Пересмотр требований к процессу подтверждения соответствия стандартам PCI DSS для VisaNet процессоров
/Revised Implementation of PCI DSS Framework for VisaNet Processors/
Visa пересмотрела требования подтверждения соответствия стандартам PCI DSS для VisaNet Processrs — VNP (процессоров, подключенных напрямую).
Изменения, коснувшиеся Участников региона Visa CEMEA:
Правила платежной системы Visa, а также Стандарт безопасности данных платежных карт (PCI DSS) запрещают хранение полного трека магнитной полосы карт, проверочный код карты (CVV2) или пин-код.
Существует высокий риск компрометации торгово-сервисных предприятий (ТСП) и агентов, используя платежные приложения, которые хранят критичные данные авторизации или имеют слабую защиту таких данных. Очень важно, чтобы эквайеры гарантировали, что их ТСП и агенты не используют таких приложений и/или не сохраняли элементы критичных данных, а также эквайерам необходимо предпринимать необходимые действия по идентификации любых подобных инцидентов.
Совет PCI на своем официальном сайте опубликовал пояснения касательно хранения проверочных значений (CVV2, CVC2, CID, CAV2) платежных карт в аудиозаписях.
В частности, консул еще раз обозначил, что хранение проверочных значений является прямым нарушением требования 3.2.2. В связи с этим запрещается использовать любые формы цифровых аудиозаписей (wav, mp3 и т.д.) для хранения проверочных значений, так как эти данные могут быть без труда извлечены с использованием свободно доступного программного обеспечения.
Также необходимо убедиться, что архивы аудиозаписей не содержат в себе проверочных значений, и при необходимости произвести их удаление.
Исключением могут служить аудиозаписи в аналоговом формате в связи со сложностью извлечения данных, но при этом к таким записям необходимо применять все требования стандарта по физической защите и ограничению логического доступа.
Ряд производителей предоставляет коммерческие программно-аппаратные решения аудиозаписи, предотвращающие хранение или производящие удаление кодов CAV2, CVC2, CVV2 или CID и прочих данных платежных карт. Все прочие записи, содержащие данные платежных карт, которые были получены в ходе работы call-центров, должны быть защищены в соответствии со стандартом PCI DSS, включая требование 3.4.
Компания Visa опубликовала “best practices” в области шифрования данных (Data Field). Текст содержит ряд рекомендаций по построению надежной системы шифрования данных, включая:
- ограничение передачи открытых данных;
- управление ключевой информацией;
- использование надежных криптоалгоритмов и ключей шифрования;
- защита устройств, используемых для выполнения криптографических операций;
- использование альтернативных идентификаторов счета клиента.
Текст рекомендаций доступен в открытом доступе на сайте Visa
