עמידה בדרישות תקן אבטחת נתונים (DSS) של תעשיית כרטיסי התשלום נדרשת מכל הגופים שמאחסנים, מטפלים או מעבירים נתוני מחזיקי כרטיס Visa, כולל מוסדות פיננסיים, בתי עסק וספקי שירות. התוכניות של Visa מנהלות את העמידה בדרישות PCI DSS בכך שהן מחייבות את המשתתפים להראות עמידה בדרישות על בסיס קבוע.
הישארו מעודכנים לגבי תקני אבטחה
עמידה בדרישות PCI DSS
תקני אבטחה שמיטיבים עם כולם.
-
תוכנית אבטחת המידע של מחזיק הכרטיס של Visa (CISP) היא תוכנית עמידה בדרישות שנועדה להגן על נתוני מחזיקי הכרטיס של Visa על-ידי הבטחה שלקוחות, בתי עסק, וספקי שירות שומרים על הרמה הגבוהה ביותר של אבטחת מידע.
מועצת תקני האבטחה (SSC) של ה-PCI מחזיקה בבעלות, מתחזקת ומנהלת את ה-PCI DSS ואת כל המסמכים התומכים; אולם, Visa היא זו שמנהלת את כל יוזמות התיקוף והאכיפה של עמידה בדרישות אבטחת נתונים.
-
מנפיקים וסולקים יהיו אחראים להבטיח שכל ספקי השירות, בתי העסק וספקי השירותים לבית העסק עומדים בדרישות PCI DSS.
תיקוף עמידה בדרישות של בית עסק קיבל עדיפות בהתבסס על היקף העסקאות, הסיכון הפוטנציאלי, והחשיפה שהוכנסו למערכת התשלומים.
מנפיקים וסולקים חייבים להבטיח שכל ספקי השירות שלהם מדרגה 1 ומדרגה 2 מראים עמידה בדרישות PCI DSS בזמן רישום סוכני צד שלישי (TPA) ובכל 12 חודשים לאחר מכן.
-
על סולקים להבטיח כי בתי העסק שלהם מבצעים תיקוף ברמה המתאימה ולהשיג מבתי העסק את התיעוד הנדרש לתיקוף עמידה בדרישות. כמו כן, על בנקים להשקעות ובתי עסק לתקף את דרישות הדיווח לעמידה בדרישות של מותגי כרטיס תשלום אחרים אשר עשויים לדרוש אימותים לתיקוף עמידה בדרישות.
ספקי שירות מדרגה 1 שאינם קשורים ישירות ל-Visa נדרשים להשלים את הערכת אבטחת הנתונים השנתית של ה-PCI באתר ולהגיש ל-Visa עדות לביצוע עמידה בדרישות (AOC), חתומה על-ידי ספק השירות ועל-ידי בוחן האבטחה המוסמך (QSA). ספקי שירות מדרגה 2 חייבים להגיש טופס שאלון הערכה עצמית (SAQ-D) חתום או AOC כולל חתימת QSA. נדרש תיקוף עמידה בדרישות PCI DSS לפני שניתן יהיה להוסיף את ספק השירות לרשימת ספקי השירות של Visa העולמית (הרשימה).
-
עקרונות הליבה של Visa ועקרונות המוצר והשירות של Visa חלים על פעילויות של מוסדות פיננסיים הנמנים על לקוחותינו, ומתוך כך גם על בתי עסק וספקי שירות, כגופים המשתתפים במערכת התשלומים של Visa.
סולקים ומנפיקים יהיו אחראים להבטיח את העמידה בדרישות PCI DSS של ספקי השירות ובתי העסק שלהם, כולל ספקי שירות בהם משתמש בית העסק. ספק שירות ובית עסק חייבים להקפיד על עמידה מלאה בדרישות בכל עת. (VCR סעיפים מס' 0002228 ו-0008031)
היה וספק שירות או בית עסק לא עמדו בדרישות ה-PCI DSS או לא תיקנו בעיית אבטחה, תהא Visa רשאית לתת הערכת אי-עמידה בדרישות בפני המנפיק או הסולק. המנפיק או הסולק אחראים לשלם על כל ההערכות ומחויבים שלא להציג כי Visa כפתה הערכה כלשהי על ספק השירות או בית העסק. (VCR סעיף מס' 0001054)
סולקים יכולים ליצור קשר עם צוות הסיכונים של Visa בכתובת [email protected] למידע נוסף.
תוכנית אבטחת קוד
Visa מפשטת את תיקוף העמידה בדרישות אבטחת קוד בכל האזורים.
תקן אבטחת נתונים עבור אפליקציית תשלום (PA-DSS)
Visa ממליצה בחום לסוחרי אפליקציית תשלום לפתח ולתקף את העמידה בדרישות של המוצרים שלהם ל-PA–DSS. אפליקציות שעומדות בדרישות PA–DSS עוזרות לבתי עסק ולסוכנים למזער סיכונים, למנוע אחסון נתוני מחזיקי כרטיס רגישים ולתמוך בעמידה בדרישות כללית מול ה-PCI DSS. PA–DSS תקף רק לגבי אפליקציית תשלום צד שלישי שמאחסנת, מטפלת ומעבירה את נתוני מחזיקי הכרטיס כחלק מהרשאה או הסדר. תוכנות אפליקציה פנימיות מכוסות במסגרת הערכת PCI DSS של בית עסק או סוכן.
-
ב-1 בינואר, 2008, Visa יישמה סדרה של סמכויות כדי להיפטר מהשימוש באפליקציות תשלום פגיעות כחלק ממערכת התשלומים של Visa. הסמכויות הללו דורשות מסולקים להבטיח כי בתי העסק והסוכנים שלהם אינם משתמשים באפליקציות תשלום שמוכרות ככאלה השומרות נתוני מחזיקי כרטיס רגישים (כלומר נתוני פס מגנטי, נתוני CVV2 או קוד), ודורשות שימוש באפליקציות תשלומים שעומדות בדרישות PA–DSS.
-
בעוד שסוחרי אפליקציות תשלום רבים פרסו אפליקציות תשלום העומדות בדרישות PA–DSS, ישנו חשש גובר שעדכונים לתוכנת התשלום אינם מפותחים באופן קבוע כדי להבטיח שרגישויות מוכרות לא יחזרו. בנוסף, קיים חשש שתוכנות התשלומים אינן מיושמות באופן מאובטח באתרי הלקוחות.
בתי עסק וסוכנים בסיכון חושפים כי מספר חברות אפליקציית תשלום מציגות נהלי תוכנה חלשים בעת התקנת אפליקציות תשלום ומערכות, תומכות בלקוחות תוך שימוש בנתוני כניסה חלשים, משותפים או ברירת מחדל, ומנהלים אתרי לקוחות תוך שימוש בכלי ניהול שיושמו בצורה לא טובה. פושעים יכולים לנצל את הפרצות הפגיעות הללו ולקבל גישה לסביבות מחזיק הכרטיס.
Visa פיתחה סדרה של נהלי עבודה מומלצים כדי לעזור לחברות אפליקציית תשלום לטפל בהליכי תוכנה חיוניים. כחלק מבדיקת הנאותות שלהם, על סולקים, בתי עסק וסוכנים להבטיח שחברות אפליקציית תשלום בהן הם משתמשים עברו הליכי הבשלת תוכנה מחמירים.
עשרה נהלי עבודה מומלצים מובילים של Visa לחברות אפליקציית תשלום
-
Visa זיהתה כי אפליקציות תשלום מסוימות עוצבו על-ידי סוחרי תוכנה כך שישמרו נתוני מחזיקי כרטיס רגישים (כלומר, נתוני פס מגנטי מלאים, נתוני CVV2 או קוד) אחרי הרשאת עסקה. אחסון מרכיבי נתוני מחזיקי כרטיס אלה הינו הפרה ישירה של עקרונות ה-PCI DSS ושל Visa. פושעים שמים להם למטרה בתי עסק וסוכנים שמשתמשים באפליקציות התשלום הפגיעות הללו. הם מנצלים את נקודות החולשה הללו באבטחה כדי למצוא ולגנוב נתוני מחזיקי כרטיס.
Visa תתריע לבעלי עניין חיוניים, כולל סולקים, לגבי רשימה מעודכנת של אפליקציות תשלום פגיעות בהתאם לצורך וכדי לעזור למתן סיכונים. אם תזהו אפליקציית תשלום פגיעה ויש לכם מידע מדויק בנוגע לסוחר אפליקציית התשלום, גרסת האפליקצייה, איפה מאוחסנים נתוני מחזיק כרטיס רגישים ופרטי קשר של הסוחר, אנא ידעו את Visa באמצעות דואר אלקטרוני בכתובת [email protected]. כל המידע שיימסר יאושר מול סוחר התוכנה. Visa לא תחשוף בפני אף סוחר תוכנה את מקור המידע או תחלוק מידע שעלול לחשוף את זהותו של המקור.
-
Visa פיתחה נהלי עבודה מומלצים עבור אפליקציית תשלום (PABP) ב-2005 כדי לספק לסוחרי תוכנה הדרכה בפיתוח אפליקציות תשלום שעוזרות לבתי עסק ולסוכנים למזער סיכונים, למנוע אחסון נתוני מחזיק כרטיס רגישים (כלומר נתוני פס מגנטי, נתוני CVV2 או קוד) ולתמוך בעמידה כוללת בדרישות PCI DSS. ב-2008, מועצת תקני האבטחה של ה-PCI אימצה את ה-PABP של Visa ופרסמה את התקן בתור ה-PA-DSS. ה-PA-DSS מחליפה כעת את ה-PABP בכל הקשור לתוכנית העמידה בדרישות של Visa.