商户、收单机构如何才能够满足ADSS标准要求
收单机构
收单机构应依照ADSS标准,建立账户信息安全管理制度体系以明确工作职责、规范工作流程。制度体系的管理范畴应涵盖本单位、收单专业化服务机构、特约商户。
建立账户信息安全事件应急处理流程和预案,定期演练并及时总结演练效果。
定期开展账户信息安全管理相关的内部或外部审计,并根据审计结果完善相关制度、流程。
建立账户信息安全检查及监督机制及时发现管理漏洞,确保账户信息安全。聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估或填写账户信息安全管理调查问卷。
建立对收单专业服务机构及特约商户的账户信息安全管理机制。
商户
建立并明确商户内部各岗位对账户信息访问、存储、使用、传输、加密、销毁等环节的工作要求;
加强对商户员工账户信息安全的培训,确保员工了解各自岗位职责、本岗位可访问账户信息的安全等级,以及违反安全规定可能导致的后果;
选用通过中国银联安全认证、符合《银联卡收单机构账户信息安全管理标准》安全要求的终端机具和商户银行卡受理系统和商户收银系统;
聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估或填写账户信息安全管理调查问卷;
对于商户银行卡受理系统、商户收银系统以及终端机具已留存有银行卡磁道信息(含芯片等效磁道信息)、卡片验证码(CVN/CVN2)、银行卡密码(PIN)、卡片有效期等敏感账户信息的,应立即进行全面排查整理,并彻底清除。
银联卡收单机构账户信息安全管理标准的历史与意义
银联卡账户信息安全管理标准,它由中国银联风险管理委员会在2008年首次发布,旨在维护持卡人用卡安全,帮助银联网络内成员机构及商户提升账户信息安全管理水平。该标准参照国际银行卡支付产业账户信息安全相关标准的同时,专门结合国内监管要求,对收单机构和商户的账户信息安全管理提出了更为具体和细致的合规要求。顺应创新支付的快速发展,该标准已于2013年完成修订。
截至目前,接入银联网络的非金融支付机构中,已有汇付天下、通联支付、快钱、拉卡拉、新浪支付等超过50家通过账户信息安全合规评估,占比超过85%,其他机构以及更多商户正在进行评估申请。
根据ADSS标准,收单机构和商户需具备以下条件:第一、个人标识代码(PIN)、磁道信息(含芯片等效磁道信息)、卡片验证码、有效期等敏感账户信息不得留存;第二、通过互联网、移动设备等渠道采集和传输账户信息,需采取加密等方式予以保护;第三、提供支付服务的WEB网站需具备防范常见互联网安全威胁的能力,包括防止SQL注入、跨站脚本攻击、木马病毒及钓鱼等。
伴随着银行卡产业的高速发展和创新支付的日新月异,欺诈份子盗取银行卡账户信息实施欺诈犯罪日益显现,银行卡敏感账户信息泄漏风险也呈集聚态势。中国银联表示,近期银联卡账户信息泄露系列风险事件的发生,引发社会和持卡人对于银行卡账户信息安全管理的高度关注。银联卡账户信息安全管理标准作为国内银行卡产业的权威标准,受到收单机构和互联网商户的广泛认可。
