信用卡安全事件应急计划
为解决持卡人安全并确保最大程度保护持卡人数据问题,主要信用卡牌子,包括Visa、masterCard、AmericanExpress、Discept和JCB建立PCI安全标准理事会开发、实施和管理支付卡行业数据安全标准(PCIDS),该标准拟作为保护持卡人信息指南
商家需在这些指南内创建并记录事件响应计划事件响应计划描述如下:
- 各部门必须向信息安全官报告事件或向杜氏PCI响应队的另一成员报告事件
- 接收报告团队成员将向PCI响应团队报告事件
- PCI响应队将调查事件,并协助限制持卡人数据接触并减轻事件相关风险
- PCI响应队将解决令有关各方满意的问题,包括向信用卡协会和信用卡处理器等适当方报告事件和结果
- PCI响应队将决定是否需要修改政策和程序,是否需要实施额外保障措施以避免今后发生类似事件
Exiel安全事件响应队包括:
- CIO系统
- 通信主管遵章干事
- 律师
- 信息安全官控制器
- 集合商服风险管理器
到期事件应急计划V1
最新更新:8/31/16
信用卡公司有单项具体要求,报告疑似或确认违反持卡者数据时必须解决这些具体要求。
MasterCard特定步数 :
- 24小时内记账折中事件后 通知万事达折中账号团队 电话:1-636-722-4100.
- 详细书面陈述账号折中(包括参保环境)[email protected].
- 向MasterCard商机欺诈控制局提供所有已知失密账号全表
- 72小时内了解可疑账号折中,使用万事达能接受的数据安全公司服务评估失密数据和相关系统的脆弱性
- 每周向MasterCard提供书面状况报告,说明任何待决问题,直到审核完成令MasterCard满意
- 即时提供可能或已知失密账号更新列表、附加文档以及其他万事达可能需要的信息
- 向MasterCard商行欺诈控制部提供所有审计和调查结果
MasterCard获取账号折中细节和失密账号列表后, MasterCard将识别疑似失密账号的发行者并分组所有已知账号并分发账号数据给各自的发行者
VisaUSA具体步骤 :
万一安全漏洞 美国Visa操作规程要求立即报告实体必须按照VISAU.S.A的要求证明未来防止账号信息丢失或失窃的能力持卡者信息安全程序if VISAU确定一组织在安全维护账号信息或报告或调查丢失信息方面有缺陷或疏漏,VISAUSA可能需要立即纠正行动
商家或代理商不遵守安全要求或未能纠正安全问题时,VISA可处以罚款或限制并永久禁止参与VISA程序
VISA提供下列逐步指南,帮助实体达成折中协议除下文外,VISA可能要求额外调查包括但不限于提供访问馆舍和所有相关记录
- 立即控制并限制接触
- 为防止数据进一步丢失,在折中24小时内对疑似或确认账号丢失或失窃信息进行彻底调查
- 方便调查,不访问或更改失密系统或关闭失密机保存日志电子证据并记录所有行为If使用无线网络变换服务集标识符访问器、点数识别器和其他可能使用该连接机(除被认为失密的系统外)保持警戒并监控所有VISA系统
- 通知所有必要方,包括内部信息安全组和事件响应组以及司法部、商行、VISA欺诈控制组(650美国分局432-2978美国分局)特勤局或RCMP本地支队
- ifSA支付数据失密后24小时内向VISA欺诈控制组提供失密VSA账号(650)432-2978账号必须安全发送VISA
- 组织必须在24小时内展开法证调查调查必须确定持有者风险信息、风险账户数和风险账户信息类型,如账号、过期日期、持有者名地址和卡前后安全号调查还必须包括确定失密如何发生、折中源头和折中时间框架整个网络必须审查以确定所有受损或受影响的系统,包括电子商务、企业、测试、开发与生产环境以及VPN、调制解调器、DSL和电缆调制解调器连接和第三方连接最后,调查应确定折中是否包含
发现卡特殊步骤
- 24小时内实现账号折中事件,通知8003473102并准备折中细节说明,包括所有折中账号列表
- 从发现卡获取额外特殊需求
AmericanExpress具体步骤
- 24小时内记账折中事件通知美国Express商服局并编解析折中问题,包括何因素作用和何账号失密
- 从AmericanExpress获取额外具体需求
