Дотримання вимог стандарту безпеки даних індустрії платіжних карток (DSS) вимагається від усіх суб’єктів, які зберігають, обробляють або передають дані держателів карток Visa, у тому числі фінансових установ, продавців і постачальників послуг. Програми Visa керують дотриманням вимог DSS індустрії платіжних карток, вимагаючи, щоб учасники регулярно демонстрували дотримання вимог.
Докладніше про вимоги до продавців
Програма захисту інформації про держателя картки (CISP) — це програма дотримання вимог, яка призначена для захисту даних держателів карток Visa, забезпечуючи клієнтам, продавцям і постачальникам послуг найвищий рівень інформаційної безпеки.
Рада стандартів безпеки індустрії платіжних карток (SSC) володіє, підтримує та керує DSS індустрії платіжних карток та всіма супровідними документами; однак компанія Visa керує всіма ініціативами щодо дотримання вимог безпеки та перевірки достовірності даних.
Емітенти та еквайри несуть відповідальність за те, щоб всі їхні постачальники послуг, продавці та постачальники послуг продавців відповідали вимогам DSS індустрії платіжних карток.
Перевірку дотримання вимог продавцем було визначено як пріоритетну на основі обсягу транзакцій, потенційного ризику та розкриття в платіжній системі.
Докладніше про рівні продавців
Емітент та еквайри повинні переконатися, що усі постачальники послуг рівня 1 та рівня 2 дотримуються вимог DSS індустрії платіжних карток під час реєстрації незалежних агентів і через кожні 12 місяців після такої реєстрації.
Еквайри мають переконатися, що їхніх продавців перевіряють на належному рівні і вони отримують необхідну документацію з дотримання вимог від своїх продавців. Банки з обслуговування торгових операцій та продавці також мають перевіряти дотримання вимог щодо звітності інших брендів платіжних карток, які можуть вимагати підтвердження дотримання таких вимог.
Постачальники послуг рівня 1, які не підключені безпосередньо до системи Visa, зобов’язані виконувати щорічну оцінку безпеки даних індустрії платіжних карток на місцях і надіслати виконану атестацію відповідності (AOC), підписану як постачальником послуг, так і кваліфікованим оцінювачем безпеки (QSA), до компанії Visa. Постачальники послуг рівня 2 мають подати підписану анкету для самостійного оцінювання (SAQ-D) або AOC, разом з підписом QSA. Перевірку дотримання вимог DSS індустрії платіжних карток потрібно виконати до того, як постачальник послуг зможе зареєструватися у Глобальному реєстрі Visa для постачальників послуг (далі — Реєстр).
Загальні правила Visa (VCR) регламентують діяльність фінансових установ-клієнтів, а отже, продавців і постачальників послуг як учасників платіжної системи Visa.
Емітенти й еквайри несуть відповідальність за дотримання вимог DSS індустрії платіжних карток їхніми постачальниками послуг і продавцями, включно з постачальниками послуг, яких використовує продавець. Продавцям і постачальникам послуг слід постійно повністю дотримуватися всіх вимог. (Код розділу VCR № 0002228 і № 0008031)
Якщо постачальник послуг або продавець не дотримується стандарту DSS індустрії платіжних карток чи не виправляє проблеми з безпекою, Visa може замовити оцінку щодо недотримання вимог еквайра або емітента. Емітент або еквайр несе відповідальність за оплату всіх оцінок і не повинен вважати, що компанія Visa зобов’язала постачальника послуг або продавця виконати будь-які оцінки. (Код розділу VCR № 0001054)
Щоб отримати додаткову інформацію, еквайри можуть звернутися до відділу керування ризиками Visa за адресою [email protected] .
Visa спрощує перевірку дотримання вимог захисту PIN-кодів в усіх регіонах.
Visa неухильно заохочує постачальників платіжних додатків розробляти та перевіряти відповідність своєї продукції стандарту PA-DSS. Додатки, сумісні з PA-DSS, допомагають продавцям та агентам уникати компрометації, запобігати зберіганню вразливих даних держателів карток та підтримувати загальну відповідність вимогам DSS індустрії платіжних карток. Стандарт PA-DSS застосовується тільки до платіжних додатків сторонніх розробників, які зберігають, обробляють або передають дані держателів карт під час авторизації або розрахунку. Додатки власної розробки оцінюються під час оцінки продавця чи агента на дотримання DSS індустрії платіжних карток.
Докладніше про Раду стандартів безпеки індустрії платіжних карток
1 січня 2008 року компанія Visa запровадила ряд мандатів, спрямованих на припинення використання вразливих платіжних додатків у платіжній системі Visa. Ці мандати вимагають від еквайрів, щоб їхні продавці та агенти не використовували платіжні додатки, про які відомо, що вони зберігають вразливі дані держателів карток (тобто повні дані магнітної смужки, коди CVV2 або ПІН-коди), і вимагали використовувати платіжні додатки, що відповідають вимогам PA-DSS.
Хоча багато постачальників платіжних додатків розгорнули програми, сумісні з PA-DSS, виникає стурбованість з приводу того, що оновлення платіжних додатків не розробляються з неухильним усуненням відомих вразливих компонентів. Крім того, виникає занепокоєння, що безпека платіжних додатків не організована належним чином на сайтах клієнтів.
Компрометація продавців та агентів демонструє, що ряд компаній-постачальників платіжних додатків не мають достатнього досвіду інсталяції платіжних додатків та встановлення систем, мають слабку службу технічної підтримки клієнтів, використовуючи слабкі, спільні або стандартні облікові дані для доступу, а також керують сайтами клієнтів за допомогою неналежним чином впроваджених інструментів віддаленого управління. Злочинці можуть використати такі вразливі облікові записи й отримати доступ до конфігурацій держателів карток.
Visa розробила набір найкращих прикладів, щоб допомогти компаніям, які використовують платіжні додатки, вирішити критично важливі програмні процеси. Проявляючи належну обачність, покупці, еквайри й агенти мають гарантувати, що компанії, які використовують платіжні додатки, використовують строгі та компетентні процеси роботи з додатками.
Десятка найкращих прикладів Visa для компаній, що використовують платіжні додатки
Компанія Visa визначила, що певні платіжні додатки розроблені постачальниками програмного забезпечення для зберігання важливих даних держателів карток (тобто повні дані магнітної смужки, код CVV2 або ПІН-код) після авторизації транзакції. Зберігання елементів даних держателів карток є прямим порушенням правил DSS індустрії платіжних карток та Visa. Злочинці орієнтуються на продавців і агентів, які використовують ці вразливі платіжні додатки, і зловживають цими недоліками в безпеці для пошуку та викрадення даних держателів карток.
Компанія Visa нагадує основним зацікавленим сторонам, серед яких еквайри, які допомагають зменшити зламування, про оновлений перелік вразливих платіжних додатків, коли це потрібно. Якщо ви виявите вразливий платіжний додаток і маєте конкретну інформацію стосовно постачальника платіжних додатків, версії програми, де зберігаються конфіденційні дані держателів карток та контактну інформацію постачальника, повідомте про це компанію Visa електронною поштою за адресою [email protected]. Усю надану інформацію буде перевірено через постачальника програмного забезпечення. Компанія Visa не повідомляє жодному постачальнику програмного забезпечення джерело інформації та не розкриє інформацію, яка б викрила особу інформатора.
У 2005 році компанія Visa розробила програму «Найкращі приклади платіжних додатків» (PABP), яка надає постачальникам програмного забезпечення рекомендації щодо розробки платіжних додатків, які допомагають продавцям та агентам знизити кількість зламувань, запобігти зберіганню вразливих даних держателів карток (тобто повних даних магнітної стрічки, даних коду CVV2 або ПІН-коду) та підтримувати загальну відповідність DSS індустрії платіжних карток. У 2008 році Рада стандартів безпеки індустрії платіжних карток прийняла розроблену компанією Visa програму PABP і опублікувала цей стандарт як PA-DSS. Сьогодні стандарт PA-DSS замінює PABP під час виконання програми дотримання вимог Visa.
