O cumprimento do Padrão de Segurança de Dados (DSS) do Setor dos Cartões de Pagamento é obrigatório para todas as entidades que armazenam, processam ou transmitem dados dos titulares dos cartões Visa, incluindo instituições financeiras, comerciantes e fornecedores de serviços. Os programas da Visa gerem a conformidade com o PCI DSS ao exigir que os participantes demonstrem conformidade regularmente.
Mantenha-se atualizado com os padrões de segurança
Conformidade com o PCI DSS
Padrões de segurança que beneficiam todos.
-
O Programa de Segurança das Informações do Titular do Cartão da Visa (CISP) é um programa de conformidade destinado a proteger os dados dos titulares dos cartões Visa, assegurando que clientes, comerciantes e fornecedores de serviços mantenham o mais alto padrão de segurança da informação.
O Conselho de Padrões de Segurança (SSC) do PCI possui, mantém e faz a gestão do PCI DSS e todos os seus documentos de suporte; no entanto, a Visa gere todas as iniciativas de cumprimento e validação de conformidade com segurança de dados.
-
Os emissores e adquirentes são responsáveis por garantir que todos os seus fornecedores de serviços, comerciantes e fornecedores de serviço de comerciantes cumprem os requisitos do PCI DSS.
A prioridade da validação da conformidade do comerciante é estabelecida com base no volume de transações, no risco potencial e na exposição introduzida no sistema de pagamentos.
O emissor e os adquirentes têm de garantir que todos os seus fornecedores de serviços de Nível 1 e Nível 2 demonstrem conformidade com o PCI DSS no momento do registo de Agentes de Terceiros (TPA) e, posteriormente, numa base anual.
Saiba mais sobre a conformidade do prestador de serviços
-
Os adquirentes devem assegurar que os seus comerciantes validam ao nível apropriado e obtêm a documentação de validação de conformidade exigida dos seus comerciantes. Os bancos comerciais e os comerciantes também devem verificar os requisitos de relatórios de conformidade de outras marcas de cartões de pagamento que possam exigir a validação de conformidade.
Os prestadores de serviços de nível 1 que não estão diretamente ligados à Visa são obrigados a concluir a avaliação anual de segurança de dados PCI no local e enviar à Visa um atestado de conformidade (AOC), assinado pelo fornecedor de serviço e pelo avaliador de segurança qualificado (QSA). Os fornecedores de serviço de nível 2 têm de enviar um formulário de questionário de autoavaliação (SAQ-D) assinado ou um AOC, incluindo a assinatura do QSA. A validação de conformidade do PCI DSS é obrigatória antes de o prestador de serviços poder estar listado no Registo Global de Fornecedores de Serviço Visa (Registo).
Saiba mais sobre a documentação exigida
-
As Regras Essenciais da Visa e as Regras dos Produtos e Serviços da Visa regem as atividades das instituições financeiras clientes e, por extensão, dos fornecedores de serviços e comerciantes na qualidade de participantes no sistema de pagamento Visa.
Os emissores e adquirentes são responsáveis por assegurar a conformidade com o PCI DSS dos seus fornecedores de serviços e comerciantes, incluindo os fornecedores de serviços a que o comerciante recorra. Os prestadores de serviços e comerciantes têm de manter conformidade permanentemente. (ID da Secção VCR n.º 0002228 e n.º 0008031)
Se um prestador de serviços ou comerciante não estiver em conformidade com o PCI DSS ou não corrigir uma questão de segurança, a Visa pode fazer uma avaliação de não conformidade ao emissor ou adquirente. O emissor ou adquirente é responsável pelo pagamento de todas as avaliações e não pode declarar que a Visa impôs qualquer avaliação ao prestador de serviços ou ao comerciante. (ID da Secção VCR n.º 0001054)
Os adquirentes podem contactar o Departamento de Risco da Visa através do e-mail [email protected] para obter mais informações.
Programa de segurança de PIN
A Visa está a simplificar a validação de conformidade de segurança de PIN em todas as regiões.
Padrão de Segurança de Dados da Aplicação de Pagamento (PA-DSS)
O Visa incentiva fortemente os fornecedores de aplicações de pagamento a desenvolverem e validarem a conformidade dos seus produtos com o PA-DSS. As aplicações compatíveis com o PA-DSS ajudam comerciantes e agentes a atenuar compromissos, evitar o armazenamento de dados confidenciais do titular do cartão e a suportar a conformidade geral com o PCI DSS. O PA-DSS aplica-se apenas ao software de aplicação de pagamento de terceiros que armazena, processa ou transmite dados do titular do cartão como parte de uma autorização ou liquidação. As aplicações de software internas são cobertas pela avaliação do PCI DSS de um comerciante ou agente.
-
Em 1 de janeiro de 2008, a Visa implementou uma série de mandatos para eliminar a utilização de aplicações de pagamento vulneráveis no sistema de pagamentos Visa. Esses mandatos obrigam a que os adquirentes garantam que os seus comerciantes e agentes não utilizam aplicações de pagamentos que conservem dados confidenciais dos titulares de cartões (por exemplo, toda a faixa magnética de dados, CVV2 ou dados do PIN) e obriguem à utilização de aplicações de pagamentos que estejam em conformidade com o PA–DSS.
-
Embora muitos fornecedores de aplicações de pagamentos tenham implementado aplicações de pagamentos compatíveis com PA–DSS, existe uma preocupação crescente de que as atualizações ao software de pagamentos não estão a ser constantemente desenvolvidas para assegurar que as vulnerabilidades conhecidas não estão a ser reintroduzidas. Além disso, existe a preocupação de que o software de pagamentos não está a ser implementado de forma segura nos sites dos clientes.
Os compromissos dos comerciantes e dos agentes revelam que várias empresas de aplicações de pagamentos têm práticas de software fracas durante a instalação de sistemas e aplicações de pagamento, dão suporte aos clientes utilizando credenciais de acesso fracas, partilhadas ou predefinidas, e fazem a gestão dos sites dos clientes utilizando ferramentas de gestão remota mal implementadas. Os criminosos podem explorar essas entradas vulneráveis e ter acesso aos ambientes do titular do cartão.
A Visa desenvolveu um conjunto de práticas recomendadas para ajudar as empresas de aplicações de pagamentos a resolver processos de software críticos. Como parte da sua diligência devida, os adquirentes, comerciantes e agentes devem garantir que as empresas de aplicações de pagamentos a que recorrem passaram o rigor dos processos de software maduro.
Principais dez práticas recomendadas pela Visa para as empresas de aplicações de pagamentos
-
A Visa identificou que determinadas aplicações de pagamentos são projetadas pelos fornecedores de software para armazenar dados confidenciais do titular do cartão (ou seja, dados completos da faixa magnética, CVV2 ou PIN) após a autorização da transação. O armazenamento desses elementos de dados do titular do cartão está em violação direta das regras de PCI DSS e da Visa. Os criminosos visam os comerciantes e agentes que utilizam essas aplicações de pagamento vulneráveis e exploram essas vulnerabilidades de segurança para encontrar e roubar os dados do titular do cartão.
A Visa alertará os principais interessados, incluindo os adquirentes, para ajudar a mitigar os compromissos, conforme necessário, com uma lista atualizada de aplicações de pagamento vulneráveis. Caso venha a ter conhecimento de alguma aplicação de pagamentos vulnerável e informações específicas sobre o fornecedor da aplicação de pagamento, versão da aplicação, onde são armazenados dados confidenciais do titular do cartão e dados de contacto do fornecedor, avise a Visa através do e-mail [email protected]. Todas as informações fornecidas serão verificadas através do fornecedor do software, e a Visa não revelará a nenhum fornecedor de software a fonte de informação nem divulgará informações que revelem a identidade da fonte.
-
Em 2005, a Visa desenvolveu as Práticas Recomendadas das Aplicações de Pagamentos (PABP) para facultar aos fornecedores de software orientação no desenvolvimento de aplicações de pagamento que ajudem comerciantes e agentes a mitigarem compromissos, evitar o armazenamento de dados confidenciais dos titulares dos cartões (por exemplo, toda a faixa magnética de dados, CVV2 ou os dados do PIN) e suportar a conformidade geral com o PCI DSS. Em 2008, o Conselho de Padrões de Segurança de PCI adotou as PABP da Visa e lançou o padrão PA-DSS. Atualmente, para efeitos do programa de conformidade da Visa, o PA–DSS substitui as PABP.