Dodržování předpisů datového bezpečnostního standardu (DSS) pro obor platebních karet je požadováno od všech subjektů, které ukládají, zpracovávají nebo předávají údaje majitelů karet Visa, včetně finančních institucí, obchodníků a poskytovatelů služeb. Programy společnosti Visa řídí dodržování předpisů PCI DSS tím, že po účastnících požadují, aby pravidelně prokazovali dodržování předpisů.
Držte krok s bezpečnostními standardy
Dodržování předpisů PCI DSS
Bezpečnostní standardy, z nichž mají prospěch všichni.
-
Program zabezpečení informací o majitelích karet společnosti Visa (Cardholder Information Security Program, CISP) je program dodržování předpisů, jehož účelem je chránit údaje majitelů karet Visa tím, že zajišťuje, aby klienti, obchodníci a poskytovatelé služeb dodržovali nejvyšší standard zabezpečení informací.
Rada pro bezpečnostní normy v oboru platebních karet (SSC) vlastní, udržuje a spravuje PCI DSS a všechny jeho podpůrné dokumenty; Visa však řídí veškeré iniciativy týkající se vymáhání a ověřování dodržování předpisů v oblasti datového zabezpečení.
-
Vydavatelé karet a zprostředkovatelé plateb jsou zodpovědní za to, aby všichni jejich poskytovatelé služeb, obchodníci a poskytovatelé služeb obchodníkům splňovali požadavky PCI DSS.
Potvrzení dodržování předpisů u jednotlivých obchodníků je dána priorita na základě objemu transakcí, potenciálního rizika a exponovanosti platebního systému.
Vydavatelé karet a zprostředkovatelé plateb musí zajistit, aby všichni jejich poskytovatelé služeb úrovně 1 a úrovně 2 v době registrace zástupců třetích stran (TPA) a následně každých 12 měsíců prokázali dodržování předpisů PCI DSS.
Další informace o dodržování předpisů na straně poskytovatelů služeb
-
Zprostředkovatelé plateb musí zajistit, aby jejich obchodníci potvrdili dodržování předpisů na příslušné úrovni a obstarali si rovněž potřebnou dokumentaci ověření dodržování předpisů od svých obchodníků. Banky obchodníků a obchodníci by rovněž měli potvrdit požadavky na vykazování dodržování předpisů jiných značek platebních karet, které mohou požadovat doklad o potvrzení dodržování předpisů.
Poskytovatelé služeb úrovně 1, kteří nejsou přímo propojeni se společností Visa, jsou povinni provést roční hodnocení datového zabezpečení dle PCI na místě a předložit potvrzení o dodržování předpisů (AOC), podepsané jak poskytovatelem služeb, tak kvalifikovaným hodnotitelem bezpečnosti (QSA) společnosti Visa. Poskytovatelé služeb úrovně 2 musí předložit podepsaný formulář sebehodnotícího dotazníku (SAQ-D) nebo AOC včetně podpisu QSA. Předtím, než může být poskytovatel služeb zapsán do globálního registru poskytovatelů služeb společnosti Visa (dále jen „registr“), je vyžadováno ověření dodržování předpisů PCI DSS.
-
Základní pravidla Visa (Visa Core Rules, VCR) a pravidla produktů a služeb Visa upravují činnost klientských finančních institucí a rovněž obchodníků a poskytovatelů služeb a obchodníku coby účastníků platebního systému Visa.
Vydavatelé karet a zprostředkovatelé plateb jsou odpovědní za dodržování předpisů PCI DSS na straně svých poskytovatelů služeb a obchodníků, včetně poskytovatelů služeb, které využívá obchodník. Poskytovatel služby a obchodník musí vždy dodržovat veškeré relevantní předpisy. (Část VCR ID #0002228 a #0008031)
Jestliže poskytovatel služby nebo obchodník nesplňuje požadavky PCI DSS nebo nedokáže vyřešit bezpečnostní problém, může společnost Visa uložit zprostředkovateli plateb obchodníka poplatek za nedodržení předpisů. Vydavatel karty nebo zprostředkovatel platby odpovídá za úhradu všech poplatků a nesmí zveřejnit, že společnost Visa uložila poskytovateli služby nebo obchodníkovi jakýkoli poplatek. (Část VCR ID #0001054)
Zprostředkovatelé plateb mohou pro více informací kontaktovat oddělení rizik společnosti Visa na adrese [email protected] .
Program zabezpečení PIN
Visa zjednodušuje ověřování dodržování předpisů pro zabezpečení PIN napříč všemi regiony.
Datový bezpečnostní standard pro platební aplikace (PA-DSS)
Visa důrazně doporučuje dodavatelům platebních aplikací, aby vyvinuli a ověřili shodu svých produktů s PA-DSS. Aplikace kompatibilní s PA-DSS pomáhají obchodníkům a zástupcům zmírňovat narušení, předcházet ukládání citlivých údajů majitelů karet a podporovat celkovou shodu s PCI DSS. PA-DSS se vztahuje pouze na software platebních aplikací třetích stran, který ukládá, zpracovává nebo předává údaje majitelů karet v rámci autorizace nebo úhrady. Vlastní softwarové aplikace jsou zahrnuty v hodnocení PCI DSS obchodníka nebo zástupce.
-
1. ledna 2008 zavedla společnost Visa řadu mandátů s cílem eliminovat používání zranitelných platebních aplikací z platebního systému Visa. Tyto mandáty vyžadují, aby zprostředkovatelé plateb zajistili, že jejich obchodníci a zástupci nepoužívají platební aplikace, o nichž je známo, že uchovávají citlivé údaje majitelů karet (tj. úplná data o magnetickém proužku, CVV2 nebo PIN) a vyžadují používání platebních aplikací vyhovujících PA-DSS.
-
Zatímco mnoho dodavatelů platebních aplikací používá platební aplikace kompatibilní s PA-DSS, vzrůstá obava, že aktualizace platebního softwaru nejsou důsledně vyvíjeny tak, aby bylo zaručeno, že se v nich znovu neobjeví stejná zranitelná místa. Navíc existuje obava, že platební software není u zákazníků bezpečně implementován.
Případy narušení bezpečnosti u obchodníků a zástupců odhalují, že řada společností poskytujících platební aplikace používá při instalaci platebních aplikací a systémů špatné softwarové postupy, podporuje zákazníky používající slabá, sdílená nebo výchozí přístupová hesla a přihlašovací údaje a spravuje stránky zákazníků pomocí špatně implementovaných nástrojů vzdálené správy. Zločinci mohou tato zranitelná místa využít a získat přístup k prostředí majitelů karet.
Společnost Visa vyvinula soubor doporučených postupů, které pomáhají společnostem poskytujícím platební aplikace řešit kritické softwarové procesy. Zprostředkovatelé plateb, obchodníci a zástupci by v rámci své povinné péče měli zajistit, aby jimi využívané společnosti poskytující platební aplikace splňovaly přísná kritéria kladená na vyspělé softwarové procesy.
Deset hlavních doporučených postupů společnosti Visa pro společnosti nabízející platební aplikace
-
Visa zjistila, že určité platební aplikace jsou navrženy dodavateli softwaru tak, že ukládají citlivé údaje o majitelích karet (tj. úplné údaje o magnetickém proužku, CVV2 nebo PIN) i po autorizaci transakce. Ukládání těchto datových prvků týkajících se majitelů karet je v přímém rozporu s pravidly PCI DSS a pravidly Visa. Zločinci se zaměřují na obchodníky a zástupce, kteří používají tyto zranitelné platební aplikace a využívají slabé stránky zabezpečení k vyhledávání a krádežím údajů majitelů karet.
Společnost Visa bude prostřednictvím aktualizovaného seznamu zranitelných platebních aplikací upozorňovat klíčové zainteresované strany, včetně zprostředkovatelů plateb, aby dle potřeby pomáhaly zmírňovat důsledky narušení bezpečnosti. Pokud objevíte zranitelnou platební aplikaci a máte konkrétní informace o dodavateli platební aplikace, verzi aplikace, kde jsou ukládány citlivé údaje majitelů karet, a kontaktní informace dodavatele, informujte o tom společnost Visa e-mailem na adrese [email protected]. Veškeré poskytnuté informace budou ověřeny prostřednictvím dodavatele softwaru a společnost Visa nesdělí dodavateli softwaru zdroj informací ani nezveřejní informace, které by odhalily totožnost zdroje.
-
Společnost Visa vyvinula v roce 2005 doporučené postupy pro oblast platebních aplikací (PABP) s cílem poskytnout dodavatelům softwaru vodítko při vývoji platebních aplikací, které pomáhají obchodníkům a zástupcům zmírňovat narušení, předcházet ukládání citlivých údajů majitelů karet (tj. úplných údajů o magnetickém proužku, CVV2 nebo PIN) a celkově dodržovat předpisy stanovené v PCI DSS. Rada pro bezpečnostní normy v PCI v roce 2008 přijala dokument PABP společnosti Visa a vydala jej jako standard PA-DSS. PA–DSS nyní nahrazuje PABP pro účely programu dodržování předpisů společnosti Visa.