Semua pihak yang menyimpan, memproses, atau meneruskan data pemegang kartu Visa, termasuk lembaga keuangan, merchant, serta penyedia layanan wajib mematuhi Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standard, DSS). Program Visa mengatur kepatuhan PCI DSS dengan mewajibkan partisipan menunjukkan kepatuhan secara berkala.
Ikuti perkembangan terkini standar keamanan
Kepatuhan PCI DSS
Standar keamanan yang menguntungkan semua pihak.
-
Program Keamanan Informasi Pemegang Kartu (CISP) adalah program kepatuhan yang ditujukan untuk melindungi data pemegang kartu Visa dengan memastikan klien, merchant, dan penyedia layanan mematuhi standar keamanan informasi tertinggi.
Dewan Standar Keamanan (SSC) PCI bertanggung jawab atas, memelihara, dan mengelola PCI DSS sertasemua dokumen pendukungnya. Namun, Visa mengelola semua inisiasi pelaksanaan dan validasi kepatuhan keamanan data.
-
Penerbit dan acquirer bertanggung jawab untuk memastikan bahwa semua penyedia layanan, merchant, dan penyedia layanan merchant mereka mematuhi persyaratan PCI DSS.
Validasi kepatuhan merchant diutamakan berdasarkan volume transaksi, potensi risiko, dan paparan terhadap sistem pembayaran.
Pelajari tentang tingkat merchant
Penerbit dan acquirer harus memastikan semua penyedia layanan Tingkat 1 dan 2 menunjukkan kepatuhan PCI DSS pada saat registrasi Agen Pihak Ketiga (Third Party Agents, TPA) dan setiap 12 bulan setelahnya.
-
Acquirer harus memastikan bahwa merchant melakukan validasi pada tingkat yang tepat dan memperoleh dokumentasi validasi kepatuhan yang diwajibkan dari merchant mereka. Bank merchant dan merchant juga harus memverifikasi persyaratan pelaporan kepatuhan merek kartu pembayaran lainnya yang mungkin mewajibkan bukti validasi kepatuhan.
Penyedia Layanan Tingkat 1 yang tidak terhubung secara langsung dengan Visa diwajibkan untuk menyelesaikan penilaian keamanan data PCI tahunan di tempat dan menyerahkan pengesahan kepatuhan (AOC) yang dilaksanakan, yang ditandatangani oleh penyedia layanan dan penilai keamanan berkualifikasi (QSA), kepada Visa. Penyedia layanan Tingkat 2 harus menyerahkan formulir kuesioner penilaian diri yang sudah ditandatangani (SAQ-D) atau AOC dengan tanda tangan QSA. Kepatuhan PCI DSS wajib divalidasi sebelum penyedia layanan dapat dimasukkan ke dalam Daftar Penyedia Layanan Global Visa (Daftar).
-
Aturan Pokok Visa serta Aturan Produk dan Layanan Visa mengatur kegiatan lembaga keuangan klien serta, dengan tambahan, penyedia layanan dan merchant sebagai partisipan dalam sistem pembayaran Visa.
Penerbit dan acquirer bertanggung jawab untuk memastikan kepatuhan PCI DSS penyedia layanan dan merchant, termasuk penyedia layanan yang digunakan merchant. Penyedia layanan dan merchant harus senantiasa dan secara penuh mempertahankan kepatuhan. (VCR section ID #0002228 and #0008031)
Jika penyedia layanan atau merchant tidak mematuhi PCI DSS atau gagal menyelesaikan permasalahan keamanan, Visa dapat melakukan penilaian ketidakpatuhan terhadap penerbit atau acquirer tersebut. Penerbit atau acquirer bertanggung jawab untuk membayar semua penilaian dan tidak boleh menyatakan bahwa Visa memaksakan penilaian kepada penyedia layanan atau merchant. (VCR section ID #0001054)
Untuk informasi lebih lanjut, Acquirer dapat menghubungi Risiko Visa di [email protected] .
Program keamanan PIN
Visa menyederhanakan validasi kepatuhan keamanan PIN di semua wilayah.
Standar Keamanan Data Aplikasi Pembayaran (PPA-DSS)
Visa sangat menganjurkan vendor aplikasi pembayaran untuk mengembangkan dan memvalidasi kesesuaian produk mereka dengan PA-DSS. Aplikasi kepatuhan PA-DSS membantu merchant dan agen menanggulangi bahaya, mencegah penyimpanan data rahasia pemegang kartu, serta mendukung kepatuhan menyeluruh terhadap PCI DSS. PA-DSS hanya berlaku pada perangkat lunak aplikasi pembayaran pihak ketiga yang menyimpan, memproses, atau meneruskan data pemegang kartu sebagai bagian dari otorisasi atau penyelesaian. Aplikasi perangkat lunak internal tercakup dalam penilaian PCI DSS merchant atau agen.
-
Pada 1 Januari 2008, Visa menerapkan serangkaian mandat untuk menghapus penggunaan aplikasi pembayaran yang rentan dari sistem pembayaran Visa. Mandat ini mewajibkan acquirer untuk memastikan bahwa merchant dan agen mereka tidak menggunakan aplikasi pembayaran yang diketahui menyimpan data rahasia pemegang kartu (yaitu data strip magnetik, CVV2, atau data PIN) dan mewajibkan penggunaan aplikasi pembayaran yang mematuhi PA-DSS.
-
Meskipun banyak vendor aplikasi pembayaran telah menerapkan aplikasi pembayaran kepatuhan PA-DSS, muncul kekhawatiran bahwa pembaruan perangkat lunak pembayaran tidak dikembangkan dengan konsisten untuk memastikan bahwa kerentanan yang sudah diketahui tidak berulang. Selain itu, terdapat kekhawatiran bahwa perangkat lunak pembayaran tidak diimplementasikan dengan aman di situs nasabah.
Langkah yang diambil oleh merchant dan agen menunjukkan bahwa sejumlah perusahaan aplikasi pembayaran melakukan praktik perangkat lunak yang buruk ketika memasang aplikasi dan sistem pembayaran, mendukung nasabah menggunakan kredensial akses lemah, penggunaan bersama, atau standar, serta mengelola situs nasabah dengan alat manajemen jarak jauh yang tidak diterapkan dengan baik. Pelaku Kriminal dapat memanfaatkan entri yang rentan ini dan memperoleh akses ke lingkungan pemegang kartu.
Visa telah mengembangkan rangkaian praktik terbaik untuk membantu perusahaan aplikasi pembayaran menangani proses perangkat lunak penting. Sebagai bagian dari uji kelayakan, acquirer, merchant, dan agen harus memastikan bahwa perusahaan aplikasi pembayaran yang mereka gunakan telah lolos uji proses kelayakan perangkat lunak.
Sepuluh Praktik Terbaik Visa untuk Perusahaan Aplikasi Pembayaran
-
Visa telah mengidentifikasi bahwa aplikasi pembayaran tertentu didesain oleh vendor perangkat lunak untuk menyimpan data rahasia pemegang kartu (yaitu data strip magnetik, CVV2, atau data PIN) setelah otorisasi transaksi. Penyimpanan elemen data pemegang kartu ini merupakan pelanggaran langsung terhadap aturan Visa dan PCI DSS. Pelaku kriminal menyasar merchant dan agen yang menggunakan aplikasi pembayaran rentan tersebut dan mengeksploitasi kelemahan keamanan ini untuk menemukan dan mencuri data pemegang kartu.
Visa akan memberikan peringatan kepada semua pemangku kepentingan utama, termasuk acquirer yang membantu menanggulangi bahaya, setiap kali diperlukan dengan daftar pembaruan aplikasi pembayaran yang rentan. Jika Anda menemukan aplikasi pembayaran yang rentan dan memiliki informasi spesifik tentang vendor aplikasi pembayaran, versi aplikasi, tempat data rahasia pemegang kartu disimpan, dan informasi kontak vendor, beri tahulah Visa via email di [email protected]. Semua informasi yang tersedia akan diverifikasi melalui vendor perangkat lunak, Visa tidak akan mengungkap sumber informasi atau informasi yang akan membeberkan identitas sumber kepada vendor perangkat lunak.
-
Visa mengembangkan Praktik Terbaik Aplikasi Pembayaran (PABP) pada tahun 2005 yang menyediakan panduan vendor perangkat lunak dalam mengembangkan aplikasi pembayaran yang membantu merchant dan agen menanggulangi bahaya, mencegah penyimpanan data informasi pemegang kartu (yaitu strip data magnetis, CVV2, atau data PIN), dan mendukung kepatuhan menyeluruh terhadap PCI DSS. Pada tahun 2008, Security Standards Council PCI menggunakan PABP Visa dan merilis standar tersebut sebagai PA-DSS. Kini, PA-DSS menggantikan PABP untuk keperluan program kepatuhan Visa.