มาตรฐานความปลอดภัยที่เป็นประโยชน์ต่อทุกคน
การปฏิบัติมาตรฐานความปลอดภัยของข้อมูล (DSS) สำหรับอุตสาหกรรมบัตรชำระเงิน มีความจำเป็นสำหรับทุกหน่วยงานที่จัดเก็บ ประมวล หรือโอนข้อมูลผู้ถือบัตรของวีซ่า รวมถึงสถาบันการเงิน ร้านค้า และผู้ให้บริการ โปรแกรมของวีซ่าจะจัดการการปฏิบัติตามกฎระเบียบ PCI DSS โดยกำหนดให้ผู้เข้าร่วมต้องแสดงออกถึงการปฏิบัติตามกฎระเบียบอยู่เสมอ
เรียนรู้เกี่ยวกับข้อกำหนดของร้านค้า
เรียนรู้เกี่ยวกับข้อกำหนดว่าด้วยการปฏิบัติตามกฎระเบียบด้านความปลอดภัยของข้อมูล
โปรแกรมรักษาความปลอดภัยสำหรับข้อมูลของผู้ถือบัตร (CISP) ของวีซ่าเป็นโปรแกรมการปฏิบัติตามกฎระเบียบที่มีจุดประสงค์เพื่อปกป้องข้อมูลผู้ถือบัตรของวีซ่าโดยการสร้างความมั่นใจว่าลูกค้า ร้านค้า และผู้ให้บริการจะคงไว้ซึ่งมาตรฐานสูงสุดเกี่ยวกับการรักษาความปลอดภัยทางข้อมูล
สภามาตรฐานความปลอดภัย (SSC) ของ PCI เป็นเจ้าของ เป็นผู้รักษา และเป็นผู้จัดการ PCI DSS และเอกสารสนับสนุนทั้งหมด อย่างไรก็ตามวีซ่าจะจัดการการบังคับใช้การปฏิบัติตามกฎระเบียบด้านความปลอดภัยของข้อมูลและแนวคิดริเริ่มในการตรวจสอบยืนยันทั้งหมด
ผู้ออกและธนาคารของร้านค้าผู้รับบัตรจะต้องรับผิดชอบในการสร้างความมั่นใจว่า ผู้ให้บริการ ร้านค้า และผู้ให้บริการของร้านค้าทั้งหมด จะปฏิบัติตามข้อกำหนดของ PCI DSS
การตรวจสอบยืนยันถึงการปฏิบัติตามกฎระเบียบของร้านค้าได้รับการจัดลำดับความสำคัญตามปริมาณธุรกรรม ความเสี่ยงที่อาจเกิดขึ้น และโอกาสความเสี่ยงที่เป็นผลมาจากระบบการชำระเงิน
ผู้ออกและธนาคารของร้านค้าผู้รับบัตรต้องแน่ใจว่าผู้ให้บริการระดับ 1 และ 2 ได้แสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบของ PCI DSS เมื่อมีการลงทะเทียนตัวแทนที่เป็นบุคคลภายนอก (TPA) และทุก 12 เดือนหลังจากนั้น
เรียนรู้เกี่ยวกับข้อกำหนดว่าด้วยการปฏิบัติตามกฎระเบียบด้านความปลอดภัยของข้อมูล
ธนาคารของร้านค้าผู้รับบัตรจะต้องแน่ใจว่าร้านค้าของตนผ่านการรับรองยืนยันถึงระดับที่เหมาะสม และมีเอกสารประกอบการยืนยันรับรองถึงการปฏิบัติตามกฎระเบียบที่จำเป็นจากร้านค้าของตน วาณิชธนกิจและร้านค้าควรตรวจยืนยันข้อกำหนดการรายงานการปฏิบัติตามกฎระเบียบของแบรนด์บัตรชำระเงินอื่นๆ ด้วยเช่นกัน เนื่องจากอาจจะกำหนดให้มีการพิสูจน์ถึงการรับรองยืนยันในการปฏิบัติตามกฎระเบียบ
ผู้ให้บริการระดับ 1 ที่ไม่ได้เชื่อมต่อกับวีซ่าโดยตรง จะต้องทำแบบประเมินประจำปีสำหรับความปลอดภัยของข้อมูลตาม PCI ในสถานประกอบการ และยื่นคำรับรองการปฏิบัติตามกฎระเบียบ (AOC) ที่ลงนามโดยผู้ให้บริการและผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามเกณฑ์ (QSA) ต่อวีซ่า ผู้ให้บริการระดับ 2 จะต้องยื่นแบบฟอร์มแบบสอบถามเพื่อประเมินตนเอง (SAQ-D) หรือ AOC ที่มีลายมือชื่อของ QSA การยืนยันรับรองถึงการปฏิบัติตามกฎระเบียบของ PCI DSS จะจำเป็นก่อนที่ผู้ให้บริการจะได้รับการกำหนดชื่อในทะเบียนผู้ให้บริการทั่วโลกของวีซ่า (สำนักทะเบียน)
เรียนรู้เกี่ยวกับข้อกำหนดว่าด้วยการปฏิบัติตามกฎระเบียบด้านความปลอดภัยของข้อมูล
กฎระเบียบหลักของวีซ่า รวมถึงกฎระเบียบเกี่ยวกับผลิตภัณฑ์และบริการของวีซ่า จะกำกับควบคุมกิจกรรมต่างๆ ของทางสถาบันการเงินของลูกค้าและขยายไปถึงร้านค้าและผู้ให้บริการในฐานะที่เป็นผู้มีส่วนร่วมในระบบการชำระเงินของวีซ่า
ผู้ออกและธนาคารของร้านค้าผู้รับบัตรจะต้องรับผิดชอบในการสร้างความมั่นใจว่าผู้ให้บริการและร้านค้าของตนจะปฏิบัติตามกฎระเบียบของ PCI DSS รวมถึงผู้ให้บริการที่ร้านค้าใช้ ผู้ให้บริการและร้านค้าจะต้องปฏิบัติตามมาตรฐานแบบทั้งหมดตลอดเวลา (VCR ส่วน ID #0002228 และ #0008031)
กรณีที่ผู้ให้บริการหรือร้านค้าไม่ได้ปฏิบัติให้เป็นไปตามมาตรฐาน PCI DSS หรือไม่สามารถแก้ไขปัญหาด้านความปลอดภัยได้ วีซ่าก็จะทำการประเมินแบบประเมินว่าด้วยเรื่องการไม่ปฏิบัติตามกฎระเบียบต่อผู้ออกหรือธนาคารของร้านค้าผู้รับบัตร ผู้ออกหรือธนาคารของร้านค้าผู้รับบัตรจะต้องรับผิดชอบในการชำระค่าประเมินทั้งหมด และต้องไม่แสดงออกว่าวีซ่าได้ทำการประเมินต่อผู้ให้บริการหรือร้านค้าใดๆ (VCR ส่วน ID #0001054)
ธนาคารของร้านค้าผู้รับบัตรสามารถติดต่อฝ่ายความเสี่ยงของวีซ่าได้ที่ [email protected] หากต้องการข้อมูลเพิ่มเติม
วีซ่ากำลังทำให้การปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยด้วยรหัส PIN เป็นเรื่องที่ง่ายขึ้นในทุกภูมิภาค
วีซ่าสนันสนุนอย่างเต็มที่ให้ผู้ขายแอปพลิเคชันการชำระเงินพัฒนาและตรวจยืนยันการปฏิบัติตาม PA-DSS ของผลิตภัณฑ์ของตน แอปพลิเคชันการปฏิบัติตาม PA-DSS จะช่วยให้ร้านค้าและตัวแทนบรรเทาความเสี่ยงจากการเกิดความเสียหาย ป้องกันการจัดเก็บข้อมูลผู้ถือบัตรที่ละเอียดอ่อน และสนับสนุนการปฏิบัติตามกฎระเบียบโดยรวมกับ PCI DSS PA–DSS มีผลบังคับใช้กับเฉพาะซอฟต์แวร์แอปพลิเคชันการชำระเงินของบุคคลที่สามที่จัดเก็บ ประมวล หรือส่งผ่านข้อมูลผู้ถือบัตร อันเป็นส่วนหนึ่งของการยืนยันตัวตนหรือการชำระเงิน แอปพลิเคชันซอฟต์แวร์ในบริษัทจะได้รับการครอบคลุมอยู่ในการประเมิน PCI DSS ของร้านค้าหรือตัวแทน
ในวันที่ 1 มกราคม 2551 วีซ่าได้นำชุดข้อบังคับมาใช้เพื่อลดการใช้แอปพลิเคชันการชำระเงินที่เปราะบางออกจากระบบการชำระเงินของวีซ่า ข้อบังคับเหล่านี้กำหนดให้ธนาคารของร้านค้าผู้รับบัตรต้องแน่ใจว่าร้านค้าและตัวแทนของตน ไม่ได้ใช้แอปพลิเคชันการชำระเงินที่รับทราบว่ามีการเก็บรักษาข้อมูลผู้ถือบัตรที่อ่อนไหว (กล่าวคือ ข้อมูลแถบแม่เหล็ก รหัส CVV2 หรือข้อมูลรหัส PIN) และกำหนดให้มีการใช้แอปพลิเคชันการชำระเงินที่สอดคล้องกับ PA-DSS
ถึงแม้ผู้ขายแอปพลิเคชันการชำระเงินหลายๆ รายได้นำแอปพลิเคชันการชำระเงินที่สอดคล้องกับ PA-DSS มาใช้ แต่ก็ยังมีความกังวลเพิ่มมากขึ้นว่าการอัปเดตของซอฟต์แวร์การจ่ายเงินนั้น ยังไม่ได้รับการพัฒนาให้สอดคล้องกันเพื่อรับรองได้ว่าจะไม่มีการนำความเปราะบางที่เป็นที่รับทราบแล้วกลับมาใช้อีกครั้ง นอกจากนี้ยังมีข้อกังวลว่าซอฟต์แวร์การจ่ายเงินจะไม่ได้ถูกนำมาใช้อย่างปลอดภัยที่สถานประกอบการของลูกค้า
ร้านค้าและตัวแทนที่ได้รับความเสียหาย เปิดเผยว่ามีบริษัทแอปพลิเคชันการชำระเงินจำนวนมากที่มีหลักปฏิบัติด้านซอฟต์แวร์ที่ไม่ได้มาตรฐานเมื่อติดตั้งแอปพลิเคชันการชำระเงินและระบบ และสนับสนุนลูกค้าด้วยการใช้ข้อมูลประจำตัวเพื่อเข้าถึงที่ไม่แข็งแกร่ง เป็นข้อมูลร่วม หรือเป็นค่าตั้งต้น และจัดการสถานประกอบการของลูกค้าโดยใช้เครื่องมือการบริหารจัดการทางไกลได้ไม่ดี อาชญากรจะใช้ประโยชน์จากข้อมูลที่เปราะบางเหล่านี้ และเข้าถึงสภาพแวดล้อมของผู้ถือบัตรได้
วีซ่าได้พัฒนาชุดแนวปฏิบัติที่ดีที่สุดเพื่อช่วยให้บริษัทแอปพลิเคชันการชำระเงินสามารถจัดการกระบวนการดำเนินการซอฟต์แวร์ที่สำคัญได้ เพื่อเป็นส่วนหนึ่งของการตรวจสอบสถานะกิจการ ธนาคารของร้านค้าผู้รับบัตร ร้านค้า และตัวแทนควรแน่ใจได้ว่า บริษัทแอปพลิเคชันการชำระเงินที่ใช้นั้น มีคุณสมบัติตามกระบวนการดำเนินการของซอฟต์แวร์ที่พัฒนาเต็มที่แล้วอย่างเข้มงวด
แนวปฏิบัติที่ดีที่สุดสิบด้านของวีซ่าสำหรับบริษัทแอปพลิเคชันการชำระเงิน
วีซ่าระบุได้ว่าแอปพลิเคชันการชำระเงินบางตัวได้รับการออกแบบโดยผู้ขายซอฟต์แวร์เพื่อจัดเก็บข้อมูลผู้ถือบัตรที่ละเอียดอ่อน (กล่าวคือ ข้อมูลแอปพลิเคชันการชำระเงิน รหัส CVV2 หรือข้อมูลรหัส PIN) ที่เป็นผลสืบเนื่องมาจากการยืนยันตัวตนของธุรกรรม การจัดเก็บองค์ประกอบข้อมูลผู้ถือบัตรเหล่านี้จะเป็นการละเมิดฝ่าฝืนกฎระเบียบของ PCI DSS และวีซ่าโดยตรง อาชญากรจะเล็งเป้าหมายไปที่ร้านค้าและตัวแทนที่ใช้แอปพลิเคชันการชำระเงินที่เปราะบางเหล่านี้ และจะใช้ประโยชน์จากความเปราะบางด้านความปลอดภัยเหล่านี้เพื่อค้นหาและขโมยข้อมูลผู้ถือบัตร
วีซ่าจะแจ้งเตือนผู้มีส่วนได้ส่วนเสียรายสำคัญ รวมถึงธนาคารของร้านค้าผู้รับบัตร เพื่อช่วยบรรเทาความเสียหายบนพื้นฐานของความจำเป็น ด้วยรายการอัปเดตชื่อแอปพลิเคชันการชำระเงินที่เปราะบาง หากคุณพบแอปพลิเคชันการชำระเงินที่เปราะบางและมีข้อมูลเฉพาะด้านเกี่ยวกับผู้ขายแอปพลิเคชันการชำระเงิน เวอร์ชันของแอปพลิเคชัน ที่จัดเก็บข้อมูลผู้ถือบัตรที่ละเอียดอ่อนและมีข้อมูลติดต่อของผู้ขาย โปรดแจ้งให้วีซ่าทราบได้ที่ [email protected] ข้อมูลทั้งหมดที่ได้รับมาจะถูกตรวจยืนยันผ่านผู้ขายซอฟต์แวร์ วีซ่าจะไม่เปิดเผยให้ผู้ขายซอฟต์แวร์ใดๆ ทราบถึงแหล่งข้อมูลหรือเปิดเผยข้อมูลที่อาจจะเผยถึงตัวตนของแหล่งข้อมูล
วีซ่าได้พัฒนาแนวปฏิบัติที่ดีที่สุดสำหรับแอปพลิเคชันการชำระเงิน (PABP) ในปี 2548 เพื่อให้คำแนะนำผู้ขายซอฟต์แวร์ในการพัฒนาแอปพลิเคชันการชำระเงินที่จะช่วยร้านค้าและตัวแทนบรรเทาความเสียหาย ป้องกันการจัดเก็บข้อมูลผู้ถือบัตรที่ละเอียดอ่อน (กล่าวคือ ข้อมูลแถบแม่เหล็ก รหัส CVV2 หรือข้อมูลรหัส PIN) และสนับสนุนการปฏิบัติตามกฎระเบียบโดยรวมกับ PCI DSS ในปี 2551 สภามาตรฐานความปลอดภัยสำหรับ PCI ได้นำ PABP ของ Visa มาใช้และออกมาตรฐานเป็น PA-DSS ตอนนี้ PA–DSS จะใช้แทนที่ PABP สำหรับวัตถุประสงค์ของโปรแกรมการปฏิบัติตามกฎระเบียบของวีซ่า
