- 1. Установите и настройте брандмауэр, чтобы защитить данные держателя карты
- 2. Не используйте настройки, пароли и другие параметры безопасности, полученные вами от поставщиков программного обеспечения.
Соблюдение требований по безопасности данных
Соблюдение стандартов безопасности данных индустрии платежных карт
Все лица, осуществляющие хранение, обработку или передачу информации о держателях карт, должны соблюдать стандарты безопасности данных индустрии платежных карт. Этот стандарт определяет шесть областей контроля и 12 основных требований по безопасности, выполнение которых необходимо для создания и поддержки надежной и безопасной системы обработки платежей. Для обеспечения безопасности транзакций в соответствии со стандартом безопасности данных индустрии платежных карт необходимо сотрудничество с вашим эквайером. Изучите рекомендации, а затем проверьте, выполняете ли вы соответствующие требования.
-
-
- 3. Защищайте хранимые вами данные держателя карты
- 4. Шифруйте данные держателя карты при их передаче через открытые, общедоступные сети
-
- 5. Защищайте все системы от вредоносного программного обеспечения и регулярно обновляйте антивирусное программное обеспечение или программы
- 6. Разрабатывайте и поддерживайте в рабочем состоянии прикладные программы и системы безопасности данных.
-
- 7. Разрешайте доступ к данным держателя карты только в случае деловой необходимости
- 8. Устанавливайте и удостоверяйте подлинность лица, получающего доступ к системным компонентам
- 9. Ограничивайте физический доступ к данным держателя карты
-
- 10. Отслеживайте и контролируйте любой доступ к данным держателя карты и сетевым ресурсам
- 11. Регулярно тестируйте системы безопасности и процессы
-
- 12. Положения политики по информационной безопасности должны распространяться на весь персонал
Проверка на соответствие требованиям стандарта
Проверьте, соблюдаете ли вы все стандарты безопасности данных индустрии платежных карт. Это лучший способ, чтобы убедиться, что данные держателя карты обрабатываются безопасно, и чтобы устранить любые слабые места в защите данных, на которые необходимо обратить внимание. Объем всех ваших операций по картам Visa за 12 месяцев определяет ваш торговый уровень и уровень предъявляемых к вам требований.
-
Ежегодно:
- Предоставляют Report on Compliance ("ROC") (Отчет о соблюдении требований), составленный аудиторской компанией, обладающей статусом Qualified Security Assessor ("QSA"), или внутренним аудитором, если такой отчет подписан руководителем компании. Мы рекомендуем получить статус PCI SSC Internal Security Assessor ("ISA") вашему внутреннему аудитору .
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
-
Ежегодно:
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
-
Ежегодно:
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
-
Ежегодно:
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
- Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)
Ежеквартально:
- Если необходимо, проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
- Проводят оценку соответствия с заполнением опросника для оценки ("SAQ")
Программа развития технологических инноваций
Инвестируйте в технологии безопасности данных и упростите себе задачу по соблюдению требований стандарта
Продавцы из США, которые помогали предотвратить мошенничество, вкладывая капитал в технологию, использующую чипы EMV, или внедрялипроверенные решения по межконцевому шифрованию, теперь могут извлекать выгоду из программы развития технологических инноваций Visa. В этой программе предусмотрено поощрение отвечающих критериям отбора продавцов, которое предусматривает отмену подтверждения соблюдения ими стандартов безопасности данных индустрии платежных карт, если по крайней мере 75 процентов ежегодных транзакций осуществляется через терминалы по стандарту EMV или при помощи межконцевого шифрования данных.
Нормативные требования и оценка
Основные правила Visa определяют деятельность финансовых учреждений, а также продавцов и поставщиков услуг, являющихся участниками платежной системы Visa.
Банк-эквайер продавца несет ответственность за соблюдение продавцом стандарта безопасности данных индустрии платежных карт, а также за соблюдение этого стандарта всеми поставщиками услуг продавца. Если вы являетесь продавцом, вы должны всегда полностью соблюдать требования стандарта. (идентификационный номер раздела VCR #0002228 и #0008031).
Если продавец не соответствует стандарту безопасности данных индустрии платежных карт или не исправляет проблему с безопасностью, компания Visa может наложить на банк-эквайер продавца взыскание. Эквайер обязан оплатить все взыскания и не должен заявлять, что Visa наложила на продавца какое-либо взыскание. (идентификационный номер раздела VCR #0001054)
Взыскания могут быть отозваны, если по результатам судебной экспертизы не будут получены данные о несоответствии стандарту безопасности данных индустрии платежных карт до момента и в момент утечки данных.
Поставщики услуг и платежные приложения
Обеспечьте безопасность транзакций, сотрудничая только с надежными поставщиками услуг и используя только проверенные платежные приложения.
Поставщики услуг
Поставщики услуг обрабатывают данные держателя карты от вашего имени. Ваш эквайер должен обеспечить соблюдение поставщиками услуг требований стандарта безопасности данных индустрии платежных карт. Все поставщики услуг должны подтверждать соблюдение ими стандарта.
Найти проверенного поставщика услуг
Платежные приложения
Используйте только безопасные и проверенные платежные приложения.
Программы обеспечения безопасности
Следите за последними стандартами безопасности
Глобальная программа безопасности ПИН-кодов
Продавцы, которые проводят транзакции с ПИН-кодами и (или) сами выполняют задачи по управлению ключами шифрования, должны выполнять требования Visa к безопасности операций с ПИН-кодами.
Узнайте подробнее о Глобальной программе безопасности ПИН-кодов Visa по следующим ссылкам:
Предотвращение скимминга: Методы наиболее успешной практики для продавцов
Узнать больше об участии в программе для уполномоченных интеграторов и реселлеров
Существует программа обучения для уполномоченных интеграторов и реселлеров (PCI Qualified Integrators & Resellers (QIR)™), которая дает продавцам необходимые знания и инструменты для безопасной установки платежной системы, соответствующей стандарту PA-DSS. Став уполномоченным интегратором и реселлером, продавцы смогут соблюдать требования платежных систем, используя ваши услуги.
Как вступить в программу для уполномоченных интеграторов и реселлеров
Дополнительные ресурсы
Получите более подробную информацию о способах защиты вашего бизнеса
Минимизация платежных рисков для продавцов, пользующихся услугами интеграторов/реселлеров (PDF, 1,2 Мб)
Киберпреступники нацелены на интеграторов терминалов (PDF, 984 Кб)
Эффективная борьба с утечками данных (PDF, 984 Кб)
5 основных правил Visa, который должен знать каждый продавец (PDF, 587 Кб)
Определение и снижение угроз для обработки платежей в электронной коммерции (PDF, 1,0 Мб)
Требования к безопасности платежных приложений (PDF, 61 Кб)