-
Ohjelman päivittäminen
Visa Payment System Risk asetti uusia tietoturvaohjelman vaatimuksia yhdysvaltalaisille ja kanadalaisille hankkijoille osana laajempaa pyrkimystä lieventää pienten kauppiaiden tietoturvaloukkauksia.
Tietoturvan noudattaminen
Tarjoamme erittäin hyödyllisiä työkaluja, joiden avulla pidät liiketoimintasi turvallisena, aina petosten torjuntavinkeistä innovatiivisiin tietoturvateknologioihin.
PCI DSS -standardi
Kaikkien kortinhaltijoiden tietoja tallentavien, käsittelevien tai välittävien tahojen on noudatettava PCI DSS -standardia. Se sisältää 12 perusvaatimusta, jotka on ryhmitelty kuuteen eri kategoriaan, joiden tarkoituksena on luoda ja ylläpitää luotettavaa ja suojattua korttimaksuympäristöä. Tee yhteistyötä vastaanottavan pankin kanssa, jotta voit tarjota kaikille asiakkaille suojatut maksutapahtumat PCI Data Security Standard (DSS) -standardin mukaisesti. Tutustu ensin ohjeisiin ja tarkista sitten, että täytät niihin sisältyvät vaatimukset.
-
1. Asenna palomuuri ja pidä asetukset ajan tasalla kortinhaltijoiden tietojen suojaamiseksi.
2. Älä käytä toimittajan antamia oletusarvoja järjestelmän salasanoille ja muille suojausasetuksille. -
3. Suojaa tallennetut kortinhaltijoiden tiedo
4. Salaa kortinhaltijoiden tietojen siirtäminen avoimissa ja julkisissa verkoissa -
5. Suojaa kaikki järjestelmät haittaohjelmia vastaan ja päivitä virustorjuntaohjelmat säännöllisesti.
6. Kehitä ja ylläpidä turvallisia järjestelmiä ja sovelluksia. -
7. Rajoita pääsy kortinhaltijoiden tietoihin liiketoiminnan tiedonsaantitarpeen mukaan.
8. Tunnista ja todenna pääsy järjestelmän osiin.
9. Rajoita fyysistä pääsyä kortinhaltijoiden tietoihin. -
10. Seuraa ja tarkkaile pääsyä verkkoresursseihin ja kortinhaltijoiden tietoihin.
11. Testaa tietoturvajärjestelmiä ja -käytäntöjä säännöllisesti. -
12. Ylläpidä koko henkilöstön tietoturvaa koskevaa käytäntöä.
Vaatimustenmukaisuuden varmistaminen
Tarkista huolellisesti, että olet täyttänyt kaikki PCI DSS -standardin vaatimukset. Se on paras tapa varmistaa, että kortinhaltijoiden tietoja käsitellään turvallisesti, ja lisäksi voit havaita mahdolliset puutteet, jotka on syytä korjata. Visa-korttitapahtumien kokonaismäärä 12 kuukauden aikana määrittää kauppiastasosi ja kelpoisuuteen tarvittavat vaatimukset.
-
Vuosittain:
- Toimita raportti vaatimusten noudattamisesta (Report on Compliance, ROC), jonka on laatinut pätevä turvallisuusarvioija (Qualified Security Assessor, QSA) tai sisäinen tarkastaja, jos sen on allekirjoittanut yrityksen virkailija. Suosittelemme, että sisäinen tarkastaja hankkii PCI SSC Internal Security Assessor (ISA) -pätevyyden.
- Toimita vaatimustenmukaisuustodistus (Attestation of Compliance eli AOC)
Neljännesvuosittain:
- Suorita neljännesvuosittainen verkon skannaus, jonka suorittaa hyväksytty palveluntarjoaja (Approved Scan Vendor, ASV)
-
Vuosittain:
- Täytä itsearviointilomake (Self-Assessment Questionnare, SAQ)
- Toimita vaatimustenmukaisuustodistus (Attestation of Compliance, AOC)
Neljännesvuosittain:
- Suorita neljännesvuosittainen verkon skannaus, jonka suorittaa hyväksytty palveluntarjoaja (Approved Scan Vendor, ASV)
-
Vuosittain:
- Täytä itsearviointilomake (Self-Assessment Questionnare, SAQ)
- Toimita vaatimustenmukaisuustodistus (Attestation of Compliance, AOC)
Neljännesvuosittain:
- Suorita neljännesvuosittainen verkon skannaus, jonka suorittaa hyväksytty palveluntarjoaja (Approved Scan Vendor, ASV)
-
Vuosittain:
- Täytä itsearviointilomake (Self-Assessment Questionnare, SAQ)
- Toimita vaatimustenmukaisuustodistus (Attestation of Compliance, AOC)
Neljännesvuosittain:
- Suorita neljännesvuosittainen verkon skannaus, jonka suorittaa hyväksytty palveluntarjoaja (Approved Scan Vendor, ASV)
Teknologisten innovaatioiden ohjelma
Investoi suojattuun teknologiaan ja helpota vaatimusten noudattamista
Visan teknologisten innovaatioiden ohjelma (Technology innovation Program, TIP) hyödyttää yhdysvaltalaisia kauppiaita, jotka ovat pyrkineet ehkäisemään väärennöksiä investoimalla EMV-siruteknologiaan tai ottamalla käyttöön varmistetun kaksipisteyhteydellä toimivan salausratkaisun. Vaatimustenmukaiset kauppiaat hyötyvät tästä ohjelmasta siten, ettei niiden tarvitse erikseen osoittaa PCI DSS -standardin noudattamista edellyttäen, että vähintään 75 prosenttia vuosittaisista korttitapahtumista suoritetaan EMV-sirulla varustetuilla kaksiliitäntäisillä päätelaitteilla tai varmennetun kaksipisteyhteyteen perustuvan salausratkaisun kautta.
Säädökset ja arvioinnit
Kauppiaan vastaanottava pankki on vastuussa siitä, että kauppias ja mahdolliset kauppiaan käyttämät palveluntarjoajat noudattavat PCI Data Security Standard (DSS) -standardia. Kauppiaana sinun on aina noudatettava täysimääräisesti sääntöjä. (VCR:n kohdat ID #0002228 ja #0008031).
Jos kauppias ei noudata PCI DSS -standardia tai ei onnistu korjaamaan tietoturvaongelmaa, Visa voi määrätä kauppiaan vastaanottavalle pankille arvioinnin säännösten noudattamatta jättämisestä. Vastaanottava pankki on vastuussa kaikkien arviointien maksamisesta, eikä se saa ilmoittaa, että Visa on määrännyt kauppiasta koskevan arvioinnin. (VCR:n kohta ID #0001054)
Arvioinnista voidaan luopua, jos PCI DSS -standardin noudattamatta jättämisestä ei ole näyttöä ennen tietomurtoa eikä sen tapahtuessa, ja tämä osoitetaan rikosteknisessä tutkimuksessa.
Epäiletkö, että toimintasi on vaarantunut? Lue lisää tietoturvasta
Palveluntarjoajat ja maksusovellukset
Tue turvallisia korttitapahtumia tekemällä yhteistyötä vain varmistettujen palveluntarjoajien ja maksusovellusten kanssa.
Palveluntarjoajat
Palveluntarjoajat käsittelevät Visa-kortinhaltijoiden tietoja puolestasi. Vastaanottava pankkisi varmistaa, että palveluntarjoajat noudattavat PCI DSS -standardia. Kaikilta palveluntarjoajilta edellytetään vaatimustenmukaisuuden varmistamista.
Maksusovellukset
Käytä vain suojattuja ja varmistettuja maksusovelluksia.
Tietoturvastandardit
Tuotteiden on noudatettava maksusovellusten tietoturvastandardia (Payment Application Data Security Standard, PA-DSS).
Tietoturvamääräykset
Maksusovellusten ei tule tallentaa kortinhaltijoiden arkaluonteisia tietoja.
Haavoittuvat sovellukset
Jos maksusovellus tallentaa arkaluonteisia tietoja, ilmoita siitä meille osoitteeseen [email protected].
Tietoturvaohjelmat
Pysy ajan tasalla uusimmista tietoturvastandardeista
Maailmanlaajuinen PIN-turvallisuusohjelma
PIN-maksutapahtumia vastaanottavien ja/tai avaintenhallintapalveluja itselleen tarjoavien kauppiaiden on noudatettava Visan PIN-turvallisuusvaatimuksia.
Alla olevien linkkien kautta saat lisätietoa Visan maailmanlaajuisesta PIN-turvallisuusohjelmasta:
Lisätietoja PIN-turvallisuudesta
Korttikopiointien ehkäiseminen: Parhaat käytännöt kauppiaille
Lue lisää liittymisestä Qualified Integrator Reseller (QIR) -ohjelmaan
PCI Qualified Integrators & Resellers (QIR)™ -koulutus- ja kelpoisuusohjelma tarjoaa koulutusta ja työkaluja, joilla varmistetaan kauppiaidesi PA-DSS-varmistettujen maksujärjestelmien turvallinen asennus. Hankkimalla QIR-pätevyyden kauppiaat voivat käyttää palveluitasi ja täyttää maksutuotemerkkien asettamat vaatimukset.
Lisää resursseja
Lisää tietoa liiketoimintasi suojaamisesta
Maksuriskien minimointi integraattoreita/jälleenmyyjiä käyttäville kauppiaille
Verkkorikolliset kohdistavat hyökkäyksensä kassajärjestelmien (POS-järjestelmä) integraattoreihin
Tietomurtojen tehokas hallinta
5 tärkeää Visa-sääntöä, jotka jokaisen kauppiaan tulisi tietää
Verkkomaksujen käsittelyyn kohdistuvien uhkien tunnistaminen ja lieventäminen
Sinua saattaa kiinnostaa myös
Miksi uuden teknologian käyttöönotto kannattaa?
EMV-siruteknologian ansiosta korttien väärentäminen on käytännössä mahdotonta.
Visa Ready
Kasvata tuottoja hyväksymällä verkkomaksuja laajemmin.
Visa Signature for Business
Nauti erityiseduista premier-kortillamme.