誰需要通過 PCI DSS 的審查呢 ? Part 1

2018/08/27

PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:

Level 1 等級一
每年總交易量達 600 萬筆。
年度透過 QSA 進行 On-site 的審查,提交 Report on Compliance (ROC) 報告。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。

Level 2 等級二
每年總交易量在 100 萬至 600 萬筆間。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。

Level 3 等級三
每年總交易量在 2 萬至 100 萬筆間。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描。

Level 4 等級四
每年總交易量在 2 萬筆以下。
年度提交自我審查評估表 Self-Assessment Questionnaire (SAQ)。
提交 Attestation of Compliance (AOC) 文件。
每季透過 Approved Scan Vendor (ASV) 執行弱點掃描 (選項)。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
以下為參考 VISA 網址:

https://usa.visa.com/support/small-business/security-compliance.html
https://usa.visa.com/partner-with-us/pci-dss-compliance-information.html