Cập nhật các tiêu chuẩn bảo mật

Chương trình Bảo mật thông tin chủ thẻ (CISP) của Visa là chương trình về sự tuân thủ nhằm mục đích bảo vệ dữ liệu của chủ thẻ Visa bằng cách đảm bảo rằng các khách hàng, đơn vị chấp nhận thẻ và nhà cung cấp dịch vụ duy trì tiêu chuẩn bảo mật thông tin cao nhất.

Hội đồng Tiêu chuẩn Bảo mật (SSC) Ngành Thẻ Thanh toán sở hữu, duy trì và quản lý Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) và tất cả tài liệu hỗ trợ đi kèm. Tuy nhiên, Visa quản lý toàn bộ các sáng kiến xác thực và thi hành sự tuân thủ bảo mật dữ liệu.  

Ngân hàng phát hành và ngân hàng thanh toán chịu trách nhiệm đảm bảo rằng tất cả các nhà cung cấp dịch vụ, đơn vị chấp nhận thẻ và nhà cung cấp dịch vụ của đơn vị chấp nhận thẻ đều tuân thủ các yêu cầu của Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS).

Xác thực tuân thủ với đơn vị chấp nhận thẻ được xếp thứ tự ưu tiên dựa trên giá trị giao dịch, rủi ro tiềm tàng, và nguy cơ bị tấn công vào hệ thống thanh toán.

Tìm hiểu về các cấp độ đơn vị chấp nhận thẻ

Ngân hàng phát hành và ngân hàng chấp nhận thẻ phải đảm bảo tất cả các nhà cung cấp dịch vụ Cấp 1 và Cấp 2 của mình chứng minh sự tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) tại thời điểm đăng ký của Đại lý bên thứ ba (TPA) và cứ 12 tháng thì thực hiện một lần.

Tìm hiểu về sự tuân thủ đối với nhà cung cấp dịch vụ

Ngân hàng chấp nhận thẻ phải đảm bảo rằng đơn vị chấp nhận thẻ của mình nhận được chứng nhận ở cấp độ phù hợp và có được các giấy tờ chứng nhận tuân thủ bắt buộc từ đơn vị chấp nhận thẻ. Ngân hàng của đơn vị chấp nhận thẻ và đơn vị chấp nhận thẻ cũng phải xác minh các yêu cầu báo cáo tuân thủ của các thương hiệu thẻ thanh toán khác. Các thương hiệu này có thể yêu cầu bằng chứng về việc chứng thực tuân thủ.

Nhà cung cấp Dịch vụ Cấp 1 không kết nối trực tiếp với Visa phải hoàn thành đánh giá bảo mật dữ liệu Ngành Thẻ Thanh toán tại chỗ thường niên và gửi bản xác nhận tuân thủ (AOC) đã lập với chữ ký của cả nhà cung cấp dịch vụ và bên giám định bảo mật đủ tiêu chuẩn (QSA) cho Visa. Nhà cung cấp dịch vụ Cấp 2 phải gửi phiếu câu hỏi tự đánh giá (SAQ-D) có chữ ký hoặc bản xác nhận tuân thủ (AOC) có chữ ký của bên giám định bảo mật đủ tiêu chuẩn (QSA). Phải có chứng thực tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) thì nhà cung cấp dịch vụ mới có thể được niêm yết trong Danh sách Đăng ký Nhà cung cấp dịch vụ toàn cầu của Visa (Danh sách đăng ký).

Tìm hiểu về các giấy tờ bắt buộc

Quy tắc Cốt lõi của Visa và Quy tắc Sản phẩm và Dịch vụ của Visa quy định hoạt động của các tổ chức tài chính khách hàng và cả các nhà cung cấp dịch vụ, các đơn vị chấp nhận thẻ với tư cách là các bên tham gia hệ thống thanh toán của Visa.

Ngân hàng phát hành và ngân hàng thanh toán chịu trách nhiệm đảm bảo rằng các nhà cung cấp dịch vụ và đơn vị chấp nhận thẻ của mình, bao gồm cả các nhà cung cấp dịch vụ mà đơn vị chấp nhận thẻ đang sử dụng, thực hiện tuân thủ theo Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS). Nhà cung cấp dịch vụ và đơn vị chấp nhận thẻ phải luôn duy trì sự tuân thủ đầy đủ. (Mã #0002228 và #0008031 của Quy tắc Cốt lõi của Visa)

Visa sẽ tiến hành đánh giá không tuân thủ đối với ngân hàng phát hành hoặc ngân hàng chấp nhận thẻ nếu nhà cung cấp dịch vụ hoặc đơn vị chấp nhận thẻ không tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) hay không khắc phục được một vấn đề về an ninh. Ngân hàng phát hành hoặc ngân hàng chấp nhận thẻ chịu trách nhiệm chi trả cho tất cả các đánh giá. Không ngân hàng nào được quy rằng Visa đã áp đặt bất cứ đánh giá nào lên nhà cung cấp dịch vụ hoặc đơn vị chấp nhận thẻ. (Mã #0001054 của Quy tắc Cốt lõi của Visa)

Bản đánh giá có thể được thu hồi nếu không có bằng chứng về việc không tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) vào trước và tại thời điểm có vi phạm dữ liệu, như được chứng minh trong một cuộc điều tra pháp lý.

Ngân hàng thanh toán của các đơn vị chấp nhận thẻ Cấp 3 và Cấp 4 bị tấn công có thể được miễn đánh giá về tính không tuân thủ nếu đơn vị chấp nhận thẻ Cấp 3 hoặc Cấp 4 đã triển khai biện pháp an ninh được phê duyệt trước ngày xảy ra sự việc bị tấn công.

Ngân hàng thanh toán có thể liên hệ với bộ phận Rủi ro của Visa (Visa Risk) tại địa chỉ [email protected] để biết thêm thông tin về Chương trình Khuyến khích chấp nhận bảo mật.

Visa đã phát triển Chương trình Tăng cường Tuân thủ Ngành Thẻ Thanh toán (PCI) để đưa ra các khuyến khích về tài chính và thiết lập những quy định thi hành dành cho ngân hàng thanh toán nhằm đảm bảo các đơn vị chấp nhận thẻ của họ nhận được chứng nhận tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS).

Theo Chương trình Tăng cường Tuân thủ Ngành Thẻ Thanh toán (PCI), ngân hàng của đơn vị chấp nhận thẻ cũng phải đảm bảo rằng mọi đơn vị chấp nhận thẻ Cấp 1 và 2 đã đạt được chứng nhận không lưu trữ các dữ liệu cấm bằng cách nộp phiếu Xác nhận về Lưu trữ Thông tin bị cấm đã được điền đầy đủ hoặc Xác nhận Tuân thủ Tiêu Chuẩn Bảo mật Dữ Liệu Ngành Thẻ Thanh toán (PCI DSS).

Nội dung liên quan:

Cập nhật về Tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) dành cho Đơn vị chấp nhận thẻ – Điểm nổi bật về tiến trình tuân thủ đối với các đơn vị chấp nhận thẻ Cấp 1, 2 và 3

Tải về

Visa phát triển Chương trình Đổi mới Công nghệ (TIP) để ghi nhận và xác nhận rằng các đơn vị chấp nhận thẻ đã tiến hành ngăn ngừa gian lận giả mạo bằng cách đầu tư vào công nghệ chip EMV. Chương trình này là một phần trong nỗ lực tổng thể của Visa nhằm đưa thêm dữ liệu xác thực động vào hệ thống thanh toán và chuẩn bị cho việc sử dụng các công nghệ mới. Hệ thống và công nghệ mới này hỗ trợ bảo vệ hệ thống thanh toán bằng cách khuyến khích các đơn vị chấp nhận thẻ đầu tư vào các máy thanh toán chip có tiếp xúc và không tiếp xúc. Có hiệu lực từ ngày 1 tháng 4 năm 2015, điều kiện của chương trình TIP mở rộng sang các đơn vị chấp nhận thẻ đã đầu tư vào giải pháp mã hóa điểm - điểm được xác thực.

Tìm hiểu về các tiêu chuẩn

Hướng dẫn Chương trình Bảo mật PIN đã được phát hành

Hướng dẫn Chương trình Bảo mật PIN đã được phát hành rộng rãi. Các yêu cầu cơ bản trong Chương trình Bảo mật PIN của Visa vẫn được giữ nguyên, tuy nhiên, hướng dẫn chương trình này vừa được cập nhật để thêm vào giải thích và những thông tin bổ sung khác, bao gồm:

• Xác định những Quy tắc Cốt lõi của Visa và Quy tắc về Sản phẩm và Dịch vụ của Visa dành riêng cho Chương trình PIN Visa
• Định nghĩa các bên tham gia xác thực và không xác thực
• Giới thiệu cụ thể hơn về Tổ chức Trợ giúp và Mã hóa (ESO)

Giờ đây, bạn đã có thể truy cập vào nội dung của hội thảo trực tuyến và các câu hỏi thường gặp về bảo mật PIN

Visa đã tổ chức hội thảo trực tuyến cho tất cả các bên tham gia Chương trình Bảo mật PIN vào tháng 5 năm 2015. Dưới đây là nội dung được trình bày và câu hỏi thường gặp đi kèm dựa trên các câu hỏi được nêu ra trong và sau các phiên của hội thảo.

• Hội thảo trực tuyến Chương trình Bảo mật PIN của Visa năm 2015
• Câu hỏi thường gặp trong hội thảo trực tuyến PIN của Visa năm 2015

Công bố Chương trình thực thi bảo mật PIN: 2015

Khách hàng của Visa cần đảm bảo rằng các đại lý bên thứ ba chấp nhận thanh toán đã được xác định là bên tham gia chương trình PIN Visa đều phải thực hiện việc xác thực sự tuân thủ chậm nhất vào ngày 31 tháng 12 năm 2015.

Nội dung thư dưới đây đã được gửi cho tất cả các bên tham gia Chương trình PIN chưa lên lịch hoặc chưa thực hiện việc xác thực sự tuân thủ Bảo mật PIN của Visa.

Visa giới thiệu Chương trình thực thi bảo mật PIN

Cập nhật Yêu cầu Bảo mật PIN của Ngành Thẻ Thanh toán (PCI): 2015

Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán đã công bố phiên bản 2.0 của các yêu cầu về bảo mật PIN để củng cố các phương thức xác thực và cải thiện tính nhất quán với những đánh giá về tuân thủ, Từ thời điểm có hiệu lực - Ngày 1 tháng 7 năm 2015, các bên tham gia Chương trình Bảo mật PIN của Visa phải bắt đầu thực hiện những đánh giá tuân thủ bảo mật PIN của mình theo phiên bản 2.0.

• Cập nhật Yêu cầu Bảo mật PIN của Ngành Thẻ Thanh toán (PCI) - ngày 29 tháng 1
• Những Yêu cầu Bảo mật PIN của Ngành Thẻ Thanh toán (PCI) - Phiên bản 2

Tài nguyên

• Những Yêu cầu Bảo mật PIN của Ngành Thẻ Thanh toán (PCI)
• Những Yêu cầu đối với Thiết bị nhập PIN (PED)
• Hướng dẫn Bảo mật ATM của Ngành Thẻ Thanh toán (PCI)
• Bảng câu hỏi Đánh giá Bảo mật PIN (SAQ) Phiên bản 2 của Ngành Thẻ Thanh toán

Các bài viết

• Những Yêu cầu về Đăng ký và Tuân thủ đối với các Tổ chức hỗ trợ mã hóa
• Bàn phím nhập mã PIN phải được phê duyệt trong ngành – PDF – ngày 7 tháng 12 năm 2012
• Tối ưu hóa bảo mật các thiết bị POS nhập PIN – ngày 6 tháng 12 năm 2012
• Giúp bảo vệ dữ liệu về chủ thẻ không bị tấn công qua các thiết bị nhập PIN – ngày 16 tháng 11 năm 2012
• Cập nhật về Chính sách Tuân thủ của Visa đối với Tiêu chuẩn mã hóa dữ liệu ba bước (TDES) – ngày 22 tháng 4 năm 2009

Vào ngày 1 tháng 1 năm 2008, Visa đã triển khai một loạt các yêu cầu bắt buộc để loại bỏ việc sử dụng các ứng dụng thanh toán có lỗ hổng khỏi hệ thống thanh toán của Visa. Các yêu cầu bắt buộc này đòi hỏi ngân hàng chấp nhận thẻ phải đảm bảo rằng đơn vị chấp nhận thẻ và đại lý của mình không sử dụng những ứng dụng thanh toán lưu dữ liệu nhạy cảm về chủ thẻ (ví dụ, dữ liệu dải từ đầy đủ, mã xác thực thẻ (CVV2) hay dữ liệu PIN) và yêu cầu sử dụng các ứng dụng thanh toán tuân thủ theo Tiêu chuẩn Bảo mật Dữ liệu cho Ứng dụng Thanh toán (PA–DSS).

Quy định bắt buộc về bảo mật

Câu hỏi thường gặp về quy định bắt buộc về bảo mật

Trong khi nhiều nhà cung cấp ứng dụng thanh toán đã triển khai các ứng dụng thanh toán tuân thủ Tiêu chuẩn Bảo mật Dữ liệu cho Ứng dụng Thanh toán (PA–DSS), thì bản cập nhật của phần mềm thanh toán lại không được phát triển nhất quán để đảm bảo không lặp lại những lỗ hổng đã phát hiện. Đây là tình trạng rất đáng lo ngại. Ngoài ra, còn quan ngại rằng phần mềm thanh toán tại địa điểm của khách hàng không được triển khai bảo mật.

Các cuộc tấn công xảy ra với đơn vị chấp nhận thẻ và đại lý chỉ ra rằng nhiều công ty cung cấp ứng dụng thanh toán đã cài đặt ứng dụng và hệ thống thanh toán, hỗ trợ khách hàng sử dụng thông tin truy cập bảo mật, bị chia sẻ hoặc ở chế độ mặc định bằng những phần mềm vận hành yếu. Ngoài ra, họ còn quản lý trang web khách hàng bằng các công cụ quản lý từ xa có thiếu sót trong công đoạn triển khai. Tội phạm có thể lợi dụng các lỗ hổng này để truy cập vào môi trường của chủ thẻ.

Visa đã phát triển tập hợp các cách áp dụng hiệu quả để giúp các công ty cung cấp ứng dụng thanh toán xử lý những quy trình phần mềm trọng yếu. Trong khuôn khổ thẩm định cơ bản, các ngân hàng thanh toán, đơn vị chấp nhận thẻ và đại lý phải đảm bảo rằng công ty cung cấp ứng dụng thanh toán do họ sử dụng đã đạt yêu cầu về quy trình độ chín của phần mềm.

Mười cách áp dụng tốt nhất Visa dành cho các công ty cung cấp ứng dụng thanh toán

Visa biết rằng các nhà cung cấp phần mềm thiết kế đã tạo ra các ứng dụng thanh toán có thể lưu trữ dữ liệu nhạy cảm về chủ thẻ (ví dụ, dữ liệu dải từ đầy đủ, mã xác thực thẻ (CVV2) hay dữ liệu PIN) sau khi thực hiện ủy quyền giao dịch. Những hành vi lưu trữ dữ liệu về chủ thẻ này trực tiếp vi phạm Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) và những quy định của Visa. Tội phạm đang nhắm tới các đơn vị chấp nhận thẻ và đại lý có sử dụng ứng dụng thanh toán có lỗ hổng. Chúng lợi dụng các lỗ hổng bảo mật này để tìm và đánh cắp dữ liệu về chủ thẻ.

Với danh sách cập nhật các ứng dụng thanh toán có lỗ hổng, Visa sẽ cảnh báo các bên liên quan, bao gồm ngân hàng thanh toán để giảm thiểu các vụ tấn công khi cần. Hãy thông báo với Visa qua email theo địa chỉ [email protected] nếu bạn phát hiện ra lỗ hổng trong một ứng dụng thanh toán hoặc khi bạn có thông tin cụ thể về nhà cung cấp ứng dụng thanh toán, phiên bản ứng dụng, nơi lưu trữ dữ liệu nhạy cảm về chủ thẻ hay thông tin liên quan tới của nhà cung cấp. Chúng tôi sẽ xác minh mọi thông tin được cung cấp qua nhà cung cấp phần mềm, Visa sẽ không tiết lộ nguồn tin cho bất kỳ nhà cung cấp phần mềm nào hay công khai thông tin có thể tiết lộ danh tính nguồn cấp tin.

Liên hệ với Visa

Visa đã phát triển Cách áp dụng tốt nhất dành cho Ứng dụng Thanh toán (PABP) vào năm 2005 để hướng dẫn cho các nhà cung cấp phần mềm khi họ thực hiện phát triển ứng dụng thanh toán. Mục đích của việc này là giúp các đơn vị chấp nhận thẻ và đại lý giảm thiểu các vụ tấn công, tránh lưu trữ dữ liệu nhạy cảm về chủ thẻ (ví dụ dữ liệu dải từ đầy đủ, mã xác thực thẻ (CVV2) hay dữ liệu PIN) và hỗ trợ tuân thủ tổng thể với Tiêu chuẩn Bảo mật Dữ liệu cho Ứng dụng Thanh toán (PCI DSS). Vào năm 2008, Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán đã áp dụng những Cách làm tốt nhất dành cho Ứng dụng Thanh toán (PABP) của Visa và ban bố tiêu chuẩn có tên Tiêu chuẩn Bảo mật Dữ liệu cho Ứng dụng Thanh toán (PA–DSS). Hiện tại Tiêu chuẩn Bảo mật Dữ liệu cho Ứng dụng Thanh toán (PA–DSS) đã thay thế những Cách làm tốt nhất dành cho Ứng dụng Thanh toán (PABP) để thực hiện chương trình tuân thủ của Visa.