-
Programuppdateringar
Som en del av en större insats för att minska antalet dataintrång hos mindre inlösenställen införde Visa Payment System Risk nya krav på datasäkerhetsprogram
Säkerhetsutbildning
Visa erbjuder värdefull information om de senaste datasäkerhetstrenderna, dataintrången och attackvektorer, bästa praxis och Visas efterlevnadsprogram genom en pågående serie av konferenser, webbseminarier och utbildningssessioner.
| Evenemangsrubrik | Evenemangsdatum | Publik |
|---|---|---|
|
|
31 maj 2017 |
Inlösenställen, inlösare, utgivare, bearbetare |
|
22–23 augusti 2017 |
Inlösenställen, inlösare, utgivare, bearbetare |
PCI DSS-efterlevnad
Alla som lagrar, bearbetar eller överför kortuppgifter måste följa PCI DSS-standarden. Den består av 12 grundläggande krav som har grupperats in i sex kategorier för att skapa och bibehålla en tillförlitlig och säker betalsystemsmiljö. Gå samman med din inlösare för att erbjuda säkra transaktioner för alla kunder genom att följa PCI-standarden för datasäkerhet (DSS). Först bör du granska riktlinjerna och sedan kontrollera att du uppfyller de relaterade kraven.
-
- 1. Installera och bibehåll en brandväggskonfiguration för att skydda kortuppgifter
- 2. Använd inte leverantörsangivna standarder för systemlösenord och andra säkerhetsparametrar
-
- 3. Skydda lagrade kortuppgifter
- 4. Kryptera överföringar av kortuppgifter på öppna och allmänna nätverk
-
- 5. Skydda alla system mot skadlig programvara och uppdatera regelbundet antivirusprogramvara eller program
- 6. Utveckla och bibehåll säkra system och applikationer
-
- 7. Begränsa åtkomst till kortuppgifter efter verksamhetsstyrda behov att känna till uppgifterna
- 8. Identifiera och verifiering åtkomsten till systemkomponenterna
- 9. Begränsa den fysiska åtkomsten till kortuppgifterna
-
- 10. Spåra och övervaka all åtkomst till nätverksresurser och kortuppgifter
- 11. Testa regelbundet säkerhetssystem och -processer
-
- 12. Tillämpa en policy som tar upp informationssäkerhetsfrågor för all personal
Validering av regelefterlevnad
Ta dig tiden att se till att du uppfyller alla krav i PCI DSS-standarden. Det är det bästa sättet att bekräfta att kortuppgifterna hanteras på ett säkert sätt och att exponera eventuella svagheter som måste lösas. Din totala Visa-transaktionsvolym över en 12-månadersperiod fastställer din nivå för inlösenställen och de nödvändiga valideringskraven.
-
Varje år:
- Gör en efterlevnadsrapport ("Report on Compliance, ROC") av en kvalificerad säkerhetsbedömare ("Qualified Security Assessor, QSA") eller intern revisor om den signeras av en chef på kontoret. Vi rekommenderar att den interna revision skaffar sig en PCI SSC-certifiering som intern säkerhetsbedömare ("Internal Security Asessor, ISA").
- Skicka in ett formulär för intyg om efterlevnad ("Attestation of Compliance, AOC")
Varje kvartal:
- Genomför en nätverksskanning varje kvartal av en godkänd skanningsleverantör ("Approved Scan Vendor, ASV")
-
Varje år:
- Fyll i ett frågeformulär för självbedömning ("Self-Assessment Questionnaire, SAQ")
- Skicka in ett formulär för intyg om efterlevnad ("Attestation of Compliance, AOC")
Varje kvartal:
- Genomför en nätverksskanning varje kvartal av en godkänd skanningsleverantör ("Approved Scan Vendor, ASV")
-
Varje år:
- Fyll i ett frågeformulär för självbedömning ("Self-Assessment Questionnaire, SAQ")
- Skicka in ett formulär för intyg om efterlevnad ("Attestation of Compliance, AOC")
Varje kvartal:
- Genomför en nätverksskanning varje kvartal av en godkänd skanningsleverantör ("Approved Scan Vendor, ASV")
-
Varje år:
- Fyll i ett frågeformulär för självbedömning ("Self-Assessment Questionnaire, SAQ")
- Skicka in ett formulär för intyg om efterlevnad ("Attestation of Compliance, AOC")
Varje kvartal:
- Genomför en kvartalvis nätverksskanning av en godkänd skanningsleverantör ("ASV") (om tillämpligt)
- Fyll i ett frågeformulär för självbedömning ("Self-Assessment Questionnaire, SAQ")
Program för teknologiska innovationer
Investera i säker teknologi och gör efterlevnad enklare
Inlösenställen i USA som har agerat för att hjälpa att förhindra förfalskningsbedrägerier genom att investera i EMV:s chippteknologi eller implementerat engiltig punkt-till-punkt-krypteringslösning från Visa program för teknologiska innovationer (Technology Innovation Program, TIP). Detta program belönar berättigade inlösenställen genom att eliminera kraven att verifiera efterlevnaden av PCI DSS när minst 75 procent av de årliga transaktionerna kommer från EMV-chippaktiverade terminaler med dubbla gränssnitt eller från en giltig punkt-till-punkt-krypteringslösning.
Regler och bedömningar
Visas huvudregler (Vices Core Rules, VCR) styr aktiviteter för kundernas finansinstitut och, i förlängningen, inlösenställen och tjänsteleverantörer som deltar i Visas betalsystem.
Inlösenställets inlösenbank ansvarar för att se till att PCI-standarden för datasäkerhet (Data Security Standard, DSS) efterlevs av inlösenstället och av alla andra tjänsteleverantörer som inlösenstället använder sig av. Som ett inlösenställe måste du alltid följa denna standard helt. (VCR sektions-ID #0002228 och #0008031).
Om ett inlösenställe inte uppfyller PCI DSS-standarden eller misslyckas att åtgärda ett säkerhetsproblem kan Visa göra en icke-efterlevnadsbedömning av inlösenställets inlösare. Inlösaren ansvarar för att betala alla bedömningar och får inte påstå att Visa har påtvingat inlösenstället någon bedömning. (VCR sektions-ID #0001054)
Man kan sluta att göra en bedömning om det inte finns några bevis på att PCI DSS-standarden inte efterlevs innan, och vid tiden av ett dataintrång, om det bevisas vid en medicinteknisk undersökning.
Tjänsteleverantörer och betalningsprogram
Stöd säkra transaktioner genom att enbart bli partner med godkända tjänsteleverantörer och betalningsprogram.
Tjänsteleverantörer
Tjänsteleverantörer hanterar Visa-kortuppgifter å dina vägnar. Din inlösare garanterar tjänsteleverantören att följa PCI DSS-standarden. Det krävs en efterlevnadsvalidering för alla tjänsteleverantörer.
Hitta en godkänd tjänsteleverantör
Betalningsprogram
Använd enbart säkra, validerade betalningsprogram.
Säkerhetsstandarder
Produkter bör uppfylla betalningsprogrammets standard för datasäkerhet.
Säkerhetsmandat
Betalningsprogram bör inte spara några känsliga kortuppgifter.
Sårbara program
Om ett betalningsprogram lagrar känsliga data, meddela oss om detta genom att mejla till: [email protected].
Säkerhetsprogram
Håll dig uppdaterad om de senaste säkerhetsstandarderna
Globalt PIN-säkerhetsprogram
Inlösenställen som kräver PIN-transaktioner och/eller själva utför nyckelhanteringstjänster måste följa Visas PIN-säkerhetkrav.
Använd länken nedan för att läsa mer om Visas globala PIN-säkerhetsprogram:
Förebygga skimmingförsök: Bästa praxis för inlösenställen
Läs mer om hur du går med i Qualified Integrator Reseller (QIR)-programmet
PCI:s Qualified Integrators & Resellers (QIR)™ utbildnings- och kvalificeringsprogram erbjuder utbildning och verktyg för att garantera en säker installation för dina inlösenställens PA-DSS-validerade betalsystem. Genom att bli en QIR kommer inlösenställen att kunna använda dina tjänster för att möta kraven som har stakats ut av betalningsvarumärken.
Fler resurser
Se mer information om hur du skyddar din verksamhet
Minimera betalningsrisker för inlösenställen genom att använda integratörer/återförsäljare (PDF,1,2 MB)
Cyberkriminella riktar in sig på försäljningsplatsintegratörer (PDF,984 KB)
Effektiv hantering av dataintrång (PDF, 984 KB)
Fem viktiga Visa-regler som alla inlösenställen bör känna till (PDF,587 KB)
Identifiera och lösa hot mot betalningprocessering inom e-handeln (PDF,1,0 MB)
Säkerhetsmandat för betalningsprogram (PDF, 61 K)
Du kanske även vill läsa om
Varför det lönar sig att anpassa sig efter de nya teknologierna
EMV:s chippteknologi gör det virtuellt omöjligt att förfalska kort.
