- 1. Thiết lập và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ
- 2. Không sử dụng các giá trị mặc định do máy bán hàng tự động cung cấp để làm mật khẩu hệ thống và các tham số bảo mật khác.
Tuân thủ bảo mật dữ liệu
Tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS)
Bất cứ ai lưu trữ, xử lý, hoặc truyền tải thông tin về chủ thẻ đều bắt buộc phải tuân thủ PCI DSS. Bao gồm 12 yêu cầu cơ bản được chia thành 6 nhóm nhằm thiết lập và duy trì môi trường xử lý thanh toán đáng tin cậy và đảm bảo. Hợp tác với ngân hàng chấp nhận thanh toán của bạn để cung cấp những giao dịch đảm bảo cho mọi khách hàng sử dụng Tiêu chuẩn bảo mật dữ liệu (DSS) PCI. Trước hết, xem lại các hướng dẫn, sau đó kiểm tra xem bạn có đáp ứng các yêu cầu liên quan hay chưa.
-
-
- 3. Bảo vệ dữ liệu về chủ thẻ được lưu trữ
- 4. Mã hóa quá trình truyền tải dữ liệu về chủ thẻ qua các mạng mở, công cộng
-
- 5. Bảo vệ tất cả các hệ thống khỏi phần mềm độc hại và thường xuyên cập nhập phần mềm hay chương trình diệt virus
- 6. Phát triển và duy trì các hệ thống và ứng dụng bảo mật.
-
- 7. Ngăn cản truy cập dữ liệu về chủ thẻ bằng các thông tin thiết yếu của doanh nghiệp
- 8. Nhận dạng và xác thực các truy cập vào các thành phần của hệ thống
- 9. Hạn chế hành động tiếp cận vật lý với dữ liệu về chủ thẻ
-
- 10. Theo dõi và giám sát tất cả các truy cập vào tài nguyên mạng và dữ liệu về chủ thẻ
- 11. Thường xuyên kiểm tra hệ thống an ninh và các quy trình
-
- 12. Duy trì chính sách phổ cập an ninh thông tin cho toàn bộ nhân viên
Xác thực tuân thủ
Dành thời gian kiểm tra xem bạn đã đáp ứng các yêu cầu của PCI DSS hay chưa. Đó là cách tốt nhất để xác nhận dữ liệu về chủ thẻ được xử lý một cách an toàn và phát hiện các vấn đề cần được giải quyết. Tổng số lượng giao dịch Visa của bạn trong vòng 12 tháng sẽ quyết định cấp độ đơn vị chấp nhận thanh toán thẻ của bạn và các yêu cầu xác thực thông tin cần thiết.
-
Hàng năm:
- Nộp một bản Báo cáo Tuân thủ ("ROC") thông qua Người Đánh giá Bảo mật được Cấp phép ("QSA")" hay Kiểm toán Nội bộ được ký bởi người có chức vụ của công ty. Chúng tôi khuyến nghị kiểm toán nội bộ lấy chứng chỉ Người đánh giá Bảo mật Nội bộ PCI SSC ("ISA").
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV")
-
Hàng năm:
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV")
-
Hàng năm:
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV")
-
Hàng năm:
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV") (nếu được áp dụng)
Những yêu cầu bảo mật dữ liệu dành cho đơn vị chấp nhận thanh toán thẻ nhỏ
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
Chương trình Đổi mới Công nghệ
Đầu tư vào công nghệ bảo mật và thực hiện mệnh lệnh dễ dàng hơn
Các đơn vị chấp nhận thanh toán thẻ Mỹ đã hỗ trợ phòng ngừa gian lận lừa đảo bằng cách đầu tư vào công nghệ chip EMV hay triển khai một giải pháp quy trình mã hóa điểm với điểm có thể tận dụng Chương trình Đổi mới Công nghệ (TIP) của Visa. Chương trình này trao phần thưởng cho các đơn vị chấp nhận thanh toán thẻ đủ điều kiện bằng cách loại bỏ các yêu cầu xác nhận tuân thủ PCI DSS khi ít nhất 75% các giao dịch hàng năm xuất phát từ các thiết bị giao dịch ứng dụng chip EMV giao diện kép hay một giải pháp mã hóa điểm với điểm được chính thức đưa vào áp dụng.
Quy định + đánh giá
Quy tắc Cốt lõi của Visa (VCR) quy định hoạt động của các khách hàng tổ chức tài chính, mở rộng ra, các đơn vị chấp nhận thanh toán thẻ và các nhà cung cấp dịch vụ như các bên tham gia hệ thống thanh toán Visa.
Một ngân hàng chấp nhận thanh toán của đơn vị chấp nhận thanh toán thẻ có trách nhiệm đảm bảo tuân thủ Tiêu chuẩn Bảo mật Dữ liệu (DSS) PCI của đơn vị chấp nhận thẻ hay nhà cung cấp dịch vụ mà đơn vị chấp nhận thanh toán thẻ đang sử dụng. Là một đơn vị chấp nhận thanh toán thẻ, bạn luôn phải duy trì sự tuân thủ đầy đủ. (VCR section ID #0002228 và #0008031).
Nếu đơn vị chấp nhận thanh toán thẻ không tuân thủ PCI DSS hay không khắc phục được một vấn đề an ninh, Visa có thể đánh giá về việc không tuân thủ gửi tới ngân hàng chấp nhận thanh toán của đơn vị chấp nhận thanh toán thẻ đó. Ngân hàng chấp nhận thanh toán không phải trả phí cho các bản đánh giá và không được phép thể hiện rằng Visa đã tiến hành đánh giá đơn vị chấp nhận thanh toán thẻ. (Mã #0001054 của Quy tắc Cốt lõi của Visa)
Bản đánh giá có thể được thu hồi nếu không có bằng chứng về việc không tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) vào trước, và tại thời điểm có vi phạm dữ liệu, như được chứng minh trong một cuộc điều tra pháp lý.
Nhà cung cấp dịch vụ + ứng dụng thanh toán
Hỗ trợ bảo mật giao dịch bằng cách chỉ thiết lập quan hệ đối tác với các nhà cung cấp dịch vụ và ứng dụng thanh toán được công nhận.
Các nhà cung cấp dịch vụ
Các nhà cung cấp dịch vụ thay mặt bạn xử lý thông tin về chủ thẻ Visa. Ngân hàng chấp nhận thanh toán đảm bảo các nhà cung cấp dịch vụ tuân theo PCI DSS. Việc tuân thủ hợp pháp là bắt buộc đối với tất cả các nhà cung cấp dịch vụ.
Tìm kiếm nhà cung cấp dịch vụ hợp pháp
Các ứng dụng thanh toán
Chỉ sử dụng các ứng dụng thanh toán đảm bảo, hợp pháp.
Các chương trình bảo mật
Cập nhật những tiêu chuẩn bảo mật mới nhất
Chương trình bảo mật PIN quốc tế
Các đơn vị chấp nhận thanh toán thẻ chấp nhận thanh toán cho các giao dịch sử dụng mã PIN và/hoặc tự thực hiện các dịch vụ quản lý khóa bảo mật phải tuân thủ các yêu cầu bảo mật PIN của Visa.
Truy cập vào kết nối dưới đây để tìm hiểu thêm về chương trình bảo mật PIN quốc tế của Visa:
Tìm hiểu thêm về việc tham gia chương trình Đại lý Đủ tiêu chuẩn (QIR)
Chương trình đào tạo và cấp phép cho đại lý đủ tiêu chuẩn & PCI (QIR) cung cấp khóa đào tạo và các công cụ để đảm bảo việc cài đặt an toàn cho các hệ thống thanh toán được xác thực PA-DSS của đơn vị chấp nhận thanh toán thẻ. Bằng việc trở thành một QIR, đơn vị chấp nhận thanh toán thẻ sẽ có khả năng sử dụng dịch vụ của bạn và đạt được các yêu cầu đặt ra bởi nhãn hiệu thanh toán.
Nguồn tài nguyên khác
Tìm thêm thông tin về bảo vệ doanh nghiệp của bạn
Giảm thiểu rủi ro thanh toán cho Đơn vị chấp nhận thẻ bằng cách sử dụng các Đại lý (PDF,1.2MB)
Tội phạm mạng tấn công POS tích hợp (PDF,984KB)
Quản lý hiệu quả các vi phạm dữ liệu (PDF, 984KB)
5 Nguyên tắc quan trọng của Visa mà mỗi đơn vị chấp nhận thanh toán thẻ nên biết (PDF,587KB)
Xác định và Giảm nhẹ các mối đe dọa khi xử lý thanh toán cho các giao dịch thương mại điện tử (PDF,1.0MB)
Các yêu cầu bắt buộc về bảo mật ứng dụng thanh toán (PDF, 61K)