- 1. Установіть та підтримуйте конфігурацію міжмережевого екрана для захисту даних держателя картки
- 2. Не використовуйте заводські параметри за замовчуванням для паролів системи та інших параметрів безпеки
Дотримання вимог безпеки даних
Дотримання вимог стандарту DSS індустрії платіжних карток
Кожен, хто зберігає, обробляє чи передає інформацію держателя картки, повинен дотримуватися стандарту DSS індустрії платіжних карток. Він складається з 12 основних вимог, згрупованих у шість категорій, для встановлення та підтримки надійного та безпечного середовища обробки платежів. Співпрацюйте як партнер зі своїм еквайром для гарантування безпечних транзакцій для всіх клієнтів, застосовуючи стандарт безпеки даних (DSS) індустрії платіжних карток. Перш за все, ознайомтесь з інструкціями, а тоді перевірте, чи Ви відповідаєте відповідним вимогам.
-
-
- 3. Захистіть дані держателя картки, які зберігаються
- 4. Шифруйте передачу даних держателя картки через відкриті мережі загального користування
-
- 5. Захистіть всі системи від шкідливих програм і регулярно оновлюйте антивірусне програмне забезпечення чи програми
- 6. Розробляйте та підтримуйте безпечні системи та додатки
-
- 7. Обмежуйте доступ до даних держателя картки згідно зі службовою необхідністю
- 8. Здійснюйте ідентифікацію та автентифікацію перед наданням доступу до компонентів системи
- 9. Обмежуйте фізичний доступ до даних держателя картки
-
- 10. Відстежуйте та контролюйте весь доступ до мережевих ресурсів та даних держателя картки
- 11. Регулярно тестуйте системи та процеси безпеки
-
- 12. Виконуйте політику, яка стосується безпеки інформації для всього персоналу
Підтвердження дотримання вимог
Знайдіть час і перевірте, чи ви відповідаєте всім вимогам стандарту DSS індустрії платіжних карток. Це найкращий спосіб підтвердження того, що дані держателя картки обробляються безпечно, та виявлення всіх недоліків, які слід усунути. Ваш загальний обсяг транзакцій за угодою з Visa за 12-місячний період визначає Ваш рівень продавця та необхідні вимоги для підтвердження.
-
Щороку:
- Подавати Звіт про дотримання вимог ("ЗДВ") від кваліфікованого аудитора систем безпеки ("QSA") чи ревізора відділу внутрішнього аудиту з підписом посадовця компанії. Ми радимо ревізору відділу внутрішнього аудиту отримати сертифікацію ревізора з безпеки ("ISA") Ради стандартів безпеки (SSC) індустрії платіжних карток.
- Подати бланк Засвідчення дотримання вимог ("AOC")
Щоквартально:
- Здійснювати квартальну перевірку мережі Затвердженим постачальником послуг сканування ("ASV")
-
Щороку:
- Заповнювати Анкету для самостійного оцінювання ("SAQ")
- Подати бланк Засвідчення дотримання вимог ("AOC")
Щоквартально:
- Здійснювати квартальну перевірку мережі Затвердженим постачальником послуг сканування ("ASV")
-
Щороку:
- Заповнювати Анкету для самостійного оцінювання ("SAQ")
- Подати бланк Засвідчення дотримання вимог ("AOC")
Щоквартально:
- Здійснювати квартальну перевірку мережі Затвердженим постачальником послуг сканування ("ASV")
-
Щороку:
- Заповнювати Анкету для самостійного оцінювання ("SAQ")
- Подати бланк Засвідчення дотримання вимог ("AOC")
Щоквартально:
- Здійснювати квартальну перевірку Затвердженим постачальником послуг сканування ("ASV") (у разі необхідності)
- Заповнювати Анкету для самостійного оцінювання ("SAQ")
Програма технічних інновацій
Вкладайте кошти у безпечну технологію та полегшуйте дотримання вимог
Американські продавці, які здійснювали дії задля допомоги запобіганню шахрайству з фальсифікацією, вкладаючи кошти у технологію з використанням чіпів стандарту для операцій із банківськими картками з чіпом (EMV) чи застосовували схвалене рішення для двостороннього шифрування, можуть отримати користь від Програми технічних інновацій Visa. Ця програма пропонує винагороди відповідним продавцям шляхом скасування вимоги перевіряти дотримання вимог стандарту DSS індустрії платіжних карток, коли принаймні 75 відсотків річних транзакцій походять від терміналів зі здвоєним інтерфейсом для обробки карток із чіпом стандарту EMV чи схваленого рішення для двостороннього шифрування.
Норми + оцінки
Загальні правила Visa (VCR) регламентують діяльність фінансових установ-клієнтів а, отже, продавців і постачальників послуг як учасників платіжної системи Visa.
Банк-еквайр продавця відповідає за забезпечення дотримання вимог стандарту безпеки даних (DSS) індустрії платіжних карток продавця та будь-яких постачальників послуг, послугами яких користується продавець. Вам як продавцю слід постійно повністю дотримуватися всіх вимог. (Код розділу VCR № 0002228 і № 0008031).
Якщо продавець не дотримується стандарту DSS індустрії платіжних карток чи не виправляє проблеми з безпекою, Visa може замовити оцінку щодо недотримання вимог еквайра продавця. Еквайр відповідає за сплату всіх оцінок і не повинен заявляти, що Visa наклала витрати за якусь оцінку на продавця. (Корд розділу VCR № 0001054)
Від проведення оцінки можна відмовитися, якщо немає підтверджень недотримання стандарту DSS індустрії платіжних карток до та під час витоку даних, що демонструється під час кримінального розслідування.
Постачальники послуг + платіжні додатки
Підтримуйте безпечні транзакції, співпрацюючи як партнер лише зі схваленими постачальниками послуг та платіжними додатками.
Постачальники послуг
Постачальники послуг обробляють інформацію держателя картки Visa від Вашого імені. Ваш еквайр гарантує, що постачальники послуг дотримуються стандарту DSS індустрії платіжних карток. Підтвердження дотримання вимог вимагається для всіх постачальників послуг.
Знайдіть підтвердженого постачальника послуг
Платіжні додатки
Використовуйте лише безпечні, перевірені платіжні додатки.
Програми безпеки
Слідкуйте за новинами про останні зміни в стандартах безпеки
Всесвітня програма захисту ПІН-коду
Продавці, які є еквайрами транзакцій із ПІН-кодами та (або) здійснюють послуги служби керування ключами самі, повинні дотримуватися вимог Visa щодо захисту ПІН-коду.
Скористайтеся посиланнями нижче, щоб дізнатися більше про всесвітню програму захисту ПІН-коду Visa:
Дізнатися більше про приєднання до Програми кваліфікованих інтеграторів та реселерів (QIR)
Тренінги та програми підвищення кваліфікації Qualified Integrators & Resellers (кваліфікованого посередника-інтегратора) (QIR)™ індустрії платіжних карток пропонують навчання та інструменти для безпечного встановлення затверджених платіжних систем PA-DSS у вашого продавця. Ставши кваліфікованим інтегратором та реселером, продавці зможуть використовувати ваші послуги для дотримання вимог, встановлених платіжними компаніями.
Як приєднатися до програми QIR
Переваги підготовки у програмі QIR індустрії платіжних карток
Додаткові ресурси
Знайдіть додаткову інформацію щодо захисту вашого бізнесу
Мінімізація платіжних ризиків для продавців, які використовують інтегратори/посередників (PDF, 1,2 МБ)
Кіберзлочинці атакують інтеграторів торгової точки (PDF, 984 кБ)
Ефективне керування для запобігання витоку даних (PDF, 984 кБ)
П’ять важливих правил Visa, які слід знати кожному продавцеві (PDF, 587 кБ)
Ідентифікація та мінімізація загроз для обробки платежів електронної комерції (PDF, 1,0 МБ)
Накази про безпеку платіжних додатків (PDF, 61 К)