- 1. Thiết lập và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ
- 2. Không sử dụng các giá trị mặc định do máy bán hàng tự động cung cấp để làm mật khẩu hệ thống và các tham số bảo mật khác.
Tuân thủ bảo mật dữ liệu
Tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS)
-
-
- 3. Bảo vệ dữ liệu về chủ thẻ được lưu trữ
- 4. Mã hóa quá trình truyền tải dữ liệu về chủ thẻ qua các mạng mở, công cộng
-
- 5. Bảo vệ tất cả các hệ thống khỏi phần mềm độc hại và thường xuyên cập nhập phần mềm hay chương trình diệt virus
- 6. Phát triển và duy trì các hệ thống và ứng dụng bảo mật.
-
- 7. Ngăn cản truy cập dữ liệu về chủ thẻ bằng các thông tin thiết yếu của doanh nghiệp
- 8. Nhận dạng và xác thực các truy cập vào các thành phần của hệ thống
- 9. Hạn chế hành động tiếp cận vật lý với dữ liệu về chủ thẻ
-
- 10. Theo dõi và giám sát tất cả các truy cập vào tài nguyên mạng và dữ liệu về chủ thẻ
- 11. Thường xuyên kiểm tra hệ thống an ninh và các quy trình
-
- 12. Duy trì chính sách phổ cập an ninh thông tin cho toàn bộ nhân viên
Xác thực tuân thủ
-
Hàng năm:
- Nộp một bản Báo cáo Tuân thủ ("ROC") thông qua Người Đánh giá Bảo mật được Cấp phép ("QSA")" hay Kiểm toán Nội bộ được ký bởi người có chức vụ của công ty. Chúng tôi khuyến nghị kiểm toán nội bộ lấy chứng chỉ Người đánh giá Bảo mật Nội bộ PCI SSC ("ISA").
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV")
-
Hàng năm:
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV")
-
Hàng năm:
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV")
-
Hàng năm:
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
- Gửi một Mẫu Chứng thực tuân thủ ("AOC")
Hàng quý:
- Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp dịch vụ kiểm tra được cấp phép ("ASV") (nếu được áp dụng)
Những yêu cầu bảo mật dữ liệu dành cho đơn vị chấp nhận thanh toán thẻ nhỏ
- Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
Chương trình Đổi mới Công nghệ
Các đơn vị chấp nhận thanh toán thẻ Mỹ đã hỗ trợ phòng ngừa gian lận lừa đảo bằng cách đầu tư vào công nghệ chip EMV hay triển khai một giải pháp quy trình mã hóa điểm với điểm có thể tận dụng Chương trình Đổi mới Công nghệ (TIP) của Visa. Chương trình này trao phần thưởng cho các đơn vị chấp nhận thanh toán thẻ đủ điều kiện bằng cách loại bỏ các yêu cầu xác nhận tuân thủ PCI DSS khi ít nhất 75% các giao dịch hàng năm xuất phát từ các thiết bị giao dịch ứng dụng chip EMV giao diện kép hay một giải pháp mã hóa điểm với điểm được chính thức đưa vào áp dụng.
Quy định + đánh giá
Quy tắc Cốt lõi của Visa (VCR) quy định hoạt động của các khách hàng tổ chức tài chính, mở rộng ra, các đơn vị chấp nhận thanh toán thẻ và các nhà cung cấp dịch vụ như các bên tham gia hệ thống thanh toán Visa.
Một ngân hàng chấp nhận thanh toán của đơn vị chấp nhận thanh toán thẻ có trách nhiệm đảm bảo tuân thủ Tiêu chuẩn Bảo mật Dữ liệu (DSS) PCI của đơn vị chấp nhận thẻ hay nhà cung cấp dịch vụ mà đơn vị chấp nhận thanh toán thẻ đang sử dụng. Là một đơn vị chấp nhận thanh toán thẻ, bạn luôn phải duy trì sự tuân thủ đầy đủ. (VCR section ID #0002228 và #0008031).
Nếu đơn vị chấp nhận thanh toán thẻ không tuân thủ PCI DSS hay không khắc phục được một vấn đề an ninh, Visa có thể đánh giá về việc không tuân thủ gửi tới ngân hàng chấp nhận thanh toán của đơn vị chấp nhận thanh toán thẻ đó. Ngân hàng chấp nhận thanh toán không phải trả phí cho các bản đánh giá và không được phép thể hiện rằng Visa đã tiến hành đánh giá đơn vị chấp nhận thanh toán thẻ. (Mã #0001054 của Quy tắc Cốt lõi của Visa)
Bản đánh giá có thể được thu hồi nếu không có bằng chứng về việc không tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) vào trước, và tại thời điểm có vi phạm dữ liệu, như được chứng minh trong một cuộc điều tra pháp lý.
Nhà cung cấp dịch vụ + ứng dụng thanh toán

Các nhà cung cấp dịch vụ
Các nhà cung cấp dịch vụ thay mặt bạn xử lý thông tin về chủ thẻ Visa. Ngân hàng chấp nhận thanh toán đảm bảo các nhà cung cấp dịch vụ tuân theo PCI DSS. Việc tuân thủ hợp pháp là bắt buộc đối với tất cả các nhà cung cấp dịch vụ.
Tìm kiếm nhà cung cấp dịch vụ hợp pháp
Các ứng dụng thanh toán
Các chương trình bảo mật

Chương trình bảo mật PIN quốc tế
Các đơn vị chấp nhận thanh toán thẻ chấp nhận thanh toán cho các giao dịch sử dụng mã PIN và/hoặc tự thực hiện các dịch vụ quản lý khóa bảo mật phải tuân thủ các yêu cầu bảo mật PIN của Visa.
Truy cập vào kết nối dưới đây để tìm hiểu thêm về chương trình bảo mật PIN quốc tế của Visa:
Tìm hiểu thêm về việc tham gia chương trình Đại lý Đủ tiêu chuẩn (QIR)
Chương trình đào tạo và cấp phép cho đại lý đủ tiêu chuẩn & PCI (QIR) cung cấp khóa đào tạo và các công cụ để đảm bảo việc cài đặt an toàn cho các hệ thống thanh toán được xác thực PA-DSS của đơn vị chấp nhận thanh toán thẻ. Bằng việc trở thành một QIR, đơn vị chấp nhận thanh toán thẻ sẽ có khả năng sử dụng dịch vụ của bạn và đạt được các yêu cầu đặt ra bởi nhãn hiệu thanh toán.
Nguồn tài nguyên khác

Tìm thêm thông tin về bảo vệ doanh nghiệp của bạn
Giảm thiểu rủi ro thanh toán cho Đơn vị chấp nhận thẻ bằng cách sử dụng các Đại lý (PDF,1.2MB)
Tội phạm mạng tấn công POS tích hợp (PDF,984KB)
Quản lý hiệu quả các vi phạm dữ liệu (PDF, 984KB)
5 Nguyên tắc quan trọng của Visa mà mỗi đơn vị chấp nhận thanh toán thẻ nên biết (PDF,587KB)
Xác định và Giảm nhẹ các mối đe dọa khi xử lý thanh toán cho các giao dịch thương mại điện tử (PDF,1.0MB)
Các yêu cầu bắt buộc về bảo mật ứng dụng thanh toán (PDF, 61K)