Overholdelse af Payment Card Industry Data Security Standard (DSS) er påkrævet for alle enheder, som gemmer, behandler eller sender Visa kortindehaverdata, herunder finansielle institutioner, sælgere og serviceudbydere. Visas programmer sikrer overholdelse af PCI DSS-standarder ved løbende at kræve, at deltagerne regelmæssigt fremviser, at de netop opfylder disse compliance-regler.
-
Hold dine kortindehavere sikre
Lær mere om Payment Card Industry Data Security Standard (PCI DSS).
Hold dig opdateret om de nyeste sikkerhedsstandarder
Overholdelse af PCI DSS (datasikkerhedsstandard)
Sikkerhedsstandarder, som kommer alle til gode.
-
Visas Cardholder Information Security Programme (CISP) er et compliance-program, som er tiltænkt at beskytte Visas kortindehaverdata ved at garantere, at kunder, sælgere og serviceudbydere opretholder den højst tænkelige sikkerhedsstandard.
PCI Security Standards Council (SSC) ejer, vedligeholder og administrerer PCI DSS-standarden og alle understøttende dokumenter. Bemærk: Visa administrerer håndhævelse af datasikkerhed og valideringsinitiativer.
-
Udstedere og indløsere er ansvarlige for at sikre, at alle deres serviceudbydere, sælgere og sælgeres serviceudbydere overholder alle krav til PCI DDS-standarden.
Sælgerens overholdelse af validering er højt prioriteret baseret på mængden af transaktioner, den potentielle risiko og eksponeringen, som er introduceret i betalingssystemet.
Udstedere og indløsere skal sikre, at deres niveau 1- og niveau 2-serviceudbydere udviser overholdelse af PCI DSS-standarder på tidspunktet for registrering af tredjepartsagenter (TPA) og hver 12. måned efterfølgende.
-
Indløsere skal sikre, at deres sælgere validerer på det rette niveau og indhenter den påkrævede dokumentation mht. overholdelse af validering fra de respektive sælgere. Erhvervsbanker og sælgere skal ligeledes bekræfte kravene til overholdelse af rapporteringskrav fra andre betalingskortudbydere, som kan kræve bevis på overholdelse af validering.
Niveau 1-tjenesteudbydere, som ikke er direkte forbundet til Visa, påkræves at gennemføre den årlige fysiske PCI-sikkerhedstest og aflevere en færdiggjort Attestation of Compliance (AOC), underskrevet af både serviceudbyder og en såkaldt Qualified Security Assessor (QSA) til Visa. Niveau 2-tjenesteudbydere skal aflevere en underskrevet Self-Assessment Questionnaire-formular (SAQ-D) eller en AOC indeholdende en QSA-underskrift. Overholdelse af PCI DSS validering er påkrævet, før en tjenesteudbyder kan listes på Visas globale serviceudbyderregister (Registeret).
-
Visa Core Rules og Visa Product and Service Rules regulerer aktiviteterne for kundernes finansielle institutioner og i forlængelse heraf tjenesteudbydere og sælgere som deltagere i Visas betalingssystem.
Udstedere og indløsere er ansvarlige for at sikre en overholdelse af PCI DSS-standarden for deres tjenesteudbydere og sælgere, herunder de tjenesteudbydere, som sælgeren benytter. En tjenesteudbyder og sælger skal til hver en tid opretholde en fuldstændig overholdelse. (VCR section ID #0002228 and #0008031)
Hvis en serviceudbydere eller sælger ikke overholder PCI DSS-standarden eller undlader at rette op på et sikkerhedsproblem, kan Visa pålægge udstederen eller indløseren en bøde for manglende overholdelse. Udstederen eller indløseren er ansvarlig for at betale samtlige bøder og må ikke forholde, at Visa har pålagt tjenesteudbyderen eller sælgeren nogen form for bøde.
(VCR section ID #0001054) Indløsere kan kontakte Visa Risk på e-mailadresen [email protected] for mere information.
PIN-sikkerhedsprogram
Visa forenkler overholdelse af validering af PIN-sikkerhed på tværs af alle regioner.
Payment Application Data Security Standard (PA-DSS)
Visa opfordrer på det kraftigste betalingsapplikation-leverandører til at udvikle og validere deres produkter i overensstemmelse med PA-DSS-standarden. Applikationer, der overholder PA-DSS-standarden, hjælper sælgere og agenter med at mindske datalæk, undgå at gemme følsomme kortindehaverdata og understøtter desuden en overordnet overholdelse af PCI DSS-standarden. PA-DSS gælder kun for betalingsapplikation-software udviklet af tredjeparter, som gemmer, behandler eller sender kortindehaverdata som en del af en autorisation eller betaling.
-
Den 1. januar 2008 implementerede Visa en række mandater for at fjerne brugen af sårbare betalingsapplikationer fra Visas betalingssystem. Disse mandater kræver, at indløsere sikrer, at deres sælgere og agenter ikke bruger betalingsapplikationer, som vides at gemme følsomme kortindehaverdata (såsom magnetstribedata, CVV2 eller PIN-data) og kræver, at brugen af betalingsapplikationer overholder PA-DSS-standarden.
-
Mens mange betalingsapplikation-leverandører har indført overholdelse af PA-DSS-standarden for betalingsapplikationer, så er der en stigende bekymring for, at opdateringer til betalingssoftware ikke bliver konsekvent udviklet, hvorfor allerede kendte sårbarheder atter kan forekomme. Derudover er der en bekymring for, at betalingssoftwaren ikke bliver sikkert implementeret hos kunderne.
Datalæk hos sælgere og agenter afslører, at en del betalingsapplikation-virksomheder har dårlige softwareprocesser, når de installerer betalingsapplikationer og systemer, tildeler kunderne svage, delte eller standard-adgangsoplysninger og administrerer kunderne med en dårlig kvalitet på de respektive fjernstyringsværktøjer. Kriminelle kan udnytte disse sårbarheder og få adgang til kortindehaver-miljøer.
Visa har udviklet en samling af best practices for at hjælpe betalingsapplikation-virksomheder med at indføre kritiske softwareprocesser. Som en del af rettidig omhu skal indløsere, sælgere og agenter sikre, at betalingsapplikation-virksomhederne, de benytter, lever op til kravene om en gennemprøvet softwareproces.
Visa Top 10 Best pratice for betalingsapplikations-virksomheder
-
Visa har kortlagt, at visse betalingsapplikationer er designet af softwareleverandører til at gemme følsomme kortindehaverdata (såsom magnetstribedata, Cvv2 eller PIN-data) som følge af autorisation ved transaktioner. Opbevaring af disse kortindehaverdata er i direkte strid mod PCI DDS-standarden og Visas regler. Kriminelle går målrettet efter sælgere og agenter, som benytter disse sårbare betalingsapplikationer og udnytter således sikkerhedshullerne til både at lokalisere og stjæle kortindehaverdata.
Visa ønsker at advare vigtige interessenter, herunder indløsere, for at undgå datalæk. Det sker på regelmæssig basis, og efter behov, med en opdateret liste over sårbare betalingsapplikationer. Hvis du opdager en sårbar betalingsapplikation og har specifik information om betalingsapplikation-leverandøren, applikationsversionen, hvor følsomme data gemmes, og kontaktinformationer til leverandøren, så kontakt venligst Visa via e-mailadressen [email protected]. Al information vil blive bekræftet hos softwareleverandøren. Visa deler ikke oplysninger om informationskilder, ligesom vi ej heller afsløre den type informationer, der kan være med til at identificere kilden.
-
Visa udviklede Payment Application Best Practices (PABP) i 2005 for at give softwareleverandører vejledning i at udvikle betalingsapplikationer, som kunne hjælpe sælgere og agenter med at mindske datalæk, undgå at gemme følsomme kortindehaverdata (såsom magnetstribedata, CVV2 eller PIN-data) og understøtte en overordnet overholdelse af PCI DSS-standarden. I 2008 overtog PCI Security Standards Council Visas PABP og udgav standarden som PA-DSS. PA-DDS erstatter nu PABP som gældende i Visas compliance-program.