörer upprätthåller den högsta säkerhetsstandarden för informationen.
PCI-rådet för säkerhetsstandarder (Security Standards Council, SSC) äger, upprätthåller och hanterar PCI DSS-standarden och alla dess stöddokument. Visa hanterar dock alla genomförings- och valideringsinitiativ för datasäkerhetsefterlevnad.
-
Utgivare och inlösare ansvarar för att garantera att alla deras tjänsteleverantörer, inlösenställen och serviceföretag för inlösenställen följer PCI DSS-kraven.
Validering av inlösenställets efterlevnad har prioriterats baserat på transaktionsvolymen, den potentiella risken och exponeringen som förs in i betalsystemet.
Läs mer om inlösenställets nivåer
Utgivare och inlösare måste garantera att alla deras tjänsteleverantörer på nivå 1 och 2 alltid kan påvisa PCI DSS-efterlevnad vid registrering av ett tredjepartsombud (Third Party Agents, TPA) och därefter var 12:e månad.
-
Inlösare måste garantera att deras inlösenställen efterlever standarden på rätt nivå och upprätthålla den krävda dokumentationen för regelefterlevnad från sina inlösenställen. Inlösenställets bank och inlösenställen bör även validera efterlevnad genom att rapportera kraven hos andra betalkort som kan kräva bevis i form av en efterlevnadsvalidering.
Tjänsteleverantörer på nivå 1 som inte är direkt anslutna till Visa måste genomföra den årliga PCI-datasäkerhetsbedömningen på plats och skicka ett ifyllt intyg om regelefterlevnad (AOC) till Visa, som ska skrivas på av både tjänsteleverantör och den kvalificerade säkerhetsbedömaren (QSA). Tjänsteleverantörer på nivå 2 måste skicka in ett signerat frågeformulär för självbedömning (SAQ-D) eller ett intyg om regelefterlevnad (AOC) samt underskrift av den kvalificerade säkerhetsbedömaren (QSA). En validering om PCI DSS-efterlevnad krävs innan en tjänsteleverantör kan listas i Visa globala tjänsteleverantörsregister (registret).
-
Visas huvudregler och Visas produkt- och tjänsteregler styr aktiviteten för kunders finansinstitut och, i förlängningen, tjänsteleverantörer och inlösenställen som deltar i Visas betalsystem.
Utgivare och inlösare är ansvariga för att garantera PCI DSS-efterlevnad för dess tjänsteleverantörer och inlösenställen, samt de tjänsteleverantörer som används av inlösenstället. Tjänsteleverantörer och inlösenställen måste alltid följa standarden fullt ut. (VCR sektions-ID #0002228 och #0008031)
Om en tjänsteleverantör eller ett inlösenställe inte uppfyller PCI DSS-standarden eller misslyckas att åtgärda ett säkerhetsproblem kan Visa göra en icke-efterlevnadsbedömning av utgivaren eller inlösaren. Utgivaren eller inlösaren ansvarar för att betala alla bedömningar och får inte påstå att Visa har påtvingat tjänsteleverantören eller inlösenstället någon bedömning. (VCR sektions-ID #0001054)
Inlösare kan kontakta Visa Risk på [email protected] för mer information.
PIN-säkerhetsprogram
Visa förenklar efterlevnadsvaliderad PIN-säkerhet i alla regioner.
Standard för datasäkerhet gällande betalningsprogram (Payment Application Data Security Standard, PA-DSS)
Visa rekommenderar starkt att leverantörer av betalningsprogram ska utveckla och validera överensstämmelsen av sina produkter med PA-DSS. PA-DSS-efterlevnadsprogram hjälper inlösenställen och ombud att lösa utsatta situationer, förebygga lagring av känsliga kortuppgifter och stödja en generell regelefterlevnad av PCI DSS. PA-DSS gäller enbart för tredjepartsbetalningsprogramvaror som lagrar, bearbetar eller överför kortuppgifter som en del av en auktorisation eller uppgörelse. Interna programvaruapplikationer täcks inom ett inlösenställe eller ombudets PCI DSS-bedömning.
-
Den 1 januari 2008 implementerade Visa en uppsättning mandat för att ta bort användningen av känsliga betalningsprogram från Visas betalsystem. Dessa mandat kräver att inlösaren garanterar att deras inlösenställe och ombud inte använder betalningsprogram som är kända att innehålla känsliga kortuppgifter (t.ex. kompletta magnetremsedata, CVV2 eller PIN-koder) och kräver att användningen av betalningsprogram följer PA-DSS.
-
Trots att många leverantörer av betalningsprogram har använt PA-DSS-efterlevande betalningsprogram finns det en växande oro att uppdateringar av betalprogram inte är enhetligt utvecklade för att se till att kända sårbarheter inte återintroduceras. Utöver det, finns det en oro att betalningsprogram inte implementeras säkert på kundernas webbplatser.
Inlösenstället och ombud som har varit utsatta för risker visar att ett antal betalningsprogramstillverkare har dålig programvarupraxis när de installerar betalningsprogram och system, supportar kunders användning av svaga, delade eller felaktiga inloggningsuppgifter samt dålig hantering av kunder webbplatsanvändning genom att implementera fjärrhanteringsverktyg. Kriminella kan använda dessa sårbara ingångar och få åtkomst till kortinnehavarens miljöer.
Visa har utvecklat en uppsättning av goda praxis för att hjälpa tillverkare av betalningsprogram att åtgärda allvarliga programvaruprocesser. Som en del av sin företagsbesiktning bör inlösare, inlösenställen och ombud se till att betalningsprogramtillverkarna de använder har klarat de tuffa kraven som finns i mogna programprocesser.
Visas Topp tio-lista över god praxis för tillverkare av betalningsprogram
-
Visar har identifierat att vissa betalningsprogram har utformas av programleveratörer för att lagra känsliga kortuppgifter (t.ex. kompletta magnetremseuppgifter, CVV2 eller PIN-kodsuppgifter) efter en auktoriserad transaktion. Lagring av dessa kortuppgiftselement är en direkt överträdelse av PCI DSS-standarden och Visas regler. Kriminella inriktar sig på inlösenställen och ombud som använder dessa sårbara betalningsprogram och utnyttjar dessa sårbarheter i säkerhetssystemet för att hitta och stjäla kortuppgifter.
Visa kommer att avisera viktiga intressenter, inklusive inlösare, om att hjälpa till att lösa utsatta situationer, och vid behov, ge en uppdaterad lista av sårbara betalningsprogram. Om du upptäcker ett sårbart betalningsprogram och du har specifik information om betalningsprogrammets leverantör, applikationsversion, var känsliga kortuppgifter lagras och leverantörens kontaktuppgifter, uppge detta för Visa genom att mejla till [email protected]. Alla uppgifter som uppges kommer att verifieras genom programleverantören. Visa kommer inte att avslöja någon informationskälla till programvaruleverantören eller avslöja information som skulle kunna avslöja källans identitet.
-
Visa utvecklade 2005 en bästa praxis för betalningsprogram (Payment Application Best Practices – PABP) för att ge programvaruleverantörer en handledning om hur de ska utveckla betalningsprogram som hjälper inlösenställen och ombud att lösa utsatta situationer, förhindra lagring av känsliga kortuppgifter (t.ex. kompletta magnetremseuppgifter, CVV2 eller PIN-kodsuppgifter) och stödja en generell efterlevnad av PCI DSS. 2008 implementerade PCI-rådet för säkerhetsstandarder Visas PABP och släppte standarden som PA-DSS. PA-DSS ersätter nu vår PABP för syftet i Visas efterlevnadsprogram.