存储、处理或传输Visa持卡人数据的所有实体,包括金融机构、商户和服务提供商都必须遵守支付卡行业数据安全标准 (DSS) 合规。Visa的各项计划要求参与方定期证明其合规性,以此管理PCI DSS合规。
Visa遵守最新PCI DSS安全标准
PCI DSS合规性
令所有人受益的安全标准。
-
Visa的持卡人信息安全计划 (CISP) 是一项合规计划,旨在确保客户、商户和服务提供商始终符合最高信息安全标准,从而保护Visa持卡人数据。
PCI安全标准委员会 (SSC) 持有、维护并管理PCI DSS及其所有支持文件,而Visa管理所有数据安全性合规执行和验证计划。
-
发卡方和收单方负责确保其所有服务提供商、商户和商户的服务提供商都遵守PCI DSS要求。
已根据交易量、潜在风险和为支付系统带来的风险划分商户合规验证优先次序。
发卡方和收单方必须确保所有1级和2级服务提供商在第三方代理 (TPA) 注册之时以及之后每隔12个月证明PCI DSS合规性。
-
收单方必须确保其商户在适当的级别进行验证,并从其商户处获取所需的合规验证文件。商户银行和商户还应验证其他支付卡品牌的合规报告要求,这些品牌可能需要合规验证证明。
未直接连接到Visa的1级服务提供商需要完成年度现场PCI数据安全性评估,并向Visa提交已执行的合规证明 (AOC),该合规证明需由服务提供商和有资质的安全评估方 (QSA) 双方签字。2级服务提供商必须提交已签字的自我评估问卷调查 (SAQ-D) 表或由QSA签字的AOC。在将服务提供商列入Visa全球服务提供商注册表(注册表)之前,需要通过PCI DSS合规验证。
-
Visa核心规则和Visa产品与服务规则规管客户金融机构的活动,并将规管对象扩展至作为Visa支付系统参与方的服务提供商和商户。
发卡方和收单方负责确保其服务提供商和商户(包括商户正在使用的服务提供商)的PCI DSS合规性。服务提供商和商户必须始终确保完全合规。(VCR章节ID#0002228和#0008031)
若服务提供商或商户不遵守PCI DSS或无法纠正安全问题,Visa可能会对发卡方或收单方开展不合规评定。发卡方或收单方须承担所有评定费用,且不得声称Visa已对服务提供商或商户开展了任何评定。(VCR章节ID#0001054)
收单方可以发送电子邮件至 [email protected] 联系Visa风险管理部门,了解更多信息。
PIN安全计划
Visa正在所有地区简化PIN安全合规性验证。
支付应用数据安全标准 (PA-DSS)
Visa强烈鼓励支付应用程序供应商根据PA-DSS开发产品并验证其产品是否符合该标准。符合PA-DSS要求的应用程序可帮助商户和代理商减少数据泄露、防止存储敏感持卡人数据、支持整体的PCI DSS合规。PA-DSS仅适用于在授权或结算环节中存储、处理或传输持卡人数据的第三方支付应用软件。公司内部软件应用程序包含于商户或代理商的PCI DSS评估之中。
-
2008年1月1日,Visa执行了一系列强制要求,禁止在Visa支付系统中使用易受攻击的支付应用。这些强制要求需要收单方确保其商户和代理商不使用会保留敏感持卡人数据(即完整磁条数据、CVV2或PIN数据)的支付应用程序,并要求使用符合PA-DSS要求的支付应用程序。
-
尽管许多支付应用程序供应商已经部署了符合PA-DSS要求的支付应用程序,但人们越来越担心支付软件未得到持续更新,无法确保不会再次出现已知漏洞。此外,人们还担心支付软件未在客户现场得到安全实施。
商户和代理商的数据泄露表明,许多支付应用公司在安装支付应用程序和系统时做法欠妥,他们允许客户使用安全性弱的、共享的或默认提供访问权限的凭据,并使用执行不良的远程管理工具来管理客户站点。犯罪分子可以利用这些漏洞侵入持卡人环境。
Visa制定了一套最佳实践,帮助支付应用公司处理关键软件流程。作为其尽职调查的一部分,收单方、商户和代理商应确保其使用的支付应用公司已满足成熟软件流程的严格要求。
-
Visa已经发现,某些支付应用程序经软件供应商有意设计,可在交易授权之后存储敏感持卡人数据(即完整磁条数据、CVV2或PIN数据)。存储这些持卡人数据元素直接违反了PCI DSS和Visa规则。犯罪分子瞄准使用这些脆弱支付应用程序的商户和代理商,并利用这些安全漏洞查找和窃取持卡人数据。
Visa将根据需要向关键利益相关者(包括收单方)提供最新的脆弱支付应用清单,以帮助减少数据泄露。如果您发现了脆弱的支付应用程序,并且拥有有关支付应用程序供应商、应用程序版本、敏感持卡人数据存储位置和供应商联系方式的具体信息,请发送电子邮件至[email protected]通知Visa。您提供的所有信息将通过软件供应商进行验证,Visa不会向任何软件供应商透露信息来源或披露会揭示来源身份的信息。
-
Visa于2005年制定支付应用程序最佳实践 (PABP),指导软件供应商开发支付应用程序,帮助商户和代理商减少数据泄露、防止存储敏感持卡人数据(即完整磁条数据、CVV2或PIN数据)并支持整体的PCI DSS合规。2008年,PCI安全标准委员会通过了Visa PABP并发布了PA-DSS标准。为执行Visa的合规计划,PA-DSS现取代PABP。