Compliance met de Payment Card Industry Data Security Standard (DSS) is vereist voor alle entiteiten die Visa-kaarthoudersgegevens opslaan, verwerken of doorgeven, waaronder financiële instellingen, retailers en dienstverleners. De programma's van Visa beheren PCI DSS-compliance door deelnemers te verplichten regelmatig hun compliance aan te tonen.
Blijf op de hoogte van de beveiligingsnormen
PCI DSS-compliance
Beveiligingsnormen die goed zijn voor iedereen.
-
Visa’s Cardholder Information Security Program (CISP) is een compliance programma dat de gegevens van Visa-kaarthouders beschermt door ervoor te zorgen dat klanten, retailers en dienstverleners de hoogste gegevensbeveiligingsnormen hanteren.
De PCI Security Standards Council (SSC) bezit, onderhoudt en beheert de PCI DSS en alle bijbehorende ondersteunende documenten; Visa beheert echter de gehele handhaving en validatie van compliance aangaande gegevensbeveiliging.
-
Kaartuitgevers en acquirers zijn verantwoordelijk voor het garanderen dat alle dienstverleners, retailers en dienstverleners van retailers voldoen aan de PCI DSS-eisen.
Compliance-validatie van de retailer heeft prioriteit op basis van het volume van de transacties, het potentiële risico en geïntroduceerde exposure in het betalingssysteem.
Kaartuitgevers en acquirers moeten ervoor zorgen dat alle niveau 1 en niveau 2 dienstverleners hun PCI DSS-compliance aantonen ten tijde van de registratie van externe agenten (TPA) en elke 12 maanden daarna.
-
Acquirers moeten ervoor zorgen dat hun retailers op het juiste niveau valideren en dat zij de vereiste compliance-validatiedocumenten van hun retailers ontvangen. Handelsbanken en retailers dienen ook de eisen inzake compliance-rapportage van andere betaalkaartmerken te controleren; deze kunnen mogelijk een bewijs van compliance-validatie vereisen.
Niveau 1 dienstverleners die geen directe verbinding hebben met Visa, zijn verplicht om de jaarlijkse on-site PCI-gegevensbeveiligingsbeoordeling te voltooien en een complianceverklaringsformulier (attestation of compliance, AOC) in te dienen bij Visa, ondertekend door zowel de dienstverlener als de gekwalificeerde beveiligingsbeoordelaar (QSA). Niveau 2 dienstverleners dienen een ondertekend formulier voor zelfbeoordeling (SAQ-D) of een AOC inclusief QSA-handtekening in te dienen. PCI DSS compliance-validatie is vereist voordat een dienstverlener kan worden vermeld in de Visa Global Registry of Service Providers (the Registry).
-
De Visa Core Rules en Visa Product and Service Rules hebben betrekking op de activiteiten van financiële instellingen van klanten en, in het verlengde daarvan, van dienstverleners en retailers als deelnemers aan het Visa-betalingssysteem.
Kaartuitgevers en acquirers zijn verantwoordelijk voor het waarborgen van de PCI DSS-compliance van hun dienstverleners en retailers, met inbegrip van dienstverleners die de retailer gebruikt. Als dienstverlener en retailer moet u te allen tijde volledig compliant blijven. (VCR-sectie ID #0002228 en #0008031)
Als een dienstverlener of retailer niet aan de PCI DSS voldoet of een beveiligingsprobleem niet corrigeert, dan kan Visa een non-compliance-beoordeling aan de kaartuitgever of acquirer uitvaardigen. De kaartuitgever of acquirer is verantwoordelijk voor het betalen van alle beoordelingen en kan niet aanvoeren dat Visa een beoordeling heeft opgedrongen aan de dienstverlener of retailer. (VCR-sectie ID #0001054)
Acquirers kunnen voor meer informatie contact opnemen met Visa Risk op [email protected] .
Gegevensbeveiligingsnorm voor betalingstoepassingen (Payment Application Data Security Standard, PA-DSS)
Visa moedigt leveranciers van betalingstoepassingen sterk aan om hun producten te ontwikkelen en valideren conform de PA-DSS. PA-DSS-compliant toepassingen helpen retailers en agenten compromittering van gegevens te beperken, opslag van gevoelige kaarthoudergegevens te voorkomen en algemene compliance van de PCI DSS te ondersteunen. PA-DSS is alleen van toepassing op betalingstoepassingssoftware van derden die gegevens van kaarthouders opslaat, verwerkt of verzendt als onderdeel van een autorisatie of afwikkeling. In-house softwaretoepassingen vallen onder de PCI DSS-beoordeling van een retailer of agent.
Bezoek voor meer informatie de PCI Security Standards Council
-
Op 1 januari 2008 heeft Visa een reeks eisen geïmplementeerd om kwetsbare betalingstoepassingen uit het Visa-betalingssysteem te weren. Deze eisen bepalen dat acquirers ervoor moeten zorgen dat hun retailers en agenten geen betalingstoepassingen gebruiken die gevoelige kaarthoudergegevens opslaan (dat wil zeggen volledige magneetstripgegevens, CVV2- of PIN-gegevens) en vereisen het gebruik van betalingstoepassingen die voldoen aan de PA-DSS.
-
Hoewel veel leveranciers van betalingstoepassingen PA-DSS-compliant betalingstoepassingen hebben geïmplementeerd, is er toenemende bezorgdheid dat updates voor betalingssoftware om herintroductie van al bekende kwetsbaarheden tegen te gaan niet consequent worden ontwikkeld. Daarnaast is er bezorgdheid dat de betalingssoftware niet veilig wordt geïmplementeerd op klantlocaties.
Compromittering van gegevens bij retailers en agenten toont aan dat een aantal betalingstoepassingsbedrijven er zwakke softwarepraktijken op nahoudt bij het installeren van betalingstoepassingen en -systemen. Ook ondersteunen zij klanten met zwakke, gedeelde of standaard toegangsgegevens, en beheren zij klantlocaties met slecht geïmplementeerde hulpmiddelen voor externe toegang. Criminelen kunnen profiteren van deze kwetsbaarheden en toegang krijgen tot kaarthouderomgevingen.
Visa heeft een reeks best practices ontwikkeld om betalingstoepassingsbedrijven te helpen met hun kritieke softwareprocessen. Als onderdeel van hun due diligence moeten acquirers, retailers en agenten ervoor zorgen dat de betalingstoepassingsbedrijven waar ze mee werken, strikte softwarecontroleprocessen hanteren.
Visa Top Ten Best Practices for Payment Application Companies
-
Visa heeft vastgesteld dat bepaalde betalingstoepassingen zodanig door softwareleveranciers zijn ontworpen dat er na transactieautorisatie gevoelige kaarthoudergegevens worden opgeslagen (d.w.z. volledige magnetische stripgegevens, CVV2- of PIN-gegevens). Opslag van deze kaarthoudergegevenselementen is in strijd met de PCI DSS- en Visa-richtlijnen. Criminelen concentreren zich op retailers en agenten die deze kwetsbare betalingstoepassingen gebruiken en buiten deze kwetsbaarheden uit om kaarthoudergegevens te vinden en te stelen.
Visa zal de voornaamste belanghebbenden, waaronder acquirers, waarschuwen. Visa zal hen waar nodig helpen schade door compromittering van gegevens te beperken, met een bijgewerkte lijst van kwetsbare betalingstoepassingen. Als u een kwetsbare betalingstoepassing signaleert en specifieke informatie heeft over de leverancier van de betalingstoepassing, de toepassingsversie, de plaats waar gevoelige kaarthoudergegevens worden opgeslagen en de contactgegevens van de leverancier, meld dit dan aan Visa door te e-mailen naar [email protected]. Alle verstrekte informatie zal worden geverifieerd bij de softwareleverancier. Visa zal de bron van de informatie niet bekendmaken aan enige softwareleverancier noch informatie bekendmaken die de identiteit van de bron zou kunnen onthullen.
-
Visa ontwikkelde in 2005 de Payment Application Best Practices (PABP) om de leveranciers van softwareleveranciers te begeleiden bij het ontwikkelen van betalingstoepassingen die retailers en agenten helpen om schade door compromittering te beperken en/of opslag van gevoelige kaarthoudergegevens (dwz volledige magneetstripgegevens, CVV2- of PIN-gegevens) te voorkomen en algemene PCI DSS-compliance te ondersteunen. In 2008 heeft de PCI Security Standards Council de PABP van Visa aangenomen en de norm uitgegeven als de PA-DSS. De PA-DSS vervangt nu de PABP voor het complianceprogramma van Visa.