Mantenha-se atualizado com os padrões de segurança

O Programa de Segurança das Informações do Titular do Cartão da Visa (CISP) é um programa de conformidade destinado a proteger os dados dos titulares dos cartões Visa, assegurando que clientes, comerciantes e fornecedores de serviços mantenham o mais alto padrão de segurança da informação.

O Conselho de Padrões de Segurança (SSC) do PCI possui, mantém e faz a gestão do PCI DSS e todos os seus documentos de suporte; no entanto, a Visa gere todas as iniciativas de cumprimento e validação de conformidade com segurança de dados.  

Os emissores e adquirentes são responsáveis ​​por garantir que todos os seus fornecedores de serviços, comerciantes e fornecedores de serviço de comerciantes cumprem os requisitos do PCI DSS.

A prioridade da validação da conformidade do comerciante é estabelecida com base no volume de transações, no risco potencial e na exposição introduzida no sistema de pagamentos.

Saiba mais sobre os níveis dos comerciantes

O emissor e os adquirentes têm de garantir que todos os seus fornecedores de serviços de Nível 1 e Nível 2 demonstrem conformidade com o PCI DSS no momento do registo de Agentes de Terceiros (TPA) e, posteriormente, numa base anual.

Saiba mais acerca dos requisitos sobre conformidade em matéria de segurança de dados

Os adquirentes devem assegurar que seus comerciantes validam ao nível apropriado e obtenham a documentação de validação de conformidade exigida dos seus comerciantes. Os bancos comerciais e os comerciantes também devem verificar os requisitos de relatórios de conformidade de outras marcas de cartões de pagamento que possam exigir a validação de conformidade.

Os fornecedores de serviços de nível 1 que não estão diretamente ligados à Visa são obrigados a concluir a avaliação anual de segurança de dados PCI no local e enviar à Visa um atestado de conformidade (AOC), assinado pelo fornecedor de serviço e pelo avaliador de segurança qualificado (QSA). Os fornecedores de serviço de nível 2 têm de enviar um formulário de questionário de autoavaliação (SAQ-D) assinado ou um AOC, incluindo a assinatura do QSA. A validação de conformidade do PCI DSS é obrigatória antes de o prestador de serviços poder estar listado no Registo Global de Fornecedores de Serviço Visa (Registo).

Saiba mais acerca dos requisitos sobre conformidade em matéria de segurança de dados

As Regras Essenciais da Visa e as Regras dos Produtos e Serviços da Visa regem as atividades das instituições financeiras clientes e, por extensão, dos fornecedores de serviços e comerciantes na qualidade de participantes no sistema de pagamento Visa.

Os emissores e adquirentes são responsáveis ​​por assegurar a conformidade com o PCI DSS dos seus fornecedores de serviços e comerciantes, incluindo os fornecedores de serviços a que o comerciante recorra. Os fornecedores de serviços e comerciantes têm de manter conformidade permanentemente. (ID da Secção VCR #0002228 e #0008031)

Se um fornecedor de serviços ou comerciante não estiver em conformidade com o PCI DSS ou não corrigir uma questão de segurança, a Visa pode fazer uma avaliação de não conformidade ao emissor ou adquirente. O emissor ou adquirente é responsável pelo pagamento de todas as avaliações e não pode declarar que a Visa impôs qualquer avaliação ao fornecedor de serviço ou ao comerciante. (ID da Secção VCR #0001054)

Os adquirentes podem contactar o Departamento de Risco da Visa através do e-mail cisp@visa.com  para obter mais informações.

Em 1 de janeiro de 2008, a Visa implementou uma série de mandatos para eliminar a utilização de aplicações de pagamento vulneráveis no sistema de pagamentos Visa. Esses mandatos obrigam a que os adquirentes garantam que os seus comerciantes e agentes não utilizam aplicações de pagamentos que conservem dados confidenciais dos portadores de cartões (por exemplo, toda a banda magnética de dados, CVV2 ou dados do PIN) e obriguem à utilização de aplicações de pagamentos que estejam em conformidade com o PA–DSS.

Mandatos de segurança

Mandatos de segurança - Perguntas frequentes

Embora muitos fornecedores de aplicações de pagamentos tenham implementado aplicações de pagamentos compatíveis com PA–DSS, existe uma preocupação crescente de que as atualizações ao software de pagamentos não estão a ser constantemente desenvolvidas para assegurar que as vulnerabilidades conhecidas não estão a ser reintroduzidas. Além disso, existe a preocupação de que o software de pagamentos não está a ser implementado de forma segura nos sites dos clientes.

Os compromissos dos comerciantes e dos agentes revelam que várias empresas de aplicações de pagamentos têm práticas de software fracas durante a instalação de sistemas e aplicações de pagamento, dão suporte aos clientes utilizando credenciais de acesso fracas, partilhadas ou predefinidas, e fazem a gestão dos sites dos clientes utilizando ferramentas de gestão remota mal implementadas. Os criminosos podem explorar essas entradas vulneráveis e ter acesso aos ambientes do titular do cartão.

A Visa desenvolveu um conjunto de práticas recomendadas para ajudar as empresas de aplicações de pagamentos a resolver processos de software críticos. Como parte da sua diligência devida, os adquirentes, comerciantes e agentes devem garantir que as empresas de aplicações de pagamentos a que recorrem passaram o rigor dos processos de software maduro.

Principais dez práticas recomendadas pela Visa para as empresas de aplicações de pagamentos

A Visa identificou que determinadas aplicações de pagamentos são projetadas pelos fornecedores de software para armazenar dados confidenciais do titular do cartão (ou seja, dados completos da banda magnética, CVV2 ou PIN) após a autorização da transação. O armazenamento desses elementos de dados do titular do cartão está em violação direta das regras de PCI DSS e da Visa. Os criminosos visam os comerciantes e agentes que utilizam essas aplicações de pagamento vulneráveis ​​e exploram essas vulnerabilidades de segurança para encontrar e roubar os dados do titular do cartão.

A Visa alertará os principais interessados, incluindo os adquirentes, para ajudar a mitigar os compromissos, conforme necessário, com uma lista atualizada de aplicações de pagamento vulneráveis. Caso venha a ter conhecimento de alguma aplicação de pagamentos vulnerável e informações específicas sobre o fornecedor da aplicação de pagamento, versão da aplicação, onde são armazenados dados confidenciais do titular do cartão e dados de contacto do fornecedor, avise a Visa através do e-mail CISP@visa.com. Todas as informações fornecidas serão verificadas através do fornecedor do software, e a Visa não revelará a nenhum fornecedor de software a fonte de informação nem divulgará informações que revelem a identidade da fonte.

Em 2005, a Visa desenvolveu as Práticas Recomendadas das Aplicações de Pagamentos (PABP) para facultar aos fornecedores de software orientação no desenvolvimento de aplicações de pagamento que ajudem comerciantes e agentes a mitigarem compromissos, evitar o armazenamento de dados confidenciais dos titulares dos cartões (por exemplo, toda a banda magnética de dados, CVV2 ou os dados do PIN) e suportar a conformidade geral com o PCI DSS. Em 2008, o Conselho de Padrões de Segurança de PCI adotou as PABP da Visa e lançou o padrão PA-DSS. Atualmente, para efeitos do programa de conformidade da Visa, o PA–DSS substitui as PABP.