支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱PCI DSS) 是支付卡產業安全標準協會所制定的標準,是基於保障持卡人數據安全的全球統一規範,其合規性適用於所有儲存、處理或傳輸 Visa 持卡人數據的實體,包括金融機構、商戶和服務供應商。Visa 的計劃要求參與人定期說明其合規性,以此對 PCI DSS 的合規情況進行管理。
隨時保持對安全標準的合規性
PCI DSS 合規標準
人人受惠的安全標準
-
持卡人資訊安全計劃 (CISP) 是一個合規計劃,旨在透過確保顧客、商戶和服務供應商保持最高級別資訊安全標準的方式,保護 Visa 持卡人數據安全。
PCI 安全標準委員會 (SSC) 擁有、維護並分發 PCI DSS 規範標準及其所有支援文件;而 Visa 則繼續管理所有數據安全合規實施和驗證活動。
-
發行機構和收單銀行負責確保其所有服務供應商、商戶及商戶的服務供應商遵守 PCI DSS認證要求。
商戶合規驗證已根據交易額、潛在風險以及在支付系統中的介入程度進行優先分級。
發行機構和收單銀行必須確保所有 1 級和 2 級服務供應商在第三方代理 (TPA) 註冊時,以及之後每隔 12 個月時,證明其 PCI DSS 標準合規性。
-
收單銀行必須確保其商戶在適當級別上進行驗證,並從商戶處取得所需的合規驗證文件。商戶銀行和商戶還必須驗證其他可能需要合規驗證證明的支付卡品牌的合規報告要求。
未直接與 Visa 連接的 1 級服務供應商,需完成年度現場 PCI 數據安全評估,並向 Visa 提交一份有效的驗證聲明 (AOC),由服務供應商和合格安全評估方 (QSA) 雙方簽字。2 級服務供應商必須提交一份經簽字的自我評估問卷 (SAQ-D) 或經 QSA 簽字的 AOC。在服務供應商加入 Visa 全球服務供應商目錄(「目錄」)之前,必須先進行 PCI DSS 標準認證。
-
Visa 核心規則 (Visa Core Rules) 和 Visa 產品及服務規則管理顧客金融機構,以及作為 Visa 支付系統參與者的商戶和服務供應商的活動。
發行機構和收單銀行負責確保其服務供應商和商戶,以及商戶所有服務供應商的 PCI DSS 標準合規性。服務供應商和商戶,必須隨時保持完全合規。(VCR 部分 ID#0002228 和 #0008031)
如果服務供應商或商戶不遵守 PCI DSS 標準或未能糾正安全問題,Visa 可能會對其發行機構或收單銀行作出違規評估。該發行機構或收單銀行負責支付所有評估費用,且不得對 Visa 就服務供應商或商戶做出的評估提出異議。(VCR 部分 ID #0001054)
收單機構可以在 [email protected] 上聯繫Visa 風險,以獲取更多資訊
密碼安全方案
Visa 正在所有地區簡化密碼保安合規驗證。
-
密碼保安計劃指引現已發佈
密碼保安計劃指引現已公開發佈。Visa 密碼保安計劃的基本要求仍保持不變,但該計劃指引已經過更新以加入澄清和附加資訊,包括:
- 確定 Visa 核心規則和針對 Visa PIN 計劃的 Visa 產品和服務規則。
- 驗證和非驗證參與者的定義
- 加強對加密和支援組織 (ESO) 的說明。
密碼保安網絡研討會內容及常見問題現已開放
Visa 於 2015 年 5 月為所有密碼保安計劃參與者舉辦了一次網絡研討會。以下為當時演示的內容,以及基於研討會期間及之後所提問題的常見問題。
宣佈密碼保安增強計劃:2015 年
Visa 顧客必須確保其確認為 Visa PIN 計劃 (Visa PIN program) 參與者的收單第三方代理於 2015 年 12 月 31 日之前完成合規驗證。
以下函件已向所有未規劃或實施其 Visa 密碼保安合規驗證的密碼計劃參與者發出。
PCI 密碼保安要求已更新:2015 年
為加強驗證方式並提升與合規評估的一致性,支付卡產業安全規範理事會發佈了其密碼保安要求的 2.0 版。自 2015 年 7 月 1 日開始,Visa 密碼保安計劃參與者必須開始按照 2.0 版進行其密碼保安合規評估。
支付應用數據安全標準 (PA-DSS)
Visa 強烈建議支付應用供應商開發並驗證其產品對 PA-DSS 的一致性。PA-DSS 合規應用可幫助商戶及代理減少洩露風險,避免儲存敏感持卡人敏感數據,並支援整體 PCI DSS 標準合規性。PA-DSS 僅適用於作為授權和清算一部分,儲存、處理或傳輸持卡人數據的第三方支付應用軟件。商戶或代理的 PCI DSS 評估中還涵蓋自有軟件應用。
-
雖然有許多支付應用供應商提供兼容 PA-DSS 的支付應用,人們仍日益擔心這類支付軟件的更新是否能確保排除已知漏洞。此外,還有此類支付軟件是否能在顧客網站安全實施的問題。
商戶和代理商中的洩露說明有許多支付應用公司在安裝支付應用和系統中的軟件操作能力低下,他們使用脆弱、共享或默認的路徑證書為顧客提供支援,並透過性能低下的遠程管理工具來管理顧客站點。犯罪分子可以利用此類高危入口並獲得訪問持卡人資料的通道。
Visa 開發了一套最佳典範實例,幫助支付應用公司解決關鍵軟件流程。作為其盡職調查的一部分,收單銀行、商戶和代理商應確保所用的支付應用公司已透過嚴格的成熟軟件流程驗證。
-
Visa 已在後續交易授權中發現有軟件供應商開發用於儲存敏感的持卡人支付數據(如全磁帶數據、CVV2 或密碼數據)的特定應用程序。儲存此類持卡人數據直接違反了 PCI DSS 規範和 Visa 規則。犯罪分子會盯上使用此類高危支付應用的商戶和代理商,並利用此類安全漏洞找到並竊取持卡人數據。
Visa 將在需要時提醒包括收單銀行在內的關鍵利益相關者,以幫忙降低洩露風險,並提供更新過的高危支付應用名單。如果你發現存在高危支付應用,並且掌握該支付應用的供應商、應用版本、持卡人敏感數據儲存位置以及供應商聯絡資訊的具體資訊,請以電郵透過 [email protected] 通知 Visa。提供的所有資訊都將與軟件供應商進行驗證,Visa 不會向任何軟件供應商透露其資訊來源,或披露可能揭示來源身份的資訊。
-
Visa 於 2005 年制訂了支付應用最佳典範實例 (PABP),為軟件供應商提供有關開發支付應用的指引,以使此類軟件可幫助商戶和代理商降低洩露風險,防止儲存敏感的持卡人支付數據(如全磁帶數據、CVV2 或密碼數據),並在總體上符合 PCI DSS認證規定。2008 年,PCI 安全標準委員會採納了 Visa 的 PABP,並發佈了 PA-DSS 標準。PA-DSS 標準現已替代 PABP 用於 Visa 的合規計劃。