უსაფრთხოების სტანდარტი, რომელსაც ყველასთვის სარგებელი მოაქვს.
საანგარიშსწორებო ბარათების დარგის მონაცემთა უსაფრთხოების სტანდარტთან (DSS) შესაბამისობა მოეთხოვება ყველა დაწესებულებას, რომელიც ინახავს, ატარებს ან გადასცემს Visa-ს ბარათის მფლობელის ინფორმაციას, მათ შორის ფინანსურ ორგანიზაციებს, სავაჭრო ობიექტებსა და მომსახურების მომწოდებლებს. Visa-ს პროგრამები მართავს PCI DSS-სთან შესაბამისობას იმით, რომ მონაწილეებს მოეთხოვებათ ამ შესაბამისობის რეგულარული დემონსტრირება.
შეიტყვეთ, თუ რა მოეთხოვებათ სავაჭრო ობიექტებს
Visa-ს ბარათის მფლობელის საინფორმაციო უსაფრთხოების პროგრამა (CISP) შესაბამისობის პროგრამაა, რომელიც Visa-ს ბარათის მფლობელის მონაცემების დასაცავად უზრუნველყოფს კლიენტების, სავაჭრო ობიექტებისა და მომსახურების მომწოდებელთა შესაბამისობას საინფორმაციო უსაფრთხოების უმაღლეს სტანდარტებთან.
PCI-ის უსაფრთხოების სტანდარტების საბჭოს (SSC) აქვს და აწარმოებს PCI DSS-სა და ყველა მხარდამჭერ დოკუმენტაციას; მაგრამ Visa-ს ეკუთვნის მონაცემთა უშიშროების სტანდარტებთან შესაბამისობისა და შემოწმების ინიციატივები.
ემიტენტები და მომსახურე ბანკები ვალდებული არიან დარწმუნდნენ იმაში, რომ მათი მომსახურების ყველა მომწოდებელი, სავაჭრო ობიექტი ან სავაჭრო ობიექტის მომსახურების მომწოდებლები იცავენ PCI DSS-ის მოთხოვნებს.
სავაჭრო ობიექტის შესაბამისობის დადასტურება პრიორიტეტად მიიჩნევა ტრანზაქციათა მოცულობაზე, პოტენციურ რისკსა და საგადასახადო სისტემის მონაცემების გამჟღავნების მასშტაბებზე დაყრდნობით.
შეიტყვეთ სავაჭრო ობიექტების შესაბამისობის დონეების შესახებ
ემიტენტებმა და მომსახურე ბანკებმა უნდა უზრუნველყონ, რომ პირველი და მეორე დონის მომსახურების მომწოდებლები PCI DSS-სთან შესაბამისობაში იყვნენ მესამე მხარის აგენტების (TPA) რეგისტრაციის მომენტში და ამის შემდეგ ყოველ მე-12 თვეს.
მომსახურე ბანკებმა უნდა უზრუნველყონ თავიანთი სავაჭრო ობიექტების სათანადო დონეზე ყოფნა და მიიღონ შესაბამისობის დამადასტურებელი საჭირო დოკუმენტაცია. სავაჭრო ობიექტების ბანკები და თავად სავაჭრო ობიექტები ვალდებული არიან თავადაც შეამოწმონ სხვა ბრენდის ბარათების შესაბამისობა და მათგან ამის დასტური მოითხოვონ.
პირველი დონის მომსახურების მომწოდებლები, რომლებიც უშუალოდ არ არიან Visa-სთან დაკავშირებულნი, ვალდებული არიან ყოველწლიურად PCI-ის მონაცემების უსაფრთხოების შეფასება განახორციელონ და Visa-ს გაუგზავნონ შესაბამისობის ატესტაცია (AOC), რომელსაც ხელს აწერენ მომსახურების მომწოდებელი და უშიშროების კვალიფიციური შემფასებელი (QSA). მეორე დონის მომსახურების მომწოდებლებმა უნდა გაგზავნონ თვითშეფასების კითხვარის (SAQ-D) ხელმოწერილი ფორმა ან AOC, რომელიც ხელმოწერილია QSA-ის მიერ. PCI DSS-სთან შესაბამისობის დადასტურება უნდა განხორციელდეს მანამ, სანამ მომსახურების მომწოდებელს დაარეგისტრირებენ Visa-ს მომსახურების მომწოდებელთა გლობალურ რეესტრში („რეესტრი“).
შეიტყვეთ მონაცემთა უსაფრთხოების შესაბამისობის მოთხოვნების შესახებ
Visa-ს ძირითადი წესები (VCR) და Visa-ს პროდუქტისა და მომსახურების წესები მართავს კლიენტის ფინანსური ორგანიზაციების მოქმედებებს. ამას გარდა, ის მართავს მომსახურების მომწოდებლებსა და სავაჭრო ობიექტებს, როგორც Visa-ს საანგარიშსწორებო სისტემის მონაწილეებს.
ემიტენტები და მომსახურე ბანკები, ვალდებული არიან უზრუნველყონ მათთან ასოცირებული მომსახურების მომწოდებლებისა და სავაჭრო ობიექტების PCI DSS-სთან შესაბამისობა. მომსახურების მომწოდებელი და სავაჭრო ობიექტი ვალდებული არიან მუდმივად შეინარჩუნოთ სრული შესაბამისობა. (VCR-ის სექციის ID #0002228 და #0008031).
თუ მომსახურების მომწოდებელი ან სავაჭრო ობიექტი არ იქნება საანგარიშსწორებო ბარათების დარგის მონაცემთა უსაფრთხოების სტანდარტთან (PCI DSS) შესაბამისობაში, ან ვერ მოახერხებს უსაფრთხოების ნაკლოვანებათა გამოსწორებას, Visa-მ შეიძლება შესაბამისობის არმქონედ მიიჩნიოს შესაბამისი ემიტენტი ან მომსახურე ბანკი. ემიტენტი ან მომსახურე ბანკი ვალდებულია გადაიხადოს ყველა გადასახადი და არ უნდა ამტკიცებდეს, რომ Visa-მ რაიმე სახის გადასახადი დააწესა მომწოდებლისა თუ სავაჭრო ობიექტის მიმართ. (VCR სექციის ID #0001054)
დამატებითი ინფორმაციისათვის მომსახურე ბანკებს შეუძლიათ დაუკავშირდნენ Visa Risk-ს შემდეგ მისამართზე: [email protected] .
Visa ამარტივებს პინის უსაფრთხოების შესაბამისობის შემოწმების პროცესს ყველა რეგიონში.
Visa ანგარიშსწორების განაცხადის მომწოდებლებს მოუწოდებს შექმნან და დაადასტურონ PA-DSS-სთან თავიანთი პროდუქციის შესაბამისობის პროგრამა. PA–DSS-სთან შესაბამისობის განაცხადი სავაჭრო ობიექტებსა და აგენტებს ეხმარება შეამცირონ მონაცემთა გაჟონვა და ბარათის მფლობელის სენსიტიური ინფორმაციის სისტემაში შენახვის შემთხვევები. ამას გარდა, ეს მათ ეხმარება PCI DSS-სთან საერთო შესაბამისობის შენარჩუნებაში. PA–DSS ვრცელდება მხოლოდ მესამე მხარის იმ საანგარიშსწორებო პროგრამებზე, რომლებიც ინახავს, ატარებს ან გადასცემს ბარათის მფლობელის მონაცემებს. შიდა პროგრამული უზრუნველყოფა უნდა შეფასდეს სავაჭრო ობიექტის ან აგენტის PCI DSS-ის შეფასების პროცესში.
შეიტყვეთ მეტი PCI-ის უსაფრთხოების სტანდარტების საბჭოს შესახებ
2008 წლის 1 იანვარს, Visa-მ შემოიღო ვალდებულებათა სერია, რომლის მიზანიც იყო მოწყვლადი საანგარიშსწორებო პროგრამების გამორიცხვა Visa-ს საანგარიშსწორებო სისტემიდან. ამ ვალდებულებებით, მომსახურე ბანკებს მოეთხოვებათ თავიანთ სავაჭრო ობიექტებსა და აგენტებს არ გამოაყენებინონ ისეთი საანგარიშსწორებო პროგრამები, რომლებიც ცნობილია, რომ ინახავს ბარათის მფლობელთა სენსიტიურ ინფორმაციას (ანუ მაგნიტური ზოლის სრული მონაცემები, CVV2-ის ან პინის მონაცემები). მათ უნდა მოსთხოვონ თავიანთ სავაჭრო ობიექტებს, რომ გამოიყენონ ისეთი საანგარიშსწორებო პროგრამები, რომლებიც PA-DSS-სთან შესაბამისობაში არიან.
უსაფრთხოების ვალდებულებების შესახებ ხშირად დასმული შეკითხვები
მართალია, საანგარიშსწორებო პროგრამების ბევრმა მომწოდებელმა PA-DSS-ის სტანდარტებთან შესაბამისობაში არსებული საანგარიშსწორებო პროგრამები დანერგა, მაგრამ მაინც დიდი შიში არსებობს იმისა, რომ საანგარიშსწორებო პროგრამების განუწყვეტელი განახლება არ ხდება, რათა გამოირიცხოს ცნობილი სუსტი ადგილების ხელახალი შეყვანა. ამას გარდა, არსებობს იმის შიში, რომ საანგარიშსწორებო პროგრამა კლიენტების საიტებზე სათანადო უსაფრთხოების დაცვით არ ინერგება.
სავაჭრო ობიექტისა და აგენტის ადგილზე მონაცემთა გაჟონვის ფაქტები იმაზე მეტყველებს, რომ საანგარიშსწორებო პროგრამების ბევრი კომპანია სათანადო დონეზე არ ახდენს ამ პროგრამებისა და სისტემების ინსტალაციას, მომხმარებლებთან მუშაობენ სუსტი, სხვასთან გაზიარებული ან საწყისი პარამეტრებით დაყენებული სისტემაში შესასვლელ რეკვიზიტებით და მომხმარებელთა საიტებს მართავენ დისტანციური მართვის სუსტი ინსტრუმენტებით. კრიმინალებმა შეიძლება ეს სისუსტეები გამოიყენონ და წვდომა მოიპოვონ ბარათის მფლობელის გარემოში.
Visa-მ შეიმუშავა საუკეთესო პრაქტიკის რამდენიმე მაგალითი, რომლებიც დაეხმარება საანგარიშსწორებო პროგრამის მქონე კომპანიებს ზომები მიიღონ კრიტიკული მნიშვნელობის პროგრამულ პროცესებში. როგორც შინაგანი აუდიტის ნაწილი, მომსახურე ბანკებსა და სავაჭრო ობიექტებს ევალებათ, რომ საანგარიშსწორებო პროგრამების მომწოდებელმა კომპანიებმა თავიანთი პროგრამები მკაცრი პროგრამული გამოცდის პროცესს დაუქვემდებარონ.
Visa-მ გამოავლინა, რომ ზოგიერთი საანგარიშსწორებო პროგრამა ისეა შედგენილი, რომ ინახავს ბარათის მფლობელის სენსიტიურ ინფორმაციას (ანუ მაგნიტური ზოლის სრული მონაცემები, CVV2-ის ან პინის მონაცემები) ტრანზაქციის გატარების შემდგომაც. ბარათის მფლობელთა მონაცემების ამ ელემენტების შენახვა უშუალოდ არღვევს PCI DSS-ისა და Visa-ს წესებს. კრიმინალები მიზანში იმ სავაჭრო ობიექტებსა და აგენტებს იღებენ, რომლებიც ამ მოწყვლად საანგარიშსწორებო პროგრამებს იყენებენ. ისინი უსაფრთხოების ამ სისუსტეებს იყენებენ, რათა მოძებნონ და მოიპარონ ბარათის მფლობელთა მონაცემები.
Visa მთავარ დაინტერესებულ პირებს, მათ შორის მომსახურე ბანკებს, ატყობინებს, რომ შეამცირონ გაჟონვები საჭიროების მიხედვით, რისთვისაც აწვდის მოწყვლადი საანგარიშო სისტემების განახლებულ სიებს. თუ აღმოაჩინეთ მოწყვლადი საანგარიშსწორებო პროგრამა და გაქვთ რაიმე კონკრეტული ინფორმაცია ამ პროგრამის მომწოდებლისა და პროგრამის ვერსიის შესახებ, ასევე პროგრამის მომწოდებელი კომპანიის საკონტაქტო ინფორმაცია, დაუკავშირდით Visa-ს ელფოსტით [email protected]. მოწოდებული ინფორმაცია გადამოწმდება პროგრამის მომწოდებელ კომპანიასთან. Visa არ გაუმჟღავნებს მათ ინფორმაციის წყაროს და არ მიაწვდის მათ ისეთ ინფორმაციას, რომლითაც ინფორმაციის წყაროს ვინაობა გამჟღავნდება.
2005 წელს, Visa-მ შეიმუშავა საანგარიშსწორებო პროგრამების მუშაობის საუკეთესო პრაქტიკის (PABP) დოკუმენტი. მისი მიზანი იყო პროგრამის შემდგენი კომპანიებისათვის მიეწოდებინა საანგარიშსწორებო პროგრამების მეგზური და მოვაჭრეებსა და აგენტებს დახმარებოდა მონაცემთა გაჟონვის შემთხვევების შემცირებაში, ბარათის მფლობელთა სენსიტიური ინფორმაციის შენახვაში (CVV2-ის ან პინის მონაცემები) და PCI DSS-სთან შესაბამისობის უზრუნველყოფაში. 2008 წელს PCI-ის უშიშროების სტანდარტების საბჭომ მიიღო Visa-ს PABP და გამოსცა სტანდარტები PA-DSS-ის სახით. Visa-ს შესაბამისობის პროგრამაში PA-DSS ახლა ენაცვლება PABP-ს.
