واكب معايير الأمن

يعتبر برنامج أمن معلومات حامل البطاقة (CISP) من Visa برنامج امتثال يهدف إلى حماية بيانات حامل بطاقة Visa عن طريق ضمان محافظة العملاء والتجار ومزودي الخدمات على أعلى معايير أمن المعلومات.

ويمتلك مجلس معايير الأمن (SSC) في صناعة بطاقات الدفع (PCI) معايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) ويحافظ عليها ويديرها هي وجميع المستندات الداعمة؛ ومع ذلك، تدير Visa جميع مبادرات تنفيذ الامتثال لأمن البيانات والتحقق منه.  

تتحمل جهات الإصدار والمشترون المسؤولية عن ضمان امتثال جميع مزودي الخدمات والتجار ومزودي خدمات التجار بمتطلبات معايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS).

وقد تم ترتيب أولوية التحقق من امتثال التاجر استنادًا إلى حجم المعاملات والمخاطر المحتملة والتعرض للخطر المفروض على نظام الدفع.

تعرف على مستويات التجار

يجب أن تضمن جهة الإصدار والمشترون إثبات قيام جميع مزودي الخدمات من المستوى 1 والمستوى 2 امتثالهم لمعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) في وقت تسجيل وكلاء الجهات الخارجية (TPA) وكل 12 شهرًا بعد ذلك.

تعرف على متطلبات الامتثال لأمن البيانات

يجب أن يضمن المشترون أن التجار التابعين لهم يجرون التحقق عند المستوى المناسب ويحصلون على المستندات اللازمة للتحقق من صحة امتثال التجار. ويجب أيضًا على البنوك التجارية والتجار التحقق من متطلبات الإبلاغ عن الامتثال للعلامات التجارية الأخرى لبطاقات الدفع التي قد تتطلب إثباتًا للتحقق من صحة الامتثال.

ويجب على مزودي الخدمات في المستوى 1 من غير المتصلين مباشرةً بخدمة Visa استكمال تقييم أمن البيانات السنوي في مجال صناعة بطاقات الدفع‬ في الموقع وتقديم شهادة امتثال (AOC) موقعة من قِبل كلٍّ من مزود الخدمة وأخصائي التقييم الأمني المؤهل (QSA) إلى Visa. يجب على مزودي الخدمات في المستوى 2 تقديم نموذج استبيان تقييم ذاتي موقَّع (SAQ-D) أو شهادة الامتثال التي تشمل توقيع أخصائي التقييم الأمني المؤهل. ويلزم التحقق من الامتثال لمعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) قبل أن يكون من الممكن إدراج مزود خدمة في السجل العالمي لمزودي الخدمات من Visa (السجل).

تعرف على متطلبات الامتثال لأمن البيانات

وتحكم قواعد Visa الأساسية وقواعد خدمات ومنتجات Visa أنشطة العملاء من المؤسسات المالية وكذلك التجار ومزودي الخدمات، على سبيل توسيع النطاق، باعتبارهم مشاركين في نظام الدفع من Visa.

وتعتبر جهات الإصدار والمشترون مسؤولين عن ضمان الامتثال لمعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) من جانب مزودي الخدمات والتجار، بما في ذلك مزودي الخدمات الذين يستخدمهم التاجر. ويجب على مزود الخدمة والتاجر الحفاظ على الامتثال الكامل في الأوقات كافة. (قواعد Visa الأساسية معرف قسم VCR #0002228 و#0008031)

إذا لم يلتزم مزود خدمة أو تاجر بمعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) أو إذا تخلف عن تصحيح مشكلة أمنية، فيجوز لشركة Visa تقديم تقييم عدم امتثال إلى جهة الإصدار أو المشتري. وتتحمل جهة الإصدار والمشتري المسؤولية عن دفع جميع المبالغ المقدرة، ويجب ألا يقررا أن Visa قد فرضت أي تقييم على مزود الخدمة أو التاجر. (قواعد Visa الأساسية معرف القسم #0001054).

يمكن لمستقبلي البطاقة الاتصال بـ Visa Risk عبر [email protected] للحصول على المزيد من المعلومات.

في 1 يناير 2008، نفذت Visa سلسلة من التفويضات للتخلص من استخدام تطبيقات الدفع غير الآمنة من نظام الدفع عبر Visa. وتتطلب هذه التفويضات من المشترين التأكد من أن التجار والوكلاء لا يستخدمون تطبيقات معروف عنها احتفاظها ببيانات حامل البطاقة المهمة (أي بيانات الشريط المغناطيسي بالكامل، أو CVV2 أو بيانات رقم المعرف الشخصي)، وتتطلب استخدام تطبيقات الدفع المتوافقة مع معيار أمن بيانات تطبيقات الدفع (PA-DSS).

التفويضات الأمنية

الأسئلة المتداولة بخصوص التفويضات الأمنية

بينما نشر العديد من مزودي تطبيقات الدفع تطبيقات دفع متوافقة مع معيار أمن بيانات تطبيقات الدفع (PA-DSS)، يوجد قلق متزايد من عدم تطوير تحديثات برامج الدفع بشكل متسق لضمان عدم إعادة إدخال نقاط الضعف المعروفة مرة أخرى. بالإضافة إلى هذا، ثمة قلق من عدم تطبيق برنامج الدفع بشكل آمن في مواقع العميل.

وتكشف اختراقات التاجر والوكيل أن عددًا من شركات تطبيقات الدفع لديه ممارسات ضعيفة بخصوص البرامج عند تنزيل تطبيقات وأنظمة دفع ودعم العملاء باستخدام بيانات اعتماد للوصول تتسم بالضعف أو أنها مشتركة أو افتراضية، وأن إدارة مواقع العميل باستخدام أدوات إدارة عن بعد مطبقة بشكل ضعيف. من الممكن للمجرمين استغلال هذه المداخل الضعيفة والوصول إلى بيئات حامل البطاقة.

وقد طورت Visa مجموعة من أفضل الممارسات لمساعدة شركات تطبيقات الدفع في التعامل مع عمليات البرامج المهمة. وكجزء من إجراءات العناية الواجبة، يجب على المشترين والتجار والوكلاء التأكد من أن شركات تطبيقات الدفع التي يستخدمونها قد تجاوزت صعوبات عمليات البرامج القديمة.

أفضل 10 ممارسات من Visa لشركات تطبيقات الدفع

قررت Visa أن هناك تطبيقات دفع معينة تم تصميمها من قبل مزودي برامج تخزين بيانات حامل البطاقة المهمة (أي البيانات الموجودة على الشريط المغناطيسي كاملةً أو CVV2 أو بيانات رقم المعرف الشخصي) بعد التصريح بالمعاملة. ويعتبر تخزين عناصر بيانات صاحب البطاقة هذه اختراقًا مباشرًا لمعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) وقواعد Visa. ويستهدف المجرمون التجار والوكلاء الذين يستخدمون تطبيقات الدفع الضعيفة هذه ويخترقون نقاط الضعف في الأمن هذه للحصول على بيانات حامل البطاقة وسرقتها.

وسوف تنبه Visa أصحاب المصالح، بما فيهم المشترين، للمساعدة في تخفيف الاختراقات، وذلك حسب الاقتضاء بقائمة لتطبيقات الدفع الضعيفة. فإذا اكتشفت تطبيق دفع ضعيفًا وكانت لديك معلومات معينة مثل مزود تطبيقات الدفع وإصدار التطبيق، حيث تم تخزين جميع بيانات حامل البطاقة المهمة ومعلومات الاتصال بزود التطبيقات، فيُرجى إخطار Visa عبر البريد الإلكتروني [email protected]. وسيتم التحقق من جميع المعلومات المقدمة عن طريق مزود البرامج، ولن تكشف Visa إلى أي مزود برامج عن مصادر المعلومات أو تكشف معلومات من شأنها كشف هوية المصدر.

طورت Visa أفضل ممارسات لتطبيقات الدفع في 2005 لتقديم الإرشادات لمزودي البرامج من أجل تطوير تطبيقات الدفع التي تساعد التجار والوكلاء في تخفيف الاختراقات ومنع تخزين بيانات حامل البطاقة المهمة (أي بيانات الشريط المغناطيسي بالكامل أو CVV2 أو بيانات رقم المعرف الشخصي) وتدعم الامتثال الكامل لمعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS). وفي 2008، اعتمد مجلس معايير أمن صناعة بطاقات الدفع أفضل ممارسات تطبيقات الدفع (PABP) وأصدر المعيار بصيغة معيار أمن بيانات تطبيقات الدفع (PA-DSS). والآن يحل معيار أمن بيانات تطبيقات الدفع (PA-DSS) محل أفضل ممارسات تطبيقات الدفع (PABP) لأغراض برنامج الامتثال من Visa.