PCI DSSへの準拠が必要な事業者は？加盟店

2018/08/27

在

PCI SSCにおいて加盟店とは「PCI SSC参加ペイメントブランドのロゴが付いたペイメントカードを商品やサービスに対する支払いとして受け入れるあらゆる事業体」と定義され、加盟店向けの準拠要件が定められています。

加盟店のレベルおよび要件（VISAの場合）は次の通りです。

レベル1：

取引件数が年間600万件以上

年1回のQSAによる訪問審査と準拠報告書（ROC）の提出

準拠証明書（AOC）の提出

四半期ごとのASV（認定スキャンベンダ）による脆弱性スキャン

レベル2：

取引件数が年間100万件～600万件

年1回の自己問診表（SAQ）提出

準拠証明書（AOC）の提出

四半期ごとのASV（認定スキャンベンダ）による脆弱性スキャン

レベル3：

取引件数が年間2万件～100万件

年1回の自己問診表（SAQ）提出

準拠証明書（AOC）の提出

四半期ごとのASV（認定スキャンベンダ）による脆弱性スキャン

レベル4：

取引件数が年間2万件未満

年1回の自己問診表（SAQ）提出

準拠証明書（AOC）の提出

四半期ごとのASV（認定スキャンベンダ）による脆弱性スキャン（推奨）

さらに、2021年3月以降、Mastercardはレベル2、加盟店向けのレベル2について、他のレベルとは大きく異なる要件を設けています。レベル2では、加盟店向けのSAQ A、SAQ A-EP、およびSAQ Dは、承認されたQSAまたは内部セキュリティ評価者（ISA）によって評価され、完了する必要があります。

Mastercard PCI DSS Level 2 Merchant change

参考サイト（VISA）：

https://usa.visa.com/support/small-business/security-compliance.html
https://usa.visa.com/partner-with-us/pci-dss-compliance-information.html

PCI DSSへの準拠が必要な事業者は？加盟店

どのSAQタイプに当てはまりますか？

PCI DSSのレビューを受ける必要があるのは？パート2