国际各卡组织以及一些地区均有收单认证资质要求,未获得相关资质不允许处理其交易,那么,Visa国际卡网上收单资质要求有哪些?主要标准如下。
1、支付卡产业数据安全标准
2006年下半年,五大支付公司美国运通、美国发现金融(Discover Financial)、JCB、Mastercard和Visa国际组织共同筹办设立了统一且专业的支付卡产业信息安全标准矮员会(Payment CardIndustry Security Standards Council,PCI SSC)。PCI SSC维护的标准主要有以下3类。
·PCI PTS(PIN Transaction Security)是用户密码交易安全的标准。标准要求制造商设计、制造的设备必须符合这个标准,要求金融机构、商家、交易处理商仅使用经过PCI PTS认证的设备或者组件。
·PCI PA-DSS(Payment Application-Data Security Standard)是支付应用系统传输的数据安全标准。
·PCI DSS(Data Security Standard)即支付卡产业数据安全标准,是支付安全、信息存储要求的标准。PCI DSS是领域内最为权威且全球广泛采用的信息安全合规建设以及安全评估的最佳实践,被视为支付卡行业最高级别的安全标准认证,也是产品经理接触最多、最为关切的标准,因为允许存储哪些字段不仅涉及支付安全,还会影响到信息打捞范围以及根据信息捞取展开的一些应用(如常用卡服务、信息反显、重试服务等)。
最新的PCI DSS 3.4版本规定了账户信息中的哪些字段可以存储,见表1。
表1 PCI DSS要求
PCI DSS的六大要求和12项操作细则如下。
要求一:建立和维护安全的网络
1)安装并维护防火墙配置以保护持卡人数据。
2)系统口令和其他安全参数不使用厂商默认设置。
要求二:保护持卡人数据
3)保护存储的持卡人数据。
4)对公共网络上传输的持卡人数据进行加密。
要求三:维护漏洞管理程序
5)使用并定期更新防病毒软件。
6)开发和维护安全的系统和应用。
要求四:实施访问控制措施
7)限制对持卡人数据的访问:限制到必需的业务访问。
8)为计算机访问用户分配唯一的账号。
9)限制对持卡人数据的物理访问。
要求五:定期监控和测试网络
10)跟踪并监控对网络资源和持卡人数据的所有访问。
11)定期测试安全系统和流程。
要求六:维护信息安全策略
12)维护信息安全策略,以解决内外部的安全问题。
PCI DSS认证是需要进行现场审核的,认证分成3个阶段。
第一阶段:准备阶段
1)确定范围:确定参与评估认证项目的范围。
2)差距分析:根据PCI标准要求进行一一比对,评估满足程度。
3)整改:对于不足之处进行整改。
第二阶段:正式评估
4)QSA评估:合格安全评估员(QSA)查验系统,评估其符合程度。
5)报告:合格安全评估员根据结果出具报告。
第三阶段:维护与监控
6)持续监控与升级:存储机构持续监控运行情况和根据新的要求与技术升级设备和标准。
PCI认证的审核工作一般需要以下角色配合。
·网络设备管理员
·系统管理员
·数据库管理员
·应用开发人员/测试人员
·安全设备管理员
·安全测试相关人员
·信息安全管理体系管理人员
·负责背景调查、入职和离职、安全培训的人员
·项目负责人及认证内容对应的产品经理
审核内容一般包括应用与数据库系统、操作系统、网络设备、安全技术管理、安全管理环境,而这些内容的检查重点是最需要关心的。
应用与数据库系统的检查重点如下:
1)持卡人数据的显示、存储和传输保护;
2)用户账号和密码存储的安全性;
3)日志的集中管理与审计。
操作系统的检查重点如下:
1)管理协议的安全性;
2)账号和密码的安全性;
3)日志的集中管理与审计;
4)防病毒管理;
5)安全加固与配置。
网络设备的检查重点如下:
1)管理协议的安全性;
2)账号和密码的安全性;
3)日志的集中管理与审计;
4)访问控制规则;
5)安全加固与配置。
安全技术管理的检查重点如下:
1)安全扫描 与渗透测试;
2)日志、文件完整性、时间的集中管理;
3)物理安全;
4)介质管理。
安全管理环境的检查重点如下:
1)人力资源与培训是否到位;
2)风险评估覆盖面是否全面;
3)安全职责是否明确;
4)安全管理体系是否健全。
全球出现了很多数据泄密事件,比如2014年某在线旅游企业的泄密门事件。这些事件除了造成持卡人重要资料泄露外,对于存储数据的公司自身也有很大的负面影响,比如需要向支付公司或者卡组织和持卡人支付巨额赔款、机构安全性遭到质疑、商誉受损、客户信任度降低、销售额下降、股价下跌、媒体负面报道、争议交易和欺诈交易上升、法律支出增加等,甚至可能关系到公司存亡。
因为这些方面,现在商户越来越重视PCI DSS和PA-DSS认证,很多卡组织强烈推荐甚至强制要求合作方要经过PCI认证。比如Visa组织不仅规定其合作的机构必须使用PA-DSS合规的支付应用,还要求其收单机构必须确保所有商户都使用PA-DSS合规的支付应用。
2、合格服务提供者
合格服务提供者(Qualified Service Provider,QSP)为Visa支付收单资质认证。
Visa于2013年4月1日发布QSP计划,对从事Visa国际卡网上收单服务的第三方机构进行资质认证。中国区收单会员可以同其签署或继续履行Visa国际卡网上收单业务协议。截止到2019年,获得QSP资质的机构如下:
·迅付信息科技有限公司(IPS)
·快钱支付清算信息有限公司(99BILL)
·易智付科技(北京)有限公司(PES)
·深圳市财付通科技有限公司(TENPAY)
·汇元银通(北京)在线支付技术有限公司(MASAPAY)
·广州市易票联支付技术有限公司(EPL)
·上海银联电子支付服务有限公司(CHINAPAY)
·重庆易极付科技有限公司(YJF)
·通联支付网络服务股份有限公司(AIP)
·支付宝(中国)网络技术有限公司(ALIPAY)
·北京百付宝科技有限公司(BAIDUPAY)
·中金支付有限公司(FTP)
·网银在线(北京)科技有限公司(JDPAY)
·金运通网络支付股份有限公司(DLP)
·先锋支付有限公司(UCF)
·深圳市快付通金融网络科技服务有限公司(KFT)
·广州银联网络支付有限公司(GPAY)
·上海汇付数据服务有限公司(PNR)
·商盟商务服务有限公司(SUMPAY)
·上海银生宝电子支付服务有限公司(UNSPAY)
3、支付服务商
支付服务商(Payment Facilitator,PF)为Mastercard支付收单资质认证。截止到2018年,国内获得PF资质的有支付宝、财付通、通联支付等20多家机构。
