Pidä kortinhaltijat turvassa

Visan kortinhaltijan tietoturvaohjelma (Cardholder Information Security Programme, CISP) on vaatimustenmukaisuusohjelma, jonka tarkoituksena on suojata Visa-kortinhaltijan tietoja varmistamalla, että asiakkaat, kauppiaat ja palveluntarjoajat noudattavat korkeinta tietoturvan tasoa.

PCI-turvallisuusstandardien neuvosto (PCI Security Standards Council, SSC) omistaa, ylläpitää ja hallinnoi PCI-DSS:ää ja kaikkia sen tueksi tarkoitettuja asiakirjoja; Visa kuitenkin hallinnoi kaikkia tietoturvan noudattamisen valvontaa ja validointia koskevia aloitteita.

Kortinmyöntäjät ja -hankkijat ovat vastuussa siitä, että kaikki heidän palveluntarjoajansa, kauppiaansa ja kauppiaidensa palveluntarjoajat noudattavat PCI DSS -vaatimuksia.

Kauppiaiden vaatimustenmukaisuuden validointi on asetettu etusijalle maksutapahtumien määrän sekä maksujärjestelmään mahdollisesti sisältyvän riskin ja altistumisen perusteella.

Kortinmyöntäjien ja -hankkijoiden on varmistettava, että kaikki heidän 1. tason ja 2. tason palveluntarjoajansa osoittavat PCI DSS -vaatimustenmukaisuuden kolmannen osapuolen edustajien (Third-Party Agents, TPA) rekisteröintihetkellä ja sen jälkeen 12 kuukauden välein.

Kortinhankkijoiden on varmistettava, että heidän kauppiaansa suorittavat validoinnin asianmukaisella tasolla, ja hankittava vaaditut vaatimustenmukaisuuden validointiasiakirjat kauppiailtaan. Yrityspankkien ja kauppiaiden on myös tarkistettava muiden maksukorttituotemerkkien vaatimustenmukaisuuden ilmoittamisvaatimukset, jotka saattavat edellyttää vaatimustenmukaisuuden vahvistamista koskevaa todistusta.

1. tason palveluntarjoajilta, jotka eivät ole suoraan yhteydessä Visaan, vaaditaan vuotuisen PCI-tietoturva-arvion suorittaminen paikan päällä sekä palveluntarjoajan ja pätevän turvallisuusarvioijan (qualified security assessor, QSA) allekirjoittaman vaatimustenmukaisuustodistuksen (attestation of compliance, AOC) toimittaminen Visaan. 2. tason palveluntarjoajien on toimitettava allekirjoitettu itsearviointi-kyselylomake (self-assessment questionnaire, SAQ-D) tai AOC, jossa on QSA-allekirjoitus. Ennen kuin palveluntarjoaja voidaan sisällyttää Visa-palveluntarjoajien maailmanlaajuiseen rekisteriin (jäljempänä "rekisteri"), palveluntarjoajan on oltava validoitu PCI DSS -vaatimustenmukaiseksi.

Visan perussäännöissä ja Visan tuote- ja palvelusäännöissä säännellään asiakkaan rahoituslaitosten ja siten myös palveluntarjoajien ja kauppiaiden toimintaa Visa-maksujärjestelmän osallistujina.

Kortinmyöntäjät ja -hankkijat ovat vastuussa siitä, että niiden palveluntarjoajat ja kauppiaat, kauppiaan käyttämät palveluntarjoajat mukaan luettuina, noudattavat PCI DSS -vaatimustenmukaisuutta. Palveluntarjoajan ja kauppiaan on noudatettava sääntöjä aina täysin. (VCR-osaston tunnisteet #0002228 ja #0008031)

Jos palveluntarjoaja tai kauppias ei noudata PCI DSS -vaatimustenmukaisuutta tai ei korjaa tietoturvaongelmaa, Visa voi tehdä vaatimustenvastaisuuden arvioinnin kortinmyöntäjälle tai -hankkijalle. Kortinmyöntäjä tai -hankkija on vastuussa kaikkien arviointien maksamisesta eikä saa esittää, että Visa olisi määrännyt palveluntarjoajalle tai kauppiaalle mitään arviointia. (VCR-osasto tunniste #0001054)
Hankkijat voivat saada lisätietoa ottamalla yhteyttä Visa Risk -palveluun osoitteessa [email protected].

Visa toteutti 1. tammikuuta 2008 useita määräyksiä, joiden tarkoituksena on poistaa haavoittuvien maksusovellusten käyttö Visa-maksujärjestelmässä. Näissä määräyksissä vaaditaan, että hankkijat varmistavat, että heidän kauppiaansa ja edustajansa eivät käytä maksusovelluksia, joiden tiedetään säilyttävän kortinhaltijan arkaluontoisia tietoja (esimerkiksi täydet magneettijuovan tiedot, CVV2- tai PIN-tiedot), ja vaaditaan, että maksusovelluksia käytetään PA-DSS-standardin mukaisesti.

Tutustu tarkemmin turvallisuusmääräyksiin

Turvallisuusmääräysten usein kysytyt kysymykset

Vaikka monet maksusovellusten myyjät ovat ottaneet käyttöön PA-DSS-järjestelmän mukaisia maksusovelluksia, on silti yhä huolestuttavampaa, ettei maksusovellusten päivityksiä kehitetä johdonmukaisesti, jotta varmistettaisiin, etteivät tunnetut haavoittuvuudet tulisi uudelleen käyttöön. Lisäksi on syytä huolestua siitä, että maksuohjelmistoja ei ole otettu turvallisesti käyttöön asiakkaiden toimipisteissä.

Kauppiaan ja edustajan kompromissit paljastavat, että useilla maksusovellusyrityksillä on huonoja ohjelmistokäytäntöjä maksusovellusten ja -järjestelmien asennuksessa, ne tukevat asiakkaita käyttämällä heikkoja, jaettuja tai oletusarvoisia käyttöoikeustietoja ja hallinnoivat asiakkaiden sivustoja käyttämällä huonosti toteutettuja etähallintatyökaluja. Rikolliset voivat käyttää hyväkseen näitä haavoittuvia sisäänpääsymahdollisuuksia ja päästä käsiksi kortinhaltijoiden ympäristöihin.

Visa on kehittänyt joukon parhaita käytäntöjä, joiden avulla maksusovellusyritykset voivat tarkastella kriittisiä ohjelmistokäytäntöjä. Hankkijoiden, kauppiaiden ja edustajien on varmistettava osana due diligence -prosessiaan, että niiden käyttämät maksusovellusyritykset ovat läpäisseet kypsien ohjelmistokäytäntöjen vaativan tarkastuksen.

Visan kymmenen parasta käytäntöä maksusovellusyrityksille

Visa on havainnut, että ohjelmistontarjoajat ovat suunnitelleet tietyt maksusovellukset tallentamaan kortinhaltijan arkaluontoisia tietoja (esimerkiksi täydet magneettijuovan tiedot, CVV2- tai PIN-tiedot) maksutapahtuman valtuuttamisen jälkeen. Näiden kortinhaltijan tietoelementtien tallentaminen rikkoo suoraan PCI DSS- ja Visan sääntöjä. Rikolliset ovat kohdistaneet hyökkäyksensä näitä haavoittuvia maksusovelluksia käyttäviin kauppiaisiin ja edustajiin ja käyttävät näitä turvaheikkouksia hyväkseen löytääkseen ja varastaakseen kortinhaltijoiden tietoja.

Visa varoittaa keskeisiä sidosryhmiä, myös hankkijoita, jotta he voivat auttaa vähentämään riskejä tarvittaessa päivitetyllä luettelolla haavoittuvista maksusovelluksista. Jos havaitset haavoittuvan maksusovelluksen ja sinulla on tarkkoja tietoja maksusovelluksen myyjästä, sovelluksen versiosta, jossa kortinhaltijan arkaluontoisia tietoja säilytetään ja myyjän yhteystiedot, ilmoita siitä Visalle sähköpostitse osoitteeseen [email protected]. Kaikki toimitetut tiedot tarkistetaan ohjelmistotarjoajan kautta. Visa ei paljasta tietolähdettä millekään ohjelmistontarjoajalle eikä julkista mitään tietoja, jotka paljastaisivat tietolähteen henkilöllisyyden.

Ota yhteyttä Visaan

Visa kehitti maksusovellusten parhaat käytännöt (Payment Application Best Practices, PABP) vuonna 2005, jotta ohjelmistotarjoajat voisivat kehittää maksusovelluksia, joiden avulla kauppiaat ja edustajat voivat vähentää riskejä, estää kortinhaltijan arkaluontoisten tietojen (eli täyden magneettijuovan tiedot ja CVV2- tai PIN-tiedot) tallentamisen ja tukea PCI DSS:n yleistä vaatimustenmukaisuutta. Vuonna 2008 PCI-turvallisuusstandardien neuvosto hyväksyi Visan PABP-standardin ja julkaisi standardin nimellä PA-DSS. PA-DSS korvaa nykyään PABP:n Visan vaatimustenmukaisuusohjelman osalta.