- 1. Карт эзэмшигчийн мэдээллийг хамгаалахын тулд firewall суулгаж, хадгалах хэрэгтэй.
- 2. Системийн нууц код, бусад аюулгүйн код, хэрэгслийг өөрийн кодыг шинээр оруулж өөрчлөх ёстой ба бусдаас бэлнээр авсан код, хэрэгслийг ашиглаж болохгүй.
Мэдээллийн аюулгүй байдлыг хангах
PCI DSS шаардлагыг хангах
Карт эзэмшигчийн мэдээллийг хадгалах, хэрэглэх, шилжүүлэх үед PCI DSS-ийг биелүүлэх шаардлагатай байдаг. Энэ нь найдвартай, аюулгүй төлбөр гүйлгээний орчныг бий болгох 6 бүлэг, нийт 12 үндсэн шаардлагаас бүрдэнэ. Мэдээллийн аюулгүй байдлын стандарт (PCI)-ыг хэрэглэж аюулгүй гүйлгээ хийх нөхцөлийг бүх үйлчлүүлэгчдэд бүрдүүлэх таны карт хүлээн авагчийн түнш. Эхлээд гарын авлагатай танилцаж, дараа нь та холбогдох шаардлагуудыг хангаж байгаа эсэхээ шалгаарай.
-
-
- 3. Карт эзэмшигчийн мэдээллийг хамгаалах
- 4. Нээлттэй, нийтийн сүлжээнд карт эзэмшигчийн мэдээллийг шифрлэж илгээнэ.
-
- 5. Бүх системийг хорлонтой програмаас хамгаалж, вирусын эсрэг програмыг байнга шинэ түвшинд байлгавал зохино.
- 6. Найдвартай систем, аппликейшнийг хөгжүүлж, ашиглах хэрэгтэй.
-
- 7. Ажил хэргийн шугамаар зайлшгүй мэдэх ёстой хүмүүст л карт эзэмшигчийн мэдээллийг олж үзэх боломж олгох хэрэгтэй.
- 8. Эрх авсан хүн нууц код оруулж системд нэвтэрдэг байх хэрэгтэй байдаг.
- 9. Карт эзэмшигчийн мэдээллийг дурын хүн олж мэдэхийг хязгаарлах хэрэгтэй.
-
- 10. Сүлжээний эх үүсвэр, карт эзэмшигчийн мэдээлэлд нэвтрэх бүх үйлдлийг бүртгэж, хянадаг байх
- 11. Аюулгүйн систем, процессыг байнга шалгаж үзэх
-
- 12. Бүх ажилчдад мэдээллийн аюулгүй байдлыг сануулж байх дотоод бодлоготой байх хэрэгтэй.
Шаардлага хангасан тухай батламж
PCI DSS-ийн бүх шаардлагыг хангасан эсэхийг нягтлахад цаг зарцуулж байх ёстой. Энэ нь карт эзэмшигчийн мэдээллийг найдвартай байлгаж, аюулгүй байдлын асуудлыг анхаарлын төвд байлгах хамгийн сайн арга зам билээ. Таны 12 сарын хугацааны КҮБ-ын гүйлгээний хэмжээ нь таны Виза худалдааны зэрэглэл болон хүлээж авах шаардлагуудыг тодорхойлно.
-
Жил бүр:
- Мэргэшсэн хүнээр (Qualified Security Assessor ("QSA")” эсвэл компанийн эрх бүхий хүн гарын үсэг зурсан бол дотоод аудитороор аюулгүйн үнэлгээ хийлгэсэн гүйцэтгэлийн тайланг ("ГТ") өгөх. Бид дотоод аудиторыг PCI SSC Internal Security Assessor ("ISA")-ийн гэрчилгээтэй байхыг зөвлөж байна.
- Гүйцэтгэлийг гэрчлэх маягтыг (Attestation of Compliance ("AOC") өгнө үү.
Улирал тутам:
- Эрх бүхий Scan Vendor ("ASV") -өөр улирал тутмын сүлжээний шинжилгээг хийлгэнэ.
-
Жил бүр:
- Өөрт үнэлгээ өгөх асуулгыг (Self-Assessment Questionnaire ("SAQ") бөглөнө.
- Гүйцэтгэлийг гэрчлэх маягтыг (Attestation of Compliance ("AOC") өгнө үү.
Улирал тутам:
- Эрх бүхий Scan Vendor ("ASV") -өөр улирал тутмын сүлжээний шинжилгээг хийлгэнэ.
-
Жил бүр:
- Өөрт үнэлгээ өгөх асуулгыг (Self-Assessment Questionnaire ("SAQ") бөглөнө.
- Гүйцэтгэлийг гэрчлэх маягтыг (Attestation of Compliance ("AOC") өгнө үү.
Улирал тутам:
- Эрх бүхий Scan Vendor ("ASV") -өөр улирал тутмын сүлжээний шинжилгээг хийлгэнэ.
-
Жил бүр:
- Өөрт үнэлгээ өгөх асуулгыг (Self-Assessment Questionnaire ("SAQ") бөглөнө.
- Гүйцэтгэлийг гэрчлэх маягтыг (Attestation of Compliance ("AOC") өгнө үү.
Улирал тутам:
- Эрх бүхий Scan Vendor ("ASV")-өөр улирал тутмын сүлжээний шинжилгээг хийлгэнэ (ийм шаардлага тавьсан бол).
- Өөрт үнэлгээ өгөх асуулгыг (Self-Assessment Questionnaire ("SAQ") бөглөнө.
Технологийн Инновацийн Хөтөлбөр
Найдвартай технологи ашиглах замаар шаардлагыг хангахыг хялбарчлах
АНУ-ын картаар үйлчлэгч байгууллагууд EMV чип технологийг нэвтрүүлж хуурамчаар хийж ашиглах залилангаас сэргийлж болно. Эсвэл цэгээс цэгт нууцлалыг тайлах зөвшөөрөгдсөн шийдлийг хэрэгжүүлж болно. Энэ нөхцөлд худалдаачдад Визагийн Технологийн инновацийн хөтөлбөрт хамрагдах боломжтой. Картаар үйлчлүүлэгч байгууллагуудын жилийн нийт гүйлгээний 75 ба түүнээс дээш хувь нь давхар холбох EMV чип унших цэг эсвэл цэгээс цэгт нууцлалыг тайлах зөвшөөрөгдсөн шийдлээс эхтэй бол тухайн эрх бүхий КҮБ энэ хөтөлбөрийн хүрээнд PCI DSS шаардлагыг хангах үүргээс чөлөөлөгдөнө.
Хөтөлбөрт хэрхэн хамрагдах тухай
Дүрэм журам + үнэлгээ
Виза үндсэн зарчмууд (VCR) нь үйлчлүүлэгч санхүүгийн байгууллагуудын үйл ажиллагааг зохицуулдаг ба энэ нь картаар үйлчлүүлэгч байгууллагууд, үйлчилгээ үзүүлэгчдэд Виза төлбөрийн системийн оролцогчдын хувьд хамаатай.
Картаар үйлчлүүлэгч байгууллага нь PCI Мэдээллийн аюулгүй байдлын стандартыг (DSS) дагаж мөрдөх асуудлыг карт хүлээн авагч банк хариуцдаг. Картаар үйлчлүүлэгч байгууллагын хувьд та шаардлагыг бүхий л хугацаанд дагаж мөрдөх ёстой. (VCR section ID #0002228 and #0008031).
Картаар үйлчлэгч байгууллага PCI DSS-ийг дагаж мөрдөөгүй эсвэл аюулгүй байдлын асуудлыг анхаарахгүй бол Виза нь карт хүлээн авагч банк шаардлага хангаагүй эсэх тухай дүгнэлт хийнэ. Карт хүлээн авагч нь үнэлгээний бүх зардлыг хариуцна. Карт хүлээн авагч нь Визаг картаар үйлчлүүлэгч байгууллагад дүгнэлт хийсэнгүй гэж буруутгах эрхгүй. (VCR section ID #0001054)
Мэдээлэл алдагдахаас өмнө буюу алдагдах үед PCI DSS шаардлагыг хангаагүй байсан гэсэн нотолгоо байхгүй гэж хараат бус шинжээчийн дүгнэлт гарвал Виза үнэлэлт дүгнэлт тусгайлан гаргахгүй байж болно.
Үйлчилгээ үзүүлэгч + төлбөрийн аппликейшн
Хүлээн зөвшөөрөгдсөн үйлчилгээ үзүүлэгчтэй харилцаж, төлбөрийн аппликейшнийг хэрэглэх замаар найдвартай гүйлгээ хийхэд анхаарвал зохино.
Үйлчилгээ үзүүлэгч
Үйлчилгээ үзүүлэгчид танаас эрх олгосноор Виза карт эзэмшигчдийн мэдээлэлтэй харьцана. Үйлчилгээ үзүүлэгчид PCI DSS шаардлагыг хангасан эсэхийг таны хүлээн авагч хариуцна. Бүх үйлчилгээ үзүүлэгчид шаардлага хангасан байх үүрэгтэй.
Шаардлага хангасан үйлчилгээ үзүүлэгчийг олох
Төлбөрийн аппликейшн
Зөвхөн баталгаатай, үнэн зөвийг баталгаажуулсан төлбөрийн аппликейшн.
Аюулгүй байдлын хөтөлбөрүүд
Хамгийн сүүлийн аюулгүй байдлын стандартуудын талаар байнга мэдэж аваарай.
Глобал ПИН Аюулгүй Байдлын Хөтөлбөр
ПИН-ээр гүйлгээ хүлээж авч байгаа эсвэл дотоодод үндсэн менежментийн үйлчилгээгээ үзүүлж байгаа картаар үйлчлүүлэгчид нь Виза ПИН Аюулгүй байдлын стандартыг дагах ёстой.
Визагийн Глобал ПИН Аюулгүй байдлын хөтөлбөрийн тухай илүү ихийг мэдэхийг хүсвэл дараах линкээр орж танилцана уу.
Мэдээлэл Уншуулахаас Сэргийлэх: КҮБ зориулсан Шилдэг Туршлага
Qualified Integrator Reseller (QIR) Program-ийн тухай илүү ихийг мэдэхийг хүсвэл
PCI Qualified Integrators & Resellers (QIR)™ сургалт, мэргэшлийн хөтөлбөр нь картаар үйлчлүүлэгч байгууллагад PA-DSS бүхий төлбөрийн системийг найдвартай суулгах сургалт, хэрэгслийг санал болгодог. QIR болсноор картаар үйлчлүүлэгч байгууллага төлбөрийн хэрэгслийн брэндүүдийн тавьсан шаардлагыг биелүүлэх замаар таны үйлчилгээг ашиглах чадвартай болдог.
Нэмэлт сан
Бизнесээ хамгаалахад холбогдох илүү их мэдээллийг олж авна уу
Integrators/Resellers-ийг Ашиглагч КҮБ-ын Төлбөрийн Эрсдлийг Багасгах (PDF,1.2MB)
ПОС-ын Интеграторуудад Халдахаар зэхэж буй Кибер Гэмт Хэрэгтэн (PDF,984KB)
Мэдээлэлэлд Халдалтыг Үр Дүнтэй Хянах (PDF, 984KB)
КҮБ Бүр Мэдэж Байх Ёстой Визагийн 5 Чухал Дүрэм (PDF,587KB)
Цахим Төлбөрийг Процесст Халдах Халдлагыг Олж Мэдэх, Багасгах (PDF,1.0MB)
Төлбөрийн Аппликейшний Аюулгүй Байдлыг Хангах Эрх (PDF, 61K)