PCI DSSへの準拠が必要な事業者は？サービスプロバイダ

2018/08/28

服

サービスプロバイダ（Service Provider）は、「カード会員データのセキュリティを制御する、または影響を与える可能性のあるサービスを提供する企業」と定義されています。これには、決済代行業者や流通チャネルを統合するECプラットフォームのほか、直接取引に関するサービスを提供するわけではないものの、カード会員データに一定の影響を与えるクラウドサービスプロバイダ、IDCサーバ室サービスプロバイダ等も含まれます。

加盟店とは異なり、サービスプロバイダのレベルは2つのみです（VISAの場合）。また、レベル分けの基準と準拠すべき要件は次の通りです。

レベル1：

取引件数が年間30万件以上

年1回のQSAによる訪問審査と準拠報告書（ROC）の提出

準拠証明書（AOC）の提出

四半期ごとのASV（認定スキャンベンダ）による脆弱性スキャン

レベル2：

取引件数が年間30万件未満

年1回の自己問診表（SAQ）提出

準拠証明書（AOC）の提出

四半期ごとのASV（認定スキャンベンダ）による脆弱性スキャン

参考サイト（VISA）：

https://usa.visa.com/support/small-business/security-compliance.html
https://usa.visa.com/partner-with-us/pci-dss-compliance-information.html

PCI DSSへの準拠が必要な事業者は？サービスプロバイダ

どのSAQタイプに当てはまりますか？

PCI DSS レビューを受ける必要があるのは？パート 1