Правила платежной системы Visa, а также Стандарт безопасности данных платежных карт (PCI DSS) запрещают хранение полного трека магнитной полосы карт, проверочный код карты (CVV2) или пин-код.
Существует высокий риск компрометации торгово-сервисных предприятий (ТСП) и агентов, используя платежные приложения, которые хранят критичные данные авторизации или имеют слабую защиту таких данных. Очень важно, чтобы эквайеры гарантировали, что их ТСП и агенты не используют таких приложений и/или не сохраняли элементы критичных данных, а также эквайерам необходимо предпринимать необходимые действия по идентификации любых подобных инцидентов.
По мнению платежной системы VISA Эквайеры должны настойчиво требовать от своих ТСП и агентов использовать платежные приложения, которые были проверены по Стандарту безопасности данных платежных приложений (PA-DSS), прежде известный как Лучшие практики Visa по платежным приложениям Visa’s Payment Application Best Practices (PABP). Список сертифицированных PABP приложений доступен по адресу: www.visa.com/cisp. Лист сертифицированных по PA-DSS приложений доступен по адресу www.pcisecuritystandards.org/security_standards/vpa/.
Эти приложения были разработаны таким образом, что допускают хранение критичных данных авторизации – включая полный трек магнитной полосы, CVV2 или пин-код – для авторизации транзакций. Хранение такого типа данных является нарушением Стандарта безопасности данных платежных карт (PCI DSS) и Международных положений деятельности Visa. Поэтому, очень важно, чтобы эквайеры:
- Убедились, что их ТСП и агенты не используют платежные приложения, которые хранят элементы критичных данных авторизации
- Предпринимали корректирующие меры по идентификации подобных инцидентов
- Настойчиво требовали, чтобы ТСП и агенты использовали сертифицированные по PA DSS платежные приложения.
Платежные приложения, хранящие критичные данные авторизации
Раньше платежные приложения хранили критичные данные уже после самой авторизации без ведома ТСП и агентов. Эквайерам, ТСП и агентам следует получать у своих поставщиков (вендоров) платежных приложений (или реселлеров или интеграторов) подтверждение того, что их программное обеспечение не хранит трек магнитной полосы, CVV2 или пин-код. Эта информация может быть проверена, если попросить вендоров сделать следующее:
- Раскрыть список файлов, включая журналы, которые пишет приложение;
- Предоставить общий доступ к содержанию таких файлов. Эквайеры, ТСП и агенты должны подтвердить, что любое хранение данных держателей карт является необходимым.
В дополнение к обновлению приложения, любые сохраненные данные в истории операций должны быть тщательно уничтожены из всех систем. Утилиты для безопасного уничтожения должны быть поставлены вендором платежного приложения или другим вендором. Также, если планируется покупка использованного (бывшего в употреблении) оборудования, ТСП необходимо удостовериться, что все системы очищены от критичных данных авторизации.
Для того, чтобы помочь в решении данного вопроса, Visa составила список приложений, которые были идентифицированы как хранящие данные после авторизации. В некоторых случаях, поставщик программных продуктов предоставляет временное решение проблемы; такие версии продуктов вместе с их обновлениями также указаны в списке. Если имеется PABP или PA DSS сертификация для данной версии приложения и она обозначена на сайте Visa или на сайте Совета (PCI Security Standards Council), это также можно найти в списке.
Обновления к данному документу будут делаться периодически; изменения будут сделаны относительно указанных продуктов по мере появления новой информации. Этот список не оглашается публично, однако, эквайеры могут делиться им со своими ТСП или агентами. Для детальной информации об этих продуктах и их обновлениях и исправлениях необходимо связываться непосредственно с поставщиком.
