誰需要通過 PCI DSS 的審查呢 ? Part 1
2018/08/27
PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,如一般接受信用卡消費的商店、線上商店或提供音樂下載的虛擬商品或服務、大型百貨公司,屬於特約商店。針對特約商店的合規性,就會有相對應的規範。
以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:
Level 1 等級一:
每年總交易量達 600 萬筆。
年度透過 QSA 進行 On-site 的審查,提交 Report on Compliance (ROC) 報告。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。
Level 2 等級二:
每年總交易量在 100 萬至 600 萬筆間。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。
Level 3 等級三:
每年總交易量在 2 萬至 100 萬筆間。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。
Level 4 等級四:
每年總交易量在 2 萬筆以下。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描 (選項)。
此外,從 2021 年 3 月開始 Mastercard 對於特約商店 Level 2 等級二有較為不同的規定,這些要求與其他等級有顯著差異。等級二的特約商店需要填寫的是 SAQ A、SAQ A-EP、SAQ D for Merchant,則必須由核可的 QSA 或內部安全評估師 (ISA) 來進行評估和完成。