银联卡收单机构账户信息安全管理标准

Posted by Vincent on November 18, 2021

ADSS简介

ADSS全称Account Data Security Standard ,即银联卡收单机构账户信息安全管理标准,由中国银联风险管理委员会审核通过,旨在加强银联卡收单网络账户信息安全管理,进一步明确和细化对收单业务各参与方账户信息安全管理要求,防范账户信息泄漏风险。

根据中国银联制定和发布的《银联卡收单机构账户信息安全管理标准》,在银联网络内从事银联卡收单业务的收单机构、向银联卡收单机构提供收单专业化服务的第三方机构以及银联卡收单特约商户,只要业务涉及银行卡主账户(卡号)的处理、传输、或存储,均需通过基于ADSS标准要求的合规评估,方可确保其处理银联卡交易的安全水平。

授权能够开展合规评估业务的机构包括:

  • 银行卡检测中心
  • 中金金融认证中心有限公司(CFCA)
  • 北京神州绿盟信息安全科技股份有限公司(绿盟科技)
  • 甫瀚咨询(上海)有限公司

安全合规的评估包括采用调查问卷、现场访谈、内网扫描、商户现场检查、渗透测试等安全测试及风险评估手段,对账户信息安全管理基本要求、政策制定与组织管理、访问控制、账户信息生命周期安全管理和系统安全管理等进行安全测试评估。

关键要求

  • 商户银行卡受理系统、商户收银系统和终端机具等均不得留存银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息;
  • 受理终端应对打印的交易凭条(“预授权”交易除外)、交易流水清单,以及终端电子屏幕显示的银行卡部分卡号信息予以屏蔽。屏蔽内容是除卡号前6位和后4位以外的其余卡号字段。
  • 收银员、收银主管等商户员工有义务对银行卡卡号、交易数据和持卡人资料进行保密;
  • 收银员特别是收银主管应妥善保管POS 终端个人操作密码,防范终端操作权限被冒用;
  • 定期邀请收单机构对商户内部员工开展账户信息安全管理培训;
  • 定期主动开展账户信息安全自评估;有条件的商户,聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估;
  • 发生账户信息泄漏事件时,积极配合收单机构做好应急处臵、事件调查等工作。

如何达到要求

特约商户应向所属收单机构寻求支持和帮助,对照银联卡账户信息安全管理制度规定,重点围绕以下方面做好账户信息安全管理工作:

  • 建立并明确商户内部各岗位对账户信息访问、存储、使用、传输、加密、销毁等环节的工作要求;
  • 加强对商户员工账户信息安全的培训,确保员工了解各自岗位职责、本岗位可访问账户信息的安全等级,以及违反安全规定可能导致的后果;
  • 选用通过中国银联安全认证、符合《银联卡收单机构账户信息安全管理标准》安全要求的终端机具和商户银行卡受理系统和商户收银系统;
  • 聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估;
  • 对于商户银行卡受理系统、商户收银系统以及终端机具已留存有银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息的,应立即进行全面排查整理,并彻底清除。

承担账户信息安全风险的情况

特约商户如出现以下情形之一的,将根据与收单机构签订的协议条款内容承担相关风险责任:

  • 默许、纵容欺诈分子,或与欺诈分子勾结,盗录银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息的;
  • 违规留存并泄漏账户信息,或者不及时报告、不协助调查账户信息泄漏情况而导致发卡机构、持卡人遭受经济损失的;
  • 在账户信息安全检查中不符合要求,且在检查后12个月内仍未达到相关要求的。

Published At: 2021-11-18 17:12:00 +0800