- 1. Установите и настройте брандмауэр, чтобы защитить данные держателя карты
- 2. Не используйте настройки, пароли и другие параметры безопасности, полученные вами от поставщиков программного обеспечения.
Соблюдение требований по безопасности данных
Соблюдение стандартов безопасности данных индустрии платежных карт
-
-
- 3. Защищайте хранимые вами данные держателя карты
- 4. Шифруйте данные держателя карты при их передаче через открытые, общедоступные сети
-
- 5. Защищайте все системы от вредоносного программного обеспечения и регулярно обновляйте антивирусное программное обеспечение или программы
- 6. Разрабатывайте и поддерживайте в рабочем состоянии прикладные программы и системы безопасности данных.
-
- 7. Разрешайте доступ к данным держателя карты только в случае деловой необходимости
- 8. Устанавливайте и удостоверяйте подлинность лица, получающего доступ к системным компонентам
- 9. Ограничивайте физический доступ к данным держателя карты
-
- 10. Отслеживайте и контролируйте любой доступ к данным держателя карты и сетевым ресурсам
- 11. Регулярно тестируйте системы безопасности и процессы
-
- 12. Положения политики по информационной безопасности должны распространяться на весь персонал
Проверка на соответствие требованиям стандарта
-
Ежегодно:
- Предоставляют Report on Compliance ("ROC") (Отчет о соблюдении требований), составленный аудиторской компанией, обладающей статусом Qualified Security Assessor ("QSA"), или внутренним аудитором, если такой отчет подписан руководителем компании. Мы рекомендуем получить статус PCI SSC Internal Security Assessor ("ISA") вашему внутреннему аудитору .
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
-
Ежегодно:
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
-
Ежегодно:
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
-
Ежегодно:
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Если необходимо, проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
Программа развития технологических инноваций
Продавцы из США, которые помогали предотвратить мошенничество, вкладывая капитал в технологию, использующую чипы EMV, или внедрялипроверенные решения по межконцевому шифрованию, теперь могут извлекать выгоду из программы развития технологических инноваций Visa. В этой программе предусмотрено поощрение отвечающих критериям отбора продавцов, которое предусматривает отмену подтверждения соблюдения ими стандартов безопасности данных индустрии платежных карт, если по крайней мере 75 процентов ежегодных транзакций осуществляется через терминалы по стандарту EMV или при помощи межконцевого шифрования данных.
Нормативные требования и оценка
Основные правила Visa определяют деятельность финансовых учреждений, а также продавцов и поставщиков услуг, являющихся участниками платежной системы Visa.
Банк-эквайер продавца несет ответственность за соблюдение продавцом стандарта безопасности данных индустрии платежных карт, а также за соблюдение этого стандарта всеми поставщиками услуг продавца. Если вы являетесь продавцом, вы должны всегда полностью соблюдать требования стандарта. (идентификационный номер раздела VCR #0002228 и #0008031).
Если продавец не соответствует стандарту безопасности данных индустрии платежных карт или не исправляет проблему с безопасностью, компания Visa может наложить на банк-эквайер продавца взыскание. Эквайер обязан оплатить все взыскания и не должен заявлять, что Visa наложила на продавца какое-либо взыскание. (идентификационный номер раздела VCR #0001054)
Взыскания могут быть отозваны, если по результатам судебной экспертизы не будут получены данные о несоответствии стандарту безопасности данных индустрии платежных карт до момента и в момент утечки данных.
Поставщики услуг и платежные приложения

Поставщики услуг
Поставщики услуг обрабатывают данные держателя карты от вашего имени. Ваш эквайер должен обеспечить соблюдение поставщиками услуг требований стандарта безопасности данных индустрии платежных карт. Все поставщики услуг должны подтверждать соблюдение ими стандарта.
Найти проверенного поставщика услуг
Платежные приложения
Программы обеспечения безопасности

Глобальная программа безопасности ПИН-кодов
Продавцы, которые проводят транзакции с ПИН-кодами и (или) сами выполняют задачи по управлению ключами шифрования, должны выполнять требования Visa к безопасности операций с ПИН-кодами.
Узнайте подробнее о Глобальной программе безопасности ПИН-кодов Visa по следующим ссылкам:
Подробнее о безопасности ПИН-кодов
Предотвращение скимминга: Методы наиболее успешной практики для продавцов
Узнать больше об участии в программе для уполномоченных интеграторов и реселлеров
Существует программа обучения для уполномоченных интеграторов и реселлеров (PCI Qualified Integrators & Resellers (QIR)™), которая дает продавцам необходимые знания и инструменты для безопасной установки платежной системы, соответствующей стандарту PA-DSS. Став уполномоченным интегратором и реселлером, продавцы смогут соблюдать требования платежных систем, используя ваши услуги.
Как вступить в программу для уполномоченных интеграторов и реселлеров
Дополнительные ресурсы

Получите больше информации о способах защиты вашего бизнеса
Минимизация платежных рисков для продавцов, пользующихся услугами интеграторов/реселлеров (PDF, 1,2 Мб)
Киберпреступники нацелены на интеграторов терминалов (PDF, 984 Кб)
Эффективная борьба с утечками данных (PDF, 984 Кб)
5 основных правил Visa, который должен знать каждый продавец (PDF, 587 Кб)
Определение и снижение угроз для обработки платежей в электронной коммерции (PDF, 1,0 Мб)
Требования к безопасности платежных приложений (PDF, 61 Кб)